В гостях у Гейтса

Это, наверное, самое скандальное IT-известие года: в корпоративной сети Microsoft по крайней мере 12 дней орудовали хакеры, имевшие доступ к исходному коду основных программных продуктов компании, возможно, даже к коду Microsoft Office и Windows.

Впрочем, обо всем по порядку. 25 октября специалисты из службы компьютерной безопасности Microsoft, анализируя логи, обнаружили, что корпоративная сеть компании была взломана и в течение некоторого времени в ней хозяйничали неизвестные хакеры. Выдала взломщиков попытка создать новые сетевые аккаунты с расширенными привилегиями.

Как долго продолжалось вторжение, пока неизвестно. Первоначально говорили о трех месяцах, потом в прессе появились цифра 5 недель, а 30 октября Microsoft официально заявила, что доступ с высоким уровнем привилегий у хакеров был только в течение 12 дней, и за это время они успели скопировать часть исходников Microsoft. Правда, неизвестно, какой именно продукт заинтересовал взломщиков. Представители компании лишь опровергли версии, что как-то скомпрометированы Windows или Office, заявив, что злоумышленники копировали исходный текст менее важного для компании пакета, который к тому же не появится в продаже в ближайшее время. С чего бы хакеры заинтересовались программным продуктом, пребывающим на начальной стадии разработки, - непонятно.

Осознав, что в одиночку ей с расследованием не справиться, компания обратилась за помощью к ФБР. Сейчас уже кое-что известно о том, как был произведен взлом. Один из сотрудников Microsoft получил по почте письмо с вложенным троянцем QAZ и был настолько неосторожен, что его запустил. После этого троянец, по всей видимости, загрузил и установил на этом компьютере дополнительные пакеты. В итоге хакеры получили в свое распоряжение пароли этого сотрудника в корпоративной сети. Интересно, что пароли пересылались на почтовый адрес, зарегистрированный в Санкт-Петербурге, хотя это, конечно, еще не говорит о том, что взломщики - выходцы из России. После внедрения хакеры преспокойно орудовали в корпоративной сети Microsoft, выдавая себя за сотрудников, работающих вне офиса.

Microsoft заявляет, что вторжение не нарушило целостность исходного кода ее продуктов. Злые языки утверждают, что хакеры даже кое-что подправили и теперь, возможно, программы компании станут более надежными. Вообще история со взломом Microsoft вдохновила значительное число остряков: уже через несколько дней после первых сообщений в печати появились варианты первой фразы Гейтса, после того как он узнал о взломе, и шутки на тему «целостности исходного кода».

Тем не менее, в самом факте взлома смешного мало. Практически все компании, работающие в области компьютерной безопасности, признают, что стопроцентной гарантии от взлома не бывает и обвинять в случившемся только службу безопасности Microsoft бессмысленно. Однако, пока не пойманы взломщики и нет достоверных сведений о том, к исходному коду каких продуктов им удалось получить доступ, существует вероятность того, что в руки злоумышленников попали коды критичных для Microsoft программ. Зачем хакерам исходные тексты ПО - неизвестно. Возможно, хакеры намеревались позднее шантажировать корпорацию, угрожая опубликовать полученные файлы в Сети. Может быть злоумышленники занимались банальным промышленным шпионажем. Возможно (и такое уже не раз бывало), что хакерами двигало простое любопытство.

Даже если исходный код был украден «просто из интереса», остается опасность того, что на его основе будет создано новое поколение вирусов и хакерских программ, написанных с учетом особенностей недокументированных механизмов работы ПО Microsoft. Здесь может сложиться интересная ситуация, когда хакеры знают, как работает та или иная функция, а производители антивирусов и программ, обеспечивающих компьютерную безопасность, - нет.

Пострадать мог и код продуктов, поставляемых компании Microsoft сторонними производителями. Все программы, установленные в корпоративной сети Microsoft (за исключением уже упомянутого троянца), поставляются вместе с исходным кодом. Если производитель ПО не согласен на такие условия, Microsoft просто обращается к другому.

Владимир Гуриев [vguriev@computerra.ru]