Жанр: Учеба
Компьютерная вирусология ч. 1
...ет, что послужило прототипом, да и вообще руководствуется
принципом "умный догадается, а дураку не нужно". В "диком"
варианте кромсается непосредственно загрузочный модуль в отладчике.
Здесь отсутствует не только документация, но и исходный текст
"изделия".
Ну и конечно, у каждого хакера есть сверхзадача, своего рода голубая
мечта (удачные небольшие системные программки, благодаря которым
он пользуется уважением, им самим рассматриваются как поделки):
новая операционная система, алгоритмический язык, программа,
выигрывающая у человека в какую-нибудь сложную, интеллектуальную
игру, или инструментальная система "супер" — облегчающая все, все,
все (самая любимая задача). Конечно, статус хакера не является пожизненным.
Это своего рода "детская болезнь", и из среды "нормальных"
хакеров вышел ряд известных разработчиков системного программного
обеспечения.
Для части хакеров, обычно называемых кракерами, в качестве
сверхзадачи выступает проникновение в какую-нибудь систему, снятие
защиты программного продукта от копирования или что-то аналогичное.
Именно эта часть хакеров становится причиной "головной боли"
разработчиков коммерческого программного обеспечения, снабженного
средствами защиты от незаконного копирования, а также пользователей
баз данных с конфиденциальной информацией.
Другая часть кракеров, иногда называемых "информационными путешественниками",
специализируется на проникновении в удаленные компьютеры,
подключенные к некоторой сети. Так, студенты одного из
университетов США составили и сумели ввести в ЭВМ программу, имитирующую
работу с удаленными пользователями. К моменту разоблачения
пользователи сумели получить более 100 таких паролей. Деятельность
этой разновидности кракеров в большинстве западных стран
рассматривается или граничит с уголовной. Неслучайно ряд кракеров
на Западе были осуждены на сроки от 6 месяцев до 10 лет тюремного
заключения.
И наконец, самая худшая порода хакеров — это создатели троянских
программ и компьютерных вирусов. Впрочем, их уже нельзя назвать
хакерами, поскольку "неформальный кодекс" хакера запрещает использование
своих знаний операционной систем и оборудования во вред
пользователям. Это своего рода "паршивые овцы", которые бросают
тень на хакеров в целом. Обычно их называют техно-крысами. Поскольку
жертвами вирусов обычно становятся не специалисты, а те,
кто использует компьютер как инструмент своей профессиональной деятельности
или как хобби, психология разработчиков вирусов сродни
психологии негодяев, отбирающих деньги у школьников младших классов,
которые мать дала им на обед.
1.2.2. Первые случаи массового заражения
"До чего же нам иногда тесно
в разумных пределах"
Евгений Сагаловский
Как уже отмечалось, в 1987 г. в разных местах, независимо друг
от друга были зарегистрированы три случая массового заражения клонов
IBM PC компьютерными вирусами.
Первым Вирусом-87 был так называемый Пакистанский вирус, разработанный
братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog
Alvi) в 1986 г. Он был обнаружен летом 1987 г. По непроверенным
(и, вероятно, завышенным) данным, приведенным Маккафи (McAfee)
[McAfee89b], он заразил только в США более 18 тысяч компьютеров.
Этот бутовый вирус создан в основном Амджадом — 26-летним выпускником
отделения физики Пенджабского университета, который, по его
заявлению, пытался наказать американцев, покупавших дешевые незаконные
копии программ в Пакистане. Амджат утверждает, что по пакистанским
законам свободное копирование не является преступлением,
и хотя он не одобряет такое положение вещей, вынужден с ним мириться
и не может наказывать других. Поэтому он не продавал зараженные
вирусом незаконные копии пакистанским покупателям. Другое
дело — американцы, у которых существуют законы, запрещающие пиратство.
Их, по его мнению, стоило проучить. К середине 1987 г.
братья признали, что уже достаточно проучили пиратов и прекратили
распространение вируса. Однако вирус уже сумел распространиться по
США, а оттуда попал в другие страны, в том числе и в СССР. Кроме
того, начали появляться штаммы с измененными текстовыми сообщениями
и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре
1987 г. в одноименном университете США. В течение нескольких дней
этот вирус уничтожил содержимое нескольких сот дискет из библиотеки
вычислительного центра университета и личных дискет студентов
[Wyk89]. По данным Маккафи, опубликованным в журнале Datamation
[McAfee89b], по состоянию на февраль 1989 г. только в США этим
вирусом было заражено порядка четырех тысяч компьютеров. Следует
отметить, что учитывая склонность Маккафи искажать данные в выгодную
для него сторону к приводимым им цифрам нужно относиться критически,
уменьшая их примерно в пять раз.
Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус
в Иерусалимском Университете (Израиль). Хотя существенного вреда
этот вирус не принес, он быстро распространился по всему миру (по
данным Маккафи, более 3 тысяч зараженных компьютеров только в США)
и, по-видимому, является первым вирусом, распространение которого
приобрело характер пандемии [Radai89].
В том же 1987 г. в издательстве Data-Becker вышла монография
Р.Бургера "Компьютерные вирусы". Она выдержала несколько переизданий,
переведена на английский язык, а в 1989 г. — на русский язык
[Burger88]. Автор неосторожно включил в книгу ряд исходных текстов
демонстрационных программ вирусов на разных языках и листинг так
называемого венского вируса. Такой, чрезмерно расширенный, несмотря
на изменившуюся ситуацию, уровень "гласности" дает основания
рассматривать роль данной книги как весьма противоречивую.
Свой вклад в распространение вирусов внесли и некоторые журналы.
Так, журнал "C't" в том же году опубликовал код вируса "уголек"
для ПЭВМ Atary ST и фаг к этому вирусу [Krabel87]. Вскоре этот вирус
проник в компьютеры издательства Data-Becker, а затем и на дистрибутивные
дискеты, распространяемые этой фирмой. К счастью, он
был быстро обнаружен и уничтожен.
В 1988 г. проблема защиты программного обеспечения от заражения
компьютерными вирусами в странах США и Западной Европы приобрела
характер приоритетной. Это прежде всего связано с тем, что в условиях
значительной зависимости различных учреждений от компьютерных
систем, проникновение вирусов представляет потенциальную опасность
и может привести к серьезным последствиям. Например, летом 1988 г.
компьютерный вирус инфицировал три компьютера в Мичиганском госпитале,
которые обрабатывали информацию о пациентах. Он был обнаружен
в процессе анализа причин неправильного функционирования системы,
заключавшейся в том, что на дисплей неверно вызывались расширенные
диагностические сведения. По данным администрации госпиталя
вирус перемешал фамилии пациентов в базе данных ПЭВМ
Macintosh II. Как показало расследование, вирус был занесен при
ремонте винчестера одного из компьютеров. К счастью, никому из пациентов
не был поставлен неправильный диагноз или назначено неправильное
лечение в результате перемешивания фамилий пациентов в базе
данных. Однако, по мнению специалистов, это был вопрос времени
и вполне мог стоить кому-то жизни. Данный случай является вторым
случаем вторжения в медицинские компьютеры (первый был связан с
проникновением кракеров, которые просматривали базу данных, но не
нанесли никакого ущерба) и первым случаем, когда настоящие данные
пациентов и диагностирования манипулировались вирусом [Zajac89c].
Из компьютерных Вирусов-88 отметим вирус падающих букв и "итальянский
попрыгунчик", распространение которых также приняло характер
эпидемии. Особое внимание общественности привлек так называемый
вирус Морриса: 2.11.88 г. Роберт Моррис-младший, аспирант факультета
информатики Корнельского Университета инфицировал с помощью
написанного им вируса большое количество компьютеров (по
ориентировочным оценкам порядка 6000), подключенных к американской
национальной сети Internet (не путать c распространенной локальной
сетью Ethernet) [Highland89b]. Хотя никакой потери или изменения
данных не произошло, многие тысячи часов рабочего времени были потеряны
пользователями Internet.
Это событие вызвало значительную реакцию американской и мировой,
прессы, включая советскую. Так ведущие американские газеты, включая
"Чикаго Трибьюн", "Нью-Йорк Таймс" и "Бостон Геральд", опубликовали
репортажи с места события. Ими широко освещалась динамика
распространения вируса и разработка методов борьбы с ним, а также
затрагивались общие проблемы обеспечения безопасности компьютерных
систем. Позднее в аналитических статьях по этому поводу обсуждались
нерешенные проблемы, относящиеся к вопросам безопасности компьютерных
систем, и предлагались законодательные инициативы, направленные
на предотвращение подобных случаев в дальнейшем. В частности,
не без влияния этой серии публикаций в палате представителей
были внесены два проекта законов, предусматривающих уголовное
наказание за создание и распространение компьютерных вирусов.
Помимо информации типа "как это было" и "то ли еще будет", в
американской прессе широко обсуждался вопрос о том, как квалифицировать
поступок Морриса: является ли Моррис героем-хакером, который
без нанесения серьезного ущерба указал на слабые места в национальной
компьютерной сети, или он является преступником, который
должен быть сурово наказан. При этом характер обсуждения и поляризация
мнений в некоторой степени напоминали дискуссии по поводу
известного всем нам случая с посадкой Руста на Красную площадь.
Вскоре Моррис был отчислен из Корнельского университета.
Министерство юстиции США довольно долго изучало вопрос о возможности
привлечения Морриса к суду на основе действующего законодательства,
и только 18 января 1990 г. в городе Сиракьюс (штат НьюЙорк)
начался судебный процесс по делу Морриса. Нанесенный ущерб
был оценен в 150 тыс. долларов. Процесс над Моррисом стал возможен
в результате принятия в 1986 г. федерального закона об ответственности
за преступления, связанные с компьютерами (1986 U.S.
Computer Fraud and Abuse Act). Моррису грозил штраф в 250 тыс.
долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса
утверждал, что тот якобы создал вирус для проведения эксперимента
по проверке защиты компьютера. При этом он допустил ошибку, которая
и привела к нежелательным результатам. Моррис, по словам адвоката,
не стремился нанести какой-либо ущерб компьютерным системам
США. Интересно отметить, что в интервью репортеру одной из американских
газет мать Морриса упомянула тот факт, что роман "The
Shockware Rider" Джона Бруннера был одной из наиболее зачитанных
книг в комнате юного Морриса. 4 мая 1990 г. суд присяжных признал
Морриса виновным. Он был приговорен к условному заключению сроком
на два года, 400 часам "общественных работ" (американский аналог
отечественных 15 суток) и штрафу размером 10 тыс. долларов. Осуждение
Р.Морриса-младшего показывает что американское общество уже
осознает опасность и предпринимает меры по борьбе с ней.
В 1989 г. панику в США и западноевропейских странах вызвали
вирусы DATACRIME, которые запрограммированы так, что начиная с 12
октября они разрушают файловую систему, а до этой даты просто размножаются.
Эта серия компьютерных вирусов, состоящая, как полагают,
из трех программ ("Датакрайм 1, 2, 3") начала распространяться
в Нидерландах, США и Японии приблизительно в начале 1989 г. и к
сентябрю поразила, по некоторым оценкам (которым, впрочем, не стоит
особенно доверять), около 100 тысяч ПЭВМ только в Нидерландах
(что составляет около 10% от их общего количества в стране). Даже
фирма IBM отреагировала на эту угрозу, выпустив свой детектор
VIRSCAN, позволяющий искать характерные для того или иного вируса
строки (сигнатуры) в файловой системе. Набор сигнатур может дополняться
и изменяться пользователем. В нашей стране в 1989 и 1990
гг. случаев заражения данным вирусом не отмечалось; потенциальную
опасность представляет 12.10.91 г.
В начале августа 1989 г. в Амстердаме состоялся международный
съезд хакеров, в ходе которого были продемонстрированы "дыры" в
существующих системах обеспечения безопасности и контроля от несанкционированного
доступа. В качестве доказательства своих способностей
представители одной из групп кракеров, подключившись к
ЭВМ местного банка, получили 270 тысяч франков. Вернув на следующий
день эту сумму наличными, кракеры продемонстрировали уязвимость
системы защиты банковских компьютеров.
Еще одной нашумевшей историей была так называемая AIDS
Information Trojan — троянская программа, распространявшаяся в декабре
1989 г. в составе пакета с базой данных о заболевании синдромом
приобретенного иммунодефицита (СПИД). Как программа, так и
база данных были записаны на дискете, которая была разослана 20
тысячам заказчиков, включая ряд медицинских и общественных организаций
США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и
многих других стран. Затраты на рассылку составили порядка 200
тыс. долларов. Все адресаты получили по почте посылку с упаковкой
данного продукта, на которой указывалось его назначение, а на обратной
стороне крайне мелким шрифтом были набраны условия распространения.
Сопроводительное письмо извещало, что на дискете содержатся
новые сведения по проблемам СПИДа, но в письме условия использования
дискет не указывались. После записи на винчестер, они
действительно начали выдавать информацию по обещанной тематике.
Однако затем вся информация на винчестере была перекодирована и на
экранах появилось требование перечислить сумму в 378 долларов на
счет незарегистрированной фирмы в Панаме. В этом случае пользователю
якобы будет выслана программа восстановления перекодированной
информации. Среди пострадавших были как индивидуальные владельцы
компьютеров, так и лаборатории, научные центры, больницы. В некоторых
случаях заблокированным оказался итог работы целых научных
коллективов. Джозеф Попп, предполагаемый распространитель этой
троянской программы, был арестован в феврале 1990 г. в американском
штате Огайо. Если эксперты подтвердят его психическую полноценность,
ему не миновать тюремного заключения за проведение этой
операции по "вирусному рэкету".
1.2.3. Вирусы и MS DOS
Интересно отметить, что еще в версии 3.0 операционной системы
CP/M можно было защитить файлы и диски от записи или чтения с помощью
паролей. Поэтому вызывает сожаление выжидательная позиция
фирмы Микрософт, которая могла бы при выпуске очередной версии MS
DOS легко закрыть хотя бы самые "зияющие" дыры в MS DOS (отсутствие
проверки контрольной суммы файла перед передачей ему управления,
возможность сброса атрибута READ ONLY без подтверждения пользователя,
люки — различные "нелегальные" способы получения адреса
прерывания 13 и др.). Возможно, здесь нельзя исключить и определенный
политический расчет на то, что сложившаяся ситуация будет
способствовать уменьшению количества случаев незаконного копирования
коммерческого программного обеспечения, которое существенно
уменьшает доходы фирмы, а также переходу пользователей к более совершенной
и снабженной средствами регламентации доступа к файлам
операционной системе OS/2. Последняя из-за повышенных требований к
оборудованию (рекомендуется наличие четырех или более мегабайт
оперативной памяти) пока не пользуется ощутимым успехом. Следует
отметить, что мнение о "полезности" вирусов для разработчиков системного
программного обеспечения было высказано официально Эндрю
Золтовским — директором фирмы NOVELL UK Ltd, который в интервью
корреспонденту советско-польского журнала Компьютер заявил: "Сейчас
стало ясно, что великолепным средством борьбы с нелегальными
копиями сталиЄ компьютерные вирусы, распространяемые чаще всего с
бесплатным (читай "ворованным") программным обеспечением" [Компьютер,
1990, • 2, c.5]. Такая позиция не только не этична, но и по
существу опасна для самой фирмы, "исповедующей" такую философию.
Ведь помимо разработчиков коммерческого программного обеспечения
существуют разработчики бесплатно распространяемого (FREEWARE) и
субсидируемого пользователями (SHAREWARE) программного обеспечения,
которые страдают из-за падения интереса к их продуктам в
связи с угрозой заражения. Да и для разработчиков коммерческого
программного обеспечения опасно рассматривать вирусы как средство
увеличения доходов от продажи своего программного обеспечения: отсюда
только шаг к борьбе с конкурентами с помощью вирусов, ориентированных
на конкретный программный продукт, скажем, версию 2.15
сетевой операционной системы Advanced Netware. Ведь наверняка есть
люди, считающие, что положение фирмы NOWELL на рынке не соответствует
действительному качеству ее продуктов и препятствует более
прогрессивным решениям "занять свое место под солнцем".
Так или иначе, но операционная система MS DOS показала себя не
только "user friendly", но и "virus friendly". И такое положение,
по-видимому, фирму устраивает: в версии 4.0 не предпринято никаких
специальных мер в указанном направлении. Впрочем, многие пользователи
считают, что эту версию имеет смысл использовать лишь в
сочетании с системой MS Windows 3.0, и не спешат переходить на
нее с версии 3.3.
1.2.4. Появление более вирусоустойчивых
альтернатив MS DOS
Следует отметить, что в настоящее время появилось несколько альтернативных,
"полностью совместимых" с MS DOS операционных систем,
обеспечивающих ряд дополнительных возможностей защиты информации
от несанкционированного доступа, включая заражение программ вирусами
или различного рода попытки искажения или уничтожения файлов.
Из них следует отметить DR DOS фирмы Digital Research, которая будучи
"более совместимой с MS DOS, чем сама MS DOS" (т.е. существенно
реже зависающей, что особенно важно при работе на отечественных
ПЭВМ типа ИСКРА 1030), обеспечивает лучшие утилиты и возможность
защиты файлов и каталогов. Другой интересной альтернативной
разработкой является Hi DOS. Любая из этих систем более "вирусоустойчива",
чем MS DOS, и, кроме того, перекрывает некоторые недокументированные
люки, через которые можно "незаконно" получить
адреса важнейших прерываний и другую жизненно важную для вирусов
информацию. При этом, чем изощреннее и опаснее написан вирус, тем
меньше шансов у него остаться работоспособным на альтернативной
операционной системе. Ведь для того, чтобы сохранить приемлемые
размеры, вирусу необходимо быть жестко ориентированным на особенности
своей среды, а общий закон приспособления гласит, что чем
больше тот или иной вид приспособлен к обитанию в той или иной
среде, тем меньше он способен перенести ее изменение.
1.2.5. OS/2 и компьютерные вирусы
Конечно, вирусы, рассчитанные на MS DOS, будут неработоспособны
для OS/2. В этом смысле новая операционная система предпочтительнее.
Однако представляется весьма вероятным быстрое появление новых
штаммов, адаптированных к OS/2. Сдерживающим фактором, несомненно,
послужит наличие средств регламентации доступа к файлам,
однако неясно, насколько трудно эту защиту обойти. В то же время
более сложная и более мощная операционная система не обязательно
является и более вирусобезопасной. Простота MS DOS приводит к тому,
что все ее закоулки изучены, и разработчику вируса придется
проявить незаурядную изобретательность, чтобы придумать что-то новое.
В OS/2 таких закоулков неизмеримо больше, подробные сведения
о ее внутренней структуре отсутствуют, да и сама она занимает в
памяти намного больше места. Это создает значительное "жизненное
пространство" для хорошо замаскированных вирусов. В этом плане
увеличение сложности следует рассматривать как недостаток.
1.2.6. Роль компьютерных сетей
"Опасно не наличие компьютеров,
а их нехватка"
А.Азимов
Распространение дешевых компьютерных модемов привело к тому, что
телефонные сети стали использоваться тысячами, если не десятками
тысяч как платных, так и бесплатных банков данных. Последние часто
называют BBS. Одни BBS организуются группами пользователей как
центры обмена сообщениями и программным обеспечением. Другие организуются
частными лицами просто как хобби. Последнее время наблюдается
увеличение количества BBS, финансируемых разработчиками
программного и аппаратного обеспечения. Они играют важную роль
консультационных центров для соответствующих групп пользователей.
Чтобы организовать BBS нужен персональный компьютер, модем, хотя
бы одна телефонная линия, немного специального программного обеспечения
и один человек — оператор BBS, часто называемый SYSOP
(SYStem OPerator — оператор системы). Поскольку на Западе эти требования
легко удовлетворяются, BBS стали своего рода "парковыми
скамейками" эпохи НТР. Конечно, качество банка данных и программ
данной BBS зависит, в основном, от уровня квалификации и преданности
делу его SYSOPа. Отдельные BBS обычно служат узлами сети.
Крупнейшей в мире любительской сетью ПЭВМ является FidoNet, несколько
узлов которой работает в СССР (в Москве и Таллинне).
За рубежом ранние системы предупреждения о новых вирусах основывались
на широко разветвленной сети BBS (многие университетские
компьютерные центры организовали свои BBS, которые зарекомендовали
себя хорошим источником информации о местных вирусах и их штаммах).
Кроме бесплатных BBS на Западе распространены и коммерческие их
аналоги — большие онлайновые информационные системы, такие как
CompuServe. Подключение к ним платное, зато объем и качество информации
выше. Например, CompuServe предлагает мини-BBS по группам
интересов (так называемые SIG — special interest groups). Среди
них есть и группа по борьбе с вирусами.
В некоторых западных популярных изданиях высказывалась мысль о
том, что вирусы якобы особо опасны при наличии компьютерных сетей.
Эта идея была некритически подхвачена и рядом отечественных авторов,
запугивающих читателей этой опасностью. Однако дело обстоит
как раз наоборот: компьютерные сети создают беспрецедентную возможность
обмениваться информацией, а существует древняя и мудрая
поговорка "Кто предупрежден, тот вооружен". Поэтому при наличии
сетей опыт борьбы конкретного пользователя с появившимся вирусом
становится достоянием всех заинтересованных пользователей на следующий
день, а не через месяц или год, как это часто бывает у нас.
В частности, история борьбы с вирусом Морриса показала, что даже в
этом случае, когда удар был фактически направлен по самой сети,
функционирование последней явилось важным фактором быстрого и полного
решения проблемы прекращения его распространения. Поэтому
расписывание ужасов сетевых вирусов при практически полном отсутствии
сетей, как раньше запугивание генетикой и ПЭВМ (в середине
80-х в Литгазете была опубликована пространная статья, в которой
на полном серьезе доказывалось, что социалистическому обществу в
связи с его коллективистским характером ПЭВМ не нужны), является
отражением нашей отсталости и консервативности. Перефразируя приведенные
в качестве эпиграфа слова А.Азимова можно сказать, что
"Опасно не наличие сетей, а их отсутствие".
Конечно, компьютерные сети, как любое технологическое новшество,
создают и новые возможности для вандализма. Сетевые вирусы или
точнее репликаторы являются примером использования этих новых возможностей.
Однако суммарный эффект не отрицателен, а положителен:
наличие сети неизмеримо увеличивает эффективность защиты, создавая
возможность "мгновенной" передачи разработанных детекторов, фагов,
вакцин. Этот канал по своей эффективности конечно не идет ни в какое
сравнение с передачей дискет через железнодорожных проводников:
эту эрзац-сеть, которой вынуждены пользоваться отечественные
программисты.
1.2.7. Появление вирусов в СССР
"Ой Вань, гляди, какие клоуны...
Нет, я, ей-богу, закричу!.."
В.Высоцкий
Так или иначе, компьютерные вирусы стали частью окружающей программистов,
да и не только программистов, действительности. Одним
из свидетельств этого является тот факт, что новое издание словаря
Вебстера (Webster's Ninth New College Dictionary) включает термин
"вирус компьютерный". И они, конечно, не миновали нашей страны,
хотя массовые закупки персональных компьютеров типа IBM/PC у нас в
стране начались только в середине 1988 г. (как всегда мы опоздали
почти на десять лет). К этому же моменту начался выпуск советских,
правда изрядно африканизированных, клонов — ЕС 1840, Искра 1030 и
Нейрон.
Хотя исследования, выполненные в СССР, начались довольно поздно
и их формально нельзя отнести к предыстории (автору не известны
отечественные попытки создания самовоспроизводящихся программ до
1988 г.), следует отметить, что первое отечественное исследование
в данной области было выполнено до появления у нас в стране "настоящих"
компьютерных вирусов. Оно было проведено в 1988 г.
А.А.Чижовым, который в то время работал в ВЦ АН СССР (Москва). Основываясь
непосредственно на концепции самовоспроизводящихся программ,
он самостоятельно реализовал демонстрационный файловый компьютерный
вирус для MS DOS и провел ряд экспери
...Закладка в соц.сетях
