Большой справочник по компьютерным вирусам

страница №6

...есомненно, существует, как
пойдет дальнейшее развитие, зависит, в конечном счете, от мер
защиты, принимаемых пользователем. При этом, конечно, лишь вновь
разработанное изделие может что-либо доказать.
Наверное, желательно было бы иметь изделие, которое не только
может обнаружить вирус или предотвратить его проникновение, но
было бы в состоянии удалить вирус из системы.
Однако такая постановка задачи не может быть реализована
имеющимися в настоящее время техническими средствами."
Автор не стал бы оспаривать мнение Ганса Глисса, ответственного
редактора "Datenschutz-Beraters", появляющегося в издательской
группе Хандельсблатт, и члена правления Общества безопасности
и защиты данных (GDD, Бонн):
К вопросу 1.
"Я считаю, что если бы хакеров не было, их надо было бы
придумать. Они занимаются не только хакерством, т.е. разрушением,
развалом и просмотром, они еще публично обсуждают проблемы недостаточной
защиты вычислительных систем и сетей связи. Они располагают
временем, которое тратят на целенаправленные исследования
способа защиты данных, не требуя при этом никаких наград.
Конечно, я разделяю некоторые сомнения относительно деятельности
хакеров. Наряду с этим следует учитывать многочисленные
направления компьютерных злоупотреблений, которыми никогда не
занимались хакеры: финансовые манипуляции, кражи ноу-хау и
данных, саботаж, кражи машинного времени, выдача данных об уровне
цен. Однако, так как против злоупотреблений никакого средства не
придумали, ничего не изменится, если даже поколотить хакеров.
Изменения наступят только тогда, когда системы станут надежными.
При этом следует всячески использовать творческий потенциал хакеров
(см. выше)."


- 73 -

К вопросу 2.
"Да, отдельные случаи, но со значительным эффектом."
К вопросу 3.
"Да. Если следовать соответствующей специальной литературе,
приводящей конкретные случаи компьютерных злоупотреблений, получается,
что большинство злоупотреблений раскрыто случайно."
К вопросу 4.
"Прежде всего, пользователь ЭВМ, страхующий свою систему,
должен знать, что он получает страховой полис, в котором не обязательно
указание виновника нанесенного ущерба. Не все знают о
предложении такого условия, разумеется, только "первые адреса" с
точки зрения страхования. Впервые об этом официально было заявлено
специалистом по страхованию в Datenschutz-Berater 3/87.
Тем, кто подозревает поражение вирусом, следует рекомендовать
немедленно прекратить текущую работу и изолировать систему. Что
предпринимать дальше, зависит от системы, конфигурации ее программного
обеспечения и индивидуальных возможностей пользователя.
Если заранее не позаботились о создании резервного архива,
следует позаботиться о том, чтобы можно было гарантированно
перейти на непораженное программное обеспечение путем его передачи
или покупки в случае поражения; во всяком случае, это относится
к программному обеспечению, которое не может быть заново написано
на стороне.
Если поражение вирусом подозревается , но еще не доказано,
между этапами изоляции и восстановления системы необходимо проведение
основательного поиска в операционной системе и в прикладных
программах с целью обнаружения несанкционированной обработки
данных, проведенной вирусами."
К вопросу 5.
"Компьютерная преступность растет быстрее, чем степень защиты.
Это связано со структурой пользователей. Согласно исследованиям
британского специалиста по безопасности Кеннете Вонга (85
Stcuricom Cannes) ряда случаев в США и Великобритании эти случаи
имеют характерную особенность : около 70% злоумышленников являлись
оконечными пользователями. Благодаря IDV и сетевым системам
эта группа лиц в настоящее время чрезвычайно быстро растет. Это и
обусловило - с небольшими смещением во времени - рост числа компьютерных
злоупотреблений.
Что касается программ-вирусов, то я предполагаю различные их


- 74 -

классы. Во-первых, это чудаки, которые хотят посмотреть, что
получится, если пустить путешествовать пораженное программное
обеспечение. Далее могу себе представить защиту пострадавших от
демонстрационного программного обеспечения (например, на стендах
ярмарки) типа "спящего вируса", который активизируется без специальных
защитных мер.

В зависимости от типа внутрипроизводственной защиты вирусы
могут быть также идеальным средством саботажа для злонамеренных
современников: можно подложить логическую бомбу замедленного
действия с осколочным эффектом. Последний возможный, но достаточно
редкий класс предполагает наличие общей высокой квалификации:
программы-вирусы с заданием на обработку в областях, к которым
программист вируса не имеет непосредственного доступа. Пример:
программа фактурирования должна в интересах определенного покупателя
уменьшить объем или цену поставки. Прямое обращение к программе
слишком бы бросалось в глаза. Злоумышленник дает задание на
обработку программе-вирусу и помещает ее в незаметную область
системы; при этом вирус стирается из инфицированной программы,
если это не нужная ему программа фактурирования. Ключевым словом
для задачи обработки является номер покупателя."
К сожалению, не все лица, высказавшиеся на эту тему, предоставили
свои высказывания. Это тем более обидно, что речь идет о
лицах, информированных о секретных исследованиях в этой области.

5.2 Большая степная птица

Читателю, вероятно, уже нетрудно догадаться, кто или что
скрывается под этим заголовком. Поведение промышленных предприятий,
действительно, можно сравнить лишь с поведением страуса.
Некоторые выдержки из переписки автора поясняют, почему он пришел
к такому выводу. В июле 1986 автором был подготовлен первый боеспособный
вирус, успех которого на собственной и посторонних ЭВМ
- разумеется, с согласия владельцев - был прямо-таки ужасающим.
После того, как автор осознал возникшую чрезвычайную
опасность, он пришел к выводу, что необходимо ознакомить всех
пользователей с существованием таких программ, чтобы предотвратить
скрытое распространение программ-вирусов. Подходящими партнерами
для осуществления этого замысла представлялись крупные
фирмы по производству программного обеспечения, промышленные


- 75 -

предприниматели и издательства. Поэтому в августе 1986 года от 50
до 70 предпринимателей - крупнейших в отрасли - получили письмо
следующего содержания:

30.07.86

Многоуважаемые дамы и господа,
в последнее время в корреспонденциях в прессе часто упоминаются
так называемые компьютерные вирусы без конкретного описания
конкретного вируса.
Поэтому я рад Вам сообщить, что мне удалось создать работающий
под операционной системой MS-DOS вирус ( т. е. на ЭВМ IBM PC,
XT, AT и совместимых), и по моим сведениям это единственная существующая
в Германии программа-вирус.
Наибольшее значение для меня имеет разработка теории
вирусов. В исследовательских целях я встроил в разработанную мной
программу Plot3d (трехмерного представления функций), которая еще
не окончательно готова, "вирус" вместе с защитой от копирования.
Программа Plot3d работоспособна только на дискете-оригинале.
Программа может быть скопирована на жесткий диск или на
дискету. Однако, если при запуске программы отсутствует дискета-оригинал,
активизируется "вирус". при этом в произвольной
последовательности осуществляется доступ к дисководу (преимущественно,
к жесткому диску), где осуществляется поиск выполнимых
(.com / exe.) и не инфицированных "вирусом" программ. Если такая
программа обнаруживается, в нее внедряется "вирус", при этом
делается попытка сохранить работоспособность программы путем
изменения адресов входа, чтобы предотвратить преждевременное
обнаружение "вируса".
Однако основной функцией "вируса" является его размножение,
даже если при этом страдает программа-носитель. Разумеется,
время, запись даты, путь и дисковод остаются неизменными. Если
при поиске больше не обнаруживаются неинфицированные программы,
начинается постепенное уничтожение всех остальных файлов в
случайной последовательности.
Конечно, автор не заинтересован в сознательном распространении
этого "вируса" , так как это вызвало бы определенное беспокойство.
Однако публикация программы вместе с соответствующей
документацией могла бы, c одной стороны, охладить сторонников


- 76 -

недооценки опасности, с другой стороны, внести некоторую ясность
в область "компьютерных вирусов" прежде, чем программы-вирусы
приведут к хаосу. Ведь мой вирус, наверняка, не останется в одиночестве.

Если Вы проявите интерес к более подробной информации о
вирусах вообще или об этой программе, в частности, я охотно предоставлю
Вам ее.
Демонстрационную дискету с "вирусом", разработанной мной
защитой от копирования и программой Plot3d я охотно передам Вам
за 17.50 немецких марок.
Права на указанную выше программу сохраняются за мной.
С наилучшими пожеланиями
Ральф Бургер

Ожидаемого ответа от фирм, производящих программное обеспечение
и от промышленности не последовало. Вместо этого поступили
заявки от некоторых специальных журналов, желающих опубликовать
указанные материалы, и от небольших фирм, производящих программное
обеспечение, заинтересованных в использовании программы
защиты от копирования.
Особенно интересный ответ автор получил от фирмы М.
"Относительно Вашей программы-вируса должны с сожалением Вам
сообщить, что наша фирма не испытывает потребности в подобных
программах. Как производители высокопроизводительного программного
обеспечения мы занимаемся в основном универсальными прикладными
программами для обработки текстов, вычислений, графической
обработки, управления проектами и банков данных. При проектировании
операционных систем фирма также не видит необходимости в
использовании Вашей разработки."
По мнению автора, это однозначное свидетельство недостаточной
компетентности автора ответа, который, очевидно, не понял
основного смысла разработки. Такой же явный признак недостаточной
компетентности показала фирма Р. Эта фирма захотела вынести вирус
на рынок:
"Нас интересует, по какой розничной цене должен осуществляться
(или осуществляется) сбыт Вашей программы, хотите ли Вы
распространять ее непосредственно или через торговых посредников,
и т.д."
Из этого дела, как известно, ничего не вышло. Остался неяс-


- 77 -

ным вопрос, можно ли вообще купить программу-вирус. Однако это,
очевидно, составительницу письма вообще не интересовало.

5.3 Поучительный совет

Типичный пример преднамеренной или непреднамеренной дезинформации
покупателя показан в следующих извлечениях из записи телефонного
разговора, состоявщегося в августе 1986 года. Во избежание
возможных последствий для сотрудников этой фирмы названия
были изменены. Под предприятием из области защиты данных операционных
систем, участвующем в разговоре, имеется в виду одно из
крупнейших в отрасли электронной обработки данных. Это предприятие
называемое далее ВДА (всемирные деловые автоматы), предоставляет
информационное обеспечение с гарантией. Фирма СМ ЭВМ (совсем
малые ЭВМ) запрашивала подробную информацию о многопользовательских
системах. Приветливая, но не очень технически осведомленная
юная дама не могла дать справки по телефону, однако гарантировала
вызов специалистов. Этот вызов состоялся примерно спустя полчаса,
при этом состоялся разговор:

Фирма ВДА : Добрый день, ВДА.
Фирма СМ ЭВМ : Фирма СМ ЭВМ. С Вами говорит Груммель.
Фирма ВДА : Господин Груммель, Вы вызывали для оказания
срочной помощи.
Фирма СМ ЭВМ : Да, и при том я хотел бы получить информацию о
многопользовательских системах...
Фирма ВДА :... и Вы хотите что-то сделать с 08/15? (08/15
- это тип ЭВМ фирмы ВДА).
Фирма СМ ЭВМ: Да, я хотел бы получить основную информацию о
системах фирмы ВДА. Отдельно об операционных
системах, которые в них устанавливаются.
Фирма ВДА : Да, это конечно, не так просто, так как не
обязательно для прикладных разработок до мель-
чайших деталей знать операционную систему.

Фирма СМ ЭВМ : У меня особые причины, я, вероятно, должен Вам
подробнее объяснить, о чем идет речь. Вы уже
слышали что-нибудь о программах-вирусах?
Фирма ВДА : Вирусах?
Фирма СМ ЭВМ : Да.


- 78 -

Фирма ВДА : Нет?
Фирма СМ ЭВМ : Вам совсем ничего не известно?
Фирма ВДА : Да.
Фирма СМ ЭВМ : Но, может быть Вы знаете теорию?
Фирма ВДА : Да.
Фирма СМ ЭВМ : ... я разработал для PC, XT, AT программу,
имеющую свойства вируса; чтобы не сказать, что
это и есть вирус. Я, конечно, пошел дальше и
разработал соответствующую защиту от него;
теперь я думаю, если большие системы так же
восприимчивы, как и малые, то как можно
защититься от таких вирусов? Должен ли поль-
зователь учитывать, что может столкнуться с
такими проблемами?
Фирма ВДА : И..., что за вирусы??... и что делают эти
программы?
Фирма СМ ЭВМ : Моя программа-вирус может лишить пользователя
всякого контроля над его системой, я могу обез-
вредить любую защиту паролями, я могу что угод-
но сделать с файлами, я могу заблокировать все
привилегии, могу сделать недействительной
MS_DOS - защиту от записи и т.д.
Фирма ВДА : Так, и Вы хотите это продать?
Фирма СМ ЭВМ : Нет, напротив, я хочу определить...
Фирма ВДА : Защиту от него...
Фирма СМ ЭВМ : Защита для малых систем, PC, XT, AT уже доста-
точно хорошо отработана. Я хочу знать, как
обстоят дела с большими системами, которые еще
не имеют надежной защиты. Вы ведь сами знаете,
как важна защита таких систем. И если есть
опасность поражения программой-вирусом или
некоторым типом программ-вирусов,... можно ли
идти этим путем и можно ли чего-нибудь
достичь?... поэтому я и интересуюсь операцион-
ной системой.
Фирма ВДА : Н-да, теперь я даже и не знаю, что Вам
сказать...
Фирма СМ ЭВМ : Почему?
Фирма ВДА : Нет, шутки в сторону. Только... ну...итак...


- 79 -

наши системы относительно??? Вы можете посмот-
реть каждый символ...
Фирма СМ ЭВМ: ...можете Вы что-нибудь предпринять, чтобы
предотвратить это (поражение вирусом)?
Фирма ВДА : Нет, насколько я знаю, мы еще не имеем... нам
еще не известен ни один случай, по крайней
мере, с нашими! средними!... ах, ну что там
говорить! Где это видано, чтобы кто-то, где-то
нарушил пароль...
Фирма СМ ЭВМ :...Если Вы поставляете системы масштаба
08/15... насколько пользователь или покупатель,
приобретающий у Вас систему, непосредственно
или через фирму, производящую программное обес-
печение, информируется Вами о характеристиках
операционной систем?
Фирма ВДА : Обычно совсем не информируется.
Фирма СМ ЭВМ: Таким образом, отсутствуют какие-либо исходные
данные для непосредственного системного програ-
ммирования?
Фирма ВДА : Конечно...
Фирма СМ ЭВМ : Не говоря уже о распечатке операционной систе-
мы?
Фирма ВДА :... Операционная система заранее сгенерирована.
Затем Вы получаете дискету, и это все...
Фирма СМ ЭВМ : Да-да, я знаю, как практически устанавливаются
такие системы, я спрашиваю потому, что для
специальных применений требуются специальные
виды программирования, близкие к системному;
для этого с одной с стороны, необходимо знать
операционную систему, а с другой стороны, пред-
ставлять себе - что как покупателю мне еще
более интересно - что происходит в системе.

Следовательно...
Фирма ВДА : То, что Вы мне рассказали..., я верю Вам, что
что-то такое имеет место, однако, я полагаю
также, с другой стороны,...никто из моих, наших
знакомых ничего такого не слышал... и я теперь
не знаю, что мне с Вами делать.
Фирма СМ ЭВМ: Да, я был бы Вам очень благодарен, если бы Вы


- 80 -

смогли мне предоставить сведения о Ваших боль-
ших вычислительных системах. Я могу понять,
почему вы несколько скептически относитесь к
передаче технической документации; Вы боитесь,
что она может попасть к людям без совести.
Фирма ВДА : Да, вы знаете, документация, которая положена
нашим покупателям, это проблема; если у Вас
большая вычислительная система, и даже не очень
большая, документация насчитывает не одну кни-
гу... а метры книг. Эта документация стоит
невообразимо дорого и связана с лицензиями, а
без лицензии по завершении договора Вы не полу-
чите никакой документации, даже если Вы ее и
оплатили.
Фирма СМ ЭВМ : Так сколько же стоит, например, документация
для 08/15?
Фирма ВДА : Она стоит от 1000.- до 10000.-
Фирма СМ ЭВМ :... Однако, Вы, вероятно, имеете хотя бы рекла-
мные брошюры?
Фирма ВДА : Но Вы из нее ничего не узнаете. То, что там
приведено - указана операционная система, PLOP
для 08/15 - не даст Вам ничего нового. По край-
ней мере, Вы не узнаете из нее то, что Вам
требуется.
Фирма СМ ЭВМ :...и операционные системы разрабатываются
исключительно государством, не так ли?
Фирма ВДА : Это не совсем так.
Фирма СМ ЭВМ : А в Германии?
Фирма ВДА : Имеются различные лаборатории.
Фирма СМ ЭВМ : Здесь, в Германии?
Фирма ВДА : Да.
Фирма СМ ЭВМ : Это интересно. И кто же этим занят?
Фирма ВДА : Хорошо, мы имеем лаборатории в каждом, или
почти в каждом большом городе, или определенных
городских центрах.
Фирма СМ ЭВМ : Можно получить адрес?
Фирма ВДА : Вы знаете... Это примерно тоже, как если бы Вы
захотели написать в ВДА. Это трудно...Вы ведь
писали в ВДА...Если вы это письмо классифициру-


- 81 -

ете и что Вы скажете...т.е. я придерживаюсь
мнения, что писать надо только о том, чем зани-
маешься, и мне нравится беседовать с компетент-
ным человеком из внешней лаборатории.. Да и Вы
пишите о том, чем Вы занимаетесь, и что Вам
нужно. Так и вы могли бы поговорить с какими-
либо сотрудниками лаборатории, занимающимися
разработкой, изменением и обслуживание операци-
онных систем. Таким образом, я исхожу из того,
что местные конторы не смогут Вам помочь. Все,
что я Вам могу дать, скажем так - глобально -
жаль времени, потраченного Вами на чтение. Вы
не получите общего впечатления, и все это Вам
не пригодится.
Фирма СМ ЭВМ : А не может ли быть такого, чтобы в сложной
системе имелся "черный ход", через который
можно проникнуть в нее.
Фирма ВДА : Да, Вы знаете это так. Здесь мы подведомственны
совершенно определенным соглашениям относитель-
но защиты данных. ...или мы подведомственны
совершенно определенным предписаниям безопасно-
сти. ... В ВДА очень чувствительны к слову
безопасность - в любом смысле, в котором Вы
можете себе представить. Вы знаете, как у нас,
я хочу привести лишь один пример: если вы возь-
мете документ, на котором написано "секретно",
и бросите его в корзину для бумаг, это может
послужить основанием для увольнения. Конечно,
ничего не надо делать из того, что Вы сказали.

Я хотел лишь дать Вам некоторые представления
об обстановке.
Фирма СМ ЭВМ : Да-да, но тогда надо было бы это настойчиво
прорабатывать.
Фирма ВДА : Возможно, у нас есть что-то, чего я не знаю.
Вы, знаете, если это имеется, то ведь не каждо-
му говорят, что это имеется... сейчас я могу
лишь предложить Вам, чтобы вы обратились в
город... с запросом; я же ничего не могу Вам
сказать о лаборатории и не могу Вам назвать


- 82 -

кого-нибудь, кто был бы достаточно компетентен.
Фирма СМ ЭВМ : Большое спасибо за Ваши ответы...

Было бы бессмысленно говорить, что, последовав дружескому
совету сотрудника ВДА, нельзя получить какого-либо результата...

5.4 Наш клиент принадлежит нам

Уже в течение длительного времени на рынке ЭВМ с жесткой
конкуренцией наблюдается опасное развитие событий. Понятно, что
предприятие очень неохотно уступает своих покупателей конкурентам.
Поэтому уже многие предприятия ведут борьбу за покупателя
методами, которые нельзя назвать законными.
Однако здесь речь пойдет не только о незаконной практике.
Уже передавая задание на программирование другой фирме, ставят
себя в зависимость от этой фирмы, не представляя или плохо представляя
себе уровень этой фирмы в качестве заказчика. Особенно
это относится к большим системам, что ниже будет показано на
примерах. Однако эта зависимость наблюдается и в области персональных
ЭВМ.
На практике чаще всего оказывается так, что потенциальный
покупатель "приманивается" наилучшими обещаниями и наиболее благоприятной
ценой. Однако, как только договор подписан, и программное
обеспечение поставлено, от покупателя очень быстро поступают
первые рекламации. Устранение заявленных недостатков покупатель
обычно ожидает довольно долго. Причина очень проста: покупатель
должен ждать, так как у него нет альтернативы. В отличие от
ремонтных мастерских или фирм поставщиков при программировании
отсутствует возможность передать заказ другому исполнителю. Фирмы,
производящие программное обеспечение, разумеется, полностью
осознают это положение.
Хорошо тому, кто договаривается со своим поставщиком программного
обеспечения о включении в объем поставки исходных текстов
программ. Хотя это обуславливает существенно более высокую
цену, однако перерасход более чем компенсируется достигаемой при
помощи исходных текстов гибкости. Имея исходные тексты, всегда
можно заказать другой фирме изменения и дополнения в программах.
Однако, так как не каждая фирма, производящая программное обеспечение
готова поставлять исходные тексты, следует хотя бы догово-


- 83 -

риться о передаче исходных текстов в присутствии нотариуса. Таким
образом, в суде могут быть предъявлены притензии как на несанкционированную
обработку данных, так и на ошибки в программном
обеспечении. Таким образом покупатель может быть защищен от конкуренции
или некомпетентности фирмы, производящей программное
обеспечение, - хотя бы частично. В противном случае покупателю
остается лишь заказать все программное обеспечение в другой
фирме, т.е. заплатить дважды.
К каким трюкам некоторые фирмы по производству программного
обеспечения для персональных ЭВМ прибегают или - при помощи вирусов
- могут прибегать, подробно описано в главе 7. Совершенно
очевидно, что зависимость в области мини-ЭВМ еще сильнее. В то
время, как число программистов, умеющих обращаться с операционной
системой MS-DOS постоянно растет, число программистов для "экзотических"
операционных систем остается примерно на одном уровне.
Поэтому фирмам, производящим программное обеспечение, выгодно
продавать покупателям по возможности специальные вычислительные
системы, освобождаясь тем самым от докучливой конкуренции. При
этом часто получается так, что покупатель, чьи программы вполне
могли бы обрабатываться на персональной ЭВМ, оснащается фирмой
мини-вычислительной системой, которую он, естественно, не в состоянии
загрузить. Достоверный пример из практики автора прояснит
проблему.

В 1983 году крупная оптовая фирма по продаже металла была
оснащена вычислительной системой для выписки накладных и RFZ
(Regal Forderzeug *)). Собственно система управления RFZ состояла
из управляющей ЭВМ. Фирма, производящая программное обеспечение,
была заинтересована в заключении с этим покупателем договора об
обслуживании аппаратного обеспечения. Так как из-за высокой цены
покупатель был не готов к этому, было принято решение об активации
некой "спящей" функции. Эта функция заключалась в блокировке
всего прикладного программного обеспечения в день истечения гарантийного
срока. Программа прерывалась с сообщением "VDT-Error".

_________________________________________________________________
*) RFZ - система транспортировки товаров на складах со стеллажами.

При обращении покупателя к поставщику выяснилось, что быстрое


- 84 -

устранение неисправности невозможно из-за отсутствия договора об
обслуживании; появилась мысль о заключении договора об обслуживании...

После этого рассерженный покупатель обращается к изготовителю
ЭВМ и там узнает, что сообщение об ошибке "VDT-ERROR" не существует,
что оно должно было прийти из прикладного программного
обеспечения. После нескольких попыток устанавливают, что при
вводе старой даты программа работает безупре...

Список страниц

• #
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• ...
• 21
• 22
• 23

Закладка в соц.сетях