Автор: Киви Берд
В связи с появлением нового "криптографического" вируса-шантажиста, получившего имя Virus.Win32.Gpcode.ak, Лаборатория Касперского выступила с любопытной инициативой Stop Gpcode.
Был брошен клич — усилиями мирового сообщества взломать стойкий, пока не поддающийся вскрытию 1024-битный RSA-ключ вымогателей, написавших вирус. На взлом подобного ключа, по оценкам экспертов фирмы, требуется примерно год работы пятнадцати миллионов современных компьютеров. Как сказано в пресс-релизе: "Мы не обладаем подобными вычислительными мощностями. Лаборатория Касперского приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы. Имеющейся у компании на сегодняшний день информации достаточно, чтобы специалисты смогли приступить к факторизации ключа".
В результате чего, как предполагалось, впечатляющий криптоаналитический рекорд по факторизации больших чисел впервые можно было бы побить не во имя абстрактных научных интересов, как обычно, а ради реальной пользы для всех, кто пострадал от вредоносного кода.
На словах инициатива отечественного антивирусного флагмана выглядит весьма благородно. Однако реакция мирового сообщества специалистов по криптографии и компьютерной безопасности на этот призыв оказалась скорее скептической, нежели заинтересованной. Чтобы в общих чертах понять причины отсутствия энтузиазма, понадобится копнуть историю вируса чуть глубже.
Первые варианты Gpcode, известного также как PGPCoder, были обнаружены около двух лет назад.
Когда такой код атакует компьютер, он зашифровывает файлы пользователя, после чего выдается сообщение с требованием заплатить за обратную расшифровку и возврат информации ее законному владельцу. Новейшая инкарнация Gpcode, в частности, отыскивает и шифрует более 140 типов файлов (текстовые и графические форматы, электронные таблицы, исходные тексты программ и т. д.), оставляя нетронутыми, главным образом, системные dll-библиотеки и исполняемые файлы приложений. В название зашифрованных файлов добавляется "_CRYPT", а оригиналы стираются.
Закончив свое "черное дело", Gpcode самоуничтожается, а на экране компьютера появляется извещение от шантажистов на английском примерно такого содержания: "Ваши файлы зашифрованы алгоритмом RSA-1024. Для возврата ваших файлов требуется купить наш декодер. Чтобы купить инструмент для расшифровки, обращайтесь к нам по следующему электронному адресу…". Подробные инструкции о том, что делать жертвам атаки и куда переводить денежки (одну-две сотни долларов), шантажисты помещают также в папки с зашифрованными файлами.
Главным отличием нынешнего поколения Gpcode, по признанию аналитиков, является стойкость криптоалгоритма. В его прошлых версиях и в других подобных программах криптография была довольно слабой, что позволяло отыскивать необходимые для расшифровки данных ключи обходными путями (например, непосредственно в коде вируса) и восстанавливать файлы без особых проблем. Теперь же, согласно первичному заключению специалистов из Лаборатории Касперского, Gpcode грамотно использует встроенный криптографический компонент Windows под наз ванием Microsoft Enhanced Cryptographic Provider, и найти слабые места в коде, реализующем шифрование, пока не удалось. Именно поэтому у российских борцов с вирусами и родилась идея обратиться за помощью к мировому сообществу.
Среди первых, кто откликнулся на этот призыв (причем отозвался о нем весьма негативно), оказался известный болгарский эксперт Веселин Бончев (Vesselin Bontchev). В дискуссионной ветви, специально отведенной для Stop Gpcode на форуме поддержки Лаборатории, Бончев написал, что предлагаемая инициатива — это бесполезная трата времени, обреченная на провал; что сделанные специалистами компании оценки ресурсов, требующихся для вскрытия ключа, чересчур оптимистичны, а единственная польза от затеи — это бесплатная реклама для компании-инициатора.
Справедливости ради надо отметить, что нынешний работодатель Бончева — исландская антивирусная компания Frisk Software — прямой конкурент россиян.
Поэтому его нелицеприятный комментарий можно объяснить и рыночной конкуренцией. С другой стороны, американский специалист по безопасности Брюс Шнайер никак не связан с этим сектором софтверного бизнеса. Однако в дискуссионной ветви его популярного среди криптографов блога практически не нашлось позитивных отзывов на пиар-инициативу Лаборатории.
В раскованной манере, свойственной блогам, Шнайер выразился примерно так: "Год работы для пятнадцати миллионов современных компьютеров на вскрытие такого ключа… Да что они там курят у Касперского? Еще никому не удавалось факторизовать 1024-битное число, да еще при столь скромных ресурсах. Вскрытие ключа Gpcode потребует много больше вычислительных мощностей, чем можно получить в ответ на милую просьбу через Интернет".
Лаборатория Касперского, разумеется, не могла не отреагировать на столь негативную реакцию между народного сообщества. Через несколько дней после анонса Stop Gpcode старший консультант Дэвид Эмм (David Emm) существенно скорректировал намерения компании: "Эта инициатива не направлена на вскрытие 1024-битного ключа как такового. Наша цель заключается в отыскании способа для взлома криптографии, реализованной конкретно в Gpcode.
Это гораздо более реалистичное предположение, ибо в коде программы могут быть дефекты. Именно их мы ищем, и ради этого мы пригласили сообщество нам помочь".