ИЗЫСКАНИЯ
Все реже приходится слышать о “классических” вирусах, заражающих исполняемые файлы и распространяющихся на дискетах. Все больше внимания уделяется Интернет-червям и троянским коням. Вирусы осваивают Интернет и распространяются не только через электронную почту, но и через другие, необычные для них каналы - ICQ, IRC, Flash, Napster и т. д. Гуру в области вирусов Евгений Касперский не отрицает факта появления вирусов, проникающих через дыры в различных играх, например CounterStrike.
То, что считалось уделом студентов, становится на службу силовых ведомств. Уже не раз появлялись сообщения о том, что силовики разных стран планируют использование вирусных технологий в своей деятельности. Например, еще в январе 1996 г. Совет Безопасности приглашал некоторых специалистов, в частности из “ДиалогНауки”, с целью изучения вопроса о потенциальной возможности создания боевых вирусов. В 1998 г. на парламентских слушаниях представитель Гостехкомиссии России заявил, что им известно о случаях разработки за рубежом боевых компьютерных вирусов, предназначенных для поражения систем “критических приложений” (транспорт, связь, системы управления оружием, экологически опасными производствами и т. п.). Кстати, эти вирусы уже были в действии. Во время операции “Буря в пустыне” американские военные успешно атаковали с помощью вирусов иракские командные центры ПВО. Последний нашумевший случай касался ФБР, которое не стало скрывать, что намерено внедрять в компьютеры подозреваемых лиц специальную программу, названную “Волшебным фонарем” (Magic Lantern). Об этом в ноябре прошлого года писало немало зарубежных изданий, а 12 декабря пресс-секретарь ФБР Пол Брессон подтвердил данный факт. Многие антивирусные компании выступили с различными комментариями по этому поводу. Так, Symantec сообщила, что при определенных условиях не будет включать в свои продукты сигнатуру для Magic Lantern, тем самым позволяя “Волшебному фонарю” оставаться незамеченным для Norton Antivirus. Абсолютно противоположного мнения придерживается другая антивирусная компания - Sophos. Ее представители заявили, что обязательно включат обнаружение Magic Lantern в свои продукты, так как безопасность пользователей для них важнее, чем попытки спецслужб контролировать подозреваемых лиц. В 2001 г. в Китае были опубликованы принципы ведения информационной войны с точки зрения китайских военных. Четвертым принципом явилось заражение сети противника вирусами, которые были признаны одним из самых действенных способов поражения вражеской сети. Все это служит подтверждением того, что силовые ведомства не гнушаются разработкой вирусов с целью получения преимущества в информационной войне. Помимо собственных исследований они привлекают к этой работе и антивирусные компании.
Насколько это опасно, хорошо иллюстрирует пример с биологическими вирусами из военных бактериологических лабораторий. Особенно активно об этом заговорили после угрозы заражения сибирской язвой в США. Компьютерные вирусы стали очень похожи на своих собратьев из реального мира. В опубликованной в 1996 г. книге “Вирусы: биологические, социальные, психические, компьютерные” приводилась единая теория вирусов независимо от их природы. Поэтому все, что происходит с обычными вирусами и инфекциями, может быть спроецировано и на виртуальный мир. Я не удивлюсь, если через некоторое время на волю вырвется очередное творение военных программистов и наделает таких бед, что мало не покажется. Эта опасность реальна.
В 1987-м Фред Коэн доказал факт отсутствия алгоритма, способного обнаруживать все возможные вирусы. Однако плохие новости на этом не заканчиваются. Согласно исследованиям научного центра компании IBM (центр имени Томаса Ватсона, расположенный в Хоторне, США), существуют вирусы, для которых нельзя написать программу, обнаруживающую их со 100%-ной вероятностью даже при наличии образца и проведении его всестороннего анализа. Кстати, в этой работе обоснованно утверждается, что заявления антивирусных компаний об “уникальных фирменных алгоритмах, позволяющих определять все известные и неизвестные вирусы, - не более чем фраза, вводящая потребителя в заблуждение.
Еще одно интересное исследование было проведено Николасом Уивером из Университета Беркли в США. Согласно его отчету, опубликованному в августе 2001 г., возможно создание вирусов, а точнее, Интернет-червей, во сто крат более опасных, чем наделавшие столько шума Nimda и Red Code. Уивер называет их активными червями Уорхола (Warhol worm) и убедительно доказывает, что в отличие от упомянутых Red Code, чей период распространения длится от нескольких часов до нескольких дней, черви Уорхола могут заразить все компьютеры в Интернете за 15 минут. Активность червя подразумевает его независимость от человека: у него нет необходимости ждать, когда пользователь загрузит почту, чтобы разослать свои копии по всем адресам, хранящимся в адресной книге, - активный червь все делает самостоятельно. И это действительно серьезная угроза, особенно в совокупности с информацией исследовательского центра IBM. Только представьте себе необнаруживаемый вирус, который распространяется с невероятной скоростью. Своевременно противопоставить ему вакцину просто невозможно. Практически все антивирусные компании, включая и российские, обещают создать вакцину против нового вируса в течение 24 часов - для червей Уорхола это слишком долго.
Из других интересных теоретических изысканий, имеющих отношение к вирусам, можно назвать создание метаморфных вирусов, а также использование при их разработке генетических алгоритмов и нейросетей. В метаморфных вирусах, в отличие от обычных, полиморфных, в каждой новой копии изменяется не отдельный фрагмент, а все тело, что существенно затрудняет обнаружение. Нейросети позволяют создавать вирусы, элементы которых распределяются по сети и модифицируются исходя из окружающих условий. Вирусмейкеры уже обратили внимание на эти технологии: при подготовке статьи я обнаружил несколько публикаций, описывающих практические аспекты применения метаморфизма при создании вирусов.
Со временем можно ожидать роста интереса спецслужб к хакерским технологиям. Однако надо понимать, что недооценка опасности столь пристального внимания приведет к очередной эпидемии - куда более страшной, чем распространение Red Code и иже с ним. Пользователям же могу только лишний раз посоветовать защитить свои компьютеры не только антивирусными средствами, но и другими системами защиты, например персональными межсетевыми экранами и системами обнаружения атак. C автором можно связаться по адресу: luka@infosec.ru.