Записки дослідника комп'ютерних вірусів

Уривок з книги

… Знайте: поки ви читаєте ці рядки, який-небудь хлопець на планеті вже налагоджує черговий вірус, який не сьогодні-завтра нанесе удар – і однією з жертв вірусного терору опинитеся ви. Не намагайтеся відмахнутися від проблеми і не сподівайтеся, що на цей раз вас пронесе! Вірусні атаки стали занадто інтенсивними, і ніхто не може почувати себе в безпеці. Використання антивірусів нічого не вирішує, якщо ви адмініструєте локальну мережу великої організації, персонально для вас може бути написаний спеціальний вірус (троянська програма, шпигун), що проходить крізь антивірусні заслони як ніж крізь масло. Причому якщо до недавнього часу віруси були нетехнічний проблемою "брудних рук", яка вирішувалася елементарним виломлюванням дисководів і роздачею по вухах всім любителям лівого софту, то основна маса сучасних вірусів проникає в цільові комп'ютери самостійно, не вимагаючи ніяких дій з боку користувача.

Хто пише віруси?

Скажемо відразу: розробка вірусів – невід'ємна частина природознавства, причому увлекательнейшая його частину. Практично жоден скільки-небудь стоїть програміст не встояв би перед спокусою написати свій власний вірус. Зверніть увагу: саме написати, але не поширити, бо випускати створений тобою вірус у світ також злочинно й аморально, як скидати на чиюсь голову атомну бомбу або метати фекалії з вікна. Хто поширює віруси? Як показує практика – психічно неврівноважені молоді люди (студенти, школярі) з недорозвиненою ступенем моральної відповідальності. Перехідний вік, юнацький максималізм, коли здається, що весь світ – твій і ти – його господар, спроби самоствердитися, заявити про себе оточуючим … Або просто витівка, нерозуміння всієї тяжкості такого вчинку. Нарешті, особиста помста конкретній особі або всієї прилеглої до нього (особі) частини людства. Словом, мотивів випустити написаний вірус у світ предостатньо. Будучи ж випущеним на простори Інтернету, вірус, вже не підконтрольний своєму творцеві, починає жити своїм життям, і видалити його, повірте, дуже і дуже важко …

Розплата за бездумність

Збиток, що наноситься вірусами, "троянськими кіньми" та іншими шкідливими програмами, важко оцінити. І справа тут не тільки в зруйнованій інформації (при своєчасному резервування дані завжди можна відновити). Набагато більші збитки завдає панічний страх перед самою можливістю зараження, що виливається в дійсну вірусну істерію. Точно такий же страх викликає вірус СНІДу, хоча щоб заразитися ним при статевому контакті, треба ще дуже сильно постаратися!

Кожен страх грунтується на незнанні. І після винаходу громовідводу блискавки, як і раніше продовжують вбивати людей, проте зараз їх (блискавок) вже не так бояться, і навіть в сильну грозу всякий грамотна людина знає, як звести ризик ураження блискавкою до мінімуму. Навпаки, піддавшись паніці і діючи навмання, ви йдете прямою дорогою на цвинтар. І плачевні результати спроб протистояння вірусним атакам – найкраще тому підтвердження. Гарячкові переустановлення операційної системи, поперемінно чергуються з форматуванням вінчестера і відрубуванням себе від мережі, нітрохи не ефективніше обмивання сервера святий водою або накачуванням його антибіотиками. Використання антивірусів також не вирішує проблеми. Щоб там не казала реклама, а якість антивірусних програм все ще залишає бажати кращого. Найчастіше віруси не розпізнаються зовсім або розпізнаються, але … не видаляються. М'які переустановка системи (тобто перевстановлення "поверх" раніше встановленої версії) не гарантує видалення зарази, і багато шкідливі програми її цілком благополучно переживають! Форматування диска – взагалі божевільний спосіб лікування, на кшталт спалювання хворих на багатті – жорстокий і вкрай неефективний. До тих пір поки не будуть перекриті всі канали проникнення вірусу в систему, повторні зараження будуть відбуватися знову і знову!

Основний недолік переважної більшості антивірусів як раз і полягає в тому, що, видаляючи вірус із системи, вони навіть не намагаються заткнути ті дірки, які він використовує для свого поширення. Як наслідок, "лікування" комп'ютера, підключеного до мережі, перетворюється на перегін тарганів з однієї казарми в іншу, а потім назад. Гаразд, зараження локальної мережі – це ще півбіди (зупиняємо мережу, лікуємо всі машини, запускаємо мережа), але ось зараження Інтернету є дуже нетривіальну проблему. Вилікувати всі машини Глобальної мережі за раз просто нереально … Можна (і потрібно!) Встановити чергове оновлення від Microsoft, заткнувши пролом в системі безпеки, але … хто дасть голову на відсіч, що цей спосіб дійсно спрацює? Ряд виявлених дірок хлопцям з Microsoft вдалося заткнути лише су другої-третьої спроби, а деякі дірки залишаються незаткнутимі і до цих пір (або латочки були випущені не для всіх ОС). Причому спостерігається яскраво виражена тенденція в погіршенні підтримки четвертої версії Windows NT. Хоч і древньої, але до цих пір працює.

В ідеалі кожен з нас повинен бути готовий до самостійного віддзеркалення вірусної атаки, не сподіваючись на допомогу ззовні.

Існування подібних загонів самооборони, розосереджених по всій мережі, зробило б розвиток глобальних епідемій практично неможливим і знизило збитки від хакерських атак до розумного мінімуму. Свого час існувала чудова книга "Комп'ютерні віруси в MS-DOS" Євгенія Касперського, дохідливо пояснює методики рукопашної боротьби з вірусами, доступні для освоєння всякому фахівця середньої руки. Однак з появою Windows і розвитком глобальних мереж стратегія зараження суттєво змінилася, і старі рецепти перестали працювати, а нових книг з цієї тематики з тих пір так і не виходило.

Дана книга являє собою боязку спробу хоча б частково заткнути інформаційну прогалину, розкриваючи звички вірусів і пропонуючи ефективні засоби захисту та боротьби. Матеріал орієнтований на системних адміністраторів і програмістів з мінімальним рівнем підготовки.

Чому антивіруси стали поганою ідеєю

Існує, щонайменше, шість причин по яких не варто довіряти антивірусам. Перше (і найголовніше) – набуваючи антивірус, ви платите живі гроші, але рівним рахунком нічого не отримуєте натомість.

У кращому випадку антивірус запобігає втраті інформації, але не більше того!

По-друге, ймовірність успішного виявлення вірусної зарази відносно невелика, а про гарантії її належного лікування говорити і зовсім не доводиться. Судіть самі: нові віруси з'являються чи не кожен день, але ж на пошук і виявлення зарази, її аналіз і розробку протидіє вакцини неминуче йде якийсь час, протягом якого ви залишаєтеся уразливі! Причому фірми-виробники антивірусів просто фізично не в змозі оперативно відстежувати появу нових мутованих або модифікованих штамів. Статистика показує, що всі великі епідемії як раз і викликаються ось такими до пори до часу не поміченими вірусами (і гучна атака на SQL-сервери – найкраще тому підтвердження).

По-третє: навіть якщо зараза формально відома антивірусу, не факт, що він зможе її пізнати. Техніка детектування поліморфних і шифрованих вірусів дуже складна, і найменша недбалість розробників, допущена при аналізі вірусного коду і / або розробці вакцини, призводить до того, що один або кілька вірусних штамів залишаються непоміченими. До того ж будь-який ламер, озброєний hex-редактором, може "Відрихтувати" будь-який відомий вірус, зробивши з нього десяток-другий невідомих – тільки й того! Коротше кажучи, якість розпізнавання зарази все ще залишає бажати кращого.

По-четверте, антивіруси здатні видавати помилкові спрацьовування, лаючись на присутність вірусів там, де насправді їх і в помині немає. Жарт жартом, але збитки від такої надмірної підозрілості просто грандіозні! Скільки початківців програмістських контор розорилися тільки через те, що поширювали "заражену" (на думку антивірусів) продукцію! А паніка, піднята антивірусом? Судорожне відключення машин, виклик фахівців, виснажливий пошук чорної кішки в чорній кімнаті? Чорт з ними – з нервовими клітинами (вони хоч і не відновлюються, але на їх місце приходять нові), хто нам безцільно прожиті секунди поверне?! Який антивірус їх відновить?

По-п'яте, антивіруси, як і будь-які інші програми, можуть містити помилки (і як показує практика, вони їх дійсно містять), наслідки яких варіюються від епізодичних підвішувань комп'ютера до повного знищення всієї міститься в ньому інформації.

По-шосте, регулярний запуск антивіруса і своєчасне оновлення антивірусних баз віднімають пристойну кількість часу і грошей. Перевірка ж файлів у фоновому режимі (якщо ваш антивірус підтримує таку) неминуче знижує продуктивність системи і досить часто призводить до різних конфліктів. Чи готові ви інвестувати антивірусну індустрію своїм часом і грішми, не отримуючи нічого натомість? Даруйте, краще, вигідніше і дешевше або найняти кваліфікованого фахівця на постійну роботу, або освоїти боротьбу з вірусами вручну (перше більше підходить для Крун контор, друге – для індивідуальних користувачів).

Що ж стосується хробаків, то антивіруси не справляються з ними в принципі. Виявити і видалити даний конкретний екземпляр хробака – не проблема, але черв'як буде приходити з мережі знову і знову, кожного разу відбудовуючи своє, зруйноване антивірусом лігво заново. Так триватиме до тих пір, поки користувач не встановить латочку і не заткне дірку, через яку поширюється хробак, чи не захистить себе з усіх сторін брандмауером (втім, хитрий черв'як зуміє просочитися і через брандмауер) (див. розділ 5 "Втеча через брандмаузер плюс терміналізація всій NT"). Ні, не подумайте, що автор закликає до повного антивірусному стриманості, але, перефразовуючи відому російську приказку, можна сказати: "На антивірус сподівайся, а сам не зівай". Навіщо потрапляти в залежність від антивіруса, якщо в переважній більшості випадків шкідливу інфекцію ви можете знайти та видалити самостійно? Цьому, власне, і присвячена ця книга … Якщо ви її не закриє негайно, а, продираючись крізь витіюватий стиль викладу, дістанетеся до самого кінця, ви несподівано виявите за кінцем то початок, у порівнянні з яким будь-який кінець – не кінець, а так … c дозволу сказати, навіть не піввісь!

Коротше кажучи, ніхто не збирається вчити вас, як правильно кричати "кия!" І як робити вірусу харакірі. Перш ніж ступити на стежку війни і зійтися в рукопашній сутичці з вірусом, ви повинні отримати хоча б загальне уявлення про його звички, психології і фізіології. Віруси насправді дуже вразливі істоти – якщо, звичайно, знати їх больові точки. Віруси дуже тупі істоти – достатньо лише правильно приготувати приманку і замінувати всі обхідні стежки, блокуючи можливі шляхи відступу. Віруси дуже неметких – необхідно просто бути в курсі поточних хакерських віянь і передових атакуючих технологій, готуючись до відбиття вірусного настання завчасно, а не тоді, коли, вибачте, вас в попку клюнуть …

У східних єдиноборств і бойових кібернетичних механізмів у дійсності є багато спільного. Хоча б те, що це не ті області, які можна описати в книгах для "чайників" і "носорогів". Їх неможливо описати взагалі, як неможливо перетнути горизонт, який – скільки до нього ні наблизишся, завжди буде залишатися в точці перетину землі з небом. Немає межі досконалості прогресу комп'ютерних технологій! Кожен день вірусна індустрія приносить щось новеньке, і щоб утриматися на плаву в цьому мінливому світі, будьте готові принести йому в жертву власне життя з усіма радощами, спокусами та перекрученнями. Зміниться не тільки образ вашого мислення, але і весь внутрішній світ. Ви навчитеся поєднувати чуттєвий досвід (ще званий інтуїцією) з елегантністю математичних формул або сухих рядків технічної документації (яка, навіть будучи дуже поганий, все ж таки краще, ніж зовсім нічого).

У цьому світі виживають лише ті, хто орієнтований не на результат, а на його досягнення. У кінцевому рахунку всі ми – білки в колесі, мастило в жахливому бізнес-механізмі, але різниця між хакерами і звичайними людьми в тому, що перші не звертають ніякої уваги ні на світ, ні на тіло, в якому живуть, і працюють виключно заради почуття власного задоволення, повністю ототожнюючи себе з свій роботою … А другі – основна маса – тільки роблять вигляд, що живуть. Насправді ж не живуть, а заробляють гроші, на які потім існують і здобувають засоби для досягнення задоволення.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*