на котором вряд ли возможен большой экономический и политический
ущерб.
Другим уровнем "программной войны" являются целенаправленные
террористические акты. Программисты вирусов стараются продвинуть-
ся в этом направлении. Так, например, на "Хаос комьюникейшн
конгрессе 86" некоторым программистам вирусов часто задавали воп-
рос "не являются ли они завтрашними рыбами-пилами
(Strommastsager)".
Конечно, говорили, что внедрение вирусов в громадные массивы
данных государственных ЭВМ стали свершившимся фактом, однако
предостерегали от публикации программ-вирусов, так как последст-
вия могут быть непредсказуемыми. Обобщая, можно, вероятно,
оценить риск осуществления террористических актов при помощи
вирусов как очень, очень малый. По крайней мере, до тех пор пока
- 59 -
компьютеры остаются для правых и левых группировок "чудом'. Здесь
можно положиться на мнение профессора Брунштайна, который спо-
койно свел попытку срыва переписи населения 1987 года при помощи
вирусов к рекламному трюку.
Наконец, третий уровень "программной войны" образует вмеша-
тельство в стратегические вычислительные системы противника во
время военного столкновения, например, в потенциально важные
системы в полосе обеспечения такого противостояния. Так как эти
системы решают проблемы жизни и смерти многих людей, здесь следу-
ет ожидать глубоких последствий. В этой области исследования,
вероятно, зашли существенно дальше того, о чем сообщается офици-
ально.
Где-то между этими тремя уровнями лежит "обычный криминаль-
ный" доступ к вычислительным системам с целью получения каких-
либо выгод. Оценить эту область из-за существующих ограничений
очень трудно - соответствующие цифры, вероятно, очень велики.
Кто бы и на каком бы уровне не участвовал в "программной
войне", он всегда столкнется с теми же проблемами противоборства.
Трудность заключается в получении информации о системе намечаемой
жертвы. Сохранение в большем или меньшем секрете внутрисистемных
процессов чаще всего является единственной защитой от вирусов в
вычислительных системах.
3.4 Неосведомленность готовит почву
Тема "защита от вирусов" очень трудна для многих изготовите-
лей аппаратного и программного обеспечения. Причина этого заклю-
чается в том, что предоставляя специальную системную информацию,
необходимую для защиты от вирусов, фирма снабжает этой информаци-
ей и "противную сторону".
Пример тому можно найти в операционной системе MS-DOS. Когда
первые персональные ЭВМ фирмы IBM тогда еще с операционной сис-
темой PS-DOS - появились на рынке, многие пользователи удивля-
лись, почему они не могут найти в каталоге таких файлов, как
MSDOS.SYS или IO.SYS. Причина заключается в том, что, как теперь
знает почти каждый пользователь MS-DOS, атрибут "невидимый файл"
(Hidden file)" предотвращает вывод этих имен в каталоге. Теперь
имеется много программ - отчасти даже сервисные программы MS-DOS,
с чьей помощью каждый пользователь может изменять атрибуты и
- 60 -
редактировать даже "невидимые файлы". Таким образом, атрибут
"невидимый" потерял защитные функции из-за распространения инфор-
мации о нем.
Очень многие изготовители до сих пор считают, что программа
защиты действительно хороша лишь в том случае, если не известен
принцип ее действия. Чаще всего при этом не понимают, что скры-
вать принцип действия, а следовательно, и обеспечивать функции
защиты можно лишь временно.
Функция защиты должна быть такой, чтобы можно было без опас-
ки обнародовать принцип ее действия, а потенциальный злоумышлен-
ник должен сразу понять безнадежность любой попытки ее обхода, и
потому отказаться от этой попытки.
Эта точка зрения, однако, до сих пор не признается фирмами,
производящими программное обеспечение. Защита данных и сегодня
еще во многом базируется на неосведомленности пользователя.
Лишь несколько примеров:
FIBU защищен паролем. В шестнадцатиричном дампе программы,
пароль расположен непосредственно за словом "пароль:". Кроме
того, все данные могут быть выведены на экран при помощи команды
TIPE.
Система баз данных не позволяет осуществить прерывание прог-
раммы на этапе проверки записи о защите авторских прав. При пере-
адресации INT 5 на собственную программу прерывание становится
возможным.
Защита от копирования предотвращает проведение отладки путем
"переадресации" указателя прерывания. После "обратной
переадресации" указателя отладка становится возможной.
4. Современное состояние исследований в области
программирования вирусов
Исследовательские организации обычно проходят либо мимо этих
проблем, либо там все так секретно, что работающие там сами не
знают, чем занимаются.
Для государственных учреждений (министерства научных иссле-
дований и т.д.) справедливо то же, что и для исследовательских
учреждений.
Остается еще промышленность, которая, однако, тоже неохотно
открывает карты.
- 61 -
Поэтому обратим взгляд на хакеров, которые пока не боятся
публично касаться острых тем (иногда рискуя при этом пострадать).
4.1 Chaos Communicayion Congress. Декабрь 1986
Ежегодный конгресс гамбургского ССС (Хаос Компьютер Клаб)
состоялся в 1986 году под девизом "компьютерные вирусы". Там
собрались от двухсот до трехсот программистов и других заинтере-
сованных лиц, чтобы ознакомиться с новейшими результатами в обла-
сти защиты данных. Среди них находились также некоторые програм-
мисты - по словам организаторов, около двадцати - с практическим
"вирусным опытом".
Как пришли к этому мероприятию, представляющему нечто новое
в области симпозиумов? Вот что по этому поводу говорят организа-
торы: "Хотя публикации в специальных журналах должны были способ-
ствовать пониманию потенциальной опасности вирусов разработчиками
операционных систем, системного и прикладного программного обес-
печения, на практике все не так. Фирмы по производству системного
программного обеспечения не понимают и не хотят понимать
проблемы. Осознание того, что необходима информация об опасности,
до сих пор отсутствует. Напротив, упущенная промышленностью и
торговлей по беспечности информация способствует повышению потен-
циальной опасности.
Таким образом, большая часть пользователей персональных ЭВМ
в промышленности, торговле и бытовом обслуживании, а также все
частные пользователи получают незащищенные разработки.
Поэтому ССС вынужден был посвятить Chaos Communication
Congress 1986 "компьютерным вирусам". Только публичная дискуссия
может способствовать осознанию необходимости таких разработок и
обобщению сведений о последствиях, воздействии и возможностях
защиты."
C этой же целью февральский выпуск "Датеншлейдер" - центра-
льный орган ССС - поместил наглядные результаты своих исследова-
ний. В этом выпуске опубликованы сведения и результаты дискуссий.
"Ущерб и/или польза от вируса зависит от разработчика и
распространителя вируса. Хотя основной причиной "мести" являются
плохие социальные условия программистов, однако готовности злона-
меренного использования вирусов способствуют также зависть, недо-
брожелательность и собственная слабость".
- 62 -
История показывает, как опасно исключать обсуждение проблем
безопасности из открытых дискуссий."
"... участники конгресса ожидали получить рекомендации пуб-
личной дискуссии относительно риска, связанного с новыми техноло-
гиями."
Возможные выводы организатора. В рамках дискуссии, которую
пришлось прервать из-за грозящей опасности, прийти ко всеобщему
соглашению невозможно. Следующие далее цитаты покажут, насколько
различны были мнения участников:
"Я проклинаю тот день, когда я купил винчестер".
"Такие мероприятия, как ССС'86, ничего не изменят в работе
ЭВМ. Они скорее позволяют осознать значение своих поступков."
"Проблема заключается не в компьютерных вирусах, а в катаст-
рофах, возникающих из-за зависимости от технологий".
"Вирус хорош тогда, когда разработчик вируса не может соз-
дать антивирус".
В то время как дискуссия о преимуществах и недостатках обна-
родования вирусов еще продолжалась, неподалеку уже копировались
представленные там совершенно безобидные демонстрационные вирусы.
Вся дискуссия освещалась представителями прессы, которые не всег-
да чувствовали себя таковыми. Создавалось впечатление, что прог-
раммисты в рекламных целях должны идти на правонарушение или
оправдание использования вирусов: "Считаете ли вы законным испо-
льзование вирусов в государственных организациях в крайнем
случае?"
Звучали также вопросы об исходных текстах "строгих" вирусов.
Однако на эти и аналогичные вопросы каждый участник должен был
ответить сам. Слишком различны были мнения. Некоторые углубля-
лись в технические подробности и беседовали об этом с авторами.
Эти участники предпочли бы обсуждать только теоретические проб-
лемы, чтобы не получили распространения детальные сведения, что,
в свою очередь, предотвратило бы распространение вирусов подража-
телями. В заключение почти все сошлись на том, что "стремление из
всего делать тайну" способствует распространению вирусов, поэтому
следует сделать все, чтобы обратить внимание общественности на
эту проблему. Эту похвальную цель до сих пор и преследовал ССС.
4.2 Хакеры в 1987 году
- 63 -
Большой успех Chaos Communication Congres побудил ССС орга-
низовать в апреле симпозиум по вирусам. Большие новости здесь,
конечно, не обсуждались, что не в последнюю очередь объясняется
чрезвычайно пестрым составом участников - от начинающих пользова-
телей С64 до профессионалов, работающих на ВАКСе. Это определило
основное направление симпозиума - передача сведений.
Краткое обобщение результатов симпозиума:
Б. Фикс представил свою защиту на основе криптографии.
Слухи о том, что GMD (Общество математической обработки
данных) - любимое детище министра Ризенхубера) на персональных
ЭВМ появились вирусы и пошли по кругу, как почти всегда, все
носители были стерты и отформатированы в надежде на то, что это
предохранит от поражения вирусами. Таким образом, здесь также
была упущена возможность выяснить, что же, собственно говоря,
произошло.
М. Валлен изготовил свой Паскаль-вирус номер один и опубли-
ковал его в почтовом ящике, однако ответственные (или боязливые)
системные операторы очень быстро удалили его. Читатель может
увидеть изображение этой программы в разделе 10.2.
Затем симпозиум ССС по вирусам в апреле. В узком кругу в июне
еще раз обсуждались новые работы в этой области. В обсуждении
участвовали М.Валлен, С.Вернери, Б.Фикс, Р.Бургер. Обсуждались
как подходы к полезному использованию вирусов, так и возможности
защиты.
Б. Фикс посетовал о потере права доступа к ЭВМ высшей школы
после того, как новый супервизор обнаружил источник вирусов,
который, как назло, был очень хорошо задокументирован. Профессор
Браунштайн (Гамбургский университет) хотел использовать этот
повод для продолжения своей работы на Гамбургской системе. К
сожалению, эти намерения провалились - как хорошо было сказано -
из-за проблем организации.
Далее участники обсуждения смогли рассмотреть резидентную в
памяти версию криптографической программы Б. Фикса, которая пре-
дотвращает распространение вируса путем преднамеренного образова-
ния несовместимости. Дискуссия завершилась темой, достаточно
