- PVSM.RU - https://www.pvsm.ru -
В 2013 году я начал понимать, что утечки приватных данных становятся повсеместными. Действительно, такие случаи участились. И возросло влияние этих утечек на их жертв, включая меня. Всё чаще я писал в блоге на эту тему, которая казалась увлекательным сегментом индустрии инфобеза: как повторное использование паролей на Gawker и Twitter привело к массовому черничному спаму в твиттере [1], и о том, что пароли юзеров Sony Pictures оказались действительно настолько плохими, насколько можно было ожидать от этих людей [2], но чёрт побери, до сих пор шокирует видеть свой пароль в этой утёкшей базе. При этом 59% паролей из базы Sony совпадали с паролями от почтовых ящиков Yahoo [3].
Примерно в то время произошла утечка данных Adobe, и это заставило меня действительно заинтересоваться данным сегментом отрасли, не в последнюю очередь потому, что я был в той базе. Дважды. Самое главное, что она содержала 153 млн других людей. Это была исключительно массовая утечка, даже по сегодняшним стандартам. Всё это вместе — частота утечек, мой анализ баз и масштаб Adobe — заставили меня задуматься: интересно, сколько людей знают? Понимают ли они, что их данные ушли в открытый доступ? Понимают ли, сколько раз? И, возможно, самое главное: изменили ли они свой пароль (да, почти всегда единственный) в других службах, которые используют? И так родился проект Have I Been Pwned [4] (HIBP): поиск своих паролей в множестве утёкших баз.
Позвольте кратко рассказать о нынешних делах сервиса. В базе почти 8 млрд записей, на уведомления подписались почти 3 млн человек, я разослал людям 7 млн сообщений об утечке их данных, ещё 120 тыс. человек мониторят домены, они сделали 230 тыс. поисковых запросов и я отправил им по почте ещё 1,1 млн уведомлений. В нормальный день на сайте 150 тыс. уникальных посетителей, 10 млн в ненормальный день, еще пару миллионов хитов по API и 10 млн поисковых запросов. Но сейчас даже эти цифры превышаются:
Кстати, у сервиса есть коммерческие подписчики [9], которые зависят от HIBP. Это самые разные фирмы, которые информируют уже своих клиентов. И есть правительства по всему миру [10], использующие HIBP для защиты своих департаментов, правоохранительные органы [11], использующие его для своих расследований, и всевозможные другие способы использования [12], которые я никогда не видел и даже предположить не мог. И на сегодняшний день каждая строка кода, каждая конфигурация и каждый утёкший аккаунт обрабатываются лично мной. Нет никакой «команды HIBP», есть один парень, который держит всё это на плаву.
Когда мне нужна была инфографика, чтобы объяснить архитектуру, я сел и всё сделал сам [18]. Я сам нашёл исходник каждого логотипа взломанной компании, обрезал его, изменил размер и оптимизировал. Каждый раз, когда я раскрывал информацию о взломе компании, которая не знала об этом, приходилось разгребать такую кучу проблем, и этим занимался тоже я (поверьте, это занимает очень много времени и оказалось главным узким местом и главным препятствием для загрузки новых данных). Каждое интервью в СМИ, каждая просьба о поддержке и, честно говоря, почти всё, что вы могли бы себе представить, было сделано только одним человеком в свободное время. Это не просто проблемы с нагрузкой; я всё больше осознавал тот факт, что я стал единственной точкой отказа. И это нужно изменить.
Это было долгое вступление, но я хотел описать ситуацию, чтобы логично перейти к сути: HIBP пришло время взрослеть. Пришло время перейти от одного парня, делающего то, что он может, в своё свободное время, к более обеспеченной ресурсами и лучше финансируемой структуре, которая способна сделать намного больше, чем я когда-либо мог самостоятельно. Чтобы лучше понять, почему я пишу это сейчас, позвольте поделиться изображением с Google Analytics:
График отображает 12 месяцев до 18 января этого года, а всплеск соответствует загрузке учётных записей из Collection #1 [19]. Это также соответствует дню, когда я отправился в Европу на пару недель «обычных деловых» конференций, которым предшествовали несколько дней общения с моим 9-летним сыном и хорошими друзьями в деревянной хижине посреди норвежских снегов. Я подвергся беспрецедентной бомбардировке электронными письмами, твитами, телефонными звонками по всем мыслимым каналам из-за огромного внимания, которое HIBP получал по всему миру. А я выключал все гаджеты, сидя у маленького камина, наслаждаясь напитками и хорошей беседой. В этот момент я понял, что очень близок к выгоранию. Я вполне уверен, что ещё не выгорел, но также осознал, что могу увидеть этот момент в не слишком отдалённом будущем, если не сделаю некоторые важные изменения в своей жизни (я хотел бы поговорить об этом в будущем, поскольку здесь некоторые довольно важные уроки, но сейчас хочу установить контекст в отношении времени и рассказать, что произойдёт дальше). Всё это происходило в то же самое время, когда я путешествовал по миру, выступал на мероприятиях, проводил семинары и делал миллион других вещей, чтобы жизнь шла своим чередом.
Если быть абсолютно честным, это был чрезвычайно напряжённый год. Дополнительное внимание, которое HIBP начал получать в январе, никогда не возвращалось к уровню 2018 года, оно просто продолжало расти и расти. Я внёс различные изменения, чтобы приспособиться к рабочей нагрузке. Возможно, одним из самых очевидных является массовое снижение участия в социальных сетях, особенно в твиттере:
До декабря прошлого года я твитил в среднем 1141 раз в месяц (по какой-то причине функция экспорта не включила май и июнь 2017 года и только половину июля, поэтому я опустил эти месяцы на графике). С февраля по май этого года число снизилось до 315, то есть с января я отказался от социальных сетей на 72%. Это может показаться несерьёзным фактом, но это существенное число, которое напрямую связано с влиянием на мою жизнь внимания к HIBP. То же самое, если вы посмотрите на статистику постов в блоге. Я религиозно публиковал еженедельные видео, но мне пришлось сократить все другие технические сообщения, которые я так любил писать в последнее десятилетие.
Когда я вернулся из этой поездки, у меня произошли случайные разговоры с несколькими организациями, которые, как я думал, могут быть заинтересованы в покупке HIBP. Это были беседы в комфортной обстановке со знакомыми людьми, так что ситуация не вызывала никакого стресса. Это не первый раз, когда у меня были подобные дискуссии — я уже делал такое несколько раз, когда организации обращались и спрашивали, каков мой интерес к продаже, — но это был первый раз с тех пор, как накладные расходы на управление сервисом вышли за рамки графиков. Был большой неподдельный энтузиазм, но я быстро понял, что когда дело доходит до дискуссий такого рода, здесь я полный профан. Конечно, я могу обрабатывать миллиарды взломанных записей и в одиночку запускать онлайн-сервисы, которые используются сотнями миллионов людей, но здесь совершенно другая игра. Пришло время позвать на помощь.
Ещё в апреле во время обычного разговора с людьми из KPMG о некоторых обычных финансовых вещах (я регулярно встречался с консультантами, поскольку моё собственное финансовое состояние стало более сложным [20]), они предложили поговорить с их сотрудниками отделения по слияниям и поглощениям (M&A) о поиске нового дома для HIBP. Мне было удобно это сделать: у нас длительные отношения, и они разбираются не только в сути HIBP, но и в других чувствительных вещах, которыми я постоянно занимаюсь в онлайне. Это было лёгким решением: мне нужна была помощь, а у них есть правильный опыт и правильная экспертиза.
Встречаясь с этими людьми, быстро стало ясно, какая поддержка мне действительно нужна. Главное, что я понял — я никогда не тратил время на то, чтобы отступить и посмотреть, что на самом деле делает HIBP. Это может показаться странным, но поскольку проект вырос органически за эти годы, и я построил его в ответ на комбинацию насущных потребностей, я не нашёл времени отступить и целостно посмотреть на всё это. И у меня не было достаточно времени, чтобы посмотреть, что он может сделать. Позже я вернусь к этой теме — как много возможностей сделать гораздо больше, и мне действительно нужна поддержка людей, которые разбираются в бизнесе.
Одной из первых задач было придумать название проекта для продажи: видимо, так делаются дела. Было много ужасно китчевых вариантов и многих других, которые опирались на модные словечки инфобеза, а затем у меня возникла мысль: помните это массивное хранилище семян за Полярным кругом? Я видел ссылки на него раньше, и идея огромного хранилища, хранящего что-то ценное для помощи человечеству, начала действительно резонировать. Оказывается, это место называется Svalbard [21] (Всемирное семенохранилище на Шпицбергене) и выглядит так:
Также выяснилось, что оно находится в Норвегии, и всё это вместе стало звучать как подобающее название, начиная с очевидной аналогии хранения огромного количества «юнитов». Есть классное видео, снятое несколько лет назад [22], в котором говорится о том, что ёмкость Всемирного хранилища составляет около миллиарда семян — не так много записей, как в HIBP, но вы понимаете идею. Значит, есть имя: оно немного странное. «Свальбард» трудно произносится для тех, кто не знаком с этим словом (хотя это видео помогает [23]), прямо как… pwned. И наконец, Норвегия имеет большое значение для меня: почти пять лет назад там состоялось моё первое зарубежное выступление [24]. Я говорил перед переполненным залом, а когда аудитория вышла, каждый из них бросил в коробку зелёную рейтинговую карточку.
Это был поворотный момент в моей карьере. В январе этого года я опять был в Норвегии, когда HIBP буквально сошёл с ума, как вы видели на предыдущем графике. Именно там, в маленькой бревенчатой хижине посреди снегов, я понял, что HIBP пора взрослеть. И по чистому совпадению, сегодня я публикую эту статью опять из Норвегии, шестой год подряд приехав на NDC Oslo. Как видите, Свальбард — подходящее название.
Так что же это значит, если HIBP приобретёт другая компания? Честно говоря, я не знаю точно, как это будет выглядеть, поэтому позвольте просто откровенно поделиться своими мыслями на сегодняшний день, и есть несколько действительно важных моментов, которые я хочу подчеркнуть:
У меня есть чёткое понимание, какие конкретно организации могут помочь в этих пунктах. Есть также вторая группа, к которой я испытываю огромное уважение, но которые хуже оснащены, чтобы помочь в достижении этого. По мере развития процесса KPMG поможет более чётко определить, какие организации относятся к первой категории. Уверен, вы можете представить, что идут очень серьёзные дискуссии: как HIBP впишется в компанию, как они помогут мне достичь этих целей и является ли эта компания подходящей для такого ценного сервиса, как HIBP. У меня есть некоторые важные личные соображения, включая то, с кем мне комфортно работать, свободный график и, конечно, финансовая сторона. Буду честен — это в равной степени сложно и захватывающе.
Прежде чем опубликовать эту статью, я связался со всеми заинтересованными сторонами, которые могут иметь отношение к проекту Svalbard. Я объяснил свои мотивы и свой взгляд на будущее HIBP: что проект должен стать не только более надёжным, но и значительно усилить своё влияние на ситуацию с массовыми утечками данных. Это уже привело к некоторым действительно продуктивным дискуссиям с организациями, которые могли бы помочь HIBP оказать гораздо более позитивное влияние на отрасль. Был большой энтузиазм и поддержка этого процесса, что обнадёживает.
Вы можете спросить, почему не зарегистрировать коммерческую компанию и просто не нанять людей? Конечно, у меня была возможность финансирования компании либо самостоятельно, либо через различных венчурных капиталистов, которые стучались ко мне на протяжении многих лет. Но я так не сделал, потому что коммерческая компания значительно увеличивает мои обязанности, тогда как я нуждался в обратном. С этого дня я не смог бы просто уехать на неделю, а если бы попытался отключиться хоть на день, то постоянно беспокоился бы о том, что пропущу что-то важное. Со временем, создание компании может позволить мне расслабиться, но только после вложения значительного количества времени (и денег), а это не то, что нужно в данный момент.
Я чрезвычайно взволнован потенциалом проекта Svalbard. В этих ранних обсуждениях с другими организациями я уже начинаю видеть, как появляются очертания лучшего управления всей экосистемой в области утечек данных. Представьте себе будущее, в котором я могу получать и обрабатывать гораздо больше данных, активно обращаться к пострадавшим организациям, помогать им в процессе решения инцидента, помогать пользователям, таким как вы и я, лучше понять происходящее (и что с этим делать) и, в конечном счёте, уменьшить вред от таких утечек для организаций и пользователей. И это идёт намного дальше, потому что после утечки можно сделать гораздо больше, особенно в борьбе с атаками вроде автоматического угона аккаунтов на высокой скорости, которую мы видим в эти дни. Я действительно доволен успехами HIBP, но пока это лишь верхушка айсберга.
Я принял это решение, когда у меня полный контроль над процессом. Я не нахожусь под каким-то давлением (кроме высокой рабочей нагрузки, конечно), и у меня есть время, чтобы поиск покупателя шёл своим чередом и нашёлся оптимальный кандидат для проекта. И как всегда было с HIBP, я продолжаю всё делать с полной прозрачностью, подробно описывая этот процесс здесь. Я действительно осознаю доверие пользователей и каждый день мне напоминают об ответственности, которая приходит с этим доверием.
HIBP менее шести лет, но это кульминация работы всей моей жизни. Я ещё живо помню начало 90-х, когда я впервые начал создавать программное обеспечение для интернета и мечтал создать что-то большое: «Разве не удивительно, что я сижу здесь дома и пишу код, который в один прекрасный день может оказать реальное влияние на весь мир?» У меня было несколько фальстартов и потребовалась комбинация факторов, чтобы HIBP стал тем, какой он есть сегодня, и это именно то, на что я надеялся. Проект Svalbard — осуществление этой мечты, и я чрезвычайно взволнован возможностями, которые появятся в результате.
Автор: m1rko
Источник [30]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/321364
Ссылки в тексте:
[1] повторное использование паролей на Gawker и Twitter привело к массовому черничному спаму в твиттере: https://www.troyhunt.com/why-your-apps-security-design-could/
[2] пароли юзеров Sony Pictures оказались действительно настолько плохими, насколько можно было ожидать от этих людей: https://www.troyhunt.com/brief-sony-password-analysis/
[3] 59% паролей из базы Sony совпадали с паролями от почтовых ящиков Yahoo: https://www.troyhunt.com/what-do-sony-and-yahoo-have-in-common/
[4] Have I Been Pwned: https://haveibeenpwned.com/
[5] @haveibeenpwned: https://twitter.com/haveibeenpwned?ref_src=twsrc%5Etfw
[6] @IcyApril: https://twitter.com/IcyApril?ref_src=twsrc%5Etfw
[7] pic.twitter.com/ZLi61e8qbY: https://t.co/ZLi61e8qbY
[8] May 24, 2019: https://twitter.com/troyhunt/status/1131881858252152834?ref_src=twsrc%5Etfw
[9] коммерческие подписчики: https://www.troyhunt.com/have-i-been-pwned-goes-little-bit/
[10] правительства по всему миру: https://www.troyhunt.com/the-uk-and-australian-governments-are-now-monitoring-their-gov-domains-on-have-i-been-pwned/
[11] правоохранительные органы: https://www.troyhunt.com/data-provided-by-the-estonian-central-criminal-police-is-now-searchable-on-have-i-been-pwned/
[12] другие способы использования: https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/
[13] April 5, 2019: https://twitter.com/FlashdriveGord1/status/1114190940158091265?ref_src=twsrc%5Etfw
[14] @disqus: https://twitter.com/disqus?ref_src=twsrc%5Etfw
[15] #totallyawesome: https://twitter.com/hashtag/totallyawesome?src=hash&ref_src=twsrc%5Etfw
[16] October 10, 2017: https://twitter.com/WilliamCaraher/status/917792131191857158?ref_src=twsrc%5Etfw
[17] July 28, 2018: https://twitter.com/BruvPeace/status/1023327439089426432?ref_src=twsrc%5Etfw
[18] сел и всё сделал сам: https://www.troyhunt.com/applied-azure-infographic-of-how-have-i/
[19] загрузке учётных записей из Collection #1: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
[20] моё собственное финансовое состояние стало более сложным: https://www.troyhunt.com/10-personal-finance-lessons-for-technology-professionals/
[21] это место называется Svalbard: https://en.wikipedia.org/wiki/Svalbard_Global_Seed_Vault
[22] классное видео, снятое несколько лет назад: https://www.youtube.com/watch?v=2_OEsf-1qgY
[23] это видео помогает: https://www.youtube.com/watch?v=NrxlVylQ-dE
[24] первое зарубежное выступление: https://vimeo.com/97530814
[25] @troyhunt: https://twitter.com/troyhunt?ref_src=twsrc%5Etfw
[26] #ndcoslo: https://twitter.com/hashtag/ndcoslo?src=hash&ref_src=twsrc%5Etfw
[27] pic.twitter.com/tNx48Pe6sE: http://t.co/tNx48Pe6sE
[28] June 6, 2014: https://twitter.com/webtonull/status/474900592822071297?ref_src=twsrc%5Etfw
[29] credential stuffing: https://en.wikipedia.org/wiki/Credential_stuffing
[30] Источник: https://habr.com/ru/post/456796/?utm_campaign=456796&utm_source=habrahabr&utm_medium=rss
Нажмите здесь для печати.