Кафедра Ваннаха: Вирус зовётся "Пламя"
АрхивКолонка ВаннахаВ чём секрет эффективности и компьютерных вирусов и зажигательных боеприпасов? Да в том, что они используют то, что уже запасено жертвой/противником.
Есть на свете такая организация – Международный союз электросвязи, International Telecommunication Union. Её история восходит аж к позапрошлому столетию. И у колыбели её стояли двое – Информационные технологии и Глобализация. Сообщения-то на большие расстояния люди умели передавать исстари. Долбили в тамтамы. Жгли сигнальные огни на курганах, уведомляя скифскую братию, что в их степи вломился царь Куруша. Хорошо известна роль оптического телеграфа в наполеоновских войнах. Да и в Крымскую кампанию телеграф, уже электрический, был одним из конкурентных преимуществ англичан…
Но и конные гонцы-ангары царя Кира, и греческие скороходы-эмеродромы, и латинские бегуны-курсоры (да-да, "курсор" именно от них происходит) носили вести в пределах своего государства - Персидской империи, города-государства Эллады, Римской республики. А электрический телеграф стал с 1845 года международным, провода пересекли зоны различных юрисдикций. И возникающие при этом проблемы потребовалось решать. И вот для этого двадцать государств, включая Российскую империю, приняли 17 мая 1865 года Первую международную телеграфную конвенцию и "Регламент телеграфной связи", прообраз современных ИТ-стандартов.
Ну а для их поддержания был основан "Международный телеграфный союз", Union internationale du télégraphe, как говорят французы. Его-то потомком и является нынешний Международный союз электросвязи, находящийся в системе ООН. В отличие от прочих кормушек глобальных бюрократов, организация эта весьма полезна, а её Рекомендации, хоть и не имеют никакой обязательной силы, внесли громадный вклад в прогресс ИТ-отрасли.
И вот недавно, в ходе исследования, которое инициировал Международный союз электросвязи, российскими экспертами в области кибербезопасности была выявлена очень интересная проблема. Оказывается, с марта 2010 года как минимум в некоторых странах Ближнего Востока усердно трудится небывалый вирус. Специалисты "Лаборатории Касперского" окрестили его "Пламя", Flame (Worm.Win32.Flame – классификация не по Линнею, но вполне красноречивая). Продукт этот весьма необычен. Поражает его размер – это уже не килобайты, а мегабайты. Кибероружие небывалого размера. Что же – возьмём да и сопоставим его с системой оружия индустриальной эпохи, попробовав выделить общие черты.
Специалисты Касперского назвали его "Пламя". Чудесно, выберем что-либо из зажигательного оружия. Worm.Win32.Flame имеет очень большие размеры. Ещё лучше – выберем систему оружия самого крупного калибра. И поскольку для аналогии мы говорим о делах давно минувших дней, то, не опасаясь разгласить чего недолжного, поведём речь об оружии отечественном.
Итак, возьмём для сравнения с "тяжёлым вирусом" Flame ЗАБ-500-300тш. Самый мощный зажигательный боеприпас ВВС РККА. Зажигательную авиабомбу пятисоткилограммового калибра (именно калибра, а не веса!). Снаряжённую термитными шарами весом в триста грамм каждый. Её создали инженеры А.И. Флегонтов, А.Г. Колпаков и Л.Ф. Шевелкин. Работами руководил главный конструктор завода №145 Наркомата авиационной промышленности И.И. Картуков. Принята на вооружение она была постановлением Государственного комитета обороны №193 от 18 июля 1941 года.
В чём секрет эффективности и компьютерных вирусов, и зажигательных боеприпасов? Да в том, что они используют то, что уже запасено жертвой/противником. В одном случае это компьютерные мощности, в другом – запасы горючих материалов, цепную реакцию окисления которых зажигательный боеприпас только инициирует.
Ну, вот, скажем, широко известный в кругах спецов по кибербезопасности "терморектальный криптоанализ". Он ведёт свою родословную от культовых в 90-е годы прошлого столетия утюга и паяльника. Но это всё хорошо в "спорах хозяйствующих субъектов", когда рядом в изобилии розетки. Но – "в джунглях батареек нет". В полевых условиях применяют иное.
При взятии Ташкента пленный бухарский воин показывает солдатам генерала Черняева (1900 русских против 30000 защитников города, засевших за стенами) маскированный войлоком тайный ход, позволяющий взять город с минимумом потерь и несмотря на подавляющее превосходство неприятеля. Германский "язык", забыв и про присягу Адольфу Гитлеру, и про арийскую солидарность, но и про Frontkameradschaft, радостно рассказывал, где размещены пулемёты, где – полевые орудия, а где в блиндажах спят его камерады, на которых вскоре обрушится огонь артиллерии…
Освежить память и развязать язык помогали или игольчатые штыки, или "финки", слаженные местным умельцем из рессор "шевролетов" и "студеров", с рукоятками из наборного плексигласа от сбитого мессера… Калёное железо, требующее энергии для разогрева, хорошо для садистов, которым нравится процесс. В военных же целях наиболее эффективно или то, что потребляет минимум энергии, или то, что порождает самоподдерживающийся процесс. Будь то размножение компьютерного вируса или просто горение.
Вредоносный код для того, чтобы он самовоспроизвёлся, необходимо ввести в чужой компьютер точно так же, как и зажигательный боеприпас должен добраться до горючих материалов. Вирус "Пламя" любит пользоваться USB-устройствами. Не пренебрежёт и уязвимостью диспетчера печати. Вообще, доступ к чужому компьютеру – важнейшая задача, равно как и создатели зажигательных боеприпасов прилагали немало усилий и остроумия, чтобы их детище добралось до того, что может гореть.
Ну, что представлял собой городской дом тридцатых годов прошлого века? Кирпич стен, жесть или черепица кровель, дерево чердачных и межэтажных перекрытий. Так, конструкторы ЗАБ-500 предусмотрели у неё взрыв на высоте 300 метров. При этом трёхсотграммовые термитные шарики набирали скорость, достаточную для пробития и черепицы, и кровельной жести. Дежурный ПВО со щипцами и ящиком с песком был против них бессилен – изделия, созданные в 1939 году специалистами НИИ-6 Наркомата боеприпасов, горели в течение 18-20 секунд, развивая температуру от 2000 до 2500 градусов Цельсия. Вполне достаточно, чтобы занялось всё, что могло гореть.
Ну а в случае вируса с "многофункциональными" термитными шариками, в которых работала и кинетическая энергия, набранная при падении, и химическая энергия горения, могут быть сопоставлены функциональные модули. Они собирают информацию и с клавиатуры, и с монитора, и из массовой памяти. Да и подслушивать происходящее вокруг компьютера через системный микрофон тоже умеют. (Это что – жаждущим приватности надо покупать ноутбуки без микрофона, а болтать по Skype через внешнюю USB-гарнитуру, которую вынимать после разговора? Ой!)
Характерная черта кассетных боеприпасов, к которым относилась и ЗАБ-500, - работа по площадям, неизбирательное действие. При взрыве на высоте в 300 метров 780 термитных шариков её начинки разлетались по площади в 7000 квадратных метров. Вне зависимости от того, есть ли там горючие материалы и входят ли эти горючие материалы в состав военных или гражданских объектов. Скажем, в Иране было обнаружено 189 функционирующих копий Worm.Win32.Flame, причём большинство – у частных лиц, а вовсе не у государственных организаций, подозреваемых в тайных разработках ядерного оружия.
Данные важные – функционирование вирусов такой сложности возможно лишь в достаточно развитой инфраструктуре, когда компьютер стоит и дома, и на работе, когда через него прогоняются большие объёмы мультимедии. Тогда возникнет ситуация, когда инженер или чиновник, написав дома совсем несекретную бумажку, притащит флэшку с вирусом на службу… Вообще все 382 копии вируса, о которых сообщается, гуляют по странам Ближнего Востока.
Сверхоружием бомба ЗАБ-500-300тш, несмотря на свою эффектность и эффективность, не стала. Слишком дороги были термитные шарики, так что к концу войны приоритет был отдан другим системам оружия. И Worm.Win32.Flame не изменит кардинально стратегическую ситуацию на Ближнем Востоке – иранские специалисты уже написали программу, выдирающую его с компьютеров. Хотя, как рассказывает The Independent, израильский вице-премьер и министр по стратегическим вопросам Моше Яалон в интервью Army Radio многозначительно намекнул, что "Пламя" может быть разожжено Еврейским государством, озабоченным ядерной программой Ирана.
Так что перейдём к выводам. "Горючего материала", то есть компьютерных мощностей, на планете уже накоплено достаточно, чтобы кибероружие и кибертихари могли продемонстрировать свою эффективность. Проблемы его распространения носят международный характер так же, как в позапрошлом веке – распространение телеграфа. Инфраструктура даже "стран-изгоев" достаточно интегрирована в мировую, чтобы быть уязвимой для кибератак, которые, впрочем, проблемы в целом не решают. А вот мелкие неприятности весьма возможны.
Как пишет The Guardian, специалист из Кембриджа с типично английским именем Sergei Skorobogatov вместе с коллегой из Quo Vadis Labs обнаружил уязвимость в чипах, используемых в критически важных системах аэроплана Boeing-787 Dreamliner. (Речь идёт о ProASIC3.) Вероятно, если покопать как следует, то нечто подобное найдётся и в других местах (чип-то используется и в медицинском оборудовании, и в автомобилестроении, и в бытовой технике…).
Удивляться этому не стоит – слишком уж много "топлива" накопила цивилизация, чтобы не возникло соблазна поиграть со спичками. И знать об этой "пожарной опасности" надлежит каждому, пользующемуся ИТ-технологиями, – как правила обращения с огнём важны каждому живущему в деревянном доме. Ведь в застроенной тогда деревом европейской России (Без Области Войска Донского, Остзейских и Привислянских губерний) с 1880 по 1889 гг. случилось 45006 крупных пожаров…