Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Прохождения игр    
Roman legionnaire vs Knight Artorias
Ghost-Skeleton in DSR
Expedition SCP-432-4
Expedition SCP-432-3 DATA EXPUNGED

Другие игры...


liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Безруков Н.Н. Весь текст 1232.53 Kb

Компьютерная вирусология ч. 1

Предыдущая страница Следующая страница
1 2 3 4 5  6 7 8 9 10 11 12 13 14 ... 106


            1.1.5. Тьюринговская лекция Кена Томпсона

  В 1983 г.  Кену Томпсону (Ken Thompson) -- создателю всемирно из-
вестной операционной  системы UNIX, была присуждена самая престиж-
ная в  мире программирования премия -- премия имени Тьюринга Амери-
канской ассоциации компьютерной техники (Association for computing
machinery) -- самой  старой и  наиболее массовой организации амери-
канских программистов.  Свою  замечательную  тьюринговскую  лекцию
(читаемую каждым лауреатом на ежегодном съезде общества) Кен Томп-
сон посвятил не истории создания системы UNIX, а проблеме внесения
тонких ошибок в код компилятора, которые невозможно обнаружить пу-
тем анализа  исходного текста  последнего [Thompson84].  Хотя в то
время данная тема казалась чем-то незначительным, Томпсон затронул
важную проблему, ставшую актуальной только с появлением компьютер-
ных вирусов.  В своем заключении -- оказавшемся в значительной мере
пророческим -- он в частности сказал:
    "Нельзя доверять программам, написанным не вами самими Є Ника-
кой объем  верификации исходного  текста и исследований не защитит
вас от  использования ненадежного  (untrusted) кода.  По мере того
как уровень языка, на котором написана программа, снижается, нахо-
дить эти  ошибки становится  все труднее и труднее. "Хорошо проду-
манную" (well  installed) ошибку в микрокоде найти почти невозмож-
но.
  Я хотел  бы подвергнуть  критике прессу за ее освещение проблемы
хакеров, банды  414, банды  Дальтона (Dalton gang) и т.д. Действия
этих ребят  представляют собой в лучшем случае вандализм, а в худ-
шем --  возможно, правонарушение и воровство. Только несовершенство
уголовного законодательства спасает хакеров от очень серьезных на-
казаний. Компании,  которые могут пострадать от этой активности (а
большинство крупных компаний являются очень уязвимыми в этом отно-
шении), предпринимают  значительные усилия  с тем,  чтобы добиться
изменения уголовного  законодательства. Несанкционированный доступ
к компьютерным системам уже является серьезным преступлением в ря-
де штатов, и соответствующие законы в настоящее время рассматрива-
ются во многих других штатах и в Конгрессе.
  Надвигается взрывоопасная ситуация. С одной стороны, пресса, те-
левидение и фильмы делают героев из этих вандалов, называя их вун-
деркиндами (whiz  kids). С другой стороны, действия этих ребят бу-
дут скоро наказываться годами тюрьмы.
  Я видел,  как эти ребята давали показания Конгрессу. Было совер-
шенно ясно, что они не отдают себе отчета в серьезности своих дей-
ствий. Это,  возможно, связано  с различиями  в культурном  уровне
(cultural gap). Проникновение в компьютерные системы должно накла-
дывать на  человека такое  же клеймо,  как проникновение  в  чужую
квартиру. И не имеет никакого значения, что дверь соседа оказалась
незапертой. Пресса  должна понять, что неверное использование ком-
пьютера ничем  не лучше управления автомобилем в нетрезвом состоя-
нии" (перевод Н.Н.Безрукова).


             1.1.6. Игра "Бой в памяти", работы Коэна
                     и другие события 1984 г.

  1984 г. оказался  переломным в  истории компьютерных вирусов -- в
течение года  произошло несколько событий "исторического значения"
с точки зрения компьютерных вирусов.
  В  мае   1984 г.  в  журнале  "Scientific  American"  А.К.Дьюдни
(A.K.Dewdney) --   автором    колонки   "Занимательный   компьютер"
(Computer Recreations)  был опубликован  упрощенный  вариант  игры
Darvin, названный  "Core War"  ("Бой в  памяти") [Dewdney84]. Игра
вызвала значительный читательский интерес, и впоследствии было да-
же организовано  международное  общество  International  Core  War
Society cо штаб-квартирой в США и филиалами в Италии, Польше, ФРГ,
Японии и  СССР (152140  Переславль-Залесский 5,  а/я  10,  Лилитко
Е.П.) [Лилитко89].  В данной  игре два  игрока пишут по одной про-
грамме каждый на языке низкого уровня REDCODE. Программы помещают-
ся в  большой циклически  замкнутый участок памяти. Каждая команда
занимает одну  ячейку памяти. Управляющая программа поочередно ис-
полняет одну  команду каждой программы, подобно простейшей системе
реального времени.  Программы атакуют  друг друга  и в то же время
пытаются избежать повреждений и восстанавливать поврежденные обла-
сти. Простейшая  атака состоит  в использовании команды MOV (запи-
сать в память). Например: MOV #0,1000 может "убить наповал" враже-
скую программу, если попадет в следующую исполняемую команду (т.е.
если следующая  выполняемая команда  "врага" расположена по адресу
1000) или  "ранить", если  это данные или исполняемые команды, или
наконец, "попасть  мимо", если  ячейка 1000  противной стороной не
используется.
  Два итальянских  программиста Р.Черути (Roberto Cerutti) и М.Мо-
рокути (Marco  Morocutti), основываясь  на идеях  игры, попытались
создать программу, обладающую свойством саморазмножения в реальных
условиях, на  Apple II, получившей к этому времени распространение
во всем мире (впрочем, наша страна, как и некоторые другие находи-
лась в  стороне от  этого процесса).  Apple II  имел дисковод  для
гибких дисков, и итальянцам удалось нащупать основную идею бутово-
го вируса --  перехват прерывания  по  чтению  и  заражение  каждой
вставляемой в ЭВМ дискеты. Они также сообразили, что будучи реали-
зованной, программа вызвала бы миниэпидемию в масштабах их родного
города Брешиа. Более того, поняв, что указанная программа является
компьютерным вирусом,  они по  аналогии с  естественными  вирусами
пришли к  идее о  том, что компьютерный вирус может наносить вред.
Для этой  цели они предложили встроить счетчик в бутсектор и через
каждые 16  размножений (это, по сути, первое упоминание идеи счет-
чика в  бутсекторе -- идеи,  которая будет открываться и переоткры-
ваться многими  разработчиками вирусов для IBM PC) запускать пере-
форматирование дискеты.  Однако они  во-время ужаснулись возможным
последствиям и отказались от реализации практически полностью спе-
цифицированной программы.  Тем не  менее, они имели неосторожность
изложить  свои   идеи  достаточно   подробно  в  письме  в  журнал
"Scientific American",  а А.К.Дьюдни в апрельском (за 1985 г.) об-
зоре писем  читателей по  поводу игры  "Бой в  памяти" [Dewdney85]
опубликовал их  письмо. Последнее  можно рассматривать  как первую
достаточно полную  опубликованную  спецификацию  бутового  вируса.
Рассматриваемая публикация  несколько   ускорила последующие собы-
тия, хотя  сам их  ход был  уже  предопределен.  Поскольку  журнал
"Scientific American"  относится к  наиболее читаемым научно-попу-
лярным журналам как в США, так и в других западных странах, письмо
Р.Черути и  М.Морокути было  замечено, и попытки повторения не за-
ставили себя  долго ждать.  Так, вирус, реализованный по опублико-
ванному описанию  Р.Скрентой-младшим из  Питсбурга  (США),  быстро
распространился по  дискетам его  знакомых и  преподавателей.  Для
борьбы с ним был написан антивирус, однако он оказался не в состо-
янии предотвратить дальнейшее распространение вируса.
  В сентябре 1984 г. была опубликована статья Ф.Коэна (Fred Cohen)
[Cohen84], в  которой автор исследовал разновидность файлового ви-
руса. Это  фактически второе  академическое исследование  проблемы
вирусов. Работа  содержала полезное,  хотя и  недостаточно строгое
формальное определение  вируса и  ряд важных соображений о большой
потенциальной опасности компьютерных вирусов, а также относительно
того, что  для своего размножения вирусу достаточно обычных опера-
ций, реализуемых  файловой системой  любой ОС.  Ф.Коэн описал  ряд
экспериментов, проделанных 3.11.83 г. на системе VAX 11/750, рабо-
тающей под  управлением ОС  UNIX. Вирус был имплантирован в начало
утилиты VD,  которая позволяла графически отображать структуру ка-
талогов диска. Поскольку VD была новой программой, о ее характери-
стиках пользователи  представления не  имели. В ходе пяти экспери-
ментов пользователю  зараженной программы  в течение определенного
времени (от 5 до 30 мин.) предоставлялся статус суперпользователя.
Эксперимент показал достаточно высокую скорость размножения вируса
(1/2 с. на  заражение) и  большое количество зараженных файлов. По
материалам этой  статьи в 1984 г. появилась статья в журнале "Шпи-
гель" под  названием "Тайная  инструкция" [Spiegel84], которая вы-
звала оживленную дискуссию в ФРГ. В дискуссии принял участие и сам
Ф.Коэн. Уже  тогда обсуждались вопросы о целесообразности публика-
ций по  данной тематике.  Как пишет в своей книге Р.Бургер, Джером
Лоубел -- советник  по безопасности  компьютеров  фирмы  "Honeywell
Informations Systems",  возражал против публичного обсуждения дан-
ного вопроса.  В свою  защиту Ф.Коэн привел следующие соображения:
"Суть дела заключается все же в том, что если придумать что-либо в
этом роде  под силу  мне, то это может также сделать и кто-то дру-
гой", и  этот другой  может оказаться  "скверным парнем".  Забегая
вперед, следует отметить, что в 1986 г. Ф.Коэн защитил диссертацию
под названием "Компьютерные вирусы".
  В  1985 г.   на   страницах   журнала   KES   (ФРГ)   Р.Дирштейн
(R.Dierstein) опубликовал  комментированный перевод работы Ф.Коэна
[Dierstein85]. Этим же автором опубликовано еще несколько работ по
данной тематике,  в частности [Dierstein86] и "Computer viruses: a
secret threat" в трудах конференции Securicom (Париж, 1986).


          1.1.7. Первые попытки противодействия: список
         "грязная дюжина" и первые антивирусные программы

  В том  же 1985 г.  Том Нельф  (Tom Nelf) начал распространять по
различным BBS  список "Грязная дюжина -- список опасных загружаемых
программ" ("The  Dirty Dosen -- An Unloaded Program Alert List"), в
котором были  перечислены известные на тот момент программы-ванда-
лы. В  дальнейшем этот  список, включающий  большинство выявленных
троянских программ  и "взломанные"  или переименованные копии ком-
мерческого программного  обеспечения для MS DOS, стал широко изве-
стен  и  получил  сокращенное  название  "грязная  дюжина"  (dirty
dosen). В  настоящее время  список поддерживается Эриком Ньюхаузом
(Eric Newhouse)  из Лос-Анжелеса и  может быть получен практически
через любую  сеть. В  пояснениях к нему Эрик Ньюхауз отмечает, что
пользователи "Є могут быть уверены только в одной свойстве их вин-
честеров -- в том, что рано или поздно они "полетят". Часто пользо-
ватель будет  винить в этом программу, хотя на самом деле проблема
связана с  электроникой или механикой. Помните, что слухи о троян-
ских программах  легче запустить, чем остановить". Последний совет
не мешало  бы помнить и некоторым авторам "околовирусных" публика-
ций (см., например, [Основcкий90]). Один из ранних вариантов этого
списка был опубликован в [Solomon88] (рис.1).
  С распространением троянских программ стали создаваться програм-
мы защиты,  которые можно  рассматривать и как первые антивирусные
программы. Зимой  1984 г. Анди Хопкинс (Andy Hopkins) написал про-
граммы CHK4BOMB  и BOMBSQAD. Первая из них позволяла проанализиро-
вать текст  загрузочного модуля и выявляла все текстовые сообщения
и "подозрительные"  участки кода  (команды прямой записи на диск и
др.). Благодаря  своей простоте  (фактически использовался  только
контекстный поиск)  и эффективности CHK4BOMB получила значительную
популярность. Программа BOMBSQAD.COM перехватывает операции записи
и форматирования,  выполняемые через BIOS. При выявлении запрещен-
ной операции  можно разрешить  ее выполнение.  В начале 1985 г. Ги
Вонг (Gee  Wong) написал программу DPROTECT -- резидентную програм-
му, перехватывающую  попытки записи  на дискеты  и винчестер.  Она
блокировала все операции (запись, форматирование), выполняемые че-
рез BIOS.  В случае выявления такой операции программа требует ре-
старта системы. Несколько позднее появилась программа FLUSHOT, на-
писанная Росс  М. Гринберг.  Более поздняя версия этой программы --
Предыдущая страница Следующая страница
1 2 3 4 5  6 7 8 9 10 11 12 13 14 ... 106
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (3)

Реклама