С ключевым докладом на PHD 2012 выступил известный криптограф Брюс Шнайер, он прочитал доклад о доверии. «Мы в своей жизни вынуждены доверять огромному количеству людей, — отмечает Шнайер. — Общество просто распадется, если мы не будем доверять друг другу». Однако к Интернету пока это не относится — даже самые благонадежные на первый взгляд сайты могут в какой-то момент атаковать ваш компьютер. В частности, одной из обсуждаемых на фестивале тем стал червь Flame, обнаруженный недавно на территории Ближнего Востока. Доклад о нем сделал старший антивирусный аналитик «Лаборатории Касперского» Александр Гостев.
Брюс Шнайер на PHD рассуждал о доверии, которое цементирует человеческую цивилизацию. Источник: Digital October |
Червь Flame был обнаружен «Лабораторией Касперского», когда компания по заказу Международного союза электросвязи осуществляла поиск другого вредоноса — Wiper, уничтожившего данные в иракской нефтяной компании. Wiper представляет собой настоящую программную бомбу, которая разрушает всю информацию на компьютере, перезаписывая несколько раз файлы на диске, а в довершение уничтожая и всю файловую систему. В результате поисков найти сам Wiper так и не удалось, но при поиске странных имен файлов сотрудники «Лаборатории» обнаружили Flame (подробнее о Flame см., например, «Flame идет по стопам Stuxnet», Computerworld Россия, 30 мая 2012).
Гостев дополнил ранее опубликованную информацию новыми сведениями. По его словам, некоторые файлы, относящиеся к Flame, датируются 2010 годом, когда был обнаружен Stuxnet, однако, по заверениям Гостева, код нового червя сильно отличается от кода Stuxnet — их явно разрабатывали разные команды.
Код основного модуля Flame оказался очень большим для вируса — 6 Мбайт, поскольку содержал виртуальную машину для исполнения байт-кода Lua и базу данных SQLite, в которой червь хранил сведения о взломанной системе. Кроме того, Flame, в отличие от Stuxnet, не является целенаправленной атакой — это классический зомби-троянец с механизмом контроля, сильно ограничивающим распространение вируса. Специалисты «Лаборатории Касперского» попытались заразить собственную машину, но с командного сервера на нее была передана программа, который удаляла все компоненты червя. Эта программа содержала список всех модулей червя — далеко не все они обнаружены.
Кроме того, стиль программирования, характерный для Flame, по словам Гостева, необычен для вирусописателей, но более характерен для разработчиков традиционного программного обеспечения. Хотя в «Лаборатории Касперского» утверждают, что Flame — это такое же кибероружие, как и Stuxnet, однако по описанным свойствам это скорее инструмент промышленного шпионажа. А значит, его могут использовать не только на Ближнем Востоке, но и в других регионах, как только ими заинтересуются владельцы червя.
Остается открытым вопрос о способе проникновения червя на компьютеры. На зараженных машинах эксперты не обнаружили собственно инфектора, а для дальнейшего проникновения червь пытался использовать уязвимость, закрытую еще в 2010 году. Однако зафиксированы случаи заражения, когда Flame обнаруживался на компьютерах с полностью обновленной операционной системой, что говорит о возможности заражения через неизвестную уязвимость. Вероятно, заражение этой машины было сделано с помощью социальной инженерии и фальшивого сертификата Microsoft, однако пока эта гипотеза не имеет подтверждения. Так что исследования Flame продолжаются, однако все больше организаций начинают сомневаться в безопасности Интернета, и со временем подорванное доверие может привести к самым неприятным последствиям для Сети.
Традицией PHD стала организация интеллектуальных конкурсов. В одном из них 12 команд два дня разгадывали загадки организаторов с помощью современных инструментов взлома и исследования компьютерных сетей. Победителем стала команда Leet More из Санкт-Петербурга, которая получила приз в 150 тыс. руб. Второе место и 100 тыс. руб. досталось швейцарской команде 0daysober, а бронза «стоимостью» в 50 тыс. руб. ушла в Испанию команде Int3pids. Примечательно, что команда Leet More прямо во время конкурса обнаружила ранее неизвестную уязвимость в операционной системе FreeBSD 8.3.
Были организованы и другие интеллектуальные соревнования. В частности, конкурсанты смогли взломать защиту iPhone 4S с помощью уязвимости в популярном приложении Office² Plus, а также в Windows XP с помощью новой, еще неизвестной уязвимости. Накопленная в ходе конкурса информация о методах взлома будет использована Positive Technologies для совершенствования своего основного продукта.