Авторский блог   00:00 18 мая 2017

Ложная тревога

12-15 мая около 200 тысяч государственных и корпоративных компьютеров по всему миру, включая Россию, подверглись атаке вирусной программы WannaCry.

12-15 мая около 200 тысяч государственных и корпоративных компьютеров по всему миру, включая Россию, подверглись атаке вирусной программы WannaCry.

Историю с WannaCry уже назвали небывалой в истории массированной кибер­атакой всемирного значения Но если приставка "кибер-" здесь в определённой мере соответствует действительности, то всё остальное — нет. Это не атака и не всемирного значения. Это чисто медийный феномен. Ситуация следующая. Это обычный вирус, обычный винлокер, подобные которому в нашей, например, стране гуляют последние 10-12 лет. В WannaCry с точки зрения технологии нет ничего необычного, и с точки зрения метода внедрения — тоже. То есть это довольно распространённые вещи, создаются они, как правило, автоматическими генераторами вирусов. Это работает так: берутся генераторы вирусов уже с известными деталями (как в конструкторе); хакер выбирает, какие именно свойства ему сейчас нужны, генерирует вирус; потом прогоняет его через наиболее популярные антивирусы (их штук тридцать), удостоверяется, что вирус эту защиту в настоящий момент "пробивает" и "не ловится". После этого хакер отдаёт готовый продукт тем, кто умеет рассеять вирус. Всё.

Вы легко можете найти в интернете статьи о, например, явлении ботнет. Ботнет — это сеть заражённых компьютеров, которая включает в себя, по меньшей мере, миллиона полтора инфицированных устройств (а то и гораздо больше). Официальные хозяева таких компьютеров-зомби не знают о том, что те заражены, и ботнет работает. Есть управляющий сервер, который присылает задания этим компьютерам — и они их исполняют. То есть эти компьютеры превращены в рабов хакеров, которые сумели поставить туда вирусы. Хакеры "скликивают" рекламу на Ютубе — вот их бизнес. Вместе они "скликивают" рекламу в видео-роликах на три миллиона долларов в день. А тут "кибератака мирового значения" — а заражено 200 тысяч пользователей, на которых злоумышленники заработали 42 тысячи долларов.

То есть отличие атаки WannaCry от других аналогичных атак заключается в том, что СМИ раскрутили её с действительно редким размахом. И вот это уже заставляет задуматься о том, кто может быть заказчиком такой "раскрутки" и какими могут быть его цели. Можно рассуждать о том, что WannaCry может быть не сконструирован генераторами, а извлечён из арсеналов американского АНБ. То есть это боевой вирус, который слегка перелицевали, оживили (потому что в открытый доступ его выкладывали "стерилизованным", "неживым") — и запустили. Я думаю, что туда вставили плашку о шифровании с требованием о выкупе, чтобы он себя объявлял, — просто для того, чтобы посмотреть, как вирус будет распространяться по миру. И действительно, сейчас журналисты услужливо делают карты распространения для хакеров.

При этом почти всюду пишется, что особенно сильно вирус ударил по России. Так ли это? Дело ведь не в прицельности удара, а в разной степени уязвимости у разных региональных сегментов интернета. Четырнадцать лет назад очень сильно зацепило Южную Корею. У них обрушилось чуть ли не всё: банки, супермаркеты, выключался свет. А в России ничего этого не было. Почему? Потому что тот вирус был направлен на серверы под управлением Windows, а у нас в стране гораздо более модные юникс-серверы. Кроме того, у корейцев был очень низкий уровень сисадминов — условно говоря, всякие пэтэушники занимались настройкой серверов, потому что это же Windows — каждый может… То есть Корея как регион была очень уязвима. А Россия тогда оказалась неуязвимой. Кроме всего прочего, у нас тогда были сверхквалифицированные сисадмины: как правило, люди с высшим образованием, окончившие физфак университета, физтех, которые хорошо знали, что надо накатывать обновления. Тогда Microsoft тоже нашёл уязвимость летом 2002 года, за полгода до января 2003 го, объявил о ней, выпустил заплатку, которую нужно было скачать и обновить программное обеспечение. У нас в стране тогда это сделали, а в Корее — нет, потому что там, видимо, вообще никто ничего не читал. А сейчас у нас велика доля пиратских версий Windows, которые не обновляются или обновляются как-то криво. Выросла доля пользователей, которые вообще не понимают, что такое обновление или что с его помощью надо защищаться. Вот у нас и бабахнуло. То есть Россия оказалась уязвимой вовсе не потому, что кто-то в нас специально целился. Тем более что, поскольку WannaCry явно "заточен" на корпоративный формат файлов, которые он шифрует, если бы этот вирус был специально "антироссийским", то он поражал бы форматы файлов 1С — одной из самых популярных у нас корпоративных программ. Но вирусом WannaCry этот формат вообще не обрабатывается и не шифруется этим вирусом. Поэтому налицо просто общая уязвимость.

Возникла и такая экзотическая версия, что это сама компания "Майкрософт" понуждает таким образом пользователей приобретать новые версии Windows и обновляться до них. Это, конечно, не так. Моей жене Наталье Касперской уже почти 25 лет всякий, кто хочет искромётно пошутить, при встрече говорит: "Вы же, наверное, сами вирусы пишете в своей "Лаборатории Касперского". А я хочу озвучить другую версию. Представьте себе, что кто-то приготовил специальный патч как бы от "Майкрософта" с заранее заложенными туда уязвимостями. Дальше он запускает вирус, пользователи приходят в ужас, скачивают патч — и вот тогда они оказываются, наконец, по-настоящему уязвимы! Но "программная медицина" и "программная эпидемиология" в ближайшие годы наверняка будут всё больше востребованы.

1.0x