В системе «найти уязвимость и установить патч» есть слабые места, большинство из них проявляется в интернете+. Давайте рассмотрим последовательность действий по снижению уровня опасности ПО (исследование уязвимостей – информирование разработчиков – написание и публикация патчей – установка патчей) в обратном порядке.

Установка патчей. Помню время, когда пользователи, а более остальных представители корпоративных сетей, с опаской относились к инсталляции патчей по причине их «сырости» и потенциального вреда, который, будучи плохо протестированными, они могли причинить системе. Недоверие распространялось на всех, кто выпускал ПО. С годами ситуация изменилась. Крупные компании – разработчики ОС Microsoft, Apple и в особенности Linux – стали намного тщательнее тестировать патчи перед релизом. Узнав об этом, пользователи начали устанавливать патчи оперативнее и чаще. Кроме того, не прекращает совершенствоваться и сам процесс пропатчивания.

Тем не менее патчи устанавливают далеко не все. Согласно эмпирическому анализу отрасли, одна четверть пользователей обращается к патчам в день выхода, другая – в течение месяца после релиза, третья – в течение года, а последняя – никогда. Процент установки патчей в военной и в других отраслях промышленности, а также в области здравоохранения еще ниже из-за особенностей используемого там ПО.

Причин, по которым люди не считают необходимым обращаться к патчам, множество: кто-то использует пиратские копии ПО и не нуждается в обновлении системы, кто-то не доверяет разработчикам, встраивающим в апдейты ненужные пользователю функции, а у кого-то просто не хватает времени{124}. Некоторые системы, принадлежащие интернету вещей, по умолчанию затрудняют обновление. Как часто вы апгрейдите программы в роутере, холодильнике или в микроволновой печи? Уверен, что никогда. И да, скорее всего, вы даже не задумывались о такой возможности.

Эту проблему хорошо иллюстрируют три истории, произошедшие в 2017 г. Система одного из крупнейших американских кредитных агентств Equifax была взломана из-за того, что ее сотрудники в течение двух месяцев так и не нашли времени, чтобы установить на веб-сервер патч от Apache{125}. Свирепствовавшая повсеместно вредоносная программа WannaCry поражала исключительно «непропатченный» Windows. Ботнет системы интернета вещей Amnesia использовал уязвимость в цифровых видеомагнитофонах{126}. Уязвимость выявили и ликвидировали за год до появления ботнета, однако уже имевшиеся системы так и не получили обновления.

Ситуация с компьютерами, внедренными в устройства из интернета вещей, намного хуже. В большинстве девайсов – как дорогих, так и бюджетных – пользователям нужно самостоятельно загружать и инсталлировать патчи, и многим это оказывается не по силам. Бывает, что у провайдеров есть возможность удаленно пропатчивать роутеры и модемы, но это редкость{127}. Существуют также устройства, не подлежащие обновлению, например цифровой видеомагнитофон. Проще заменить его на новый, чем обновлять фирменную прошивку{128}.

Таким образом, за последние пять-десять лет только в бюджетном сегменте рынка мы получили сотни миллионов незащищенных, не подлежащих обновлению и при этом подключенных к интернету устройств. В 2010 г. эксперт в сфере безопасности обследовал 20 домашних роутеров и взломал половину из них{129}. Среди не прошедших проверку оказались роутеры популярных брендов. С тех пор ситуация не изменилась{130}.

Обратили на это внимание и хакеры, и теперь вирус DNSChanger атакует домашние роутеры и компьютеры. В 2012 г. в Бразилии с целью финансового мошенничества были взломаны 4,5 млн маршрутизаторов DSL{131}. В 2013 г. червь Linux поразил роутеры, камеры и другие устройства{132}. В 2016 г. ботнет Mirai захватил цифровые видеомагнитофоны, веб-камеры и роутеры, воспользовавшись такой ошибкой пользователей, как применение присвоенных по умолчанию паролей{133}.

Вопреки ожиданиям, трудности возникают и с пропатчиванием дорогих устройств из интернета вещей. В 2015 г. Chrysler отозвала 1,4 млн автомобилей, чтобы устранить уязвимость, о которой я говорил в самом начале книги{134}. Тем, кто успел приобрести авто, по почте выслали флешку с антивирусом; ее следовало вставить в порт на приборной панели. В 2017 г. Abbott Labs уведомила 465 000 пациентов, пользующихся ее кардиостимуляторами, о необходимости посетить авторизованную клинику, чтобы произвести обновление системы безопасности устройства{135}. Хорошо, что для этого не требовалась операция на открытом сердце.