информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Tailscale окончательно забанила... 
 Прекращение работы антивируса Касперского... 
 Microsoft Authenticator теряет... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Вирусы на службе силовых ведомств
А.В.Лукацкий
Опубликовано: dl, 14.04.02 04:59

В последнее время все реже приходится слышать о классических вирусах, заражающих исполняемые файлы и распространяющиеся на дискетах. Все больше внимания уделяется Internet-червям и троянским коням, область распространения которых - сеть Internet. Вирусы все чаще осваивают эту область и распространяются не только через электронную почту, но и через другие, необычные для них каналы - ICQ, IRC, Flash, Napster и т.д. Даже такой гуру в области вирусов, как Евгений Касперский, не отрицает факта появления вирусов, проникающих на компьютеры через дыры в различных играх, например, CounterStrike.

Однако то, что раньше считалось уделом только немытых и длинноволосых студентов, становится на службу и силовых ведомств. Уже не раз появлялись сообщения о том, что силовики разных стран планируют использовать вирусные технологии в своей деятельности. Например, еще в январе 1996 года Совет Безопасности приглашал некоторых специалистов, в частности из Диалог-Науки, с целью изучения вопроса о потенциальной возможности создания боевых вирусов. В 98-м году на проходивших парламентских слушаниях представитель Гостехкомиссии России заявил, что им известно о случаях разработки за рубежом боевых компьютерных вирусов, предназначенных для поражения систем "критических приложений" (транспорт, связь, системы управления оружием, экологически опасными производствами и т. п.). Кстати эти вирусы уже были в действии. Во время операции "Буря в пустыне" американские военные успешно атаковали с помощью вирусов иракские командные центры ПВО. Последний нашумевший случай касался ФБР, которое не стало скрывать, что планирует внедрять на компьютеры подозреваемых лиц специальную программу, названную "Волшебным фонарем" (Magic Lantern). Об этом в ноябре прошлого года писало немало зарубежных изданий, а 12 декабря пресс-секретарь ФБР Пол Брессон подтвердил этот факт. Многие антивирусные компании выступили с различными комментариями по этому поводу. Причем, что интересно, комментарии были самые разные. Например, компания Symantec заявила, что при определенных условиях она не будет включать в свои продукты сигнатуру для Magic Lantern, тем самым, позволяя "Волшебному фонарю" оставаться незамеченным для Norton Antivirus. Абсолютно противоположного мнения придерживается другая антивирусная компания - Sophos. Ее представители заявили, что они обязательно включат обнаружение Magic Lantern в свои продукты, т.к. безопасность пользователей для них важнее, чем попытки спецслужб контролировать подозреваемых ими лиц. В 2001 году в Китае были опубликованы принципы ведения информационной войны с точки зрения китайских военных. Четвертым принципом явилось заражение сети противника вирусами, которые были признаны одним из самых действенных способов поражения вражеской сети. Такого рода факты подтверждают тот факт, что силовые ведомства не гнушаются разработкой вирусов с целью получения преимущества в информационной войне. Мало того, помимо собственных исследований они привлекают к этой работе и антивирусные компании.

Насколько это опасно хорошо иллюстрирует пример с обычными вирусами, которые создаются в военных бактериологических лабораториях. Особенно активно об этой теме заговорили в последние месяцы после угрозы заражения сибирской язвой в США. Сейчас ни для кого не секрет, что военные занимаются разработкой бактериологического оружия и созданием новейших разновидностей боевых вирусов, которые за короткое время способны поразить огромное число людей. А причем тут компьютерные вирусы, - спросите вы, - ведь компьютер - не человек и к нему неприменимы обычные подходы? Однако в последнее время компьютерные вирусы стали очень похожи на своих собратьев из мира физического. Еще в 96-ом была опубликована книга "Вирусы: биологические, социальные, психические, компьютерные", в которой приводилась единая теория вирусов, независимо от их природы. Поэтому все, что происходит с обычными вирусами и инфекциями может быть спроецировано и на виртуальный мир. Я не удивлюсь, если через некоторое время на волю вырвется очередное творение военных программистов, которое натворит таких бед, что мало не покажется. И недооценивать опасность этого я бы не стал. И вот почему.

В 1987 Фред Коэн доказал факт отсутствия алгоритма, который смог бы обнаруживать все возможные вирусы. Однако плохие новости на этом не заканчиваются. Согласно исследованиям исследовательского центра компании IBM (центр имени Томаса Ватсона, расположенный в Хоторне, США) доказано, что существуют вирусы, для которых невозможно написать программу, обнаруживающую его со 100%-ой вероятностью даже при наличии образца вируса и проведении его всестороннего анализа. Кстати в этой работе убедительно доказывается, что заявления антивирусных компаний, которые гласят, что "уникальные фирменные алгоритмы обнаружения позволяют детектировать все известные и неизвестные вирусы" являются не более чем вводящим пользователя в заблуждение утверждением.

Еще одно интересное исследование было проведено Николасом Уивером из Университета Беркли в США. Согласно его отчету, опубликованному в августе 2001, возможно создание вирусов, а точнее, Internet-червей, которые будут во стократ опасней наделавших много шума Nimda, Red Code и т.д. Уивер называет их активными червями Уорхола (Warhol worm) и убедительно доказывает, что в отличие от уже названных червей Red Code и т.д. имеющих период распространения от нескольких часов до нескольких дней, черви Уорхола могут заразить все компьютеры в Internet за 15 минут. Активность червя подразумевает его независимость от человека - теперь нет необходимости ждать, когда пользователь загрузит почту и червь разошлет свои копии по всем адресатам, хранящимся в адресной книге, - активный червь все делает самостоятельно. И это действительно серьезная угроза - особенно в совокупности с информацией исследовательского центра IBM. Только представьте себе необнаруживаемый вирус, который распространяется с названной скоростью. А ведь своевременно противопоставить ему вакцину будет невозможно. Практически все антивирусные компании, включая и российские, обещают создание вакцины против нового вируса в течение 24 часов, что, как вы сами понимаете, является недостаточным для червей Уорхола.

Из других интересных теоретических изысканий, которые имеют отношение к вирусам, можно назвать создание метаморфных вирусов, а также использование при их разработки генетических алгоритмов и нейросетей. В метаморфных вирусах, в отличие от "обычных" полиморфных, в каждой новой копии изменяется не отдельный фрагмент вируса, а все тело, что существенно затрудняет его обнаружение. Нейросети позволяют создавать вирусы, части которых распределены по сети и самомодифицируются исходя из окружающих вирус условиях. Кстати, вирусмейкеры уже обратили внимание на эти технологии - во время написания статьи я обнаружил несколько андерграундовых публикаций, описывающих практические аспекты применения метаморфизма при создании вирусов.

В заключение хочу сказать, что с течением времени, можно ожидать нарастания интереса спецслужб к хакерским технологиям и применение их в своей деятельности на благо государства. Однако надо понимать, что недооценка всей опасности столь пристальных интересов приведет к очередной эпидемии, куда более страшной, чем распространение Red Code и иже с ним. Пользователям же могу только лишний раз посоветовать защитить свои компьютеры не только антивирусными средствами, но и другими системами защиты, например, персональными межсетевыми экранами и системами обнаружения атак.

Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва). Автор книги "Обнаружение атак". Сертифицированный инструктор по безопасности компании Internet Security Systems. Сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.

23 января 2002 г.

обсудить  |  все отзывы (45)

[23993; 18; 7.27]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach