— Что за «нулевой день»? — спросила Сьюзи.
Она сидела на диване с Чаком, крепко обняв Элларозу. Та качала головкой, наблюдая за мной, я же нарезал круги, словно загнанный в клетку тигр. Сьюзи была прелестной южанкой — брюнеткой с длинными и шелковистыми волосами, озорными веснушками и стройной фигуркой — но сейчас её глубокие карие глаза были полны тревоги.
— Это, вроде как, новый вирус? — обратился ко мне Чак.
Я не был экспертом по безопасности, но работал электротехником, и компьютерные сети входили в моё поле деятельности. Буквально вчера у нас с коллегой из отдела безопасности состоялся разговор на эту тему.
— В некотором роде, — согласился я. — Уязвимость в программе, которая ещё не задокументирована, называется уязвимостью нулевого дня. Атака нулевого дня, соответственно, использует ранее неизвестную дыру в безопасности системы. На её анализ, буквально, ушло только ноль дней.
Уязвимости есть в любой системе. Известные уязвимости обычно устраняются патчами и фиксами, и список таких уязвимостей для коммерческих продуктов по всему миру каждую неделю пополняется на сотни, а то и тысячи.
Если взять любую компанию из списка «Fortune 500», которые используют тысячи собственных программ, список уязвимостей будет насчитывать десятки тысяч. Корпорации участвуют в постоянной неравной гонке со злоумышленниками, которым из миллионов возможностей достаточно одной лазейки, которую компания ещё не успела исправить.
Что частные фирмы, что государственные не успевают закрывать известные уязвимости, а уж про «нулевой день» и говорить нечего. Защиты против подобных вирусов нет никакой, потому что направление атаки по определению неизвестно.
Чак и Сьюзи молча смотрели на меня.
— Это атака, против которой у нас нет защиты.
«Stuxnet», «червь», повредивший иранские ядерные объекты, использовал около десятка уязвимостей нулевого дня, чтобы проникнуть в системы. Он был первым примером новоявленного и сложного кибероружия. На создание такого вируса требуется много времени и денег, так что его появление однозначно преследовало чьи-то цели.
— Что значит, нет защиты? — спросила Сьюзи. — И много таких может быть? Государство разве не может ничего сделать?
— Государство считает, что частный сектор должен защищать себя сам, — ответил я. — И предусмотреть абсолютно все способы, которые могут использовать для атаки против нас, просто невозможно.
На CNN, тем временем, транслировали беседу четырёх корреспондентов и аналитиков.
