Блог

Криптовымогатель WannaCry. Кто виноват и что делать?

Владимир Митин
16.05.2017 08:10:11

На вирус-шифровальщик WannaCry, жертвами которого уже стали до 200 тыс. пользователей в 150 странах мира, обратил внимание президент РФ. Ниже вы видите фрагмент “Российской газеты” от 15 мая.


Источник: сайт “Российской газеты”

Заявлению президента РФ предшествовало (cм. ниже) заявление президента Microsoft. “Ответственность за распространение вируса-вымогателя WannaCry частично лежит на правительствах и спецслужбах разных стран. – написал Брэд Смит (Brad Smith) в своем блоге. -- "Мы видели, что данные об уязвимостях, которые собирало ЦРУ, были опубликованы на Wikileaks, теперь же данные об уязвимостях, украденные из АНБ, затронули пользователей по всему миру”.


Источник: сайт “РИА Новости”

В то же время известно (cм., например, публикацию “Криптовымогатель WannaCry атакует своих жертв через эксплойт Microsoft SMB”), что создание вируса WannaCry стало возможным лишь благодаря наличию уязвимости в операционных системах семейства Windows.

Справедливости ради надо отметить, что заплатки, устраняющие данную уязвимость в операционных системах Windows Vista/7/8.1/10/Server 2008/ Server 2008 R2, Windows Server 2012/Server 2012 R2/ Server 2016 компания Microsoft выпустила (под названием "Обновление системы безопасности MS17-010") ещё в марте нынешнего года. Кто их не установил, тот сам виноват!

Однако известно, что широко распространены и другие операционные системы Windows – XP, 8, Server 2003, официальная поддержка которых прекращена Для них заплатки (патчи), закрывающие брешь MS17-010, компания Microsoft выпустила лишь 12 мая. Эти патчи закрывают уязвимость, через которую распространяется вирус WannaCry.

"От вируса WannaCry пострадали в первую очередь те пользователи, которые использовали ОС, для которых апдейтов не было, -- отмечает технический директор Cezurity Андрей Воронов. -- На предприятиях и в учреждениях до сих используется много “старых” ОС. Именно в связи с этим Майкрософту и пришлось экстренно выпустить обновления даже для тех ОС, поддержка которых прекращена".

Неизбежно возникает вопрос о роли антивирусных программ во всей этой истории с масштабной кибератакой, поразившей 150 стран мира. Помогли ли они “непропатченным пользователям” остановить угрозу, исходящую от вируса WannaCry или не помогли?

Объективных данных на этот счет нет, но представители компаний “Доктор Веб” и “Лаборатория Касперского” утверждают (см. ниже), что пользователи их программ от действий вируса-шифровальщика WannaCry не пострадали.


Источник: “Доктор Веб”, 15 мая 2017 г.


Источник: “Лаборатория Касперского”, 15 мая 2017 г.

Но есть и скептики. Технический директор Cezurity Андрей Воронов говорит: “В настоящее время антивирусная индустрия не может предложить сколь-нибудь фундаментального решения, которое позволило бы 100%-но защититься от «шифровальщиков». К примеру, появляется новая технология, способная заблокировать сто шифровальщиков. Но 101-й ее обманывает и все файлы пользователя шифруются. Также необходимо отметить, что обычно злоумышленники перед выпуском в свет тестируют свои изделия на всех основных антивирусах… Поэтому сегодня единственное действительно надежное средство от «шифровальщиков» -- это бэкап и такая сегментация сети, которая позволит минимизировать ущерб”.

Однако ясно то, что cпециалистам в области информационной безопасности и так было давно известно: если вы используете морально устаревшие операционные системы (или своевременно не устанавливается ИБ-заплатки на актуальные операционные системы), не используете современные антивирусные средства и не соблюдаете элементарные правила “компьютерной гигиены” (открываете подозрительные ссылки, читаете письма, пришедшие к вам от незнакомых адресатов, и так далее), то данные, находящиеся на ваших ПК, находятся в большой опасности.

Впрочем, от действий вируса WannaCry (и ему подобных) не застрахованы даже те кто тщательно соблюдает “компьютерную гигиену”. В “Справке Аналитического центра InfoWatch об атаке вируса WannaCry” отмечается, что “технология распространения данного вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходит через сетевую уязвимость “Microsoft Security Bulletin MS17-010”. Вирус шифрует файлы на зараженном компьютере, после чего требует отправить злоумышленникам от 300 до 600 долл. в биткоинах. Заражению подвержены компьютеры, где не установлены обновления Windows и не стоит свежий антивирус”. Так что не пренебрегайте обновлением ОС и антивирусов! Это, конечно, не гарантирует 100%-ной защиты ваших данных, но вероятность их потери резко уменьшает.

И ещё. На мой взгляд, криптовымогатель WannaCry наглядно показал всему миру, что надежды (см. апрельскую публикацию “Системы обеспечения кибербезопасности становятся интеллектуальнее”) на всемогущество искусственного интеллекта в ИБ-системах слегка преувеличены. Да, использование ИИ (AI) в системах обеспечения кибербезопасности может весьма эффективно предотвращать целенаправленные кибератаки (когда киберзлодеи многие недели, а то и месяцы изучают особенности ИБ-систем предолагаемый жертвы), но для предотвращения массовых кибератак (когда бьют не по “конкретным целям”, а “по площадям”) AI-системы обеспечения информационной безопасности едва ли эффективны. Впрочем, технологии не стоят на месте. И ситуация быстро меняется.

И в завершение заметки – две новости от Романа Чаплыгина, руководителя российской практики услуг по информационной безопасности PwC в России. Одна плохая, а другая хорошая. Плохая новость заключается в том, что “недавно были найдены еще несколько критических уязвимостей в OS Windows, например, в Windows Defender (CVE-2017-0290), что грозит еще более серьезными проблемами для владельцев уязвимых версий Windows. В данном случае рекомендуется наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки”.

А вот хорошая новость: “Сейчас силы многих лабораторий кибербезопасности, и нашей в том числе, сфокусированы на том чтобы разработать средство по расшифровке данных, и опыт подсказывает, что весьма вероятно такой способ будет найден, поэтому не стоит поддаваться панике”.

Комментариев: 15

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.05.2017 13:55:46

Согласен со словами из сегодняшней переводной публикации “Чисто технические призывы обновляться и архивировать не решат проблему вымогательского ПО”: «Как минимум, Microsoft безусловно должна была предоставить мартовское критическое обновление всем своим пользователям, а не только тем, кто осуществляет дополнительные платежи. По сути дела, принцип „платите дополнительные деньги или мы не предоставим критические обновления“ можно рассматривать как собственную форму вымогательства»

И с этими словами из упомянутой выше публикации согласен тоже: “Реальная проблема здесь состоит в том, что ИТ-индустрия в целом годами продает негодные продукты. Можно сказочно зарабатывать, делая поначалу бракованные продукты и часто, прямо или косвенно, возлагая на пользователей обязанность их чинить”.

16.05.2017 15:40:18

Что было бы, если бы при борьбе с эпидемиями в бедных странах выдавали мыло и делали прививки только "правильным" людям (зарегистрированным, застрахованным, платящим налоги и т.д.)? Если Microsoft (и другие вендоры) не будут "дезинфицировать" всю среду в целом, победить злоумышленников будет очень сложно.

16.05.2017 16:15:52

А с чего вы взяли, что вендоры хотят побеждать этих самых злоумышленников? Такие эпидемии крайне выгодны индустрии, т..к сильно стимулируют спрос как компаний, так и обычных пользователей, на продукты ИБ.
Сама же майкрософт в имидже не потеряла, т.к. может смело заявить, что данная уязвимость была устранена еще в марте, и еще раз надавить на то, что необходимо поддерживать систему в актуальном состоянии (мол, а мы же вам говорили!)
Ситуация с XP - это вообще смешно. На сайте майкрософт четко написано:
"Если вы продолжите использовать Windows XP после окончания поддержки, ваш компьютер по-прежнему будет работать, но может стать уязвимым для вирусов и других угроз безопасности."
Так что все, кто использовал данную ОС были прекрасно осведомлены о рисках.

16.05.2017 20:40:28

Цитата
Если Microsoft (и другие вендоры) не будут "дезинфицировать" всю среду в целом, победить злоумышленников будет очень сложно.

Никто не предлагает мыться солдатам во время атаки, хирургам во время операции, водителям, находящимся за рулем и так далее... А когда, спрашивается устанавливать обновления компьютерам, находящимся на "боевом дежурстве" в лечебных, телекоммуникационных и прочих круглосуточно работающих предприятиях и учреждениях? Необходимо, чтобы патчи устанавливались без нарушения трудоспособности компьютера...

16.05.2017 17:23:06

Цитата
“технология распространения данного вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходит через сетевую уязвимость “Microsoft Security Bulletin MS17-010”

Я несколько обескуражен данным утверждением, если не сказать больше.
Во первых - в брандмауэре Windows по умолчанию запрещены все входящие соединения. Использовать уязвимость “Microsoft Security Bulletin MS17-010” не получится. Получить плюшку тут можно только в случае если брандмауэр принудительно отключен пользователем. Т.е. от пользователя всё-таки требуются действия.
Ещё менее понятно, как эту уязвимость можно использовать в корпоративной сети. Кто в здравом уме будет открывать наружу 445 порт на внешних маршрутизаторах, а главное для чего?
В общем описание проблемы несколько странное. Ещё страннее шум вокруг неё. Всё банально.

16.05.2017 17:45:54

Полностью согласен.

Человеческий фактор и банальное игнорирование основ ИБ, как были, так и остаются основными факторами подавляющего числа заражений, да и проблем с безопасностью в целом.
Открытые наружу порты, неактуальные пакеты безопасности, использования устаревших версий ПО - в общем все то, что написано в любой статье по ИБ.
Данный случай примечателен только масштабом одновременного инфицирования, который наглядно показывает как обстоят дела с безопасностью не только на компьютерах обычных пользователей, но, и казалось бы, в крупных предприятиях.

16.05.2017 17:50:12

Подпишусь под каждой буквой вашего комментария.

18.05.2017 14:36:42

Почитайте ИТ-шные форумы. Сколько народу бьет себя в грудь кулаком с гордостью рассказывая, что за 10 лет ни разу не обновляли ни ОС, ни ставили патчи, ни пользовались антивирусами. Это сисадмины. Мне, честно говоря, трудно представить, что ж у них в корпоративных сетках творится, если они считают все это обычной шелухой.
Кстати, заплатки Windows выпустил еще месяц назад. Когда началась эта паника, я специально компьютеры наши проверил (у нас их 250+ штук) - не стояли они только на парочке пользовательских ПК, но там моя ошибка, почему-то были отключены автоматические обновления, а отчеты по софту я давно не просматривал.
Так что да, я с вами полностью согласен. Распространение вирусов - результат пренебрежения основами безопасности в сети.

18.05.2017 15:21:36

Цитата
Мне, честно говоря, трудно представить, что ж у них в корпоративных сетках творится, если они считают все это обычной шелухой.

Так точно.

16.05.2017 20:24:45

Цитата
Человеческий фактор и банальное игнорирование основ ИБ, как были, так и остаются основными факторами подавляющего числа заражений, да и проблем с безопасностью в целом.
"Человеческий фактор" не всегда обусловлен недальновидностью...

Обновления могут убить людей…
smile:(

В заметке “Пять действий для защиты от WannaCry” обратите внимание на то, что от атак WannaCry пострадали главным образом организации в секторе здравоохранения и компании телекоммуникационных услуг. Что, в общем-то, неудивительно – ведь именно в этих отраслях компьютеры, как правило, должны работать круглосуточно. И у этих компьютеров просто нет времени для установки обновлений. Ведь при установке обновлений должны остановиться процессы, которые эти компьютеры обслуживают… 

Как известно (см., например, здесь ), в числе первых крупных организаций, пострадавших от WannaCry, оказалась Государственная служба здравоохранения Великобритании (NHS), которая публично подтвердила, что подверглась атаке Wanna Decryptor.

И ещё. В публикации “Чисто технические призывы обновляться и архивировать не решат проблему вымогательского ПО” говорится: “Когда вы отвечаете за больницу, где полно компьютеров, передающих друг другу данные, вы не можете себе позволить обновления, которые нарушают этот процесс, потому что тем самым вы можете убить людей”.

16.05.2017 22:28:00

Цитата
Что, в общем-то, неудивительно – ведь именно в этих отраслях компьютеры, как правило, должны работать круглосуточно. И у этих компьютеров просто нет времени для установки обновлений. Ведь при установке обновлений должны остановиться процессы, которые эти компьютеры обслуживают…

Мысль в целом правильная. Условия работы конкретного устройства всегда учитываются при проведении каких-либо работ на нём, в том числе при обновлении устройства, особенно если применение конкретного обновления требует перезагрузки. Если просто следовать логики "круглосуточной работы", то получается, что установить на такие устройства обновления, невозможно в принципе. Но это нонсенс. Кроме того, любое устройство не может работать бесконечно долго. Когда-то оно прервёт свою работу просто по причине выходя из строя. Как быть с круглосуточностью? Обычно, ресурсы критически важных устройств и резервируется и дублируются. Кроме того, применительно к теме нашего разговора, отдельные критически важные устройства могут помещаться в отдельный сетевой контур, не связанный вообще или обычным способом, с другими сетями в данной организации.
Другой нюанс, например все обновления для компьютеров сертифицированных ФСТЭК проходят серификацию, как когда-то основная система, и там "запаздывание" с установкой патчей доходит до нескольких месяцев. Причём это касается как Windows, так и Линукс.
Так что ещё раз - дело не в патче.
Дело в том, как конкретные люди в конкретной организации занимаются обеспечением безопасности.

17.05.2017 08:55:10

Теперь уже я подпишусь под каждым словом smile:)
Вся критически кажная инфраструктура строится с учетом отказоустойчивости и катастрофоустойчивости. Безусловно, такие устройства обновлять сложнее, но ничего невозможного в этом нет. Все эти ньюансы просчитываются еще на этапе проектирования.
Другое дело, что руководство организаций далеко не всегда хочет тратить деньги на дублирующие и территориально распределенные мощности.

17.05.2017 10:33:48

Цитата
Другое дело, что руководство организаций далеко не всегда хочет тратить деньги на дублирующие и территориально распределенные мощности.

Так точно.
В подавляющем количестве организаций руководство практически не участвует в разработке основного документа Политики безопасности компании. А ведь именно на руководство ложатся вопросы организационные (подпунктом юридические) и финансовые. Финансирование именно по линии безопасности идёт по остаточному принципу или не выделяется вообще.
В этом случае ИТ-безопасность становится ЛИЧНОЙ ПРОБЛЕМОЙ ИТ-айтишников.

16.05.2017 22:40:05

Вдогонку небольшое дополнение по статье "WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету".
Читаем внимательно цитируемый в данной статье отчёт Замглавы МВД по инциденту, в котором обращаем внимание на формулировки и общую акцент на то, что да, инцидент был, но серьёзных последствий нет, ибо в целом структура защищена надёжно.

Цитата
По словам первого замминистра МВД, причиной заражения персональных компьютеров сотрудников министерства послужили «попытки присоединить служебный компьютер к интернету посредством того или иного механизма».

На самом деле само по себе использование служебного компьютера вне периметра безопасности служебной сети в такой организации, как МВД это ИНЦИДЕНТ несколько круче, чем шифрование данных зловредом.
Скажу больше - СПАСИБО зловреду, ибо он помог выявить проблему гораздо большую. Теперь помимо того, как такое стало возможным, предстоит выяснить, как долго сотрудники использовали свои рабочие компьютеры вне служебной сети и что с этих компьютеров могло утечь т.с. "на строну", вполне возможно, даже безлобно.
В данной ситуации, формулировка "в целом структура защищена надёжно", вызывает большие сомнения.

19.05.2017 14:34:40

Если для кого-то еще актуально: статейки на тему, как проверить компьютеры организации на наличие защиты от WannaCry

http://www.10-strike.com/rus/blog/na-kakih-kompyuterah-net-obnovleniy-ot-wanna-cry/

https://sysadminblog.ru/microsoft/2017/05/17/kak-proverit-kakie-kompyutery-v-seti-uyazvimy-k-wannacry-wcry.html

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

Сказки о безопасности: Морской перехват
В столичную полицию поступило странное заявление. Компания А, транспортный перевозчик, чей сухогруз …

WPA-защита Wi-Fi оказалась уязвимой
Исследователи обнаружили, что широко применяемый для защиты сетей Wi-Fi протокол WPA2 подвержен опасности в случае …

Сказки о безопасности: Смартфон для внука
С утра Потапыч решил, что у него сегодня наконец-то более-менее спокойный день и он сможет заняться …

Сказки о безопасности: Дистанционная блокировка
Утро в столице империи началось с воя полицейских сирен. Ограблен столичный банк N. Бандиты уехали …

Нынешние IoT-гаджеты оставят ужасающее, ядовитое наследие
Поскольку устройства IoT все больше становятся частью реального, физического мира, необходимо что-то сделать, чтобы …

Мы в социальных сетях

PC Week/RE в Facebook PC Week/RE в Контакте PC Week/RE в Google+ PC Week/RE в Одноклассниках PC Week/RE в Twitter

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

TOR — не Dark Web
Несмотря на то, что в Федеральном законе № 276-ФЗ «О внесении изменений в Федеральный закон «Об инфо ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Руководство по выбору корпоративных программных систем (ERP, EAM, CPQ, SCM)
По данным недавнего отчета Aberdeen Group «Значение обновления ERP: управление современными технологиями», компании, развертывающие современные ERP-системы, заметно опережают своих конкурентов.
История успеха: Ferrari реорганизует процессы поставок и оптимизирует управление материалами с помощью Infor LN
Компания Ferrari — один из мировых лидеров по проектированию, конструированию, производству и продаже самых узнаваемых спортивных автомобилей класса люкс. Для повышения эффективности и упрощения управления своими внутренними процессами компания приняла решение о внедрении системы управления ресурсами предприятия Infor® LN.
Veritas Backup Exec 16 для SMB
В условиях, когда данные становятся ценным активом для бизнеса, их надежная защита превращается в одну из важнейших задач. Продукты компании Veritas позволяют решить ее эффективно при любой конфигурации информационных систем заказчика.
Xerox VersaLink С7030 — сплав качества и гибкости
В конце мая компания Xerox представила на рынке 29 новых печатающих устройств для малых, средних …
4 способа повышения рентабельности инвестиций (ROI) при использовании не только решения ERP по планированию ресурсов предприятия, но и системы управления складами WMS
Основная задача складского хозяйства — идеальное выполнение заказов. Модуль складского учета, входящий в состав решения по планированию ресурсов предприятия (ERP), решает эту задачу в условиях очень малых и малых складов.

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.