Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий

Чтобы выработать оптимальную стратегию борьбы с вирусами, необходимо не только учесть все технические аспекты проблемы, но еще и разобраться с философскими концепциями: откуда берутся вирусы, кто их пишет, кто с ними борется, как они изменяют мир, почему возникают глобальные эпидемии и какое будущее нас ждет — мир за каменной стеной, где в угоду безопасности все запрещено и шаг влево/шаг вправо карается расстрелом на месте без предупреждения, или же абсолютная, ничем не ограниченная свобода и кибернетическая демократия?

Тот, кто хочет променять свободу на безопасность, не заслуживает ни того, ни другого.
Томас Джефферсон

Компьютерные вирусы прошли длинный эволюционный путь, приспосабливаясь к изменчивому миру операционных систем и защитных механизмов. По самым скромным подсчетам хакерами было написано порядка полумиллиона вирусов и разработано множество технологий противостояния различным защитным механизмам (полиморфизм, стелсирование и т. д.). Вирусы освоили практически все «экологические ниши»: начав с исполняемых объектов, они продолжили наступление на файлы данных: сначала это были робкие эксперименты с макросами в документах MS Office, а затем все более смелые атаки на переполняющиеся буферы в jpg/gif/mp3/midi и прочих форматах, считавшихся ранее принципиально недоступными для заражения.

К концу XX века вирусы получили повсеместное распространение, освоив не только Windows, Linux/BSD, но и мобильные платформы. Сейчас нет практически ни одной системы полностью свободной от вирусов. Пожалуй, только контроллеры, управляющие лифтами да микроволновыми печами избавлены от этой напасти, но сколько такое спокойствие еще продлиться — сказать трудно. Микроволновые печи, управляемые через Интернет, уже появились. Осталось добавить в них поддержку Java-аплетов для автоматизации приготовления своих любимых блюд, и вирусы захватят еще один ареал обитания.

Несмотря на все усилия и ожесточенную борьбу, развернувшуюся на антивирусном фронте, количество вирусов сокращаться не собирается, даже наоборот. Чем активнее мы боремся с вирусами, тем стремительнее они совершенствуются и тем сложнее их оказывается опознать и нейтрализовать. Вирусы превратились в объективную данность, с которой мы вынуждены считаться, сосуществуя в едином информационном пространстве.

Летопись вирусной хронологии

Первое семя было брошено в почву в далеком 1949 году, когда Джон фон Нейман (John von Neumann) прочитал серию лекций по теории самовоспроизводящихся автоматов, изданную уже после его смерти в 1966 году (The Theory of Self-reproducing Automata. By ed. A. Burks. Univ. of Illinois Press, Urbana, IL), переведенную на русский язык издательством «Мир» в 1971 году.

Джон фон Нейман

В 1957 году в престижном научном журнале «Nature» известный математик Роджер Пенроуз (Roger Penrose) опубликовал статью «A Self-reproducing Analogue» («Самовоспроизводящиеся модели»), исследующую проблемы кибернетической жизни (сам текст статьи можно найти на официальном сайте журнала www.nature.com/nature/journal/v179/n4571/abs/1791183a0.html).

В 1961-м сотрудники компании Bell Telephone Laboratories" придумали игру Darwin («Дарвин»), моделирующую эволюцию посредством сражения между несколькими ассемблерными программами («организмами») за системные ресурсы («пищу»).

В 1970 году была зафиксирована первая программа-бомба по имени Cookie Monster, написанная Крисом Таваресом (Chris Tavares) для компьютеров типа IBM 2741, работающих под управлением экспериментальной операционной системы MULTICS.

В 1973-м Боб Томас (Bob Thomas) написал самовоспроизводящуюся программу Creeper (что переводится как «ползучие растение»), работающую под операционной системой Tenex в сети ARPANET (Проинтернет) и перемещающуюся от машины к машине с выдачей сообщения: I'M THE CREEPER: CATCH ME IF YOU CAN. («Я Вьнок. Поймай меня, если сможешь!»). Creeper, изначально созданный в чисто демонстрационных целях, быстро вышел из-под контроля и для борьбы с ним был написан Reaper («Жнец»), бегающий по машинам в поисках «Вьюнка» и делающий ему харакири. Имя создателя «Жнеца» так и осталось неизвестным.

В 1974 году количество самовоспроизводящихся программ (прозванных за свою плодовитость «кроликами» — Rabbits) резко возросло и их размножение приняло характер эпидемии. Тогда же появилась программа HIPBOOT, внедряющаяся в загрузочные секторы загрузочных дисков и поражающая компьютеры Nova, производимые компанией Data General.

В 1975-м вышла книга «The Shockwave rider« («На шоковой волне») Джона Браннера (John Brunner), где он описал программу, самостоятельно распространяющуюся по сети, впервые употребив термин «червь» (worm), ставший впоследствии общепринятым. В том же году Джон Уолкер (John Walker) дополняет написанную им ранее игру Animal («Животное»), подпрограммой Pervade (от англ. – распространяться, проникать), работающей на компьютерах Univac 1100/42 под управлением операционной системой Exec-8. Связка Animal/Pervade ведет себя, как файловый червь.

В 1980 году Юрген Краус (Jurgen Kraus) защитил дипломную работу по теме «Самовоспроизводящиеся программы» («Selbstreproduktion bei programmen»), а в исследовательском центре фирмы Xerox, расположенном в Пало-Альто, двое ученых Джон Шоч (John Shoch) и Йон Хапп (Jon Hupp) независимо от него провели серию экспериментов по распределенным вычислениям на основе программ-червей, закончившихся созданием вполне жизнеспособного червя Xerox-Worm.

Юрген Краус

В 1981 году (по другим данным в 1982-м) на компьютерах Apple II появляется программа Elk Cloner, написанная Ричардом Скрентой (Richard Skrenta), распространявшаяся через гибкие диски и вызвавшая первое масштабное заражение персональных компьютеров. Казалось бы— отличный повод задуматься о защите, но… история нас учит тому, что ничему не учит.

В 1983 году студентом Фредом Коэном (Fred Cohen) была написана саморазмножающаяся программа, работающая на платформах VAX 11/750, TOPS-20, VMS, управляемых операционной системы UNIX. Она была продемонстрирована на конференции по компьютерной безопасности, в ходе которой Лен Эдлман (Len Addleman) впервые употребил термин «вирус».

Фред Коэн

В 1986-м появился первый вирус для IBM PC-совместимых компьютеров, созданный двумя пакистанскими программистами Basit Farooq Alvi и Amjad Farooq Alvi, распространяющийся через загрузочные секторы и получивший название «пакистанского вируса« (он же Brain, он же Lahore). Отсутствие защитных средств привело к масштабной эпидемии, разрушительный характер которой усиливался тем фактом, что идея саморазмножающихся программ наконец-то вырвалась из лабораторий и стала «общенародным» достоянием программисткой общественности. Сотни хакеров по всему миру потрошили пакистанский вирус и совершенствовали его, создавая свои собственные версии.

В 1988 году Роберт Таппан Моррис (Robert Tappan Morris) создал и выпустил в Интернет червя, поражающего компьютеры VAX, DEC и SUN под управлением ОС BSD. Различные источники приводят сильно неодинаковые оценки количества зараженных машин, но дело ведь не в количестве. Червь Морриса развеял иллюзию безопасности и заставил многих программистов всерьез задуматься о тех угрозах, которым они подвергаются при подключении к распределенным сетям.

Роберт Таппан Моррис

В 1991-м в дикой природе был обнаружен первый полиморфный вирус, получивший название Tequila и потребовавший от разработчиков антивирусов принципиально новых алгоритмов обнаружения.

В 1996-м появилось сразу два вируса для операционной системы Linux – Bliss, написанный неизвестным хакером, и Staog, созданный Quantum'ом (кстати говоря, под MS-DOS к тому моменту уже существовало порядка 4000 вирусов, но — за исключением Червя Морриса — не было известно ни одного вируса под UNIX-подобные системы).

В 1998 году мир содрогнулся под натиском Win95.CIH (он же «Чих», он же «чернобыльский вирус»), заражающего исполняемые файлы формата PE и затирающего FLASH-BIOS, что «убивало» материнские платы, ломая устоявшееся мнение, что вирусов, выводящих оборудование из строя, не существует и существовать не может (хотя еще до «чиха» проскальзывали сообщения о вирусах, ломающих некоторые модели древних мониторов, у которых при неправильных установках видеорежима действительно летел строчечник). В том же году появился первый вирус Strange Brew, написанный на «абсолютно безопасном» языке Java и опубликованный в электронном журнале Codebreakers#4.

В 1999-м был обнаружен первый макровирус, поражающий документы Microsoft Word/Microsoft Outlook и распространяющийся по планете со скоростью лесного пожара, что объясняется тем простым фактом, что вирусы, паразитирующие на файлах данных, до этого момента еще не были представлены широкой общественности и потому никто даже не пытался защищаться (на самом деле, первый макровирус появился еще в 1995 году, но по ряду причин не получил широкого распространения).

В 2000 году появился первый псевдочервь «ILOVEYOU», поражающий персональные компьютеры, управляемые ОС семейства Windows, и распространяющийся через вложение к электронному письму, написанное на языке Visual Basic Script. Строго говоря, по современной классификации это не червь, а обыкновенная троянская программа, получающая управление только том случае, если пользователь оказывается настолько глуп, что соглашается явным образом запустить вложение, полученное из ненадежных источников.

В 2001 году, впервые после Морриса, появилось сразу шесть новых полноценных червей: Ramen (поражающий Red Hat Linux), Sadmind (поражающий OS Solaris и Microsoft Internet Information Services), Sircam (поражающий Microsoft Windows), СodeRed I/II (поражающий Microsoft Internet Information Services), Nimda (поражающий OS Solaris и Microsoft Internet Information Services) и, наконец, Klez (поражающий Microsoft Outlook и Microsoft Outlook Express).

В 2003-м черви основательно потрясли сеть, перегрузив магистральны каналы так, что кое-кто даже начал поговаривать о скором конце Интернета. Одна эпидемия следовала за другой и практически никто не избежал заражения: SQL Slammer, Blaster, Welchia, Sobig и Sober атаковали владельцев операционных систем Windows NT, используя две уязвимости: дыру в SQL-сервере и ошибку переполнения в службе DCOM RPC. Отдельные разновидности Blaster'а сохраняют свою активность и до сих пор, оккупировав незалатанные машины, количество которых исчисляется миллионами.

В 2004-м активность червей несколько снизилась, но эпидемии все еще продолжали свирепствовать. MyDoom, Witty, Sasser и Santy своим бурным размножением перегружали каналы и причиняли пользователям множество неудобств, вплоть до полного паралича работы некоторых организаций. В том же году появился первый червь для мобильных телефонов — Cabir.

В 2006 году вирусы «освоили» RFID-сканеры, используемые в торговле и выпускаемые по миллиону штук в год, причем их вычислительные мощности достаточно скромны, и производители антивирусов в них просто не «вписываются», что создает огромную проблему. Угроза масштабных атак вполне реальна, а потенциальные убытки исчисляются сотнями миллиардов долларов, что равносильно экономической катастрофе. Так что мы живем в очень интересное время, гадая пронесет ли нас в очередной раз или все-таки грянет глобальный гром и будет реальный потоп, на обломках которого нашим потомкам придется заново отстраивать рухнувшую цивилизацию.

Вирусы и операционные системы

Основополагающая терминология

Вирус (Virus) — самовоспроизводящаяся программа, паразитирующая на других программах. Инфицированные программы приобретают способность заражать других.
Червь (Worm) — самовоспроизводящаяся программа, распространяющаяся по сети без участия человека. В отличии от вируса не является паразитом и представляет самостоятельную сущность.
Троянский конь (Trojan Horse) — программа, не обладающая способностями к самовоспроизведению и распространяемая злоумышленником вручную. В другие программы не внедряется, но может прописывать себя в автозагрузку, получая управление при каждом запуске ОС.
Root-Kit – подпрограмма, прячущая другие программы (файлы, процессы, сетевые соединения) от антивирусов.
Малварь (Malware) — обобщенное название всего вредоносного программного обеспечения (червей, вирусов, троянский коней и т. д.).
Начинка (Payload) –– подпрограмма, опционально входящая в состав малвари. При определенных условиях выполняет некоторые действия – от видеоэффектов до разрушения информации и установки удаленного shell'а.

Кто и почему пишет вирусы

В 80-х годах прошлого века вирусы создавались высококвалифицированными программистами, освоившими ассемблер и досконально изучившими недокументированные возможности MS-DOS. Глобальных сетей тогда не существовало, сообщения о вирусах носили отрывочный характер, и все технические детали приходилось добывать дизассемблером из чужих вирусов или додумывать их самостоятельно. Это было время великих идей, новаторских решений, интеллектуальных поединков и прочих красивых эпитетов. Моральный облик создателей вирусов, конечно, варьировался в очень широких пределах — от чисто исследовательского интереса до желания отомстить всему человечеству, однако в целом данный период можно окрестить как эпоху романтизма. Большинство хакеров просто не осознавали того ущерба, который они причиняют, а если даже осознавали, то воспринимали происходящее под углом кибернетических войн, где сильный имеет слабого.

С развитием коммуникационных сетей, между хакерами наладился устойчивый обмен информацией, появились специализированные телеконференции и электронные журналы, посвященные вирусам, в результате чего к началу 90-х написать вирус мог практически каждый программист, освоивший ассемблер, что он, собственно говоря, и делал. А для чего еще учить ассемблер? Бух и склад можно и на Fox Pro написать… Создание вируса не только являлось хорошим упражнением в системном программировании, но и становилось признаком крутости, возвышая программиста в его собственных глазах и в глазах окружающих. К счастью, качество вирусов, написанных в процессе изучения ассемблера, было невелико и большинство из них оказывалось нежизнеспособно. Агрессивность вирусов находилась в обратной пропорциональности с интеллектом их создателей, стремящихся в первую очередь к разрушению данных и только потом к техническому совершенству. Тем не менее именно в 90-х хакеры изобрели полиморфизм и stealth-вирусы и многие другие прогрессивные технологии.

К концу XX века программное обеспечение «разжирело» настолько, что вирусы, написанные на языках высокого уровня, перестали выглядеть уродами и необходимость корпеть над ассемблером отпала. Как следствие — появилось огромное количество вирусов, написанных на DELPHI, Visual Basic и др. Хакеры мельчали и деградировали буквально на глазах. Молодое поколение не хотело думать, вирусы уже не воспринимались ни как упражнение в программировании, ни как занимательная головоломка. Они просто писались по инерции или, скорее, по устоявшейся традиции демонстрации «крутизны». Более опытные программисты находили себе занятие поинтереснее. В самом деле, зачем тратить время на разработку и тестирование вируса, если этот труд не будет должным образом оценен и оплачен? Более того, появилась реальная угроза сесть в тюрьму или быть жестоко избитым коллегами по работе. Романтический ореол, витавших вокруг вирусов, развеялся… Вирусная сцена распалась. Но вирусный бум не прекратился и в обозримом будущем прекращаться не собирается.

Антивирус как часть защитного комплекса

Антивирусы входят практически во все современные защитные комплексы и это правильно, поскольку, один в поле не воин и для отражения атак необходим комплексный подход к проблеме. Антивирусы (при правильном с ними обращении) были и будут весьма эффективным средством подавления вирусных эпидемий, предотвращая «падеж» вычислительной техники, однако в борьбе с локальными очагами заражения они недостаточно результативны. Антивирус — это что-то вроде полицейского подразделения, стабилизирующего рост преступности в стране на некотором уровне, но принципиально неспособного предотвратить преступление до его совершения. Впрочем, существуют специальные антивирусные вакцины, разработанные именно для этой цели, однако широкого распространения они так и не получили. А жаль…

Первые антивирусы были устроены по принципу автономных сканеров, запускаемых пользователем (или стартующих вместе с системой) и последовательно проверяющих все файлы один за другим на предмет наличия известных последовательностей байтов, идентифицирующих вирус и получивших название сигнатур. Недостаток такого подхода очевиден — стоит слегка переделать любой действующий вирус (причем иметь исходные тексты для этого необязательно) и он окажется незамеченным.

Поскольку различные антивирусы используют в качестве сигнатуры разные последовательности байтов, «правка», вируса существенно усложняется и для решения этой проблемы хакеры обычно прибегают к шифровке вирусного тела статическими или динамическими шифраторами. В первом случае внутри вируса находится несколько десятков (а то и тысяч!) готовых шифраторов, выбираемых в произвольном порядке. Во втором — вирус конструирует шифраторы на лету, используя большой набор «заготовок» и разбавляя его при необходимости незначащими машинными командами или заменяя одну группу машинных команд блоком эквивалентных ей инструкций. Все эти способы относятся к полиморфным технологиям и эффективно противостоят сигнатурному поиску.

В каждом новом поколении тело вируса изменяется на 99% совершенно непредсказуемым образом. Крошечная часть, отвечающая за его расшифровку, намного более предсказуема. Даже если шифратор не выбирается из заранее заданного набора, а генерируется на лету, количество комбинаций его построения хоть и велико, но все же конечно.

Часть разработчиков антивирусов (таких, например, как NOD32) пошла по пути наименьшего сопротивления: размножая каждый попавший к ним вирус в одном-двух миллионах экземпляров, они выделяли в них повторяющиеся последовательности байтов и заносили их в базу, в результате чего для описания одного вируса зачастую требовалось свыше тысячи различных сигнатур, при этом ни у кого не было гарантии, что данный сигнатурный набор — окончательный и исчерпывающий, в результате антивирус давал определенный процент ложных негативных срабатываний, пропуская от 0,1 до 0,01% штаммов известных ему полиморфных вирусов.
Отечественные разработчики пошли другим, намного более технологичным путем, добавив в антивирус виртуальный процессор, эмулирующий выполнение основных x86-команд и расшифровывающий основное тело вируса с помощью его же собственного шифратора.

После завершения расшифровки мы получаем стабильный штамм с устойчивыми сигнатурами, обеспечивающий высочайшее качество детекции (99,999% и выше). Минусом данного решения стала резко возросшая сложность антивируса, и «членские взносы» для вступления в антивирусный клуб резко возросли. Если раньше антивирус мог написать практически каждый, то с появлением полиморфных вирусов требования к квалификации программистов ужесточились на пару порядков, количество игроков на рынке соответственно сократилось.

Но даже самые лучшие антивирусные сканеры уже не удовлетворяли потребностей пользователей — вирусы появлялись быстрее, чем их успевали занести в базы и возник устойчивый спрос на превентивные решения (позднее переименованные по маркетинговым соображениям в проактивные технологии). Первыми появились так называемые «мониторы» (от английского «monitor»), перехватывающие обращения к операционной системе на создание/удаление и запись в исполняемые файлы (а также другие потенциально опасные операции, например установку резидентной копии в памяти) и обращающиеся к пользователю за подтверждением. Ох, и веселая же наступала пора! Хакеры быстро придумали кучу способов обхода мониторов, а пользователи были готовы убиться, отвечая на кучу подтверждений, смысла которых они все равно не понимали. Поэтому через короткий (в масштабах компьютерной индустрии) отрезок времени мониторы ушли в утиль и были заново воскрешены лишь в конце XX века, но… пользователи по-прежнему давят «yes», не вчитываясь в текст вопроса, и чем больше подтверждений от них требуется, тем сильнее они нервничают.

Намного более успешной оказалась судьба дисковых ревизоров, появившихся приблизительно в одно время со стелс-вирусами (названными по аналогии со Stealth-самолетами) и скрывающих факт своего присутствия в системе, что достигается путем перехвата определенных системных функций (например, функции просмотра содержимого каталога) и фальсификации возвращаемого ими результата. Естественно, если спуститься на пару уровней вглубь, обращаясь непосредственно к контроллеру устройства в обход ОС, стелс-вирус тут же появится на радаре.

Дисковые ревизоры реализовали две основные идеи: отслеживание появления новых файлов с контролем целостности старых и сравнение результатов сканирования средствами операционной системы с подлинными данными, полученными путем обращения к контроллеру устройства, любое различие в которых указывает на факт активной маскировки.

Ревизоры оказались удачным дополнением к сканерам — сканеры искали и удаляли до 99,999% известных им вирусов, а ревизоры «ловили» все то, что не поймали сканеры, включая еще неизвестные вирусы, которые пользователи тут же направляли на экспертизу в антивирусные лаборатории, откуда им через некоторое время спускали «вакцину» для сканеров. Плюс еще мониторы (для тех, кто ими умел пользоваться). Сложившая коалиция защитных комплексов оказалась чрезвычайно эффективна, созданные к тому времени аппаратные средства защиты (типа отечественной платы Sheriff) не выдержали конкуренции, исчезнув так же незаметно, как и появились.

Но прогресс не стоит на месте. Размер жестких дисков стремительно увеличивался и сканирование занимало все больше и больше время, ведь сканировать приходилось не только исполняемые файлы, как раньше, но и файлы документов, в которые уже пробрались вирусы, а количество документов обычно намного превышает количество исполняемых файлов. Сканер, проверяющий диск по несколько часов, — малоинтересен, и каждый день его запускать никто не будет. Ну, может быть, раз в неделю, или даже в месяц…

Стало ясно, что так жить нельзя, нужно что-то делать. Вот так и появились активные сканеры, «вгрызающиеся» в операционную систему и перехватывающие функции создания/открытия файлов, проверяя их на лету при первом же к ним обращении. Своеобразный гибрид автономных сканеров и мониторов, получивший повсеместное распространение, однако вместе с ним пришли и проблемы. Сканирование выполняется не мгновенно, а занимает какое-то время, в результате чего скорость работы компьютера существенно замедляется. С этим еще можно было бы смириться, если бы не многочисленные ошибки, допущенные создателями антивируса при разработке перехватчика. Конфликты, критические ошибки приложений, голубые экраны смерти, зачастую сопровождающиеся потерей данных, создают серьезную угрозу для безопасности, и ущерб от использования антивируса может быть весьма велик, что вынуждает пользователей отключать активную защиту, ограничиваясь ручной проверкой всех вновь поступивших файлов, но такой подход бессилен предотвратить вторжение червей, поскольку черви проникают на компьютер сами, без каких-либо действий со стороны пользователя, а потому полную проверку диска необходимо выполнять хотя бы раз в несколько дней (благо, ее можно перевести в фоновой режим).

Selena

Селена, подпольный разработчик коммерческих root-kit'ов из холодных Нидерландов

Спец: Кто ты такая и чем занимаешься?

Selena: Проблемы самоидентификации меня не волнуют, назовите меня хоть богом, хоть дьяволом — что от этого изменится?! Компьютеры для меня — это все. То есть –абсолютно все. Ничего другого у меня просто нет. Я совершенно асоциальный тип. Пиво не пью, на дискотеки не хожу, с парнями не встречаюсь, а мысль о «цивильной» работе приводит меня в ужас, граничащий с суицидом. Но ведь как-то же надо зарабатывать, верно? Сначала я экспериментировала с кредиткам. Потом попалась. Получила срок (условно). Задумалась. Крепко задумалась. Как дальше жить? Создавать шаровары (т. е. условно-бесплатные программы) это не для меня. Вот тогда и начала писать root-kit'ы и продавать их. Сначала осторожно, а затем все смелее и смелее. Сейчас уже подумываю о том, чтобы выйти из тени и легализовать свой бизнес.

Спец: С этого момента, пожалуйста, поподробнее…

Selena: С точки зрения закона root-kit'ы находятся на пограничной зоне: с одной стороны, они повсеместно используются для преступных целей (и мне трудно представить, как их можно использовать иначе), с другой — сам по себе root-kit это всего лишь библиотека безобидных функций. Полуфабрикат, непригодный к непосредственному использованию. В ней нет ни зла, ни добра, а потому любой вменяемый адвокат легко оправдает разработчика root-kit'а, доказав отсутствие состава преступления и злого умысла.

Спец: Кто твои клиенты? Где ты их находишь? Каковы цены на root-kit'ы?

Selena: Я исхожу из предположения, что мои клиенты — честные люди до тех пор, пока они не дадут повода подумать обратное. То есть если человек просит написать root-kit, ничего не говоря, зачем он ему нужен, — это мой клиент. Если же кому-то нужна атакующая программа, то я отвечаю неизменным отказом. Клиенты ко мне обычно приходят сами. Я проявляю большую активность на хакерских форумах (на всякий случай каждый раз регистрируясь под разными псевдонимами), и потенциальный заказчик может без труда оценить уровень моего мастерства. На ценах подробно останавливаться не буду (пусть это будет моей маленькой коммерческой тайной), скажу лишь, что они варьируются в очень широких пределах. Устоявшегося рынка нет, и одни готовы платить 10 тыс. долл. за серийный root-kit, уже попавший в антивирусные базы и детектируемый одним или несколькими антивирусами, другие же пытаются раскрутить меня на создание super-roor-kit'а, поддерживающего кучу операционных систем,и написанного с чистого листа всего за… 100 долл.

Спец: Но ты же ведь догадываешься, где используются твои создания?

Selena: Догадываюсь? Едва ли… А если даже догадываюсь, то что с того?! Ну хорошо, строго между нами. Root-kit'ы широко используются в атакующих программах, нацеленных как на конкретные организации с целью похищения/уничтожения данных, так и для широкомасштабных заражений сотен тысяч случайных компьютеров, объединяемых в распределенные сети, занимающиеся рассылкой спама или атаками на другие компьютеры. Однако мне не известно ни одного случая, чтобы для этой цели использовались мои root-kit'ы. Может быть, они используются, а может, и нет. Кто знает? У меня свой бизнес, основа выживания в котором — отсутствие любопытства. Я зарабатываю намного больше среднестатистического системного программиста и терять столь лакомый кусок не собираюсь, как не собираюсь оголять задницу, демонстрируя интимные подробности своей работы, особенно сейчас, когда я все еще нахожусь в подполье и просыпаюсь от каждого шороха и шума, преследуемая непрекращающимися кошмарами, что меня сейчас повяжут, но ведь и бросить это дело не могу. Почему? Да потому, что ни на что другое я не способна. Увы. Стала бы я связываться с криминалом, если бы умела зарабатывать на жизнь по-другому.

Интервью с Kerry Noble

Kerry Noble, независимый экономист-консультант, проживающий в Норвегии, и специализирующийся на страховании систем обработки данных

Спец: Твои оценки вирусных угроз — насколько они серьезны?

KN: Если верить СМИ, то вирусы уже давно были должны сожрать весь Интернет, но этого почему-то не происходит. Почему? Да потому, что вирусы это не чума XX века, а что-то вроде легкого насморка. Критические инфраструктуры всегда содержат мощные системы резервирования данных, обеспечивающие безболезненный подъем после падения. Мелкие компании, обслуживаемые администратором, только-только научившимся устанавливать Windows Server, конечно, страдают намного больше, и мне известно множество фирм, так и не сумевших поправиться после падения и просто свернувших свой бизнес или продавших его конкурентам. Однако, вирусы — далеко не главные виновники их краха. У нас просто принято списывать все проблемы на вирусы.

Детальный анализ ситуации не выгоден никому, особенно, если в ходе разбирательств выяснится, что потеря данных произошла, например, из-за сбоя питания или ошибок администратора и/или оператора. Оценки ущерба повсеместно завышаются на несколько порядков. Ни для кого не секрет, что фиктивные убытки, наносимые вездесущими вирусами, — превосходный повод для «оптимизации» налогов. Страховые компании, с которыми мне приходилось иметь дело, только в исключительных случаях выплачивают страховку по обозначенному ущербу, превышающему стоимость системы резервирования данных. Действительно, как можно заявлять об убытке в миллиард долларов, если система резервирования стоимостью менее чем в тысячу могла бы предотвратить его? Почему-то считается нормальным покупать сейф за 100 тыс. долл. для хранения одного миллиона, но на средства резервирования жалко выделить даже сотую долю от заявленной стоимости потерянных данных.

Крис Касперски

Специалист по компьютерной безопасности и сжатию цифрового аудио/видео, системный программист, участвующий во многих проектах (большей частью под NDA) по анализу вредоносного программного обеспечения, поиску “закладок”, разработке систем защиты информации от несанкционированного досту- па/копирования информации как в качестве рядового сотрудника, так и руководителя отдела. В настоящее время работает в компании Endeavor Security, Inc, а так же занимается преподавательской деятельностью.

Обсуждение статьи

Guest guest@gameland.ru Отправлено: 05.10.2009 17:55:08

RE: Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий
Эх, мой первый вирус, кривой, но рабочий!

Guest guest@gameland.ru Отправлено: 12.10.2009 13:01:56

RE: Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий
ставьте линукс убунту и не будет вирусни

Guest guest@gameland.ru Отправлено: 21.10.2009 19:42:01

RE: Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий
интересно..где он занимается преподовательской деятельностью..

Guest guest@gameland.ru Отправлено: 29.10.2009 9:50:23

RE: Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий
Статистика по вирусам лживая. Вирусов под линукс около 50000

Guest guest@gameland.ru Отправлено: 12.05.2010 9:31:45

RE: Компьютерные вирусы — эволюция или революция? Ретроспектива глобальных эпидемий
I like this site very much I like this site very much replica watches es At Our Store u boat replica A high quality brand

Guest guest@gameland.ru Отправлено: 11.10.2010 5:15:37