Размещено на сайте 07.08.2008.

Продолжение выпусков по проблеме прогноза развития вирусов. 

Предыдущие:
1 Мобильники в опасности
2 История компьютерных вирусов

Возможно, вопрос "что же будет послезавтра?" представляет для некоторых читателей даже больший интерес, нежели подробности "завтрашнего дня", несмотря на большую насущность второго. Мы постараемся удовлетворить любые интересы, в особенности те, которые требуют профессионального прогноза о путях развития компьютерных вирусов.

Ближайшее будущее Linux представляется нам отнюдь не "la vie en rose". Мы уверены, что вскоре количество Linux-вирусов перерастет в их "качество", и, вполне возможно, очень скоро мы станем свидетелями настоящей эпидемии Linux-вирусов. Безусловно, это может произойти лишь при выполнении определенных условий, главным из которых является распространение этой операционной системы в качестве стандарта для рабочих станций. Дискуссии о том, насколько сильна иммунная система Linux с точки зрения защиты от вирусов не прекращались практически с самого момента появления этой операционной системы.

 Однако, в последнее время они приобрели наиболее оживленный характер, причем зачастую превращаясь из цивилизованного аргументированного обмена мнениями в открытую междоусобицу с использованием тяжелой артиллерии. Типичный пример –дебаты, произошедшие на страницах центральных печатных и электронных средств массовой информации Великобритании летом 2000 г. Наукой доказано, что в мире нет ничего абсолютного. Утверждать обратное позволяют себе лишь представители религии. Абсолютной не может быть и неуязвимость от вирусов, в том числе Linux, столь восхваляемая его многочисленными поклонниками.

 Даже если неуязвимость кажется абсолютной, нет никаких гарантий, что через неделю в ней не обнаружится лазейка для слона, что много раз было доказано на практике. Вышеуказанные представители религии в подобных случаях говорят "пути Господни неисповедимы". Однако к Linux эпитет "абсолютная неуязвимость" не может быть применим даже с большой натяжкой.

В свое время бытовали аналогичные утверждения о неуязвимости Windows NT. Однако теперь об этом уже никто не вспоминает. Попробуем разобраться. Главным недостатком, Ахиллесовой пятой Linux является, да простят нас Линус Торвальдс (Linus Torvalds) и Ричард Столман (Richard Stallman), публичная открытость исходных текстов этой операционной системы. Это обстоятельство позволяет создателям вирусов в своих целях модифицировать ядро, динамические библиотеки, - любую часть операционной системы. В отличие от "закрытых" систем, где для проведения подобной операции требуется дизассемблировать код, на что может уйти месяцы работы, в Linux это делается на "ать-два".

Таким образом, "классическое" разнообразие вирусной фауны свойственной, например, DOS, Windows может дополниться настоящим кошмаром – целым классом вирусов, внедряющихся на уровень ядра операционной системы. За многие годы создания вирусов для Windows этого никто так и не сумел сделать. В случае с Linux это возможно сделать "хоть завтра". Закономерно, что наибольшее распространение эта разновидность вирусов получит под "открытыми" системами, в первую очередь Linux, как наиболее популярной настольной "операционкой".

Процедура внедрения выглядит довольно просто: будучи запущенным из-под активного процесса с правами администратора (а именно в такой конфигурации как правило работают неопытные пользователи), вирус незаметно "патчит" ядро или создает новые модули (на сегодняшний момент ни в одном из дистрибутивов Linux не существует электронной подписи модулей) и загружает их в память и активизируется при каждой последующей загрузке компьютера. Причем в процессе модификации ядра вирус может добавлять в операционную систему практически любой функционал, который может привести к самым плачевным последствиям для компании и частного лица, подвергшимся заражению.

 Простой пример – несанкционированный контроль над компьютером с возможностью получения доступа к любой хранящейся информации и дозагрузки новых вредоносных модулей. Обнаружение и лечение таких вирусов потребует от неподготовленных антивирусных компаний значительных усилий, вплоть до полной перестройки антивирусного ядра продуктов. Кроме того, открытый код значительно упрощает поиск и использование "дыр" в системе безопасности Linux.

Для этого достаточно провести анализ исходного текста системы. Аналогичные "подвиги" в Windows совершаются случайно или, что происходит гораздо реже, дизассемблированием ядра. Если установка "заплаток" (а они выходят достаточно оперативно) на продукты компании Майкрософт проходит достаточно просто, то в Linux наложение "патча" может превратиться в настоящую проблему из-за необходимости перекомпиляции исходных кодов (а она на всегда проходит гладко) и несовместимости версий Linux между собой. Иными словами, как это не шокирующе звучит, Linux – самая агрессивная и враждебная пользователю среда, в которой только можно работать!

Вопреки сложившемуся мнению, Linux не застрахован и от резидентных вирусов. Первый из них, "Siilov" действует как классический Windows вирус, модифицируя таблицу точек входа и перехватывая функцию выполнения файлов. Другим известным способом внедрения в систему резидентных Linux-вирусов является изменение списка системных сервисов (daemon). Подобно сервисам Windows NT они будут автоматически загружаться в память компьютера, откуда смогут производить заражение.

Важно заметить, что оба этих способа успешно обходят главный аргумент в пользу иллюзорности существования резидентных Linux-вирусов: выделение для каждого активного процесса отдельного блока памяти, изолированного от остальных, что делает невозможным заражение одного процесса другим.

Другим уязвимым местом Linux является наличие скрипт-языков, что определяет возможность существования в Linux скрипт-вирусов, подобных "LoveLetter". Наиболее продвинутые из них (например, Perl) обладают даже большими возможностями, нежели язык Visual Basic Script (VBS), на котором было создано подавляющее большинство скрипт-вирусов. Скрипты Perl точно так же могут производить любые операции с файлами (создание, изменение, удаление), собирать и отсылать конфиденциальную информацию, получать доступ к электронной почте и т.д.

Программы, созданные на Perl, не требуют компиляции и, поэтому, распространяются в исходном виде. "Благодаря" этой возможности VBS, например, сейчас существует более 40 модификаций вируса "LoveLetter": для создания новой разновидности достаточно взять текст программы, изменить несколько строк и, опа! – готов новый вирус! Более того, мы чуть не упустили из вида платформонезависимость Perl: программы, созданные с помощью этого языка в Windows, в целом будут работоспособны и в Linux! Безусловно, о полной работоспособности речи быть не может, потому как процедуры заражения файлов в Windows и Linux различаются из-за различий в самом формате файлов. Однако это скорее минус, чем плюс: корректно зараженные файлы можно вылечить, а поврежденные, при попытке внедрить вирус в файл Linux, используя методы Windows, - восстановить невозможно и их придется просто удалять. Помимо Perl существуют и другие скрипт-языки для Linux, гораздо более распространенные и универсальные. Кроме того, не далек тот час, когда офисные системы (вроде Star Office) для Linux также обзаведутся своими скрипт-языками, что даст еще один значительный толчок к развитию скрипт-вирусов.

Наконец, мы чуть не забыли о почтовых возможностях Linux. В этом смысле эта операционная система мало чем уступает, а кое-где и превосходит Windows. Мы не видим существенных препятствий для существования в Linux вирусов массового поражения, подобных нашумевшим "Melissa" или "LoveLetter". Во-первых, подобно им вирус может получить доступ к функциям, например, почтового шлюза Sendmail и, с его помощью, разослать зараженные письма неограниченному числу получателей по всем адресам электронной почты, найденным на зараженном компьютере.

Во-вторых, мы сомневаемся, что психология рядового пользователя Windows отличается от психологии рядового пользователя Linux. Так что, если в будущем Linux сравнится по популярности с Windows, так же будут запускаться вложенные "любовные письма", "резюме", "чеки на 1 000 000 долларов" и пр., что будет приводить к эпидемиям, по масштабам сопоставимым с современными. Некоторые паладины Linux ошибочно идут дальше в своих представлениях относительно неуязвимости Linux от вирусов и исключения необходимости пользования антивирусным ПО.

Заблуждение состоит в том, что через Linux-станции могут проходить не только файлы этой системы, но и файлы для DOS, Windows. Все, что угодно! Пусть этой конкретной станции никакого вреда причинено не будет, но каково будет Windows компьютеру, на который эти файлы попадут? Иными словами, имеет место быть непростительная пассивность в отношении антивирусной безопасности. Тем более пагубно подобное отношение, если речь идет о Linux-сервере, а именно в качестве серверной ОС в наши дни преимущественно используется Linux. В этом случае разговоры о необходимости блюсти безопасность корпоративной сети представляются насмешкой над здравым разумом.

Бытует мнение, что панацеей от распространения Linux-вирусов является грамотное определение прав доступа для активного пользователя. Опровержением тому могут быть следующие утверждения.

Во-первых, в отличие от, к примеру, Windows NT, для которой существует тысячи монографий по теме настройки системы безопасности, Linux страдает отсутствием оных. Более того, в Linux наблюдается разрыв между реальностью и практикой: документация, зачастую, не соответствует возможностям системы.

 Во-вторых, различные дистрибутивы Linux довольно сильно отличаются друг от друга. То что верно для одного, зачастую вредит другому. Все это существенно затрудняет настройку системы. В-третьих, вирусы все равно смогут существовать на компьютере, пусть даже только в сфере доступности данного конкретного пользователя. Наконец, нет никаких гарантий, что не будут обнаружены новых бреши в системе защиты, связанные с получением прав администратора из-под клиентского аккаунта, что уже не раз происходило.

Справедливости ради необходимо заметить, что в целом, оценивая уровень защиты Linux и Windows NT, можно констатировать их примерно одинаковую резистентность компьютерным вирусам. Рискнем добавить, что грамотная настройка операционной системы (четкое разграничение прав доступа, запрет на использование потенциально опасных модулей (telnet, ftp и др.) блокировка портов, шифрация файловой системы и т.д.) может существенно усложнить задачу нормального функционирования вирусов так, что ни один из существующих Linux-вирусов не сможет причинить вреда. Однако, с другой стороны, использовать такой ПК в повседневной практике, к примеру, на рабочем месте банковского служащего, станет практически невозможным. Большинство функций, которые существенно повышают производительность труда и делают процесс общения с компьютером максимально ориентированным на пользователя, будут либо полностью отключены, либо существенно ограничены. Таким образом, в данной ситуации снова возникает вечный вопрос о балансе двух противоборствующих понятий: безопасности и функциональности.

Чрезмерная уверенность в неуязвимости Linux и отсутствии "живых" вирусов, способных принести реальный вред системе только играют на руку вирусописателям. Нормальная практика, когда файлы Linux запускаются пользователями сразу же после их загрузки из весьма подозрительных источников в Интернет. Какое раздолье для вирусов и троянцев!

 Причины того, что до сих пор не произошло вирусной эпидемии в Linux по масштабам сопоставимой с "LoveLetter" мы склонны видеть в одном: недостаточное распространение Linux, в качестве "настольного" стандарта. Этой операционной системе еще далеко до популярности Windows и, соответственно, внимания, которое уделяется ей вирусописателями. Даже несмотря на это каждый месяц появляется пара новых Linux-вирусов. Пусть большинство из них довольно убогие и "корявые", однако эти попытки становятся все более настойчивыми и настораживающе успешными. Ясно: настоящая эпидемия Linux-вирусов не за горами.

Компьютерные вирусы в бытовых приборах и мобильных телефонах

В последнее время проблема антивирусной безопасности компьютеризированной бытовой техники, мобильных телефонов, портативных вычислительных устройств стала одной из наиболее часто обсуждаемых на специализированных конференциях и семинарах, на страницах прессы и в частных беседах специалистов.

Насущность этой темы понятна: мир движется семимильными шагами по пути внедрения информационных технологий во все, даже самые незначительные, области человеческой деятельности. Самое интересное нас ожидает, когда к Интернету будет подключена бытовая техника.

А мы от этого никуда не денемся – в скором времени вся бытовая техника будет «компьютеризирована» и подключена к Интернету, потому что этого требует рынок. Борьба между производителями бытовой техники идет сейчас не на уровне технологий – все холодильники морозят примерно одинаково, а на уровне функциональных возможностей и сервиса.

 В результате купить холодильник, не имеющий возможности подключения к Сети, в скором времени будет попросту невозможно. В одной электронной конференции я прочитал следующее: кто-то сказал, что в скором времени кофеварка будет отправлять его почту. Ответ был потрясающим: "Нет, она будет отправлять свою почту". Уже через несколько лет мы будем составлять расписание и порядок работы стиральных машин, холодильников, электрических плит и других бытовых приборов при помощи компьютеров.

 Причем общение между ними будет происходить непосредственно через Интернет или другие компьютерные сети. Представьте себе: компьютер будет полностью контролировать, например, время включения и температурный режим работы микроволновой печи. Однажды составив программу ее работы, каждое утро нас будет встречать уже готовый завтрак!

Однако, неоспоримые преимущества, значительно облегчающие нашу повседневную жизнь, которые обеспечивает «умная» бытовая техника имеют и обратную сторону. Микроволновая печь из приведенного выше примера будет работать согласно командам (т.н. скрипт-программам), посылаемым ей компьютером. Компьютер, в свою очередь, подключен к Интернет, а также активно используется Вашими домочадцами.

Это означает возможность проникновения на компьютер вирусов, которые, в свою очередь, могут получать доступ к бытовым приборам и посылать им свои собственные команды. Можно представить последствия действия потенциального вируса, который будет на всю ночь открывать дверцу холодильника. Не уверен, что это кому-то понравится. Приведенный пример относительно безопасен. Представьте, какие последствия может иметь вирус, поразивший центральный сервер больницы, который регулирует системы жизнеобеспечения пациентов. В данном случае жертвами могут оказаться реальные люди.

Не исключено, что в будущем произойдет разделение классических «персоналок» и упрощенных домашних компьютеров, доступных для понимания даже самым начинающим пользователям. Основным назначением «одомашненных» компьютеров станет обеспечение работы с Интернет, обработка электронной почты и контроль над бытовыми приборами.

Уже сейчас на рынке появились т.н. сетевые компьютеры, производимые Acer, Boundless Technologies, Compaq, Dell, Netpliance, Vestel и другими компаниями. Другая область, которая в скором будущем может подвергнуться атаке вирусов – мобильные телефоны. Быстрое развитие технологий беспроводной передачи данных очень скоро превратит их из обычного средства голосовой коммуникации в универсальный мобильный портал связи с окружающим миром.

 Мобильные телефоны приобретут все свойства персональных компьютеров, подключенных к Интернет. С их помощью станет возможным ведение любых банковских операций, совершение интерактивных покупок, обмен электронными данными и т.д. На телефоны будут устанавливаться операционные системы, там будут существовать текстовые редакторы, электронные таблицы, базы данных.

Пользователи смогут создавать и обмениваться исполняемыми файлами. Таким образом, создадутся все условия для существования вирусов и в мобильных телефонах. Нет, сейчас еще не время паниковать и однозначно воспринимать странность поведения мобильных ассистентов как последствия действия вирусов. Можем Вас успокоить: сейчас такой опасности не существует, поскольку у мобильных телефонов просто-напросто отсутствует необходимая функциональность.

Однако уже сейчас можно прогнозировать, что час "икс" не за горами: летом 2000 г. уже началась практическая Java-низация мобильных телефонов (т.е. процесс интеграции технологии Java в мобильные телефоны), что может послужить в будущем зеленым светом для разработки вредоносных программ? 19 августа компания Sun Microsystems и ряд ее партнеров объявили о завершении разработки стандарта MID (Mobile Information Device) на базе языка программирования Java (Java™ 2 Platform Micro Edition – J2ME) для использования в мобильных телефонах.

Одновременно с этим, один из крупнейших мировых разработчиков технологий беспроводной связи, компания Motorola, выпустила интерфейс прикладного программирования (API), позволяющий разрабатывать для этих устройств дополнительные программы. Это может показаться не более чем набором малопонятных технических терминов, однако значение этого события трудно переоценить: положено начало нового этапа в развитии функциональности мобильных телефонов.

Будущая интеграция языка программирования Java даст возможность запускать на телефонах программы третьих компаний и, в перспективе, позволит пользователям создавать свои собственные программы и обмениваться ими.

Это, несомненно, является огромным шагом вперед на пути превращения мобильных телефонов из обычного средства общения в универсальный коммуникационный портал. Средства языка Java позволят внедрять практически любые дополнительные программы, сложность которых ограничена лишь аппаратными возможностями оборудования.

 Технология Java значительно модернизирует представление данных в мобильных телефонах, превращая статический текст в интерактивный, графический, простой в управлении интерфейс. Однако, у прорыва, свидетелями которого мы являемся, существует и обратная сторона. Новые функциональные возможности мобильных телефонов открывают путь для создания как полезных, так и вредоносных программ. Если сейчас компьютерные вирусы атакуют мобильные телефоны опосредованно, (например, через посылку навязчивых SMS-сообщений), то в будущем, в принципе, могут появиться вирусы, "живущие" непосредственно в мобильных телефонах. Насколько вероятна такая перспектива? Мы выделяем три основных условия для существования компьютерных вирусов. Во-первых, популярность платформы или оборудования. Во-вторых, наличие инструментов разработки. И, в-третьих, недостаточная защищенность. В данном случае полностью выполняются лишь два первых условия. Что касается последнего, то, наш взгляд, именно оно способно предотвратить массовое распространение вирусов на мобильных телефонах.

Технология Java на деле доказала свою надежность и защищенность. За годы ее существования на персональных компьютерах были обнаружены всего лишь несколько Java-вирусов. Их, в свою очередь, скорее можно назвать концептуальными, нежели представляющими реальную угрозу. Принцип работы Java-программ, основанный на выделении виртуального защищенного пространства, практически полностью исключает возможность появления "диких" вирусов для этой платформы. Пока что у нас нет оснований полагать, что J2ME менее защищена, чем другие версии Java. Однако, для того, чтобы сделать окончательный вывод, необходимо время для проведения многочисленных тестов.

Даже если J2ME окажется абсолютно защищенной платформой, остается самое уязвимое место в системе безопасности - человеческий фактор. Это, в свою очередь, может быть исправлено исключительно целенаправленным просвещением. Наиболее опасная ситуация может сложиться в случае пересечения технологии «умных» бытовых устройств и мобильной связи. Недавно шведская компания Vattenfall разработала систему контроля бытовой техники посредством мобильных телефонов и Интернет. Благодаря этому владелец дома независимо от его местонахождения может получать данные от автоматизированных систем безопасности, управлять температурой в помещениях, создавать расписание работы бытовых устройств.

Существующие тенденции определяют интерес, который антивирусные компании проявляет к разработке специализированных антивирусных модулей для мобильных телефонов и бытовой техники. Главным препятствием на данном направлении -принципиальные различия в архитектурах между персональными компьютерами и этими устройствами. Антивирусным компаниям придется практически «с нуля» переписывать их продукты. Однако проблему можно решить гораздо проще. Например, два года назад "Лаборатория Касперского" начала разработку уникального платформонезависимого антивирусного ядра, которое без труда может быть перенесено на любую операционную систему, тип процессора, WAP-шлюз, мобильный телефон и даже бытовую технику.

Таким образом, как сейчас мы защищаем свои компьютеры при помощи антивирусного ПО, так же в будущем мы будем защищать свои сотовые телефоны и «домаших помощников».

В тексте сохранены авторская орфография и пунктуация.