Компьютерные науки - Учебники на русском языке - Скачать бесплатно
которые позволяют оцифровывать и вводить любые перемещения пальцев
руки. Недалек тот день, когда участники международного коллектива
разработчиков смогут собираться в виртуальном конференц-зале, де-
монстрируя друг другу различные проектные решения, обсуждая и тут
же внося изменения. При этом каждый участник будет видеть вирту-
альные тела других участников, сможет подходить к ним и разговари-
вать, хотя к сожалению, при встрече со знакомой девушкой нельзя
будет ее обнять. Но это все в будущем. А сейчас вернемся к истории
компьютерных вирусов.
Упомянутые выше романы положили начало литературному направлению
"околовирусного" толка, в котором концепция вирусов разрабатывает-
ся с различных точек зрения. В частности, сюжет французского "шпи-
онского" детектива "Softwar: la guerre douce" Терри Брентона
(Thierry Brenton) и Дениса Бенеша (Denis Beneich), опубликованного
в 1985 г. [Brenton85], основан на продаже СССР американского су-
перкомпьютера для метеорологической сети. Вместо блокирования
сделки американская администрация, демонстрируя напускное нежела-
ние продать компьютер, санкционирует его доставку в СССР. В то же
время в системное программное обеспечение компьютера заносится
"логическая бомба". При определенных условиях она "взрывается" и
уничтожает все программное обеспечение в советской сети. В той ме-
ре, в которой этот сюжет представляет собой реальную возможность,
это самая настоящая война программ с агентом-подрывником в качест-
ве действующего лица. Поскольку метеорологическая сеть так или
иначе связана с авиационными и ракетными системами, роман застав-
ляет нас задуматься. Этот поток научно-фантастической литературы,
посвященной вирусам, безусловно сыграл определенную роль в популя-
ризации идеи и привлечении к ней внимания студенческой молодежи
(см. ниже). Из последних романов этого направления следует отме-
тить второй роман В.Гибсона "Mona Lisa Overdrive", вышедший в
1988 г. [Gibson88].
1.1.3. Apple II и BBS создают условия для
распространения троянских программ и вирусов
Весной 1977 г. появился первый персональный компьютер Apple II.
Эта модель находилась в производстве с 20 апреля 1977 г. по 1 ав-
густа 1983 г. Общее количество проданных машин составило более 3
млн. шт., что на порядок превышало количество ЭВМ других серий.
Поэтому для этих машин появились объективные возможности создания
реальных компьютерных вирусов, и эти возможности очень быстро были
осознаны и реализованы. Неудивительно, что Apple II послужил "ра-
бочей лошадкой" для разработчиков "доисторических" компьютерных
вирусов.
Параллельно с массовой продажей компьютеров Apple, в конце 70-х
годов на Западе отмечается бурное развитие сетей для передачи ин-
формации на базе обычных телефонных каналов. Появляются первые
банки свободно распространяемых программ и данных -- BBS (Bulletin
Board System -- буквально "доска объявлений" для программ). В этот
банк любой программист мог загрузить (download) свою программу, и
любой пользователь мог ее считать и запустить на своем компьютере.
Это существенно увеличило и ускорило трафик программ, тем более
что многие университетские компьютерные центры (традиционно являю-
щиеся центрами разработки различного рода бесплатных программ) ор-
ганизовали свои BBS. Позднее появились и большие онлайновые инфор-
мационные системы, такие как CompuServe, которые охватывали прак-
тически все западные страны. С появлением BBS получил распростра-
нение и новый вид компьютерного хулиганства: загрузка в нее про-
граммы, выводящей какие-то привлекательные картинки или претендую-
щей на выполнение какой-либо полезной функции, которая сразу после
запуска ("чистая" программа-вандал) или через некоторое время, или
при выполнении некоторого условия (троянская программа-вандал)
уничтожала данные на компьютере пользователя, переписавшего и за-
пустившего ее на своем компьютере. Такие программы-вандалы можно
рассматривать как исторических предшественников вирусов-вандалов,
тем более что их разрабатывает по сути один и тот тип личностей.
В 1980 г. появилась первая и весьма примечательная европейская
публикация по компьютерным вирусам -- "Самовоспроизводящиеся про-
граммы" Й.Крауса. Ее автор -- сотрудник кафедры информатики До-
ртмундского университета -- не только дал достаточно точное опреде-
ление компьютерных вирусов, но и привел в своей работе листинги
компьютерных вирусов (на языке ассемблера фирмы Сименс -- клона из-
вестной системы 360 фирмы IBM). К сожалению, данная публикация
представляла собой препринт Дортмундского университета и широкого
распространения не получила. По мнению Р.Бургера, автора первой
книги по компьютерным вирусам, опубликованной впервые в 1987 г.
издательством DATA BECKER GmbH [Burger88], уровень этой работы су-
щественно превосходит уровень исследований Ф.Коэна (см. ниже), по-
этому обидно, что она практически забыта и не цитируется в совре-
менных исследованиях по компьютерным вирусам.
В 1981-82 гг. появился первый, получивший некоторое распростра-
нение, бутовый вирус на ПЭВМ Apple II. Этот вирус, получивший на-
звание ELK CLONER, обнаруживал свое присутствие сообщением, содер-
жавшим даже небольшое стихотворение:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Поскольку винчестеров тогда еще не было, борьба с ним состояла в
использовании защитных наклеек на дискетах.
Другой вирус для Apple II был создан в 1982 г. студентом Техас-
ского университета. Он был рассчитан на операционную систему DOS
3.3 для этой ПЭВМ (не путать с более поздней операционной системой
MS DOS 3.3 для ПЭВМ, совместимых с IBM PC). Не до конца отлаженная
версия этого вируса "ускользнула" от автора и начала распростра-
няться по университету. Ошибка в вирусе вызывала подавление графи-
ки популярной игры под названием CONGO, и в течение нескольких не-
дель все ("пиратские") копии этой игры перестали работать. Для ис-
правления ситуации автор запустил новый, исправленный вирус, пред-
назначенный для "замещения" предыдущей версии. Как мы видим, идея
"подобное лечится подобным" открывалась и переоткрывалась много-
кратно.
1.1.4. Первые эксперименты с сетевыми вирусами
В октябре 1980 г. в сети APRANET была обнаружена программа, по
некоторым описаниям вызывавшая "перепутывание" адресов посылаемых
по сети сообщений, что вызывало появление множества сообщений "не-
верный статус пользователя". В результате систему пришлось выклю-
чить, и она была восстановлена только через три дня.
В 1982 г. не без влияния упоминавшегося выше романа Бруннера со-
трудниками исследовательского центра фирмы XEROX в Пало Альто
("родине Смолтока") была создана программа-червь и проведен ряд
экспериментов, результаты которых опубликованы в ведущем американ-
ском компьютерном журнале [Shoch82]. Идея, которой руководствова-
лись авторы программы, состояла в том, что программа, требующая
значительных вычислительных мощностей, захватывала все простаиваю-
щие, но подключенные к сети ЭВМ, с тем, чтобы например, ночью ис-
пользовать максимум подключенных вычислительных мощностей, а ут-
ром, когда пользователи начинают выполнять свои вычисления, осво-
бождать их, сохраняя промежуточные результаты вычислений. Днем
программа "перебивалась" бы одной -- двумя машинами, а ночью опять
захватывала бы все свободные вычислительные мощности. В связи с
этой способностью к ночному распространению такую программу пра-
вильнее было бы назвать не червяком, а вампиром. При проведении
эксперимента по запуску червяка в сеть наблюдалось его неконтроли-
руемое распространение и зависание части зараженных червяком ма-
шин. Поскольку эксперимент проводился на локальной сети Ethernet и
некоторые комнаты с включенными машинами следующим утром оказались
закрытыми, копии червя в этих машинах заражали другие машины. К
счастью, авторы предусмотрели такую возможность и послали по сети
команду самоуничтожения всем копиям червяка.
1.1.5. Тьюринговская лекция Кена Томпсона
В 1983 г. Кену Томпсону (Ken Thompson) -- создателю всемирно из-
вестной операционной системы UNIX, была присуждена самая престиж-
ная в мире программирования премия -- премия имени Тьюринга Амери-
канской ассоциации компьютерной техники (Association for computing
machinery) -- самой старой и наиболее массовой организации амери-
канских программистов. Свою замечательную тьюринговскую лекцию
(читаемую каждым лауреатом на ежегодном съезде общества) Кен Томп-
сон посвятил не истории создания системы UNIX, а проблеме внесения
тонких ошибок в код компилятора, которые невозможно обнаружить пу-
тем анализа исходного текста последнего [Thompson84]. Хотя в то
время данная тема казалась чем-то незначительным, Томпсон затронул
важную проблему, ставшую актуальной только с появлением компьютер-
ных вирусов. В своем заключении -- оказавшемся в значительной мере
пророческим -- он в частности сказал:
"Нельзя доверять программам, написанным не вами самими т Ника-
кой объем верификации исходного текста и исследований не защитит
вас от использования ненадежного (untrusted) кода. По мере того
как уровень языка, на котором написана программа, снижается, нахо-
дить эти ошибки становится все труднее и труднее. "Хорошо проду-
манную" (well installed) ошибку в микрокоде найти почти невозмож-
но.
Я хотел бы подвергнуть критике прессу за ее освещение проблемы
хакеров, банды 414, банды Дальтона (Dalton gang) и т.д. Действия
этих ребят представляют собой в лучшем случае вандализм, а в худ-
шем -- возможно, правонарушение и воровство. Только несовершенство
уголовного законодательства спасает хакеров от очень серьезных на-
казаний. Компании, которые могут пострадать от этой активности (а
большинство крупных компаний являются очень уязвимыми в этом отно-
шении), предпринимают значительные усилия с тем, чтобы добиться
изменения уголовного законодательства. Несанкционированный доступ
к компьютерным системам уже является серьезным преступлением в ря-
де штатов, и соответствующие законы в настоящее время рассматрива-
ются во многих других штатах и в Конгрессе.
Надвигается взрывоопасная ситуация. С одной стороны, пресса, те-
левидение и фильмы делают героев из этих вандалов, называя их вун-
деркиндами (whiz kids). С другой стороны, действия этих ребят бу-
дут скоро наказываться годами тюрьмы.
Я видел, как эти ребята давали показания Конгрессу. Было совер-
шенно ясно, что они не отдают себе отчета в серьезности своих дей-
ствий. Это, возможно, связано с различиями в культурном уровне
(cultural gap). Проникновение в компьютерные системы должно накла-
дывать на человека такое же клеймо, как проникновение в чужую
квартиру. И не имеет никакого значения, что дверь соседа оказалась
незапертой. Пресса должна понять, что неверное использование ком-
пьютера ничем не лучше управления автомобилем в нетрезвом состоя-
нии" (перевод Н.Н.Безрукова).
1.1.6. Игра "Бой в памяти", работы Коэна
и другие события 1984 г.
1984 г. оказался переломным в истории компьютерных вирусов -- в
течение года произошло несколько событий "исторического значения"
с точки зрения компьютерных вирусов.
В мае 1984 г. в журнале "Scientific American" А.К.Дьюдни
(A.K.Dewdney) -- автором колонки "Занимательный компьютер"
(Computer Recreations) был опубликован упрощенный вариант игры
Darvin, названный "Core War" ("Бой в памяти") [Dewdney84]. Игра
вызвала значительный читательский интерес, и впоследствии было да-
же организовано международное общество International Core War
Society cо штаб-квартирой в США и филиалами в Италии, Польше, ФРГ,
Японии и СССР (152140 Переславль-Залесский 5, а/я 10, Лилитко
Е.П.) [Лилитко89]. В данной игре два игрока пишут по одной про-
грамме каждый на языке низкого уровня REDCODE. Программы помещают-
ся в большой циклически замкнутый участок памяти. Каждая команда
занимает одну ячейку памяти. Управляющая программа поочередно ис-
полняет одну команду каждой программы, подобно простейшей системе
реального времени. Программы атакуют друг друга и в то же время
пытаются избежать повреждений и восстанавливать поврежденные обла-
сти. Простейшая атака состоит в использовании команды MOV (запи-
сать в память). Например: MOV #0,1000 может "убить наповал" враже-
скую программу, если попадет в следующую исполняемую команду (т.е.
если следующая выполняемая команда "врага" расположена по адресу
1000) или "ранить", если это данные или исполняемые команды, или
наконец, "попасть мимо", если ячейка 1000 противной стороной не
используется.
Два итальянских программиста Р.Черути (Roberto Cerutti) и М.Мо-
рокути (Marco Morocutti), основываясь на идеях игры, попытались
создать программу, обладающую свойством саморазмножения в реальных
условиях, на Apple II, получившей к этому времени распространение
во всем мире (впрочем, наша страна, как и некоторые другие находи-
лась в стороне от этого процесса). Apple II имел дисковод для
гибких дисков, и итальянцам удалось нащупать основную идею бутово-
го вируса -- перехват прерывания по чтению и заражение каждой
вставляемой в ЭВМ дискеты. Они также сообразили, что будучи реали-
зованной, программа вызвала бы миниэпидемию в масштабах их родного
города Брешиа. Более того, поняв, что указанная программа является
компьютерным вирусом, они по аналогии с естественными вирусами
пришли к идее о том, что компьютерный вирус может наносить вред.
Для этой цели они предложили встроить счетчик в бутсектор и через
каждые 16 размножений (это, по сути, первое упоминание идеи счет-
чика в бутсекторе -- идеи, которая будет открываться и переоткры-
ваться многими разработчиками вирусов для IBM PC) запускать пере-
форматирование дискеты. Однако они во-время ужаснулись возможным
последствиям и отказались от реализации практически полностью спе-
цифицированной программы. Тем не менее, они имели неосторожность
изложить свои идеи достаточно подробно в письме в журнал
"Scientific American", а А.К.Дьюдни в апрельском (за 1985 г.) об-
зоре писем читателей по поводу игры "Бой в памяти" [Dewdney85]
опубликовал их письмо. Последнее можно рассматривать как первую
достаточно полную опубликованную спецификацию бутового вируса.
Рассматриваемая публикация несколько ускорила последующие собы-
тия, хотя сам их ход был уже предопределен. Поскольку журнал
"Scientific American" относится к наиболее читаемым научно-попу-
лярным журналам как в США, так и в других западных странах, письмо
Р.Черути и М.Морокути было замечено, и попытки повторения не за-
ставили себя долго ждать. Так, вирус, реализованный по опублико-
ванному описанию Р.Скрентой-младшим из Питсбурга (США), быстро
распространился по дискетам его знакомых и преподавателей. Для
борьбы с ним был написан антивирус, однако он оказался не в состо-
янии предотвратить дальнейшее распространение вируса.
В сентябре 1984 г. была опубликована статья Ф.Коэна (Fred Cohen)
[Cohen84], в которой автор исследовал разновидность файлового ви-
руса. Это фактически второе академическое исследование проблемы
вирусов. Работа содержала полезное, хотя и недостаточно строгое
формальное определение вируса и ряд важных соображений о большой
потенциальной опасности компьютерных вирусов, а также относительно
того, что для своего размножения вирусу достаточно обычных опера-
ций, реализуемых файловой системой любой ОС. Ф.Коэн описал ряд
экспериментов, проделанных 3.11.83 г. на системе VAX 11/750, рабо-
тающей под управлением ОС UNIX. Вирус был имплантирован в начало
утилиты VD, которая позволяла графически отображать структуру ка-
талогов диска. Поскольку VD была новой программой, о ее характери-
стиках пользователи представления не имели. В ходе пяти экспери-
ментов пользователю зараженной программы в течение определенного
времени (от 5 до 30 мин.) предоставлялся статус суперпользователя.
Эксперимент показал достаточно высокую скорость размножения вируса
(1/2 с. на заражение) и большое количество зараженных файлов. По
материалам этой статьи в 1984 г. появилась статья в журнале "Шпи-
гель" под названием "Тайная инструкция" [Spiegel84], которая вы-
звала оживленную дискуссию в ФРГ. В дискуссии принял участие и сам
Ф.Коэн. Уже тогда обсуждались вопросы о целесообразности публика-
ций по данной тематике. Как пишет в своей книге Р.Бургер, Джером
Лоубел -- советник по безопасности компьютеров фирмы "Honeywell
Informations Systems", возражал против публичного обсуждения дан-
ного вопроса. В свою защиту Ф.Коэн привел следующие соображения:
"Суть дела заключается все же в том, что если придумать что-либо в
этом роде под силу мне, то это может также сделать и кто-то дру-
гой", и этот другой может оказаться "скверным парнем". Забегая
вперед, следует отметить, что в 1986 г. Ф.Коэн защитил диссертацию
под названием "Компьютерные вирусы".
В 1985 г. на страницах журнала KES (ФРГ) Р.Дирштейн
(R.Dierstein) опубликовал комментированный перевод работы Ф.Коэна
[Dierstein85]. Этим же автором опубликовано еще несколько работ по
данной тематике, в частности [Dierstein86] и "Computer viruses: a
secret threat" в трудах конференции Securicom (Париж, 1986).
1.1.7. Первые попытки противодействия: список
"грязная дюжина" и первые антивирусные программы
В том же 1985 г. Том Нельф (Tom Nelf) начал распространять по
различным BBS список "Грязная дюжина -- список опасных загружаемых
программ" ("The Dirty Dosen -- An Unloaded Program Alert List"), в
котором были перечислены известные на тот момент программы-ванда-
лы. В дальнейшем этот список, включающий большинство выявленных
троянских программ и "взломанные" или переименованные копии ком-
мерческого программного обеспечения для MS DOS, стал широко изве-
стен и получил сокращенное название "грязная дюжина" (dirty
dosen). В настоящее время список поддерживается Эриком Ньюхаузом
(Eric Newhouse) из Лос-Анжелеса и может быть получен практически
через любую сеть. В пояснениях к нему Эрик Ньюхауз отмечает, что
пользователи "т могут быть уверены только в одной свойстве их вин-
честеров -- в том, что рано или поздно они "полетят". Часто пользо-
ватель будет винить в этом программу, хотя на самом деле проблема
связана с электроникой или механикой. Помните, что слухи о троян-
ских программах легче запустить, чем остановить". Последний совет
не мешало бы помнить и некоторым авторам "околовирусных" публика-
ций (см., например, [Основcкий90]). Один из ранних вариантов этого
списка был опубликован в [Solomon88] (рис.1).
С распространением троянских программ стали создаваться програм-
мы защиты, которые можно рассматривать и как первые антивирусные
программы. Зимой 1984 г. Анди Хопкинс (Andy Hopkins) написал про-
граммы CHK4BOMB и BOMBSQAD. Первая из них позволяла проанализиро-
вать текст загрузочного модуля и выявляла все текстовые сообщения
и "подозрительные" участки кода (команды прямой записи на диск и
др.). Благодаря своей простоте (фактически использовался только
контекстный поиск) и эффективности CHK4BOMB получила значительную
популярность. Программа BOMBSQAD.COM перехватывает операции записи
и форматирования, выполняемые через BIOS. При выявлении запрещен-
ной операции можно разрешить ее выполнение. В начале 1985 г. Ги
Вонг (Gee Wong) написал программу DPROTECT -- резидентную програм-
му, перехватывающую попытки записи на дискеты и винчестер. Она
блокировала все операции (запись, форматирование), выполняемые че-
рез BIOS. В случае выявления такой операции программа требует ре-
старта системы. Несколько позднее появилась программа FLUSHOT, на-
писанная Росс М. Гринберг. Более поздняя версия этой программы --
FluShot Plus (версия 1.7), распространяемая как SHAREWARE с реги-
страционной ценой 10 долларов, используется и в настоящее время.
Из европейских программ отметим резидентный сторож VIRBLK, кото-
рый был написан в Вене Михелем Фитцем, и программу ANTI4US2, напи-
санную Э.Лайтингом. Название последней связано с тем, что число 4
по-немецки звучит как "фир", что позволяет прочитать название как
"антифирус2".
Троянские программы для ПЭВМ, совместимых с IBM PC
123JOKE - Якобы утилита для Lotus 1-2-3.
Разрушает каталоги.
ALTCTRL.ARC - Портит загрузочный сектор.
ARC513.EXE - Троянская версия архиватора. Отличается по
длине (архиватор ~ 32К). Портит бутсектор.
ARC514.COM - То же самое. Архиватор всегда .EXE.
BACKALLY.COM - Через несколько месяцев портит FAT.
BACKTALK - Случайное затирание секторов на винчестере.
BXD.ARC - Предупреждает, потом затирает FAT.
CDIR.COM - Выдает себя за утилиту, высвечивающую
каталоги в цвете -- на самом деле портит FAT.
CHUNKER.EXE - Портит FAT, возможно -- ошибка.
COMPRESS.ARC - Якобы "Shareware from Borland", портит FAT.
DANCERS.BAS - Под красивые картинки портит FAT.
DEFENDER.ARC - Пишет в CMOS и форматирует диск.
DISKACHE.EXE - Вероятно ошибка, но может испортить FAT.
DISKSCAN.EXE - Якобы ищет плохие сектора,на деле -- создает.
DMASTER - -"-
DOSKNOWS.EXE - -"-
DPROTECT - -"-
EGABTR - Якобы улучшает работу EGA, затирает диски.
ELEVATOR.ARC - Затирает файлы, может форматировать диски.
EMMCACHE - Портит файлы, затирает загрузочный сектор.
FILER.EXE - Затирает диски.
FUTURE.BAS - Портит FAT, затирает корневой каталог.
MAP ???
NOTROJ.COM - Претендует быть антитроянской программой,
на деле - наоборот.
TIRED - Портит FAT.
TSRMAP - Дает карту программ TSR, затирает бутсектор.
PACKDIR - Якобы оптимизирует винчестер, портит FAT.
PCLOCK - Портит FAT.
PCW271xx.ARC - Троянская версия PC-Write v2.71, размером
98274 байта (настоящая - 98644). Портит FAT.
PKX35B35.EXE - Портит FAT. Настоящая называется PKX35A35.
RCKVIDEO - Под картинки рок-звезды портит FAT.
SCRNSAVE.COM - Затирает винчестер.
SECRET.BAS - Форматирует диски.
SEX-SHOW.ARC - Затирает все файлы в каталоге.
SIDEWAYS.COM - Настоящая программа обеспечивает фоновую
печать, эта - портит бутсектор.
SUG.ARC - Якобы снимает защиту Softguard, портит FAT.
TOPDOS - Форматирует винчестер.
VDIR.COM - Портит файлы на диске.
VISIWORD.ARC - Портит диск.
WARDIAL1.ARC - Портит FAT.
Рис.1. Один из ранних вариантов списка "грязная дюжина".
1.2. Второй этап -- компьютеры в осаде
"Ох! Знобит от рассказа дотошного"
В.Высоцкий
События 1985-86 гг. по времени совпали с быстрым ростом произ-
водства и резким снижением цен на ПЭВМ серии IBM PC (появились мо-
дели по цене менее 1000 долларов), которые и ознаменовали начало
нового этапа развития компьютерных вирусов (отметим, что в 1989 г.
американцы имели возможность купить за ту же цену модель с процес-
сором 80386 -- см., например, Byte, 1989, v.14, щ 6, p.65, а в
1989 г. по крайней мере в одном американском университете -- Drexel
University, штат Филадельфия, к поступающим предъявлялось требова-
ние иметь собственный компьютер). Поэтому второй этап в развитии
вирусов связан с достижением "критической массы" произведенных
ПЭВМ, совместимых с IBM PC -- самого массового компьютера в истории
развития вычислительной техники. Эта "масса", по-видимому, была
достигнута в 1987 г., когда одновременно в нескольких странах про-
изошли вспышки заражения компьютеров вирусами. Эти вспышки и озна-
меновали начало второго этапа развития рассматриваемого класса
программ, на котором они уже стали представлять собой угрозу для
всех пользователей ПЭВМ. В отличие от первого этапа, когда разра-
ботки вирусоподобных программ носили исследовательский характер и
авторы выполняли эксперименты, заручившись согласием пользовате-
лей, стараясь внести какой-то вклад в системное программирование,
атмосфера второго этапа носит характер противостояния пользовате-
лей группе безответственных или уголовных элементов.
1.2.1. Хакеры
"Можно противостоять всему,
за исключением искушения"
О.Уайлд
Массовое распространение клонов IBM PC привело к резкому увели-
чению количества людей, активно занимающихся программированием на
компьютере, а следовательно, и прослойки компьютерных "фанатов".
Если раньше этот тип людей встречался в основном в университетских
городках и больших вычислительных центрах, то с распространением
клонов IBM PC ситуация существенно изменилась. Обладателями мощных
и в то же время дешевых компьютеров стали школьники, пенсионеры, а
также другие лица, располагавшие, помимо желания попробовать свои
силы в программировании, еще и значительным количеством свободного
времени.
Как и в других областях человеческой деятельности, спектр отно-
шения людей к программированию и вычислительным машинам очень ши-
рок: от ненависти, через полное безразличие до патологической при-
вязанности или зависимости, которую можно квалифицировать как ма-
нию. Всякий работавший в вычислительном центре на больших ЭВМ и
видевший, как к концу второй смены некоторые программисты наспех
вносят плохо продуманные изменения в свои программы и умоляют
электронщиков дать еще минутку, чтобы посмотреть, что получится,
узнает сцену, описанную Ф.М.Достоевским в романе "Игрок":
"В одиннадцатом часу у игорных столов остаются настоящие, отча-
янные игроки, для которых на водах существует только одна рулетка,
которые и приехали для нее одной, которые плохо замечают, что вок-
руг них происходит, и ничем не интересуются весь сезон, а только
играют с утра до ночи и готовы были бы играть, пожалуй, и всю ночь
до рассвета, если б можно было. И всегда они с досадой расходятся,
когда в двенадцать часов закрывают рулетку. И когда старший крупер
перед закрытием рулетки около двенадцати часов, возглашает: "Les
trois derniers coups, messieurs !" (Три последних игры (букв.:
удара), господа -- прим. перев.), то они готовы иногда проставить
на этих трех последних ударах все, что у них есть в кармане, -- и
действительно тут-то наиболее и проигрываются" [Полн. собр. соч. в
30-ти томах. -- Л.: Наука, т.5, 1973, c.292].
Психологи отмечают, что у страстных игроков имеются определенные
психологические черты, роднящие их с одержимыми программистами.
Для страстного игрока игра -- это все ("весь мир -- игра"). Даже вы-
игрыш менее важен, чем сама игра. В свою очередь, для программи-
ста-фаната работа за дисплеем -- это и есть настоящая жизнь, а все
остальное -- скучная "обязаловка". Одержимый программист с трудом
переносит разлуку с машиной. Постоянная работа с машиной наклады-
вает определенный отпечаток на язык и мышление таких людей. Наблю-
дается перенос некоторых программистских терминов типа "зациклил-
ся", "завис", "вычислить" (например фраза "я тебя вычислил" ис-
пользуется со значением "я понял, разгадал что-то") в повседневную
жизнь. Создается впечатление, что другие люди воспринимаются ими
как программы, а окружающая среда -- как некая "супероперационка",
для вселенского "гиперкомпьютера".
Вместо сочетания "одержимый программист" как в разговорной речи,
так и в литературе часто используется термин "хакер" (от англ.
Hack -- рубить, кромсать) и уже создан определенный образ хакера.
Это очень способный молодой человек, работающий за дисплеем по 12
-- 16 ч. подряд, до полного изнеможения, а если представляется воз-
можность, то и ночи напролет. Питается урывками. Внешний вид сви-
детельствует о том, что он не обращает внимания на внешний мир и
не слишком интересуется мнением окружающих: джинсы, мятая рубашка,
нечесанные волосы. Блестяще знает все подробности операционной си-
стемы, языка ассемблера и особенности периферийного оборудования.
Основная продукция -- маленькие недокументированные системные
программы, ради которых, а также ценя в нем консультанта по "деб-
рям" операционной системы и внешних устройств, ему и разрешают ра-
ботать на машине, когда он хочет и сколько он хочет. Обычный метод
их создания -- "кромсание" чужих программ, что и объясняет смысл
термина хакер. В "просвещенном" варианте -- это дизассемблирование
подходящей программы, модификация ассемблерного текста c удалением
следов принадлежности программы другому автору, даже если доработ-
ка в сущности была совсем пустяковая, вставка собственной клички
(обычно достаточно экзотической, например SuperHunter), а затем
ассемблирование. Документация, естественно, не нужна, поскольку
сам хакер знает, что послужило прототипом, да и вообще руководст-
вуется принципом "умный догадается, а дураку не нужно". В "диком"
варианте кромсается непосредственно загрузочный модуль в отладчи-
ке. Здесь отсутствует не только документация, но и исходный текст
"изделия".
Ну и конечно, у каждого хакера есть сверхзадача, своего рода го-
лубая мечта (удачные небольшие системные программки, благодаря ко-
торым он пользуется уважением, им самим рассматриваются как подел-
ки): новая операционная система, алгоритмический язык, программа,
выигрывающая у человека в какую-нибудь сложную, интеллектуальную
игру, или инструментальная система "супер" -- облегчающая все, все,
все (самая любимая задача). Конечно, статус хакера не является по-
жизненным. Это своего рода "детская болезнь", и из среды "нормаль-
ных" хакеров вышел ряд известных разработчиков системного програм-
много обеспечения.
Для части хакеров, обычно называемых кракерами, в качестве
сверхзадачи выступает проникновение в какую-нибудь систему, снятие
защиты программного продукта от копирования или что-то аналогич-
ное. Именно эта часть хакеров становится причиной "головной боли"
разработчиков коммерческого программного обеспечения, снабженного
средствами защиты от незаконного копирования, а также пользовате-
лей баз данных с конфиденциальной информацией.
Другая часть кракеров, иногда называемых "информационными путе-
шественниками", специализируется на проникновении в удаленные ком-
пьютеры, подключенные к некоторой сети. Так, студенты одного из
университетов США составили и сумели ввести в ЭВМ программу, ими-
тирующую работу с удаленными пользователями. К моменту разоблаче-
ния пользователи сумели получить более 100 таких паролей. Деятель-
ность этой разновидности кракеров в большинстве западных стран
рассматривается или граничит с уголовной. Неслучайно ряд кракеров
на Западе были осуждены на сроки от 6 месяцев до 10 лет тюремного
заключения.
И наконец, самая худшая порода хакеров -- это создатели троянских
программ и компьютерных вирусов. Впрочем, их уже нельзя назвать
хакерами, поскольку "неформальный кодекс" хакера запрещает исполь-
зование своих знаний операционной систем и оборудования во вред
пользователям. Это своего рода "паршивые овцы", которые бросают
тень на хакеров в целом. Обычно их называют техно-крысами. По-
скольку жертвами вирусов обычно становятся не специалисты, а те,
кто использует компьютер как инструмент своей профессиональной де-
ятельности или как хобби, психология разработчиков вирусов сродни
психологии негодяев, отбирающих деньги у школьников младших клас-
сов, которые мать дала им на обед.
1.2.2. Первые случаи массового заражения
"До чего же нам иногда тесно
в разумных пределах"
Евгений Сагаловский
Как уже отмечалось, в 1987 г. в разных местах, независимо друг
от друга были зарегистрированы три случая массового заражения кло-
нов IBM PC компьютерными вирусами.
Первым Вирусом-87 был так называемый Пакистанский вирус, разра-
ботанный братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog
Alvi) в 1986 г. Он был обнаружен летом 1987 г. По непроверенным
(и, вероятно, завышенным) данным, приведенным Маккафи (McAfee)
[McAfee89b], он заразил только в США более 18 тысяч компьютеров.
Этот бутовый вирус создан в основном Амджадом -- 26-летним выпуск-
ником отделения физики Пенджабского университета, который, по его
заявлению, пытался наказать американцев, покупавших дешевые неза-
конные копии программ в Пакистане. Амджат утверждает, что по паки-
станским законам свободное копирование не является преступлением,
и хотя он не одобряет такое положение вещей, вынужден с ним ми-
риться и не может наказывать других. Поэтому он не продавал зара-
женные вирусом незаконные копии пакистанским покупателям. Другое
дело -- американцы, у которых существуют законы, запрещающие пират-
ство. Их, по его мнению, стоило проучить. К середине 1987 г.
братья признали, что уже достаточно проучили пиратов и прекратили
распространение вируса. Однако вирус уже сумел распространиться по
США, а оттуда попал в другие страны, в том числе и в СССР. Кроме
того, начали появляться штаммы с измененными текстовыми сообщения-
ми и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре
1987 г. в одноименном университете США. В течение нескольких дней
этот вирус уничтожил содержимое нескольких сот дискет из библиоте-
ки вычислительного центра университета и личных дискет студентов
[Wyk89]. По данным Маккафи, опубликованным в журнале Datamation
[McAfee89b], по состоянию на февраль 1989 г. только в США этим
вирусом было заражено порядка четырех тысяч компьютеров. Следует
отметить, что учитывая склонность Маккафи искажать данные в выгод-
ную для него сторону к приводимым им цифрам нужно относиться кри-
тически, уменьшая их примерно в пять раз.
Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус
в Иерусалимском Университете (Израиль). Хотя существенного вреда
этот вирус не принес, он быстро распространился по всему миру (по
данным Маккафи, более 3 тысяч зараженных компьютеров только в США)
и, по-видимому, является первым вирусом, распространение которого
приобрело характер пандемии [Radai89].
В том же 1987 г. в издательстве Data-Becker вышла монография
Р.Бургера "Компьютерные вирусы". Она выдержала несколько переизда-
ний, переведена на английский язык, а в 1989 г. -- на русский язык
[Burger88]. Автор неосторожно включил в книгу ряд исходных текстов
демонстрационных программ вирусов на разных языках и листинг так
называемого венского вируса. Такой, чрезмерно расширенный, несмот-
ря на изменившуюся ситуацию, уровень "гласности" дает основания
рассматривать роль данной книги как весьма противоречивую.
Свой вклад в распространение вирусов внесли и некоторые журналы.
Так, журнал "C't" в том же году опубликовал код вируса "уголек"
для ПЭВМ Atary ST и фаг к этому вирусу [Krabel87]. Вскоре этот ви-
рус проник в компьютеры издательства Data-Becker, а затем и на ди-
стрибутивные дискеты, распространяемые этой фирмой. К счастью, он
был быстро обнаружен и уничтожен.
В 1988 г. проблема защиты программного обеспечения от заражения
компьютерными вирусами в странах США и Западной Европы приобрела
характер приоритетной. Это прежде всего связано с тем, что в усло-
виях значительной зависимости различных учреждений от компьютерных
систем, проникновение вирусов представляет потенциальную опасность
и может привести к серьезным последствиям. Например, летом 1988 г.
компьютерный вирус инфицировал три компьютера в Мичиганском госпи-
тале, которые обрабатывали информацию о пациентах. Он был обнару-
жен в процессе анализа причин неправильного функционирования сис-
темы, заключавшейся в том, что на дисплей неверно вызывались рас-
ширенные диагностические сведения. По данным администрации госпи-
таля вирус перемешал фамилии пациентов в базе данных ПЭВМ
Macintosh II. Как показало расследование, вирус был занесен при
ремонте винчестера одного из компьютеров. К счастью, никому из па-
циентов не был поставлен неправильный диагноз или назначено непра-
вильное лечение в результате перемешивания фамилий пациентов в ба-
зе данных. Однако, по мнению специалистов, это был вопрос времени
и вполне мог стоить кому-то жизни. Данный случай является вторым
случаем вторжения в медицинские компьютеры (первый был связан с
проникновением кракеров, которые просматривали базу данных, но не
нанесли никакого ущерба) и первым случаем, когда настоящие данные
пациентов и диагностирования манипулировались вирусом [Zajac89c].
Из компьютерных Вирусов-88 отметим вирус падающих букв и "италь-
янский попрыгунчик", распространение которых также приняло харак-
тер эпидемии. Особое внимание общественности привлек так называе-
мый вирус Морриса: 2.11.88 г. Роберт Моррис-младший, аспирант фа-
культета информатики Корнельского Университета инфицировал с по-
мощью написанного им вируса большое количество компьютеров (по
ориентировочным оценкам порядка 6000), подключенных к американской
национальной сети Internet (не путать c распространенной локальной
сетью Ethernet) [Highland89b]. Хотя никакой потери или изменения
данных не произошло, многие тысячи часов рабочего времени были по-
теряны пользователями Internet.
Это событие вызвало значительную реакцию американской и мировой,
прессы, включая советскую. Так ведущие американские газеты, вклю-
чая "Чикаго Трибьюн", "Нью-Йорк Таймс" и "Бостон Геральд", опубли-
ковали репортажи с места события. Ими широко освещалась динамика
распространения вируса и разработка методов борьбы с ним, а также
затрагивались общие проблемы обеспечения безопасности компьютерных
систем. Позднее в аналитических статьях по этому поводу обсужда-
лись нерешенные проблемы, относящиеся к вопросам безопасности ком-
пьютерных систем, и предлагались законодательные инициативы, на-
правленные на предотвращение подобных случаев в дальнейшем. В час-
тности, не без влияния этой серии публикаций в палате представите-
лей были внесены два проекта законов, предусматривающих уголовное
наказание за создание и распространение компьютерных вирусов.
Помимо информации типа "как это было" и "то ли еще будет", в
американской прессе широко обсуждался вопрос о том, как квалифици-
ровать поступок Морриса: является ли Моррис героем-хакером, кото-
рый без нанесения серьезного ущерба указал на слабые места в наци-
ональной компьютерной сети, или он является преступником, который
должен быть сурово наказан. При этом характер обсуждения и поляри-
зация мнений в некоторой степени напоминали дискуссии по поводу
известного всем нам случая с посадкой Руста на Красную площадь.
Вскоре Моррис был отчислен из Корнельского университета.
Министерство юстиции США довольно долго изучало вопрос о возмож-
ности привлечения Морриса к суду на основе действующего законода-
тельства, и только 18 января 1990 г. в городе Сиракьюс (штат Нью-
Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб
был оценен в 150 тыс. долларов. Процесс над Моррисом стал возмо-
жен в результате принятия в 1986 г. федерального закона об ответ-
ственности за преступления, связанные с компьютерами (1986 U.S.
Computer Fraud and Abuse Act). Моррису грозил штраф в 250 тыс.
долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса
утверждал, что тот якобы создал вирус для проведения эксперимента
по проверке защиты компьютера. При этом он допустил ошибку, кото-
рая и привела к нежелательным результатам. Моррис, по словам адво-
ката, не стремился нанести какой-либо ущерб компьютерным системам
США. Интересно отметить, что в интервью репортеру одной из амери-
канских газет мать Морриса упомянула тот факт, что роман "The
Shockware Rider" Джона Бруннера был одной из наиболее зачитанных
книг в комнате юного Морриса. 4 мая 1990 г. суд присяжных признал
Морриса виновным. Он был приговорен к условному заключению сроком
на два года, 400 часам "общественных работ" (американский аналог
отечественных 15 суток) и штрафу размером 10 тыс. долларов. Осуж-
дение Р.Морриса-младшего показывает что американское общество уже
осознает опасность и предпринимает меры по борьбе с ней.
В 1989 г. панику в США и западноевропейских странах вызвали
вирусы DATACRIME, которые запрограммированы так, что начиная с 12
октября они разрушают файловую систему, а до этой даты просто раз-
множаются. Эта серия компьютерных вирусов, состоящая, как полага-
ют, из трех программ ("Датакрайм 1, 2, 3") начала распространяться
в Нидерландах, США и Японии приблизительно в начале 1989 г. и к
сентябрю поразила, по некоторым оценкам (которым, впрочем, не сто-
ит особенно доверять), около 100 тысяч ПЭВМ только в Нидерландах
(что составляет около 10% от их общего количества в стране). Даже
фирма IBM отреагировала на эту угрозу, выпустив свой детектор
VIRSCAN, позволяющий искать характерные для того или иного вируса
строки (сигнатуры) в файловой системе. Набор сигнатур может допол-
няться и изменяться пользователем. В нашей стране в 1989 и 1990
гг. случаев заражения данным вирусом не отмечалось; потенциальную
опасность представляет 12.10.91 г.
В начале августа 1989 г. в Амстердаме состоялся международный
съезд хакеров, в ходе которого были продемонстрированы "дыры" в
существующих системах обеспечения безопасности и контроля от не-
санкционированного доступа. В качестве доказательства своих спо-
собностей представители одной из групп кракеров, подключившись к
ЭВМ местного банка, получили 270 тысяч франков. Вернув на следую-
щий день эту сумму наличными, кракеры продемонстрировали уязви-
мость системы защиты банковских компьютеров.
Еще одной нашумевшей историей была так называемая AIDS
Information Trojan -- троянская программа, распространявшаяся в де-
кабре 1989 г. в составе пакета с базой данных о заболевании синд-
ромом приобретенного иммунодефицита (СПИД). Как программа, так и
база данных были записаны на дискете, которая была разослана 20
тысячам заказчиков, включая ряд медицинских и общественных органи-
заций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и
многих других стран. Затраты на рассылку составили порядка 200
тыс. долларов. Все адресаты получили по почте посылку с упаковкой
данного продукта, на которой указывалось его назначение, а на об-
ратной стороне крайне мелким шрифтом были набраны условия распро-
странения. Сопроводительное письмо извещало, что на дискете содер-
жатся новые сведения по проблемам СПИДа, но в письме условия ис-
пользования дискет не указывались. После записи на винчестер, они
действительно начали выдавать информацию по обещанной тематике.
Однако затем вся информация на винчестере была перекодирована и на
экранах появилось требование перечислить сумму в 378 долларов на
счет незарегистрированной фирмы в Панаме. В этом случае пользова-
телю якобы будет выслана программа восстановления перекодированной
информации. Среди пострадавших были как индивидуальные владельцы
компьютеров, так и лаборатории, научные центры, больницы. В неко-
торых случаях заблокированным оказался итог работы целых научных
коллективов. Джозеф Попп, предполагаемый распространитель этой
троянской программы, был арестован в феврале 1990 г. в американ-
ском штате Огайо. Если эксперты подтвердят его психическую полно-
ценность, ему не миновать тюремного заключения за проведение этой
операции по "вирусному рэкету".
1.2.3. Вирусы и MS DOS
Интересно отметить, что еще в версии 3.0 операционной системы
CP/M можно было защитить файлы и диски от записи или чтения с по-
мощью паролей. Поэтому вызывает сожаление выжидательная позиция
фирмы Микрософт, которая могла бы при выпуске очередной версии MS
DOS легко закрыть хотя бы самые "зияющие" дыры в MS DOS (отсутст-
вие проверки контрольной суммы файла перед передачей ему управле-
ния, возможность сброса атрибута READ ONLY без подтверждения поль-
зователя, люки -- различные "нелегальные" способы получения адреса
прерывания 13 и др.). Возможно, здесь нельзя исключить и опреде-
ленный политический расчет на то, что сложившаяся ситуация будет
способствовать уменьшению количества случаев незаконного копирова-
ния коммерческого программного обеспечения, которое существенно
уменьшает доходы фирмы, а также переходу пользователей к более со-
вершенной и снабженной средствами регламентации доступа к файлам
операционной системе OS/2. Последняя из-за повышенных требований к
оборудованию (рекомендуется наличие четырех или более мегабайт
оперативной памяти) пока не пользуется ощутимым успехом. Следует
отметить, что мнение о "полезности" вирусов для разработчиков сис-
темного программного обеспечения было высказано официально Эндрю
Золтовским -- директором фирмы NOVELL UK Ltd, который в интервью
корреспонденту советско-польского журнала Компьютер заявил: "Сей-
час стало ясно, что великолепным средством борьбы с нелегальными
копиями сталит компьютерные вирусы, распространяемые чаще всего с
бесплатным (читай "ворованным") программным обеспечением" [Компью-
тер, 1990, щ 2, c.5]. Такая позиция не только не этична, но и по
существу опасна для самой фирмы, "исповедующей" такую философию.
Ведь помимо разработчиков коммерческого программного обеспечения
существуют разработчики бесплатно распространяемого (FREEWARE) и
субсидируемого пользователями (SHAREWARE) программного обеспече-
ния, которые страдают из-за падения интереса к их продуктам в
связи с угрозой заражения. Да и для разработчиков коммерческого
программного обеспечения опасно рассматривать вирусы как средство
увеличения доходов от продажи своего программного обеспечения: от-
сюда только шаг к борьбе с конкурентами с помощью вирусов, ориен-
тированных на конкретный программный продукт, скажем, версию 2.15
сетевой операционной системы Advanced Netware. Ведь наверняка есть
люди, считающие, что положение фирмы NOWELL на рынке не соответст-
вует действительному качеству ее продуктов и препятствует более
прогрессивным решениям "занять свое место под солнцем".
Так или иначе, но операционная система MS DOS показала себя не
только "user friendly", но и "virus friendly". И такое положение,
по-видимому, фирму устраивает: в версии 4.0 не предпринято ника-
ких специальных мер в указанном направлении. Впрочем, многие поль-
зователи считают, что эту версию имеет смысл использовать лишь в
сочетании с системой MS Windows 3.0, и не спешат переходить на
нее с версии 3.3.
1.2.4. Появление более вирусоустойчивых
альтернатив MS DOS
Следует отметить, что в настоящее время появилось несколько аль-
тернативных, "полностью совместимых" с MS DOS операционных систем,
обеспечивающих ряд дополнительных возможностей защиты информации
от несанкционированного доступа, включая заражение программ виру-
сами или различного рода попытки искажения или уничтожения файлов.
Из них следует отметить DR DOS фирмы Digital Research, которая бу-
дучи "более совместимой с MS DOS, чем сама MS DOS" (т.е. сущест-
венно реже зависающей, что особенно важно при работе на отечест-
венных ПЭВМ типа ИСКРА 1030), обеспечивает лучшие утилиты и воз-
можность защиты файлов и каталогов. Другой интересной альтернатив-
ной разработкой является Hi DOS. Любая из этих систем более "виру-
соустойчива", чем MS DOS, и, кроме того, перекрывает некоторые не-
документированные люки, через которые можно "незаконно" получить
адреса важнейших прерываний и другую жизненно важную для вирусов
информацию. При этом, чем изощреннее и опаснее написан вирус, тем
меньше шансов у него остаться работоспособным на альтернативной
операционной системе. Ведь для того, чтобы сохранить приемлемые
размеры, вирусу необходимо быть жестко ориентированным на особен-
ности своей среды, а общий закон приспособления гласит, что чем
больше тот или иной вид приспособлен к обитанию в той или иной
среде, тем меньше он способен перенести ее изменение.
1.2.5. OS/2 и компьютерные вирусы
Конечно, вирусы, рассчитанные на MS DOS, будут неработоспособны
для OS/2. В этом смысле новая операционная система предпочтитель-
нее. Однако представляется весьма вероятным быстрое появление но-
вых штаммов, адаптированных к OS/2. Сдерживающим фактором, несом-
ненно, послужит наличие средств регламентации доступа к файлам,
однако неясно, насколько трудно эту защиту обойти. В то же время
более сложная и более мощная операционная система не обязательно
является и более вирусобезопасной. Простота MS DOS приводит к то-
му, что все ее закоулки изучены, и разработчику вируса придется
проявить незаурядную изобретательность, чтобы придумать что-то но-
вое. В OS/2 таких закоулков неизмеримо больше, подробные сведения
о ее внутренней структуре отсутствуют, да и сама она занимает в
памяти намного больше места. Это создает значительное "жизненное
пространство" для хорошо замаскированных вирусов. В этом плане
увеличение сложности следует рассматривать как недостаток.
1.2.6. Роль компьютерных сетей
"Опасно не наличие компьютеров,
а их нехватка"
А.Азимов
Распространение дешевых компьютерных модемов привело к тому, что
телефонные сети стали использоваться тысячами, если не десятками
тысяч как платных, так и бесплатных банков данных. Последние часто
называют BBS. Одни BBS организуются группами пользователей как
центры обмена сообщениями и программным обеспечением. Другие орга-
низуются частными лицами просто как хобби. Последнее время наблю-
дается увеличение количества BBS, финансируемых разработчиками
программного и аппаратного обеспечения. Они играют важную роль
консультационных центров для соответствующих групп пользователей.
Чтобы организовать BBS нужен персональный компьютер, модем, хотя
бы одна телефонная линия, немного специального программного обес-
печения и один человек -- оператор BBS, часто называемый SYSOP
(SYStem OPerator -- оператор системы). Поскольку на Западе эти тре-
бования легко удовлетворяются, BBS стали своего рода "парковыми
скамейками" эпохи НТР. Конечно, качество банка данных и программ
данной BBS зависит, в основном, от уровня квалификации и преданно-
сти делу его SYSOPа. Отдельные BBS обычно служат узлами сети.
Крупнейшей в мире любительской сетью ПЭВМ является FidoNet, не-
сколько узлов которой работает в СССР (в Москве и Таллинне).
За рубежом ранние системы предупреждения о новых вирусах основы-
вались на широко разветвленной сети BBS (многие университетские
компьютерные центры организовали свои BBS, которые зарекомендовали
себя хорошим источником информации о местных вирусах и их штам-
мах).
Кроме бесплатных BBS на Западе распространены и коммерческие их
аналоги -- большие онлайновые информационные системы, такие как
CompuServe. Подключение к ним платное, зато объем и качество ин-
формации выше. Например, CompuServe предлагает мини-BBS по группам
интересов (так называемые SIG -- special interest groups). Среди
них есть и группа по борьбе с вирусами.
В некоторых западных популярных изданиях высказывалась мысль о
том, что вирусы якобы особо опасны при наличии компьютерных сетей.
Эта идея была некритически подхвачена и рядом отечественных авто-
ров, запугивающих читателей этой опасностью. Однако дело обстоит
как раз наоборот: компьютерные сети создают беспрецедентную воз-
можность обмениваться информацией, а существует древняя и мудрая
поговорка "Кто предупрежден, тот вооружен". Поэтому при наличии
сетей опыт борьбы конкретного пользователя с появившимся вирусом
становится достоянием всех заинтересованных пользователей на сле-
дующий день, а не через месяц или год, как это часто бывает у нас.
В частности, история борьбы с вирусом Морриса показала, что даже в
этом случае, когда удар был фактически направлен по самой сети,
функционирование последней явилось важным фактором быстрого и пол-
ного решения проблемы прекращения его распространения. Поэтому
расписывание ужасов сетевых вирусов при практически полном отсут-
ствии сетей, как раньше запугивание генетикой и ПЭВМ (в середине
80-х в Литгазете была опубликована пространная статья, в которой
на полном серьезе доказывалось, что социалистическому обществу в
связи с его коллективистским характером ПЭВМ не нужны), является
отражением нашей отсталости и консервативности. Перефразируя при-
веденные в качестве эпиграфа слова А.Азимова можно сказать, что
"Опасно не наличие сетей, а их отсутствие".
Конечно, компьютерные сети, как любое технологическое новшество,
создают и новые возможности для вандализма. Сетевые вирусы или
точнее репликаторы являются примером использования этих новых воз-
можностей. Однако суммарный эффект не отрицателен, а положителен:
наличие сети неизмеримо увеличивает эффективность защиты, создавая
возможность "мгновенной" передачи разработанных детекторов, фагов,
вакцин. Этот канал по своей эффективности конечно не идет ни в ка-
кое сравнение с передачей дискет через железнодорожных проводни-
ков: эту эрзац-сеть, которой вынуждены пользоваться отечественные
программисты.
1.2.7. Появление вирусов в СССР
"Ой Вань, гляди, какие клоуны...
Нет, я, ей-богу, закричу!.."
В.Высоцкий
Так или иначе, компьютерные вирусы стали частью окружающей про-
граммистов, да и не только программистов, действительности. Одним
из свидетельств этого является тот факт, что новое издание словаря
Вебстера (Webster's Ninth New College Dictionary) включает термин
"вирус компьютерный". И они, конечно, не миновали нашей страны,
хотя массовые закупки персональных компьютеров типа IBM/PC у нас в
стране начались только в середине 1988 г. (как всегда мы опоздали
почти на десять лет). К этому же моменту начался выпуск советских,
правда изрядно африканизированных, клонов -- ЕС 1840, Искра 1030 и
Нейрон.
Хотя исследования, выполненные в СССР, начались довольно поздно
и их формально нельзя отнести к предыстории (автору не известны
отечественные попытки создания самовоспроизводящихся программ до
1988 г.), следует отметить, что первое отечественное исследование
в данной области было выполнено до появления у нас в стране "на-
стоящих" компьютерных вирусов. Оно было проведено в 1988 г.
А.А.Чижовым, который в то время работал в ВЦ АН СССР (Москва). Ос-
новываясь непосредственно на концепции самовоспроизводящихся про-
грамм, он самостоятельно реализовал демонстрационный файловый ком-
пьютерный вирус для MS DOS и провел ряд экспериментов по его рас-
пространению (см. сокращенную стенограмму выступления А.А.Чижова
на семинаре, приведенную в бюллетене СОФТПАНОРАМА 90-3). В ходе
этих экспериментов автором была выявлена чрезвычайно большая ско-
рость распространения вируса. По материалам этого исследования в
1988 г. была опубликована первая русскоязычная статья по данной
проблематике [Чижов88] (журнал был подписан в печать 26.07.88,
т.е. во время проведения в CCCР Международного детского компьютер-
ного летнего лагеря -- см. ниже). Хотя в ней не приводились сведе-
ния о конкретных вирусах в MS DOS (А.А.Чижов "живыми" экземплярами
вирусов в тот момент не располагал), статья содержала полезные
сведения о механизме работы этого типа программ и предупреждала о
серьезности данной угрозы. В то же время публикация имела и отри-
цательные последствия, поскольку ввела в оборот "фантомные" на тот
момент типы вирусов, которые с тех пор кочуют по отечественным
публикациям ("вирус в объектной библиотеке", "вирус в сетевом
драйвере" и др.). Кроме того, неконкретность рекомендаций исключа-
ла принятие каких-то полезных профилактических мер, а призывы ав-
тора к соблюдению авторских прав носили в определенной мере мора-
лизаторский характер. Статья была замечена специалистами в Польше
(которые, кстати, отметили потенциальную опасность статьи, как по-
собия по разработке новых типов вирусов) и, возможно, других стра-
нах Восточной Европы.
Первый компьютерный вирус (С-648 по приводимой ниже классифика-
ции) появился в СССР приблизительно в августе 1988 г. Этот вирус,
часто называемый венским вирусом (по предполагаемому месту его
разработки), вызывал перезагрузку операционной системы при запуске
некоторых из пораженных им программ. Одним из первых мест, где он
был обнаружен, являлась лаборатория Института программных систем
(Переславль-Залесский). Возможно, он попал в лабораторию во время
проведения институтом (совместно с ЮНЕСКО) Международного детского
компьютерного летнего лагеря. Поскольку этот вирус к середине
1988 г. был уже довольно распространен в странах Западной Европы,
он несомненно завозился в СССР неоднократно, c различного рода но-
выми версиями программного обеспечения и компьютерными играми. В
Киеве этот вирус появился в конце 1988 г. Наибольшее распростране-
ние он получил примерно в апреле 1989 г., после чего его эпидемия
пошла на убыль, что прежде всего связано с достаточной распростра-
ненностью средств защиты от этого вируса. Одним из переносчиков
этого вируса в Киеве был адаптированный вариант программы SideKick
(шестерка). К сожалению, по стране распространяется реконструиро-
ванный одним венским программистом исходный текст данного вируса,
с довольно подробными комментариями. Этот текст, в частности, был
включен В.Бончевым в его так называемую "вирусную" дискету,
распространявшуюся вместе с разработанным им пакетом антивирусных
программ. Наличие исходного текста создает благоприятные условия для
появления штаммов. И, действительно, данный вирус имеет, пожалуй,
наибольшее часло штаммов из нерезидентных файловых вирусов. (см.,
например, описания вирусов С-534 и С-623).
Вторым вирусом, попавшим в СССP, был вирус RC-1701. Данный вирус
вызывал довольно интересный эффект "опадания" букв на экране мони-
тора. Этот вирус также имеет западноевропейское происхождение. В
СССР впервые был выделен в Институте прикладной математики имени
М.В.Келдыша АН СССР. B Киеве появился в начале 1989 г. Средства
защиты появились примерно одновременно с вирусом, поэтому сущест-
венного вреда вирус не нанес. Первым средством защиты от данного
вируса в Киеве была немецкоязычная (австрийская) программа SERUM3,
которая могла работать как в режиме фага, так и в режиме детекто-
ра. Среди первых отечественных программ, применявшихся на началь-
ной стадии эпидемии, следует отметить детектор В.Ладыгина (ИПМ АН
СССР) VIRUS_D1.
Попытки программистов организоваться для борьбы с этой новой
разновидностью системных программ относятся к началу 1989 г. Так,
12 апреля 1989 г. в Киеве в рамках семинара "Системное программи-
рование" было проведено первое специализированное заседание по ан-
тивирусной тематике. В дальнейшем выступления по этой теме стали
регулярными и было проведено еще несколько специальных заседаний,
посвященных защите от вирусов. Они сыграли определенную роль в со-
кращении случаев заражения компьютеров и ликвидации эпидемий виру-
сов C-648, RC-1701, и в особенности RC-1813, масштаб эпидемии ко-
торого в Киеве был наибольшим. Кстати, этот вирус хорошо прошелся
по СССР, реально показав, насколько "невооруженные" пользователи
уязвимы от этой новой для них опасности: сотни, если не тысячи ча-
сов были потеряны на переформатирование винчестеров и выгрузки ар-
хивных копий в надежде избежать повторного заражения. С сентября
1989 г. семинаром "Системное программирование" был организован вы-
|
