Книги по разным темам Pages:     | 1 |   ...   | 9 | 10 | 11 | 12 | 13 |   ...   | 63 |

Публикация статей, призывающих к разжиганию межнациональ ной или иной розни в блоге или на форуме Ч это также не то, что я отношу к компьютерным преступлениям, поскольку здесь нет эле мента несанкционированного доступа, кражи или использования ин формации или вычислительных ресурсов.

78 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества Наконец, убийства совершенные в реальной жизни на почве ссо ры в рамках компьютерной игры (например, клановой) также наме ренно выведены из поля зрения, поскольку это совсем другая тема, хо тя я к ней еще вернусь.

Вообще, это материал о том, как изменились преступления, пре ступники и среда, а не о том, как изменились жертвы преступлений.

Хронология событий Итак, самые неприятные компьютерные проблемы с середины 1980 х до конца 1990 х годов были вызваны компьютерными вируса ми. Потом появились и другие виновники. Неприятностей с компью терами хватало и без них, например, ошибок в программах и случаев их несовместимости между собой всегда было предостаточно. Но это все были, так сказать, местные нюансы. Инфекция извне всегда вдвой не неприятна, каковые бы последствия она ни имела.

Классический вирус того времени представлял собой фрагмент кода, оформленный в виде файла, записанный в особое место жест кого или гибкого диска или присоединенный к другому безобидному файлу (как правило, программному, а позже появились вирусы содер жащиеся в документах). Для того чтобы заразить компьютер жертвы, этот фрагмент кода должен был быть выполнен. То, каким образом это происходило, зависело от типа вируса, заложенных в него функ ций, а в конечном итоге, от фантазии, квалификации и настроения его автора.

Вирусы переносились с компьютера на компьютер посредством дискет вместе с полезной информацией. Если вирус записывался в особую область гибкого диска (загрузочный сектор), то его код вы полнялся при считывании любой информации с дискеты. Если вирус присоединялся к файлу программы, то его код выполнялся при запус ке этой программы. Существуют вирусы спутники1, вирусы компаньо Один из моих друзей одногруппников на первом курсе запустил у меня на компью тере такой самодельный вирус спутник. Принцип действия такого вируса следую щий: исполняемые файлы в операционной системе MS DOS имели расширение.exe,.com (файлы обоих типов содержали машинный код) или.bat (файл, содержа щий команды интерпретатора). Если в командной строке написать start.exe и на жать Enter, то система запускала на выполнение именно start.exe (или выдавала ошибку, если файл не был найден). Однако если указать просто start без рас ширения, то система сначала искала файл start.bat, затем start.com и только за тем Ч start.exe. Вирусы спутники использовали этот алгоритм для размножения.

Глава 5. Кибермутации плохих поступков ны, перезаписывающиеся вирусы и многие другие (единой классифи кации не существует, но основные методы заражения хорошо извест ны). В любом случае основной задачей вируса в то время являлось помещение и запуск своей копии на Вашем компьютере. Далее вирус продолжал заражать все, до чего мог и хотел дотянуться, в том числе все дискеты, с которыми велась работа с этого компьютера. Таким об разом, Ваш компьютер становился не только жертвой, но и новым но сителем, и распространителем вируса. Помимо своей основной задачи (распространения) вирус часто делал что нибудь еще. И вот это леще действительно полностью зависело от желания его создателя. Вирус мог содержать, так называемую, деструктивную составляющую, т. е.

приводить к зависанию компьютера, уничтожению, изменению или шифрованиюфайлов, прекращениюработоспособности определен ных программ и даже всего компьютера (перезаписывая флэш биос), а мог просто периодически выводить какое либо сообщение. Как пра вило, такая дополнительная функциональность активизировалась при наступлении определенных условий (например, по истечении опреде ленного срока с момента заражения или наступлении определен ной даты, как это было с известным вирусом Чернобыль). Основная опасность заключалась в том, что вирус мог не проявлять себя месяца ми, зато в один прекрасный момент Вы лишались всей информации на жестком диске.

Для начала необходимо было два исполняемых файла с одинаковыми названиями, но разными расширениями, например: program.exe и program.com. Предполагает ся, что первый делает нечто нужное пользователю, а второй Ч это вирус. Теперь, если пользователь напишет в командной строке program.exe, то выполнится без обидная полезная программа, но если он поленится и напишет просто program, то первым система лувидит и запустит на исполнение файл с вирусом Ч program.com. В этом случае вирус найдет на диске еще несколько файлов с расши рением.exe и создаст для них такие же спутники Ч файлы со своим кодом и рас ширением.com, после чего передаст управление файлу program.exe, так что поль зователь ничего не заметит. Вирусы такого типа значительно медленнее распро странялись, чем остальные, поскольку не такое уж большое число пользователей употребляло командную строку в эпоху файловых менеджеров вроде Norton Commander и DOS Navigator или Windows 3.1/3.11. В тот раз мой друг клятвенно заверил меня, что его программа создаст лишь 20 спутников Ч не больше. По окончании эксперимента мы их благополучно удалили. Через полгода выяснилось, что программа таки осуществляла 21 заражение... а я относился именно к неболь шой части людей, которые активно пользовались командной строкой и не дописыва ли расширение к исполняемым файлам при запуске. Как следствие, я обнаружил у себя несколько тысяч вирусных файлов с расширениями.com. С тех пор (хотя ми нуло уже 15 лет) исходный и исполняемый файлы того вируса я храню в архиве на память... и Антивирус Касперского каждый раз при проверке подозревает наличие в этом архиве вируса типа Type HLL. Романтика. Ностальгия.

80 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества Неизвестная часть функциональности вирусов всегда добавляла ажиотажа к охоте за ними. Охотились даже те, у кого все было вроде бы благополучно и проверено антивирусами Ч страх неизвестности.

Многие с замиранием сердца ждали Ч сработает у них Чернобыль или нет. Добавляла неизвестность и ненависти к компьютерным лин тервентам.

Я докажу: никто ведь не любит тараканов, но когда в московских квартирах в 1980 х годах расплодились фараоновы муравьи, можно было часто услышать фразу: Нет, ну тараканы Ч ладно, но это еще что такое! Муравьи были в новинку, неизвестно было, чего от них ждать (хотя вообще то они водились на большей части территории СССР чуть ли с 1940 х годов). То же самое с вирусами Ч когда не зна ешь чего ждать, это нервирует и настораживает.

Первые антивирусные утилиты (но еще не продукты) появились в 1984 г.

Первые вирусные эпидемии были отмечены в 1987 г., после того, как широкое распространение получили компьютеры IBM PC. В пят ницу 13 мая 1988 г. сразу несколько фирм и университетов несколь ких стран мира познакомились с вирусом Jerusalem Ч в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из пер вых вирусов для операционной системы MS DOS, ставший причиной настоящей пандемии Ч сообщения о зараженных компьютерах посту пали из Европы, Америки и c Ближнего Востока.

По мере распространения персональных компьютеров растет чис ло различных вирусов и случаев заражения. К 1990 му году проблема приобретает глобальный размах. Появляется первая версия Symantec Norton Antivirus. В 1991 г. Евгений Касперский с группой единомыш ленников начинает антивирусный проект AVP, ныне Ч Антивирус Касперского. В 1992 г. Игорь Данилин создает первуюверсиюанти вирусной программы Spider Web (позже Ч Dr. Web). Компьютер ная грамотность средних пользователей низка. Крупные компании об ращают внимание на необходимость антивирусной защиты.

Как ответ на это, разработчики вирусов начинают применять но вые алгоритмы при создании своих монстров Ч появляются стэлс ви русы (перехватывают обращения операционной системы к поражен ным файлам или секторам дисков и подставляют вместо себя незара женные участки информации, заставляя антивирус считать, что все в порядке) и полиморфики (предпринимают специальные меры для за труднения своего обнаружения и анализа Ч не содержат ни одно го постоянного участка кода, т. е. сигнатуры по которой их можно Глава 5. Кибермутации плохих поступков идентифицировать) [37]. По миру распространяются комплекты ис ходных текстов сделай вирус сам.

В июне 1994 г. началась эпидемия OneHalf Ч известного поли морфного файлово загрузочного вируса. При заражении компьюте ра, вирус скрытно устанавливал себя в загрузочный сектор и во время работы компьютера постепенно шифровал данные, содержащиеся на жестком диске. При попытках операционной системы получить дос туп к зашифрованным данным, OneHalf перехватывал запрос и переда вал системе данные уже в расшифрованном виде. Попытки удалить ви рус из системы зачастуюприводили к потере данных, так как операци онная система не могла использовать зашифрованные части диска1.

В 1995 г. официально вышла новая версия Windows Ч Windows 95.

На пресс конференции, посвященной её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была полностью устойчива к имеющимся вирусам, рассчитанным на ее предшественницу Ч DOS, однако вирусописате ли быстро адаптируются к новым реалиям и первый вирус для Win dows появляется уже в августе того же года.

Здесь стоит отметить пару моментов. Во первых, тогдашние созда тели вирусов в большинстве не рассчитывали на коммерческуюпри быль от своих преступлений, а, во вторых, после появления какого либо оригинального вируса практически моментально возникало пре великое множество его клонов, выпускаемых уже другими людьми, внесшими в код программы минимальные изменения часто не касаю щиеся функциональности (например, заменялась строка, периодиче ски выводимая вирусом на экран).

Сочетание этих двух фактов, а также грубая прикидка на предмет общего числа различных вирусов, в разнообразных вариантах, бро дивших по планете, дает довольно неутешительнуюкартину, посколь ку становится понятно, какое чудовищное число компьютерно грамот ных людей готовы были сделать (и делали) гадости другим совершенно бесплатно с цельюсамоутвердиться за чужой счет. Их хватает и сей час, к тому же теперь на этом можно заработать.

Я имел честь подцепить этот вирус на свой домашний компьютер в 1996 г., и че рез несколько дней обнаружил это на слух Ч жесткий диск шуршал, как это быва ет в процессе операций считывания/записи, но не в то время и не с такой продол жительностью, с какой должен был. К счастью моя многострадальная машина была излечена программой Dr. Web, которая к тому же успешно справилась с расшиф ровкой пораженной к тому момент части жесткого диска. Вторым постигшим меня бедствием подобного же толка (их и было всего два) стал вирус Natas.4744, прине сенный мноюна дискете из института в 1997 г.

82 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества В общем то, пока что мы говорили о распространении вирусов на электронных носителях (неважно идет ли речь о дискетах 5,25", 3,5", CD или флэш дисках). Очевидно, что все это время активно раз вивались и сети.

Как раз где то в 1995 г. доминирующая роль в распространении вирусов начинает переходить к ним. Появляются сетевые черви Ч программы, открывающие на зараженном компьютере адресную кни гу (например, Outlook) и рассылающие себя всем Вашим друзьям и коллегам по электронной почте. Позже черви начинают передавать ся через программы конференций, приложения мгновенных сообще ний по всему контакт листу, все прочие службы коммуникаций и даже при их видимом отсутствии.

Классический червь в отличие от классического вируса не ставит своей цельюзаражение всех файлов на одном компьютере, его инте ресует распространение по сети на как можно большее число ком пьютеров (и опять же, возможно, что то еще, упомянутое ранее).

Червь Ч существо более занятное, чем вирус. Вирусу для перемеще ния с компьютера на компьютер требуется человеческое вмешательст во (обмен носителей), оно же необходимо для активизации троян цев, о которых мы поговорим далее (здесь речь идет о запуске про граммы самим пользователем), червюже требуется скорее отсутствие человеческого вмешательства Ч он может действовать совершенно самостоятельно на всех этапах своей жизни.

Джеймс Фостер и Винсент Люв своей книге Разработка средств безопасности и эксплойтов [38] пишут:

С точки зрения профессионального программиста, черви и их ва рианты являются одними из самых интересных фрагментов кода. Ин тернет черви состоят из четырех основных компонентов, выполняю щих следующие действия:

сканирование системы;

использование уязвимости;

локальное копирование;

удаленное распространение.

Сканирование позволяет выявить новые цели атаки или те уязви мости, которые не были устранены с помощью обновлений. Как толь ко уязвимость надежно установлена, предпринимается попытка ее ис пользования. Удаленно вызванное переполнение буфера дает воз можность вставить код эксплойта (червя Ч Прим. авт.) в удаленную систему, где он копирует себя и распространяется на другие компью теры, используя этот же метод.

Глава 5. Кибермутации плохих поступков Отличительная черта червя Ч это именно использование уязви мости. Уязвимость Ч это красивое слово, чтобы назвать дефект во фрагменте кода программного продукта. Такой дефект позволяет червюпроникнуть на ваш компьютер совершенно без вашего участия.

Такие дефекты имеются во многих программных продуктах, так что главный вопрос заключается в том, кто раньше обнаружит дефект:

компания производитель, энтузиаст человеколюбец или злоумышлен ник. Если уязвимость обнаруживается первыми двумя, то компания выпускает бюллетень с предупреждением и обновление, призванное за латать брешь в защите, раньше, чем появляются черви, ее использую щие. Однако черви все равно появляются, поскольку далеко не все пользователи и системные администраторы вовремя устанавливают эти заплатки.

Еще более интересно то, что большая, если не подавляющая часть уязвимостей, так или иначе, связана с одним и тем же типом дефек тов, а именно Ч с переполнением буфера. Основная причина пере полнения буфера Ч плохой стиль кодирования разработчиков и не понимание последствий своих ошибок. Я не буду подробно опи сывать природу переполнения, поскольку это неизбежно заведет нас в дебри технических деталей. Желающие могут почерпнуть немало информации по данному вопросу практически в любой книге по ин формационной безопасности или программированию. Некоторые из них я цитирую, другие привожу в списке литературы.

Pages:     | 1 |   ...   | 9 | 10 | 11 | 12 | 13 |   ...   | 63 |    Книги по разным темам