Компьютерные науки - Учебники на русском языке - Скачать бесплатно

Это только один пример, демонстрирующий опасность ви-
рулентного программного обеспечения. Так как программист
вируса при выборе конкретной задачи обработки подчиняется
лишь ограничениям используемой вычислительной системы, мож-
но все задачи, выполняемые в этой системе, объединить в
один вирус. Однако одно это обстоятельство не объясняет по-
тенциальную опасность компьютерных вирусов. К нему добавля-
ется еще чрезмерная скорость распространения - компьютерные
вирусы "размножаются", как австралийские кролики"(РМ Компь-
ютерхефт).
Немного вычислений:
В основу вычислений положен вирус, описанный в 1.4.
При каждом запуске инфицированной программы этот вирус соз-
дает новую копию вируса. Т.е. после первого запуска сущест-
вуют уже две версии, одна из которых является оригиналом.
Каждая из этих двух программ при запуске также создает но-
вую копию вируса. Таким образом, в системе, инфицированной
этим вирусом, имеется столько вирусов, сколько раз запуска-
лись инфицированные программы.

Вычислительная система с к программами + программа-вирус
--------------------------------------------------------
В этом случае теоретически необходимо инициировать (к+1)
различных процессов запуска, чтобы вирус наверняка запус-
тился один раз; статистическая вероятность равна 1/(к+1).
После запуска (к+1) различных программ в системе нахо-
дится два вируса; теперь необходимо лишь к+1-1 различных
процессов запуска, и статистическая вероятность возрастает
до 2/(к+1). Это означает, что теперь после к+1 различных
процессов запуска в системе будет не менее четырех вирусов,
и вероятность запуска инфицированной программы равна теперь
4/(к+1).
Эти вычисления относятся к "идеальной" системе, в ко-
торой все имеющиеся программы обрабатываются одинаково,
т.е. вызываются одинаково часто. Конечно, такие системы
встречаются редко.
Программист вируса всегда стремится обеспечить опти-
мальное вхождение в систему своему вирусу. Вирус может,
например, стремиться сначала внедриться в часто используе-

- 51 -
мые программы. Другая возможность заключается в том, чтобы
многократно друг за другом запускать инфицированные прог-
раммы, чтобы повысить таким образом степень заражения. В
этом случае, однако, необходим непосредственный доступ к
ЭВМ.
Конечно, вирусу не обязательно довольствоваться лишь
одним инфицированием при вызове. Если вирус запрограммиро-
ван так, чтобы при вызове инфицировать ровно четыре прог-
раммы, расчеты будут выглядеть несколько иначе.





Вычислительная система с к программами + программа-ви-
------------------------------------------------------
рус (создает четыре копии)
--------------------------
Здесь также теоретически необходимо инициировать (к+1)
различных процессов запуска, чтобы вирус наверняка запус-
тился один раз; статистическая вероятность равна 1/(к+1).
После запуска (к+1) различных программ теперь в систе-
ме будет уже пять вирусов (оригинал и четыре копии), теперь
необходимы лишь (к+1-4) различных процессов запуска, и
статистическая вероятность увеличится до 5/(к+1). Это озна-
чает, что теперь после (к+1) различных процессов запуска в
системе будет не менее 25 вирусов, а вероятность запуска
инфицированной программы будет не менее 25/(к+1). Фактичес-
ки вероятность увеличивается еще больше. Решающей является
также последовательность, в которой программы запускаются.
Если в качестве первой программы запущен вирус, вероятность
вызова инфицированной программы при следующем вызове су-
щественно выше, так как уже созданы новые четыре вируса.
График для вируса с простым размножением выглядит сле-
дующим образом:

-¬
¦L¬
¦ L-¬

- 52 -
¦ L-----¬
¦ L-----------------¬
¦ L------------------¬
L-----------------------------------------------


Для вируса с четырехкратным размножением все происхо-
дит значительно быстрее:

-¬
¦L----¬
¦ L-----------------------¬
¦ L---------------¬
L----------------------------------------------

Эти вычисления позволяют понять, почему так опасны
вирусы. Хотя размножение вирусов на практике происходит
медленнее, чем показано в примере, отличие действия вирусов
от известных до сих пор методов обработки совершенно ясно.

3.1 Предание о положительных вирусах
-------------------------------------
Во всех дискуссиях на тему вирусов можно услышать о по-
ложительных эффектах, которых можно достичь при помощи виру-
сов. В качестве классического примера называют чаще всего
так называемый вирус сжатия (см. 2.1), о котором впервые на-
писал Коэн. Этот вирус должен быть однажды введен в систему,
затем он должен инфицировать все исполняемые программы и при
помощи собственного задания на обработку - сжатие данных
посредством кода Хаффмана*) - уменьшить объем памяти, заня-
тый пораженным программным обеспечением соответствующей мас-
совой памяти.

----------------------
*) Код Хаффмана: Разработан Давидом ХафФманом, метод,
работающий на основе двоичного дерева, предназначенный для
минимизации избыточности файла. При этом может быть умень-
шена потребность в памяти программных файлов - в зависимос-
ти от их структуры - на 50-80 процентов от исходного объ-

- 53 -
ема. Для текстовых и графических файлов экономия памяти еще
больше. (Прим. автора).

Сжатая программа, конечно,не может быть непосредствен-
но выполнена, перед выполнением она должна быть опять
приведена в исходное состояние. Таким образом, эта задача
должна выполняться вирусом сразу после загрузки программы,
а это значит, что сам вирус не может быть сжатым. На прак-
тике этот процесс мог бы выглядеть следующим образом:































- 54 -

Программа, инфицированная вирусом сжатия, запус-
кается.¦
¦
--------------+--------------------¬
¦ Поиск неинфицированной программы ¦
L-------------T---------------------
¦
-----+-----¬
¦ Найдена? ¦
LT--------T-
¦ ¦
-----+¬ --+--¬
¦ НЕТ ¦ ¦ ДА ¦
L----T- L-T---
¦ ¦
¦ --+----------------------¬
¦ ¦ Инфицировать найденную ¦
¦ ¦ программу ¦
¦ L-T-----------------------
¦ ¦
¦ --+-------------------¬
¦ ¦Сжать инфицированную ¦
¦ ¦ программ ¦
¦ L-T--------------------
¦ ¦
¦ --+----------------------¬
¦ ¦Записать инфицированную ¦
¦ ¦ программу ¦
¦ L-T-----------------------
¦ ¦
----------+--------+----------------¬
¦ Декомпрессировать коды программы ¦
L-----------T------------------------
¦
---------------+---------------------------¬
¦ Запустить декомпрессированную программу ¦
L-------------------------------------------


- 55 -
С теоретической точки зрения эта программа-вирус дейс-
твительно выглядит вполне положительно. Если же более вни-
мательно рассмотреть структуру программы и вытекающие из
нее взаимосвязи, на практике возникают весьма серьезные
проблемы. Прежде всего увеличивается время выполнения прог-
рамм, во-первых, из-за необходимости декомпрессирования
программы перед каждым ее выполнением, во-вторых, из-за то-
го, что прежде должен быть выполнен поиск несжатой програм-
мы по всему массиву программ, а возможно и сжатие найденной
программы. Кроме того, такое сжатие целесообразно лишь в
том случае, если сжимаемая программа хотя бы на пятьдесят
процентов больше самой программы-вируса, так как в против-
ном случае сжатая программа, инфицированная вирусом, займет
больше места в памяти, чем исходная. В некоторых случаях
возникают еще и правовые проблемы, так как программное
обеспечение нельзя сжимать, по крайней мере тогда, когда
пользователь хочет, чтобы изготовитель отвечал за возможные
ошибки в программах.
В настоящее время проблема сжатия данных становится
все менее актуальной из-за снижения цен на устройства мас-
совой памяти.
Выводы: Пользователи бытовых и персональных ЭВМ не ис-
пользуют такое программное обеспечение из-за чрезмерного
увеличения времени выполнения программ, пользователи мини-
и больших ЭВМ имеют достаточный объем памяти, чтобы также
не пользоваться вирусом сжатия. В обоих случаях не послед-
нюю роль играет страх перед неконтролируемыми изменениями,
вносимыми в программное обеспечение.
Дополнительные примеры возможных задач обработки прог-
рамм-вирусов приведены в главе 7. При рассмотрении приве-
денных там примеров очень быстро становится ясным, как
сильно влияет точка зрения на оценку обработки (полезная
или вредная).
В заключение - персональное мнение автора о "положи-
тельных вирусах":
Использование вирулентного программного обеспечения це-
лесообразно только в системах, предназначенных для разработ-
ки совершенно нового структурированного программного обеспе-
чения (искусственный интеллект, см. 16.5). В традиционных

- 56 -
системах все виды обработки, обеспечиваемые вирусами, дости-
жимы другими программными средствами, поддающимися контролю.
Исключение составляют случаи, в которых контроль или возмож-
ность контроля являются нежелательными. Читатель должен сам
решить, какие случаи использования он считает допустимыми.

3.2 Установление виновника вряд ли возможно

Как уже говорилось,большая опасность программ-вирусов заклю-
чается в возможности использования вирусов в криминальных целях с
относительно малым риском. Особенно трудно установить источник
появления программ-вирусов в сетях и на больших ЭВМ. Однако проб-
лема заключается не только в "необозримости" сетевых структур.
Приложив некоторые усилия, можно полностью скрыть происхождение
программ-вирусов. Этому способствует еще тот факт, что програм-
му-носитель можно удалить из системы после однократного запуска.
Уже из одного этого факта возможный злоумышленник может извлечь
большую пользу, так как при отсутствии программы-носителя нельзя
установить виновника.
Если продолжить эту мысль, можно прийти к выводу, что после
удачного внедрения и размножения сам вирус следует уничтожить или
преобразовать в безвредную "незаразную" программу, чтобы умень-
шить риск обнаружения до минимума. Продолжая эти рассуждения
дальше, мы придем к такому типу вируса, который мало отличается
от органического: программы, которые не поражают явно свою прог-
рамму-носитель, а после нескольких удачных размножений удаляют
себя из этой программы.
Насколько трудно в этом случае установить виновника, каждый
читатель может представить сам. Для самого злоумышленника обычно
почти никакого риска нет, так как обычно он не записывает в прог-
рамму свое авторское право. Таким образом, если не удается обна-
ружить источник программ-вирусов техническими средствами, остает-
ся лишь проследить путь, пройденный вирусом, чтобы определить
злоумышленника.
Если вирус осуществляет обработку в пользу А, это, конечно
указывает на то, что А хочет получить финансовые выгоды (или В
хочет направить подозрение на А). Некоторые возможности для обна-
ружения злоумышленника предоставляет анализ типа обработки; круг
поиска уменьшается до минимума, если речь идет о деструктивном

- 57 -
типе обработки (например, "FORMAT C:").
Этим подтверждается высказывание из 3.1 о том, что если кто-
то хочет выполнять обработку для собственной выгоды, то должен
учитывать возможность своего разоблачения по виду обработки.
Здесь, однако, следует не забывать о том, что убытки А могут
означать одновременно выгоду В, если, например, А является конку-
рентом В.
Независимо от того, каким образом обработана система, было
бы ошибкой при обнаружения заражения вирусом уничтожать все мас-
сивы данных и программ, так как при этом теряется возможность
обнаружения злоумышленника посредством задачи обработки данного
вируса.
Пока единственной реакцией на обнаружение инфекции будет
непременное уничтожение всех массивов данных и программ, програм-
мисты вирусов могут спокойно использовать свои программы в сомни-
тельных целях.

3.3 От программного обеспечения к программной войне

В качестве первого отчета о компьютерных вирусах была
опубликована чрезвычайно противоречивая дискуссия о возмож-
ных последствиях. Основным инициатором этой дискуссии в спе-
циальной прессе является отчет в журнале KES (выпуски 3 и
4/85, издательство Петер Холь). Насколько непредсказуема бы-
ла реакция, можно усмотреть из того, что, как уже упомина-
лось, только в выпуске 4/85 Р.Дирштайн был указан как соста-
витель статьи.
Но почему такая осторожность?
Объяснение очевидно: если кто-то при каких-то обстоятельст-
вах усомнится в общепринятых знаниях и решениях, да еще, чего
доброго, и популярно разъяснит свои сомнения, он может быть объя-
влен врагом этих решений.
До тех пор пока не победило утверждение, что земля
круглая, ученый должен был считаться с тем,что распростране-
ние новых неудобных знаний могло быть объявлено ересью. Это
относится также к такой области, как электронная обработка
информации, и особенно, к проблеме компьютерных вирусов.
Нельзя говорить о компьютерных вирусах и не думать при этом
о возможных последствиях. Насколько проблематично получение поло-

- 58 -
жительного эффекта от компьютерных вирусов, уже было объяснено в
разделе 3.1. Разработку, которая при поверхностном рассмотрении
может иметь только отрицательные последствия, очень трудно обсуж-
дать публично и не быть при этом заподозренным в криминальных,
если даже не террористических замыслах. В последнее время это
особенно относится к организации Хаос Компьютер Клаб (ССС).
Действительно, представление о человеке, сидящем за термина-
лом жизненно важной системы и активизирующем вирус, не
успокаивает.Разве не существует серьезной опасности вмешательства
в действия правового государства при помощи этих новых програм-
мных стратегий? Не будут ли вирусы "коктейлем Молотова" в
будущем?
Очень много вопросов , на которые сложно ответить однозначно
ДА-НЕТ. Будущее развитие очень трудно предсказать хотя бы потому,
что оно очень сильно зависит от имеющегося на рынке аппаратного и
программного обеспечения. Однако события в "в мире бытовых ком-
пьютеров" можно предсказать довольно уверенно. Уже известная по
защите от копирования борьба между "защитниками" и "взломщиками"
повторяется в области вирусов. Собственно говоря, первый раунд
уже закончен. Так, например, в MS-DOS существует атрибут "только
чтение", благодаря которому определенные массивы данных и програ-
ммы защищены от перезаписи. С точки зрения программирования уда-
ление такой программы защиты от записи программными же средствами
можно оценить не как блестящее достижение, а как первый шаг к
новому рандеву "программной войне". Это разумеется, один уровень,
на котором вряд ли возможен большой экономический и политический
ущерб.
Другим уровнем "программной войны" являются целенаправленные
террористические акты. Программисты вирусов стараются продвинуть-
ся в этом направлении. Так, например, на "Хаос комьюникейшн
конгрессе 86" некоторым программистам вирусов часто задавали воп-
рос "не являются ли они завтрашними рыбами-пилами
(Strommastsager)".
Конечно, говорили, что внедрение вирусов в громадные массивы
данных государственных ЭВМ стали свершившимся фактом, однако
предостерегали от публикации программ-вирусов, так как последст-
вия могут быть непредсказуемыми. Обобщая, можно, вероятно,
оценить риск осуществления террористических актов при помощи
вирусов как очень, очень малый. По крайней мере, до тех пор пока

- 59 -
компьютеры остаются для правых и левых группировок "чудом'. Здесь
можно положиться на мнение профессора Брунштайна, который спо-
койно свел попытку срыва переписи населения 1987 года при помощи
вирусов к рекламному трюку.
Наконец, третий уровень "программной войны" образует вмеша-
тельство в стратегические вычислительные системы противника во
время военного столкновения, например, в потенциально важные
системы в полосе обеспечения такого противостояния. Так как эти
системы решают проблемы жизни и смерти многих людей, здесь следу-
ет ожидать глубоких последствий. В этой области исследования,
вероятно, зашли существенно дальше того, о чем сообщается офици-
ально.
Где-то между этими тремя уровнями лежит "обычный криминаль-
ный" доступ к вычислительным системам с целью получения каких-
либо выгод. Оценить эту область из-за существующих ограничений
очень трудно - соответствующие цифры, вероятно, очень велики.
Кто бы и на каком бы уровне не участвовал в "программной
войне", он всегда столкнется с теми же проблемами противоборства.
Трудность заключается в получении информации о системе намечаемой
жертвы. Сохранение в большем или меньшем секрете внутрисистемных
процессов чаще всего является единственной защитой от вирусов в
вычислительных системах.

3.4 Неосведомленность готовит почву

Тема "защита от вирусов" очень трудна для многих изготовите-
лей аппаратного и программного обеспечения. Причина этого заклю-
чается в том, что предоставляя специальную системную информацию,
необходимую для защиты от вирусов, фирма снабжает этой информаци-
ей и "противную сторону".
Пример тому можно найти в операционной системе MS-DOS. Когда
первые персональные ЭВМ фирмы IBM тогда еще с операционной сис-
темой PS-DOS - появились на рынке, многие пользователи удивля-
лись, почему они не могут найти в каталоге таких файлов, как
MSDOS.SYS или IO.SYS. Причина заключается в том, что, как теперь
знает почти каждый пользователь MS-DOS, атрибут "невидимый файл"
(Hidden file)" предотвращает вывод этих имен в каталоге. Теперь
имеется много программ - отчасти даже сервисные программы MS-DOS,
с чьей помощью каждый пользователь может изменять атрибуты и

- 60 -
редактировать даже "невидимые файлы". Таким образом, атрибут
"невидимый" потерял защитные функции из-за распространения инфор-
мации о нем.
Очень многие изготовители до сих пор считают, что программа
защиты действительно хороша лишь в том случае, если не известен
принцип ее действия. Чаще всего при этом не понимают, что скры-
вать принцип действия, а следовательно, и обеспечивать функции
защиты можно лишь временно.
Функция защиты должна быть такой, чтобы можно было без опас-
ки обнародовать принцип ее действия, а потенциальный злоумышлен-
ник должен сразу понять безнадежность любой попытки ее обхода, и
потому отказаться от этой попытки.
Эта точка зрения, однако, до сих пор не признается фирмами,
производящими программное обеспечение. Защита данных и сегодня
еще во многом базируется на неосведомленности пользователя.
Лишь несколько примеров:
FIBU защищен паролем. В шестнадцатиричном дампе программы,
пароль расположен непосредственно за словом "пароль:". Кроме
того, все данные могут быть выведены на экран при помощи команды
TIPE.
Система баз данных не позволяет осуществить прерывание прог-
раммы на этапе проверки записи о защите авторских прав. При пере-
адресации INT 5 на собственную программу прерывание становится
возможным.
Защита от копирования предотвращает проведение отладки путем
"переадресации" указателя прерывания. После "обратной
переадресации" указателя отладка становится возможной.

4. Современное состояние исследований в области
программирования вирусов

Исследовательские организации обычно проходят либо мимо этих
проблем, либо там все так секретно, что работающие там сами не
знают, чем занимаются.
Для государственных учреждений (министерства научных иссле-
дований и т.д.) справедливо то же, что и для исследовательских
учреждений.
Остается еще промышленность, которая, однако, тоже неохотно
открывает карты.

- 61 -
Поэтому обратим взгляд на хакеров, которые пока не боятся
публично касаться острых тем (иногда рискуя при этом пострадать).

4.1 Chaos Communicayion Congress. Декабрь 1986

Ежегодный конгресс гамбургского ССС (Хаос Компьютер Клаб)
состоялся в 1986 году под девизом "компьютерные вирусы". Там
собрались от двухсот до трехсот программистов и других заинтере-
сованных лиц, чтобы ознакомиться с новейшими результатами в обла-
сти защиты данных. Среди них находились также некоторые програм-
мисты - по словам организаторов, около двадцати - с практическим
"вирусным опытом".
Как пришли к этому мероприятию, представляющему нечто новое
в области симпозиумов? Вот что по этому поводу говорят организа-
торы: "Хотя публикации в специальных журналах должны были способ-
ствовать пониманию потенциальной опасности вирусов разработчиками
операционных систем, системного и прикладного программного обес-
печения, на практике все не так. Фирмы по производству системного
программного обеспечения не понимают и не хотят понимать
проблемы. Осознание того, что необходима информация об опасности,
до сих пор отсутствует. Напротив, упущенная промышленностью и
торговлей по беспечности информация способствует повышению потен-
циальной опасности.
Таким образом, большая часть пользователей персональных ЭВМ
в промышленности, торговле и бытовом обслуживании, а также все
частные пользователи получают незащищенные разработки.
Поэтому ССС вынужден был посвятить Chaos Communication
Congress 1986 "компьютерным вирусам". Только публичная дискуссия
может способствовать осознанию необходимости таких разработок и
обобщению сведений о последствиях, воздействии и возможностях
защиты."
C этой же целью февральский выпуск "Датеншлейдер" - центра-
льный орган ССС - поместил наглядные результаты своих исследова-
ний. В этом выпуске опубликованы сведения и результаты дискуссий.
"Ущерб и/или польза от вируса зависит от разработчика и
распространителя вируса. Хотя основной причиной "мести" являются
плохие социальные условия программистов, однако готовности злона-
меренного использования вирусов способствуют также зависть, недо-
брожелательность и собственная слабость".

- 62 -
История показывает, как опасно исключать обсуждение проблем
безопасности из открытых дискуссий."
"... участники конгресса ожидали получить рекомендации пуб-
личной дискуссии относительно риска, связанного с новыми техноло-
гиями."
Возможные выводы организатора. В рамках дискуссии, которую
пришлось прервать из-за грозящей опасности, прийти ко всеобщему
соглашению невозможно. Следующие далее цитаты покажут, насколько
различны были мнения участников:
"Я проклинаю тот день, когда я купил винчестер".
"Такие мероприятия, как ССС'86, ничего не изменят в работе
ЭВМ. Они скорее позволяют осознать значение своих поступков."
"Проблема заключается не в компьютерных вирусах, а в катаст-
рофах, возникающих из-за зависимости от технологий".
"Вирус хорош тогда, когда разработчик вируса не может соз-
дать антивирус".
В то время как дискуссия о преимуществах и недостатках обна-
родования вирусов еще продолжалась, неподалеку уже копировались
представленные там совершенно безобидные демонстрационные вирусы.
Вся дискуссия освещалась представителями прессы, которые не всег-
да чувствовали себя таковыми. Создавалось впечатление, что прог-
раммисты в рекламных целях должны идти на правонарушение или
оправдание использования вирусов: "Считаете ли вы законным испо-
льзование вирусов в государственных организациях в крайнем
случае?"
Звучали также вопросы об исходных текстах "строгих" вирусов.
Однако на эти и аналогичные вопросы каждый участник должен был
ответить сам. Слишком различны были мнения. Некоторые углубля-
лись в технические подробности и беседовали об этом с авторами.
Эти участники предпочли бы обсуждать только теоретические проб-
лемы, чтобы не получили распространения детальные сведения, что,
в свою очередь, предотвратило бы распространение вирусов подража-
телями. В заключение почти все сошлись на том, что "стремление из
всего делать тайну" способствует распространению вирусов, поэтому
следует сделать все, чтобы обратить внимание общественности на
эту проблему. Эту похвальную цель до сих пор и преследовал ССС.

4.2 Хакеры в 1987 году


- 63 -
Большой успех Chaos Communication Congres побудил ССС орга-
низовать в апреле симпозиум по вирусам. Большие новости здесь,
конечно, не обсуждались, что не в последнюю очередь объясняется
чрезвычайно пестрым составом участников - от начинающих пользова-
телей С64 до профессионалов, работающих на ВАКСе. Это определило
основное направление симпозиума - передача сведений.
Краткое обобщение результатов симпозиума:
Б. Фикс представил свою защиту на основе криптографии.
Слухи о том, что GMD (Общество математической обработки
данных) - любимое детище министра Ризенхубера) на персональных
ЭВМ появились вирусы и пошли по кругу, как почти всегда, все
носители были стерты и отформатированы в надежде на то, что это
предохранит от поражения вирусами. Таким образом, здесь также
была упущена возможность выяснить, что же, собственно говоря,
произошло.
М. Валлен изготовил свой Паскаль-вирус номер один и опубли-
ковал его в почтовом ящике, однако ответственные (или боязливые)
системные операторы очень быстро удалили его. Читатель может
увидеть изображение этой программы в разделе 10.2.
Затем симпозиум ССС по вирусам в апреле. В узком кругу в июне
еще раз обсуждались новые работы в этой области. В обсуждении
участвовали М.Валлен, С.Вернери, Б.Фикс, Р.Бургер. Обсуждались
как подходы к полезному использованию вирусов, так и возможности
защиты.
Б. Фикс посетовал о потере права доступа к ЭВМ высшей школы
после того, как новый супервизор обнаружил источник вирусов,
который, как назло, был очень хорошо задокументирован. Профессор
Браунштайн (Гамбургский университет) хотел использовать этот
повод для продолжения своей работы на Гамбургской системе. К
сожалению, эти намерения провалились - как хорошо было сказано -
из-за проблем организации.
Далее участники обсуждения смогли рассмотреть резидентную в
памяти версию криптографической программы Б. Фикса, которая пре-
дотвращает распространение вируса путем преднамеренного образова-
ния несовместимости. Дискуссия завершилась темой, достаточно
далекой от исходной, - теоретическим обоснованием концепции био-
логической ЭВМ для учебных целях.
На Chaos Communication Congress 1987 проблемам компьютерных
вирусов было уделено существенно меньше внимания, чем в предыду-

- 64 -
щем году. Хотя и были представлены некоторые новые вирусы (в том
числе, так называемый пластичный вирус и программа-вирус для
Атари), однако основное внимание было направлено не на продолже-
ние программирования вирусов, а на анализ конкретных случаев.

4.3 Попытки установления контактов: официальный собеседник

Что делает сознательный программист, который узнает, что
программы-вирусы распространяются не только на больших, но и на
персональных ЭВМ? Он предоставит свои сведения всем тем, кто
может или должен этим заинтересоваться. То же сделал и автор. Так
как он предполагал, что кроме промышленности, в информации на
тему вирусов нуждаются также и государственные учреждения, Феде-
ральное министерство исследований и Федеральный уполномоченный по
защите данных получили в августе 1986 года письмо следующего
содержания:
Дата: 24.8.86

Многоуважаемые дамы и господа,
в последнее время в прессе часто упоминаются так называемые
компьютерные вирусы, причем ни один конкретный вирус не был опи-
сан.
Поэтому я рад Вам сообщить, что мне удалось создать работаю-
щий под операционной системой MS-DOS вирус (т.е. на ЭВМ IBM PS,
XT, AT и совместимых), и по моим сведениям это единственная суще-
ствующая в Германии программа-вирус. Таким образом, доказывается
правильность "теории вирусов" и возможность использования "виру-
сов" в малых и средних вычислительных системах.
Так как мой "вирус" наверняка не останется единственным, так
как я знаю аналогичные разработки в других Федеральных Землях, не
следует недооценивать опасность для всех систем обработки данных,
начиная с бытовых ЭВМ. Если не будут своевременно приняты соотве-
тствующие защитные меры, последствия для внутренней и внешней
безопасности, а также для исследований и разработок в ФРГ могут
быть непредсказуемыми.
Разумеется, я готов помочь Вам при разработке защитных меро-
приятий. Я надеюсь, что смогу быть Вам полезным. Подробности
можно будет обсудить в личной беседе, к которой я готов в любое
время.

- 65 -

С наилучшими пожеланиями
(Ральф Бургер)
Это письмо привело получателей в состояние шока. BMFT потре-
бовалось около шести месяцев, чтобы составить ответ. Федеральный
уполномоченный, видимо, до сих пор не оправился от шока, так как
ответа до сих пор нет.
Cтоль долго ожидаемое письмо BMFT имеет следующее содержание:
Многоуважаемый господин Бургер,
Большое спасибо за Ваше письмо. Прошу извинить за задержку с
ответом.
Вопреки Вашим предположениям мы уже давно располагаем подроб-
ной информацией о вирусах любого типа, о технике их создания и
помещения в вычислительные системы любой мощности.
В соответствующих исследовательских организациях ФРГ и в
промышленности предпринимаются усилия по разработке мер защиты и
согласованию их с конкретными условиями.
С наилучшими пожеланиями.
По поручению
Др. Нидерау

Такое письмо, естественно вызвало у автора встречные вопро-
сы, которые инициировали многомесячную бессодержательную перепис-
ку, приводить которую не имеет смысла. Обобщая, можно прийти к
выводу, что уже много лет - в тайне от общественности - разраба-
тываются исследовательские проекты, посвященные вирусам. Об этом
говорит тот факт, что, несмотря на многомесячную переписку, у
представителей министерства не появилось желания ознакомить авто-
ра с содержанием работ.
Совершенно иначе повел себя Баварский Земельный уголовный
розыск, представитель которого - господин Пауль, известный своими
публикациями в различных специальных журналах, благодаря своим
тесным контактам с Баварскими хакерами очень быстро понял, что
ситуация в области компьютерных вирусов может привести к большим
потерям и при использовании персональных ЭВМ. Там с
благодарность восприняли информацию автора, доложенную на семина-
ре.
Р. Дирштайн констатировал в сентябре:
"Разумеется, в любой момент можно создать вирусы для любой

- 66 -
операционной системы. Особенный интерес представляет возможный
системный уровень их использования и полномочий, с которыми виру-
сы могут быть помещены в систему. Исключительный интерес предста-
вляют все постановки задач, позволяющие обнаруживать вирусы в
системах. Вероятно, было бы полезно побеседовать об этом."
К сожалению, эта беседа до сих пор не состоялась.
Плодотворное сотрудничество развивается между автором и тех-
нологическим отделом университета в Брауншвейге, руководитель
которого, господин доктор-инженер Венцель, хотя и не предоставил
автору доступа к университетским ЭВМ (что не следует воспринимать
как обиду), использовал информацию, доложенную автором на неболь-
шом семинаре, для разработки защиты на системах оптической памя-
ти. Здесь следует упомянуть также, что часть участников семинара
заявила достаточно резко, что публикации о вирусах являются обще-
ственно опасными и преступными.
В заключение автор - после нескольких тщетных попыток - уста-
новил контакт с ССС. (Некоторые читатели интересуются, почему ССС
упоминается как общественный компаньон. Так как ССС пока не явля-
ется коммерческим компаньоном, он классифицируется таким
образом). Свою компетентность в области "концентрации информации"
клуб доказал при организации Chaos Communication Congress , так
как все, кто к этому времени имел какое-либо отношение к вирусам,
контактировали с ССС (хотя они работали при закрытых дверях).
Выводы: по крайней мере BMFT, задача которого, собственно и
заключалась в защите информационных потоков, своей цели не дости-
гло. Тот, кто видит, в каких условиях работают молодые полные сил
ученые и, напротив, на какие преждевременно устаревшие проекты
(например, изучение земного излучения) тратятся финансовые сред-
ства BMFT, не желая больше терпеть отставания своей страны в
технической области.

4.4 Секретные исследования?

Не только приведенные выше письма BMFT позволяют сделать
вывод о том, что в области исследования компьютерных вирусов
делается больше, чем об этом сообщается. Достаточно немного поду-
мать, чтобы понять, что ни государство, ни крупное промышленное
предприятие не может исключить возможность "поражения вирусом".
Поэтому результаты исследовательских работ, которые до сих пор

- 67 -
засекречиваются, должны быть использованы для создания надежной
системы защиты и для ее проверки.
Автор располагает информацией из хорошо осведомленных источ-
ников, что такие секретные исследования существуют. Из соображе-
ний безопасности лиц, предоставивших информацию, следующие выска-
зывания приведены без указания имен.
Что Вы думаете о деятельности хакеров в области компьютерных
вирусов?
"Проблемой компьютерных вирусов занимаются не только так
называемые хакеры. К тому же эти люди определенно не представляют
большой опасности."
Как Вы думаете, насколько велика "опасность вирусов" в дейст-
вительности?
"Только подозрение о наличии "вируса" в вычислительной сис-
теме может сделать ее бесполезной, так как соображения техники
безопасности запрещают работать с такой системой. Подозрение, что
кто-то мог получить секретную информацию, может привести к невоз-
можности дальнейшей работы с этой информацией, так как последст-
вия могут быть непредсказуемыми".
Считаете ли Вы возможным восстановление пораженной системы?
"При исследовании пораженной системы, вероятно, будет найден
вирус. Но был ли он единственным? Сохранилась ли опасность? Что
теперь делать с Вашими резервными копиями? Что Вы хотите исследо-
вать?"
Видите ли Вы возможность защиты вычислительных систем от
вирусов?
"Уже имеется предложение удалить из системы все устройства
внешней памяти, на которые возможна запись".
Что Вы думаете о публикациях на тему компьютерных вирусов?
"Мне кажется, что больше всего об этом говорят те, кто мень-
ше всего в этом понимает. От людей, которые действительно что-то
понимают в компьютерных вирусах , Вы мало что услышите, так как
эти люди задумываются, стоит ли вообще все это обнародовать. Не
обязательно ведь писать инструкцию по использованию".
Последнее высказывание является, пожалуй, основным во всем
тексте, так как здесь подтверждается то, о чем мы лишь догадыва-
лись.
Исследование большого промышленного предприятия, на котором
заботились о максимально возможной защите, привело к следующим

- 68 -
результатам. Они относятся к большим ЭВМ:
- для предотвращения обработки программных библиотек следует
использовать защиту от записи;
- следует постоянно проводить сравнение между исходным и
текущим состоянием программного обеспечения;
- любое вновь устанавливаемое программное обеспечение следует
заносить в архив для целей сравнения;
- информацию о программном обеспечении и о мерах защиты сле-
дует держать под замком;
- регулярно следует беседовать с ответственным за систему для
целей мотивации;
- проверять доступ к ЭВМ всего персонала, не относящегося к
данному предприятию;
-программное обеспечение, разработанное не на данном предпри-
ятии, следует проверять перед использованием.
Как видно, за закрытыми дверями задумываются о вирусах, в то
время как публично заявляют о безобидности этих программ.
5. Смириться с опасностью?

От специалиста по безопасности автор получил на этот вопрос
такой ответ: "Законы нарушаются повсюду. Унесет ли служащий шоко-
ладной фабрики плитку шоколада, производится ли
нелегельно плуто-
ний или внедряется в ЭВМ вирус - со всем этим нам жить. И у нас
получается это, собственно говоря, неплохо".
Так как до сих пор не существует стопроцентно-надежной и
практически признанной защиты от компьютерных вирусов, нам оста-
ется лишь всегда быть готовыми к тому, что наша работа с устрой-
ствами электронно обработки информации может закончиться ка-
ким-нибудь неприятным сюрпризом. Однако промышленность у нас
терпеливая, она, очевидно, ожидает, пока что-нибудь случится,
чтобы сказать затем, что все равно ничего не изменилось бы. К
счастью, постепенно отношение к этой проблеме изменяется. Наско-
лько медленно это происходит, показано ниже.

5.1 Высказывания на тему вирусов

Чтобы помочь читателю составить впечатление от дискуссии на
тему компьютерной преступности, мы представим слово специалистам,

- 69 -
которые хорошо знакомы с предметом. Одно из высказываний, несом-
ненно принадлежит уголовному розыску, который уже в течение длите-
льного времени обобщает компьютерную преступность, основываясь на
большом числе применеий ЭВМ и учитывая многочисленные потенциа-
льные возможности несанкционированной обработки. Здесь опередил
всех административный аппарат южных Федеральных Земель
Республики. Господин Пауль, первый комиссар уголовной полиции и
руководитель специального отдела 41 Баварского Земельного уголов-
ного розыска, был настолько любезен, что ответил на несколько
вопросов:
1. В настоящее время обсуждать проблемы "компьютерных виру-
сов" можно лишь с так называемыми хакерами. Поэтому в разли-
чных специальных журналах "хакеры" многократно упоминаются
в связи с программами-вирусами и с преступной обработкой
данных. Считаете ли Вы, что "хакеры" потенциально опасны?

"Для меня хакеры - это любители, занимающиеся в свое свобод-
ное время вычислительной техникой, ничем принципиально не отлича-
ются от радиолюбителей. При этом они должны соблюдать действующие
законы.
У меня нет оснований считать, что эта группа лиц более кри-
миногенная, чем об этом говорят средние статистические данные.
Напротив, я считаю их более умелыми и прилежными, они обеспечива-
ют внедрение ЭВМ в наше хозяйство и общество.
Опасность возникает в том случае, если их специфическими
знаниями воспользуется преступник или группа преступников".

2. По роду своей профессиональной деятельности Вы ежедневно
сталкиваетесь с компьютерной преступностью. Известны ли Вам
случаи несанкционированной обработки данных в вычислительных
системах, в которых использовались так называемые компьюте-
рные вирусы или в которых можно подозревать их
использование?

"Нет".
3. Обычно бывает трудно привести конкретные доказательства
несанкционированной обработки данных. Как Вы думаете, высоки
ли показатели в этой области?


- 70 -
"Да".

4. Для того, чтобы прибегнуть к страховой защите в случае
ущерба из-за вредительского программного обеспечения, обычно
необходимо назвать виновника ущерба. Что Вы посоветуете
пользователю, который заподозрил, что его вычислительная
система поражена вирусом?

"В этом случае следует заявить органам власти о готовящемся
преступлении".

5. Из-за повышения уровня образования в области ЭВМ посте-
пенно перестают работать имеющиеся средства защиты от несан-
кционированной обработки данных, основанные на незнании
пользователя. Как оцениваете Вы дальнейшее развитие событий
в области компьютерной преступности вообще и в области прог-
раммирования в частности?

"Все увеличивающееся проникновение ЭВМ в хозяйство и управ-
ление, а также растущее число пользователей делает неизбежным
рост случаев злоупотреблений.
Эта ситуация требует проведения квалифицированных защитных
мероприятий. Так как они не могут быть сплошными, в качестве
предупредительных мер защиты необходимы уголовно-правовые и граж-
данско-правовые санкции. Согласно предписаниям 2. WIKG (Закон
против хозяйственных преступлений, прим. редактора) законодатель
определяет необходимые штрафные санкции. Реализация этих законо-
положений является задачей органов дознания. Решение этой задачи
требует проведения серьезных организационных и кадровых мероприя-
тий.
Для пользователей ЭВМ необходимо, чтобы осознание безопасно-
сти переросло в осознание зависимости от ЭВМ".
Те же и аналогичные вопросы были поставлены представителям
области защиты данных. Например, владельцам большого страхового
общества, которое, в том числе, страховало и от компьютерных
злоупотреблений (см. 8.5):

Что Вы думаете о так называемых хакерах?
"С "хакерами" мы всегда связываем нечто негативное, так как

- 71 -
они получают доступ к данным, к которым они не вправе его иметь.
Для нас это означает, что техническими средствами от хакеров
защищаться нельзя. Следует учитывать также возможность подсажива-
ния хакерами вирусов. Эта опасность со стороны хакеров оценивает-
ся нами как растущая. Рост этой опасности обусловлен возможностью
внедрения в вычислительную систему по сети".
Что Вы думаете о появившихся публикациях на эту тему?
"Имеющиеся публикации о компьютерных вирусах достаточно
тревожны. Не потому, что они исходят от хакеров, а потому, что
они вызывают страх, так как пользователь ничего конкретного из
этих публикаций не узнает. В этих публикациях отсутствуют или
недостаточно ясны ответы на вопросы, касающиеся конкретной системы
пользователя".
К вопросу 2.
"Нет".
К вопросу 3.
"Да. Имущественный ущерб, наносимый при помощи ЭВМ, нам изве-
стен, если при этом речь идет о страхователе. Однако, до сих пор
об этом редко заявляли в полицию. Поэтому, хотя полиция и может
исходить из того, что сообщенные цифры верны, реальное число
случаев существенно больше.
Что случилось бы с банком, о котором стало известно, что там
осуществлена несанкционированная обработка данных при помощи ЭВМ,
или, если бы заподозрили хакеров в том, что кто-то посторонний
имеет доступ к ЭВМ? Кто бы принес туда свои деньги? Понятно, что
такого типа ущерб не афишируется".
Имеется ущерб, который распознается, но не заявляется, быва-
ют также случаи, когда ущерб имется, но не распознается. Как Вы
думаете, каких случаев больше?
"Чисто субъективно я сказал бы так: больше случаев, когда
ущерб распознается, но не заявляется; это делается вполне осозна-
нно. Точно так же, например, редко заявляют о сотруднике,
который, уходя из мастерской, прихватил с собою дрель."
К вопросу 4.
"Так как до сих пор мы такого ущерба не понесли, определен-
ного мнения на этот счет у нас нет. В принципе можно сказать, что
защитные мероприятия необходимо контролировать.
Сам я пришел к выводу, что, собственно говоря, следовало бы
заменить новой всю систему.

- 72 -
С точки зрения техники можно сказать следующее: как только
появилось подозрение, следует сообщить об этом в страховое аген-
тство, так как страхуются лишь те убытки, которые появились не
ранее, чем за два года до заявления."
К вопросу 5.
"Компьютерная преступность, несомненно, растет. Это связано
со все большим распространением ЭВМ.
Так как до сих пор мы не сталкивались непосредственно с
компьютерными вирусами, мы хотим подождать до первого их проявле-
ния. Потенциальная опасность вирусов, несомненно, существует, как
пойдет дальнейшее развитие, зависит, в конечном счете, от мер
защиты, принимаемых пользователем. При этом, конечно, лишь вновь
разработанное изделие может что-либо доказать.
Наверное, желательно было бы иметь изделие, которое не толь-
ко может обнаружить вирус или предотвратить его проникновение, но
было бы в состоянии удалить вирус из системы.
Однако такая постановка задачи не может быть реализована
имеющимися в настоящее время техническими средствами."
Автор не стал бы оспаривать мнение Ганса Глисса, ответствен-
ного редактора "Datenschutz-Beraters", появляющегося в издатель-
ской группе Хандельсблатт, и члена правления Общества безопасно-
сти и защиты данных (GDD, Бонн):
К вопросу 1.
"Я считаю, что если бы хакеров не было, их надо было бы
придумать. Они занимаются не только хакерством, т.е. разрушением,
развалом и просмотром, они еще публично обсуждают проблемы недо-
статочной защиты вычислительных систем и сетей связи. Они распо-
лагают временем, которое тратят на целенаправленные исследования
способа защиты данных, не требуя при этом никаких наград.
Конечно, я разделяю некоторые сомнения относительно деяте-
льности хакеров. Наряду с этим следует учитывать многочисленные
направления компьютерных злоупотреблений, которыми никогда не
занимались хакеры: финансовые манипуляции, кражи ноу-хау и
данных, саботаж, кражи машинного времени, выдача данных об уровне
цен. Однако, так как против злоупотреблений никакого средства не
придумали, ничего не изменится, если даже поколотить хакеров.
Изменения наступят только тогда, когда системы станут надежными.
При этом следует всячески использовать творческий потенциал хаке-
ров (см. выше)."

- 73 -
К вопросу 2.
"Да, отдельные случаи, но со значительным эффектом."
К вопросу 3.
"Да. Если следовать соответствующей специальной литературе,
приводящей конкретные случаи компьютерных злоупотреблений, полу-
чается, что большинство злоупотреблений раскрыто случайно."
К вопросу 4.
"Прежде всего, пользователь ЭВМ, страхующий свою систему,
должен знать, что он получает страховой полис, в котором не обя-
зательно указание виновника нанесенного ущерба. Не все знают о
предложении такого условия, разумеется, только "первые адреса" с
точки зрения страхования. Впервые об этом официально было заявле-
но специалистом по страхованию в Datenschutz-Berater 3/87.
Тем, кто подозревает поражение вирусом, следует рекомендовать
немедленно прекратить текущую работу и изолировать систему. Что
предпринимать дальше, зависит от системы, конфигурации ее програ-
ммного обеспечения и индивидуальных возможностей пользователя.
Если заранее не позаботились о создании резервного архива,
следует позаботиться о том, чтобы можно было гарантированно
перейти на непораженное программное обеспечение путем его переда-
чи или покупки в случае поражения; во всяком случае, это относит-
ся к программному обеспечению, которое не может быть заново напи-
сано на стороне.
Если поражение вирусом подозревается , но еще не доказано,
между этапами изоляции и восстановления системы необходимо прове-
дение основательного поиска в операционной системе и в прикладных
программах с целью обнаружения несанкционированной обработки
данных, проведенной вирусами."
К вопросу 5.
"Компьютерная преступность растет быстрее, чем степень защи-
ты. Это связано со структурой пользователей. Согласно исследова-
ниям британского специалиста по безопасности Кеннете Вонга (85
Stcuricom Cannes) ряда случаев в США и Великобритании эти случаи
имеют характерную особенность : около 70% злоумышленников явля-
лись оконечными пользователями. Благодаря IDV и сетевым системам
эта группа лиц в настоящее время чрезвычайно быстро растет. Это и
обусловило - с небольшими смещением во времени - рост числа ком-
пьютерных злоупотреблений.
Что касается программ-вирусов, то я предполагаю различные их

- 74 -
классы. Во-первых, это чудаки, которые хотят посмотреть, что
получится, если пустить путешествовать пораженное программное
обеспечение. Далее могу себе представить защиту пострадавших от
демонстрационного программного обеспечения (например, на стендах
ярмарки) типа "спящего вируса", который активизируется без специ-
альных защитных мер.
В зависимости от типа внутрипроизводственной защиты вирусы
могут быть также идеальным средством саботажа для злонамеренных
современников: можно подложить логическую бомбу замедленного
действия с осколочным эффектом. Последний возможный, но достаточ-
но редкий класс предполагает наличие общей высокой квалификации:
программы-вирусы с заданием на обработку в областях, к которым
программист вируса не имеет непосредственного доступа. Пример:
программа фактурирования должна в интересах определенного покупате-
ля уменьшить объем или цену поставки. Прямое обращение к програм-
ме слишком бы бросалось в глаза. Злоумышленник дает задание на