Глава 10

Падение Кореи

«Помню собеседование. Я приехал, сел, стали меня спрашивать, что я умею, что делал. Касперский просто зашел в кабинет: “Привет!” – “Привет!”. Посидел чуть-чуть, послушал, говорит: “Женат?” – “Да”. – “Сколько лет?” – “Кому? Мне или жене?”. Касперский засмеялся, говорит, все, годится. И ушел. Все было очень так кратко. И начали меня учить, – так ведет рассказ об одном из самых знаковых моментов в истории Интернета и своей профессиональной карьере Александр Гостев, главный антивирусный эксперт “Лаборатории Касперского”. – Я бы не сказал, что зарплаты были большие. Я, например, очень хорошо помню, что первые три месяца, когда у меня был испытательный срок, зарплата была относительно смешная. Я так понимаю, что, по московским меркам, пониже среднего уровня. Но на самом деле меня в тот момент деньги не особенно волновали, поскольку работа действительно была крайне интересная. Коллектив тоже.

Меня посадили на обработку входящих новых вирусов. Дятлом. Тогда дятлов, людей, которые разбирали вирус, добавляли в базу, было всего четверо: я, Касперский и еще двое. Меня в течение двух недель обучали, показывали, как что делать. Ночных смен у нас тогда не было, поскольку поток вирусов был не столь большой, по выходным кому-то приходилось просто дежурить, в субботу, воскресенье кто-то на смене находился.

Поразил меня не сам процесс обработки вирусов, то есть не технология. Меня в первую очередь поразил коллектив, реальное такое ощущение стартапа. У всех глаза горят. Народу немного, но все такие заинтересованные – оставались буквально до ночи, приходили рано.

Очень большое количество талантливых людей. На самом деле многие из тех, которые в те годы работали, так и продолжают работать. Такого коллектива мне не доводилось встречать никогда раньше. И работа нравится – чего же больше!

25 января 2003 года была моя первая самостоятельная смена, в субботу я должен был прийти на работу. Я прихожу, начинаю что-то там детектировать, тут как раз подтягивается Касперский, который тоже периодически по выходным появлялся и долбал вирусы.

Мы с ним сидим, что-то разбираем. Тут прибегает Денис Зенкин, наш в то время пресс-секретарь, говорит: “Вы вообще новости видели? Там Южная Корея без Интернета сидит. Что творится!”

Касперский начал быстро связываться с людьми, писать письма другим дилерам вирусной компании, читать новости, выяснять, что происходит. Что-то творилось, но никто не знал что. Вроде кто-то из агентов или какая-то другая вирусная компания по просьбе Касперского прислала нам нечто странное: не файл, то есть его нельзя запустить, не приложение в обычном виде, а набор байт. И мы с Касперским начинаем его смотреть. 376 байт. Набор какой-то символов странный.

Начинаем разбирать – и внезапно, в какой-то момент, Касперский буквально начинает от восторга хлопать в ладоши и говорит: “Ты посмотри! Это же гениально! Вот здесь он попадает в компьютер, тут вот он начинает произвольно выбирать IP-адреса и посылает себя на них. Все! Тела на диске нет, весь код в памяти, распространяться должен очень быстро. Давай, детектируй”.

Я добавляю детектирование этого “червя”, у нас все компоненты загадки складываются воедино. Поняв, что это глобальная эпидемия, что распространяется она очень быстро, что это проблема продукции Microsoft, что отключение Южной Кореи очевидно с этим связано напрямую.

Я зову Зенкина, начинаю ему надиктовывать пресс-релиз, все. Ну и начинается бурная деятельность. Зенкин бегал за нами, записывал всю информацию, готовил к публикации, Касперский переписывался с антивирусными компаниями, пытался узнать масштабы бедствия, я проверял, как наш продукт способен это обнаружить и вылечить, и т. д. В общем, смена была очень бурная, насыщенная, сразу боевое крещение по полной программе.

Собственно, это была эпидемия “червя” Slammer, который тогда за пятнадцать минут заразил четыреста тысяч компьютеров по всему миру. Буквально за эти пятнадцать минут он поразил 90% всего, что он в принципе мог заразить. Очень-очень быстрый “червь”. Нагрузка на Интернет тогда выросла, трафик, наверное, на 80% подрос, потому что пакеты данных метались туда-сюда, каждая зараженная машина отправляла по несколько сотен этих пакетов в секунду.

И тогда Касперский впервые, наверное, и пришел к мысли, что вырубить Интернет при желании какая-нибудь крупная эпидемия может легко и непринужденно. Если вот такой экземпляр отключил на восемь часов Южную Корею, в которой Интернет все эти часы работал с перебоями, то что же будет, если этот вирус станет еще более мощным?

Виновных, автора Slammera'а так и не нашли. Были различные косвенные признаки, которые указывали на азиатское происхождение: либо Китай, либо та же самая Южная Корея, которая первая от него же и пострадала».

Та же история в изложении Касперского: «Год 2000-й. Не помню, на какой-то выставке с двумя настоящими латышами мы сидели и обсуждали тему поведения зловредных программ в Сети. И ближе к рассвету мы пришли к выводу, что грядет полная задница, потому что сети не защищены от глобальных атак, что возможно появление супервируса, который может уничтожить вообще весь Интернет.

Но потом мы молчали об этом, чтобы не будить зверя. А потом какие-то пацаны из какого-то то ли канадского, то ли американского университета ввели понятие флеш-“червяк”, флеш-“worm”. Я посоветовался со своими ребятами в Москве: решили, что пора и нам рассказать о нашем видении.

В начале 2003 года в компании было у нас отчетное собрание по результатам года. Я выхожу и говорю: на самом деле Интернету технически может наступить полный трындец, потому что может появиться такая червячина, которая сделает то-то, то-то и то-то, и Сеть просто рухнет. Это было в пятницу, как сейчас помню.

Через неделю случилась эпидемия Slammer и падение Кореи. Я говорил, что Сети грозит апокалипсис, – и вот, пожалуйста, оказался прав.

После этого я нарезался по полной фишке, ходил по лесу и думал: пацан сказал – пацан сделал. Я чувствовал на себе ответственность за то, что произошло.

Конечно, весь Интернет тогда не рухнул, но у червячины не было задачи его обрушить. Если червячину написать чуть грамотнее, такое будет возможно. Главный принцип Интернета, которым все гордились, – делай что хочешь, ходи куда хочешь, его же и губит. Интернет в этом виде, с этими правилами, неизбежно умрет. Нужно будет менять основные правила, делать Интернет более жестким.

Буякин потом ко мне подошел, говорит: “Жень, когда ты вот об этом говорил, у меня было ощущение, ну, старика понесло… Теперь вижу: ты был прав”».

Выступая в апреле на своей любимой CeBIT в Ганновере, мрачный (как тогда писала о Касперском пресса, устроившая аншлаг на том его выступлении) Евгений заявил о том, что «Интернет уже сидит на таблетках, а вскоре понадобятся капельница и морг… Анонимность в Сети граничит с хаосом».

Тогда-то и были впервые публично сформулированы основные принципы безопасности, которые необходимо реализовать в Сети: принятие единых правил, законодательно утвержденных на национальном уровне и в межгосударственных соглашениях (как в других общественно значимых сетях: телефонной, транспортных, электрических, дорожных и т.п.), создание сетевой полиции и e-Интерпола, введение для каждого пользователя идентификационного номера (ID) или пользовательской лицензии, интернет-паспортизация.

Если этого не произойдет, то «наступит день, когда затормозится весь Интернет», так тогда закончил бледный Касперский свое эпохальное выступление перед журналистами на CeBIT-2003.

Сформулированные тогда регламентирующие Сеть принципы по сей день не внедрены. Разве что чаще стали сажать киберпреступников, но эти случаи единичны и скорее напоминают показательные процессы, нежели реальную борьбу.

Предрекая закат Сети, Касперский еще не знал, насколько он близок к правде жизни.

В августе того же года, то есть спустя всего пять месяцев после ганноверской речи Касперского, по Сети разошелся “червь” Blaster, он же Lovesan, который, по некоторым оценкам, поразил пятьдесят миллионов компьютеров мира. Причем в программе “червя” был зашит текстовый файл из двух строк, который в переводе с английского звучит так: «Любимое наше солнце… Билл Гейтс, перестань делать деньги и, в конце концов, напиши нормальную программу».

Рекордсмены 2003 года, вызвавшие наиболее заметные эпидемии: Sobig – ущерб оценивается в 1,6 млрд долларов, Klez – 750 млн долларов, Tanatos – 500 млн долларов и Mimail, из-за которого пользователи Интернета за год понесли убытки в размере 150 млн долларов.

2004 год превзошел предыдущий по масштабам угроз. В январе 2004 года зафиксирована эпидемия “червя” My doom/ Novarg, на тот момент самого быстрораспространяющегося вируса в истории Интернета. За день было заражено более полумиллиона компьютеров. В пять раз увеличился почтовый трафик. “Червь” проник в каждое 12-е письмо электронной почты мировой Сети. Вирус сканировал жесткий диск на файлы с расширениями htm, wab, txt и другие, находил e-mail адреса и незаметно рассылал по ним зараженные письма через программу, позволяющую использовать компьютер для рассылки спама или новых версий вируса. Так же “червь” внедрял программу несанкционированного удаленного управления, позволяющую преступникам на зараженном компьютере просматривать, изменять, копировать любую программу, файлы, пароли доступа, в том числе и секретные. Но, главное, вирус активизировал DoS-атаку на сайты sco.com (один из разработчиков системы Unix) или microsoft.com. Убытки составили около трех миллиардов долларов. Один миллион пострадавших. В феврале 2004 года появился Bizex (также известный как Exploit) – первый ICQ-“червь”. Для распространения использовалась массовая несанкционированная рассылка по ICQ сообщения http://www.jokeworld.biz/index.html :)) LOL. Получив от знакомого человека такую ссылку, ничего не подозревающая жертва открывала указанную страницу и в случае, если использовался браузер Internet Explorer с незакрытой уязвимостью, на компьютер загружались файлы вируса. После установки в систему Bizex закрывал запущенный клиентом ICQ и, подключившись к серверу ICQ с данными зараженного пользователя, начинал рассылку по найденным на компьютере спискам контактов. Одновременно происходила кража конфиденциальной информации – банковских данных, различных логинов и паролей.

И это еще не предел изощренности хакерского ума. Интернет на глазах изумленной публики превращался в арену ожесточенной битвы вирусов.

В один из мартовских дней 2004 года в течение нескольких часов были зафиксированы сразу пять новых модификаций вредоносных программ «Bagle» (версии I, J), «Mydoom» (версии F, G) и «Netsky» (версия F), которые наперегонки вступили в сражение не только за пользователя, но и между собой. Каждая новая модификация “червей” несла в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями.

Это была почти комедия положений, поскольку, по мнению Касперского, «трудно представить более комичную ситуацию, чем когда горстка вирусописателей безнаказанно играет с Глобальной компьютерной сетью и ни один из участников интернет-сообщества не может предпринять решительных действий по предотвращению этого беспредела… Битва идет не только между добром и злом, но и между злом и злом. Киберпреступники начинают делить мир. Как когда-то боролись СССР и США… Проблема заключается не столько в отсутствии желания изменить ситуацию, сколько в несовместимости современной архитектуры Интернета с требованиями к информационной безопасности».

3 мая 2004 года атаке новейшего компьютерного вируса Sasser подверглась Италия. Десятки тысяч персональных компьютеров у частных пользователей и в различных организациях отключились на долгие часы. Особенно большой ущерб был нанесен электронным системам итальянских железных дорог и государственной почты. На некоторое время вышли из строя даже компьютеры МВД Италии. Общее число пострадавших оценивается в 20 млн пользователей.

8 мая 2004 года в Ротенбурге (Германия) был арестован восемнадцатилетний программист, подозреваемый в разработке и распространении компьютерного вируса Sasser.

Примерно с того времени среди постоянных клиентов «Лаборатории» появились итальянские госслужащие.

В июне 2004 года обнаружен первый сетевой “червь” Cabir для мобильных телефонов, и прежде всего смартфонов Nokia и Sony Ericsson. Предположительно, автор Cabir принадлежал к международной банде «29A», которая специализируется на создании «концептуальных» вредоносных программ, которые используются для проверки творческих возможностей вирусописателей. Этой группе приписывали авторство первого макровируса Cap, вызвавшего глобальную эпидемию, Donut – первого вируса для платформы .NET и Rugrat, и первого вируса для платформы Win64.

Любопытно, что первым делом образец зловреда был прислан в «Лабораторию Касперского», которая уже тогда была признанным мировым авторитетом в области информационной и компьютерной безопасности.

2003–2004 годы – разгар спам-эпидемий. С 2000 года доля спама в почтовом трафике увеличивалась каждый год в два раза, к концу 2003 года цифра достигала 70–90% и перестала расти. В 2003 году зафиксировано около 30 млрд спам-сообщений. Билл Гейтс даже предложил в качестве средства борьбы со спамом сделать платной всю электронную почту, что поможет снизить количество рассылок, хотя одновременно и снизит количество пользователей е-mail. Спам-рассылка превратилась в один из самых прибыльных видов маркетинга. На пике 2003–2004 годов ежегодная прибыль спамеров составляла около 5 млрд долларов. Убытки от спама чудовищны: нагрузка на трафик, дополнительные почтовые мощности и расходы на усиление безопасности, время, затраченное на чтение и удаление сообщений, заражение компьютеров, глобальные эпидемии и др. Все вредоносное, что было в Сети, приходило через спам-сообщения.

Тогда-то Касперский произнесет хитовую фразу: «Спамеры живут припеваючи, за год работы имеют возможность купить “Ягуар”, а те, кто борется со спамом, ездят на “Жигулях”».

Это он про свой белый «Жигуль» 1999 года выпуска, на котором тогда ездил и, как сам говорил, «не парился». К слову, мог бы позволить себе тачку попрестижнее. К 2004 году ЛК уже имела зарегистрирированные и юридически оформленные офисы в Германии, Англии, Франции, Нидерландах, Польше, США, Японии и Китае. Партнерская сеть, то есть сеть продаж, насчитывала более пятисот клиентов в мире. Компания занимала по объемам продаж более 1% антивирусного рынка. В совокупности примерно 10% пользователей Интернета, то есть примерно 70–90 млн человек использовали продукты и технологии с маркой Kaspersky.

ЛК в числе прочих антивирусных компаний вела активную пропаганду «здорового образа жизни в Сети», предписывая не запускать все, что присылается по электронной почте, и использовать антивирусы. Несмотря на все это, пользователи продолжали запускать приложения и файлы, которые им приходили от незнакомых адресатов, а чаще без указания оных, боясь «пропустить что-нибудь важное». Открывались все спам-сообщения, даже не содержащие никаких слов. Самую крупную эпидемию в Интернете вызвал в 2004 году ходивший в письмах “червь”, в котором вообще не было никакого текста, только бессмысленный набор символов и файл в приложении. И ведь его запускали!

Одна из главных причин эпидемиологического беспредела 2003–2004 годов в том, что Интернет стал широко доступен. На смену модемному входу пришли выделенные линии, провайдеры масштабно подключали к Сети кварталы и города. Постепенно в моду входили социальные сети, в Интернет пришли обыватели. Интернет стал по-настоящему массовым. Порносайты и спам праздновали победу, потому что новые пользователи были «дикие», незнакомые с новой средой.

Причиной тому – три человеческих порока: любопытство (что-нибудь интересненькое), жадность (что-нибудь упустишь, а надо), гордыня или самомнение (люди не хотели прислушиваться к предостережениям специалистов).

Андрей Духвалов: «В средние века врачей сжигали, обвиняя в колдовстве. Журналисты задают нам навязший на зубах вопрос: не пишут ли антивирусные компании эти самые вирусы. Пользователи ничего не понимают и не хотят понимать, говоря про нас, что мы шаманы. Абсолютная компьютерная безграмотность. Пример мракобесия».

На этот счет высказался и Касперский: «Если полагать, что антивирусные компании занимаются вирусописательством, то страшно даже подумать, что делает МЧС».

2003–2004 годы были черным периодом для мировой Сети. Не только разработчики программного обеспечения (ПО), в основном, конечно, Microsoft (в его операционной системе (ОС) оказалось много уязвимых мест), но и антивирусные компании оказались застигнуты врасплох. «Теперь мы живем в мире киберпреступников, – фиксировал тенденции Касперский, – злодеев, которые создают вирусы за деньги, и любителей среди них нет! Большая часть зараженного кода распространяется через вредоносные веб-страницы, а для того, чтобы завлечь туда людей, они пользуются методами социальной инженерии: спамом, фишингом (выуживанием личных данных. – Авт.), блогами, форумами, сайтами веб 2.0 и другими социальными сообществами. Трояны и боты, характерные для третьего поколения вирусов, гораздо сложнее своих предшественников и вместо того, чтобы привлекать к себе внимание, прячутся, так что обнаружить и удалить их очень трудно. Они умеют выживать в системе».

Чуть раньше, когда Касперский после Slammer’а в печали бродил по лесу, вновь и вновь возвращаясь к своему прогнозу, он понимал: несмотря на собственные предположения и прогнозы о столь широкомасштабной, а главное, эффективной вирусной атаке на Интернет, он до последнего момента боялся, не хотел поверить в такую драматическую возможность.

Закончился период хулиганства и самовыражения. В Сеть пришло новое поколение людей, которое было ориентировано на зарабатывание денег. На смену киберпреступникам-одиночкам приходили коммерческие группировки, основанные на разделении труда.

В 2003–2004 годах из 700–900 млн пользователей Интернета пострадало около 262 млн (2003 год – 130 млн, 2004 – 132 млн), на тот период примерно каждый третий компьютер в Сети. Ни до 2003 года, ни после 2004 года не было так много и столь успешных вирусных атак на мировую Сеть. Реально это был первый системный кризис Интернета.

Начался новый этап в развитии Интернета. Именно в тот период зафиксировано создание первых ботнетов (зомби-сети, захват тысяч и сотен тысяч компьютеров под управление извне), первые кражи аккаунтов платежных систем и персональных данных, атаки на сайты (DDoS-атаки). Если бы разработчики и антивирусные компании по всему миру не справились с вызовом, судьба Интернета оказалась бы под вопросом.

Справились те и другие. Microsoft даже объявила премию в 250 тыс. долларов за автора каждой крупной эпидемии, а главное, закрыла несколько критически уязвимых точек в своей ОС Windows, которые приводили к эпидемиям в 2003–2004 годах. К поискам киберпреступников подключился Интерпол, который стал искать вирусописателей, чей продукт заразил более миллиона компьютеров. Итог 2005 года – 11 млн пострадавших.

«Падение Интернета Южной Кореи изменило вообще антивирусный мир. Раньше антивирус был просто антивирус: это борьба со зловредами, которые живут на компьютере. После этого инцидента и нескольких других, очень похожих, появились продукты класса интернет-секьюрити. Точнее, они появились до того. Но они были премиум-сегмент. После подобных атак этот продукт стал товаром первой необходимости… Впрочем, – замечает Касперский, – главную угрозу для пользователей (и основную работу для антивирусных фирм) по-прежнему будут представлять традиционные вирусы, троянцы и “черви”».

Сбылся бизнес-прогноз наcчет Kaspersky Internet Security: с этого момента он стал массово востребован. По сути, с таким сильным продуктом «Лаборатория Касперского» превращалась в компанию по продаже сильнейшего оборонительного оружия.

На одной из встреч с журналистами и партнерами Касперский заявил, что пройдя через самовыражение, хулиганство и воровство, Интернет превращается в площадку действия глобальной киберпреступности и международных банд.

В Сети оформились новые угрозы, которые поставили новые задачи и потребовали от антивирусной компании нового уровня осознания своей роли, причем не только в бизнесе. Касперский впервые понял: обладая знанием и умением предвидеть, он и его команда должны бороться с наступающим злом.









Главная | В избранное | Наш E-MAIL | Добавить материал | Нашёл ошибку | Вверх