UPD: Расшифровать, нельзя помиловать
Почему, живя в IT-мире, нельзя быть полностью свободным и защищенным от него? Как тот или иной отраслевой тренд, и связанные с ним явления, может затронуть конкретного рядового пользователя смартфонов, планшетов и традиционных PC? Найдем ответы на эти вопросы вместе с приглашенным экспертом, а конкретный пример — новый вирус, потенциальные жертвы которого не только непродвинутые или возраcтные пользователи с ослабленной моторикой, но и быстрые востроглазые молодые люди, которые с гаджетами на «ты». Новая информация в UPD от 14.03.2013.
Принято считать, что крупнейшие отраслевые смотры года, в числе которых только что прошедшая CeBIT, задают основные тренды в массовой электронике, а продемонстрированные гаджеты-новинки, являются ориентиром для различных компаний и для конечных пользователей. На взгляд многих наблюдателей все это больше похоже на гонку из серии «быстрее, выше, сильнее», основная цель которой мобилизовать потребителя на обновление своих гаджетов, далеко не всегда морально и физически устаревших.
Однако череда новинок, подавляющее большинство которых — лишь эволюция предыдущих — только одна сторона IT-индустрии. Конечно, современная электроника за последние годы очень сильно изменила пользовательское окружение и, само собой, сознание. Однако далеко не все эти изменения приятны, полезны, а главное, безопасны. Отрасль бурно развивается и, хотим мы этого или нет, каждый из нас вынужден с этим считаться и нести персональную ответственность дома и на работе. Наивно думать, что «для жизни» достаточно освоить лишь «несколько кнопок» какого-либо устройства. Едва ли сегодня выйдет жить в IT-мире и быть полностью свободным от него. Даже отказавшись от модных смартфонов, планшетов, других мобильных устройств и всякой «социальщины», невозможно «пересидеть смутные времена» в полной изоляции и безопасности на том же рабочем «хардкорном» PC...
В тему еще одна подобная зарисовка: ежегодные технопрогнозы на будущий год часто представляются людям как нечто сложное, общее, скорее относящееся к большим компаниям, нежели к рядовым пользователям. Конечно, многие бы предпочли увидеть в таких предсказаниях персонифицированный ответ: как тот или иной тренд затронет конкретного человека? Ну или хотя бы познакомиться с конкретными примерами проявлений технологического могущества ведущих сверхдержав и компаний, о которых на разные лады «трындычат» журналисты и эксперты. По конкретикой подразумевается не новый гаджет, не технология, не заумный программист или модный промышленный дизайнер, в идеале им должен быть рядовой гражданин, «герой нашего времени», которого легко вписать в окружение большинства из нас, например, студент или типичный офисный «сиделец»...
Попробует ответить на эти вопросы в конкретных примерах и СОТОВИК, а поможет нам эксперт, IT-директор одной из российских компаний, оказывающей услуги в сфере безопасности. Стоит напомнить, что такие частные беседы в рубрике Hi-tech WEEK стали уже доброй традицией: уже в четвертый раз (выпуск от 28. 02. 2011, 02.03. 2009 и от 01.03.2010 мы встречаемся после завершения MWC и говорим о безопасности и уязвимости наших «больших» и «малых» гаджетов :)
Тема у нас сегодня серьезная — новый вирус, потенциальными жертвами которого могут стать не только непродвинутые или возрастные (как правило доверчивые) пользователи с ослабленной моторикой, но и быстрые востроглазые молодые люди, которые с гаджетами и технологиями на «ты»...
Тревогу забила компания, необдуманные действия сотрудника которой привели к утрате данных практически без шанса на восстановление. А дело было так. На корпоративную почту поступило благодарственное письмо или письмо-благодарность, как еще называют такую корреспонденцию. Как будто ничего подозрительного: род деятельности компании совпадал с той, что была у адресата. В теме — благодарственное письмо, в теле — текст примерно следующего содержания: «компания такая-то (адресат) рада работать с вашей компанией, во вложении — благодарственное письмо». К заархивированному вложению в письмо адресат приложил пароль к архиву. Разархивировав и запустив файл, работник компании обнаружил, что все пользовательские данные (документы, фото, музыка и пр.) оказались зашифрованными, как выяснилось впоследствии, достаточно криптостойким алгоритмом (RSA 1024).
Все файлы получили вид: имя.расширение.FTCODE. Далее стандартный развод — уведомление о том, что компьютер заражен вирусом, изгнать который можно с помощью специальной программы, узнать как — можно, зайдя на такой-то сайт, следуя приведенным инструкциям. Разумеется, все это не бесплатно, за сумму около десяти тысяч рублей... С просьбой о помощи бедолаги обратились в такие известные компании, работающие на рынке информационной безопасности, как, «Лаборатория Касперского», «Доктор Веб» и Symantec. Первая пообещала попробовать помочь, вторая ответила, что расшифровка невозможна, отказала в помощи и Symantec, объяснив, что в подобных случаях даже счастливым клиентам Symantec они не помогают: увы, такова политика компании... Примерно через неделю на сайте «Лаборатории Касперского» появилась утилита XoristDecryptor, которая в некоторых случаях способна помочь в расшифровке зашифрованных файлов.
UPD от 14.03.2013. Не прошло и месяца, как антивирусное ПО Symantec наконец-то начало распознавать файл «Благодарственное письмо.hta» как вирус...
В чем же новизна данного вируса? О том, насколько он хорошо известен — говорят различные варианты подсказок, заботливо отображаемые в поисковой строке, при наборе словосочетения «FTCODE вирус». Да и нечто подобное уже было, с той лишь разницей, что направлен вирус был на персональных пользователей, а не на корпоративных и шифровался попроще. Особый цинизм данного вирусописателя заключается в том, что ключ для расшифровки он не готов предоставить даже за самые немыслимые деньги, его просто нет! По всей видимости, автору вируса вполне достаточно этих скромных десяти тысяч, хотя это и недальновидно: ведь речь идет о корпоративной информации, а не каких-то личных пользовательских данных вроде домашней коллекции музыки, фото и видео. Пострадавшая компания, как правило, готова заплатить любые деньги, чтобы вернуть утраченное.
Конечно, сколько веревочке не виться... но ведь есть и другая опасность, когда те самые обманутые фирмы могут добраться до злоумышленника быстрее, чем правоохранительные органы. Такая беспечность и ничем не обоснованная уверенность в своей неуязвимости позволяет сделать предположение, что вирусописатель подобных «зловредов» не слишком умен и слишком молод и, скорее всего, не имеет постоянного источника доходов. А значит, едва ли это настоящий специалист. Получается вполне заурядный, но размытый портрет злоумышленника: им может оказаться кто угодно, например, студент, причем совсем необязательно из профильного вуза. За это говорит и то, что представляет собой вирус — это всего лишь фрагмент кода вполне добросовестного криптографического скрипта. Кстати, это ведь отличная иллюстрация к нашему разговору в начале материала о том, как высокие технологии вошли в жизнь самых обычных пользователей. Мошенник вирусописатель-недоучка способен поставить на уши серьезные компании.
Здесь важно поговорить и о другой стороне, без участия которой пользовательские данные остались бы целыми и невредимыми. Человеке, который по какой-то причине инициировал действие вируса. Самое интересное, что и в этом случае ничего определенного о портрете пользователя, давшему «зеленую улицу» «зловреду», сказать нельзя. Наверное, уверенно, лишь можно говорить о невнимательности, халатности и усталости. Техническая грамотность — также не стопроцентная гарантия. Скажем, молодым свойственны не только лучшая восприимчивость ко всему новому и быстрота действий, но и, порой, торопливость и невнимательность. Возрастные пользователи, напротив, как правило, медлительны, казалось бы, особенность моторики в этом случае могла бы спасти ситуацию. Зато подвести могли ненадлежащий уровень знаний и недостаточная широта кругозора в околокомпьютерной области. В любом случае, тому, кто оказался на месте проштрафившегося (секретарь, менеджер или какой-то другой служащий), не позавидуешь: стрессовая ситуация уже сама по себе наказание, а ведь наверняка последует и другое — всамделишный штраф, а скорее всего увольнение...
Следует сказать, что рассматриваемый сегодня вирус «живет» в среде Windows, например, на таких устройствах как ноутбуки, стационарные машины и планшеты, работающих под «виндами». Как будто пользователи Android, iOS и других систем могут спать спокойно, к тому же данный «зловред» направлен на корпоративных пользователей. Утешение слабое, поскольку «подобрать ключик» и осуществить таргетированную атаку давно уже просто и к конкретному человеку, и к конкретной компании. Вот вам и еще один привет: выше мы упоминали о не всегда понятных рядовому пользователю технопрогнозах. Например, что такое таргетинговая реклама, ее перспективы — все это становится куда понятнее после таргетинговых атак. Ну а о тех же flash cookis мы как-то говорили в одном из выпусков Hi-tech WEEK. Во-первых, это совсем не то же самое, что «куки», которые сохраняет наш браузер. И, во-вторых, пользователь, стерев в своем браузере «куки», этим действием flash cookis уничтожить не может. Что это такое и для чего нужны flash cookis? С их помощью компании собирают сведения о пользователе, составляя персональный профиль человека, данные анализируются и по итогам предлагается таргетингововая реклама. Конечно, за такими механизмами большое будущее: ведь они дают возможность показывать рекламу в зависимости от предпочтений каждого конкретного человека. Однако далеко не все пользователи рады, что без их ведома осуществляется сбор данных и составляется их персональный портрет. И уж совсем не рады, когда, как в рассмотренном сегодня случае, приводит к потере данных, с призрачной возможностью их восстановления.
© СОТОВИК