Скрипт-кидди

В начале XXI века появились анонимные персонажи, получившие название скрипт-кидди (иногда сокращённо SK), которые стремились причинить вред и прославиться, не имея чётких целей своей деятельности. Ранее, в 1980-х годах, распространился термин хакер, который означал человека, мотивированного любопытством, нарушающего безопасность технологической инфраструктуры, рассматривающего свои действия как вызов и характеризуемого как автор «безобидных вторжений». Это отличалось от поведения «новичков», которое впоследствии также претерпело изменения; с 2005 года часть скрипт-кидди стала экспертами в совершении кибератак с более конкретными целями. Тем не менее, многие из них ограничивались нанесением ущерба, используя весьма ограниченные знания в области информатики^[1].

Скрипт-кидди обычно считают некомпетентными в определённой области или сообществе: они хвастаются вымышленными знаниями и умениями, не желая учиться по-настоящему.

В докладе Университета Карнеги — Меллона (Carnegie Mellon University, CMU) 2005 года скрипт-кидди определяется как «наименее зрелый, но при этом, к сожалению, самый опасный эксплуататор и провокатор сбоев безопасности в Интернете. Типичный скрипт-кидди использует готовые техники, программы и скрипты, обычно известные и легко доступные, применяя их для поиска и углубления уязвимостей на чужих компьютерах в сети интернет. Многие его цели выбираются случайным образом, с минимальным пониманием возможных негативных последствий»^[2]. Документ был выполнен по заказу Министерства обороны США.

Термин используется в пренебрежительном смысле для описания людей, применяющих программные средства и скрипты, разработанные другими специалистами, для атак на операционные системы и компьютерные сети. Предполагается, что скрипт-кидди не способны программировать свои эксплойты, а их цель заключается в стремлении произвести впечатление на друзей или заработать репутацию в среде энтузиастов ИТ, не обладая серьёзной технической базой. Обычно скрипт-кидди действуют со злым умыслом, как и леймеры, но имеют ещё меньше знаний в области ИТ.

Скрипт-кидди не обладают (или только развивают) программными навыками, чтобы понимать последствия своих действий. В результате они часто оставляют очевидные следы, которые облегчают их обнаружение, либо атакуют компании с уже внедрёнными системами обнаружения инцидентов и средствами автоматического формирования отчётов^[3].

Один из наиболее часто используемых скрипт-кидди типов атак связан с социальной инженерией, когда злоумышленник обманывает пользователя, заставляя его передать личную информацию. Такой подход часто реализуется через создание фальшивых сайтов, на которых жертва вводит свои данные для входа (разновидность фишинга), что позволяет скрипт-кидди получить доступ к учётной записи пользователя.

Хотя атаки скрипт-кидди могут со временем становиться более эффективными, исследователи отмечают, что современные методы, например, использование языковых моделей, могут также способствовать усилению защиты от усовершенствованных атак. Такое непрерывное противостояние между кибератаками и средствами защиты приводит к эволюции обеих сторон^[4].

• Вирус Anna Kournikova. Также известен как VBS/SST и VBS_Kalamar, этот компьютерный вирус распространялся по Интернету в феврале 2001 года. К письму прикреплялся якобы снимок тогдашней профессиональной теннисистки Анны Курниковой. Автором вируса был голландский студент 20 лет Ян де Вит (Jan de Wit), использовавший псевдоним «OnTheFly». Пользователей обманывали — они по ошибке открывали вложение, считая его изображением спортсменки, тогда как файл представлял собой вредоносную программу. После открытия вложения запускавшийся вредоносный скрипт автоматически рассылал себя всем контактам адресной книги. Само изображение и генератор этого червя были созданы с помощью простого онлайн-сервиса Visual Basic Worm Generator, разработанного аргентинским программистом по прозвищу Kalamar. Положительный момент состоит в том, что даже несмотря на массовое заражение и перебои почтовых серверов, повреждения данных на атакованных машинах не были зафиксированы. ФБР представило доказательства суду в Нидерландах, однако де Вит получил наказание в виде 150 часов общественных работ; сам он утверждал, что не хотел причинить никакого вреда^[5]. При этом разработчик генератора и червя Kalamar обладал продвинутыми IT-знаниями и был 18-летним жителем Буэнос-Айреса, который, узнав об инциденте, удалил доступные для всех файлы с генератором^[6], подтвердив тем самым, что сам он не был скрипт-кидди.
• Червь Love Bug. Также известен как ILOVEYOU или Love Letter for you, этот компьютерный червь поразил более десяти миллионов ПК на Windows в мае 2000 года. Подобно предыдущему случаю, вредоносный код распространялся через электронную почту, но в данном случае происходило реальное повреждение локальной системы, в том числе случайное перезаписывание файлов изображений и MP3. Далее червь быстро размножал себя, используя адресную книгу пользователя. Создателем этого вредоносного ПО был филиппинец Онель де Гусман (Onel de Guzmán), тогда 24 лет, который объяснил свои действия экономическими трудностями и стремлением к свободному доступу в интернет. Жертвами стали до 50 миллионов пользователей^[7].

В первые годы Интернета термин «скрипт-кидди» использовался как оскорбление в адрес неопытных лиц, вторгавшихся в системы с помощью готовых автоматизированных инструментов, написанных другими. Скрипт-кидди эпохи раннего WWW прославились взломами веб-страниц и массовыми сбоями в IRC-коммуникациях. В наши дни Интернет стал куда более значимым, но запустить столь же эффективные атаки стало проще, чем когда-либо: достаточно иметь немного биткойнов. Анонимные сетевые технологии, такие как Tor, служат мощной базой для скрипт-кидди. Tor и аналогичные одноранговые сети рекламируют свои бесплатные сервисы как способ защиты пользователей от анализа трафика провайдерами и правительством, предоставляя при этом доступ к скрытым сервисам, в числе которых «тёмные рынки». В этих рынках даже новичок может собрать корзину из вредоносных инструментов, оплатить покупку и приступить к взлому. Работа подобных рынков зависит от ещё одного важного компонента — криптовалюты, в частности биткойна, который практически невозможно отследить, что делает его особенно привлекательным способом оплаты. Во многих тёмных рынках требуется приглашение для начала торговли вредоносным ПО, хотя некоторые открытые площадки даже продают такие приглашения. В современных условиях для атаки зачастую достаточно лишь желания — базовые инструменты доступны в широком доступе, а продавцы краймвара постоянно совершенствуют свой ассортимент. Сегодня скрипт-кидди могут воровать тысячи номеров банковских карт, парализовать сайты крупнейших компаний из списка Fortune 100 и даже выводить из строя инфраструктуру, имея всего лишь криптовалюту^[8].

В то же время, и не только в мире криптовалют, в настоящее время любой пользователь Интернета уровня скрипт-кидди способен проводить атаки на сети GSM (Global System for Mobile), применяемые для передачи голоса и данных. Для этого достаточно недорогого аппаратного и программного обеспечения, что позволяет затратить на инструментарий менее 100 евро. Основными средствами выступают широкополосные SDR-сканеры, открытые электронные прототипы (например, Arduino или GSM Shield 6), а также программное обеспечение с открытым исходным кодом — Airprobe, Wireshark, Kalibrate и другие. С помощью этого дешёвого арсенала можно: получить конфиденциальные данные с SIM-карт; обнаруживать, перехватывать и анализировать запросы пеиджинга, наблюдать за сетевым трафиком и политиками безопасности; а также выполнять скрытые атаки типа отказа в обслуживании (DoS) на отдельные мобильные устройства, выбранные в качестве целей^[9].