Рискуем ли мы сами открыть дверь преступникам, полагаясь на защиту?
Чуть более двух десятилетий назад мир информационной безопасности встрепенулся от новости о появлении нового типа угрозы. В марте 2004 года был выявлен червь Witty — первый в истории вредоносный код, который целенаправленно атаковал средства защиты информации. С тех пор прошло 21 год, и за это время мы успели пережить множество глобальных эпидемий вредоносного ПО, кибератак на государственные учреждения и корпорации, появления новых типов угроз и методов защиты. Но именно Witty стал символом того, что сами инструменты безопасности могут быть уязвимы, если их не поддерживать и не обновлять надлежащим образом.
В этой статье мы подробно разберем, как именно появился Witty, что было уникального в его работе, каким образом он смог продемонстрировать уязвимости самого «защитного» сегмента программного обеспечения и почему спустя 21 год мы продолжаем вспоминать и анализировать его историю. Кроме того, мы рассмотрим уроки, которые можно извлечь из этого случая, и оценим, насколько они актуальны сегодня — в эпоху, когда кибербезопасность стала жизненно важным фактором практически для каждой сферы деятельности.
В начале 2000-х годов мир информационных технологий столкнулся с нарастающей волной вирусов и червей, которые активно эксплуатировали растущую связь между компьютерами, а также недостатки систем безопасности. Такие вредоносные программы, как ILOVEYOU, Code Red, Slammer и Blaster, в разные годы вызывали крупные сбои и наносили серьезный ущерб корпоративным сетям и домашним пользователям. Однако до 2004 года основная цель подобных вредоносных программ заключалась, как правило, в атаке операционных систем (Windows, Linux и т.д.) или популярных сервисов вроде веб-серверов, почтовых серверов и корпоративных приложений.
Тем не менее, разработки в области информационной безопасности в тот же период стали активно развиваться. Появлялись новые виды антивирусов, межсетевых экранов (firewalls), средств обнаружения и предотвращения вторжений (IDS/IPS). Но для ряда злоумышленников это было не только препятствием, но и вызовом: а что если атаковать сами защитные системы и вывести их из строя, обеспечив себе тем самым прямой доступ к ресурсам? Именно этот подход нашел воплощение в черве Witty.
Witty был обнаружен 20 марта 2004 года. Он распространялся через уязвимость в продуктах BlackICE и RealSecure компании Internet Security Systems (ISS). Тогда эти продукты считались достаточно передовыми решениями для корпоративной защиты и активно использовались во многих организациях. Уникальность ситуации заключалась в том, что атаке подверглись сами системы безопасности, призванные ограждать корпоративные сети и домашние компьютеры от внешних угроз.
Как только злоумышленники узнали об уязвимости в ISS-продуктах, они оперативно создали червя, получившего название Witty (слово «witty» переводится с английского как «остроумный», что добавляло своеобразной иронии в ситуацию). Этот вредоносный код, в отличие от многих «коллег» своего времени, обладал очень узким «кругом интересов» и целенаправленно искал именно эти защитные продукты, чтобы воспользоваться обнаруженной брешью.
Интересен и тот факт, что распространение началось практически одновременно для жертв по всему миру. По разным оценкам, червь смог инфицировать порядка 12 тысяч систем в течение первых нескольких часов, несмотря на свою узкую специализированность. Масштаб распространения был бы многократно больше, если бы ISS-продукты были установлены столь же массово, как, например, операционные системы Windows. Однако и этого числа зараженных оказалось достаточно, чтобы эксперты во всем мире подняли тревогу.
Основной способ распространения Witty заключался в том, что, обнаружив целевую систему с запущенным продуктом ISS, червь использовал сетевые пакеты для своего внедрения. После успешной атаки он начинал записывать фрагменты случайных данных (или, как их тогда называли, «мусорные байты») на жесткие диски жертвы, нанося прямой ущерб файловой системе. Параллельно он пытался скопировать себя в оперативную память и продолжить свое «путешествие» по сети.
Для своего времени это была не только концептуальная, но и реально разрушающая атака. Witty не просто выводил из строя сетевую защиту, но и мог повредить данные пользователей, вызывая сбои в работе систем. Многие компании, особенно малый и средний бизнес, столкнулись с тем, что средства защиты, на которые они полагались, внезапно стали «дырами» для злоумышленников. Организациям приходилось срочно отключать потенциально уязвимые решения, а затем искать способы восстановить стабильную работу своих ИТ-инфраструктур.
Примечательно, что в теле червя не было традиционного «жестко прописанного» механизма эскалации привилегий, который часто встречается в подобных вредоносных программах. Использовался изъян в самом механизме получения трафика защитным ПО: получая определенные пакеты, BlackICE и RealSecure запускали уязвимый компонент, что позволяло червю исполнять произвольный код с системными привилегиями. Подобный вектор атаки был новым шагом в эволюции вирусописания и показал, что сам факт наличия защитного ПО еще не гарантирует безопасность, если в нем существуют скрытые бреши.
До появления Witty существовало популярное мнение, что наиболее надежные программы — это именно средства киберзащиты, ведь они создавались в компаниях, чья специализация была связана с безопасностью. Здравый смысл подсказывал, что такие организации более тщательно следят за качеством своего кода и быстрее устраняют уязвимости. Однако практика показала, что все мы остаемся уязвимы к человеческому фактору, ошибкам в дизайне и недостаточному тестированию.
Кроме того, на психологическом уровне пользователи и корпоративные ИТ-специалисты привыкли думать: «У нас установлены брендовые решения по информационной безопасности, значит, мы защищены». По этой причине атака, направленная на сами антивирусы и межсетевые экраны, стала холодным душем и для технических специалистов, и для топ-менеджмента, которые только начинали осознавать важность выделения бюджетов на ИТ-безопасность.
Возникла масштабная дискуссия о том, как регламентировать проверку сторонних компонентов, используемых в решениях информационной безопасности; нужно ли внедрять принципы «Zero Trust» даже по отношению к своим собственным защитным системам; как строить систему мониторинга, которая будет проверять, не превратились ли средства защиты в потенциальные точки уязвимости.
Один из ключевых выводов, который сделала отрасль из этой атаки, заключается в том, что разработчики защитного ПО наравне со всеми другими производителями софта подвержены ошибкам в коде. Сложность современных систем увеличивается, а значит, и вероятность критических уязвимостей растет. Witty показал, что вредоносные программы могут быть нацелены не только на массово используемые продукты, но и на относительно ограниченный, но высокоприоритетный сегмент — защитные системы.
Также не стоит забывать про репутационный урон. Компания ISS пострадала не только из-за необходимости быстрого выпуска заплат (патчей), но и от удара по репутации: клиенты были разочарованы, что «премиальная» защита подвела их в самый критический момент. Этот инцидент во многом изменил рынок: многие организации решили диверсифицировать свою защиту, иногда комбинируя продукты разных вендоров. Другие компании активнее стали следить за распространением уязвимостей и ускорять процесс установки патчей.
Реакция на червя Witty была довольно оперативной. Компания ISS выпустила обновления для своих продуктов, пытаясь закрыть уязвимость. Эксперты по кибербезопасности со всего мира анализировали код вредоносной программы и пытались понять, есть ли в ней новые методы обхода защитных функций. При этом отрасль столкнулась с непривычным вызовом: зачастую важно было не просто обновить операционные системы и приложения, а проверить, не содержит ли обновленное защитное ПО еще каких-то брешей, на которые смогут опереться киберпреступники.
К тому же, компании начали массово пересматривать политику установки обновлений. Раньше некоторые организации откладывали установку патчей «до лучших времен», опасаясь несовместимости с рабочими процессами. Но после столь резонансной атаки многие стали понимать, что просрочка обновлений может обернуться еще большими потерями в случае успешного взлома систем. Возросла и потребность в более глубоком аудите, включающем тестирование средств защиты на реальных тестовых стендах.
Спустя 21 год после появления Witty мы видим, как сильно изменилась сфера информационной безопасности. Тогда, в 2004 году, уже существовали антивирусы, сетевые экраны и системы обнаружения вторжений, но они были значительно проще и могли рассчитывать лишь на ограниченные ресурсы разработчиков и аналитиков. В наши дни сложность киберугроз возросла, а вместе с ней расширились и инструменты защиты: системы предотвращения APT-атак, многоуровневые платформы для анализа поведения, глобальные сети мониторинга угроз и т.д.
Можно сказать, что Witty заставил многих специалистов пересмотреть свой подход. В частности, появились следующие тенденции:
Сегодня, когда мы говорим о современных киберугрозах, зачастую вспоминаем шифровальщиков (ransomware), атаки на цепочку поставок (supply chain attacks), целевые фишинговые кампании (spear phishing), а также APT-группы, работающие по заказу государственных или коммерческих структур. Во многих случаях цель атакующих — получить доступ к инфраструктуре и похитить ценные данные или денежные средства. Однако мысль о том, что само защитное ПО может быть целью, никуда не исчезла.
Мы видим это на примере уязвимостей в продуктах крупных вендоров. Даже такие гиганты, как Microsoft, Cisco, Palo Alto Networks или другие, регулярно выпускают бюллетени с предупреждениями о найденных критических уязвимостях. Иногда они касаются и защитных решений, раскрывая, что ошибка в коде может использоваться для атаки. Отголоски Witty проявляются каждый раз, когда обнаруживается похожая брешь, способная превратить мощный инструмент защиты в уязвимость.
Таким образом, червь Witty можно рассматривать не как «ретро-угрозу», а скорее как предвестника будущих киберэпидемий, которые будут вновь и вновь напоминать специалистам: защищать нужно все уровни инфраструктуры, включая сами средства безопасности.
Разумеется, 21 год — срок внушительный, и за это время ИТ-инфраструктура, способы разработки ПО и методы атаки кардинально изменились. Но основной посыл, который нам дал Witty, остается актуальным:
Нельзя забывать, что любой ПО-код пишут люди. Ошибки в программировании неизбежны, но грамотное построение процессов может снизить их критичность. Инцидент с Witty подчеркнул, насколько опасными бывают «узкие места» в коде, особенно если речь идет о продукте, который позиционируется как защита от сетевых атак.
Кроме того, каждый пользователь — будь то системный администратор или «рядовой» сотрудник организации — может допустить неправильную настройку или игнорировать оповещение о необходимости установки обновления. Именно так порой открывается окно для злоумышленников. Чем выше уровень осведомленности персонала, тем меньше вероятность, что атака пройдет безнаказанно.
В современных компаниях все более популярными становятся программы Security Awareness, которые учат сотрудников основам безопасного поведения в сети: как распознавать фишинг, как контролировать привилегии, почему нельзя откладывать обновления важных систем. Эти меры кажутся базовыми, но именно «база» часто определяет, станет ли крупная организация жертвой следующего «Witty-подобного» червя или нет.
Спустя 21 год с момента появления Witty, нам остается не просто вспомнить резонансную историю, но и сделать выводы, которые сохраняют свою актуальность в современной среде киберугроз. Первый червь, нацеленный на средства защиты, раскрыл уязвимость «бронебойных» систем, которые многие считали практически неприступными. Он наглядно показал, что любая программа, даже если она создавалась для обеспечения безопасности, может стать ахиллесовой пятой в обороне, если в ней допущены ошибки и нет должного контроля.
Сегодняшняя действительность делает Witty не просто историческим эпизодом, но и поучительным примером, заставляющим нас более ответственно подходить к кибербезопасности на всех уровнях. Даже если вы используете самое современное решение от известного вендора, без постоянных обновлений, мониторинга и аудита оно может обернуться против вас. И пусть за 21 год мы сделали огромный шаг вперед, создав целый комплекс новых технологий защиты, Witty напоминает: настоящий враг всегда находит нестандартные пути, и только комплексный подход к безопасной разработке и эксплуатации ПО может уберечь нас от новых сюрпризов.
Если вы хотите подробнее узнать об уязвимостях современных средств защиты и о том, как им противостоять, рекомендуется обратить внимание на специализированные отчеты аналитических компаний и независимых исследователей.
21 год — достаточно долгий срок для сферы информационных технологий, но «наследие» Witty не ушло в прошлое. Оно продолжает жить и служит напоминанием, что в киберпространстве не бывает «абсолютно безопасных» решений. Следите за обновлениями, уделяйте внимание аудиту защитных систем и не забывайте о человеческом факторе — и тогда даже самый хитроумный червь, решивший повторить путь Witty, не сможет нанести серьезного вреда вашим системам.