Записки исследователя компьютерных вирусов

Автор: content Суббота, Апрель 12th, 2008 Нет комментариев

Рубрика: Интернет

Отрывок из книги

…Знайте: пока вы читаете эти строки, какой-нибудь парень на планете уже отлаживает очередной вирус, который не сегодня-завтра нанесет удар – и одной из жертв вирусного террора окажетесь вы. Не пытайтесь отмахнуться от проблемы и не надейтесь, что на этот раз вас пронесет!

Вирусные атаки стали слишком интенсивными, и никто не может чувствовать себя в безопасности. Использование антивирусов ничего не решает, если вы администрируете локальную сеть крупной организации, персонально для вас может быть написан специальный вирус (троянская программа, шпион), проходящий сквозь антивирусные заслоны как нож сквозь масло. Причем если до недавнего времени вирусы были нетехнической проблемой “грязных рук”, которая решалась элементарным выламыванием дисководов и раздачей по ушам всем любителям левого софта, то основная масса современных вирусов проникает в целевые компьютеры самостоятельно, не требуя никаких действий со стороны пользователя.

Кто пишет вирусы?

Скажем сразу: разработка вирусов – неотъемлемая часть естествознания, причем увлекательнейшая его часть. Практически ни один сколь-нибудь стоящий программист не устоял бы перед соблазном написать свой собственный вирус. Обратите внимание: именно написать, но не распространить, ибо выпускать созданный тобой вирус в свет также преступно и безнравственно, как скидывать на чью-то голову атомную бомбу или метать фекалии из окна. Кто распространяет вирусы? Как показывает практика – психически неуравновешенные молодые люди (студенты, школьники) с недоразвитой степенью моральной ответственности. Переходный возраст, юношеский максимализм, когда кажется, что весь мир – твой и ты – его хозяин, попытки самоутвердиться, заявить о себе окружающим… Или просто шалость, недопонимание всей тяжести такого поступка. Наконец, личная месть конкретному лицу или всей прилегающей к нему (лицу) части человечества. Словом, мотивов выпустить написанный вирус в свет предостаточно. Будучи же выпущенным на просторы Интернета, вирус, уже не подконтрольный своему создателю, начинает жить своей жизнью, и удалить его, поверьте, очень и очень трудно…

Расплата за бездумность

Ущерб, наносимый вирусами, “троянскими конями” и прочими зловредными программами, трудно оценить. И дело здесь не только в разрушенной информации (при своевременном резервировании данные всегда можно восстановить). Гораздо большие убытки наносит панический страх перед самой возможностью заражения, выливающийся в настоящую вирусную истерию. Точно такой же страх вызывает вирус СПИДа, хотя чтобы заразиться им при половом контакте, надо еще очень сильно постараться!

Всякий страх зиждется на незнании. И после изобретения громоотвода молнии по-прежнему продолжают убивать людей, однако сейчас их (молний) уже не так боятся, и даже в сильную грозу всякий грамотный человек знает, как свести риск поражения молнией к минимуму. Напротив, поддавшись панике и действуя наобум, вы идете прямой дорогой на кладбище. И плачевные результаты попыток противостояния вирусным атакам – лучшее тому подтверждение. Лихорадочные переустановки операционной системы, попеременно чередующиеся с форматированием винчестера и отрубанием себя от сети, ничуть не эффективнее омовения сервера святой водой или накачиванием его антибиотиками. Использование антивирусов также не решает проблемы. Чтобы там ни говорила реклама, а качество антивирусных программ все еще оставляет желать лучшего. Зачастую вирусы не распознаются совсем или распознаются, но… не удаляются. Мягкая переустановка системы (то есть переустановка “поверх” ранее установленной версии) не гарантирует удаления заразы, и многие зловредные программы ее вполне благополучно переживают! Форматирование диска – вообще безумный способ лечения, сродни сжиганию больных на костре – жестокий и крайне неэффективный. До тех пор пока не будут перекрыты все каналы проникновения вируса в систему, повторные заражения будут происходить вновь и вновь!

Основной недостаток подавляющего большинства антивирусов как раз и состоит в том, что, удаляя вирус из системы, они даже не пытаются заткнуть те дыры, которые он использует для своего распространения. Как следствие, “лечение” компьютера, подключенного к сети, превращается в перегон тараканов из одной казармы в другую, а затем обратно. Ладно, заражение локальной сети – это еще полбеды (останавливаем сеть, лечим все машины, запускаем сеть), но вот заражение Интернета представляет собой весьма нетривиальную проблему. Вылечить все машины Глобальной сети за раз просто нереально… Можно (и нужно!) установить очередное обновление от Microsoft, заткнув брешь в системе безопасности, но… кто даст голову на отсечение, что этот способ действительно сработает? Ряд обнаруженных дыр парням из Microsoft удалось заткнуть лишь со во второй-третьей попытки, а некоторые дыры остаются незаткнутыми и до сих пор (или заплатки были выпущены не для всех ОС). Причем наблюдается ярко выраженная тенденция в ухудшении поддержки четвертой версии Windows NT. Хоть и древней, но до сих пор работающей.

В идеале каждый из нас должен быть готов к самостоятельному отражению вирусной атаки, не надеясь на помощь извне.

Существование подобных отрядов самообороны, рассредоточенных по всей сети, сделало бы развитие глобальных эпидемий практически невозможным и снизило убытки от хакерских атак к разумному минимуму. В свое время существовала замечательная книга “Компьютерные вирусы в MS-DOS” Евгения Касперского, доходчиво объясняющая методики рукопашной борьбы с вирусами, доступные для освоения всякому специалисту средней руки. Однако с появлением Windows и развитием глобальных сетей стратегия заражения существенно изменилась, и старые рецепты перестали работать, а новых книг по этой тематике с тех пор так и не выходило.

Данная книга представляет собой робкую попытку хотя бы частично заткнуть информационную брешь, раскрывая повадки вирусов и предлагая эффективные средства защиты и борьбы. Материал ориентирован на системных администраторов и программистов с минимальным уровнем подготовки.

Почему антивирусы стали плохой идеей

Существует, по меньшей мере, шесть причин по которым не стоит доверять антивирусам. Первое (и самое главное) – приобретая антивирус, вы платите живые деньги, но ровным счетом ничего не получаете взамен.

В лучшем случае антивирус предотвращает потерю информации, но не более того!

Во-вторых, вероятность успешного обнаружения вирусной заразы относительно невелика, а о гарантиях ее корректного лечения говорить и вовсе не приходится. Судите сами: новые вирусы появляются едва ли не каждый день, а ведь на поиск и выявление заразы, ее анализ и разработку противодействующей вакцины неизбежно уходит какое-то время, в течение которого вы остаетесь уязвимы! Причем фирмы-производители антивирусов просто физически не в состоянии оперативно отслеживать появление новых мутированных или модифицированных штаммов. Статистика показывает, что все крупные эпидемии как раз и вызываются вот такими до поры до времени не замеченными вирусами (и нашумевшая атака на SQL-серверы – лучшее тому подтверждение).

В-третьих: даже если зараза формально известна антивирусу, не факт, что он сможет ее опознать. Техника детектирования полиморфных и шифрованных вирусов очень сложна, и малейшая небрежность разработчиков, допущенная при анализе вирусного кода и/или разработке вакцины, приводит к тому, что один или несколько вирусных штаммов остаются незамеченными. К тому же любой ламер, вооруженный hex-редактором, может “отрихтовать” любой известный вирус, сделав из него десяток-другой неизвестных – делов-то! Короче говоря, качество распознавания заразы все еще оставляет желать лучшего.

В-четвертых, антивирусы способны выдавать ложные срабатывания, ругаясь на присутствие вирусов там, где в действительности их и в помине нет. Шутка шуткой, но убытки от такой чрезмерной подозрительности просто грандиозны! Сколько начинающих программистских контор разорились только из-за того, что распространяли “зараженную” (по мнению антивирусов) продукцию! А паника, поднятая антивирусом? Судорожное отключение машин, вызов специалистов, изматывающий поиск черной кошки в черной комнате? Черт с ними – с нервными клетками (они хоть и не восстанавливаются, но на их место приходят новые), кто нам бесцельно прожитые секунды вернет?! Какой антивирус их восстановит?

В-пятых, антивирусы, как и любые другие программы, могут содержать ошибки (и как показывает практика, они их действительно содержат), последствия которых варьируются от эпизодических подвешиваний компьютера до полного уничтожения всей содержащейся в нем информации.

В-шестых, регулярный запуск антивируса и своевременное обновление антивирусных баз отнимают приличное количество времени и денег. Проверка же файлов в фоновом режиме (если ваш антивирус поддерживает таковую) неизбежно снижает производительность системы и достаточно часто приводит к различным конфликтам. Готовы ли вы инвестировать антивирусную индустрию своим временем и деньгами, не получая ничего взамен? Помилуйте, лучше, выгоднее и дешевле либо нанять квалифицированного специалиста на постоянную работу, либо освоить борьбу с вирусами вручную (первое больше подходит для круных контор, второе – для индивидуальных пользователей).

Что же касается червей, то антивирусы не справляются с ними в принципе. Обнаружить и удалить данный конкретный экземпляр червя – не проблема, но червь будет приходить из сети вновь и вновь, каждый раз отстраивая свое, разрушенное антивирусом логово заново. Так будет продолжаться до тех пор, пока пользователь не установит заплатку и не заткнет дыру, через которую распространяется червь, или не оградит себя со всех сторон брандмауэром (впрочем, хитрый червь сумеет просочиться и через брандмауэр) (см. главу 5 “Побег через брандмаузер плюс терминализация всей NT”). Нет, не подумайте, что автор призывает к полному антивирусному воздержанию, но, перефразируя известную русскую пословицу, можно сказать: “На антивирус надейся, а сам не плошай”. Зачем попадать в зависимость от антивируса, если в подавляющем большинстве случаев вредоносную инфекцию вы можете обнаружить и удалить самостоятельно? Этому, собственно, и посвящена данная книга… Если вы ее не захлопнете немедленно, а, продираясь сквозь витиеватый стиль изложения, доберетесь до самого конца, вы неожиданно обнаружите за концом то начало, по сравнению с которым любой конец – не конец, а так… c позволения сказать, даже не полуось!

Короче говоря, никто не собирается учить вас, как правильно кричать “кия!” и как делать вирусу харакири. Прежде чем ступить на тропу войны и сойтись в рукопашной схватке с вирусом, вы должны получить хотя бы общее представление о его повадках, психологии и физиологии. Вирусы на самом деле очень уязвимые существа – если, конечно, знать их болевые точки. Вирусы очень тупые существа – достаточно лишь правильно приготовить приманку и заминировать все обходные тропы, блокируя возможные пути отступления. Вирусы очень нерасторопны – необходимо просто быть в курсе текущих хакерских веяний и передовых атакующих технологий, готовясь к отражению вирусного наступления заблаговременно, а не тогда, когда, извините, вас в попку клюнут…

У восточных единоборств и боевых кибернетических механизмов в действительности есть много общего. Хотя бы то, что это не те области, которые можно описать в книгах для “чайников” и “носорогов”. Их невозможно описать вообще, как невозможно пересечь горизонт, который – сколько к нему ни приближайся, всегда будет оставаться в точке схождения земли с небом. Нет предела совершенству прогресса компьютерных технологий! Каждый день вирусная индустрия приносит что-то новенькое, и чтобы удержаться на плаву в этом быстро меняющемся мире, будьте готовы принести ему в жертву собственную жизнь со всеми радостями, соблазнами и извращениями. Изменится не только образ вашего мышления, но и весь внутренний мир. Вы научитесь сочетать чувственный опыт (еще называемый интуицией) с элегантностью математических формул или сухих строчек технической документации (которая, даже будучи очень плохой, все же лучше, чем совсем ничего).

В этом мире выживают лишь те, кто ориентирован не на результат, а на его достижение. В конечном счете все мы – белки в колесе, смазка в чудовищном бизнес-механизме, но разница между хакерами и обычными людьми в том, что первые не обращают никакого внимания ни на мир, ни на тело, в котором живут, и работают исключительно ради чувства собственного удовлетворения, полностью отождествляя себя со свой работой… А вторые – основная масса – только делают вид, что живут. На самом же деле не живут, а зарабатывают деньги, на которые потом существуют и приобретают средства для достижения удовлетворения.

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты