Гэтыя пытаньні ў перадачы «Трайны ўдар — Экспэртыза Свабоды» абмяркоўваюць навуковы аглядальнік Аляксандар Сяргееў і заснавальнік парталу TUT.BY Юры Зісер. Вядзе перадачу Юры Дракахруст.
Дракахруст: Напрыканцы мінулага тыдня новы кампутарны вірус WannaCry атакаваў кампутары шэрагу краінаў. Паведамляецца, што ахвярамі атакі сталі больш як 200 тысяч чалавек у 150 краінах сьвету. Гаворыцца таксама, што самыя маштабныя атакі былі ў Расеі, Украіне і на Тайвані. Рознага кшталту атакі, узломы, заражэньні вірусамі — будзённая рэальнасьць сучаснага сьвету. Але на ваш погляд, у чым асаблівасьць, адрознасьць ад папярэдніх вірусных атакаў цяперашняга WannaCry? Ці былі прэцэдэнты такіх маштабных атак?
Юры Зісер
Зіссер: Канешне былі. Мноства атакаў, мы кожны год перажываем якую-небудзь эпідэмію. Але гэтая эпідэмія асобая. Яна заснаваная на ўразьлівасьці старых апэрацыйных сыстэмаў, у прыватнасьці Windows XP, якая ставілася яшчэ з 2001 году, а з 2014 году Microsoft яе больш не падтрымлівае.
Варта зьвярнуць увагу на тыя аб’екты, якія сталі ахвярамі. Гэта буйныя бюджэтныя ўстановы. Чаму? Таму што яны вырашылі зэканоміць на абнаўленьні софту. Нічога само па сабе кепскага ў гэтым няма, але зь бясьпекай тут атрымаўся пракол. Чаму пацярпелі менавіта шпітальная сыстэма Вялікабрытаніі, МУС Расеі, «Мегафон»? Таму што яны не абнаўлялі свае старыя сыстэмы. А звычайныя карыстальнікі, у якіх стаіць Windows 8, Windows 10, Windows 7 не пацярпелі. Звычайна наадварот — цярпелі звычайныя карыстальнікі шараговыя, а тут пацярпелі арганізацыі. Вось тут вялікае адрозьненьне.
Дракахруст: Аляксандар, а паводле вашых зьвестак, прычына сапраўды ў тым, што пашкадавалі грошы на новыя вэрсіі Windows? І гэтыя 200 тысяч, якія былі атакаваныя, гэта былі ўладальнікі старэнькага Windows ХР? Сяргееў: Я б крыху ўдакладніў тут фармулёўкі. Справа ў тым, што ўразьлівасьць, якая была выкарыстаная гэтым вірусам, была ўласьцівая ня толькі старой вэрсіі Windows ХР, яна была і ў самых апошніх вэрсіях Windows, у тым ліку і ў Windows 10, але яна была да сакавіка гэтага году, калі Microsoft выпусьціла адпаведныя выпраўленьні.
Буйныя фірмы і буйныя бюджэтныя арганізацыі ў некаторых выпадках грэбуюць нормамі інфармацыйнай бясьпекі.
Прычым, у адрозьненьні ад таго, як гэта робіцца звычайна, яны выпусьцілі выпраўленьні нават для ХР, нават для старых вэрсіяў апэрацыйных сыстэмаў, таму што ўразьлівасьць была вельмі небясьпечная. Яны гэта выявілі, і выпусьцілі гэтыя выпраўленьне. Дык вось буйныя фірмы і буйныя бюджэтныя арганізацыі проста, на мой погляд, у некаторых выпадках грэбуюць нормамі інфармацыйнай бясьпекі. Яны адключаюць налады абнаўленьняў. Па самых розных прычынах. У адмінаў гэтых арганізацый ёсьць нейкія матывы адключаць абнаўленьні, якія ім дасылае рэгулярна Microsoft. Вось яны і адключылі. І атрымалі.
Сама гэтая уразьлівасьць стала вядомая ў лютым, у сакавіку Microsoft яе закрыла. А вірус пайшоў у траўні. Ну, можна ж было паклапаціцца?
Дракахруст: А сам па сабе гэты вірус наколькі дасканалы, эфэктыўны? Наколькі цяжка яго нэўтралізаваць?
Сяргееў: Па маштабах ён ня тое каб вельмі вялікі і сур’ёзны. У гісторыі ёсьць прэцэдэнты, калі лік заражаных кампутараў ішоў на мільёны і нават дзясяткі мільёнаў. Але ў дадзеным выпадку сур’ёзным момантам зьяўляецца тое, што ён вымагае даволі буйную суму, ён сапраўды парушае працу кампутараў з каштоўнымі дадзенымі, і гэта можа прывесьці да таго, што арганізацыі будуць вымушаныя заплаціць.
У гісторыі ёсьць прэцэдэнты, калі лік заражаных кампутараў ішоў на мільёны
Кажуць, што ўжо ў некаторым аб’ёме плацяжы сталі паступаць, прычым яны паступаюць праз сыстэму Bitcoin, якую цяжка адсочваць, шмат цяжэй, чым у мінулым, калі плацяжы ішла праз нейкія больш падкантрольныя сыстэмы. Раней, калі падобныя плацяжы вымагальнікам адбываліся праз звычайныя плацёжныя сыстэмы, іх было лягчэй адсочваць. Зараз гэта крыху цяжэй, тым не менш нельга сказаць, што немагчыма. Я думаю, што спэцслужбы пра гэта паклапоцяцца і адпаведны электроны гаманец, куды паступаюць сродкі ад вымагальніцтва, будзе пастаянна пад кантролем, а значыць і ўсе гаманцы, адкуль у яго будуць ісьці плацяжы.
Дракахруст: Юры, а як вы думаеце, ці многія паддадуцца на гэтае вымагальніцтва? У Англіі ўдар прыпаў на шпіталі. Ну дык, здавалася б, трэба ратаваць людзей. Дык заплацяць ці ўжо плацяць?
Зісер: У мяне ўражаньне, што ўсё-такі шпіталі не плацілі, што плацілі выпадковыя карыстальнікі нешматлікія. Проста сума для такіх маштабаў невялікая. Калі за 200 тысяч кампутараў яны атрымаць 30 тысяч даляраў, то гульня ня вартая рызыкі.
Я б на месцы гэтых вымагальнікаў нават не спрабаваў бы атрымаць гэтыя грошы, таму што верагоднасьць таго, што іх зловяць, блізкая да 100%. А гэта не тыя грошы, за якія варта рызыкаваць. Напэўна яны разьлічвалі на большы эфэкт.
Акрамя таго, была навіна пра тое, што нейкі спэцыяліст узламаў вірус, выкрыў у целе віруса адрас нейкага сайту, абракадабра там бессэнсоўная — такога сайту няма. Ён узяў яго зарэгістраваў, атака спынілася. Гэта таксама цікавы момант, што можа ўжо і не пакутуюць брытанскія шпіталі.
Я б на месцы гэтых вымагальнікаў нават не спрабаваў бы атрымаць гэтыя грошы, таму што верагоднасьць таго, што іх зловяць, блізкая да 100%.
І яшчэ я б хацеў удакладніць, што патч для Windows ХР быў выпушчаны толькі зараз, ён не быў выпушчаны ў лютым. У лютым толькі закрылі дзіркі ў вэрсіях Windows 7, 8, 10. А для ХР Microsoft выпусьціў патч толькі зараз, так сказаць, у якасьці бонуса, падарунка, каб не папсаваць рэпутацыю.
Дракахруст: Паводле папярэдніх зьвестак, у Беларусі выпадкаў атакі пакуль не зафіксавана. Беларусь — краіна з высокай канцэнтрацыяй ІТ-кампаніяў, высокім узроўнем кампутарызацыі, і, дарэчы, невысокім узроўнем выкарыстаньня легальных праграмаў. Дык чаму не яна стала аб’ектам? Ці дакладней, ці бачыце вы лёгіку ў выбары аб’ектаў атакі?
Зісер: Канешне ёсьць лёгіка, таму ў неліцэнзійных карыстальнікаў даўно стаяць больш новыя вэрсіі і яны абнаўляюцца. А пацярпелі менавіта старыя сыстэмы, якія працуюць легальна, у якіх былі ліцэнзіі на Windows ХР. У Беларусі такіх сыстэмаў проста няма.
Аляксандар Сяргееў
Сяргееў: Я б тут сур’ёзную лёгіку не шукаў, таму што нельга шукаць тлумачэньня нейкім выпадковым працэсам ці працэсам, зьвязаным з нейкімі недарэчнасьцямі. Наогул распаўсюджаньне вірусу пачалося ў Гішпаніі. Менавіта там ён паразіў адну з буйнейшых тэлефонных кампаніяў Telefonica. Потым ён перакінуўся ў Нямеччыну.
Так, Расею моцна зачапіла, але гэта не значыць, што вірус кудысьці накіроўваўся. Справа ў тым, што інтэрнэт жа агульны на ўсіх, таму куды дайшлі спробы распаўсюджаньня, туды ён і трапіў. Таму можна спрабаваць высьветліць, чаму атакавалі тых, а не іншых, але не варта шукаць за гэтым нейкую злую волю.
Моўных вэрсіяў у віруса больш за 20, ён разьлічаны на шмат краінаў. І тое, што канкрэтна ў Расеі ці дзесьці яшчэ ўспыхнула мацней, а дзесьці не закранула, не думаю, што гэта зьвязана наўпрост зь намерамі яго стваральнікаў. Хутчэй больш цікавае пытаньне пра тое, як наогул атрымалася, што гэтая дзіра была выкарыстаная, бо пра яе насамрэч было вядома дастаткова даўно.
Дракахруст: А якая сытуацыя зараз? Калі Microsoft закрыў усе дзіркі, дык пагрозы WannaCry больш няма?
Сяргееў: Тое, што Microsoft зрабіў сваю працу, гэта яшчэ не значыць, што гэтай працай усе скарысталіся. Натуральна, будзе яшчэ заставацца нейкая колькасьць кампутараў, якія не абароненыя ад гэтага вірусу, ён будзе працягваць дзесьці паціху праяўляцца, але вось такія масавыя зьявы хутчэй за ўсё адбывацца не будуць. Так бывала і раней, калі закрывалі дзіру, праз нейкі час эпідэмія пачынала ісьці на спад і праз некаторы час практычна спынялася. Так што зараз напэўна не даводзіцца казаць пра тое, што гэта сур’ёзная небясьпека. А тыя, хто ўжо трапіў пад яго, павінны неяк праблемы вырашаць.
Нельга сказаць, што гэта ўзьнікла ў адной краіне і перакінулася на іншую.
Зісер: Так, я згодны, Аляксандар мае рацыю, і згодны, што няма лёгікі. Проста злодзеі знайшлі дзіру і скарысталіся ёй. Тое, што пацярпелі па вялікім рахунку менавіта старыя карпаратыўныя сыстэмы, гэта выпадкова, то бок не было такой злой думкі. Нельга сказаць, што гэта ўзьнікла ў адной краіне і перакінулася на іншую, таму што інтэрнэт створаны так, што ўсе працэсы ідуць практычна імгненна, нягледзячы ні на якія краіны, нацыі і г.д.
Дракахруст: У ЗША і Францыі шырока абмяркоўваюцца і пільна дасьледуюцца выпадкі ўзломаў паштовых сэрвэраў кандыдатаў у прэзыдэнты Гілары Клінтан і Эмануэля Макрона. Гучаць абвінавачаньні, што гэта справа рук хакераў, кіраваных Крамлём. Цяперашняя сусьветная атака WannaCry, якая закранула Расею хіба не мацней за іншых — ці не абяляе яна ў пэўным сэнсе Расею? Ці гэтыя сюжэты ніяк не зьвязаныя паміж сабой? Пуцін, дарэчы, адказаў на адпаведнае пытаньне, ён сказаў, што гэта не Расея, і дадаў, што па яго зьвестках, для стварэньня WannaCry былі выкарыстаныя распрацоўкі амэрыканскай разьведкі.
Зісер: Гэта абсалютна не зьвязаныя тэмы, гэта выпадковае супадзеньне. Таму што калі б гэта была атака расейскіх спэцслужбаў, то пра яе б ніхто не ведаў, яна б не была публічная. Яны б ціха скралі нейкія дадзеныя і ўсё гэта зашыфравалі.
Дракахруст: Я не сказаў бы, што перапіску штабоў Клінтан і Макрона скралі так ужо ціха. Усю перапіску вывалілі ў WikiLeaks.
Зісер: Гэта яшчэ адзін аргумэнт, што гэта зрабілі не расейскія спэцслужбы. Таму што яны б не выкладалі.
Дракахруст: Я бачыў апошнюю інфармацыю, што нібыта за цяперашняй атакай можа стаяць Паўночная Карэя. Гэта асабліва цікава ў кантэксьце цяперашняга абвастрэньня сытуацыі вакол КНДР. Яны маглі гэта зрабіць?
Зісер: Яны маглі наогул гэта зрабіць, але не зразумела, навошта ім гэта трэба было. Проста няма лёгікі. Навошта такія рэчы робяць Ісламская дзяржава ці Аль Каіда, зразумела — каб узяць на сябе адказнасьць. А тут адказнасьць ніхто на сябе не ўзяў. Атрымліваецца, што гэта з палітычнага пункту гледжаньня бессэнсоўны акт.
Сяргееў: Ну, узломы пошты Клінтан і Макрона з гэтым канкрэтна ніяк не зьвязаныя. Але пэўная размова пра ролю спэцслужбаў тут магчымая.
Справа ў тым, што спэцслужбы ўважліва сочаць за масавым праграмным забесьпячэньнем, такім як Windows, і іншымі праграмамі, на прадмет пошуку ў іх розных уразьлівасьцяў. Навошта? Для таго, каб у выпадку неабходнасьці выкарыстаць іх у сваёй дзейнасьці. І тая ўразьлівасьць, якая зараз выкарыстаная злодзеямі-вымагальнікамі, была вядомая Агенцтву нацыянальнай бясьпекі ЗША ўжо даўно.
У лютым ці крыху пазьней у іх здарылася ўцечка інфармацыі. Дадзеныя пра гэтую ўразьлівасьць, якія не былі вядомыя нават Microsoft, па нейкіх прычынах трапілі ў поле зроку хакерскай супольнасьці. І ў лютым хакеры прадэманстравалі магчымасьць выкарыстаньня гэтай уразьлівасьці.
Спэцслужбы ўважліва сочаць за масавым праграмным забесьпячэньнем, такім як Windows, і іншымі праграмамі.
Некаторыя палітыкі, заходнія ў тым ліку, папракаюць амэрыканцаў, што яны па сваіх каналах, прыватных, канфідэнцыйных, не паведамілі пра тое, што ў іх ёсьць зьвесткі пра такую ўразьлівасьць Windows, і ў выніку гэта зрабіла магчымым вось гэтую атаку.
Гэта як вы б згубілі зброю дзе-небудзь на дарозе і нікому пра гэта не сказалі. Такі папрок у прынцыпе магчымы. Натуральна, што ўсе спэцслужбы сьвету, і расейскія, і амэрыканскія, і, думаю, паўночнакарэйскія, надзвычай дасканала калекцыянуюць усе такія ўразьлівасьці, асабліва тыя, якія нікому не вядомыя яшчэ, і шукаюць новыя. Там працуюць добрыя спэцыялісты, якія проста пералапачваюць гэтыя код у пошуках дзірак, празь якія можна было б пры неабходнасьці пратачыцца ў чужыя кампутары.