Раздел II. Разработчики вирусов
Действие равно противодействию — этот закон Ньютона мы помним еще со школы. Наверное, потому, что он вдруг оказывается справедливым не только для механики, а даже для информатики. Массовое внедрение персональных компьютеров принесло с собой проблему программ-вирусов. С 1988 года этот вопрос приобрел актуальность и в нашей стране.
Если заменить организм компьютером, а клетки — программами, то можно провести аналогию между биологией и информатикой. Компьютерный вирус не изобретает ничего нового. Попадая вместе с зараженной программой в организм-компьютер, вирус перехватывает контроль над его управлением и, используя его же материальные запасы (память) и энергию, начинает неограниченно размножаться, уничтожая «хозяина» и угрожая другим «клеткам». Эта аналогия настолько прочно вошла в информатику, что компьютерный сленг вобрал в себя такие чисто медицинские термины, как «заболевание», «инкубационный период», «вакцина». Она даже приводила к недоразумениям: например, когда у нас только началось внедрение вычислительной техники, ходили нелепые слухи о распространяющих инфекцию (в прямом смысле) компьютерах, поступающих из-за рубежа.
По мнению некоторых специалистов, теоретическое обоснование возможности появления компьютерных вирусов следует искать в работах еще Джона фон Неймана. В 1949 году он интересовался проблемами роста интеллектуальной мощности и развития вычислительной техники. В том числе и возможностью саморазмножения компьютеров или отдельных команд. Скажем, из-за какой-то невероятной ошибки, сбоя программы компьютер в процессе работы формирует некую команду, способную уничтожать другие программы, оставаясь при этом невредимой, а потом, из-за другой системной ошибки, она приобретает способность саморазмножения.
Вероятность возникновения подобной цепочки событий отлична от нуля, особенно с усложнением ЭВМ, но на современном уровне развития вычислительной техники практически невозможна. Для Неймана теоретическое построение «вирусы — продукт работы самого компьютера» было всего лишь игрой ума. У настоящего же компьютерного вируса должны быть вполне человеческие родители. Одно совпало — он действительно появился на свет в результате развлечения профессионалов.
В начале 60-х годов три молодых программиста, работавших в Bell Laboratories, — Даглас Макилрой, Виктор Высоцки и Роберт Моррис — придумали для себя компьютерную игру «Darvin», в которой по закону естественного отбора выживал сильнейший. Была создана последовательность команд, использующих в качестве базы данных все остальные программы из оперативной памяти компьютера. А в итоге она превратилась в поле битвы между программами, стремящимися во что бы то ни стало стереть или испортить код своего противника.
Со временем игра усложнилась и стала называться «Стержневая война». Тогда оперативная память ЭВМ состояла из десятков тысяч маленьких ферритовых сердечников, запоминавших по одному биту информации. Неугомонные программисты добрались и до материального носителя информации.
Однако из-за отсутствия в то время широкого рынка персональных компьютеров эти игры не получили распространения. Первое сообщение о них появилось лишь в 1972 году в специализированном журнале. Настоящую же известность им принес в 1984 году А. К. Дьюдни, ведущий колонку «Занимательный компьютер» на страницах журнала «Scientific American». Сам Дьюдни считал, что идея этой игры возникла под влиянием анекдотической легенды об одном обиженном программисте. В отместку начальству он написал и запустил программу «Сорняк», которая создавала свою точную копию каждый раз, когда выполнялась. И вскоре «Сорняк» расплодился до такой степени, что другим программам стало просто не хватать места в оперативной памяти лабораторной ЭВМ. Для уничтожения «Сорняка» пришлось срочно создавать другую программу — «Косарь».
После этой публикации два молодых программиста из Италии прислали Дьюдни подробное описание программы-вируса, способной заражать компьютеры (о чем, естественно, сразу узнали читатели). На конгрессах программистов стали демонстрироваться коды новых программ-вирусов. Компьютерные журналы помещали о них подробные статьи, не подозревая, что тем самым способствуют распространению эпидемии: еще не умея думать, ЭВМ уже научились болеть.
С личных дисков пользователей и программистов вирусы попадали в информационные сети, заражая сотни компьютеров.
В качестве информации для размышления приводим сообщение газеты «Цзиньцзи жибао» (25.05.89), перевод которого был прислан в редакцию «Техника Молодежи» китайским журналистом Мо Гунминем.
13 апреля 1990 года. Пятница. Компьютеры заводов, НИИ и госучреждений Китая оказались заблокированы вирусом «черная пятница»…
О первом случае заражения китайских ЭВМ программными вирусами сообщалось в апреле 1989 года, когда компьютеры алюминиевого завода Синань оказались поражены вирусом «хлорелла». За год эти вирусы с поразительной быстротой распространились по всей стране. Ситуация приобрела настолько драматический характер, что в конце 1989 года пришлось провести профилактическую проверку 12 750 ЭВМ. Тогда же было установлено, что почти пятая часть из них заражена вирусом «хлорелла». Причем специалисты предполагают, что в Китае инфицировано никак не меньше 6 тысяч ЭВМ.
По подсчетам ведомств государственной безопасности Китая, в стране циркулирует никак не меньше 18 видов компьютерных вирусов, семь из которых зарубежного происхождения. Помимо «хлореллы» (другое название «пятна»), размножаются вирус «джута» («новозеландский»), обладающий разрушительным действием, «пакистанский», «дождевые капли», музыкальные, исполняющие ровно в 17.00 мелодию, и другие.
Появление ЭВМ-вирусов, угрожающих информационным потокам в Китае, вызвало глубокую озабоченность правительства. В июле 1989 года Госсовет КНР поручил Министерству государственной безопасности руководство борьбой с заражением ЭВМ.
Осторожно — вирус!
Если опыт — действительно лучший учитель, то пользователи из лаборатории реактивной тяги (JPL) в г. Пасадена (Калифорния) могли бы стать стипендиатами Родса по компьютерным вирусам. В течение года лаборатория пережила четыре вирусные вспышки, при которых вирусы вторгались через программное обеспечение, загруженное из электронных бюллетеней, в том числе из таких «надежных», как CompuServe и Genie. К счастью, за двумя исключениями — когда вирусы атаковали жесткие диски, эти вторжения были связаны с некоторыми неудобствами, нарушавшими ход работ, но не приводили к серьезным повреждениям.
Проблема, вставшая перед лабораторией и свойственная вообще всякому, кто имеет дело с вирусами, — как защитить пользовательские данные, не ограничивая чрезмерно пользователей. Несмотря на неоднократные случаи инфицирования, было решено не вводить каких-либо ограничений на использование электронных бюллетеней. Вместо этого администраторы лаборатории настаивали на необходимости частого резервного копирования информации и рекомендовали пользователям тестировать загружаемое программное обеспечение при помощи программ обнаружения вирусов и лишь после этого запускать новые пакеты на своих системах. В результате урон от вирусных атак в лаборатории существенно снизился.
Большинство вирусных инфицирований именно такого типа — неприятные, но не связанные с серьезной угрозой. В декабре 1988 года, например, вирус вывел на дисплеи внутренней сети фирмы IBM поздравление с Рождеством. И все же компьютерные вирусы возбуждают глубокое беспокойство — по аналогии с двумя великими проблемами, современности: терроризмом и СПИДом. Вероятность инфицирования остается небольшой, однако она увеличивается. Кроме того, страхи подогреваются неопределенностью, когда неудачный контакт может привести к несчастью. Частично проблема компьютерных вирусов связана с осознанием того, насколько опустошительной может быть их атака на драгоценные данные фирмы.
«Рождение» вирусов
История компьютерного вируса, как правило, это сведения о месте и времени создания (первого обнаружения) вируса; информация о личности создателя (если это достоверно известно); предполагаемые «родственные» связи вируса; сведения, полученные из литературы и фольклора; а также общие впечатления, размышления и т. п.
Для чего еще нужна история? В ней также могут приводиться сведения об известных вирусологу версиях и их отличия от описываемого варианта. Строгая классификация компьютерных вирусов по группам (отрядам, семействам, родам, видам), видимо, не представляется возможной, поскольку вирус может содержать приемы, заимствованные из многих других, не родственных между собой групп. И, вообще, генеалогическое дерево компьютерных вирусов вовсе не является деревом (в смысле теории графов), так что группы будут сильно пересекаться. Поэтому в истории для каждого вируса указываются все источники заимствования (в т. ч. концептуального), которые удалось установить.