С.Крытый. ЛГ щ 33 (16.08.89)
Вирусы, как и троянские программы, создаются конкретными про-
граммистами. Хотя дальнейшее обсуждение будет в основном техниче-
ским, не следует забывать, что ключевым аспектом проблемы является
появление техно-крыс -- новой разновидности уголовников, использую-
щих для своих целей возросшую степень анонимности, достижимую с
появлением ПЭВМ и сетей. Поэтому важным аспектом борьбы с компью-
терными вирусами становится выявления личности преступника или
преступной группы, создающей или распространяющей компьютерные ви-
русы. Руководитель американской специальной группы по изучению
компьютерных преступлений, Кирк Тэбби, занимающий пост помощника
прокурора в Эн-Арборе (шт. Мичиган) заявил: "Уголовное дело можно
возбудить всегда, когда существует человек, совершивший преступле-
ние. Незаметное внедрение вируса в программу является злонамерен-
ным действием, а создание подобной программы -- преступлением" (The
Computer Law and Security Report. -- 1989. -- V.5. -- No. 1 -- H.18-
21). Уголовная ответственность может сочетаться с иском за нане-
сенный ущерб.
К концу 1989 г. в ряде стран (США, Великобритания, ФРГ) находят-
ся на рассмотрении законы, предусматривающие для разработчиков и
распространителей компьютерных вирусов значительные сроки тюремно-
го заключения (в США до 15 лет). Это позволит, помимо программных
и организационных мер, применять для борьбы с вирусами и правовые
методы. В частности, в палате представителей Конгресса США внесены
билль 55 (Virus Eradiation Act) и билль 287 (Computer Protection
Act) [Crawford89].
Выдержки из билля 287 (перевод Н.Н.Безрукова)
(А) Любой, кто сознательно или умышленно саботирует надлежащее
функционирование аппаратуры компьютерной системы или связанного с
ней программного обеспечения и тем самым вызовет потерю данных,
затруднения при работе ЭВМ, убытки или вред владельцу компьютера,
должен быть оштрафован -- или подвергнут тюремному заключению на
срок не более 15 лет или подвергнут обоим наказаниям.
(В) Пострадавшая сторона имеет право в судебном порядке требо-
вать соответствующую компенсацию понесенных убытков и судебных из-
держек.
Национальный институт стандартов США и Пентагон создали Компью-
терную группу быстрого реагирования из 12 человек для борьбы с ви-
русами и поиска преступников. Кроме того, Пентагон планирует со-
здать свой коммуникационный центр и подразделение для отражения
атак на компьютерные системы (Comm. AСM, 1989, v. 32, щ 2, p.
161).
В ФРГ законодательство позволяло, в большинстве случаев, при-
влечь к ответственности изготовителей и распространителей вирусов
еще в 1987 г. Подробнее с состоянием правовой защиты от заражения
компьютерными вирусами в ФРГ по состоянию на 1987 г. можно позна-
комиться по переводу книги Р.Бургера "Компьютерные вирусы"
[Burger88, гл.6]. Этот перевод распространяется, в частности, че-
рез Всесоюзный центр переводов (ВЦП).
Появление достаточно суровых законов создает в известной мере
трагическую ситуацию, известную под названием "поиск козла отпуще-
ния". Посадят одного, причем не самого вредного. Остальные оста-
нутся на свободе. А что такое для молодого способного человека в
17-18 лет получить даже год тюремного заключения? Да еще сознавая,
что его посадили, а остальные, принесшие не меньший вред, гуляют
на свободе.
1.2.14. Этические проблемы,
связанные с распространением компьютерных вирусов
"Копии хороши лишь тогда, когда
они открывают нам смешные
стороны дурных оригиналов"
Франсуа де Ларошфуко
Конечно, общепринятые приоритеты и этические принципы
[ParkerD81, Weiss82] исследований в программировании, использовав-
шиеся на первом этапе -- предыстории компьютерных вирусов, когда
проблема носила преимущественно научный характер (свободный обмен
информацией, программами и т.д.), не применимы на втором этапе,
когда проблема затрагивает интересы практически каждого пользова-
теля ПЭВМ. Сейчас как никогда остро стоит проблема выработки "ко-
декса" исследователя-"вирусолога". Этот кодекс должен исключать
свободную передачу как самих вирусов, в особенности их наиболее
опасных разновидностей (RCE-1800, RCE-2000 и др.). Здесь есть
смысл применить подход, принятый в медицине, где лекарства разде-
лены на "список-А", "список-Б" и т.д., причем в список-А попадают
наиболее опасные лекарства, доступ к которым наиболее регламенти-
рован, в список-Б менее опасные, но с регламентацией доступа (ре-
цепт с печатью) и т.д.
Появление "коллекционеров" вирусов, не ведущих работу по созда-
нию средств защиты, представляет особую опасность, поскольку попа-
дание такой "коллекции" в руки злонамеренного и безответственного
программиста может наделать много бед. Автор считает, что передача
вирусов может осуществляться только лицам, активно ведущим разра-
ботку средств защиты, и только на основе "соглашения о нераспрост-
ранении".
Наибольшую опасность представляют собой комментированные исход-
ные тексты вирусов. Уровень квалификации, требуемый для того, что-
бы изменить в ассемблерном тексте две-три команды, и заново ассем-
блировать текст вируса намного ниже, чем тот, который требуется
для дизассемблирования и реконструкции логики. Поэтому распростра-
нение исходного текста вируса фактически является подстрекательст-
вом к созданию новых вирусов. Если два-три года назад такой
поступок мог быть связан с отсутствием осознания опасности
компьютерных вирусов, то сейчас распространявшего исходных текстов
граничит с преступлением.
Следует подчеркнуть необходимость особой осторожности для всех,
кому так или иначе приходится анализировать зараженные программы и
реконструировать логику вируса. Относящиеся к этому материалы же-
лательно держать преимущественно как личные записи, не прибегая
без необходимости к внесению комментариев в файл, содержащий ди-
зассемблированный текст. Каталоги и архивы защищать от несанкцио-
нированного доступа паролями или, предпочтительнее, шифровкой. Не-
допустимо оставлять такого рода материалы в обычных каталогах на
"персональном компьютере коллективного пользования", поскольку
есть немало любителей рыться в чужих каталогах в поисках "чего-ни-
будь интересненького". Реконструированный текст следует рассматри-
вать как материал "для служебного пользования" и не передавать не-
знакомым лицам, даже если, по их словам, они занимаются разработ-
кой антивирусных средств: для создания большинства антивирусных
средств, в особенности фагов, необходимые сведения специалист мо-
жет получить самостоятельно за два-три часа работы.
В особенности это относится к вузам, где, несмотря на нашу бед-
ность, талантливые ребята все же имеют возможность работать на
персональных ЭВМ. Часто такие ребята предоставлены сами себе и не
имеют поддержки со стороны преподавателей программирования, многие
из которых давно отошли или вообще никогда не занимались разработ-
кой реальных программ и просто боятся студентов, "знающих слишком
много". При отсутствии более конструктивной цели, заполучив какие-
нибудь листинги, такие студенты могут заняться разработкой виру-
сов, а не антивирусов, не отдавая себе отчет в аморальности своих
действий. Поскольку обмен программами между студентами обычно
весьма интенсивен, вирус имеет определенные шансы на быстрое рас-
пространение. Поэтому необходимы определенные действия обществен-
ности, чтобы предотвратить такую возможность. Они могут включать
награду каждому, кто сообщит автора того или иного вируса, а также
разъяснительную работу относительно этического содержания действий
разработчиков вирусов. В этом плане заслуживает внимания обращение
к авторам вирусов американской общественной организации "Професси-
оналы-программисты за социальную ответственность":
"У Вас есть талант, чтобы сделать что-то полезное в жизни. То,
что Вы делаете, вредит промышленности и обществу, которое готово
принять Вас и ваш талант с распростертыми объятьями. Удовлетворе-
ние, которое Вы получите от сотрудничества с нами, намного выше
того, которое Вы получите при нанесении вреда ни в чем не повинным
людям. Остановитесь !"
Среди программистов существует два основных мнения относительно
того, следует ли публиковать сведения о конкретных вирусах и мето-
дах атаки, используемых ими. Одни считают, что публикация техниче-
ских подробностей облегчит криминальным элементам, которые, к со-
жалению, имеются и среди программистов, создание более опасных и
разрушительных вирусов. Другие придерживаются противоположного
мнения, полагая, что публикация этих данных будет способствовать
мобилизации сил на создание мощных средств борьбы с этой разновид-
ностью компьютерного вандализма и предотвратит ненужное дублирова-
ние усилий. Автор придерживается второй точки зрения и считает,
что создание мощных средств защиты позволит поднять "планку" тех-
нической сложности разработки эффективного вируса до уровня, на
порядок превышающего сегодняшний, что существенно сузит круг лиц,
представляющих потенциальную опасность.
При написании данной работы автор сознательно исключил ряд све-
дений, которые могли бы быть использованы во вред. В частности,
дампы зараженных программ приводятся в сокращенном виде. Однако
решающее значение, по-видимому, имеет создание общественной атмос-
феры нетерпимости к попыткам разработки или использования вирусов.
Если такие попытки будут вызывать не отпор, а поощрительное похло-
пывание по плечу в коллективе разработчика, то в скором времени и
пользователям и разработчикам антивирусных программ придется бо-
роться на два фронта: против вирусов, попадающих с Запада (или с
Востока) и против отечественных разновидностей. Тем более, что
первые отечественные вирусы уже появились. Ситуация с отечествен-
ными разработчиками вирусов усложняется тем, что их довольно слож-
но привлечь к уголовной ответственности по действующему законода-
тельству (хотя специфика советской действительности оставляет не-
которую надежду в случае, если от этого вируса "полетит" важная
информация где-нибудь в прокуратуре или министерстве юстиции).
В связи с этим следует отметить полную бесперспективность попы-
ток использования вирусов для защиты программного обеспечения от
незаконного копирования. Поскольку распространение вируса не явля-
ется контролируемым процессом, то в данном случае скорее всего по-
страдают не лица, использовавшие незаконную копию, а другие поль-
зователи. Хотя я ни в коей мере не оправдываю незаконное копирова-
ние программ, но лекарство не должно быть опаснее, чем болезнь. Не
стоит бросать бомбу в магазин для наказания человека, укравшего
пачку сливочного масла. Более того, установление автора вируса бу-
дет означать полную потерю репутации разработчика и, следователь-
но, коммерческий крах. Этому будет, несомненно, способствовать и
широкая огласка, включая сообщения на профессиональных семинарах,
и публикации в прессе, которые последуют за установлением авто-
ра(ов) вируса.
1.2.15. Проблема самоизоляции
"Не так страшен черт,
как его малюют"
Пословица
Основная проблема для пользователей ПЭВМ, возникающая в связи с
появлением компьютерных вирусов, состоит в том, как защитить свои
программы и данные, не прибегая к самоизоляции. Практика показыва-
ет, что эта проблема вполне разрешима. Как и против биологических
вирусов, для борьбы с компьютерными вирусами может применяться це-
