Компьютерные науки - Учебники на русском языке - Скачать бесплатно
подпадает под действующие нормы как гражданского, так и уголов-
ного права.
Интерес представляет ответственность изготовителя и (поско-
льку пользователь не имеет прямого контакта с изготовителем)
ответственность продавца.
Для большинства вероятных случаев в силу отсутствия предна-
меренности уголовная ответственность исключается. Могут быть
- 99 -
рассмотрены только гражданские иски на возмещение ущерба.
Здесь справедливо все сказанное относительно ответственности
распространителей бесплатного программного обеспечения. Ниже
рассмотрены лишь особенности, касающиеся коммерческих программ.
а) Ответственность изготовителя
Если программное обеспечение приобретается у посредника, а
не у изготовителя, то договорные отношения существуют только с
продавцом. Следовательно, по отношению к изготовителю могут рас-
сматриваться не договорные, а деликатные претензии. По-иному
обстоит дело лишь в том случае, если изготовитель добровольно
берет на себя гарантийные обязательства. Но такое для программно-
го продукта до сих пор не практиковалось. А если и встречается,
то, как правило, с такими ограничениями, которые не позволяют
сделать какие-то определенные выводы относительно рассматриваемых
здесь претензий.
Итак, остаются известные деликатные претензии, описанные при
рассмотрении бесплатного программного обеспечения, с той лишь
разницей, что значительно раньше нужно будет подтвердить требуе-
мую неосторожность. К тому же изготовители коммерческого програм-
много обеспечения имеют в номенклатуре очень немного программ,
которые они знают или во всяком случае должны знать как свои пять
пальцев. Поэтому трудно предположить, что вирус может попасть в
программу просто по небрежности изготовителя.
Если исходить из того, что "собственность" или "владение"
программами и данными представляют собой прочее право в смысле N
823 1 ГК опираясь на эту норму относительно просто добиться воз-
мещения ущерба от изготовителя программ.
Если программное обеспечение приобретено непосредственно у
изготовителя, дополнительно могут рассматриваться и договорные
претензии. Здесь справедливы следующие рассуждения.
в) Ответственность продавца
Продавец несет как деликатную, так и договорную (позитивное
нарушение договора) ответственность. При этом важна степень его
вины, которая зависит, разумеется, от конкретных обстоятельств.
Обычно посредник знает сбываемые им программы не столь хорошо,
- 100 -
как изготовитель. Поэтому он меньше заслуживает упрека в небреж-
ности, чем изготовитель. С другой стороны, продавцы имеют значи-
тельно более широкие возможности для изучения и проверки постав-
ляемых ими программ, чем распространители бесплатного ПО. Поэтому
продавцы должны были бы более тщательно соблюдать интересы торго-
вого партнера, чем отправители бесплатных программ. Сказанное
выглядит достаточно расплывчато, однако точнее выразиться можно
только в конкретных случаях.
В заключение можно отметить, что продавец также несет ответ-
ственность за ущерб, причиненный зараженными вирусами коммерчес-
кими программами, если в конкретном случае его удается обвинить в
несоблюдении интересов покупателя.
6.6 Манипулирующие вирусы
Как уже было сказано, вирусы чаще всего оказывают раз-
рушающее действие. Однако существуют и манипулирующие вирусы, которые
требуют специальной правовой оценки. Здесь рассматривается только
ответственность за различные виды манипулирующих вирусов на осно-
ве УК. Гражданско-правовые аспекты не требуют детализации, так
как из N 823 П ГК уже следует, когда и в какой мере внедрение
манипулирующего вируса является уголовно наказуемым деянием.
а) Вирусы, реализующие корыстные интересы
Можно представить себе внедрение компьютерных вирусов, реа-
лизующих корыстные цели в интересах преступника или третьего
лица. Например, возможен случай, когда при помощи вируса произво-
дится регулярное перечисление на счет преcтупника. В этом случае,
кроме N 303 УК, применим вновь включенный в ЦУК параграф N 263а
(мошенничество с использованием ЭВМ). Согласно N 263 а УК имуще-
ственный ущерб, наказываетя лишением свободы сроком до пяти лет
или денежным штрафом. В особо тяжелых случаях возможно лишение
свободы до десяти лет. Согласно N 263а УК, наказуема и попытка
совершения такого преступного деяния.
с) Вирусы, открывающие доступ к компьютерным системам
Возможна разновидность вирусов, открывающая пользователю
- 101 -
доступ к закрытым для него компьютерным системам либо к определе-
нным областям памяти. Такой вирус дает возможность пользователю
выполнять свои программы или использовать систему каким-то иным
образом без соответствующего разрешения. Он может также получить
возможность читать или заменять данные, не имея к ним права дос-
тупа.
Законодатель вопреки первоначальным планам не включил в
закон так называемую кражу машинного времени, и поэтому пользова-
тель не несет ответственность за использование ЭВМ в случаях,
для него не предусмотренных по N 263а УК (мошенничество с исполь-
зованием ЭВМ). Будет ли такая трактовка применяться в судебной
практике, покажет время. Но не так давно один из судов (суд вто-
рой инстанции г. Кельна, "Новый юридический еженедельник" 87, с.
667) выразил сомнение в конституционности N 263 а УК из-за
будто бы расплывчатой формулировки с большим числом оговорок, так
что можно ожидать весьма ограниченного применения N 263 а УК в
судебной практике и наказания за кражу машинного времени не как
за мошенничество с использованием ЭВМ. Здесь лишь можно подождать
развития событий.
Могут быть рассмотрены и другие составы преступления, наряду
с N 303а УК, который здесь, разумеется применим, поскольку имеет
место изменение программ или массивов данных.
В результате проникновения в компьютерную систему или в
определенную область системы, закрытую для пользователя, он,
очевидно, вынужден будет прочитать данные, хранящиеся в этой
системе. Отсюда следует, что пользователь, применяющий вирус (а
не лицо его внедрившее!), несет ответственность за шпионаж согла-
сно N 202а УК. Он может быть подвергнут лишению свободы сроком
до трех лет или денежным штрафам.
в) Вирусы, генерирующие файлы регистрации инфицированных
программ
Обсуждаются вирусы, способные генерировать файл регистрации
для определенных программ, из которого можно получить следующую
информацию: кто, когда, как и какую использовал программу, какие
работы были выполнены в результате этого использования и какие
пароли применялись для доступа к программам.
Внедрение такого вируса, разумеется , карается по N 303а
- 102 -
УК. Проблематичным является применение N 202а УК (шпионаж за
данными). В самом деле, N 202а УК определяет наказание за полу-
чение или передачу другому лицу специально защищенных данных, не
предназначенных для пользователя.
В N 202 а УК речь идет о шпионаже за данными , уже хранящи-
мися в системе. Но в рассматриваемом здесь случае эти данные были
сформированы в результате вмешательcтва вируса в программу. Сле-
довательно, речь идет не о существующих данных.
Правда, такое суждение не охватывает все возможные случаи. В
самом деле, при занесении в файл регистрации пароля речь идет об
информации, которая хотя и заносится в файл регистрации вновь, но
уже была записана в другом месте системы, а потому ее прочтение
можно квалифицировать как шпионаж. С этой точки зрения генерация
файла регистрации представляет собой всего лишь специальный медот
шпионажа за данными, за которым полагается наказание по N 202а
УК.
г) Вирусы, изготавливающие фальшивые документы
В соответствии с N 269 УК (фальсификация полученных при
сборе доказательств данных), который вновь введен в УК в рамках
второго закона об ответственности за хозяйственные преступления,
тот, кто в целях обмана при оформлении правоотношений запишет
полученные при сборе доказательств данные или изменит их таким
образом, что это привело бы к искажению или фальсификации докуме-
нтов, наказывается лишением своободы сроком до пяти лет, а в особо
таких случаях сроком до 15 лет. Наказанию подвергаются и исполь-
зующие записанные таким образом или измененные данные. Это имеет
место при внедрении манипулирующих вирусов, в частности, уже
рассмотренных вирусов, реализующих корыстные интересы. В силу
предусмотренных законом достаточно больших пределов наказания
(лишение свободы сроком до 15 лет - самый большой срок, предусмо-
тренный УК!) здесь следует более подробно рассмотреть применение
N 269 УК.
N 269 УК примыкает к N 267 УК (подделка документов). Этот
параграф устанавливает наказание за такую модификацию собранных
для доказательства данных, в результате которой был бы получен
(может быть, и не непосредственно) подложный или фальшивый доку-
мент.
- 103 -
Подложным документом были бы данные, при восприятии которых
подменяется составитель документа, т.е. происхождение данных
оказывается иным, чем это из них следует. Документ фальсифициро-
ван, если подлинные данные первоначально были изменены таким
образом, что содержимое уже нельзя отнести к заявителю (состави-
телю).
Наказуемо также употребление данных, измененных описанным
выше путем. Употреблением считается, например: факт передачи
данных вводимому в заблуждение лицу на носителе или вывод их на
экран.
6.7 Вирусы протеста
В дискуссиях о компьютерных вирусах появился новый термин -
"вирусы протеста". Здесь имеется в виду вирусы, используемые
против компьютеров, которые определенные общественные группы
считают особо опасными, бесчеловечными или представляющими ка-
кую-либо угрозу. В частности, в прессе промелькнули сообщения о
том, что группа хакеров и сторонников бойкота переписи населения
планировали применить вирусы против перепеси населения 1987 года.
В этой связи следует кратко пояснить, в какой мере эти так
называемые "вирусы протеста" можно рассматривать как легальное
средство разрешения общественного противоречия. Вопрос о том,
насколько легальным является использование "вирусов протеста"
здесь не рассматривается, поскольку это вопрос не чисто правовой,
а скорее политический или морально-этический.
На вопрос о правовой допустимости "вирусов протеста" отве-
тить очень простор: эти вирусы ничем не отличаются от прочих.
Следовательно, их применение карается в соответствии с типовыми,
подробно здесь рассмотренными уголовными нормами, в частности в
соответствии с N 303а и 303б УК.
Наказание не назначается лишь в том случае, если применение
вирусов оправдано. Стандартным основанием для оправдания может
служить в определенной степени ст.20 Ш Конституции. Согласно этой
статье Конституции, каждый немец имеет право противодействовать
попыткам нарушения конституционного строя ФРГ, если применение
других средств невозможно.
Но статья 20 Конституции предоставляет право протеста только
в случае угрозы сущности свободно-демократического строя общест-
ва. Нельзя протестовать против любого нарушения права. Кроме
- 104 -
того, право протеста может быть только последним средством воз-
действия. Предварительно должны быть исчерпаны все разрешенные
средства устранения затруднений.
Едва ли можно утверждать (во всяком случае с позиции судеб-
ной практики, что перепись населения, даже незаконная, угрожает
сущности свободно-демократического правопорядка. Но даже если это
предположить, следовало бы вначале применить все доступные право-
вые средства, и лишь затем воспользоваться формами протеста по
статье 20 Конституции.
Из сказанного следует, что так называемые "вирусы протеста"
столь же незаконны, что и "обычные" вирусы.
6.8 Разработка, публикация и распространение
а) Разработка вирусных программ
Разработка вирусных программ сама по себе не является нака-
зуемой с точки зрения как уголовного, так и гражданского права.
Иное дело, если разработанные программы в виде исходного текста
или в виде скомпилированной программы с согласия или без согласия
автора публикуются или распространяются каким-то иным способом.
Этому посвящены следующие два раздела.
б) Публикация или распространение исходного текста программы
За публикацию или распространение исходного текста программ-
вирусов для составителя программ или третьего лица, опубликова-
вшего программу, предусмотрена как уголовная, так и гражданская
ответственность.
В соответствии с уголовным правом, публикация или распрост-
ранение исходного текста программы-вируса влечет за собой наказа-
ние по N 303а УК в связи с N 26 или N 27 УК за подстрекательство
или пособничество в изменении данных. Кроме того, при использова-
нии специальных форм вируса может быть назначено наказание за
подстрекательство или пособничество в соответствии с нормами,
приведенными в разделе 6.6. Открытый призыв к преступным деяниям
может рассматриваться по N 111 УК.
Представляется целесообразным различать передачу исходного
текста отдельным личным знакомым программиста и публикацию прог-
- 105 -
раммы в печати или через почтовые ящики, доступные большому числу
анонимных пользователей.
аа) Распространение исходного текста
Распространение исходного текста можно рассматривать как
подстрекательство к изменению данных (или к другим
преступлениям), если программист оговаривает с получателем исхо-
дного текста соответствующии линии поведения, в том числе и в
скрытой форме, а получатель распоряжается сгенерированным им
исполняемым вирусом преступным образом. При отсутствии сговора, в
том числе скрытого, подстрекательство как таковое не может быть
инкриминировано.
Проблематичным является доказательство вины за пособничество
в изменении данных ( или в других преступлениях). Если получатель
исходного текста генерирует из него работоспособную программу-
вирус и использует ее преступным образом, то программист является
пособником неправомерного действия, совершенного главным испол-
нителем преступления. Вопрос состоит лишь в степени его виновно-
сти, т.е. в преднамеренности деяния (пособничество по неосторож-
ности не наказуемо!). Определяющим здесь является осознанность
действий программиста в тот момент, т.е. понимание им всех сущес-
твенных признаков правонарушения или деяния (в любом случае усло-
вно). Программист должен по крайней мере сознавать, что своими
действиями он способствовал совершению другим преступного деяния.
При этом не требуется знать о подробностях самого деяния, т.е.
кто его совершил и против кого оно было направлено. Даже отрица-
ние программистов факта противоправного использования его исход-
ного текста недостаточно, чтобы снять объвинение в преднамерен-
ности. Поэтому исходный текст можно передавать только лицам, кото-
рых нельзя заподозрить в злонамеренном его использовании (или
генерируемого из него вируса).
бб) Публикация исходного текста
Публикация исходного текста программы-вируса не квалифициру-
ется как пособничество или подстрекательство.
Согласно N 27 УК, подстрекательством не считается даже призыв
к противоправному деянию, поскольку подстрекательство предполагает
- 106 -
преднамеренное действие, которое здесь отсутствует. Преднамерен-
ность имеет место, если подстрекатель, даже если его действия не
направлены против конкретного лица, должен по крайне мере обра-
титься к определенному им индивидуально кругу лиц. Такой состав
отсутствует при публикации в вышеописанных средах. По этой же
причине отпадает обвинение в наказуемом пособничестве.
Тем нем менее в публикации исходного текста может
заключаться состав преступления. Здесь можно усмотреть
общественный призыв к преступным действиям в смысле N Ш УК.
Согласно N Ш УК, подстрекателем считается лицо, призывающее
(с успехом) к противоправным действиям на общественном собрании
или путем распространения печатных материалов. Согласно N Ш П УК,
даже неудавшаяся попытка наказывается лишением свободы сроком до
пяти лет или денежным штрафом.
Признаком события "призыв" считается воздействие на другое
лицо с целью принятия им решения о совершении наказуемых
действий. Это может происходить в форме кажущегося отговаривания
("обязательно избегайте"...). Чтобы избежать наказания по N Ш
УК, важно не пытаться спровоцировать к совершению противоправного
деяния и не намекать на возможность такого решения.
Из сказанного следует, что сама по себе публикация исходного
текста программы-вируса еще не несет в себе состава преступления
по N Ш УК. В зависимости от обстоятельств конкретного случая из
контекста публикации (например, призыва бойкота переписи населе-
ния может сложиться внешнее впечатление, что речь идет о призыве
к противоправному деянию (здесь: применение вируса против перепи-
си населения).
Поэтому при публикации исходного текста следует обращать
внимание на то, чтобы из контекста не сложилось ложное (!?) впе-
чатление, что автор призывает к определенному действию. Дополни-
тельное серьезное предостережение о вреде вируса и чисто
"научная" мотивировка публикации, повидимому, не достаточны,
чтобы исключить подозрение в преступлении по N Ш УК.
Примеры:
В журнале или в почтовом ящике опубликован вирус, в качестве
комментария сказано: "Опробуйте этот вирус на одном из "хороших
друзей". Здесь применим N Ш УК. Но комментарий типа : "Осторожно,
вирус опасен! Смотрите, чтобы он не попал в компьютер, предназна-
ченный для переписи населения...!" уже является проблематичным.
- 107 -
Это может быть безобидная, ненаказуемая проделка, но может быть и
открытый призыв, который влечет наказание по N Ш УК. Все зависит
от смысла сомнительного комментария и от того, как он был понят
адресатом. Нельзя однозначно ответить на вопрос, есть ли состав
преступления по N Ш УК в этом абстрактном примере. Но автор ком-
ментария в любом случае удивится, если ему придется обстоятельно
беседовать с прокурором относительно как будто безобидных слов...
в) Передача и публикация исполняемой программы-вируса
Передача исполняемой программы-вируса намного опаснее, пере-
дачи исходного текста. Тем не менее возможная виновность оценива-
ется так же , как сказано выше.
Но в отношении гражданско-правовоой ответственности следует
особо учитывать, что - в еще большей степени, чем при передаче
исходного кода - безусловно, необходимо ясное указание на опас-
ность программы, а также способа обращения с ней. В противном
случае при нанесении пользователю ущерба за счет действия вируса
лицо, передавшее или опубликовавшее программу, несет ответствен-
ность за позитивное нарушение договора и обязано возместить причи-
ненный ущерб, если между партнерами существуют договорные обяза-
тельства (например, между владельцем и пользователем коммерческо-
го почтового ящика).
Таково мнение Штефана Аккермана о правовом положении. Но
даже с помощью таких подробных суждений невозможно ответить на
все вопросы. В заключение обозначим возможные проблемы, сформули-
ровав три простые вопроса:
а) нарушает ли авторское право владелец ЭВМ, обнаруживший у
себя чужой вирус?
б) может ли автор вируса требовать выдачи или уничтожения
инфицированного программного обеспечения, содержащего
программу-вирус?
в) может ли изготовитель программного обеспечения, подверг-
шегося заражению вирусом, обвинить владельца ЭВМ в предна-
меренном изменении программного обеспечения?
До момента сдачи данной книги в печать не нашлось никого,
кто смог бы или захотел бы внятно ответить на эти вопросы, так
как к каждому вопросу пришлось бы составлять заключение объемом в
- 108 -
целую страницу. В случае правового конфликта, несомненно, вначале
начнется спор экспертов по техническим вопросам, в котором судьи,
прокурор и прочие участники процесса будут чувствовать себя дово-
льно неуютно.
7. Примеры манипуляции
Разумеется, в этой главе невозможно рассмотреть как все виды
игровой компьютерной обработки данных, так и ее мыслимые послед-
ствия. Будут представлены несколько характерных случаев, но ска-
занное ни в коей мере нельзя рассматривать как введение в исполь-
зование компьютерных вирусов.
7.1 Диагноз: поражение вирусом?
С тех пор, как Фред Коэн вынес на обсуждение тему о виру-
сах, в широкой прессе постоянно сообщалось о нарушениях в работе
вычислительных устройств, вызванных компьютерными вирусами. К
числу наиболее известных "жертв" относятся ЭВМ высших учебных
заведений Гамбурга и Берлина и ЭВМ Федерального министерства по
охране окружающей среды. Однако получить подробную информацию об
этих событиях чрезвычайно трудно, и поэтому можно предположить,
что недостаточно компетентные журналисты превратно истолковали
некоторые высказывания ответственных лиц за эти системы, что и
привело к появлению подобных сообщений. Верно установлено, что во
всех расследованных автором случаях ссылка на компьютерные вирусы
становилась сомнительной, как только выяснили, что случилось с
зараженными программами. А именно, по утверждению занятых этими
вопросами сотрудников, такие программы всегда уничтожались. Поэ-
тому до сих пор не удалось получить определенных доказательств
наличия вирусной атаки. Некоторые случаи, которые тем не менее
удалось задокументировать, рассмотрены ниже.
1. Рождественский вирус
Эта программа (VM/CMS), вероятно, известна большинству чита-
телей, хотя бы по названию. Она достаточно быстро распространилась
(по-видимому из Клаусталя) через сеть FARN/Bitnet (научная сеть)
и вскоре обнаружилась даже в Токио. Распечатка программы приведе-
- 109 -
на в разделе 11,.3.
2. Венский вирус
Чрезвычайно искусно запрограммирован компьютерный вирус(VS-
DOS), действие которого более подробно описано в 11.3. Эффект
манипуляции с данными здесь едва ли можно просчитать. В самом
безобидном случае происходит крах системы. Распространенность
вируса очень трудно оценить, так как задание на выполнение мани-
пуляций вирусом активируется только при определенных условиях
(деление без остатка системного времени в секундах на восемь).
3. Израильские вирусы для ПВМ
Конечно, все было не так плохо, как описано в одной из буль-
варных газет в начале 1988 г. : "программа-убийца: первый компью-
тер при смерти". Вирус в центральной ЭВМ Иерусалимского универ-
ситета оказался "уткой". То что в этой статье понятие "хакер"
стало синонимом "саботажник" вполне соответствует стилю и уровню
данной газеты, но одновременно служит подтверждением того, что
посредники в передаче данных все чаще получают ярлык уголовных
преступников.
Расследование по данному газетному сообщению показало, что в
этом университете действительно появились вирусы, но не на боль-
шой ЭВМ, а в ПЭВМ, работающей под VS-DOS.
За очень короткий срок был разработан антивирус. Но так как
слабые места этой программы были известны (небольшая модификация
вируса делала ее бесполезной), программа не была опубликована.
4. Программный вандализм
В разных университетах США был обнаружен вирус, поражающий
процессор команд. При каждом обращении к дискете или диску с
помощью команд TYPE , COPY, DIR и т.д. происходило заражение
файла COMMANDS.COM на соответствующем дисководе, причем файл
перезаписывался собственными методами. При четвертом поражении
все имевшиеся носители данных были стерты полностью, т.к. были
перезаписаны дорожки начальной загрузки и FAT (таблица размеще-
ния файлов).
- 110 -
Четыре сгенерированные дочерние программы обладали теми же
свойствами...
Этот вирус можно обнаружить по измененной записи даты и
времени создания файла.
5. Набор для конструирования
Между тем появилась разработанная в ФРГ для ПЭВМ "Атари"
программа конструирования вирусов VCS ("набор для конструирования
вирусов"). Программа предоставляет пользователю широкие
возможности создания вирусов по собственному вкусу. Например, с
помощью меню можно выбирать расширение поражаемых файлов, пора-
жаемый вирусом дисковод и задание на выполнение манипуляций.
Кроме поставляемых вместе с программой заданий на выполнение
манипуляций над данными (стирание диска, сброс системы и т.д.)
можно включать в конструируемые вирусы и разработанные самим
пользователем задания на выполнение манипуляций.
Поскольку изготовитель вполне понимает опасность такого
"конструктора", одновременно поставляется антивирус, который
находит разбежавшиеся" вирусы и стирает соответствующие програм-
мы. Подчеркивается, что эта программа сможет быть дана напрокат
другим пользователям.
Один из текстов показал, что созданные вирусы могут быть
заблокированы как с помощью защиты записи, так и путем
установки атрибута файла "только чтение". Совместно поставляемый
антивирус обнаруживает только зараженные программы, а не
собственно вирусы. Цена программы, по данным изготовителя, около
100 марок ФРГ.
6. Вирусы для системы "Амига"
Концепция системы "Амига" является идеальной для применения
вирусов. Здесь кратко рассматриваются два ранее обнаруженные
вируса.
Вирус
Эта резидентная программа-вирус распространяется только при
сбросе системы и при каждой смене дискеты копируется в блок
начальной загрузки дискеты. Она сообщает о себе после успешного
размножения (после 16-го сброса) текстом:
Something wonderfull has happend, Your Amiga is alive
- 111 -
(""Произошло чудо, Ваша "Амига" ожила...)
По-видимому, работоспособность системы существенно не
нарушается.
"Разбойничий " вирус
Этот вирус кропирует себя при каждой смене дискеты в блок
загрузки и заносить свой номер поколения в "дочернюю" программу.
Вирус содержит еще один внутренний счетчик с шестнадцатеричным
смещением 3D4, который примерно через 5 минут вызывает фатальный
сбой системы и после каждого 20-го сбороса перезаписывает
дорожку 880. Этот вирус нельзя удалить с помощью команды
установки, а только путем перезаписи блоков 0 и 1 нулевыми
байтами.
Обе эти программы-вирусы несовместимы друг с другом; их
комбинации вызывают "медитации гуру" ПЭВМ "Амига" (фатальный сбой
системы). Обе программы устойчивы к сбросу (они удаляются из
памяти только после выключения питания не менее чем на 5 с) и
содержат текстовый вирус, благодаря чему их относительно легко
локализовать.
Вполне уместен вопрос пользователя: "Как можно обнаружить
заражение вирусами?"
Ответить на этот вопрос практически невозможно.
Разумеется, существуют определенные признаки вирусного заражения,
но окончательное доказательство может дать только системный
программист, если ему удается расшифровать структуру вируса. Не
нужно много фантазии, чтобы прийти к заключению, что проверка
составных частей программы, которая даже требует для ПЭВМ
значительных затрат, едва ли реализуема на мини- или больших ЭВМ.
Поэтому в сложных системах отказываются от такой сплошной
проверки и целиком генерируют систему заново.
Поскольку в центре внимания данной главы оказалась
операционная система VS-DOS, приведено несколько рекомендаций по
распознаванию вирусов. "Байрише хакерпост" опубликовала в декабре
1986 г. список программ, которые, очевидно, следует признать
вредными. Хотя тот список, взятый из английского оригинала,
авторы воспринимают не вполне серьезно,- назовем здесь еще раз
наиболее опасных "вредителей". Все перечисленные ниже программы
относятся к числу "троянских коней", т.е. наряду с нормальными
функциями они выполняют и другие задания.
- 112 -
ARC513.EXE При запуске разрушает дорожку дискеты или
диска.
BALKTALK Все версии этого манипулирующего вируса
разрушают сектора диска.
DISKCAN Существует под разными именами. Первоначаль-
ное назначение - отыскание дефектных
секторов. Создает дефектные сектора.
DOSKNOWS Разрушает таблицу размещения файлов, т.е.
делает диск или дискету непригодными для
применения. Длина оригинальной версии точно
5376 байт. Другая длина программы свидетель-
ствует об ее изменении.
EGABTR Предназначена будто бы для улучшения дисплея
EGA. Гасит все и выдает сообщение "Arf! arf!
Got You" ("С нами Бог").
FILER Стирает данные.
SECRET Программа "секретная" в буквальном смысле
слова. Предотвращает любой несанкционирован-
ный доступ к диску путем форматирования пос-
леднего.
STRIPES Во время чтения пароля выводит на экран амери-
канский флаг, а затем загружает файл
STRPES.BQS.
VDIR Разрушитель дисков; подробного описание нет.
Разумеется, это список не полон и не актуален, поскольку
команда DOS RENAME уже известна многим пользователям.
При обнаружении одного или нескольких признаков, перечислен-
ных ниже,рекомендуется тщательно проверить программное обеспе-
чение:
1. Программы начинают работать медленнее обычного.
2. Программы выполняют такие обращения к дискам или диске-
там, которые прежде не выполнялись.
3. Возросло время загрузки.
4. Необъяснимые отказы системы.
5. Программы, которые прежде загружались без проблем, преры-
ваются с выдачей сообщения "Недостаточен объем памяти."
6. Увеличение, занимаемого программами объема памяти.
- 113 -
7. Неизвестные и /или необъяснимые сообщения об ошибках.
8. Уменьшение объема памяти на дискете или диске, хотя доба-
вление или расширение файлов не производилось.
9. Резидентные программы ( например, side kick) исполняются
неверно или вообще не исполняются.
Любой читатель может сказать, что некоторые из этих явлений
он уже многократно наблюдал на своей системе. Это неудивительно,
если вспомнить, насколько сложными стали за последнее время "ма-
лые" машины,работающие под МS-DOS.
Но этот же читатель подтвердит, что подобные ошибки встреча-
лись лишь при использовании новых или измененных программ (разу-
меется, при исправной аппаратуре). Если же Вы никогда не имели
дела с такими ошибками, попробуйте одновременно загрузить в ЭВМ
несколько резидентных программ. Вы с гарантией получите то или и
иное сообщение об ошибке.
Такие ошибки могут быть вызваны проблемой "переносимости",
если, например, "разнятся" адреса прерывания нескольких программ.
Естественно, аналогичная проблема "переносимости" существует и
для вирусов. Они должны работать тайком, чтобы пользователь этого
не заметил. Это не всегда легко выполнить. Даже крупным поставщи-
кам программного обеспечения приходится сталкиваться с проблемой
переносимости и жизнестойкости своих программ, а разработчик
имеет дело с аналогичными, если не с еще более сложными проблема-
ми. Обычно для исчерпываюшей проверки не хватает времени, а поэ-
тому вирусы часто несовершенны и содержат ошибки.
7.2 Вирусы, приводящие к фатальным ошибкам
Не все ошибки, вызываемые вирусами, являются ошибками прог-
раммиста. Некоторые разновидности вирусов предназначены для
генерации отказов системы. Самый распространенный из этих отказов -
фатальная ошибка системы. В момент, когда система не допускает
никакого внешнего вмешательства, установить причины отказа нево-
зможно.
Здесь очевидные преимущества по сравнению с VS-DOS имеют
другие операционные системы. Типичный пример этого - так называ-
емый SYSLOG, файл, в котором регистрируются все сообщения об ошиб-
ках. Даже при фатальной ошибке системы с его помощью при достато-
чно высоком профессионализме можно определить причину аварии.
- 114 -
Принцип действия "системного журнала" SYSLOG достаточно прост им
может быть реализован даже при поддержке VS-DOS.
По своему назначению SYSLOG аналогичен "кнопке бдительности"
машиниста тепловоза. Если он не нажимает кнопку или нажимает ее
нерегулярно, поезд останавливается.
В ЭВМ регулярно обслуживается определенная стандартная прог-
рамма. Если вдруг такого обслуживания не происходит, все содержи-
мое ОЗУ заносится в память. Из этого файла инженер-системотехник
может определить причину ошибки.
Вызываемые вирусом фатальные ошибки системы могут иметь
различные причины. Одна из них была уже описана в разделе 7.1,
это ошибка программирования в программе-вирусе. Вторая причина -
несовместимость с системой, т.е. непереносимость программы в
данную систему, или несовместимость с установленным ПО. Но третья
и наиболее существенная причина - преднамеренные аварийные ситу-
ации. То есть вирусы умышленно запрограммированы так, чтобы пара-
лизовать систему. Аварийные ситуации могут иметь различную форму,
начиная от набора меняющихся на экране картинок, сопровождающего-
ся на старых бытовых компьютерах пронзительным визгом динамиков
до "тихой аварии", которая проявляется в невозможности любого
ввода с клавиатура. В большинстве случаев невозможен и "горячий
запуск" (в VS-DOS клавиши Alt, Сtrl и Del) не срабатывают клавиши
сброса и помочь может только отключение питания. Так как некото-
рые ЭВМ снабжены термозащитой, блокирующей повторное включение
сразу после выключения, такая авария в некоторых случаях требует
вынужденной 15-минутной паузы перед повторным запуском. Нетрудно
представить, какой нервный шок может вызвать такая авария, проис-
шедшая спустя 30 минут после начала работы.
Как вести себя в подобном случае?
Разумеется, фатальная ошибка системы в описанной выше форме
не обязательно вызывается вирусами. Авария, повторяющаяся каждые
30 минут, может быть вызвана аппаратным сбоем. Невысокое качество
корпуса ИС, "холодная пайка" или дефект чипа являются источниками
сбоев, проявляющиеся только при нагреве оборудования. А посколь-
ку ЭВМ достигает своей "рабочей" температуры спустя некоторое
время после включения, ошибка появляется не сразу. Аварии такого
рода требуют тщательной проверки системы. Например, вначале нужно
отключить ЭВМ от сети , а затем повторно включить, так как при
"горячей загрузке" не всегда полностью очищается ОЗУ. Затем сле-
- 115 -
дует вновь загрузиться с новой дискеты, полученной от изготовите-
ля и снабженной защитой записи, и в течение достаточно длительно-
го времени поработать как будто на "холостом ходу".
Если при этом вновь обнаружатся ошибки, причину следует
искать в дефектах аппаратуры или в ее несогласованности с исполь-
зуемой операционной системой.
Следующий шаг в поиске ошибки - загрузка диагностической
дискеты, причем и здесь следует обязательно воспользоваться ори-
гиналом, защищенным от записи. Если при такой проверке аппаратура
окажется исправной, начинается последовательная и обстоятельная
проверка операционной системы и прикладных программ. Таким очень
трудоемким и отнимающим много времени способом можно локализовать
и затем удалить ошибочную, несовместимую или выполняющую приво-
дящие к ошибке манипуляции программу. Если, тем не менее, ошибка
повторяется, то есть основание полагать, что имеет место зараже-
ние вирусом, перенесенным на другие программы. Теперь следует
сравнить используемые программы с контрольными копиями (разумеет-
ся, защищенными от записи) с использованием функции СОМР операци-
онной системы MS-DOS. При наличии отклонений не обойтись без
помощи инженера-системотехника.
7.3 Вирусы, повреждающие аппаратуру
Принято считать, что повредить или даже разрушить аппаратуру
компьютера с помощью программных команд нельзя. Несомненно, изго-
товители постарались как можно защитить системы от ошибок прог-
раммирования. Тем не менее, в свое время одному из распространен-
ных бытовых компьютеров можно было причинить неисправимый ущерб с
помощью команды РОКЕ. Хотя пробел был со временем устранен, нес-
колько ПЭВМ стали жертвой этой команды.
К счастью, сегодня едва ли существуют такие простые способы
повреждения аппаратуры. Но создатели "программ-убийц" также очень
изобретательны. Хорошо, что описанные ниже разрушающие программы
до сих пор не встречались в форме вирусов. Например, существует
стандартная программа, управляющая контроллером дискеты, который
перемещает головку записи-чтения на несуществующую внутреннюю
дорожку. В некоторых дисководах это приводит к механическому
заклиниванию головки за один из внутренних держателей, причем
освободить головку можно только вручную, открыв дисковод.
- 116 -
Второй пример - воздействие на внешнее устройства. Так,
например, в наборе команд многих принтеров имеется команда обрат-
ной перемотки бумаги. Она используется при работе в графическом
режиме или при юстировке отключения подачи бумаги. Но если попы-
таться обработать большое количество листов с использованием
команды обратной перемотки, почти наверняка внутри принтера обра-
зуется бумажный затор, который устранить можно только путем раз-
борки и чистки принтера. Если одна из программ при отсутствии в
течение длительного времени команд с клавиатуры, т.е. в отстут-
ствие оператора вызовет такую команду обратной перемотки, то по
возвращении оператора на свое рабочее место он может встретиться
с неприятной неожиданностью.
Последний пример из этой серии - программа стирания контро-
льной дорожки на подключенном жестком диске. Она делает это нас-
только основательно, что диск уже нельзя спасти даже при повтор-
ном форматировании. Хотя до сих пор не удалось провести экспер-
тизу этой программы, но подтверждения ряда баварских хакеров не
вызывает никаких сомнений в достоверности описаний. Эта программа
упоминается в ноябрьском выпуске "РМ- компьютерхефт".
В какой-то степени "особое место" занимают программы, ущерб
от которых не поддается измерению, поскольку они не приводят к
непосредственному разрушению, а лишь увеличивают износ оборудова-
ния. Например, небольшое изменение в CONFIG.SYS приводит к значи-
тельному увеличению числа обращений к жесткому диску. По прежней
работе автору известна мини-ЭВМ с крайне неудачным выбором объема
основной памяти - всего 128 Кбайт. Поэтому операционная система,
даже не при пиковой загрузке, непрерывно занята загрузкой и выг-
рузкой сегментов программ. Подобные операции дают за сутки боль-
шую нагрузку на дисковод, чем за неделю работы в нормальных усло-
виях.
7.4 Вирусы, имитирующие ошибки
Еще одна проделка вирусов - демонстрация пользователю фоку-
сов с ошибками в его системе. Подобные "ложные ошибки" с некото-
рых пор используют производители программного обеспечения, прав-
да, не в связи с вирусами, чтобы разоблачить лиц, незаконно копи-
рующих программы. Такие ошибки выводят, например, следующие сооб-
щения:
- 117 -
"Номер внутренней ошибки : 084876 в позиции РС 5869. Запиши-
те и сообщите , пожалуйста, изготовителю".
Конечно, такой ошибки вообще не существует. Выдача сообщения
инициирована незаконным копированием; оно содержит ничто иное,
как серийный номер программы, с помощью которой изготовитель
может установить, кто первоначально ее получил.
Можно было ожидать, что такие методы будут использованы и
составителями вирусов. Безобидным примером вируса, имитирующего
ошибки, служит программа Б.Фикса "час пик", которая имитирует
неисправную клавиатуру и при каждом нажатии клавиши создает шум в
динамике системы. Это происходит спустя некоторое время после
включения, и поэтому пользователь легко приходит к выводу, что в
клавиатуре происходит тепловой отказ.
В принципе, нужно отличать программы, которые лишь выдают
сообщения об ошибке на экран или на печать , от программ, которые
действительно производят ошибки. В данном случае трудно найти
границу между имитационными и разрушительными вирусами. Вирус,
который раз за разом помечает все большее число секторов на жест-
ком диске как дефектные и тем самым уменьшает емкость памяти,
нельзя однозначно отнести к одной из этих групп. В самом деле,
хотя здесь имитируется сообщение об ошибке, в действительности
аппаратные средства исправны: диск можно привести в порядок путем
повторного форматирования. И все же, отдельных пользователей
можно таким образом вынудить к приобретению нового диска, если
они увидят, число дефектных секторов непрерывно возрастает.
В принципе, фантазия составителей вирусов в части моделиро-
вания неисправностей ЭВМ беспредельна. Чтобы привести пользовате-
ля в отчаяние, достаточно через неравные интервалы времени выда-
вать сообщение об ошибке PARITY CHECK 1. Уже приведенный выше
пример с жестким диском показал, что подобные программы могут
значительно повысить объем продаж оборудования и поэтому вполне
вероятно, что постоянное сокращение рынка ЭВМ может побудить
некоторых коммерсантов к использованию вирусов, способствующих
увеличению сбыта.
7.5 Цель - архивы данных
Самый большой ущерб, с более тяжкими последствиями чем при
использовании вирусов, повреждающих аппаратуру, могут причинить
- 118 -
программы, действующие на архивы данных. Здесь наиболее безобид-
ный вариант - уничтожение архивов данных. В подобном случае можно
чаще всего выйти из положения с помощью резервных копий. Более
стойкий эффект дают изменения в массивах данных, которые не так
просто обнаружить,. Правда, такие действия часто требуют деталь-
ного знания структур данных, но даже и при отсутствии таких све-
дений могут нанести значительный ущерб.
Пример:
Найти ASCLL символ "9" (39H)
найден
нет да
изменить "9" на "8"
Запомнить измененный символ
конец программы
Очевидно, не требуется уточнять последствия такой манипуля-
ции, если представить, что она выполнена на ЭВМ предпринимателя в
массивах списков на выплату зарплаты.
Другая форма манипулирования данными - "разбухание" архивов.
Если файл клиентов заполнить вымышленными именами, то не только
увеличивается время обращения. Даже при чисто почтовых операциях
затраты резко увеличиаются, если получателей рекламных сообщений
просто не существует. Это приводит не только к бессмысленным
почтовым расходам и потерям рекламных материалов. Если раздутый
таким образом файл передать в резервный архив, то почти невозмо-
жно осовободить его от нежелательных клиентов. Именно манипуляции
такого рода в значительной степени затрудняют определение действи-
тельного объема убытков, поскольку за счет увеличения записей в
файле возрастает продолжительность поиска и распечатки. А можно
ли вообще выразить в деньгах дополнительный износ системы, время
ожидания оператора, потери памяти т.д.?
7.6 Кража машинного времени
Чем больше занимаешься манипуляциями, выполняемыми вирусами,
тем более неопределенными становятся границы дозволенного. Это
особо относится к краже машинного времени. Поскольку любая из
находящихся в ЭВМ программ занимает определенную часть машинного
времени - пусть даже только время загрузки, то, следовательно,
вирусы всегда приносят ущерб пользователю, потребляя машинное
- 119 -
время. Так как время работы программ-вирусов относительно мало,
пользователь вначале это не ощущает. Но по мере снижения произво-
дительности ЭВМ обнаруживается ущерб, который теоретически можно
выразить в деньгах. На практике точное определение величины ущер-
ба представляет почти неразрешимую проблему, так как едва ли
можно установить действительные потери машинного времени с момен-
та внедрения вируса.
Сказанное выше относится не только собственно к вирусам,
потребляющим машинное время. Это справедливо и для программ-виру-
сов, замедляющих работу системы, т.е. целенаправленно разработан-
ных вирусов-саботажников. Опасность обнаружения такого вируса на
ранней стадии сравнительно невелика, если временные задержки
малы. Быстродействие системы снижается, причем причину этого ищут
в незаметно вызываемых системных заданиях. Если такой поиск оказы-
вается безуспешным, приходится идти на расширение существующей
или на введение новой вычислительной системы, поскольку, по-види-
мому, перестала удовлетворять существующим требованиям.
Описанные до сих пор варианты кражи машинного времени имели
чисто деструктивный характер. Разумеется, вирусы позволяют обойти
право доступа, т.е. дают возможность постороннему лицу работать с
системой. Это может выглядеть , например, так:
На одной из ЭВМ, оснащенных наборным модемом (коммерческий
почтовый ящик, вычислительный центр), с помощью "забытой" опера-
тором дискеты внедряется вирус, который в течение дня ведет себя
совершенно незаметно и, кроме самораспространения, не проявляет
никакой активности. Только когда системное время достигает
03:00:00, вирус становится активным, набивая вызывной номер свое-
го создателя и открывая ему доступ к системе. В данном случае
составитель вируса не только добрался бы до данных владельца, но
тому пришлось бы заплатить за использование телефонной линии при
этом несанкционированном доступе. Подобным образом хакеры не так
дано получили доступ к большой ЭBМ:
На одной из систем удалось поставить задание "разрешить
доступ". Это задание под разными именами было многократно внед-
рено в систему. Даже если ответственные за систему обнаруживали
одну из этих программ, оставалось еще достатоно копий под другими
именами, чтобы продолжать "игру" еще некоторое время.
7.7 Получение выгоды
- 120 -
Разумеется, программист внедряющий вирус, не всегда причиня-
ет ущерб другим лицам или организациям. Значительно более эффек-
тивным для разработчика может стать получение собственной выго-
ды. Конечно, это можно достичь и за счет других лиц. Но более
заманчивой представляется, например, возможность повысить собст-
венный оклад. Правда, это рискованное предприятие, что понимает
не всякий. По словам одного из страховых экспертов, во всех став-
ших известными манипуляциях такого рода можно было проследить
путь денег. Самая крупная из известных махинаций -случай в боль-
шом торговом предприятии, когда удалось присвоить несколько мил-
лионов. Но и здесь удалось проследить путь денег и разоблачить
преступника. Правда, до ареста пришлось сделать несколько (не
вполне легальных) шагов, но в конечном счете справедливость(?)
восторжествовала. Многим эапомнилась фраза преступника, в которой
он выразил удивление, как просто все случилось.
С тех пор в сфере защиты ЭВМ было сделано многое, но тем не
менее компьютерные системы все еще подвержены манипуляциям, при-
чем несущественно, вызваны ли эти манипуляции вирусами или други-
ми способами. И хотя кажется очень легко и просто применить для
этой цели вирусы, принципиальная структура системы расчетов оста-
ется непоколебимой. Поэтому того, кто надеется легко набить себе
карман с помощью компьютерных вирусов, ждет жестокое разочарова-
ние.
7.8 Шантаж
Особенно неприятный аспект - необычайно простая возможность.
Пользователи, которые зависят от своей компьютерной системы и к
тому же располагают, значительными финансовыми средствами легко
становятся жертвой шантажа, поскольку эти лица благодаря примене-
нию ЭВМ сами подвергли себя риску. Наибольшей опасности подверга-
ются банки, страховые общества или большие торговые фирмы. Эти
пользователи опасаются финансового ущерба не столько за счет
потери машинного времени, сколько из-за потери доверия у своих
клиентов.
Стали известны многочисленные случаи вымогательства - требо-
вания выкупа за похищенные носители данных, за отказ от публика-
ции незаконно добытых сведений из архива данных. Правда, подроб-
- 121 -
ности этих случаев едва ли удается узнать, поскольку пострадавшие
стараются не обращаться в полицию из опасения потерять престиж.
Если преступнику описанным в разделе 3 способом удалось привести
в негодность данные какого-либо предприятия, то это предприятие
так или иначе вынуждено потратить немалые денежные средства на
восстановление этих данных. Даже если эти деньги не попадут к
преступнику, сумма, которую придется выплатить инженерам-системо-
техеникам за реконструкцию данных, также оказывается значитель-
ной. Сюда же добавляются потери из-за простоя ЭВМ.
По официальным данным, во всех этих случаях компьютерные
вирусы не использовались. Поскольку крупные пользователи очень
хорошо осознают опасность потери носителей данных, резервные
копии находятся за толстыми стенками бронированных сейфов, часто
под защитой вооруженной охраны. Но от нападения компьютерных
вирусов не может защитить даже вооруженный охранник.
7.9 Промышленный и прочий шпионаж
В предыдущих рассуждениях, собственно говоря, преследовалась
цель показать в доступной форме, что программы-вирусы - это особо
тонкий способ внедрения в чужие программы. А начав говорить о
внедрении, о тайной деятельности, легко выйти на разведслужбы.
Едва ли можно себе преставить, что БНД или ЦРУ упустят такую
фантастически заманчивую возможность внедрения чужих программ во
вражеские ЭВМ. Эти предположения лишь подтверждают заявления из,
как обычно говорят, хорошо информированных источников :"... давно
имеются подробные сведения о различных типах вирусов, о технике
изготовления и заброски в компьютерные системы любого порядка
сложности".
Такое высказывание нельзя истолковать иначе, как подтвержде-
ние использования вирусов. Так как эти давно известные сведения "
до сих пор хранятся в тайне от общественности, можно сделать
вывод об их военном применении. Разумеется (?!), никто из собесе-
дников автора никто не внушал ему этой мысли. Весьма вероятно,
что вирусы уже используются в военной сфере. Но можно быть уве-
ренным в том, что любое "компьютеризированное" государство мира
занимается этим в тайне от общественности.
Вполне естественно предположение :"Что годится военным, то
подходит и промышленности". Общеизвестно, что промышленным шпио-
- 122 -
нажем занимаются во всем мире. По сведениям БНД, восточные раз-
ведслужбы круглый год получают информацию почти из первых рук -
за счет использования "компьюмитирующего излучения". Здесь ука-
зывают паразитное излучение терминала: в котором естественно,
содержится информация о программах и данных. Эта информация при-
нимается и обрабатывается. Если такие же методы используются для
промышленного шпионажа, то почему бы не включить в арсенал промы-
шленных шпионов и компьютерные вирусы? "Преимущества" по сравне-
нию с традиционными средствами разведки очевидны. А разве органи-
зации, занимающиеся промышленным шпионажем, не имеют у себя ква-
лифицированных программистов, способных создавать вирусы?
7.10 Преимущества и недостатки паролей
Для защиты файла или программы от несанкционированного дос-
тупа обычно используются пароли. Если как в старых программах
пароли в кодах ASCII еще можно было найти где-либо в кодах прог-
раммы, пользуясь командой DEBUG, в последнее время методы защиты
с помощью паролей стали намного совершенней. Чтобы сегодня найти
пароль в ЭВМ, нужно затратить немало труда, тем более, что поль-
зователь старается усложнить задачу, используя в качестве пароля
имя жены или ребенка. Но поскольку пароли приходится вводить с
клавиатуры, можно легко догадаться, что резидентная программа
поддержки клавиатуры поможет овладеть паролем. Проблема состоит
лишь в том, чтобы поставить эту программу на ЭВМ. Часто практику-
ется внедрение, например, с помощью "троянского коня" (см. 7.1).
Здесь вирусы дают хакеру новые возможности проникновения. Сказан-
ное относится не столько к отдельным ПЭВМ, сколько к ЭВМ коллек-
тивного пользования, так как здесь существует множество приорите-
тных уровней. В то время как в ПЭВМ однажды введенная программа
может контролировать ОЗУ целиком, в больших ЭВМ и вычислительных
сетях существуют программные и/или аппаратные барьеры, разделяю-
щие отдельных пользователей друг от друга. Так как вирус распрос-
траняется легально, не пытаясь прорвать эти барьеры, риск его
обнаружения невелик.
Если вирус с целью выполнения каких-либо манипуляций проник в
область высшего приоритета, единственная для него проблема - не
быть обнаруженным. Этого достаточно легко достичь в ЭВМ с большим
объемом памяти. В то время, как пользователь уверен, что работает
- 123 -
в защищенной системе, что все его секретные данные в полной сох-
ранности, вирус прилежно старается записать все вводимые команды
в файл, недоступный пользователям, но в любой момент открытый для
инициатора вирусного нападения.
Полагаясь на надежную защиту системы, пользователь доверят
ей данные и сведения, которые он хранил бы в бронированном сейфе.
Даже если где-то однажды обнаружится, что пароли ЭВМ стали досту-
|
