БРЮС ШНАЙЕР НА ФЕСТИВАЛЕ БЕЗОПАСНОСТИ Positive Hack Days рассуждал о доверии, которое цементирует человеческую цивилизацию Источник: Digital October
БРЮС ШНАЙЕР НА ФЕСТИВАЛЕ БЕЗОПАСНОСТИ Positive Hack Days рассуждал о доверии, которое цементирует человеческую цивилизацию
Источник: Digital October

Компания Positive Technologies, производитель программных средств информационной безопасности, во второй раз провела фестиваль безопасности Positive Hack Days. На мероприятии в центре Digital October обсуждались самые разнообразные темы — от методики поиска уязвимостей до проблем киберпанка. С ключевым докладом на PHD 2012 выступил известный криптограф Брюс Шнайер, он прочитал доклад о доверии. «Мы в своей жизни вынуждены доверять огромному количеству людей, — отмечает Шнайер. — Общество просто распадется, если мы не будем доверять друг другу». Однако к Интернету пока это не относится — даже самые благонадежные на первый взгляд сайты могут в какой-то момент атаковать ваш компьютер. В частности, одной из обсуждаемых на фестивале тем стал червь Flame, обнаруженный недавно на территории Ближнего Востока. Доклад о нем сделал старший антивирусный аналитик «Лаборатории Касперского» Александр Гостев.

Червь Flame был обнаружен «Лабораторией Касперского», когда компания по заказу Международного союза электросвязи осуществляла поиск другого вредоноса — Wiper, уничтожившего данные в иракской нефтяной компании. Wiper представляет собой настоящую программную бомбу, которая разрушает всю информацию на компьютере, перезаписывая несколько раз файлы на диске, а в довершение уничтожая и всю файловую систему. В результате поисков найти сам Wiper так и не удалось, но при поиске странных имен файлов сотрудники «Лаборатории» обнаружили Flame (подробнее о Flame см., например, «Flame идет по стопам Stuxnet», Computerworld Россия, 30 мая 2012).

Гостев дополнил ранее опубликованную информацию новыми сведениями. По его словам, некоторые файлы, относящиеся к Flame, датируются 2010 годом, когда был обнаружен Stuxnet, однако, по заверениям Гостева, код нового червя сильно отличается от кода Stuxnet — их явно разрабатывали разные команды.

Код основного модуля Flame оказался очень большим для вируса — 6 Мбайт, поскольку содержал виртуальную машину для исполнения байт-кода Lua и базу данных SQLite, в которой червь хранил сведения о взломанной системе. Кроме того, Flame, в отличие от Stuxnet, не является целенаправленной атакой — это классический зомби-троянец с механизмом контроля, сильно ограничивающим распространение вируса. Специалисты «Лаборатории Касперского» попытались заразить собственную машину, но с командного сервера на нее была передана программа, который удаляла все компоненты червя. Эта программа содержала список всех модулей червя — далеко не все они обнаружены.

Кроме того, стиль программирования, характерный для Flame, по словам Гостева, необычен для вирусописателей, но более характерен для разработчиков традиционного программного обеспечения. Хотя в «Лаборатории Касперского» утверждают, что Flame — это такое же кибероружие, как и Stuxnet, однако по описанным свойствам это скорее инструмент промышленного шпионажа. А значит, его могут использовать не только на Ближнем Востоке, но и в других регионах, как только ими заинтересуются владельцы червя.

Остается открытым вопрос о способе проникновения червя на компьютеры. На зараженных машинах эксперты не обнаружили собственно инфектора, а для дальнейшего проникновения червь пытался использовать уязвимость, закрытую еще в 2010 году. Однако зафиксированы случаи заражения, когда Flame обнаруживался на компьютерах с полностью обновленной операционной системой, что говорит о возможности заражения через неизвестную уязвимость. Вероятно, заражение этой машины было сделано с помощью социальной инженерии и фальшивого сертификата Microsoft, однако пока эта гипотеза не имеет подтверждения. Так что исследования Flame продолжаются, однако все больше организаций начинают сомневаться в безопасности Интернета, и со временем подорванное доверие может привести к самым неприятным последствиям для Сети.