Contul tău de Yahoo Mail ar putea să devină mai sigur ca ăla de Gmail

Alex Stamos pozând în fața unui panou cu logoul clasic Yahoo la sediul central al companiei din San Francisco. (Foto: Lorenzo Franceschi-Bicchierai/Motherboard)

Este o dimineață însorită de sâmbătă după o săptămână de conferința RSA, convenția anuală de criptografie, probabil cea mai mare conferință din lume privind securitatea computerelor. Un grup restrâns de hackeri obosiți și mahmuri după conferință, profesioniști în securitatea informațiilor și activiști s-au adunat la noul sediul Yahoo din San Francisco, în apropierea South of Market, sau SoMa, un cartier rapid gentrificat și la modă, plin de start-up-uri tehnice.

Alex Stamos, omul care de mai bine de un an este responsabil de securizarea Yahoo, acel gigant al internetului uitat câteodată care se laudă ca are mai mult de un miliard de utilizatori, a deschis porțile companiei pentru un eveniment numit „Neconferința Încrederii”. Acest eveniment a fost parțial inspirat de un alt eveniment de o zi la organizarea căruia a participat anul trecut, când câteva celebrități din domeniu care trebuiau să țină discursuri la conferința RSA s-au retras după ce au avut revelația explozivă ca NSA (Agenția Națională de Securitate) se pare că a plătit companiei RSA zece milioane de dolari pentru a apăra unul dintre produsele lor populare de securitate.

Videos by VICE

Pentru mulți, acesta a fost un moment de răscruce în istoria industriei securității: o companie uriașă și foarte respectată a fost cu succes mituită pentru a ușura viața NSA-ului, în detrimentul tuturor utilizatorilor și clienților.

În fața a aproximativ două sute de oameni, Stamos și-a băgat mâinile în buzunare. Apoi a început să se clatine de pe un picior pe altul, probabil încurcat de ceea ce avea de gând să zică.

„Nu sunt deloc fericit de nivelul în care suntem ca industrie”, a spus el cu o expresie aspră pe față. „Ne concentrăm doar pe 1%”, a adăugat el, referindu-se la numărul mic de companii care își permit să investească în produse și echipe de securitate cibernetică, și minoritatea utilizatorilor de internet care sunt destul de educați cât să știe ce să facă pentru a avea mai multă siguranță în mediul online.

Și asta, conform lui Stamos, nu se va schimba pe măsură ce internetul racolează miliarde de noi utilizatori în expansiunea sa mondială din țările în curs de dezvoltare.

În esență, problema este că internetul nu este sigur pentru utilizatorii zilnici, așa cum țin să ne reamintească aproape în fiecare săptămână seriile interminabile de atacuri și breșe asupra unor site-uri de la eBay la AdultFriendFinder. Probabil că Mikko Hypponen, un renumit expert în securitate, a spus-o cel mai bine când a zis că „internetul este în flăcări. ”

Însă toată lumea poartă o parte din vină. Utilizatorii încă folosesc parole tâmpite și accesează linkuri de la persoane pe care nu le cunosc, ceea ce le face hackerilor amatori, cunoscuți drept copilașii criptărilor, viața foarte ușoară. Însă, pentru Stamos, industria securității informației, sau securității cibernetice poartă cea mai mare parte din vină pentru „eșecul” suferit față de clienții săi.

„Marea majoritate a utilizatorilor zilnici de internet nu sunt în siguranță”, mi-a spus Stamos cu o zi înainte de Neconferință, într-o conversație pe care am purtat-o la noul sediu Yahoo din SoMa. „Singurul lucru care îi ține în siguranță este faptul că nu-i atacă nimeni în acel moment.”

Citește și Unul din creatorii Wikipedia îți explică de ce merge prost cel mai celebru site informativ din lume

Însă, dacă îl ia vreun hacker în vizor, atunci utilizatorul este terminat.

Însă Stamos consideră că cel mai rău lucru este acela că industria știe totul despre asta. Ei „știu că totul a sărit în aer,” spune el, „însă se mulțumesc cu faptul că RSA le vinde mici extinctoare care nu fac altceva decât să aplaneze mici focare punctuale.”

***

În data de 3 martie 2014, căsuța de Yahoo mail a lui Keith Arnold, după spusele lui, a început „să o ia razna.”

Arnold, un scriitor și producător din Manhattan Beach, California, a început să primească „zeci și zeci” de mailuri de la conturi de mail inactive. Acela a fost momentul când și-a dat seama că de pe contul lui de Yahoo se trimiteau tone de spam către toate adresele de mail din agenda sa. Contul său de mail fusese spart.

A fost „un coșmar”, a declarat el și i-a luat ore întregi să-și curețe contul. Apoi, deși își schimbase parola, și activase autentificarea în doi pași, contul său a continuat să trimită spam timp de câteva luni. De fapt, încă o mai face.

„Prietenii mei chiar au o glumă internă”, îmi spune Arnold, după ce mi-a arătat un spam mail trimis recent de pe contul lui pe care acum îl folosește rareori. „Dacă cineva face ceva nasol, atunci dau vina pe contul meu de Yahoo.”

Citește și Unul dintre fondatorii The Pirate Bay mi-a spus că site-ul e de rahat

De aceea a trecut la Gmail.

„Între asta și statutul mai puțin hip de a folosi Yahoo în continuare, a fost o decizie pe care am luat-o împotriva voinței mele”, a spus el.

Experiența lui nu a fost unică. La începutul anului 2014 multe conturi de Yahoo au fost compromise de hackeri neidentificați care au furat datele de acces de la o bază de date terță. (Un purtător de cuvânt de la Yahoo a refuzat să comenteze ce s-a întâmplat exact, în schimb m-a trimis să citesc un post pe care compania îl publicase la vremea respectivă pe blogul lor.) Cu un an înainte, într-o serie similară de incidente, au fost sparte conturile de mail a câtorva utilizatori de Yahoo.

Toate acestea s-au petrecut sub supravegherea echipei de securitate Yahoo, care era cunoscută intern de ceva vreme drept „Paranoicii.” În ultimii ani se pare că nu au fost destul de paranoici.

Citește și Noua armată de hackeri a Marii Britanii ar putea schimba cursul războiului cibernetic

Gigantul internetului, care deține și Tumblr și Flickr, s-a confruntat cu o serie de probleme de securitate la nivel înalt, cum ar fi cele care l-au afectat pe Arnold și multe altele; un plan de reciclare a adreselor nefolosite de mail pe care un renumit expert în securitate l-a numit idiot; și un alt incident în care hackerii au trimis malware de pe Yahoo.com, compromițând astfel serverele companiei.

De asemenea, timp de ani de zile Yahoo nu a criptat conexiunile dintre utilizatorii de Yahoo mail și serverele companiei folosind HTTPS, care protejează datele schimbate între utilizator și provider. Compania nu a trecut la HTTPS implicite până la începutul anului 2014 (deși o oferiseră ca opțiune cu un an mai devreme după ce au fost presați de apărători ai spațiului privat), la patru ani după ce Google deja adoptase acest lucru.

„Sistemul lor de mail era complet acaparat”, conform lui Nico Sell, fondatorul aplicației de mesagerie privată Wickr și organizator al Def Con, una dintre cele mai faimoase conferințe despre hacking din lume.

Și toate astea se întâmplau înainte ca documentele publicate de Edward Snowden să dezvăluie faptul că NSA putea să acceseze direct linkurile neprotejate dintre centrele de date Yahoo pentru a le spiona utilizatorii. (Agenția a profitat de aceeași lipsă de encriptare pentru a spiona și centrele de date Google.)

Alex Stamos depune mărturie în fața Comitetului de Securitate Domestică din Senatul Statelor Unite într-o audiere privind securitatea și spațiul privat al consumatorului, din data de 15 mai 2014, în Washington, DC. (Foto: Win McNamee/Getty Images)

Stamos a fost numit în funcția de Șef al Departamentului de Securitate a Informației de la Yahoo, sau pe scurt CISO, pentru a stinge toate aceste focare. De la cârma „Paranoicilor”, Stamos a angajat o echipa de hackeri care atacau produsele și rețelele Yahoo pentru a găsi defecte de reparat, prin simularea de scenarii reale, și astfel a încercat să facă parolele învechite.

De asemenea, a avut o contribuție la tușele finale ale răspunsului pe care Yahoo l-a dat dezvăluirilor lui Snowden, atunci când compania și-a mărit eforturile de criptare, facând căutările și mailul mai sigure prin implementarea într-un final a criptărilor HTTPS implicite pe pagina Yahoo, cât și pentru serviciul lor de mail. De asemenea compania a criptat și linkurile centrului său de date și este în proces de criptare a celorlalte siteuri adiacente.

Țelurile lui sunt ambițioase, însă Stamos deja și-a făcut simțită prezența, conform lui Stefano Zanero, lector la Universitatea Politehnica din Milano și membru al comitetului de organizare a conferinței despre securitate Black Hat. De la angajarea lui Stamos, Yahoo a privit problema securității cu mai multă seriozitate, ceea ce a fost benefic pentru tot internetul, nu numai pentru utilizatorii Yahoo.

„Când unul dintre giganții internetului își schimbă atitudinea față de securitatea lui, are un impact pozitiv imens asupra comunității”, mi-a spus Zanero. „Securitatea nu este doar o problemă specifică a unei companii sau a unui utilizator final, e mai degrabă o problemă de igienă.”

„Cu cât companiilor și utilizatorilor le pasă mai mult de propria securitate”, a adăugat el, „cu atât mai mult internetul devine mai sigur pentru toată lumea.”

***

Când avea doar șapte ani, Stamos a primit de la părinții săi un Commodore 64 și un modem. Erau vremurile de început ale internetului, înainte de a apărea World Wide Web. În acele timpuri copiii ca el aflau despre primele siteuri de chat cunoscute drept BBS (buletin board systems) din reclamele apărute în ziarul local din Sacramento, orașul în care s-a născut Stamos.

Tocilar adolescent, Stamos juca jocuri pe computer BBS bazate pe text și curând a început să devină hacker.

„Totul era destul de inofensiv”, a spus el, zâmbind.

Securitatea acelor sisteme de chat era aproape inexistentă, a spus Stamos, și oamenii puteau acapara foarte ușor canalele de chat, puteau posta mesaje drept altcineva sau chiar să-i dea afară pe jucătorii de jocuri role-playing bazate pe text, fiind cunoscuți drept Multi-User Dungeons. Stamos era atras în mod natural de aceste jocuri de hackereală, pentru că voia să știe exact cum funcționau, ceea ce, spunea el, este instinctul de bază al oricărui hacker.

Când avea 17 ani, Stamos a fost, împreună cu tatăl său, pentru prima oara la convenția Def Con, unde, peste ani, va participa ca invitat, să vorbească despre cercetările lui.

Acesta ar fi putut fi un punct de cotitură în viața lui. Înainte de a merge la facultate, Stamos a primit o scrisoare de la NSA. Agenția de securitate i-a oferit o bursă, care i-ar fi conferit cursuri gratuite în schimbul petrecerii fiecărei veri la sediul NSA din Fort Meade, și apoi să lucreze pentru agenție pentru cel puțin patru ani după absolvire, conform lui Stamos.

Citește și Cineva te poate urmări chiar acum, pe camera laptopului

Stamos, care acum are 36 de ani, a refuzat oferta, deoarece, spunea el, nu avea nevoie de ea și ar fi fost o responsabilitate prea mare pentru un puști de 17 ani. Așa că, în schimb, a acceptat o bursă la Berkeley și a studiat sub îndrumarea lui Dave Patterson, un renumit cercetător intr-ale computerelor.

După absolvire a intrat în industria securizării, concentrându-se asupra cercetării atacurilor, a încercat să pătrundă în această lume și să învețe companiile cum să repare aceste breșe. În 2004, pe când avea 25 de ani, a devenit co-fondator al iSEC Partners, care a devenit sub conducerea lui o firmă recunoscută și respectată de consultanță în domeniul securității.

După ce compania British IT services a cumpărat iSEC, Stamos a înființat Artemis Internet, un alt start-up pe probleme de securitate, a cărui misiune era să construiască un internet „demn de încredere”, ceva ce aduce aminte de ceea ce încearcă să facă în zilele noastre la Yahoo.

Cât timp a activat la Artemis, Stamos a încercat să se axeze pe două noi domenii de vârf, .SECURE și .TRUST. A fost una din primele lui tentative de a face internetul mai sigur pentru toată lumea. Ideea era ca Artemis să se ocupe de aceste două domenii și să le permită să acceseze numai siteuri care aveau cele mai bune securizări.

Alex Stamos vorbește la conferința TrustyCon pe 27 februarie 2014 la San Francisco. (Foto: Dave Maass/Flick)

În ciuda lungii sale cariere în industrie, Stamos a fost o alegere neobișnuită pentru Yahoo. Atunci când Max Levchin, un antreprenor binecunoscut din Silicon Valley, care face parte și din conducerea Yahoo, i-a sugerat să aplice pentru job, însuși Stamos a considerat ca fiind „o idee nebună.”

Din cauză că „e foarte tehnic”, Stamos este „puțin anormal” în funcția de CISO, conform spuselor lui Ramses Martinez, Senior Director al echipei de securitate Yahoo.

În cele din urmă Stamos a acceptat jobul pentru că și-a dat seama că și-a petrecut întreaga carieră sfătuind alte companii cum să abordeze lucrurile diferit. Acum, spune el, avea șansa să facă lucrurile altfel și să facă utilizarea zilnică a internetului mai sigură pentru „o grămadă de oameni normali.”

Pentru că este un paranoic și un expert în securitatea datelor extrem de respectat (toți angajații departamentului de securitate de la Yahoo cu care am vorbit au scos în evidență cunoștințele sale tehnice ca fiind cea mai impresionanta caracteristică a lui), Stamos este foarte cu picioarele pe pământ și are un umor sec. Când l-am întrebat de criptarea pluginului de mail end-to-end, pe care compania îl dezvoltă acum folosind, parțial, un cod scris inițial de Google, Stamos mi-a tăiat-o din scurt.

„Asigură-te că le dai lor creditele”, a zis el, înainte să ia o scurtă pauză. „Pentru că, știi tu, un pui de focă moare ori de câte ori ne asumăm creditul pentru asta.”

În orice caz, acel plugin nu este o glumă. Stamos l-a anunțat într-una din primele lui apariții publice ca Paranoic Șef, în timpul unei discuții la conferința despre securitate informatică Black Hat de anul trecut.

Scopul era să facă un plugin ușor de folosit pentru browser care le va permite utilizatorilor să trimită mailuri end-to-end criptate. Criptarea end-to-end în mailuri nu este ceva nou – tehnologia care stă în spatele ei e veche de peste 20 de ani – dar nu a devenit niciodată populară din cauza curbei abrupte de învățare a modului de folosire. Pe de altă parte, plugin-ul Yahoo, pare aproape prea ușor de folosit.

Stamos a angajat-o pe Yan Zhu pentru a lucra la acest proiect. Yan Zhu este dezvoltator și a activat anterior la grupul pentru drepturi digitale Electronic Frontier Foundation, unde a lucrat la alte proiecte privind intimitatea informatică cum ar fi HTTPS Everywhere și Privacy Badger.

Probabil că și ea a fost o alegere neobișnuită pentru Yahoo, dat fiind că până atunci lucrase pentru organizații nonprofit și activiste. Însă, la fel ca Stamos, nu a putut să rateze această șansă.

Având în vedere câți utilizatori de mail are Yahoo (un purtător de cuvânt mi-a spus că numărul utilizatorilor activi este de 225 milioane lunar), „să lansezi o criptare de mail pentru toți aceștia creează potențialul unui impact uriaș”, mi-a spus Zhu după ce mi-a explicat cum funcționează plugin-ul.

Zhu a fost prima angajată în echipa care acum numără în jur de 12 dezvoltatori. Scopul lor este, după cum a spus Stamos, să construiască „o criptare de mail care să poată fi folosită de oricine care utilizează Yahoo mail.” Cu alte cuvinte, să producă criptare pentru mase. Nu e doar o reacție la dezvăluirile lui Snowden, e doar o cale de a face conversațiile zilnice mult mai sigure decât sunt acum.

În ciuda adoptării de HTTPS de către marii furnizorilor de mail, explică Zhu, odată ce mailurile părăsesc serverele unui furnizor pentru a merge către alt server, adesea ele sunt necriptate, ceea ce le face vulnerabile în fața băgăcioșilor și hackerilor.

Plugin-ul este deja folosit intern la Yahoo, iar compania plănuiește să-l lanseze pe piață până la sfârșitul anului. Inițial va funcționa doar între utilizatorii Yahoo, însă în momentul în care si Google va lansa propriul plugin, ele vor fi compatibile. Acest lucru le va permite utilizatorilor de Yahoo Mail cât și celor de Gmail un mod ușor, lipsit de stres, de a-și trimite de la unul la altul mailuri încrucișate.

Din punct de vedere tehnic, cea mai mare parte a problemelor de securitate pe internet din zilele noastre sunt problemele cele mai simple.

A doua provocare la Yahoo este aceea de a omorî parolele cu un serviciu “la cerere” care permite utilizatorilor să se conecteze cu un cod unic pe care Yahoo îl trimite pe telefonul utilizatorului. Pentru moment codul este trimis printr-un mesaj text, însă într-un final își doresc să dezvolte o aplicație instant, pentru a putea cripta conexiunea și a se asigura că codul de înlocuire a parolei nu este interceptat în timp ce călătorește pe internet. Stamos speră ca în câțova ani „nimeni să nu mai aibă parole pe Yahoo. ”

Rămâne de văzut dacă aceste proiecte vor avea succes.

„Din punct de vedere tehnic, cea mai mare parte a problemelor de securitate de pe internet din zilele noastre sunt problemele foarte simple”, spune Zanero. „Însă încă e greu de găsit o manieră de soluționare transparentă și cu largă aplicabilitate.”

Să luăm în considerare parolele. Parola a fost declarată moartă de câțiva ani de zile și totuși încă o folosim cu toții. „Parola se aseamănă foarte mult cu Dracula, pur și simplu nu poate să stea moartă”, glumește Zanero. „Se ridică din morți, se întoarce și te mușcă. ”

***

Într-o dimineață friguroasă de februarie Stamos nu era mulțumit cu răspunsul pe care Mike Rogers, șeful NSA, tocmai i-l dăduse la un eveniment din Washinghton, DC. Deși Rogers glumise la începutul discuției că a venit acolo ca să fie „ars pe rug”, pentru mai mult de jumătate de oră s-a întâmplat orice mai puțin asta.

La un moment dat însă cineva l-a întrebat pe Rogers despre dezbaterea pe tema criptării care era un subiect fierbinte la Washington pentru mai bine de șase luni, de când Apple și Google au anunțat că au de gând să schimbe securitatea telefoanelor lor astfel încât utilizatorii să aibă acces la datele stocate, care nu ar fi fost accesibile nici măcar pentru companiile care au fabricat aparatele.

Rogers a declarat că împărtășește îngrijorarea directorului FBI James Comey, care a fost cel mai acerb critic ale noilor planuri de criptare de la Apple și Google, care, după spusele sale, vor duce țara „într-o zonă întunecată” în care autoritățile nu pot accesa dovezi digitale când e vorba de vieți omenești în pericol.

După spusele lui Rogers problema e mai degrabă la nivelul apărătorilor intimității digitale, pentru care „ori criptăm tot, ori nu criptăm nimic.” Însă ar trebui să existe o cale de mijloc, un compromis.

Citește și Urmașii lui George Orwell vor să-ți interzică să mai folosești numărul „1984″

Criticii planului nebulos al FBI, care includ și experți în criptografie, spun că nu există nicio cale de a crea o modalitate pentru guvernul SUA să rezolve problema criptării fără să creeze o portiță care poate fi exploatată de alții, fie ei hackeri sau spioni cibernetici din China sau Rusia.

După ce a auzit asta, Stamos, care e o voce puternică pe multe teme controversate (o privire rapidă pe contul său de Twitter ne va arăta că de cele mai multe ori îl mănâncă limba), a ridicat mâna și și-a așteptat rândul.

„Cărora dintre aceste țări ar trebui să le lăsăm o portiță?”, a întrebat Stamos pe un ton sumbru, deși în mod normal are o atitudine blândă și un râs contagios.

Rogers i-a evitat întrebările. „Putem să rezolvăm asta”, a repetat de două ori Rogers.

„În regulă, mi-a părut bine să vă cunosc”, a spus Stamos înainte de a se așeza. „Mulțumesc.”

Atunci când a fost întrebat ce i-ar spune lui Comey, dacă ar veni vreodată și s-ar plânge de plugin-ul de criptare Yahoo, Stamos s-a lăsat pe spate și, fără ezitare, i-a transmis că i-ar spune că criptarea este o unealtă importantă pentru a asigura securitatea oamenilor pe internet și că asta se poate face în multe feluri. Cu alte cuvinte, fără compromisuri.

„Dacă deschidem ușa chiar și un milimetru, probabil că alte țări o vor da cu piciorul de perete ca să intre”, a declarat Stamos. „Odată ce ai permis asta unei țări, totul devine o negociere despre cât de departe vei merge pentru celelalte țări. ”

Un purtător de cuvânt s-a opus comentariui și a spus „nu putem comenta în ceea ce privește anumite companii, produse sau servicii.”

Schimbul de replici politicos și totuși tensionat dintre Stamos și Rogers, punctat de râsete nervoase din partea publicului, a fost prima mare confruntare între un nume mare din Silicon Valley care s-a confruntat cu guvernul SUA pe tema criptării, la aproape doi ani de când documentele lui Snowden au început să facă lumină asupra nenumăratelor tentative ale NSA de a le submina și scăpa basma curată. Și a mai fost un angajat Yahoo, o companie care a început cumva, încet, încet, să piardă de relevanță, care a făcut publice îngrijorările celor Silicon Valley, cu câteva săptămâni înainte ca toate marile companii să trimită o scrisoare pe această problemă președintelui Obama.

În orice caz, în ultimii ani, nu numai NSA a subminat securitatea internetului. Spionii chinezi au folosit milioane de cetațeni cibernetici nevinovați pentru a ataca companiile americane și nenumărate guverne profită de puterea lor de control asupra rețelelor pentru a le monitoriza sau controla.

„E un moment istoric”, a declarat Stamos la Black hat anul trecut și a făcut un apel, atât către hackeri cât și către profesioniștii în securitatea cibernetică, să ducă lupta cea dreaptă, „în care oamenii din profesia noastră au capacitatea de a schimba dacă internetul va fi sau nu centrul libertății personale și a libertății de expresie și a democratizării, cum am crezut întotdeauna ca va fi, sau dacă se va transforma într-un instrument de opresiune, cenzură și monitorizare atât de către guvernele democratice cât și nedemocratice.”

Stamos încearcă să-și facă partea lui la Yahoo, unde schimbările pe care le face în produsele companiei afectează milioane de oameni din toată lumea „ca o năpastă mlăștinoasă”, așa cum mi-a spus Sell, organizator Def Con.

Dacă vor avea succes, parolele si mailurile criptate, ar putea reprezenta începutul. Este viitorul internetului la mijloc.

Traducere: Dana Anghel

Urmărește VICE pe Facebook

Mai citește despre hackeri:
Hackerii au furat 5,6 milioane de amprente de la guvernul american
Cum sparg hackerii conturile utilizatorilor de Uber
Hackerii români au încercat să spargă de două ori contul de Facebook al preotului cool