Вирус WannaCry должен заставить людей относиться к киберпреступности серьезно

В 1933 году британский парламент рассматривал «Билль о бандитизме» – это была реакция власти на волну преступности. Проблема заключалась в том, что злоумышленники пользовались новомодным изобретением – автомобилем, чтобы грабить быстрее, чем могла отреагировать полиция. В ответ на такие наскоки билль предлагал правоохранителям новые полномочия: право на обыск автомобилей и на установку дорожных блокпостов.

«Билль о бандитизме» тогда так и не приняли. Упомянутые полномочия воспринимались слишком неоднозначно. Но проблема не исчезла. В конце концов за предлагаемое в законопроекте проголосовали, и сейчас это кажется вполне нормальным. С тех пор технологии грабежа на месте не стоят. На самом деле, как и в 1930-е, они на один шаг опережают власти.

Например, 12 мая страховые компании заметили, что по интернету распространяется вредоносная программа под названием WannaCry – сначала в Великобритании и Испании, а потом и во всем мире. За 48 часов она побывала на 230 тыс. компьютеров. По данным Европола, это беспрецедентный масштаб заражения. WannaCry вывел из строя часть компьютеров в системе британской Национальной службы здравоохранения (NHS), из-за чего кареты скорой помощи ехали по неправильным адресам, а еще поотключал сервисы, не связанные с чрезвычайными ситуациями. Вирус залез и в машины крупнейшей испанской телекоммуникационной компании Telefónica, китайского авиаперевозчика Hainan а также российского Министерства внутренних дел.

Вредоносное программное обеспечение создается для того, чтобы заражать компьютеры и выводить их из строя. Иногда его пишут просто для забавы, особенно юные программисты, которые хотят похвастаться умениями. Иногда это работа правительства, цель которого повредить интересам соперников или врагов. Однако обычно его создают для получения выгоды. Похоже, именно к последней категории относится и WannaCry. Он шифрует файлы жертвы и требует оплату за раскодирования – обычный прием, известный как ransomware (программа-вымогатель). Особенность атаки WannaCry – ее масштаб и статус жертв. После распространения вируса поднялся публичныйгвалт, подобный по масштабам к тому, которы предшествовавший появлению «Билля о бандитизме».

Хитрый жук

WannaCry – это комбинация двух видов вредоносных программ. Первая – червь – создана для того, чтобы переходить с одного компьютера на другой. Вторая, которую червь переносит – собственно вымогатель-шифровальщик. Именно эта комбинация сделала WannaCry таким грозным. Программы-вымогатели обычно «обходят» пользователей по одному, рассылая фальшивые электронные сообщения, соблазняют адресата перейти по ссылке или открыть вложенный файл. Тот загружает и активирует программу-вирус. В случае WannaCry было достаточно один раз нажать на ссылку, чтобы заразить целую сеть.

Вспышка вируса была ликвидирована действиями не официальной власти, а неравнодушных граждан. Червя раздавил консультант по безопасности, известный под ником MalwareTech. Ведь не все в сложной экосистеме компьютерного хакерства негодяи. MalwareTech обнаружил, что WannaCry каждый раз при запуске направляет в интернет запрос ответа с несуществующего интернет-адреса. Это делается для того, чтобы убедиться, что письмо с вредоносной ссылкой действительно попало в открытый интернет, а не в так называемую песочницу – изолированную программу, в которой можно препарировать цифровых червей, чтобы узнать, как они устроены.

Песочницы симулируют доступ ко всему интернету, чтобы подозрительная программа заработала в полную силу и раскрыла тайны своей конструкции. То есть они отвечают на все запросы так, как это делал бы настоящий адресат. Если же ответ возвращается с несуществующего адреса, программа может прийти к выводу, что ее посадили в песочницу, закроется и так и оставит свои тайны при себе. MalwareTech зарегистрировал веб-адрес на который посылал запрос червь. Таким образом каждая копия WannaCry обнаружила, что попала в песочницу, и поэтому необходимо закрываться. 

Поэтому все заслуги принадлежат MalwareTech. WannaCry удалось заглушить достаточно просто, что указывает на то, что вирус был сделан кое-как (об этом свидетельствует и бизнес-модель его создателей). В профессиональных операциях с требованием выкупа задействованы настоящие call-центры, которые отвечают на отчаянные звонки владельцев зараженных компьютеров, чтобы провести их через всю процедуру возврата своих файлов (и, конечно же, выплаты выкупа).

В WannaCry ничего этого нет. Программа просто просила уплатить определенную сумму на конкретный счет в электронной валюте – биткойн. Кроме того, израильская консалтинговое агентство по компьютерной безопасности Check Point показало, что  шифровальное программное обеспечение WannaCry такое некачественное, что дешифровать данные пользователя даже после проведения оплаты фактически невозможно. Хорошо организованные интернет-вымогатели обычно таки декодируют захваченные данные, как только получают деньги.

«Это не серьезная организованная преступная группировка, – говорит о тех, кто скрывается за WannaCry, профессор компьютерной безопасности из Кембриджского университета Росс Андерсон. – Какой-то мальчишка в подвале в Сан-Паулу, Бухаресте или Абериствити. Если у него есть мозги в голове, он разобьет свой жесткий диск вдребезги, сожжет их и никогда не воспользуется теми биткойнами, которые ему прислали, потому что с ним хотят поговорить около 30 государств».

В противоположность шифровальной программе червь в WannaCry, который так быстро ее распространил, – очень сложный код. Это потому, что в нем использовано программное обеспечение, которое было украдено несколько месяцев назад у американского Агентства национальной безопасности (NSA) и которое слила в интернет группа хакеров под названием Shadow Brokers. Украденный софт использует баг – слабое место, которое Агентство нацбезопасности обнаружило в коде операционной системы Microsoft Windows. Он называется Server Message Block и обеспечивает взаимодействие между узлами в компьютерной сети. Этот дефект, который сначала появился в Windows XP 2001 года, остался и во всех последующих версиях. Непонятно, как давно NSA о нем знала, но держала у тайне.

Компьютеры управляют связями между собой по ряду портов. Каждый выполняет конкретную задачу и при необходимости может открываться или закрываться. Например, порт 25 предназначен для отправки почты. Обнаруженный Агентством нацбезопасности США баг позволяет WannaCry распространяться с одной машины на другую, когда у них открытый порт 445. Впрочем, на подключенных к интернету домашних компьютерах и в хорошо защищенных сетях организаций порт 445 обычно надежно закрыт. Пока точно неизвестно, сколько компьютеров оставили их открытыми и стали жертвами WannaCry.

Мягкое подбрюшье софта

Несмотря на панику в газетных заголовках, WannaCry – это не самое страшный на сегодня случай заражения вредоносным ПО. Другие черви – Conficker, MyDoom, ILOVEYOU – нанесли в 2000-х ущерб на миллиарды долларов. Впрочем, замечает известный эксперт по безопасности Брюс Шнайер, людям свойственно глубоко укоренившееся пренебрежение безопасностью. Они часто игнорируют ее, за что долго расплачиваются в будущем, вместо того чтобы заплатить деньги за безопасность сейчас.

Поэтому от громких заголовков о WannaCry хоть какая-то польза. Менеджеры в структурах типа Национальной службы здравоохранения Великобритании знают, что для них второго шанса может не быть. В случае еще одной успешной атаки начнут лететь головы. Слава WannaCry привлекла внимание и к обычному бизнесу преступников – нападения на цели, которые точно будут платить быстро и без шума. Часто ими действительно оказываются больницы. Но не больницы целой страны. Это не тот резонанс, который нужен таким преступникам.

Несмотря на все сказанное выше, деятельность киберпреступников напоминает британских грабителей 1930-х годов. Убегая, они тоже пользуются преимуществом скоростей, которые предлагают новые технологии и которые пока недоступны властям. Фактически преступники могут сбежать со скоростью света на безопасную территорию, обнаружить которую вообще почти невозможно. Если мы хотим их остановить, кому-то придется сконструировать современные электронные эквиваленты блокпостов и ордеров на обыск.

Перевод с оригинала осуществлен  «Українським тижнем», оригинал статьи "WannaCry should make people treat cyber-crime seriously" опубликован на  www.economist.com

 

You may also like...