Жанр: Учеба
Компьютерная вирусология ч. 1
...оторых
утилит на электронный диск. При размере электронного диска
в 384K, как это имеет место на большинстве поставляемых в нашу
страну AT, на электронный диск можно записать помимо командного
процессора PKZIP и Norton Commander. При этом еще остается возможность
распаковывать небольшие файлы на электронный диск. При отсутствии
электронного диска даже копирование отдельного файла с
дискеты на дискету представляет определенную проблему. Для этой
цели следует задавать команду:
copy a:\command.com b:
Несмотря на то, что диск B физически отсутствует, операционная
система правильно выполнит команду, позволяя после считывания файла
вынуть исходную дискету и вставить новую. Таким же образом следует
поступать при копировании больших файлов. Правда в этом случае
удобнее пользоваться утилитой XCOPY.
10.7. Некоторые организационные меры защиты
"Как всякий человек на своем месте,
как подчиненные его самого, Лужин
ругал высшее начальство, считая,
что там сидят дураки, бюрократы,
самодуры, которые отдают приказы,
совершенно не считаясь с их прак-
тической выполнимостью"
В.Войнович "Жизнь и
необычайные приключения
солдата Ивана Чонкина"
Хотя в данной работе рассматриваются, в основном, технические
аспекты защиты от компьютерных вирусов, представляется целесообразным
кратко остановиться и на организационных методах, поскольку
они, по сути, являются одной из составных частей защиты, наряду с
техническими и программными методами. Как уже указывалось, независимо
от того, насколько хорошо разработаны программные средства
защиты, их эффективность во многих случаях непосредственно зависит
от правильности действий пользователя, действий, в которых возможны
не только ошибки, но и "несознательность" или даже злой умысел.
Например, если один из сотрудников регулярно запускает где-то переписанные
игровые программы на компьютере с винчестером, то шансы
на то, что поставленная программная защита не сможет предотвратить
заражение, безусловно отличны от нуля.
Организационные меры защиты должны прежде всего соответствовать
здравому смыслу. Обычно наблюдаются лишь крайности: или практически
полное отсутствие регламентации доступа, или административно-командный
"беспредел", граничащий с абсурдом, и делающим нормальную
работу невозможной (типа "пребывание сотрудников в корпусе
... после 17.00 запрещено"). Особенно характерным примером последнего
является регламентация режима работы в предпраздничные,
праздничные и выходные дни, когда большинство институтов было закрыто
и опечатано исключительно по соображениям "как бы чего не
вышло". Или, скорее, сама обстановка уравниловки приводила к тому,
что работа в "неположенное" время рассматривалась как что-то, граничащее
с "крамолой".
В то же время в области административных мер, как и везде, важно
найти оптимум между полным предотвращением доступа к ПЭВМ и анархией.
При этом, естественно, организационные меры должны предприниматься
только с учетом выявленных "точек проникновения" и наличия
информации, подлежащей защите. Следует также отметить, что
косность аппарата ведет к тому, что принятые в ответ на определенную
ситуацию административные меры имеют тенденцию применяться и
после того, как ситуация полностью изменилась. Поэтому необходим
периодический пересмотр административных мер регламентации доступа
и приведение их в соответствие со сложившейся ситуацией.
Среди спектра организационных мер отметим следующие, представляющиеся
автору наиболее важными: общее административное регулирование
доступа, включая систему паролей и сегментирование зон доступа;
обучение персонала; обеспечение физической безопасности
компьютера и магнитных носителей; выработку правил архивирования;
определение файлов, хранимых в шифрованном виде.
Общее административное регулирование доступа должно обеспечивать
приемлемую степень защиты от использования компьютеров с ценными
данными случайными лицами. Если человек оставляет на улице автомобиль
с незапертыми дверцами и вставленным ключем зажигания, то если
его угонят, определенная доля вины будет лежать на этом человеке.
Ситуация с компьютерами аналогична. Помимо опасности заражения
вирусами, незаконное копирование или модификация конфиденциальной
информации может нанести значительный вред организации, не обеспечившей
приемлемый уровень контроля за контингентом пользователей
соответствующего компьютера.
Если говорить о системе паролей, обеспечиваемых рядом систем,
например Advanced Disk Manager, то с организационной точки зрения
важно, чтобы пароли были достаточно длинными, с целью предотвращения
их случайного угадывания. Простым и в то же время достаточно
хорошо зарекомендовавшим себя методом получения таких паролей является
комбинирование пароля из двух хорошо знакомых слов. Например,
пароли "Коля" и 1950 каждый в отдельности являются весьма
уязвимыми, однако их комбинация типа К1о9л5я0 уже гораздо труднее
дешифруется и не так легко может быть запомнена путем подглядывания
"через плечо". Кроме того, пароли должны периодически меняться,
причем для пользователей, которые не желают делать это добровольно,
сответствующую "услугу" должен оказывать системный
программист. Случаи, когда пользователи по нескольку лет пользуются
одним и тем же паролем, безусловно, должны быть исключены.
Кратко рассмотрим вопрос об обучении персонала. На семинарах по
защите от компьютерных вирусов часто задают вопрос о том, как предотвратить
заражение компьютера вирусами. Главным условием этого
следует признать соответствующий уровень обучения сотрудников и,
конечно, уровень их лояльности по отношению к данной организации.
Если организацию можно определить как группу людей, стремящихся
достичь определенной цели, то в успехе, разумеется, рещающую роль
играет уровень их компетентности, опыт и личные качества. Опыт показывает,
что чем менее знаком данный сотрудник с компьютерами и
чем менее он дисциплинирован, тем большую опасность он представляет
с точки зрения возможности заражения ПЭВМ компьютерными вирусами.
Как уже указывалось выше, сотрудник, запускающий на компьютере
с винчестером новую игру, недавно полученную у приятеля, безусловно
подвергает компьютер определенному риску, степень которого, конечно,
зависит от уровня его квалификации, наличия резидентных
средств защиты, а также применения им различных средств тестирования
нового программного обеспечения на наличие компьютерных вирусов.
Здесь следует отметить, что само по себе разграничение доступа
не является панацеей. Представим себе гипотетическую ситуацию,
когда один из пользователей, обладающий минимальными правами доступа
(например, для которого винчестер доступен только в режиме
чтения) столкнулся с зараженной игрой, которая стала работать несколько
"странно". Он, естественно, обращается за помощью к системному
программисту, который будучи перегруженным, сначала решает
посмотреть, что происходит непосредственно на машине. Для этого он
входит в систему со своим паролем (и, соответственно, максимальным
уровнем доступа) и "для пробы" один раз запускает эту игру. Не
требуется объяснять, к какому результату приведет такой "пробный"
запуск. Вместо системного программиста в роли "троянского коня"
может выступить практически любой более компетентный (и обладающий,
соответственно, большими правами доступа) пользователь, к которому
обратятся с той же просьбой.
И, наконец, важным условием эффективности любых мер по защите
информации является обеспечение физической безопасности компьютера
и дискет. Соотношение между ценой персонального компьютера и средней
зарплатой говорит само за себя. Неслучайно, кражи персональных
компьютеров в нашей стране давно перестали быть редкостью. Раскрываемость
этого вида преступлений невелика. Например из двух украденных
в КИИГА за 1990 г. компьютеров типа PC AT не найден ни
один. Поэтому этим вопросам необходимо уделять достаточное внимание.
В частности, помещения, где установлены компьютеры должны
быть обязательно оборудованы электронной системой сигнализации. К
сожалению практика показала, что электронные системы сигнализации
в ряде случаев устанавливаются некачественно, не перекрывая всех
возможных путей проникновения в помещение. Поэтому их рекомендуется
дублировать инфракрасными датчиками, перекрывающими непосредственно
рабочую зону, где установлены ЭВМ. При отсутствии инфракрасных
датчиков, имеет смысл устанавливать наиболее ценные
персональные компьютеры на металлические столы со специальными
закрываемыми нишами для блоков или снимаемым металлическим колпаком.
Кстати, установка компьютера на прочном металлическом столе
полезна и с точки зрения предотвращения повреждения винчестера от
случайных толчков и колебаний. Неслучайно Роджер Олфорт в статье
"Десять советов по эксплуатации накопителей на жестких магнитных
дисках" (Мир ПК, 1990 No. 3) пишет:
"... накопители на жестких дисках не любят грубого обращения.
Даже такие, на первый взглыд, безобидные факторы, как книга, брошенная
на стол, или случайные толчки стола прохолящими коллегами,
могут привести к тому, что головки чтения/записи накопителя чиркнут
по поверхности дисков и испортят данные. Чтобы свести к минимуму
вероятность подобной ситуации, рекомендуется устанавливать
компьютер на прочный стол. Лично я работаю на стальном столе,
прочном, как танк."
Учитывая, что стоимость изготовления такого стола существенно
ниже стоимости компьютера, данная рекомендация заслуживает внимания.
Да и простое прикрепление системного блока к столу на котором
он установлен в наших условиях совсем не помешает.
Аналогичные замечания относятся к дискетам. Дискеты с ценной информацией
следует хранить в сейфе, а не в ящике письменного стола.
Конфиденциальная информация должна шифрововаться. В рамках рассматриваемой
темы это прежде всего относится к зараженным программам,
образцам вирусов, а также материалам их дизассемблирования и
реконструкции.
10.8. Юридические методы защиты от компьютерных вирусов
"Oleynikoz S., 1990"
Строка, содержащаяся в вирусе RC-600
"Вы не глядите, что Серега все кивает,
он соображает, все понимает !
что молчит - так это от волненья,
от осознанья и просветленья.
Не запирайте, люди ! ..."
В.Высоцкий, Милицейский протокол
Антропоморфизм в терминологии ("заражение", "вирус") не должен
заслонять суть дела - вирусы это специальный метод саботажа с помощью
преднамеренно созданных для этой цели программ. Хотя вопросы
юридической ответственности лиц, занимающихся созданием и распространением
вирусов являются достаточно сложными, однако они успешно
решаются в Северной Америке и западноевропейских странах.
Уголовная ответственность за создание и распространение компьютерных
вирусов принята сейчас в большинстве западных стран. При этом
можно выделить следующие действия, подпадающие под существующий
уголовный и административный кодекс: изменение данных (удаление,
вставка, замена или перестановка данных, осуществляемая без ведома
владельца); компьютерный саботаж (препятствование важной для
предприятия или лица деятельности); повреждение имущества (если
поврежденным имуществом является непосредственно ЭВМ или ее компонента);
шпионаж (обеспечение доступа для себя или для другого лица
к данным, не предназначенным для использования этими лицами и доступ
к которым защищен специальным образом); фальсификация документов
(в случае, если вирус изменяет данные, предназначенные для доказательства
того или иного статуса или права данного лица или
группы лиц). При этом наказание может нести не только непосредственный
разработчик, но и исполнители и соучастники. При наличии
последних можно говорить о преступной группе.
Если задаться вопросом о мотивации разработки компьютерных вирусов,
то становится очевидной неоднородность разработчиков. Можно
выделить несколько типов мотивации (хулиганы, вандалы, наемники и
т.д.). Если на одном конце спектра находится мелкий пакостник, который
создает вирус с целью продемонстрировать "городу и миру" какой-нибудь
"сногсшибательный" с его точки зрения эффект, то на
другом конце спектра находится рэкетир, использующий вирус для
шантажа пользователей. В любом случае, выявление и попытка привлечь
к судебной ответственности разработчиков компьютерных вирусов
является важной формой борьбы с распространением компьютерных вирусов.
Существует ряд достаточно тонких моментов, связанных с ответственностью
за заражение программного обеспечения компьютерным вирусом.
Так, при наличии вируса(ов) на некоммерческих дискетах к
ответственности должен привлекаться автор вируса, а не распространитель
(за исключением случаев, когда распространитель знал о существовании
вируса и не принял мер по его удалению. К последнему
случаю можно отнести наличие "хорошо известного" вируса, на который
у распространителя заведомо имелся детектор и/или фаг). В случае
коммерчески распространяемых дискет, возможно привлечение разработчика
к ответственности за преступную халатность: изготовитель
коммерческого программного обеспечения обязан достаточно хорошо
знать свои программы с тем, чтобы обнаруживать в них вирусы при
наличии надлежащих мер предосторожности и контроля. При отсутствии
умысла уголовная ответственность исключается, однако вполне возможна
административная ответственность по возмещению ущерба. Посредник
(продавец коммерческого программного обеспечения) может
нести ответственность в случае заражения программ "хорошо известными
вирусами", поскольку в этом случае можно доказать, что он не
принял необходимых мер предосторожности, тем самым проявив преступную
халатность.
Разработка компьютерных вирусов не является уголовно наказуемым
деянием. Однако, когда разработанный вирус (в виде исходного кода
или зараженной программы), был опубликован (помещение программы в
BBS или электронный бюллетень рассматривается как опубликование),
распространен или передан третьим лицам с согласия разработчика
или без оного, возникает административная или уголовная ответственность
в зависимости от ущерба, нанесенного деятельностью созданного
вируса. При этом, опубликование или распространение исходного
кода вируса может квалифицироваться как подстрекательство
(публичное или тайное воздействие на другое лицо с целью принятия
им решений об осуществлении уголовно наказуемых действий) и вести
к уголовной ответственности по соответствующей статье. При этом
несущественно наличие каких-либо рекомендаций по его использованию,
включая отрицательные рекомендации типа "ни в коем случае не
делайте...".
Передача исходного кода вируса или заведомо зараженной вирусом
программы может рассматриваться как пособничество, если в результате
такой передачи будет причинен вред третьим лицам. При этом
пособничество может квалифицироваться как умышленное, если программисту
было известно, что своими действиями он мог способствовать
совершению преступления. Такая ситуация может возникнуть,
например, если разработанным вирусом сознательно заражались продаваемые
программы. В этой связи следует упомянуть о таком опасном
преступлении, как "вирусный рэкет". Одной из разновидностей последнего
является сознательное заражение программного обеспечения,
поставляемого вместе с компьютером, с целью извлечения дополнительной
прибыли в виде платы за последующую дезинфекцию. На Западе
отмечались случаи вирусного шантажа, когда неизвестное лицо по телефону
сообщает об угрозе "взрыва" установленной вирусной "мины",
способной разрушить ценную информацию. Как и в случае с шантажистами,
сообщающими об установке мины в самолет, даже в случае если
угроза оказывается ложной, персонал теряет массу времени на поиски
и проверку программного обеспечения.
Создание троянской версии имеющейся программы путем включения в
нее замаскированного тела вируса и ориентированной на распространение
данного вируса следует рассматривать как два отдельных преступления.
Во-первых здесь имеется особо опасное нарушение авторских
прав разработчика программы-носителя вируса, а во-вторых
сознательная попытка распространить вирусную программу.
Учитывая наблюдающийся сейчас рост преступности, нет никаких
сомнений в том, что в нашей стране будет быстро расширяться и та
ее часть, которая прямо или косвенно связана с компьютерами, т.е.
компьютерная преступность. В то же время, шансы на принятие законодательных
мер в этом направлении в обозримом будущем невелики.
Это связано прежде всего с тем, что в нашей стране еще не решены
основные вопросы авторских прав на программное обеспечение. Несмотря
на несовершенство действующего законодательства, такая возможность
имеется. В частности, в Уголовном кодексе УССР имеется
статья 90 "неосторожное уничтожение или повреждение государственного
или общественного имущества". Если трактовать случаи заражения
вирусом приобретенного организацией коммерческого программого
обеспечения как его повреждение, то возбуждение уголовного дела
против разработчика вируса представляется возможным и рамках действующего
законодательства.
10.8.1. Некоторые судебные процессы над кракерами и разработчиками
вирусов
Имеющиеся сведения почти целиком основны на американских данных.
Сведения о судебных процессах в Европе на момент написания книги
отсутствовали. Сведения приводятся в хронологическом порядке. Все
приводимые ниже процессе велись на основе принятого в 1986 г. американского
закона о компьютерных преступлениях (1986 U.S. Computer
Fraud and Abuse Act).
Процесс Зинна. В феврале 1989 г. 17-летний уроженец Чикаго Герберт
Зинн был осужден окружным судом Северного района шт. Иллинойс
на девятимесячное заключение в тюрьме для малолетних преступников.
Он обвинен в незаконном доступе к компьютерам фирмы AT & T в Напервилле
(шт. Иллинойс), компьютерам НАТО в Бирлингтоне и на базе
военно-воздушных сил в шт. Джорджия. По данным обвинения между июнем
и сентябрем 1987 г. Зинн похитил программное обеспечение на
сумму порядка 1,2 млн. долларов, включая очень ценные программы в
области искусственного интеллекта и разработки компьютеров. Он был
выявлен служащими компании AT & T, обнаружившими его телефонный
номер и сообщения в одной из BBS. Это было первое осуждение по
упомятуму выше закону от 1986 г.
Процесс Митника. В марте 1989 г. 25-летний Кевин Давид Митник
был осужден к году тюремного заключения и трехлетнему испытательносму
сроку за кражу программы защиты от несанкционированного доступа,
разработанную американской фирмой DEC. Стоимость разработки
составила порядка 1 млн. долларов. Компания затратила более 100
тыс. долларов (преимущественно машинного времени) на расследование
факта кражи. Микник также обвинялся в законном использовании 16-ти
чужих кодов с целью избежать оплаты междугородних телефонных переговоров
и в проникновении в компьютер университета Лидза (Leeds) в
Великобритании, однако в ходе слушаний прокурор согласился снять
эти обвинения. Интересно отметить, что в приговоре предусматривалось
шестимесячное лечение Митника в реабилитационном центре "с
целью избавления его от навязчивого пристрастия к компьютерам".
Процесс Морриса. Как уже указывалось, 23-летний Роберт Тарран
Моррис младший, бывший аспирант Корнельского университета оштрафован
на 10 тыс. долларов, а также осужден на три года условно и 400
часов общественных работ. Моррис является автором вируса, поразившего
в ноябре 1988 г. американскую национальную сеть Internet.
Слушания по делу Морриса проходили в окружном суде штата Нью-Йорк
с 22 января по 4 мая 1989 г. Приговор, вынесенный 4 мая 1989 г.,
основан на упомянутом выше законе от 1986 г. Осуждение основано на
факте несанкционированного доступа Морриса к компьютерам и нанесении
ущерба в 150 тыс. долларов государственной сети компьютеров.
Основная часть этого ущерба связана с потерями машинного времени и
времени, затраченного персоналом на восстановление операций сети.
Адвокат Морриса заявил, что сумма ущерба раздута заинтересованными
организациями.
11. ЗАКЛЮЧЕНИЕ
"Господа присяжные заседатели,
заседание продолжается"
И.Ильф, Е.Петров
Следует подчеркнуть, что приведенный в данной работе перечень
вирусов далеко не является исчерпывающим. В настоящее время для MS
DOS существует несколько сотен компьютерных вирусов и их число
продолжает расти. Поэтому следует с одной стороны ожидать постепенного
проникновения в СССР новых, более опасных и изощренно
написанных вирусов, включая стелс-вирусы, с другой "вирусного
взрыва" внутри самой страны, причем в силу наших особенностей он
принимает форму большого количества сравнительно простых, а зачастую
и безграмотно написанных вирусов. Не следует думать, что эволюция
вирусов пойдет только в направлении их усложнения. Опыт показал,
что сложность стелс-вирусов существенно снижает их жизнеспособность.
Как отмечал С.Н.Паркинсон в одном из своих знаменитых
законов "рост означает усложнение, а усложнение — разложение".
По-видимому эволюция компьютерных вирусов будет идти сразу в нескольких
направлениях, лишь одним из которых являются стелс-вирусы.
В свете имеющихся фактов, налаживание сплошного входного контроля
и исследования поступающего программного обеспечения является
важной задачей, решение которой не терпит отлагательства. Помимо
входного контроля батареей детекторов важное значение приобретает
контроль при загрузке. К сожалению, имеющиеся утилиты для контроля
"on the fly" (FluShot+) еще весьма несовершенны и разработки в
этом направлении являются, пожалуй, самыми приоритетными. В то же
время нельзя полагаться на какой-то один метод защиты — защита
должна быть многоуровневой, комплекной и включать хорошо отлаженную
систему архивирования. Без последней любой метод защиты по сути
является самообманом.
Другим важным методом противодействия, выходящим в настоящее
время на передний план, является индивидуализация вычислительной
среды. Как минимум должен использоваться нестандартный дисковый
драйвер (например, Advanced Disk Manager) и командный процессор
(например 4DOS). Следует также рекомендовать уменьшенный до 1К
размер кластера на винчестере, который ведет к значительному снижению
количества свободных секторов в конце файлов и, тем самым,
препятствует распространению весьма опасных вирусов типа RC-0-512,
одновременно улучшая степень использования винчестера.Большая степень
индивидуализации достигается переходом к "MS DOS-совместимой"
операционной системе (DR DOS, Hi DOS), тем более, что по своим эксплуатационным
характеристикам эти системы превосходят MS DOS.
Хотя общее количество вирусов велико, лежащие в их основе идеи
сравнительно малочисленны и не так просто поддаются расширению.
Поэтому основной тенденцией наблюдаемой в настоящее время является
не столько появление новых типов вирусов, сколько комбинирование
уже известных идей. Такие "гибриды", как правило, оказываются
опаснее базисных видов. Например, в нескольких из появившихся недавно
файловых вирусов используется заражение MBR, т.е. включены
черты бутового вируса. Все же, более часто наблюдается минимальная
модификация одного из получивших широкое распространение (и, следовательно,
"доступного") вируса. Последнее приводит к образованию
вокруг "базисного" вируса группы штаммов, причем их количество в
некоторых случаях (например, для RCE-1813) превышает десяток.
Не следует думать, что только пользователи клонов IBM PC страдают
от этой новой напасти. Компьютерные вирусы отмечались и на других
типах персональных ЭВМ, в особенности на Macintosh. Среди других
ЭВМ, для которых существует один или несколько вирусов,
следует отметить VAX-11, Apple-II, Amiga, Atari. Еще раз отметим,
что по своей природе вирусы не являются программами, ориентированными
на использование каких-то дефектов операционных систем. Для
функционирования вирусу достаточно обычных средств практически любой
файловой системы. Поэтому проблема компьютерных вирусов носит
долговременный характер и к разработке средств защиты от них следует
подходить соответственно, не рассматривая их как временные
поделки.
В настоящее время первостепенное значение приобретает обмен информацией
между пользователями и координация усилий между разработчиками
антивирусных программ. В какой-то мере в Киеве эту роль
играет семинар "Системное программирование" и выпускаемый им
электронный бюллетень СОФТПАНОРАМА. Постепенно налаживаются связи
и с разработчиками и пользователями антивирусных средств в других
городах, что позволяет оперативно распространять антивирусные
программы и описания новых вирусов. Учитывая сравнительно медленную
скорость распространения компьютерных вирусов от центра к периферии
(обычно вирус появившейся в Моске, Киеве, Ленинграде становится
проблемой в других городах через три-шесть месяцев), для
большинства пользователей создается возможность встретить опасность
во всеоружии. В этом плане было бы ц
...Закладка в соц.сетях
