У 1933 році британський парламент розглядав «Білль про бандитизм» — то була реакція влади на хвилю злочинності. Проблема полягала в тому, що зловмисники користувалися новомодним винаходом — автомобілем, щоб грабувати швидше, ніж могла відреагувати поліція. У відповідь на такі наскоки білль пропонував правоохоронцям нові повноваження: право на обшук автомобілів і на встановлення дорожніх блокпостів.
«Білль про бандитизм» тоді так і не ухвалили. Згадані повноваження сприймалися надто неоднозначно. Але проблема не зникла. Зрештою за пропоноване в законопроекті проголосували, і зараз це здається цілком нормальним. Відтоді технології грабунку на місці не стоять. Насправді, як і в 1930-ті, вони на один крок випереджають владу.
Наприклад, 12 травня страхові компанії помітили, що інтернетом поширюється шкідлива програма під назвою WannaCry — спочатку в Британії та Іспанії, а тоді й у всьому світі. За 48 год вона побувала на 230 тис. комп’ютерів. За даними Європолу, це безпрецедентний масштаб зараження. WannaCry вивів із ладу частину комп’ютерів у системі британської Національної служби охорони здоров’я (NHS), через що карети швидкої допомоги їхали за неправильними адресами, а ще повідключав сервіси, не пов’язані з надзвичайними ситуаціями. Вірус заліз і в машини найбільшої іспанської телекомунікаційної компанії Telefónica, китайського авіаперевізника Hainan і навіть російського Міністерства внутрішніх справ.
Читайте також: Віртуальні опричники
Шкідливе програмне забезпечення створюється для того, щоб заражати комп’ютери і виводити їх із ладу. Інколи його пишуть просто для забави, особливо юні програмісти, які хочуть похизуватися вміннями. Подеколи це робота уряду, який має на меті зашкодити інтересам суперників або ворогів. Проте зазвичай його створюють для отримання вигоди. Схоже, саме до останньої категорії належить і WannaCry. Він шифрує файли жертви і вимагає оплату за розкодування — звичний прийом, знаний як ransomware (програма-вимагач). Особливість атаки WannaCry — її масштаб і статус жертв. Після поширення вірусу здійнявся публічний розголос, подібний за масштабами до того, що передував появі «Білля про бандитизм».
Хитрий жук
WannaCry — це комбінація двох видів шкідливих програм. Перша — хробак — створена для того, щоб переходити з одного комп’ютера на інший. Друга, яку хробак переносить, — власне вимагач-шифрувальник. Саме ця комбінація зробила WannaCry таким грізним. Програми-вимагачі зазвичай «обходять» користувачів по одному, розсилаючи фальшиві електронні повідомлення, які спокушають адресата перейти за лінком або відкрити вкладений файл. Той завантажує і активує програму-вірус. У випадку WannaCry було достатньо один раз натиснути на лінк, щоб заразити цілу мережу.
Спалах було ліквідовано діями не офіційної влади, а небайдужих громадян. Хробака роздушив консультант із безпеки, відомий під ніком MalwareTech. Адже не всі у складній екосистемі комп’ютерного хакерства негідники. MalwareTech виявив, що WannaCry щоразу при запуску надсилає в інтернет запит на відповідь із неіснуючої інтернет-адреси. Це робиться для того, аби переконатися, що лист зі шкідливим лінком справді потрапив у відкритий інтернет, а не до так званої пісочниці — ізольованої програми, у якій можна препарувати цифрових хробаків, щоб дізнатися, як вони влаштовані.
Читайте також: Час як зброя. Про вразливі місця GPS в добу кібервійн
Пісочниці симулюють доступ до всього інтернету, щоб підозріла програма запрацювала на повну силу й розкрила таємниці своєї конструкції. Тобто вони відповідають на всі запити так, як це робив би справжній адресат. Якщо ж відповідь повертається з неіснуючої адреси, програма може дійти висновку, що її посадили в пісочницю, закриється й так і залишить свої таємниці при собі. MalwareTech створив веб-адресу пісочниці, зареєстрував та активував її. Таким чином кожна копія WannaCry виявила, що потрапила в пісочницю, тож треба закриватися.
Тож усі заслуги належать MalwareTech. WannaCry вдалося заглушити досить просто, що вказує на те, що вірус був зроблений абияк (про це свідчить і бізнес-модель його творців). У професійних операціях із вимаганням викупу задіяні справжні call-центри, які відповідають на розпачливі дзвінки власників заражених комп’ютерів, щоб провести їх через усю процедуру повернення своїх файлів (і, звісно ж, виплати викупу).
У WannaCry нічого цього немає. Програма просто просила сплатити певну суму на конкретний рахунок в електронній валюті — біткойнах. Крім того, ізраїльська консалтингова агенція з комп’ютерної безпеки Check Point показала: шифрувальне програмне забезпечення WannaCry таке неякісне, що дешифрувати дані користувача навіть після проведення оплати фактично неможливо. Добре організовані інтернет-вимагачі зазвичай таки розкодовують захоплені дані, щойно отримують гроші.
«Це не серйозне організоване злочинне угруповання, — каже про тих, хто ховається за WannaCry, професор комп’ютерної безпеки з Кембриджського університету Росс Андерсон. — Якийсь хлопчисько в підвалі у Сан-Паулу, Бухаресті чи Абериствіті. Якщо в нього є клепка в голові, він розіб’є свій жорсткий диск на друзки, спалить їх і ніколи не скористається тими біткойнами, які йому надіслали, бо з ним мають бажання побалакати близько 30 держав».
На противагу шифрувальній програмі хробак у WannaCry, який так швидко її поширив, — дуже складний код. Це тому, що в ньому використано програмне забезпечення, яке було вкрадене кілька місяців тому в американської Агенції національної безпеки (NSA) і яке злила в інтернет група хакерів під назвою Shadow Brokers. Вкрадений софт використовує баг — слабке місце, яке Агенція нацбезпеки виявила в ділянці операційної системи Microsoft Windows. Він називається Server Message Block і забезпечує взаємодію між вузлами в комп’ютерній мережі. Цей дефект, який спочатку з’явився у Windows XP 2001 року, лишився й у всіх наступних версіях. Незрозуміло, як давно NSA про нього знала, але тримала в таємниці.
Читайте також: Як долати кіберепідемію в армії
Комп’ютери керують зв’язками між собою через низку портів, їх зазвичай 1024. Кожен виконує конкретне завдання і за потреби може відкриватися або закриватися. Наприклад, порт 25 призначений для надсилання електронних листів. Виявлений Агенцією нацбезпеки США баг дає змогу WannaCry поширюватися з однієї машини на іншу, коли в них відкритий порт 445. Утім, на під’єднаних до інтернету домашніх комп’ютерах і в добре захищених мережах організацій порт 445 зазвичай надійно закритий. Поки що точно не відомо, скільки комп’ютерів залишили їх відкритими і стали жертвами WannaCry.
М’яке підчерев’я софту
Попри паніку в газетних заголовках, WannaCry — це не найстрашніший на сьогодні випадок зараження шкідливим ПЗ. Інші хробаки — Conficker, MyDoom, ILOVEYOU — завдали у 2000-х збитків на мільярди доларів. Утім, зауважує відомий експерт із безпеки Брюс Шнайєр, людям властиве глибоко вкорінене нехтування безпекою. Вони часто ігнорують її, за що довго розплачуються в майбутньому, замість того щоб заплатити гроші за безпеку зараз.
Тож від гучних заголовків про WannaCry хоч якась користь. Менеджери в структурах на кшталт Національної служби охорони здоров’я Великої Британії знають, що для них другого шансу може не бути. У разі ще однієї успішної атаки почнуть летіти голови. Слава WannaCry привернула увагу й до звичайного бізнесу злочинців — нападу на цілі, які точно платитимуть швидко і без галасу. Часто ними й справді виявляються лікарні. Але ж не лікарні цілої країни. Це не той розголос, який потрібен таким злочинцям.
Попри все сказане вище, діяльність кібершкідників нагадує британських грабіжників 1930-х років. Втікаючи, вони також користаються перевагою швидкостей, які пропонують нові технології та які поки що недоступні органам влади. Фактично злочинці можуть втекти зі швидкістю світла на безпечну територію, виявити яку взагалі майже неможливо. Якщо ми хочемо їх зупинити, комусь доведеться сконструювати сучасні електронні еквіваленти блокпостів та ордерів на обшук.
© 2011 The Economist Newspaper Limited. All rights reserved
Переклад з оригіналу здійснено «Українським тижнем», оригінал статті опубліковано на www.economist.com