Компьютерные террористы - Ревяко Татьяна Ивановна. Страница 51
CIAC как один из членов правительственной комиссии Forum of Incident Response and Security Teams выпускает информационные бюллетени в тех случаях, когда в DOE поступают сообщения о серьезных проблемах, связанных с вирусами.
Бюллетень CIAC извещает о том, что зашифрованные вирусы, подобные вирусу Satan Bug, особенно трудно удалить из инфицированных файлов, поскольку они присоединяются к компьютерной программе, вырезая из нее небольшой кусок и замещая его собственным кодом. После этого вирус зашифровывает и себя и «откушенный» кусок программы.
«Для восстановления инфицированной программы антивирусное ПО должно уметь расшифровывать закодированный вирус, чтобы обнаружить исчезнувшую часть файла и вернуть ее на место, — констатирует бюллетень. — Satan Bug имеет до девяти уровней шифрования, причем в каждом случае этот уровень непредсказуем».
Шифрование делает вирус невидимым для антивирусных программ-сканеров, датированных ранее августа 1993 года «Эти программы должны открыть файл для сканирования, а если вирус находится в памяти, то сам акт открытия файла будет приводить к инфицированию, — предупреждает бюллетень. — Если вы запускаете инфицированный антивирусный сканер, то почти каждый исполняемый файл на диске окажется зараженным».
Как рассказал Дэвид Стэнг (David Stang), президент компании-разработчика Norman Data Defense Systems (ФоллЧерч, штат Виргиния), вирус Satan Bug был впервые выявлен в феврале прошлого года, когда его обнаружили размещенным на нескольких электронных досках объявлений пользователем по имени Hacker 4Life.
Стэнг предположил, основываясь на степени сложности вируса и своем опыте работы с программами этого класса, что Satan Bug — это плод деятельности двадцатилетнего американского парня, а не злонамеренного четырнадцатилетнего подростка.
Компания Norman Data Defense Systems изготовила антивирусное ПО, которое удаляет вирус, оставляя файлы неповрежденными. Стэнг сообщил, что эта программа, названная Armour, к тому же предотвращает заражение.
Роджер Томпсон (Roger Thompson), президент компании Leprechan Software (Мариетта, штат Джорджия), рассказал, что его сотрудники провели весь уик-энд за обновлением своего антивирусного пакета для борьбы с вирусом Satan Bug после звонка из правительственного агентства.
«Satan Bug — это сложный вирус, и его трудно обнаружить, — пояснил он. — Он содержит цикл шифрования/дешифрования, причем расшифровывает себя с помощью ключа длиной от 40 до 2000 бит. Новейшие тенденции в вирусном сообществе делают эти программы труднообнаружимыми».
Другой поставщик, фирма McAfee Associates, также объявила о создании ПО для борьбы с Satan Bug.
Satan Bug является полиморфным или кодируемым вирусом, что делает его изменчивость практически неограниченной.
Вирусы отстают, хакеры активизируются
Что касается вторжений хакеров — случаев несанкционированного доступа к настольным компьютерным системам, — то их число значительно возросло: с 339 тыс. (1989 г.) до 684 тыс. (1991 г.). В отчете по проведенному исследованию отмечается «значительный рост числа попыток пиратского доступа к персональным компьютерам, работающим под DOS», небольшое увеличение числа таких случаев для мини-компьютеров, снижение активности пиратов в отношении Macintosh и примерно прежний ее уровень на больших ЭВМ и рабочих станциях.
Фирма USA Research включила в отчет и данные по федеральным ведомствам, объединив их с данными по учреждениям местной власти. По словам Синтии Е. Карлсон, вице-президента фирмы USA Research, государственные учреждения США в целом не столь уязвимы по отношению к вирусам, как, например, учебные заведения. «Государственные служащие подходят к делу весьма серьезно и принимают массу мер предосторожности», — отметила она.
Эту точку зрения разделяет и Деннис Стайнауэр, специалист по компьютерной безопасности Национального института по стандартам и технологиям (NIST). Он отмечает, что интенсивность заражений компьютеров вирусом действительно немного снизилась. По его мнению, гораздо большую опасность сейчас представляют хакеры. «Эта проблема стоит перед многими федеральными ведомствами, включая даже ФБР», — уверенно заявил он.
Организациям, локальные компьютерные сети которых имеют выход в другие сети, в том числе в Internet, «требуются поистине огнеупорные стены для защиты от компьютерных пиратов. Попытки взлома компьютерных систем по-прежнему многочисленны», — заметил Деннис Стайнауэр.
По данным исследования, основными средствами защиты компьютеров в учреждениях являются антивирусные программы и контроль доступа к компьютерам. Применяются и другие меры, такие, как изоляция компьютеров, загрузка только защищенных от записи гибких дисков, использование различных вспомогательных программ, а также шифрование файлов. Исследование показало, что главный источник бедствия — дискеты, приносимые в организации извне. По. этой причине происходит более 60 процентов случаев заражения компьютеров вирусом.
Продолжение бактериологической войны
«Столетняя война» между авторами компьютерных вирусов и разработчиками антивирусных программ то стихает, то разгорается с новой силой. Сейчас конфликт обострился в связи с выходом на сцену, с одной стороны, двух новых опасных вирусов, а с другой — нескольких обновленных программных продуктов, нацеленных на их поиск и ликвидацию.
Первый вирус, известный под именем Hare (Харе Кришна), выводит на экран сообщение «HDEuthanasia» (в медицине эйтаназия означает легкую, безболезненную смерть), а затем приступает к уничтожению всех файлов, расположенных на жестком диске компьютера. По словам редактора Virus Bulletin Ина Волли, выявить Hare необычайно трудно. К тому же он очень быстро распространяется, очевидно, по Internet. Версии нового вируса, правда, пока неактивные, уже обнаружены в ряде стран, в том числе в США.
Второй вирус, который получил название ExcelMacro.Laroux, влился в появившееся год назад семейство макровирусов, став родоначальником новой ветви — он поражает электронные таблицы Microsoft Excel. Laroux ведет себя так же, как теперь уже общеизвестный вирус Wold.concept. Последний передается с документами, созданными в Microsoft Wold. Laroux же «путешествует» вместе с электронными таблицами, которыми пользователи обмениваются по e-mail или с помощью других средств. National Computer Security Association (Национальная ассоциация компьютерной безопасности — NCSA) считает Laroux вирусом относительно безопасным, хотя и способным вызвать «аномалии в приложениях» некоторых систем. По всей видимости, распространяться Laroux будет медленнее, чем Wold.concept, ведь Excel используется не столь широко, как Wold, а пользователи пересылают электронные таблицы гораздо реже, чем текстовые документы.
По данным IBM, каждый день в среднем появляется 6 вирусов. Цифра весьма впечатляющая, и ситуация могла бы выйти из-под контроля, но, к счастью, большинство из написанных вирусов в свет так и не выходят. По словам президента NCSA Питера Типпета, на среднестатистический ПК заносится примерно два неизвестных вируса в месяц.
«Мне наплевать, кому я наврежу…»
«Мне плевать на то, кому я наврежу. Мне плевать на величину ущерба. Неважно, сколько будет потеряно заданий и сколько народу понесет убытки, когда я активизируюсь. Да и с какой стати мне волноваться. Я всего лишь программа, меня зарядили и нацелили и заставили меня спустить курок».
Мы уделили большое внимание вирусам и правонарушителям. Нужно, однако, узнать мнение и другой стороны. Приводимый материал взят из отчетов, распространявшихся общедоступными BBS по поводу вирусов Lehigh и ООП. Эти фрагменты подробных отчетов не подвергались никакой правке; ошибки в грамматике и пунктуации только подчеркивают чувство беспомощности и паники, охватившее авторов этих заметок. (Перевод следующих заметок сделан по публикации в газете «Маарив» — одной из наиболее популярных ежедневных газет в Израиле — от 8 января 1988 года. Примечания переводчика приводятся в тексте в квадратных скобках «[]».).