Пора плакать: как хакеры пустили в ход кибероружие АНБ и ЦРУ
10 дней, которые потрясли мир
Начало мая выдалось крайне неспокойным для всей сферы мировой информационной безопасности (ИБ). Все началось с обнародования технических деталей «уязвимости десятилетия» в технологии Intel ME, связанной с возможностью получения удаленного доступа даже к выключенному компьютеру, если он подсоединен к электрической сети или работает на аккумуляторе. Этот логический баг (или закладка?) шокировал мир, поскольку оказался первой документированной опаснейшей уязвимостью в процессоре.
Затем отличилась компания Microsoft. В защитных механизмах ОС Windows была обнаружена одна из самых опасных уязвимостей (или закладок?) за последние несколько лет, также позволяющая получить удаленный доступ к ОС, например даже после простого получения письма, вообще без каких-либо действий пользователя. Исследователь, обнаруживший проблему, особо отметил, что она легко может быть использована для создания опаснейшего червя.
Далее в аудиодрайвере компании НР был обнаружен кейлогер (программа для записи нажимаемых на клавиатуре клавиш). И снова интересно: закладка или случайно внесенный код? Представители HP отказались от комментариев, а вышедший через несколько дней патч-антикейлогер не удалял злонамеренный код из драйвера, а только ограничивал его запуск, оставив возможность запуска кейлогера через реестр ОС, то есть даже громкий скандал не побудил вендора удалить злонамеренный код. Почему компания HP поступила так, сказать сложно — случай пока не имеет аналогов.
Закончилось это глобальной эпидемией вируса-шифровальщика WannaCry («ХочетсяПлакать»), который на утро 15 мая поразил более 100 тыс. компьютеров по всему миру, и это еще не финальная цифра. Вирус использовал уязвимость в Windows и код троянской программы, которые стали достоянием общественности в апреле этого года после раскрытия хакерской группой Shadow Brokers очередной части украденного архива кибероружия технической разведки АНБ США. Компания Microsoft заранее (очевидно, получив информацию от Shadow Brokers) выпустила патч, закрывающий дыру для всех поддерживаемых на данный момент версий ОС Windows. Вирус WannaCry использовал уязвимость, закрытую почти два месяца назад, в марте 2017 года. Мало того, был задействован малораспространенный вектор атаки на редко используемый устаревший протокол, что, однако, не помешало ему устроить хаос во всем мире. Особенно пострадала Россия, где число заражений достигло рекордной отметки. Не стоит здесь искать чьи-либо происки: вероятно, все объясняется тем, что пользователи вовремя не установили нужный патч, бездумно открыли порты в интернет, использовали множество устаревших, уже не поддерживаемых Microsoft версий ОС Windows. Вендор, увидев масштабный характер заражений, немедленно выпустил патч и для старых версий ОС Windows, правда уже было поздно.
Беспрецедентные десять дней, которые потрясли мир, позволяют сделать ряд выводов, которые могут быть интересны не только профессионалам сферы ИБ.
Опасность для общества
После утечки кибероружия АНБ в августе прошлого года, а затем и недавней утечки другого архива — кибероружия ЦРУ — многие, включая экспертов по ИБ, не сразу осознали серьезность ситуации. Однако было совершенно очевидно, и мы не раз это отмечали, что материалы таят в себе серьезную опасность для всех: от частных пользователей до корпораций, ведь всеобщим достоянием стали как уязвимости нулевого дня (неизвестные на данный момент баги), так и различные программные разработки для взлома и закрепления в системах (импланты и т.п.). Киберпреступники всего мира и технические разведки менее развитых стран получили прекрасный арсенал, который можно использовать в своих целях. И на примере WannaCry весь мир увидел, что преступники не упустят шанса. Недаром серые брокеры оценивали минимальную стоимость только раскрытых в марте Shadow Brokers уязвимостей нулевого дня из архива АНБ в $2 млн. И дело тут не в самом кибероружии, его разработке и даже его возможном применении (всем этим ведь и обязаны заниматься спецслужбы), а в факте его потери. Это примерно как забыть несколько ядерных бомб на детской площадке, а потом делать вид, что ничего не произошло. И это только начало.
Возможности спецслужб и преступных групп
А теперь давайте вместе подумаем. Если такие последствия вызвал WannaCry, запустить который мог и обычный подросток, воспользовавшийся «подарком» АНБ в виде закрытой около двух месяцев назад уязвимости и крайне непопулярного вектора атаки, то что же может произойти или уже происходит, если профессионалы задействуют популярный вектор и опасный неизвестный баг? Например, если бы использовали недавно найденную дыру в защитном механизме ОС Windows, о которой было сказано чуть выше? Глобальная пандемия с десятками миллионами пораженных компьютеров и уже тотальным хаосом по всему миру. Теперь даже скептикам понятны реальные возможности ведущих технических разведок и, к сожалению, серьезных преступных группировок, в распоряжении которых уже имеется арсенал имплантов АНБ и ЦРУ. Не стоит забывать и о том, что они могут свободно покупать любые опасные уязвимости нулевого дня. Есть вероятность, что скоро WannaCry окажется «легким гриппом в бараке для прокаженных», настолько серьезна ситуация.
«Инфляция уязвимостей»
Если вернуться на 10–15 лет назад, каждая из вышеописанных историй с уязвимостями вызывала бы грандиозный скандал, который бы серьезнейшим образом ударил по репутации вендора. А сегодня ровным счетом ничего. Мы все привыкли к уязвимостям, даже к самым вопиющим, точнее, нас старательно к этому приучили вендоры. Нас уже не пронять практически ничем. Все это ведет к опасной апатии общества и очевидной инфляции стоимости уязвимости, ведь что бы ни обнаруживали исследователи, это уже не вызывает мощной ответной реакции. Получается, вендоры могут чувствовать себя безнаказанными, продолжая цинично встраивать кейлогеры и добавлять в свои продукты случайно оставленные уязвимости, часть которых в последнее время подозрительно стала напоминать специально оставленные закладки, которые в некоторых случаях требуют от вендора американские спецслужбы.
Короткая память
Нервная реакция на WannaCry демонстрирует, что мы забыли о ситуации 10–15-летней давности. Мы не помним о вирусных пандемиях 2000-х, когда были заражены миллионы машин. Мы забыли, как это бывает. Относительно простой вирус вызвал такой хаос. Понятно почему: дело не в самом вирусе и методах его распространения, а в его «полезной нагрузке» — ущербе, который он наносит пользователям. В данном случае это шифрование данных, которые, вероятнее всего, будут потеряны навсегда, если не заплатить вымогателю. Совершенно очевидно, что не будь этого требования, WannaCry, скорее всего, остался бы практически незаметным для всех, как, видимо, прошли незаметными пандемии былых лет.
Что скажут вендоры?
Уже после написания этой заметки вышло официальное заявление Microsoft. Вендор традиционно во всем обвинил американские спецслужбы и предложил наладить контроль над кибероружием. Позиция разработчика в данном случае понятна и предельно цинична — перенести внимание общественности с причины на следствие. Все беды вовсе не от спецслужб. Их (и не только их) успешная работа по нахождению уязвимостей — следствие халатного отношения вендоров к разработке ПО и оставление в коде опасных уязвимостей или тех же закладок, встроенных с ведома спецслужб. Поэтому все это не более чем попытка отвлечения внимания и перекладывания ответственности.
Вместо заключения
Есть небольшая надежда, что эпидемия WannaCry заставит общество пробудиться от гипнотического сна, в который нас ввели вендоры, и обратить внимание на проблемы современной ИБ. Если долго глядеть на бездну, то через некоторое время бездна начнет смотреть на вас. Обществу же, как и корпорациям, пора избавиться от толерантности к уязвимостям в разрабатываемых вендорами программных продуктах. Только это может остановить постепенное сползание в пропасть IТ-хаоса. А если еще вспомнить про интернет вещей, который к 2020 году захватит весь мир, то нынешняя картина через четыре года или пять лет покажется нам всем просто идиллическим пейзажем Моне перед наступлением тотального апокалипсиса.
