Об опасности интернета вещей предупреждали не раз и не два. Современные фотоаппараты, камеры наружного наблюдения и прочие микроволновки контактируют с Сетью постоянно, а защищены чаще всего довольно слабо и потому становятся легкой добычей для ботовода. Чем больше зомби-сеть, тем более мощные DDoS-атаки можно организовать, а значит, хакерам становятся доступны все более выгодные мишени.

Масштабы проблемы стали особенно наглядны в прошлом году, когда в новостях прогремели нападения Mirai — огромного ботнета, объединявшего сотни тысяч устройств — на ведущего DNS-провайдера Dyn. После того как хакер Anna-senpai опубликовал исходный код этого троянца, специалисты ИБ немедленно предсказали новые массированные атаки ботнетов, созданных аналогичными зловредами.

Но то, что на первый взгляд усугубляло проблему, возможно, подсказало вариант ее решения. Проанализировав исходный код Mirai, группа исследователей из российского, датского и шведского университетов предложили вариант «клин клином вышибают». Их план таков: заразить потенциальные боты добросовестным троянцем через существующие уязвимости, а он, в свою очередь, оповестит владельцев девайсов об опасности, а то и вовсе закроет дверцу хакерам, исправив недостатки конфигурации или установив обновления прошивки.

Создатели сравнивают проект с вакцинированием: как заражение ослабленными возбудителями болезни укрепляет иммунитет пациента, так и заражение полезным троянцем призвано усилить защиту, чтобы зловреду негде было пролезть. Отсюда и название «белого» троянца — AntibIoTic.

По замыслу авторов, AntibIoTic способен бороться с эпидемией ботнетов сразу по нескольким направлениям. Во-первых, он формирует постоянную обновляемую информационную базу обо всех уязвимых устройствах. Это выгодно не только специалистам по информационной безопасности, но и производителям — не секрет, что значительный процент ботов часто паразитирует на устройствах от одной и той же компании. Во-вторых, узнав об уязвимости, через AntibIoTic можно распространить и установить необходимые патчи: так будет дешевле, чем отзывать всю партию устройств или разбираться с последствиями скандала.

По задумке создателей, добросовестный троянец сопротивляется перезагрузке (просто заново проникает на устройство, когда оно опять подключается к интернету), а средства безопасности интернет-провайдеров его не видят, потому что ничего плохого он не делает.

При всей своей перспективности, предложенный подход предполагает изменение проприетарного ПО и, возможно, разглашение личных данных — во многих странах это нарушение закона. Попытки причинить добро с помощью добросовестного троянца напоминают самосуд: потенциальный вред едва ли не перевешивает пользу.

Сама идея «белого» вируса не нова: весной была зарегистрирована атака троянца BrickerBot, который превращал потенциально уязвимые девайсы в бесполезные «кирпичи». Теперь эту атаку считают акцией хактивистов, желающих привлечь внимание к уязвимости устройств с открытым портом Telnet. Увы, подобные действия не столько приближают решение проблемы, сколько подвергают опасности ни в чем не повинных пользователей — что если заблокирован будет автомобильный компьютер?

Похожая, но более мягкая «добросовестная» атака имела место в октябре 2015 г., когда вирус Linux.Wifatch находил и исправлял ошибки конфигурации в незащищенных роутерах.

Создатели AntibIoTic видят в предыдущих попытках доказательство потенциальной работоспособности заявленного подхода, однако свой проект позиционируют как принципиально иное решение: публичную, открытую платформу, которая поощряет сотрудничество владельцев устройств, их производителей и акторов безопасности.

Категории: Главное, Кибероборона