Збій, що стався минулого тижня, є запізнілим нагадуванням про нашу ширшу вразливість до кібератак.
Крихкість небезпечна. Це урок комп'ютерних збоїв, що сталися минулого тижня. Винуватцем стало недбало написане оновлення до широко використовуваного програмного забезпечення з кібербезпеки Falcon Sentinel компанії CrowdStrike. Воно вивело з ладу мільйони комп'ютерів під управлінням Windows, спричинивши хаос в авіаперевезеннях, фінансових послугах та охороні здоров'я, завдавши величезних фінансових і людських втрат.
Але все могло бути набагато гірше. Мало хто з користувачів усвідомлює, що дозвіл на автоматичне оновлення означає, що їхні комп'ютери та інші пристрої фактично стають дистанційно керованими. В іншому, неприємному контексті, ми б назвали масове захоплення комп'ютерів ботнетом. Вони лежать в основі індустрії кіберзлочинності. У травні Міністерство юстиції США і ФБР заарештували громадянина Китаю Юнхе Вана, який незаконно і таємно отримав контроль над мільйонами комп'ютерів по всьому світу, на яких працювало програмне забезпечення Windows. Потім він здавав їх в оренду кіберзлочинцям, заробивши на цьому близько 100 мільйонів доларів, повідомив американський Мін'юст.
Організована злочинність повинна розглядатися як загроза національній безпеці. Вона підриває довіру громадськості до чесності державного управління. кремль все частіше доручає бандитам свої кампанії вбивств і диверсій.
Але набагато гірше було б, якби Китай, росія чи Іран змогли перетворити легітимні оновлення програмного забезпечення на фактичний ботнет. Користуючись нашою довірою до легальних компаній-розробників програмного забезпечення, їхні шпигуни і диверсанти можуть викрасти наші дані, зашифрувати їх або зробити недоступними на комп'ютерах і в мережах по всьому світу.
Західні керівники та особи, які формують громадську думку, дуже стурбовані фантомною загрозою російської ядерної зброї. Ми всі приділяємо занадто мало уваги цим набагато більш нагальним загрозам національній безпеці для крихких, але глибоко взаємопов'язаних комп'ютерних систем, які лежать в основі наших економік, державних служб і суспільств.
Мало хто помітив, наприклад, найжахливіший випадок в історії інтернету, який стався на початку цього року. Ціль була набагато менш відомою, ніж CrowdStrike або Microsoft. Це була утиліта для стиснення xz. Ці інструменти з відкритим вихідним кодом, написані та підтримувані волонтерами, є робочими конячками світу програмного забезпечення. Будь-хто може перевірити їх і запропонувати покращення. Якщо ви зможете завоювати довіру інших експертів, ваші пропозиції будуть реалізовані і стануть будівельними блоками для незліченної кількості інших програм.
Ми все ще знаємо вражаюче мало про виконавця цієї атаки. Вперше він або вона з'явився/з'явилася в листопаді 2021 року, роблячи експертний внесок в інші проєкти з відкритим вихідним кодом під ім'ям JiaT75. Ніхто ніколи не зустрічався з цією людиною особисто і не перевіряв її особу, але вона поступово перебрала на себе роботу з оновлення xz, поки не змогла випустити оновлення, яке зробило б будь-який комп'ютер, що встановив його, відкритим для маніпуляцій: майстер-ключ, по суті, до сотень мільйонів комп'ютерів.
Випадково сумлінний інженер Microsoft на ім'я Андрес Фройнд помітив, що пробна версія xy використовує трохи більше пам'яті, ніж належить, і зміг діагностувати цей недолік якраз перед її загальним випуском. Мало хто за межами світу кібербезпеки навіть помітив це.
Витонченість і витримка, застосовані в ході атаки, ймовірно, вказують на російську службу зовнішньої розвідки. Але залишені докази можуть бути хитрим подвійним блефом, покликаним відвернути увагу від справжніх винуватців: Китаю, Ірану чи Північної Кореї.
Майже повний успіх зловмисника і складність його пояснення пов'язані з тим самим простим фактом: інтернет не був розроблений з урахуванням безпеки. У нас немає простого способу перевірити особу людей, з якими ми взаємодіємо. І ми довіряємо більшій частині того, що надходить на наші комп'ютери.
Таке безтурботне ставлення стимулювало дивовижні технологічні інновації і скоротило багато витрат майже до нуля. Але це супроводжується величезною, прихованою вартістю. Нам потрібно оновлювати не лише програмне забезпечення, але й культуру безпеки в інтернеті.
Джерело: CEPA