восприимчивые компьютеры. Поэтому общий ущерб тоже был невелик. Хотя масштабная вспышка привела к замедлению работы многих серверов, сам червь не причинял вреда зараженным компьютерам. Это еще один пример того, что вредоносные программы могут вызывать разные симптомы – в точности как биологические инфекции. Одни черви почти никак себя не проявляют или выводят на экран стихи, другие требуют выкуп или запускают DDoS-атаки.
Как показали атаки на серверы Minecraft, в мире существует рынок самых эффективных червей. Такое вредоносное ПО обычно продается на тайных онлайн-площадках, например в «даркнете», существующем параллельно с привычными для нас сайтами, которые мы можем найти с помощью обычных поисковиков. Когда исследователи из «Лаборатории Касперского», специализирующейся на кибербезопасности, изучали предложения на этих рынках, они нашли людей, готовых организовать пятиминутную DDoS-атаку всего за 5 долларов. Атака продолжительностью в один день обошлась бы заказчику в 400 долларов. В «Лаборатории Касперского» подсчитали, что бот-сеть из 1000 компьютеров обходится создателям примерно в 7 долларов в час. Продавцы запрашивают за атаку такой продолжительности в среднем 25 долларов – неплохая норма прибыли[491]. В год атаки вируса WannaCry рынок программ-вымогателей в даркнете оценивался в миллионы долларов, а прибыль некоторых продавцов выражалась шестизначными числами (никаких налогов они, разумеется, не платили)[492].
Несмотря на популярность вредоносных программ в криминальной среде, у специалистов возникли подозрения, что самые совершенные образцы изначально возникали в рамках государственных проектов. WannaCry, заразивший множество компьютеров, использовал так называемую уязвимость нулевого дня – то есть такую, о которой еще не было известно широкой публике. Предположительно эта уязвимость была обнаружена Агентством национальной безопасности США и использовалась для сбора разведывательной информации, а затем о ней каким-то образом узнали другие люди[493]. Технологические компании готовы платить немалые деньги за возможность закрыть эти лазейки. В 2019 году Apple предложила премию до двух миллионов долларов тому, кто сможет взломать новую операционную систему для iPhone[494].
При распространении вредоносного ПО уязвимость нулевого дня ускоряет передачу, повышая восприимчивость компьютеров. В 2010 году стало известно, что червь Stuxnet нарушил работу завода по обогащению урана в иранском Нетензе. Судя по сообщениям, червь мог повредить критически важные центрифуги. Чтобы распространиться по иранским системам, программа использовала двадцать уязвимостей нулевого дня, о которых тогда почти никто не знал. Учитывая уровень сложности атаки, многие СМИ указывали на американских и израильских военных как на возможных создателей червя. Но даже в этом случае изначальное заражение могло стать результатом очень простого действия: высказывались предположения, что червь попал в систему через двойного агента с зараженной USB-флешкой[495].
Компьютерная сеть надежна настолько, насколько надежно ее самое слабое звено. За несколько лет до атаки Stuxnet хакерам удалось получить доступ к защищенной американской системе в Афганистане. По мнению журналиста Фреда Каплана, русская разведка поставляла зараженные USB-флешки в несколько киосков, расположенных вблизи штаб-квартиры НАТО в Кабуле. В конце концов кто-то из американских солдат купил одну из таких флешек и вставил в компьютер с секретной информацией[496]. Поставить безопасность под угрозу могут не только люди. В 2017 году сотрудники одного из американских казино с удивлением обнаружили, что внутренняя информация поступает на компьютер хакера в Финляндии. Но настоящим сюрпризом стал источник утечки: хакер решил не атаковать хорошо защищенный главный сервер и проник в систему через подключенный к интернету аквариум с рыбками[497].
В прошлом хакеры, как правило, стремились получить доступ к компьютерным системам и вывести их из строя. Но по мере того как к интернету стало подключаться все больше устройств, злоумышленников заинтересовала возможность использовать компьютерные системы для управления другими устройствами. Примерно в то же время, когда объектом хакерской атаки стал аквариум из казино в Неваде, Алекс Ломас и его коллеги из британской фирмы Pen Test Partners, специализирующейся на кибербезопасности, задались вопросом, можно ли взломать секс-игрушки с технологией Bluetooth. Им не понадобилось много времени, чтобы выяснить, что некоторые из этих устройств никак не защищены от атаки. Теоретически с помощью нескольких строчек кода можно было взломать игрушку и включить вибрацию на максимум. А поскольку каждый прибор поддерживает только одно соединение, владелец не смог бы его выключить[498].
Но можно ли сделать это в реальности – с учетом того, что у Bluetooth относительно небольшой радиус действия? Ломас считает, что такое вполне возможно. Однажды он прогуливался по Берлину и решил посмотреть список ближайших устройств с Bluetooth. Каково же было его удивление, когда он обнаружил в списке знакомый идентификатор: это была одна из игрушек, которую он и его команда оценили как незащищенную. Вероятно, кто-то носил игрушку с собой, не подозревая, что какой-нибудь хакер может легко ее включить.
Уязвимы не только игрушки с Bluetooth. Ломас с коллегами нашли и другие устройства с плохой защитой, в том числе секс-игрушку с видеокамерой, подключаемой к Wi-Fi. Если пользователь не сменит пароль, установленный по умолчанию, хакер может легко взломать ее и получить доступ к видеопотоку. Ломас подчеркивал, что его команда никогда не пыталась подключаться к устройствам за пределами лаборатории. Кроме того, у исследователей не было цели пристыдить людей, которые пользуются такими игрушками. Наоборот: поднимая эту проблему, они хотели добиться того, чтобы пользователи не боялись вмешательства в их жизнь, а для этого нужно заставить производителей пересмотреть стандарты безопасности.
Атакам могут подвергаться не только секс-игрушки. Ломас обнаружил, что через Bluetooth можно добраться до слухового аппарата его отца. Мишенью хакеров вполне могут оказаться и более сложные устройства: ученые из Университета Брауна выяснили, что не так уж трудно получить доступ к исследовательским роботам, воспользовавшись уязвимостью в популярной операционной системе для робототехники. В начале 2018 года им удалось получить контроль над таким роботом в Вашингтонском университете (с разрешения его владельцев). Но угрозы обнаружились и гораздо ближе: два их собственных робота – промышленный сборщик и дрон – не были защищены от постороннего вмешательства. «Ни один из них не предназначался для подключения к публичным сетям, – отмечали исследователи. – И оба могли нанести физический ущерб при неправильном использовании». Речь шла об университетских роботах, но ученые предупреждали, что подобные проблемы могут возникнуть где угодно: «По мере того как роботы из лабораторий приходят на промышленные предприятия и в дома людей, количество устройств, которые можно взломать, многократно увеличивается»[499].
Устройства с доступом к интернету создают новые связи между разными сторонами нашей жизни. Но зачастую мы не знаем точно, к чему могут привести эти связи. Одна невидимая сеть заявила о себе днем 28 февраля