нения ущерба. Не возмещается ущерб, связанный с неполученной
прибылью, и косвенные затраты; ущерб, предусмотренный другим
договором о страховании (огонь, вода и т.д.); ущерб, о котором
заявлено спустя более двух лет после завершения манипуляций н
ЭВМ, а также ущерб в результате действия "стихийных сил".
В обязанности страхователя, кроме вышеупомянутой строгой
проверки служащих, входит передача страховщику всех сведений,
которые могут помочь в выяснении обстоятельств страхового случая,
даже если он не может или не хочет предъявлять претензии на воз-
мещение ущерба. Это значит, что о каждом невыясненном полностью
нарушении в работе ЭВМ следует ставить в известность страховую
компанию (ошибка в передаче данных, ошибка оператора и т.д.).
Так как виновных в использовании компьютерных вирусов выя-
вить достаточно сложно, а это является обязательным условием
- 134 -
выдвижения претензии на возмещение ущерба, страхователи проявляют
интерес к заключению страхового договора без этой оговорки. По
сообщению "Хандельсблат", начиная с 1986 г. "некоторые страховые
компании ФРГ предлагают возможность страхования от всех случаев
неправомерного использования ЭВМ без установления конкретного
виновника ("Хандельсблат", 16,06,87)".
Так как такие договора означают для страховых компаний труд-
но предсказуемый риск, "можно наблюдать, что этот вид страховой
защиты предлагается только "первым лицам"" . Надбавка к страховой
премии по такому договору "составляет 30-40% от премии по страхо-
ванию на случай неправомерного использования ЭВМ"
("Хандельсблат",16,06.87).
В связи с этим сообщением обнаружилось:
Крупная страховая компания , наряду с отказом идентификации
виновника при страховании от злонамеренного использования компью-
теров, предлагает также страхование на случай неправомерного
использования данных.
Другая страховая компания в ответ на запрос сообщила, что по
настоятельной просьбе клиента в особых случаях при страховании на
случай неправомерного использования ЭВМ можно исключить оговорку
об идентификации виновника.
Что же дают эти изменения и нововведения?
Отказ от идентификации виновника
Вопреки обычной практики достаточно, "если страхователь
наряду с прочими условиями страхования, приведет доказательство,
что застрахованное доверенное лицо причинило ущерб; при этом не
требуется приведения конкретных доказательств исполнительства
определенным сотрудником. Если невозможно привести доказательство
исполнительства доверенным лицом, то для обязательной выплаты
достаточно "преобладающей вероятности".
Так как , по мнению автора, понятие "преобладающей вероят-
ности" трудно строго сформулировать, правовой конфликт в страхо-
вом случае запрограммирован заранее. Тем не менее удобно, что
больше не требуется идентификация виновника. Подобная идентифика-
ция могла бы вызвать определенные проблемы на предприятиях с
многочисленным персоналом.
Но одна из оговорок в договорах о страховании, по-видимому,
- 135 -
может доставить определенные неприятности застрахованным:
Если идентификация невозможна, страхователь должен:
а) заявить в полицию (при некоторых обстоятельствах это
может бросить тень на предприятие);
б) увеличить долю собственного участия в возмещении убытков.
Страхование на случай неправомерного использования данных
Эта форма страхования предлагает страховую защиту на тот
случай, если постороннее лицо (в отличие от доверенного лица)
преднамеренно создает для себя имущественную выгоду путем
а) изготовления, изменения, повреждения или уничтожения
программ ЭВМ, машиночитаемых носителей данных или данных,
хранящихся в памяти ЭВМ;
б) ввода данных, машиночитаемых носителей и программ в ЭВМ.
При беглом чтении может сложиться впечатление, что заключение
такого договора покроет любой риск, так как эта форма страхования
предлагается только вместе со страхованием на случай неправомер-
ного использования ЭВМ. Но при определенных обстоятельствах для
страхователя возможны тяжелые последствия, поскольку "непреднаме-
ренно или преднамеренно повреждение аппаратно-программных средств
вследствие почти невозможного разграничения с другими, нестраху-
емыми случаями не является предметом данного страхования".
Это значит, что страхователь должен нести высокие издержки
не только на восстановление программ или данных, но и в связи с
недополучением прибыли, утратой производственных секретов и т.д.
И по такой форме договора страховщик обязан заявить в полицию и
причиненом ущербе. Это, естественно, ставит проблему "потери
репутации".
Так как для этих видов страхования суммы возмещения могут
оказаться чрезвычайно большими - до 20 миллионов, понятна опреде-
ленная осторожность со стороны страховых фирм. В результате такой
договор "первому встречному" не предлагается. В любом случае
перед заключением запрашивается точная информация о страхуемом
предприятии. Например, заполняется анкета, включающая 120 пунк-
тов и занимающая 6 страниц в формате А4.ДИН.
- 136 -
Несколько примеров:
- Годовой оборот?
- Общее число сотрудников?
- Бюджет ЭВМ?
- Надежно ли хранится системная документация ?
- Невыясненные потери за последние пять лет?
- Имеет ли кто из сотрудников судимость за имущественные
преступления?
- Имелись ли в прошлом случаи отказа от страхования?
Итак, риск можно уменьшить, но невозможно исключить любой
риск, прямо или косвенно связанный с ЭВМ. Вышеназванные страховые
договоры не представляют интереса для мелких пользователей из-за
низкой страховой премии. Они используются промышленными предприя-
тиями и крупными фирмами для "страхования от катастрофического
убытка", т.е. убытка, грозящего существованию предприятия. При
таких условиях страхуемый, безусловно может пойти на собственное
участие в возмещение убытков в размере от 10 тыс. до 1 мин марок
ФРГ, чтобы обеспечить низкие страховые премии.
Часть П
Компьютерные вирусы в прикладных программах
Во второй части настоящей книги рассматриваются распечатки
программ компьютерных вирусов почти на всех существующих языках
программирования, что, пожалуй, представляет наибольший интерес
для практиков. Рассматриваются также принципы действия различных
вирусов, средства защиты от компьютерных вирусов и их
устранения.
Приведенные здесь распечатки должны побудить читателя к
проведению собственных экспериментов, причем не имеет значения, с
каким компьютером работает читатель. С помощью незначительных
изменений, внесенных в написанную на языке высокого уровня
программу, можно адаптировать ее практически к любой системе,
поскольку принцип составления программ-вирусов обеспечивает их
- 137 -
переносимость.
Каждый читатель, проводяший эксперименты с вирусами, должен
полностью отдавать себе отчет в том, чтобы не повредить себе и
другим. Это означает также, что все программы-вирусы должны быть
записаны на носителях данных таким образом, чтобы их нельзя было
запустить по ошибке.
Только работа с полным пониманием своей ответственности
может помешать распространению вирусов.
9. Формы проявления компьютерных вирусов
Теперь, после того, как заложены основы понимания, что такое
компьютерные вирусы, рассмотрим различные формы проявления дейст-
вия таких программ. Общим для всех форм проявления действия
компьютерных вирусов является некоторое изменение составных час-
тей программ.
Такие изменения могут объясняться по-разному. Для того,
чтобы ясно представлять себе многочисленные возможности составле-
ния программ-вирусов, нужно прежде всего проанализировать
основные функции программ-вирусов.
Во всех случаях вирусу, для того, чтобы он мог начать дейст-
вовать в качестве вируса, нужно иметь право доступа на запись или
иметь возможность получить право такого доступа. Кроме того,
вирус должен иметь информацию о составе существующих программ или
иметь возможность такую информацию получить. Если программа удов-
летворяет этим двум основным условиям, из этой программы может
распространяться вирус или она сама может развиться в вирус. В
качестве третьего условия можно было бы рассматривать запрос
опознания уже существующей "инфекции". Строго говоря, это условие
должно быть выполнено, чтобы можно было говорить об одном вирусе.
Но, поскольку, наличие "инфекции", как правило, влечет за собой
определенные нарушения, для пользователя неважно, была ли програ-
мма заражена многократно.
Для вирусов, не обладающих способностью распознавать наличие
"инфекции", избежать повторного заражения одной и той же
программы
можно, например, путем управления доступом через генератор случа-
йных чисел. Правда, такие вирусы особенно опасны тем, что могут
выйти из-под контроля собственного создателя, поскольку сам
- 138 -
разработчик не имеет возможности управлять случайным доступом.
9.1 Перезаписывающие вирусы
Наиболее простым с точки зрения их программной реализации
являются перезаписывающие вирусы. Программы-вирусы такого вида
уже были кратко описаны в разделе 4. Характерным признаком этих
вирусов является их разрушающее действие. Вычислительные систе-
мы, программы которых заражены вирусом такого рода, выходят из
строя в самое короткое время ("острая инфекция").
Если за определение перезаписывающих вирусов принять
разрушение программных кодов основной программы, не позволяющее
их реконструировать, то с помощью перезаписывающих вирусов оказы-
вается невозможным распространение "инфекции" на все работающие в
"зараженной " системе программы: поскольку пользователь быстро
обнаружит, что "здесь что-то не так". Правда, чаще всего предпо-
лагают, что ошибка связана со сбоем в аппаратуре, поскольку посто-
янно выдаются все новые сообщения об ошибке.
Для отражения процесса распространения "инфекции" пригодна
та же схема, что и в разделе 4. Здесь добавлено лишь задание на
обработку "MAN", о форме которого Вы должны были прочитать в
разделе 7 и последующих разделах.
K Байт идентификатора вируса
VIR Ядро вируса
MAN Задание на обработку (манипуляции, выполняемые вирусом)
Программа-носитель вируса
Для защиты от самопроизвольного распространения вирусов
сознательно инфицируйте некоторую программу. Такое "направленное"
заражение необходимо, чтобы уже при запуске базовой программы не
встретиться с сообщением об ошибке.
Если такая программа запущена, то вначале обрабатывается
стоящая в начале программы часть вируса. Байт идентификатора "К"
в этом случае образуется с помощью характерного для данного виру-
са команды безусловного перехода или с помощью "нулевой
операции". Теперь ядро вируса активно и начинает свою
разрушительную работу.
- 139 -
ЪДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ K ¦ VIR ¦ MAN ¦ программа-носитель вируса¦
АДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
Вирус просматривает достижимую для исполняемых программ
массовую память. В этом случае вирус разрушает вторую прикладную
программу. Теперь в оперативной памяти сохраняется некая малая
часть второй прикладной программы. Затем можно проверить, есть ли
в начале этой программы байт идентификатора "К". Если этот байт
