Порой кажется, что ребята из Голливуда считают компьютеры чем-то магическим, изображая хакеров настоящими волшебниками, творящими чудеса. В кино компьютеры с легкостью взрывают небоскребы, отключают электричество в мегаполисах, блокируют работу транспорта и превращают Мэттью Лилларда (фильм «Хакеры») в предмет женского обожания. Но порой показанное на экране действительно соответствует реальности. Мир информационных технологий полон сюрпризов.
Логическая бомба в Сибири
Много споров и возмущений вызвала сцена в культовом боевике «Крепкий орешек 4», где используя компьютерное «шаманство» плохие парни сожгли газопровод. Помпезность конечно была раздута до пределов, но тем ни менее — эта история не так уж фантастична. Подобное на самом деле произошло… в 1982 году, за шесть лет до эпопеи «орешков».
В разгар холодной войны 1982 года американские спутники засекли большой взрыв в Сибири. Его мощность достигала 3-х килотонн (примерно одна пятая часть от силы атомной бомбы, сброшенной на Хиросиму). Причиной взрыва стали вышедшие из строя системы компьютерного контроля, которые были украдены советскими шпионами. Вот только бравые ребята не знали, что ЦРУ обнаружило утечку информации и подсунуло им подделку — дефектное программное обеспечение для регулировки газопровода, которое было запрограммировано в определенный момент выйти из строя. ЦРУ запустили так называемого «троянского коня». Как вспоминает Томас Рид, бывший секретарь по делам военно-воздушных сил в Совете национальной безопасности:
Это был самый монументальный неядерный взрыв и пожар, который смогли бы увидеть даже из космоса.
К счастью, инцидент обошелся без физических жертв, но нанес сильный удар экономике СССР и вывел из строя систему газопровода. Разработчики логической бомбы создали переключатель, который переводил программу в другой режим после совершения ею нескольких миллионов циклов. В КГБ работали далеко не глупые люди и они конечно же проверили свой трофей. Ну и что же, программа была запрограммирована отлично работать до проведения всех циклов. Что она и делала в течение нескольких месяцев. Но отсчитав нужное число циклов, логическая бомба была автоматически запущена. Программа неожиданно пошла вразнос, изменила скорость работы насосов, значение давления турбин и клапанов. Таким образом допустимое давление для соединений и сварных швов трубопровода повысилось во множество раз. Результат — большой взрыв, прямо как в кино…
Ноутбук, который поставил на колени Министерство обороны
К несчастному «Орешку» вообще достаточно много претензий. Есть еще одна спорная сцена, где Брюс Уиллис узнает, что какой-то негодяй с помощью ноутбука в состоянии закрыть Министерство обороны США. Забавно, но это действительно можно сделать.
В 2008 году интернет заполнили объявления о кибератаке на Министерство обороны США. В локальные сети отделов военных пролез червь — самовоспроизводящийся зловредный код, которого окрестили Agent.btz (вариант червя SillyFDC).
А началось то все с обычной флешки, которую заботливо оставили на парковке комплекса минобороны США на территории военной базы (на Ближнем Востоке). Этот маленький накопитель содержал в себе вредоносный код и был вставлен в USB-порт ноутбука, подключенного к компьютерной сети Центрального командования Министерства обороны США. Все гениально и просто!
Конечно, история с подброшенной флешкой могла оказаться фейковой. Но факт стороннего заражения остается бесспорным. Как и то, что Agent.btz был червем, а не троянской программой. Еще одним важным моментом является существование десятков его различных вариантов.
Злостный Agent.btz мог сканировать компьютер в поиске данных, обходя различные уровни и возможности защиты, после чего отправлял найденную информацию на удаленный командный сервер своих создателей. При этом червь оставлял открытые лазейки для других. Будто какой-то злоумышленник, который влез в дом, вынес приглянувшиеся вещи и оставил открытым черный ход для других воров. Еще и разослал всем сообщения про открытые двери.
В зараженной системе червь создавал файл с именем «thumb.dd» на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: “winview.ocx”, “wmcache.nld” и “mswmpdat.tlb”. В них содержалась информация о зараженной системе и логи активности червя в ней. Если разобраться, то “thumb.dd” представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на C&C сервер.
Кроме того Agent.btz постоянно мутировал, загружая новый и новый код. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные Agent.btz. Как ни старался великий и могучий Пентагон выявить да уничтожить вредоносного червя, последний полтора года успешно работал, нанося ущерб конфиденциальной информации и документам. Так продолжалось до тех пор, пока не переформатировали сотни машин и не конфисковали тысячи зараженных флэш-накопителей.
Операция по защите от кибератаки получила название Operation Buckshot Yankee. Собственно она то и стала отправной точкой для создания Кибернетического командования США (United States Cyber Command).
Выкуп за «освобождение» медицинских результатов
Сложно представить, чтобы хакеры за пределами фильмов составляли записки-аппликации из журнальных вырезок для выкупа… медицинских результатов. «Если Вы хотите увидеть свои анализы, заплатите $ 50,000» — примерно так. И тем ни менее, такое случилось в одной иллинойской клинике.
Чем больше медицинских учреждений переводит записи в цифровой вид, тем ярче хакерские атаки. Как вот в июле 2012 года группа хакеров проникли в компьютерные сети отдела хирургии больницы Лейк-Каунти (Lake County), расположенной в богатой части Иллинойса (пригород Либертивилла). Хакеры забрались на сервер клиники и получили доступ к базе данных пациентов, включающей электронные адреса и медицинские записи.
Злоумышленники даже не думали скрываться, гордо заявляя о своем взломе и о том, что отныне все полезные медицинские данные ими зашифрованы. Они разместили цифровую записку, составленную из журнальных вырезок, где потребовали выкуп за предоставления пароля-доступа к жизненно важной информации. Но персонал больницы принял решение отключить сервер, уведомляя власти и пациентов о том, что случилось и что выкуп больница на заплатит.
Хирурги Лейк-Каунти были не первыми жертвами подобного рода хакерской атаки. В том же 2008 году неприятный инцидент произошел с аптечной сетью Express Scripts. От них тоже потребовали выкуп за персональную информацию клиентов. Для пущей солидности и убедительности злоумышленники направили компании данные на 75 клиентов, в которых содержались номера карточек социального страхования и истории выписанных рецептов. Взамен на сохранность безопасности и избежания скандала, компьютерные мошенники потребовали выкуп. Хоть компания и ставила интересы своих клиентов превыше всего, сумму выплачивать она отказалась. И уведомила почти 700,000 своих клиентов о том, что их информация могла стать достоянием злоумышленников.
Вирус-шпион, круче агента 007
Представьте себе кусок кода, который мог бы превзойти Джеймса Бонда («Агент 007») вместе с Итаном Хантом («Миссия невыполнима»).
Этот шпионский вирус получил название Flame. Он стремительным пламенем разошелся по миру, пройдясь своими вредоносными 20-ю мегабайтами-шпионами по территории нескольких стран Ближнего и Среднего Востока. Первым стал Иран. В то время как Джеймс Бонд развлекался в каком-нибудь ресторане с очередной красоткой, Flame делал настоящую работу шпиона. Именно, он собирал информацию. Этот компьютерный вирус способен копировать файлы данных, захватывая чувствительные скриншоты и скачивая мгновенные расшифровки сообщений, удаленно включать микрофон компьютера и камеры, чтобы записывать разговоры, происходящие рядом с ним.
Если коротко, Flame — это компьютерный вирус, который может инфицировать персональные программы под управлением Microsoft Windows 7, Vista и XP с полным набором установленных патчей. Он проникает на машину, используя практически неизвестные уязвимости. И попадая на новое место, способен пустить в ход различные трюки, распространяясь через USB-флэшки и локальную сеть.
Flame получает команды и данные через Bluetooth, но он также имеет врожденную способность подделывать учетные записи, чтобы избежать разоблачения. Вирус разбит на модули-библиотеки, пользуется собственной базой данных, активно применяет криптографию, компрессию и скриптовое программирование, а также подключает элементы свободного программного обеспечения.
Как правило, в фильмах разоблаченные шпионы раскусывает капсулу с цианидом (или любым другим смертоносным ядом), скрытую под пломбой в зубном протезе или где-то еще. Человек сам себя ликвидирует. Также поступает и Flame, запуская команду самоубийства, автоматически удаляющую вирус и все следы из зараженного компьютера. Пойманный вирус не просто умирает, а заодно и сжигает свое свидетельство о рождении.
Flame подпольно работал в течение пяти лет. Под видом обновлений программного обеспечения Microsoft и как настоящий агент, он раздобыл много секретной информации.
Был человек в сети и нету
В 1995 году Сандра Баллок в киноленте «Сеть» пыталась донести до зрителей опасность хранения личной информации в интернете. С помощью компьютерного взлома хакеры смогли разбить самолет и отравить Денниса Миллера. Собственно также и знаменитая героиня экранизации («Девушка с татуировкой дракона») Лисбет Саландер ловко вершила человеческие судьбы с помощью ноутбука и парочки приятелей-хакеров.
Да, кому-то это может показаться забавным. Но только не американцу Мэту Хонану (старший писатель на wired.com), ему точно не до смеха. Бедняга прочувствовал на себе, что значит в один день лишится всех возможных доступов к аккаунтам (Amazon, GMail, Apple и Twitter). Кроме того вся информация с его iPad, iPhone и MacBook также улетела в трубу. Сделали это с помощью номера телефона писателя и информации, которая была доступна в сети. Мэт Хонан исчез из интернета менее чем за час.
Все началось с того, что хакеры удалили аккаунт Google Хонана (в том числе и всю его переписку за восемь лет, бесценные фотографии 18-ти месячной дочери), а затем использовать его Twitter, чтобы написать туда расистские и гомофобные высказывания. Далее злоумышленники использовали идентификатор Apple, чтобы включить его iPhone, IPad и MacBook и превратить их в блестящие металлические «кирпичи». Для человека, зарабатывающего в интернете все это имело серьезные последствия. Фактически хакеры ловко перекрыли всю виртуальную жизнь Мэта.
Любопытно, что один из хакеров в последствии связался с Хонаном и поделился подробностями взлома. Он рассказал писателю, как именно все провернул (а в это время Хонан, наверное, измывался над его куклой вуду). Хакеру было достаточно получить домашний адрес и номер кредитной карты. А ведь это та информация, которую каждый предоставляет при покупке чего-либо в интернете (еды или вещей).
Хакеры нашли адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Далее, использовали его gmail, чтобы получить счет, позволивший увидеть его частично закрытый альтернативный адрес электронной почты, который был идентификатором Apple. Затем один из злоумышленников позвонил в техническую поддержку Amazon от имени Мэта, чтобы добавить новую кредитную карточку. Адрес, имя и емейл предоставили. После чего самозванец снова позвонил в Amazon, сообщая, что доступ к Amazon аккаунту потерян. В Amazon попросили имя, адрес и номер кредитной карты. После предоставления этой информации, которая была добавлена прежде, номер кредитной карты подошел и лживый Мэт смог добавить новый email адрес к аккаунту, на который восстановил пароль. В Amazon есть возможность посмотреть список сохраненных кредиток, где показываются только последние четыре цифры номера. После этого хакер позвонил в AppleCare, где назвал имя, адрес и последние четыре цифры кредитной карты. И вуаля — ему выдали временный пароль на .me аккаунт! Там самозванец восстановил пароль от GMail, а на GMail пароль от Twitter. И уже с помощью AppleId он смело удалил всю информацию с iPhone, iPad и MacBook пользуясь сервисами Find My Phone и Find My Mac.
Самое печальное и абсурдное в этой истории то, что Хонан пострадал без каких-либо причин. Хакеры не имели ничего против писателя, им просто понравились его записи в Twitter и захотелось использовать именно его для троллинга. Они прошли через весь этот сложный процесс сугубо ради шутки.
Stuxnet рушит планы иранской АЭС
Как было написано ранее, хакеры способны создавать компьютерные вирусы, приводящие ко взрывам. Тот же вирус американцев, который превратил газопровод Сибири в огромный кратер. А как насчет того, чтобы парализовать ядерный потенциал страны?
Одна из самых скандальных историй связана с червём Stuxnet, который начал применятся спецслужбами США примерно с 2007 года. Но именно в 2010 году этот коварный червь вывел из строя двигатели сотни урановых центрифуг на Бушерской АЭС, отбросив назад развитие ядерной программы Ирана.
В июне 2010 года вирус Stuxnet был найден в сетях предприятий, электростанций и систем управления движением по всему миру. Этот червь поражал компьютеры под управлением операционной системы Microsoft Windows. Он мог отключать крупные энергетические сети (например, выключить нефтепровод или остановить работу ядерного реактора) без предупреждения операторов.
Обычно, вирусы менее разборчивые. Они, как грабители, вваливаются в дверь и начинают разрушать вещи. Stuxnet же был иной, он преследовал конкретную цель — центрифугу в главном объекте по обогащению ураном Ирана. После активации своей программы, вирус Stuxnet получил полный контроль над системой и вывел из строя двигатели сотни урановых центрифуг на Бушерской АЭС.
Команда «astu» и команда «astsu» мистера Робота
Еще один любопытный момент был показан в новом сериале про гениального айтишника («Мистер Робот»). В первой серии главный герой по имени Элиот отправляется в дата-центр, где восстанавливает работоспособность серверов используя команды Linux «astu» и «astsu». Эти команды сыграли в последствии решающую роль в сюжете. И выглядели настолько реалистичными, что вызвали бурный спор среди программистов на тему, что они означают. К слову сказать, программное обеспечение, методика, другие команды и вызывающие экраны командной строки Linux, произведенные Элиотом, выглядят вполне правдоподобно.
Одно из мнений говорит о том, что команды «astu» и «astsu» используются как sudo (или ssh). Компания Элиота называется Allsafe Security и обеспечивает кибер-безопасность, возможно производное astsu = Allsafe. Но тема команд «Мистера Робота» — эта тема для отдельной статьи.
Автор: ua-hosting.company