Читать книгу "Кибергейт: Как выжить в мире умных вещей"
Автор книги: Брюс Шнайер
Жанр: Компьютеры: прочее, Компьютеры
Возрастные ограничения: 18+
сообщить о неприемлемом содержимом
Относительная техническая простота нападений не означает, что они происходят сплошь и рядом. Мало кто решается на убийство, ведь госорганизации нацелены на поиск и наказание виновного. В интернете установить авторство сложно, оттого и наказать труднее. (Эту тему мы обсудим в главе 3.) Усложняет вопрос и интернациональная природа интернета.
Если говорить об интернете+, то все будет становиться только хуже. Чем больше, чем разнообразнее, тем сложнее.
Новые уязвимости в узлах обмена данными
Современный интернет настолько многоуровневый и разноплановый, что даже эксперты до конца не понимают, как именно взаимодействуют его сегменты. При этом обычные пользователи, уверенные в собственной осведомленности обо всех процессах, удивляются неожиданным открытиям.
Чем больше предметов объединено в сеть, тем интенсивнее уязвимости одной системы воздействуют на другие. В подтверждение своих слов приведу три примера.
Пример первый. В 2013 г. преступники проникли в сеть компании Target Corporation[12]12
Target Corporation – одна из крупнейших американских компаний в области розничной торговли. – Прим. пер.
[Закрыть] и похитили информацию о 70 млн покупателей, а также данные 40 млн кредитных и дебетовых карточек. Доступ злоумышленники получили благодаря учетным данным для входа в систему Target Corporation, украв те у одной из фирм – поставщика обогревателей и кондиционеров{98}98
Elizabeth A. Harris et al. (17 Jan 2014), “A sneaky path into Target customers’ wallets,” The New York Times, https://www.nytimes.com/2014/01/18/business/a-sneaky-path-into-target-customers-wallets.html.
[Закрыть].
Пример второй. В 2016 г. хакеры объединили миллионы компьютеров из мира интернета вещей (роутеры, цифровые видеорегистраторы, веб-камеры и т. д.) в огромный ботнет Mirai, после чего использовали его для DDoS-атаки[13]13
От англ. Distributed Denial of Service Attack – распределенная атака на отказ в обслуживании. – Прим. ред.
[Закрыть] против провайдера доменных имен Dyn, представлявшего сетевые сервисы для крупнейших интернет-сайтов. Dyn завис – десятки веб-сайтов (в том числе Reddit, BBC, Yelp, PayPal и Etsy) отключились{99}99
Catalin Cimpanu (30 Mar 2017), “New Mirai botnet slams U.S. college with 54-hour DDoS attack,” Bleeping Computer, https://www.bleepingcomputer.com/news/security/new-mirai-botnet-slams-us-college-with-54-hour-ddos-attack. Manos Antonakakis et al. (8 Aug 2017), “Understanding the Mirai botnet,” in Proceedings of the 26th USENIX Security Symposium, https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-antonakakis.pdf.
[Закрыть].
Пример третий. В 2017 г. через подключенный к интернету аквариум хакеры проникли в онлайн-казино и похитили данные игроков{100}100
Alex Schiffer (21 Jul 2017), “How a fish tank helped hack a casino,” The Washington Post, https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino.
[Закрыть].
Системы воздействуют друг на друга неожиданным и опасным образом. Элемент, что на этапе конструирования считался безопасным, становится вредоносным, стоит только системам начать взаимодействовать – уязвимости легко и незаметно проникают из одной в другую. Одна из таких ошибок могла стать причиной аварии на АЭС Три-Майл-Айленд, катастрофы шаттла «Челленджер» и массового отключения электричества в США и Канаде.
Кроме того, не всегда можно установить, по вине какой системы произошла ошибка, плюс причина уязвимости может и не скрываться в одной из них. Случается, что хорошо защищенные системы небезопасны друг для друга{101}101
James Fisher (7 Apr 2018), “The dots do matter: How to scam a Gmail user,” Jameshfisher.com, https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user.html.
[Закрыть]. В 2012 г. неизвестный получил доступ к аккаунтам журналиста Мэта Хонана на Amazon, в Apple, Gmail и Twitter{102}102
Mat Honan (6 Aug 2012), “How Apple and Amazon security flaws led to my epic hacking,” Wired, https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking. Mat Honan (17 Aug 2012), “How I resurrected my digital life after an epic hacking,” Wired, https://www.wired.com/2012/08/mat-honan-data-recovery.
[Закрыть]. Системы не имели уязвимостей, но стали уязвимыми в результате взаимодействия, другими словами, играла роль траектория атаки.
Можно привести и другие примеры. Из-за уязвимости в умных холодильниках Samsung угрозе взлома подверглись аккаунты пользователей Gmail{103}103
Pedro Venda (18 Aug 2015), “Hacking DefCon 23’s IoT Village Samsung fridge,” Pen Test Partners, http://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge. John Leyden (25 Aug 2015), “Samsung smart fridge leaves Gmail logins open to attack,” The Register, http://www.theregister.co.uk/2015/08/24/smart_fridge_security_fubar.
[Закрыть]. Излишне чувствительное приложение Gyrophone в iPhone, определяющее положение устройства в пространстве, улавливает акустические колебания, а потому способно подслушивать разговоры{104}104
Yan Michalevsky, Gabi Nakibly, and Dan Boneh (20–22 Aug 2014), “Gyrophone: Recognizing speech from gyroscope signals,” in Proceedings of the 23rd USENIX Security Symposium, https://crypto.stanford.edu/gyrophone.
[Закрыть].
Между 100 системами возникает около 5000 взаимодействий, то есть появляется порядка 5000 потенциальных уязвимостей. Между 300 системами – 45 000 взаимодействий, между 1000 – 500 000. Бо́льшая часть взаимосвязей окажется безобидной, но некоторые возымеют разрушительные последствия.
Компьютеры выходят из строя не так, как обычные вещи
Существует три принципиальных отличия между тем, как выходят из строя компьютеры и прочие устройства.
Отличие первое: расстояние не имеет значения. В реальном мире мы беспокоимся о том, как защититься от среднестатистического врага. Мы не покупаем дверной замок, чтобы сдержать лучшего в мире взломщика, – мы покупаем дверной замок, чтобы сдержать обычного вора, который, возможно, крутится возле дома. Я живу в Кембридже (штат Массачусетс) и мало тревожусь из-за суперквалифицированной воровки из Канберры (Австралия). Вряд ли она полетит через полмира, чтобы ограбить мой дом. Но вот мою домашнюю сеть хакерша из Канберры взломает так же легко, как взламывает сеть того, кто живет на противоположной от нее стороне улицы.
Отличие второе: способность атаковать компьютеры не связана с особыми умениями. Да, создание ПО требует определенного мастерства. Та же самая суперквалифицированная хакерша из Канберры – виртуоз и отличный кодер. Она способна создать вредоносное программное средство, запустить его в работу, автоматизировать процесс – заставить его работать уже без своего участия – и передать любому человеку, даже не программисту. Подобная последовательность действий поспособствовала появлению термина «скриптомалыш» – это человек с минимальной квалификацией, но мощным ПО. Если бы лучший в мире вор мог делиться инструментом, который позволил бы обычному (среднестатистическому) воришке проникнуть к вам в дом, вы беспокоились бы о безопасности жилища куда сильнее.
В интернете потенциально опасные хакерские инструменты распространяются постоянно. Взломщик, создатель ботнета Mirai, сделал свой код доступным любому, и за неделю тот был интегрирован в десяток программ для взлома{105}105
Catalin Cimpanu (30 Mar 2017), “New Mirai botnet slams U.S. college with 54-hour DDoS attack,” Bleeping Computer, https://www.bleepingcomputer.com/news/security/new-mirai-botnet-slams-us-college-with-54-hour-ddos-attack.
[Закрыть]. Мы называем такие программы вредоносными. Это черви[14]14
Черви – вредоносные программы, самостоятельно распространяющиеся через локальные и глобальные компьютерные сети. – Прим. пер.
[Закрыть], вирусы и руткиты[15]15
Вирусы и руткиты – набор программных средств, которые хакер устанавливает на взломанном компьютере после получения первоначального доступа. Руткит позволяет злоумышленнику закрепиться в системе и скрыть следы своей деятельности. – Прим. пер.
[Закрыть]. Хакеры приобретают руткиты на черном рынке, берут или сдают их в аренду{106}106
Tara Seals (18 May 2016), “Enormous malware as a service infrastructure fuels ransomware epidemic,” Infosecurity Magazine, https://www.infosecurity-magazine.com/news/enormous-malware-as-a-service.
[Закрыть]. Известно, что европейские компании HackingTeam и Gamma Group поставляют вредоносные программные средства на рынки менее развитых государств{107}107
Aaron Sankin (9 Jul 2015), “Forget Hacking Team – many other companies sell surveillance tech to repressive regimes,” Daily Dot, https://www.dailydot.com/layer8/hacking-team-competitors.
[Закрыть]. Установлено, что за фишинговыми атаками, которые привели к взлому почтовых серверов Национального комитета Демократической партии США в 2016 г., стоял Карим Баратов, 21-летний гражданин Казахстана и Канады{108}108
US Department of Justice (28 Nov 2017), “Canadian hacker who conspired with and aided Russian FSB officers pleads guilty,” https://www.justice.gov/opa/pr/canadian-hacker-who-conspired-and-aided-russian-fsb-officers-pleads-guilty.
[Закрыть]. Вредоносный код был разработан опытным российским хакером Алексеем Беланом.
Отличие третье: компьютеры выходят из строя единовременно или не выходят из строя совсем. «Взлом класса» – термин из сферы компьютерной безопасности, обозначающий вывод из строя целого класса систем{109}109
Bruce Schneier (3 Jan 2017), “Class breaks,” Schneier on Security, https://www.schneier.com/blog/archives/2017/01/class_breaks.html.
[Закрыть]. Причиной может служить уязвимость операционной системы (ОС), позволяющая хакеру взять под контроль каждый работающий на ней компьютер, или «дыра» в подключенных к интернету цифровых видеомагнитофонах и веб-камерах, которая дает злоумышленнику возможность включить эти устройства в ботнет.
От «взлома класса» в 2017 г. пострадала эстонская система национальных идентификационных карт. Из-за уязвимости в формировании криптографических ключей правительство приостановило действие около 760 000 ID-сертификатов, которые использовались в сфере госуслуг, причем некоторые типы карт имели высокую степень защиты{110}110
Dan Goodin (6 Nov 2017), “Flaw crippling millions of crypto keys is worse than first disclosed,” Ars Technica, https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed.
[Закрыть].
Риски усугубляются однообразием ПО и аппаратных средств, принадлежностью их к определенной монокультуре. Мы пользуемся одной из трех компьютерных ОС и одной из двух мобильных ОС. Больше половины людей во всем мире пользуются веб-браузером Chrome, предпочтения остальных распределяются между пятью другими. В качестве текстового редактора большинство из нас используют Microsoft Word, а в качестве табличного – Excel. Почти все мы читаем файлы в формате pdf, просматриваем их в формате jpeg или avi, прослушиваем в формате mp3. Почти все устройства в мире связываются между собой с помощью интернет-протоколов TCP/IP. И базовые компьютерные стандарты – не единственная причина формирования монокультуры. Согласно данным Министерства национальной безопасности США на 2011 г., система GPS жизненно необходима для 11 из 15 важнейших секторов инфраструктуры{111}111
US Department of Homeland Security (Nov 2012), “National risk estimate: Risks to U.S. critical infrastructure from global positioning system disruptions,” https://www.hsdl.org/?abstract&did=739832.
[Закрыть]. «Взлом класса» в этом и в других протоколах сильно повлияет как на миллионы устройств, так и на миллионы людей. Сегодня интернет вещей демонстрирует определенное разнообразие, но, если не изменятся базовые принципы экономической политики, в нем останутся пара-тройка процессоров, одна-две ОС, несколько контроллеров и столько же протоколов обмена данными.
«Взломы класса» приводят к проникновению в системы червей, вирусов и других вредоносных программ. Подумайте о принципе «одна атака – множественный урон». Мы говорим о мошенничестве с голосованием как о голосовании неавторизованных лиц, а не о желании одного-единственного человека или организации удаленно манипулировать машинами для голосования или списками избирателей. Но именно так системы и выходят из строя – хакеры взламывают машины.
Рассмотрим пример. На то, чтобы овладеть мастерством, карманнику нужно время. Каждая потенциальная жертва – это новая задача, однако каждая успешная кража не гарантирует успеха в будущем. Но когда речь идет о взломе электронного замка наподобие тех, что устанавливаются в отелях, не нужно тратить годы и нарабатывать сноровку. Достаточно выявить конструктивный дефект и создать карту-ключ, которая отомкнет любую дверь. Если взломщик опубликует хакерскую программу, то вскрыть электронный замок сможет кто угодно. Подключим сюда интернет – и злоумышленник станет открывать двери, оборудованные электронной системой запирания, удаленно. Причем все за один прием. Это «взлом класса».
В 2012 г. «взлом класса» коснулся Onity – компании по производству электронных дверных замков; они установлены в четырех миллионах гостиничных номеров таких сетевых отелей, как Marriott, Hilton и InterContinental{112}112
Andy Greenberg (26 Nov 2012), “Security flaw in common keycard locks exploited in string of hotel room break-ins,” Forbes, https://www.forbes.com/sites/andygreenberg/2012/11/26/security-flaw-in-common-keycard-locks-exploited-in-string-of-hotel-room-break-ins.
[Закрыть]. Самодельный код позволил хакерам открыть все замки за несколько секунд. Инструкция по его применению распространилась очень быстро, однако руководству Onity потребовалось несколько месяцев, чтобы просто узнать о взломе электронной системы{113}113
Andy Greenberg (6 Dec 2012), “Lock firm Onity starts to shell out for security fixes to hotels’ hackable locks,” Forbes, https://www.forbes.com/sites/andygreenberg/2012/12/06/lock-firm-onity-starts-to-shell-out-for-security-fixes-to-hotels-hackable-locks. Andy Greenberg (15 May 2013), “Hotel lock hack still being used in burglaries months after lock firm’s fix,” Forbes, https://www.forbes.com/sites/andygreenberg/2013/05/15/hotel-lock-hack-still-being-used-in-burglaries-months-after-lock-firms-fix. Andy Greenberg (1 Aug 2017), “The hotel room hacker,” Wired, https://www.wired.com/2017/08/the-hotel-hacker.
[Закрыть]. Из-за отсутствия способа пропатчивания (вернемся к вопросу в главе 2) гостиничные номера оставались под угрозой в течение нескольких месяцев и даже лет.
«Взлом класса» – далеко не новое понятие в теории риск-менеджмента. Кража или пожар вряд ли произойдут сразу во всех соседних квартирах, однако землетрясения или наводнения, которые либо затрагивают весь район, либо обходят его стороной, – другое дело. Компьютерная система несет черты как тех, так и других видов бедствий.
Подобная природа компьютерных сбоев меняет основу системы безопасности и наше представление о методах защиты. Угроза, исходящая от среднестатистического злоумышленника, нас не беспокоит – нас беспокоят экстремальные ситуации и отдельные личности, способные навредить всем и каждому.
Атаки становятся проще, быстрее и эффективнее
Стандарт шифрования данных (Data Encryption Standard – DES) – алгоритм шифрования, разработанный в 1970-е гг. Предусмотренный в нем уровень безопасности отвечал запросам времени и позволял противостоять попыткам взлома. По оценке экспертов-криптографов, сделанной в 1976 г., стоимость создания машины, способной хакнуть DES, составила бы $20 млн{114}114
Whitfield Diffie and Martin E. Hellman (1 Jun 1977), “Exhaustive cryptanalysis of the NBS Data Encryption Standard,” Computer, https://www-ee.stanford.edu/~hellman/publications/27.pdf
[Закрыть]. В книге «Прикладная криптография» (Applied Cryptography){115}115
Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. – М.: Триумф, 2012.
[Закрыть], которая вышла в 1995 г., я пишу, что стоимость снизилась до $1 млн. В 1998 г. Фонд электронных рубежей[16]16
Фонд электронных рубежей (Electronic Frontier Foundation) – американская правозащитная организация. – Прим. пер.
[Закрыть] за $250 000 построил машину, которая взломала DES менее чем за сутки{116}116
Electronic Frontier Foundation (1998), Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design, O’Reilly & Associates.
[Закрыть]. Сегодня на это способен даже ноутбук.
В 1990-е гг. сотовые телефоны «доверяли» вышкам мобильной связи без какой бы то ни было аутентификации. А все потому, что процесс аутентификации был непростым. Так же непросто было задействовать и фейковые вышки. Перенесемся на пять лет вперед, когда фальшивые сотовые вышки стали секретным средством слежки ФБР{117}117
Stephanie K. Pell and Christopher Soghoian (29 Dec 2014), “Your secret Stingray’s no secret anymore: The vanishing government monopoly over cell phone surveillance and its impact on national security and consumer privacy,” Harvard Journal of Law and Technology 28, no. 1, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2437678.
[Закрыть]. Переместимся еще на пять лет вперед. Фейковая вышка – настолько обычная вещь, что хакеры демонстрируют ее возможности прямо во время конференций.
Аналогичным образом увеличивающееся быстродействие компьютеров позволяет использовать их для раскрытия паролей, которые перебираются до тех пор, пока не найдется верный. При этом длина и сложность пароля, который хочет и может запомнить обычный человек, не изменились. В результате мы пользуемся паролями, которые считались надежными 10 лет назад, но сейчас таковыми уже не являются.
От сотрудника АНБ я услышал следующий афоризм: «Атаки не становятся хуже, они только совершенствуются». Год от года на взлом уходит все меньше времени, средств и усилий. То, что сегодня существует в теории, завтра будет применяться на практике. Информационные системы используются намного дольше, чем планируется, и мы вынуждены предугадывать действия злоумышленников с учетом развития технологий.
Хакеры тоже учатся и адаптируются к постоянно изменяющимся условиям. В этом и заключается отличие защищенности от безопасности. Противодействие торнадо относится к проблеме безопасности: мы можем говорить о различных способах защиты и об их относительной эффективности, приятно удивляться, что некоторые достижения технического прогресса позволяют избежать разрушительных последствий стихийного бедствия. А еще мы точно знаем, что торнадо не приспособятся к нашим средствам защиты и не изменятся. Потому что они – природное явление.
Совсем другое дело – люди. Их отличают творческая одаренность и интеллект, способность менять тактику, изобретать новые устройства и постоянно адаптироваться к ситуации. Злоумышленники изучают системы в поисках способа «взлома класса». И когда попытки одного венчаются успехом, все остальные начинают применять обнаруженный способ снова и снова до тех пор, пока уязвимость не устраняется. Меры защиты сетей, эффективные сегодня, завтра могут и не сработать, потому что взломщики найдут способ их обойти.
Все это означает только одно – объем знаний растет как снежный ком. Недавно секретные методы ведения войны уже рассматриваются в диссертациях и становятся инструментом хакера. Вот, к примеру, метод дифференциального криптоанализа. Он был разработан АНБ еще до того, как в 1970-е гг. его открыли математики корпорации IBM, создававшие DES{118}118
Don Coppersmith (May 1994), “The Data Encryption Standard (DES) and its strength against attacks,” IBM Journal of Research and Development 38, no. 3, http://simson.net/ref/1994/coppersmith94.pdf.
[Закрыть]. АНБ засекретило{119}119
Eli Biham and Adi Shamir (1990), “Differential cryptanalysis of DES-like cryptosystems,” Journal of Cryptology 4, no. 1, https://link.springer.com/article/10.1007/BF00630563.
[Закрыть] открытие, но в конце 1980-х гг. метод снова открыли ученые-криптографы.
Защита должна учитывать происходящие изменения. То, что спасало вчера, сегодня может и не спасти и почти наверняка не спасет завтра.
Глава 2
Пропатчивание – неработающая модель безопасности
Существуют две базовые модели безопасности. Одна происходит из физического мира опасных технологий – мира автомобилей, самолетов, медикаментов и медицинского оборудования, архитектуры и строительства. Это традиционная концепция, которую можно описать фразой: «Делайте правильно с первого раза». Модель эта предполагает тщательное тестирование, сертификацию систем безопасности и лицензирование инженеров. В крайних проявлениях это медленный и дорогостоящий процесс (подумайте о тестировании нового самолета или лекарства перед тем, как те выходят на рынок), ведь каждое изменение сопровождается испытаниями на предмет безопасности.
Мы действуем таким образом, потому что последствия от возможных ошибок могут обернуться катастрофой. Потому что не хотим, чтобы рушились здания, падали самолеты и люди тысячами умирали от побочных эффектов медикаментов. Полностью устранить риски нам не по силам, но мы снижаем их процент посредством испытаний.
Источник другой модели безопасности – быстро меняющийся, ничем не ограниченный, крайне запутанный и пока еще безобидный мир ПО. Ее девиз: «Убедитесь, что защита легко адаптируется», или, если придерживаться лексикона небезызвестной соцсети: «Двигайтесь вперед как можно быстрее»{120}120
В 2014 г. Facebook[95]95
Деятельность компании Meta Platforms, Inc. (в т. ч. по реализации сетей Facebook и Instagram) запрещена в Российской Федерации как экстремистская. – Прим. ред.
[Закрыть] поменял девиз. Samantha Murphy (30 Apr 2014), “Facebook changes its ‘Move fast and break things’ motto,” Mashable, http://mashable.com/2014/04/30/facebooks-new-mantra-move-fast-with-stability/#ebhnHppqdPq9.
[Закрыть]. Действуя в соответствии с этой концепцией, мы стараемся удостовериться, что, обнаружив уязвимость, сумеем оперативно обновить наши системы. Пытаемся построить жизнеспособные системы, которые быстро и с минимальными потерями восстановятся после взлома, подстраиваться под меняющиеся обстоятельства и противостоять новым угрозам. Но, по большому счету, мы проектируем системы, на которые сможем оперативно и эффективно устанавливать патчи[17]17
Патч, или «заплата», – код для оперативного исправления или нейтрализации ошибки в программе. – Прим. пер.
[Закрыть]. О том, насколько хорошо решаются эти задачи, можно спорить, но мы смиряемся с ситуацией, поскольку потенциальные издержки не слишком велики.
Когда речь заходит о безопасности интернета+, две модели вступают в противоречие. Взять хотя бы ситуации с автомобилями, бытовыми и компьютеризированными медицинскими приборами, термостатами, машинами для подсчета итогов голосования, системами управления дорожным движением, а также с производствами и стратегическими объектами разного рода: химическими заводами, плотинами, электростанциями. Конфликт постоянно усугубляется, а ставки растут, потому что аварии грозят потерей имущества и человеческими жертвами.
Установка патчей – наиболее частое действие в отношении нашего ПО, его обновление, первое средство, к которому мы обращаемся, чтобы сохранить безопасность системы. Чтобы правильно оценить проблемы в области безопасности, важно понимать, насколько эффективно работает то или иное ПО и как оно проявит себя в будущем.
В любом сегменте ПО масса необнаруженных уязвимостей. Большинство может находиться в состоянии покоя в течение месяцев и даже лет, но некоторые обнаруживаются довольно быстро. Найти уязвимость ПО могут как сотрудники компаний или государственных структур, так и независимые исследователи или киберпреступники. Безопасность поддерживается следующим образом: 1) те, кто обнаруживает уязвимость, сообщают об этом разработчику ПО и общественности; 2) разработчик оперативно выпускает соответствующий патч; 3) пользователи так же оперативно устанавливают этот патч.
Понадобилось время, чтобы мы пришли к описанному алгоритму. Еще в начале 1990-х гг. все происходило примерно так. Исследователи сообщали об уязвимостях только разработчикам (минуя общественность) – те реагировать не спешили. Могло пройти несколько лет, прежде чем они приступали к нейтрализации «дыры». Выждав время, исследователи публично заявляли о существующей проблеме, тем не менее производители называли эти нападки «теоретическими» и недостойными внимания, угрожали судом и продолжали бездействовать. Единственным выходом из сложившейся ситуации становилась публикация материала с подробными сведениями об ошибке.
Сегодня исследователи предупреждают разработчиков, а следом представляют информацию публике. Факт обнародования становится тем самым «кнутом», который подстегивает производителей к оперативному выпуску соответствующего патча, а также инструментом, позволяющим аналитикам обмениваться опытом и приобретать известность в своем сообществе. Кроме того, публикации помогают исследователям отслеживать тенденции в области безопасности, стимулируют их развивать навыки. Выражение «ответственное раскрытие информации» как раз об этом{121}121
Stephen A. Shepherd (22 Apr 2003), “How do we define responsible disclosure?” SANS Institute, https://www.sans.org/reading-room/whitepapers/threats/define-responsible-disclosure-932.
[Закрыть].
Множество аналитиков, от хакеров-одиночек до научных работников и инженеров – сотрудников корпораций, находят и ответственно раскрывают информацию о проблемах. Руководители корпораций предлагают премии тем хакерам, которые сообщают об уязвимостях, вместо того чтобы обнародовать эту информацию или использовать ее в преступных целях. В структуре Google есть подразделение Project Zero, задача которого – поиск слабых мест в наиболее популярном ПО, как находящемся в открытом доступе, так и в персональном{122}122
Andy Greenberg (16 Jul 2014), “Meet ‘Project Zero,’ Google’s secret team of bug-hunting hackers,” Wired, https://www.wired.com/2014/07/google-project-zero. Robert Hackett (23 Jun 2017), “Google’s elite hacker SWAT team vs. everyone,” Fortune, http://fortune.com/2017/06/23/google-project-zero-hacker-swat-team.
[Закрыть]. Можно спорить о том, что на самом деле мотивирует исследователей (многие действуют ради известности или вознаграждения), но не об эффективности их работы. Несмотря на то что количество «дыр» стремится к бесконечности, устранение хотя бы одной из них обеспечивает безопасность целого сегмента ПО{123}123
Andy Ozment and Stuart Schechter (1 Jul 2006), “Milk or wine: Does software security improve with age?” in Proceedings of the 15th USENIX Security Symposium, https://www.microsoft.com/en-us/research/publication/milk-or-wine-does-software-security-improve-with-age.
[Закрыть].
В системе «найти уязвимость и установить патч» есть слабые места, большинство из них проявляется в интернете+. Давайте рассмотрим последовательность действий по снижению уровня опасности ПО (исследование уязвимостей – информирование разработчиков – написание и публикация патчей – установка патчей) в обратном порядке.
Установка патчей. Помню время, когда пользователи, а более остальных представители корпоративных сетей, с опаской относились к инсталляции патчей по причине их «сырости» и потенциального вреда, который, будучи плохо протестированными, они могли причинить системе. Недоверие распространялось на всех, кто выпускал ПО. С годами ситуация изменилась. Крупные компании – разработчики ОС Microsoft, Apple и в особенности Linux – стали намного тщательнее тестировать патчи перед релизом. Узнав об этом, пользователи начали устанавливать патчи оперативнее и чаще. Кроме того, не прекращает совершенствоваться и сам процесс пропатчивания.
Тем не менее патчи устанавливают далеко не все. Согласно эмпирическому анализу отрасли, одна четверть пользователей обращается к патчам в день выхода, другая – в течение месяца после релиза, третья – в течение года, а последняя – никогда. Процент установки патчей в военной и в других отраслях промышленности, а также в области здравоохранения еще ниже из-за особенностей используемого там ПО.
Причин, по которым люди не считают необходимым обращаться к патчам, множество: кто-то использует пиратские копии ПО и не нуждается в обновлении системы, кто-то не доверяет разработчикам, встраивающим в апдейты ненужные пользователю функции, а у кого-то просто не хватает времени{124}124
Malwarebytes (4 Oct 2017), “PUP reconsideration information: How do we identify potentially unwanted software?” https://www.malwarebytes.com/pup.
[Закрыть]. Некоторые системы, принадлежащие интернету вещей, по умолчанию затрудняют обновление. Как часто вы апгрейдите программы в роутере, холодильнике или в микроволновой печи? Уверен, что никогда. И да, скорее всего, вы даже не задумывались о такой возможности.
Эту проблему хорошо иллюстрируют три истории, произошедшие в 2017 г. Система одного из крупнейших американских кредитных агентств Equifax была взломана из-за того, что ее сотрудники в течение двух месяцев так и не нашли времени, чтобы установить на веб-сервер патч от Apache{125}125
Cyrus Farivar (15 Sep 2017), “Equifax CIO, CSO ‘retire’ in wake of huge security breach,” Ars Technica, https://arstechnica.com/tech-policy/2017/09/equifax-cio-cso-retire-in-wake-of-huge-security-breach.
[Закрыть]. Свирепствовавшая повсеместно вредоносная программа WannaCry поражала исключительно «непропатченный» Windows. Ботнет системы интернета вещей Amnesia использовал уязвимость в цифровых видеомагнитофонах{126}126
John Leyden (7 Apr 2017), “‘Amnesia’ IoT botnet feasts on year-old unpatched vulnerability,” The Register, https://www.theregister.co.uk/2017/04/07/amnesia_iot_botnet.
[Закрыть]. Уязвимость выявили и ликвидировали за год до появления ботнета, однако уже имевшиеся системы так и не получили обновления.
Ситуация с компьютерами, внедренными в устройства из интернета вещей, намного хуже. В большинстве девайсов – как дорогих, так и бюджетных – пользователям нужно самостоятельно загружать и инсталлировать патчи, и многим это оказывается не по силам. Бывает, что у провайдеров есть возможность удаленно пропатчивать роутеры и модемы, но это редкость{127}127
Fredric Paul (7 Sep 2017), “Fixing, upgrading and patching IoT devices can be a real nightmare,” Network World, https://www.networkworld.com/article/3222651/internet-of-things/fixing-upgrading-and-patching-iot-devices-can-be-a-real-nightmare.html.
[Закрыть]. Существуют также устройства, не подлежащие обновлению, например цифровой видеомагнитофон. Проще заменить его на новый, чем обновлять фирменную прошивку{128}128
Lucian Constantin (17 Feb 2016), “Hard-coded password exposes up to 46,000 video surveillance DVRs to hacking,” PC World, https://www.pcworld.com/article/3034265/hard-coded-password-exposes-up-to-46000-video-surveillance-dvrs-to-hacking.html.
[Закрыть].
Таким образом, за последние пять-десять лет только в бюджетном сегменте рынка мы получили сотни миллионов незащищенных, не подлежащих обновлению и при этом подключенных к интернету устройств. В 2010 г. эксперт в сфере безопасности обследовал 20 домашних роутеров и взломал половину из них{129}129
Craig Heffner (6 Jul 2010), “How to hack millions of routers,” DefCon 18, https://www.defcon.org/images/defcon-18/dc-18-presentations/Heffner/DEFCON-18-Heffner-Routers.pdf. Craig Heffner (5 Oct 2010), “DEFCON18: How to hack millions of routers,” YouTube, http://www.youtube.com/watch?v=stnJiPBIM6o.
[Закрыть]. Среди не прошедших проверку оказались роутеры популярных брендов. С тех пор ситуация не изменилась{130}130
Jennifer Valentino-DeVries (18 Jan 2016), “Rarely patched software bugs in home routers cripple security,” The Wall Street Journal, https://www.wsj.com/articles/rarely-patched-software-bugs-in-home-routers-cripple-security-1453136285.
[Закрыть].
Обратили на это внимание и хакеры, и теперь вирус DNSChanger атакует домашние роутеры и компьютеры. В 2012 г. в Бразилии с целью финансового мошенничества были взломаны 4,5 млн маршрутизаторов DSL{131}131
Graham Cluley (1 Oct 2012), “How millions of DSL modems were hacked in Brazil, to pay for Rio prostitutes,” Naked Security, http://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012.
[Закрыть]. В 2013 г. червь Linux поразил роутеры, камеры и другие устройства{132}132
Dan Goodin (27 Nov 2013), “New Linux worm targets routers, cameras, ‘Internet of things’ devices,” Ars Technica, http://arstechnica.com/security/2013/11/new-linux-worm-targets-routers-cameras-Internet-of-things-devices.
[Закрыть]. В 2016 г. ботнет Mirai захватил цифровые видеомагнитофоны, веб-камеры и роутеры, воспользовавшись такой ошибкой пользователей, как применение присвоенных по умолчанию паролей{133}133
Robinson Meyer (21 Oct 2016), “How a bunch of hacked DVR machines took down Twitter and Reddit,” Atlantic, https://www.theatlantic.com/technology/archive/2016/10/how-a-bunch-of-hacked-dvr-machines-took-down-twitter-and-reddit/505073, Manos Antonakakis et al. (8 Aug 2017), “Understanding the Mirai botnet,” in Proceedings of the 26th USENIX Security Symposium, https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-antonakakis.pdf.
[Закрыть].
Вопреки ожиданиям, трудности возникают и с пропатчиванием дорогих устройств из интернета вещей. В 2015 г. Chrysler отозвала 1,4 млн автомобилей, чтобы устранить уязвимость, о которой я говорил в самом начале книги{134}134
Andy Greenberg (24 Jul 2016), “After Jeep hack, Chrysler recalls 1.4m vehicles for bug fix,” Wired, https://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1–4m-vehicles-bug-fix.
[Закрыть]. Тем, кто успел приобрести авто, по почте выслали флешку с антивирусом; ее следовало вставить в порт на приборной панели. В 2017 г. Abbott Labs уведомила 465 000 пациентов, пользующихся ее кардиостимуляторами, о необходимости посетить авторизованную клинику, чтобы произвести обновление системы безопасности устройства{135}135
Dan Goodin (30 Aug 2017), “465k patients told to visit doctor to patch critical pacemaker vulnerability,” Ars Technica, https://www.arstechnica.com/information-technology/2017/08/465k-patients-need-a-firmware-update-to-prevent-serious-pacemaker-hacks.
[Закрыть]. Хорошо, что для этого не требовалась операция на открытом сердце.
Скорее всего, проблема, встречающаяся при апгрейде дорогих устройств, будет носить временный характер, а компании, которым прежде не доводилось разрабатывать патчи, научатся это делать. Фирмы по продаже дорогого оборудования со встроенным компьютером придут к тому, чтобы разрабатывать системы с автоматическим пропатчиванием. В противовес Chrysler можно привести Tesla, у которой обновления ПО и его установка происходят автоматически и к тому же по ночам. Аналогичным образом действует Kindle: патчи инсталлируются без контроля владельцев – те даже не знают об очередном обновлении системы{136}136
Kyree Leary (27 Apr 2017), “How to update your Kindle and Kindle Fire devices,” Digital Trends, https://www.digitaltrends.com/mobile/how-to-update-your-kindle.
[Закрыть].
Написание и публикация патчей. Разработчики не торопятся с выпуском обновлений систем безопасности. Одно из исследований, проведенных в 2016 г., выявило, что около 20 % всех уязвимостей и 7 % уязвимостей в 50 топ-приложениях не устраняются в тот же день, когда объявляют об их наличии. (Справедливости ради замечу, что дела обстоят лучше, чем прежде. В 2011 г. треть обнаруженных «дыр» оставалась вообще без патчей.) Но гораздо хуже другое – еще 1 % получает обновление в течение месяца после появления информации. Это значит, что если производитель сразу не инсталлирует патч, то вряд ли он займется этим в ближайшее время. Например, после того, как Google выпускает обновления, пользователи ОС Android месяцами ждут, пока производители мобильных телефонов сделают патчи доступными{137}137
Alex Dobie (16 Sep 2012), “Why you’ll never have the latest version of Android,” Android Central, http://www.androidcentral.com/why-you-ll-never-have-latest-version-android.
[Закрыть]. Получается, что на половину всех сотовых, работающих на ОС Android, обновления не устанавливаются как минимум год{138}138
Gregg Keizer (23 Mar 2017), “Google: Half of Android devices haven’t been patched in a year or more,” Computerworld, https://www.computerworld.com/article/3184400/android/google-half-of-android-devices-havent-been-patched-in-a-year-or-more.html.
[Закрыть].
Кроме того, зачастую патчи оказываются менее надежными, чем ожидалось, и время от времени по-прежнему выводят из строя системы, которые, по логике, должны исправлять. В 2014 г. телефоны пользователей, установивших обновление для ОС iOS[18]18
iOS – мобильная операционная система для смартфонов, электронных планшетов, портативных цифровых плееров Apple. – Прим. пер.
[Закрыть], перестали получать сигнал мобильной связи{139}139
Adrian Kingsley-Hughes (24 Sep 2014), “Apple pulls iOS8.0.1 update, after killing cell service, Touch ID,” ZDNet, http://www.zdnet.com/article/apple-pulls-ios-8–0–1-update-after-killing-cell-service-touch-id.
[Закрыть]. В 2017 г. дефектный патч для подключенных к интернету дверных замков Lockstate отключил эти устройства{140}140
Dan Goodin (14 Aug 2017), “Update gone wrong leaves 500 smart locks inoperable,” Ars Technica, https://www.arstechnica.com/information-technology/2017/08/500-smart-locks-arent-so-smart-anymore-thanks-to-botched-update.
[Закрыть]. Двери перестали открываться и закрываться. В 2018 г. в ответ на выявление в центральном процессоре уязвимостей Spectre и Meltdown компания Microsoft выпустила обновление, которое целиком и полностью, без возможности восстановления, вывел из строя ряд компьютеров{141}141
Mathew J. Schwartz (9 Jan 2018), “Microsoft pauses Windows security updates to AMD devices,” Data Breach Today, https://www.databreachtoday.com/microsoft-pauses-windows-security-updates-to-amd-devices-a-10567.
[Закрыть]. Есть и другие примеры{142}142
Larry Seltzer (15 Dec 2014), “Microsoft update blunders going out of control,” ZDNet, http://www.zdnet.com/article/has-microsoft-stopped-testing-their-updates.
[Закрыть].
Если мы обратимся к встроенным системам и устройствам из интернета вещей, то увидим, что с ними все еще хуже. Наши компьютеры и смартфоны безопасны настолько, насколько это вообще возможно на данный момент, ведь над написанием патчей трудятся команды программистов. Компаниям по выпуску цифровых устройств по средствам иметь таких специалистов, потому что их программы приносят огромные деньги. Уровень безопасности гаджетов определяется конкурентоспособностью фирмы-производителя. Однако к производству систем, встроенных в цифровые видеомагнитофоны, или домашних роутеров все вышесказанное не имеет никакого отношения. И цифровые видеомагнитофоны, и домашние роутеры продаются с куда меньшей наценкой и в куда меньших объемах и часто производятся в странах третьего мира. Продукт разрабатывает впопыхах набранная команда, которая либо распускается после выполнения задачи, либо начинает сотрудничать с другой компанией. Отдельные части кода могут быть устаревшими, но это никак не влияет на регулярность их применения. Плюс может отсутствовать источник кода, а это серьезно затрудняет написание обновлений. У компаний, прибегающих к такому способу защиты своих устройств, нет возможности нанять высококлассных специалистов.
Еще один минус предпоследнего этапа обеспечения безопасности – общая незаинтересованность в разработке патчей для уже инсталлированных программ. Производителю микросхем выгоднее новая версия чипов, производителю устройств – вопросы совместимости с этими новыми чипами. Фирма-поставщик, название которой фигурирует на коробке, – лишь торговый посредник. Ну а поддержка старых чипов и старых продуктов – далеко не первоочередная задача.
Впрочем, даже если производитель готов заниматься вопросами безопасности, он неизбежно сталкивается с рядом трудностей. Обнаружив уязвимости в ОС, Microsoft надлежит писать обновления для каждой версии. Поддержка сразу нескольких ОС – слишком дорогое удовольствие, из-за чего Microsoft, Apple и все остальные занимаются исключительно свежими версиями{143}143
Microsoft Corporation (дата обращения 5 ноября 2024), “Windows lifecycle fact sheet,” https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet.
[Закрыть]. Если вы используете устаревшую версию Windows или macOS, то обновления для систем безопасности не получите, потому что компании их больше не выпускают.
Пропатчивание не сработает и в случае с вещами длительного применения. Цифровой видеомагнитофон мы покупаем каждые пять или десять лет, а холодильник – не чаще, чем раз в 25 лет. На машине мы ездим лет десять, потом продаем ее тому, кто будет водить ее не меньше, а далее она оказывается в стране третьего мира, где служит еще пару десятилетий. Теперь попробуйте включить домашний персональный компьютер Commodore выпуска 1978 г. или запустить VisiCalc[19]19
VisiCalc – первая электронная таблица для персональных компьютеров. – Прим. пер.
[Закрыть], выпущенную в том же году, и посмотрите, что произойдет. Мы просто не знаем, как поддерживать ПО 40-летней давности.
Рассмотрим пример с производителем авто. Ежегодно он продает десятки моделей с десятком встроенных в них программ. Даже если предположить, что ПО обновляется раз в два года и компания поддерживает машины не более 20 лет, обновлять пришлось бы от 20 до 30 разных программ. (Для Bosch – поставщика запчастей множеству производителей – эта цифра составила бы больше 200.) Затраты на тестирование и площадь склада были бы колоссальными. А теперь представьте, что случится, если автопроизводители объявят, что отказываются от поддержки моделей старше пяти-десяти лет. Для окружающей среды это имело бы серьезные последствия.
Мы уже становились свидетелями того, как поставщики прекращают писать патчи для старых систем или же эти системы вообще выходят из оборота. Ряд организаций, столкнувшихся с ущербом от WannaCry, продолжали использовать Windows XP – недоступную для обновлений ОС 17-летней давности. (Microsoft перестала поддерживать ее еще в 2014 г.{144}144
Brian Barrett (14 Jun 2017), “If you still use Windows XP, prepare for the worst,” Wired, https://www.wired.com/2017/05/still-use-windows-xp-prepare-worst.
[Закрыть]) Windows XP все еще используется в почти 140 млн компьютеров по всему миру{145}145
Jeff Parsons (15 May 2017), “This is how many computers are still running Windows XP,” Mirror, https://www.mirror.co.uk/tech/how-many-computers-still-running-10425650.
[Закрыть], в том числе и в банкоматах{146}146
David Sancho, Numaan Huq, and Massimiliano Michenzi (2017), “Cashing in on ATM malware: A comprehensive look at various attack types,” Trend Micro, https://documents.trendmicro.com/assets/white_papers/wp-cashing-in-on-atm-malware.pdf.
[Закрыть]. Пропатчивание не касается и широко распространенной корабельной системы спутниковой связи – ранее ее реализовала Inmarsat Group{147}147
Catalin Cimpanu (26 Oct 2017), “Backdoor account found in popular ship satellite communications system,” Bleeping Computer, https://www.bleepingcomputer.com/news/security/backdoor-account-found-in-popular-ship-satellite-communications-system.
[Закрыть], – несмотря на серьезные уязвимости в системе безопасности. Вообще, это огромная проблема для систем управления производственными процессами: там зачастую используется устаревшее ПО, старые ОС, а обновления очень дороги из-за специфики отрасли. Системы эти могут эксплуатироваться еще долгое время, потому что компании не располагают средствами на пропатчивание.
Проблема усугубляется еще и необходимостью сертификации систем безопасности. Прежде чем все станет компьютером, автомобили, самолеты и медицинские приборы должны пройти многоуровневую проверку. В противном случае они не поступят в продажу. Уже сертифицированный продукт нельзя изменять без новой сертификации. В случае с самолетами ее стоимость превышает $1 млн и на изменение всего одной строки кода уходит целый год. Обязательная сертификация имела смысл в аналоговом мире, когда вещи менялись не так часто и не так сильно. Но сама идея пропатчивания означает, что продукты должны меняться, причем быстро.
