Законы эпидемий. Как развиваются и почему прекращаются эпидемии болезней, финансовые кризисы, вспышки насилия и модные тренды - Адам Кучарски

Компьютерные черви впервые привлекли к себе внимание общества в 1988 году, благодаря «червю Морриса», созданному студентом Корнеллского университета Робертом Моррисом. Появившийся 2 ноября червь быстро распространился по сети ARPANET – первой версии интернета. Моррис утверждал, что программа не должна была никак о себе заявлять и предназначалась только для оценки размера сети. Но небольшая ошибка в коде привела к серьезным проблемам.

Изначально Моррис запрограммировал червя таким образом, чтобы тот, попадая на компьютер, первым делом проверял, не заражена ли уже машина, – чтобы избежать многократной установки программы. Но такой подход упростил бы задачу блокировки червя; пользователи смогли бы «вакцинировать» свой компьютер, имитировав заражение. Чтобы решить эту проблему, Моррис позволил программе время от времени дублировать себя на уже зараженной машине. Однако он недооценил последствия. Выпущенный на свободу червь распространялся и размножался слишком быстро, нарушая работу множества компьютеров[482].

Говорят, что червь Морриса в итоге заразил 6000 компьютеров – приблизительно 10 % всей сети того времени. Но по мнению Пола Грэма, современника Морриса, это было лишь предположение, которое позднее стали повторять все подряд. «Люди любят числа, – впоследствии вспоминал он. – И это число тиражируется по всему интернету, как сам червь»[483].

Даже если масштаб эпидемии червя Морриса был оценен верно, он не идет ни в какое сравнение с современными вредоносными программами. В августе 2016 года вспышка Mirai всего за один день охватила почти 65 тысяч устройств. На пике эпидемии бот-сеть состояла из более чем полумиллиона устройств, и лишь в начале 2017 года начался спад.

И все же у Mirai и червя Морриса есть нечто общее: их создатели не ожидали, что вспышка выйдет из-под контроля. Информация о Mirai попала на первые полосы газет в октябре 2016 года, когда пострадали сайты Amazon и Netflix, однако изначально бот-сеть разрабатывалась с более скромной целью. Когда ФБР отследило происхождение Mirai, оказалось, что все началось с двадцатиоднолетнего студента колледжа по имени Парас Джа, двоих его друзей и компьютерной игры Minecraft.

У Minecraft насчитывается более 50 миллионов активных пользователей по всему миру, которые играют друг с другом на бескрайних просторах виртуальных миров. Игра принесла ее создателю огромную прибыль – после того как в 2014 году Microsoft купила Minecraft, он приобрел поместье стоимостью 70 миллионов долларов[484]. Она также приносила доход владельцам сторонних серверов, на которых хранились виртуальные ландшафты игры. В то время как большинство многопользовательских онлайн-игр подконтрольны какому-то одному центру, Minecraft действует по принципу свободного рынка: люди могут платить за доступ к любому серверу, который выберут. С ростом популярности игры некоторые владельцы серверов стали зарабатывать сотни тысяч долларов в год.

На кону стояли большие деньги, и некоторые владельцы серверов стали пытаться избавиться от конкурентов. Если удастся направить большое количество ложных запросов на другой сервер (это так называемая распределенная атака на отказ в обслуживании, или DDoS-атака), скорость соединения для игроков снизится. Разочарованные пользователи начнут искать альтернативный сервер, в идеале – принадлежащий организаторам атаки. Появился целый рынок онлайн-оружия, где предлагались все более изощренные DDoS-атаки, а зачастую и защита от них[485].

Именно с этой целью создавалась Mirai. Бот-сеть была настолько мощной, что могла подавить любого конкурента, который попытался бы организовать DDoS-атаку. Но Mirai недолго оставалась в мире Minecraft. 30 сентября 2016 года, за несколько недель до атаки на Dyn, Джа и его друзья опубликовали на интернет-форуме код Mirai. Эту тактику часто используют хакеры: если код выложен в публичное пространство, властям труднее найти его создателей. Затем кто-то другой – неизвестно, кто именно, – скачал написанный тремя друзьями код и использовал его для DDoS-атаки на Dyn.

Авторов Mirai – они жили в Нью-Джерси, Питтсбурге и Новом Орлеане – вычислили после того, как ФБР получило в свое распоряжение зараженные устройства и отследило всю цепочку передачи до самого источника. В декабре 2017 года все трое были признаны виновными в создании бот-сети. По приговору они были обязаны сотрудничать с ФБР, чтобы предотвратить новые подобные атаки. Суд Нью-Джерси также взыскал с Джа 8,6 миллиона долларов в счет возмещения ущерба[486].

Бот-сеть Mirai сумела парализовать интернет, атаковав каталог веб-адресов Dyn, но в других случаях именно системы веб-адресов помогали остановить атаку. Когда в мае 2017 года разрасталась эпидемия WannaCry, британский специалист по кибербезопасности Маркус Хатчинс анализировал исходный код червя. Программа содержала ссылку на длинный веб-адрес, состоявший из бессмысленного набора букв: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Именно к нему якобы пытался получить доступ WannaCry. Хатчинс заметил, что этот домен не зарегистрирован, и купил его за 10,69 доллара. Сделав это, он, сам того не подозревая, «выключил рубильник» и остановил атаку. «Должен признаться: регистрируя домен, я еще не знал, что это остановит вредоносную программу, так что это была случайность, – позднее написал он в твиттере. – Теперь я могу добавить в свое резюме: “случайно остановил международную кибератаку”»[487].

Одна из причин столь широкого распространения Mirai и WannaCry состоит в том, что черви хорошо приспособлены для поиска уязвимых устройств. Говоря языком эпидемиологов, современные вредоносные программы способны создавать большое количество возможностей для передачи – гораздо большее, чем их предшественники. В 2002 году Стюарт Стэнифорд и его коллеги опубликовали статью под названием «Как завладеть интернетом в свободное время»[488] (в культуре хакеров «владеть» (0wn) означает «полностью контролировать»). Исследователи показали, что червь Code Red, заражавший компьютеры в 2001 году, был относительно медленным. Каждый зараженный сервер инфицировал в среднем 1,8 компьютера в час. Это гораздо быстрее, чем распространяется корь, одна из самых заразных болезней человека: в восприимчивой популяции больной корью будет заражать в среднем 0,1 человека в час[489]. И все же для червя это была невысокая скорость – в том смысле, что Code Red потребовалось некоторое время для действительно масштабной вспышки.

Стэнифорд и его соавторы предположили, что более эффективный червь способен спровоцировать вспышку гораздо быстрее. Позаимствовав у Энди Уорхола знаменитую цитату о пятнадцати минутах славы, они назвали эту гипотетическую программу «червем Уорхола», потому что именно за это время червь смог бы добраться до большинства своих жертв. Но идея недолго оставалась в области предположений. Через год появился первый червь Уорхола: программа под названием Slammer заразила 75 тысяч компьютеров[490]. Если охват вспышки Code Red на раннем этапе удваивался за 37 минут, то в случае со Slammer это происходило за 8,5 секунды.

Slammer быстро распространялся, но затем вспышка угасла, поскольку ему становилось все труднее находить