Как показали атаки на серверы Minecraft, в мире существует рынок самых эффективных червей. Такое вредоносное ПО обычно продается на тайных онлайн-площадках, например в «даркнете», существующем параллельно с привычными для нас сайтами, которые мы можем найти с помощью обычных поисковиков. Когда исследователи из «Лаборатории Касперского», специализирующейся на кибербезопасности, изучали предложения на этих рынках, они нашли людей, готовых организовать пятиминутную DDoS-атаку всего за 5 долларов. Атака продолжительностью в один день обошлась бы заказчику в 400 долларов. В «Лаборатории Касперского» подсчитали, что бот-сеть из 1000 компьютеров обходится создателям примерно в 7 долларов в час. Продавцы запрашивают за атаку такой продолжительности в среднем 25 долларов – неплохая норма прибыли[491]. В год атаки вируса WannaCry рынок программ-вымогателей в даркнете оценивался в миллионы долларов, а прибыль некоторых продавцов выражалась шестизначными числами (никаких налогов они, разумеется, не платили)[492].
Несмотря на популярность вредоносных программ в криминальной среде, у специалистов возникли подозрения, что самые совершенные образцы изначально возникали в рамках государственных проектов. WannaCry, заразивший множество компьютеров, использовал так называемую уязвимость нулевого дня – то есть такую, о которой еще не было известно широкой публике. Предположительно эта уязвимость была обнаружена Агентством национальной безопасности США и использовалась для сбора разведывательной информации, а затем о ней каким-то образом узнали другие люди[493]. Технологические компании готовы платить немалые деньги за возможность закрыть эти лазейки. В 2019 году Apple предложила премию до двух миллионов долларов тому, кто сможет взломать новую операционную систему для iPhone[494].
При распространении вредоносного ПО уязвимость нулевого дня ускоряет передачу, повышая восприимчивость компьютеров. В 2010 году стало известно, что червь Stuxnet нарушил работу завода по обогащению урана в иранском Нетензе. Судя по сообщениям, червь мог повредить критически важные центрифуги. Чтобы распространиться по иранским системам, программа использовала двадцать уязвимостей нулевого дня, о которых тогда почти никто не знал. Учитывая уровень сложности атаки, многие СМИ указывали на американских и израильских военных как на возможных создателей червя. Но даже в этом случае изначальное заражение могло стать результатом очень простого действия: высказывались предположения, что червь попал в систему через двойного агента с зараженной USB-флешкой[495].
Компьютерная сеть надежна настолько, насколько надежно ее самое слабое звено. За несколько лет до атаки Stuxnet хакерам удалось получить доступ к защищенной американской системе в Афганистане. По мнению журналиста Фреда Каплана, русская разведка поставляла зараженные USB-флешки в несколько киосков, расположенных вблизи штаб-квартиры НАТО в Кабуле. В конце концов кто-то из американских солдат купил одну из таких флешек и вставил в компьютер с секретной информацией[496]. Поставить безопасность под угрозу могут не только люди. В 2017 году сотрудники одного из американских казино с удивлением обнаружили, что внутренняя информация поступает на компьютер хакера в Финляндии. Но настоящим сюрпризом стал источник утечки: хакер решил не атаковать хорошо защищенный главный сервер и проник в систему через подключенный к интернету аквариум с рыбками[497].
В прошлом хакеры, как правило, стремились получить доступ к компьютерным системам и вывести их из строя. Но по мере того как к интернету стало подключаться все больше устройств, злоумышленников заинтересовала возможность использовать компьютерные системы для управления другими устройствами. Примерно в то же время, когда объектом хакерской атаки стал аквариум из казино в Неваде, Алекс Ломас и его коллеги из британской фирмы Pen Test Partners, специализирующейся на кибербезопасности, задались вопросом, можно ли взломать секс-игрушки с технологией Bluetooth. Им не понадобилось много времени, чтобы выяснить, что некоторые из этих устройств никак не защищены от атаки. Теоретически с помощью нескольких строчек кода можно было взломать игрушку и включить вибрацию на максимум. А поскольку каждый прибор поддерживает только одно соединение, владелец не смог бы его выключить[498].
Но можно ли сделать это в реальности – с учетом того, что у Bluetooth относительно небольшой радиус действия? Ломас считает, что такое вполне возможно. Однажды он прогуливался по Берлину и решил посмотреть список ближайших устройств с Bluetooth. Каково же было его удивление, когда он обнаружил в списке знакомый идентификатор: это была одна из игрушек, которую он и его команда оценили как незащищенную. Вероятно, кто-то носил игрушку с собой, не подозревая, что какой-нибудь хакер может легко ее включить.
Уязвимы не только игрушки с Bluetooth. Ломас с коллегами нашли и другие устройства с плохой защитой, в том числе секс-игрушку с видеокамерой, подключаемой к Wi-Fi. Если пользователь не сменит пароль, установленный по умолчанию, хакер может легко взломать ее и получить доступ к видеопотоку. Ломас подчеркивал, что его команда никогда не пыталась подключаться к устройствам за пределами лаборатории. Кроме того, у исследователей не было цели пристыдить людей, которые пользуются такими игрушками. Наоборот: поднимая эту проблему, они хотели добиться того, чтобы пользователи не боялись вмешательства в их жизнь, а для этого нужно заставить производителей пересмотреть стандарты безопасности.
Атакам могут подвергаться не только секс-игрушки. Ломас обнаружил, что через Bluetooth можно добраться до слухового аппарата его отца. Мишенью хакеров вполне могут оказаться и более сложные устройства: ученые из Университета Брауна выяснили, что не так уж трудно получить доступ к исследовательским роботам, воспользовавшись уязвимостью в популярной операционной системе для робототехники. В начале 2018 года им удалось получить контроль над таким роботом в Вашингтонском университете (с разрешения его владельцев). Но угрозы обнаружились и гораздо ближе: два их собственных робота – промышленный сборщик и дрон – не были защищены от постороннего вмешательства. «Ни один из них не предназначался для подключения к публичным сетям, – отмечали исследователи. – И оба могли нанести физический ущерб при неправильном использовании». Речь шла об университетских роботах, но ученые предупреждали, что подобные проблемы могут возникнуть где угодно: «По мере того как роботы из лабораторий приходят на промышленные предприятия и в дома людей, количество устройств, которые можно взломать, многократно увеличивается»[499].
Устройства с доступом к интернету создают новые связи между разными сторонами нашей жизни. Но зачастую мы не знаем точно, к чему могут привести эти связи. Одна невидимая сеть заявила о себе днем 28 февраля 2017 года, когда некоторые владельцы домов, подключенных к интернету, обнаружили, что не могут включить свет. Или выключить духовку. Или попасть в гараж.
Попытки выявить источник неполадок указывали на Amazon Web Services (AWS) – подразделение Amazon, отвечающее за облачный сервис. Когда в «умном» доме кто-то нажимает на кнопку, чтобы включить «умную» лампочку, уведомление об этом отправляется на облачный сервер (например, AWS), который может располагаться на расстоянии нескольких тысяч миль. Затем сервер посылает сигнал лампочке, и она включается. В тот февральский день некоторые серверы AWS ненадолго отключились от интернета, из-за чего множество домашних устройств перестало реагировать на команды[500].
В целом AWS очень надежна: компания обещает бесперебойную работу серверов 99,99 % времени, и именно такая надежность способствовала популярности облачных сервисов. Они стали настолько востребованными, что в последние годы AWS обеспечивает Amazon почти три четверти прибыли[501]. Однако широкое распространение облачных вычислений вкупе с возможными последствиями отказа сервера вызвали предположение, что система AWS «слишком велика, чтобы рухнуть»[502]. Если значительная часть сети зависит от одной компании, то мелкие проблемы в источнике могут многократно усугубляться. Аналогичные опасения высказывались в 2018 году, когда Facebook объявила, что миллионы пользователей могли пострадать из-за взлома системы безопасности. А поскольку многие используют аккаунт фейсбука для доступа к другим сайтам, такие атаки могут распространяться дальше, чем предполагают пользователи[503].
Мы не впервые сталкиваемся с подобным сочетанием скрытых связей и крупных хабов, в которых сходятся все цепочки. Именно эти особенности сети сделали уязвимой финансовую систему, которая существовала до 2008 года – пока события, казавшиеся локальными, не привели к глобальным последствиям. В онлайн-сетях этот эффект может проявляться еще сильнее. И это приводит к весьма необычным эпидемиям.
Вскоре после проблемы 2000 года в интернете появился «любовный вирус». В начале мая 2000 года люди в разных уголках планеты получили электронные письма с темой «ILOVEYOU». Сообщение было заражено компьютерным червем, замаскированным под текстовый файл с признанием в любви. Когда получатель открывал письмо, червь повреждал файлы на зараженном компьютере, а затем рассылал сам себя по всем электронным адресам из адресной книги. Он распространился довольно широко, парализовав работу электронной почты нескольких организаций, в том числе британского парламента. В конце концов технические отделы приняли меры, которые помогли защитить компьютеры от червя. Но потом произошло нечто странное. Червь не исчез, а остался жить в сети. Даже через год он входил в число самых активных вредоносных программ в интернете[504].
