Svalbard — новое имя проекта Have I Been Pwned перед продажей

в 16:36, , рубрики: Have I been pwned, HIBP, база паролей, информационная безопасность, Карьера в IT-индустрии, Разработка веб-сайтов, утечки данных

В 2013 году я начал понимать, что утечки приватных данных становятся повсеместными. Действительно, такие случаи участились. И возросло влияние этих утечек на их жертв, включая меня. Всё чаще я писал в блоге на эту тему, которая казалась увлекательным сегментом индустрии инфобеза: как повторное использование паролей на Gawker и Twitter привело к массовому черничному спаму в твиттере, и о том, что пароли юзеров Sony Pictures оказались действительно настолько плохими, насколько можно было ожидать от этих людей, но чёрт побери, до сих пор шокирует видеть свой пароль в этой утёкшей базе. При этом 59% паролей из базы Sony совпадали с паролями от почтовых ящиков Yahoo.

Примерно в то время произошла утечка данных Adobe, и это заставило меня действительно заинтересоваться данным сегментом отрасли, не в последнюю очередь потому, что я был в той базе. Дважды. Самое главное, что она содержала 153 млн других людей. Это была исключительно массовая утечка, даже по сегодняшним стандартам. Всё это вместе — частота утечек, мой анализ баз и масштаб Adobe — заставили меня задуматься: интересно, сколько людей знают? Понимают ли они, что их данные ушли в открытый доступ? Понимают ли, сколько раз? И, возможно, самое главное: изменили ли они свой пароль (да, почти всегда единственный) в других службах, которые используют? И так родился проект Have I Been Pwned (HIBP): поиск своих паролей в множестве утёкших баз.

Позвольте кратко рассказать о нынешних делах сервиса. В базе почти 8 млрд записей, на уведомления подписались почти 3 млн человек, я разослал людям 7 млн сообщений об утечке их данных, ещё 120 тыс. человек мониторят домены, они сделали 230 тыс. поисковых запросов и я отправил им по почте ещё 1,1 млн уведомлений. В нормальный день на сайте 150 тыс. уникальных посетителей, 10 млн в ненормальный день, еще пару миллионов хитов по API и 10 млн поисковых запросов. Но сейчас даже эти цифры превышаются:

Кстати, у сервиса есть коммерческие подписчики, которые зависят от HIBP. Это самые разные фирмы, которые информируют уже своих клиентов. И есть правительства по всему миру, использующие HIBP для защиты своих департаментов, правоохранительные органы, использующие его для своих расследований, и всевозможные другие способы использования, которые я никогда не видел и даже предположить не мог. И на сегодняшний день каждая строка кода, каждая конфигурация и каждый утёкший аккаунт обрабатываются лично мной. Нет никакой «команды HIBP», есть один парень, который держит всё это на плаву.

Когда мне нужна была инфографика, чтобы объяснить архитектуру, я сел и всё сделал сам. Я сам нашёл исходник каждого логотипа взломанной компании, обрезал его, изменил размер и оптимизировал. Каждый раз, когда я раскрывал информацию о взломе компании, которая не знала об этом, приходилось разгребать такую кучу проблем, и этим занимался тоже я (поверьте, это занимает очень много времени и оказалось главным узким местом и главным препятствием для загрузки новых данных). Каждое интервью в СМИ, каждая просьба о поддержке и, честно говоря, почти всё, что вы могли бы себе представить, было сделано только одним человеком в свободное время. Это не просто проблемы с нагрузкой; я всё больше осознавал тот факт, что я стал единственной точкой отказа. И это нужно изменить.

Пора взрослеть

Это было долгое вступление, но я хотел описать ситуацию, чтобы логично перейти к сути: HIBP пришло время взрослеть. Пришло время перейти от одного парня, делающего то, что он может, в своё свободное время, к более обеспеченной ресурсами и лучше финансируемой структуре, которая способна сделать намного больше, чем я когда-либо мог самостоятельно. Чтобы лучше понять, почему я пишу это сейчас, позвольте поделиться изображением с Google Analytics:

Svalbard — новое имя проекта Have I Been Pwned перед продажей - 1

График отображает 12 месяцев до 18 января этого года, а всплеск соответствует загрузке учётных записей из Collection #1. Это также соответствует дню, когда я отправился в Европу на пару недель «обычных деловых» конференций, которым предшествовали несколько дней общения с моим 9-летним сыном и хорошими друзьями в деревянной хижине посреди норвежских снегов. Я подвергся беспрецедентной бомбардировке электронными письмами, твитами, телефонными звонками по всем мыслимым каналам из-за огромного внимания, которое HIBP получал по всему миру. А я выключал все гаджеты, сидя у маленького камина, наслаждаясь напитками и хорошей беседой. В этот момент я понял, что очень близок к выгоранию. Я вполне уверен, что ещё не выгорел, но также осознал, что могу увидеть этот момент в не слишком отдалённом будущем, если не сделаю некоторые важные изменения в своей жизни (я хотел бы поговорить об этом в будущем, поскольку здесь некоторые довольно важные уроки, но сейчас хочу установить контекст в отношении времени и рассказать, что произойдёт дальше). Всё это происходило в то же самое время, когда я путешествовал по миру, выступал на мероприятиях, проводил семинары и делал миллион других вещей, чтобы жизнь шла своим чередом.

Если быть абсолютно честным, это был чрезвычайно напряжённый год. Дополнительное внимание, которое HIBP начал получать в январе, никогда не возвращалось к уровню 2018 года, оно просто продолжало расти и расти. Я внёс различные изменения, чтобы приспособиться к рабочей нагрузке. Возможно, одним из самых очевидных является массовое снижение участия в социальных сетях, особенно в твиттере:

Svalbard — новое имя проекта Have I Been Pwned перед продажей - 2

До декабря прошлого года я твитил в среднем 1141 раз в месяц (по какой-то причине функция экспорта не включила май и июнь 2017 года и только половину июля, поэтому я опустил эти месяцы на графике). С февраля по май этого года число снизилось до 315, то есть с января я отказался от социальных сетей на 72%. Это может показаться несерьёзным фактом, но это существенное число, которое напрямую связано с влиянием на мою жизнь внимания к HIBP. То же самое, если вы посмотрите на статистику постов в блоге. Я религиозно публиковал еженедельные видео, но мне пришлось сократить все другие технические сообщения, которые я так любил писать в последнее десятилетие.

Когда я вернулся из этой поездки, у меня произошли случайные разговоры с несколькими организациями, которые, как я думал, могут быть заинтересованы в покупке HIBP. Это были беседы в комфортной обстановке со знакомыми людьми, так что ситуация не вызывала никакого стресса. Это не первый раз, когда у меня были подобные дискуссии — я уже делал такое несколько раз, когда организации обращались и спрашивали, каков мой интерес к продаже, — но это был первый раз с тех пор, как накладные расходы на управление сервисом вышли за рамки графиков. Был большой неподдельный энтузиазм, но я быстро понял, что когда дело доходит до дискуссий такого рода, здесь я полный профан. Конечно, я могу обрабатывать миллиарды взломанных записей и в одиночку запускать онлайн-сервисы, которые используются сотнями миллионов людей, но здесь совершенно другая игра. Пришло время позвать на помощь.

Проект Svalbard

Ещё в апреле во время обычного разговора с людьми из KPMG о некоторых обычных финансовых вещах (я регулярно встречался с консультантами, поскольку моё собственное финансовое состояние стало более сложным), они предложили поговорить с их сотрудниками отделения по слияниям и поглощениям (M&A) о поиске нового дома для HIBP. Мне было удобно это сделать: у нас длительные отношения, и они разбираются не только в сути HIBP, но и в других чувствительных вещах, которыми я постоянно занимаюсь в онлайне. Это было лёгким решением: мне нужна была помощь, а у них есть правильный опыт и правильная экспертиза.

Встречаясь с этими людьми, быстро стало ясно, какая поддержка мне действительно нужна. Главное, что я понял — я никогда не тратил время на то, чтобы отступить и посмотреть, что на самом деле делает HIBP. Это может показаться странным, но поскольку проект вырос органически за эти годы, и я построил его в ответ на комбинацию насущных потребностей, я не нашёл времени отступить и целостно посмотреть на всё это. И у меня не было достаточно времени, чтобы посмотреть, что он может сделать. Позже я вернусь к этой теме — как много возможностей сделать гораздо больше, и мне действительно нужна поддержка людей, которые разбираются в бизнесе.

Одной из первых задач было придумать название проекта для продажи: видимо, так делаются дела. Было много ужасно китчевых вариантов и многих других, которые опирались на модные словечки инфобеза, а затем у меня возникла мысль: помните это массивное хранилище семян за Полярным кругом? Я видел ссылки на него раньше, и идея огромного хранилища, хранящего что-то ценное для помощи человечеству, начала действительно резонировать. Оказывается, это место называется Svalbard (Всемирное семенохранилище на Шпицбергене) и выглядит так:

Svalbard — новое имя проекта Have I Been Pwned перед продажей - 3

Также выяснилось, что оно находится в Норвегии, и всё это вместе стало звучать как подобающее название, начиная с очевидной аналогии хранения огромного количества «юнитов». Есть классное видео, снятое несколько лет назад, в котором говорится о том, что ёмкость Всемирного хранилища составляет около миллиарда семян — не так много записей, как в HIBP, но вы понимаете идею. Значит, есть имя: оно немного странное. «Свальбард» трудно произносится для тех, кто не знаком с этим словом (хотя это видео помогает), прямо как… pwned. И наконец, Норвегия имеет большое значение для меня: почти пять лет назад там состоялось моё первое зарубежное выступление. Я говорил перед переполненным залом, а когда аудитория вышла, каждый из них бросил в коробку зелёную рейтинговую карточку.

Это был поворотный момент в моей карьере. В январе этого года я опять был в Норвегии, когда HIBP буквально сошёл с ума, как вы видели на предыдущем графике. Именно там, в маленькой бревенчатой хижине посреди снегов, я понял, что HIBP пора взрослеть. И по чистому совпадению, сегодня я публикую эту статью опять из Норвегии, шестой год подряд приехав на NDC Oslo. Как видите, Свальбард — подходящее название.

Мои обязательства в отношении будущего HIBP

Так что же это значит, если HIBP приобретёт другая компания? Честно говоря, я не знаю точно, как это будет выглядеть, поэтому позвольте просто откровенно поделиться своими мыслями на сегодняшний день, и есть несколько действительно важных моментов, которые я хочу подчеркнуть:

  1. Поиск для пользователей должен остаться бесплатным. Сервис приобрёл такой успех, потому что я гарантировал отсутствие всяких барьеров для людей, которые ищут свои данные. И я абсолютно точно хочу, чтобы так и осталось. Поэтому данный пункт идёт под номером 1.
  2. Я останусь частью HIBP. Я намерен стать частью сделки, то есть компания получит меня вместе с проектом. Бренд HIBP неразрывно связан с моим, и в настоящее время я должен остаться.
  3. Я хочу грамотно реализовать гораздо больше функций. Есть куча вещей, которые я хочу сделать с HIBP, и просто не мог сделать их самостоятельно. Это проект с огромным потенциалом за рамками уже достигнутого, и я намерен заняться этим.
  4. Я хочу охватить гораздо большую аудиторию, чем сейчас. Сейчас аудитория огромна, но всё равно это лишь крошечный кусочек пользователей, которые нуждаются в информировании об утечках их персональных данных.
  5. Для изменения потребительского поведения можно сделать гораздо больше. Автоматизированный угон аккаунтов (credential stuffing) — это огромная проблема прямо сейчас, и она существует только из-за повторного использования паролей. Я хочу, чтобы HIBP играл гораздо большую роль в изменении привычек, как люди управляют своими аккаунтами.
  6. Организации могут извлечь гораздо больше пользы из HIBP. Следуя предыдущему пункту, пользовательские сервисы могут намного лучше защитить своих клиентов от этой формы атаки, и данные из HIBP могут играть значительную роль (и некоторые организации уже пользуются такой возможностью).
  7. Должно быть больше открытости — и больше данных. Я уже упоминал, насколько обременительно ответственное раскрытие факта взлома, и Svalbard даёт возможность исправить это. Целая куча организаций не знают, что их взломали, просто потому, что у меня не было времени справиться со всем этим.

У меня есть чёткое понимание, какие конкретно организации могут помочь в этих пунктах. Есть также вторая группа, к которой я испытываю огромное уважение, но которые хуже оснащены, чтобы помочь в достижении этого. По мере развития процесса KPMG поможет более чётко определить, какие организации относятся к первой категории. Уверен, вы можете представить, что идут очень серьёзные дискуссии: как HIBP впишется в компанию, как они помогут мне достичь этих целей и является ли эта компания подходящей для такого ценного сервиса, как HIBP. У меня есть некоторые важные личные соображения, включая то, с кем мне комфортно работать, свободный график и, конечно, финансовая сторона. Буду честен — это в равной степени сложно и захватывающе.

Прежде чем опубликовать эту статью, я связался со всеми заинтересованными сторонами, которые могут иметь отношение к проекту Svalbard. Я объяснил свои мотивы и свой взгляд на будущее HIBP: что проект должен стать не только более надёжным, но и значительно усилить своё влияние на ситуацию с массовыми утечками данных. Это уже привело к некоторым действительно продуктивным дискуссиям с организациями, которые могли бы помочь HIBP оказать гораздо более позитивное влияние на отрасль. Был большой энтузиазм и поддержка этого процесса, что обнадёживает.

Вы можете спросить, почему не зарегистрировать коммерческую компанию и просто не нанять людей? Конечно, у меня была возможность финансирования компании либо самостоятельно, либо через различных венчурных капиталистов, которые стучались ко мне на протяжении многих лет. Но я так не сделал, потому что коммерческая компания значительно увеличивает мои обязанности, тогда как я нуждался в обратном. С этого дня я не смог бы просто уехать на неделю, а если бы попытался отключиться хоть на день, то постоянно беспокоился бы о том, что пропущу что-то важное. Со временем, создание компании может позволить мне расслабиться, но только после вложения значительного количества времени (и денег), а это не то, что нужно в данный момент.

Резюме

Я чрезвычайно взволнован потенциалом проекта Svalbard. В этих ранних обсуждениях с другими организациями я уже начинаю видеть, как появляются очертания лучшего управления всей экосистемой в области утечек данных. Представьте себе будущее, в котором я могу получать и обрабатывать гораздо больше данных, активно обращаться к пострадавшим организациям, помогать им в процессе решения инцидента, помогать пользователям, таким как вы и я, лучше понять происходящее (и что с этим делать) и, в конечном счёте, уменьшить вред от таких утечек для организаций и пользователей. И это идёт намного дальше, потому что после утечки можно сделать гораздо больше, особенно в борьбе с атаками вроде автоматического угона аккаунтов на высокой скорости, которую мы видим в эти дни. Я действительно доволен успехами HIBP, но пока это лишь верхушка айсберга.

Я принял это решение, когда у меня полный контроль над процессом. Я не нахожусь под каким-то давлением (кроме высокой рабочей нагрузки, конечно), и у меня есть время, чтобы поиск покупателя шёл своим чередом и нашёлся оптимальный кандидат для проекта. И как всегда было с HIBP, я продолжаю всё делать с полной прозрачностью, подробно описывая этот процесс здесь. Я действительно осознаю доверие пользователей и каждый день мне напоминают об ответственности, которая приходит с этим доверием.

HIBP менее шести лет, но это кульминация работы всей моей жизни. Я ещё живо помню начало 90-х, когда я впервые начал создавать программное обеспечение для интернета и мечтал создать что-то большое: «Разве не удивительно, что я сижу здесь дома и пишу код, который в один прекрасный день может оказать реальное влияние на весь мир?» У меня было несколько фальстартов и потребовалась комбинация факторов, чтобы HIBP стал тем, какой он есть сегодня, и это именно то, на что я надеялся. Проект Svalbard — осуществление этой мечты, и я чрезвычайно взволнован возможностями, которые появятся в результате.

Автор: m1rko

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js