Статьи

Вирусы, как и троянские программы, - создаются конкретными программистами. Хотя дальнейшее обсуждение будет в основном техническим, не следует забывать, что ключевым аспектом проблемы является появление техно-крыс — новой разновидности уголовников, использующих для своих целей возросшую степень анонимности, достижимую с появлением ПЭВМ и сетей. Поэтому важным аспектом борьбы с компьютерными вирусами становится выявление личности преступника или преступной группы, создающей или распространяющей компьютерные вирусы. Руководитель американской специальной группы по изучению компьютерных преступлений Кирк Тзбби, занимающий пост помощника прокурора в Эн-Арборе (шт. Мичиган), заявил: Уголовное дело можно возбудить всегда, когда существует человек, совершивший преступление. Незаметное внедрение вируса в программу является злонамеренным действием, а создание подобной программы — преступлением” (The Computer Law and Security Report, 1989, v.5, № 1.— p.18-21). Уголовная ответственность может сочетаться с иском за нанесенный ущерб.

К концу 1989 г. в ряде стран (США, Великобритания, ФРГ) находятся на рассмотрении законы, предусматривающие для разработчиков и распространителей компьютерных вирусов значительные сроки тюремного заключения (в США до 15 лет). Это позволит, помимо программных и организационных мер, применять для борьбы с вирусами и правовые методы. В частности, в палате представителей Конгресса США внесены билль 55 (Virus Eradiation Act) и билль 287 (Computer Protection Act) [Crawford89].
Выдержки из билля 287 (перевод Н.Н.Безрукова)

(A) Любой, кто сознательно или умышленно саботирует надлежащее функционирование аппаратуры компьютерной системы или связанного с ней программного обеспечения и тем самым вызовет потерю данных, затруднения при работе ЭВМ, убытки или вред владельцу компьютера, должен быть оштрафован … или подвергнут тюремному заключению на срок не более 15 лет или подвергнут обоим наказаниям.

(B) Пострадавшая сторона имеет право в судебном порядке требовать соответствующую компенсацию понесенных убытков и судебных издержек.
Национальный институт стандартов США и Пентагон создали Компьютерную группу быстрого реагирования из 12 человек для борьбы с вирусами и поиска преступников. Кроме того, Пентагон планирует создать свой коммуникационный центр и подразделение для отражения атак на компьютерные системы (Comm. ACM, 1989, v.32, № 2М„ p. 161). В настоящее время в США работает ряд бесплатных BBS, позволяющих получить оперативную информацию по компьютерным вирусам.

В ФРГ законодательство позволяло, в большинстве случаев, привлечь к ответственности изготовителей и распространителей вирусов еще в 1987 г. Подробнее с состоянием правовой защиты от заражения компьютерными вирусами в ФРГ по состоянию на 1987 г. можно познакомиться по переводу книги Р.Бургера [Burger88, гл.6]. Этот перевод распространяется, в частности, через Всесоюзный центр переводов (ВЦП).

Появление достаточно суровых законов создает в известной мере трагическую ситуацию, известную под названием “поиск козла отпущения”. Посадят одного, причем не самого вредного. Остальные останутся на свободе. А что такое для молодого способного человека в 17-18 лет получить даже год тюремного заключения? Да еще сознавая, что его посадили, а остальные, принесшие не меньший вред, гуляют на свободе.

Конечно, общепринятые приоритеты и этические принципы [ParkerD81, Weiss82] исследований в программировании, использовавшиеся на первом этапе — предыстории компьютерных вирусов, когда проблема носила преимущественно научный характер (свободный обмен информацией, программами и т.д.), не применимы на втором этапе, когда проблема затрагивает интересы практически каждого пользователя ПЭВМ. Сейчас как никогда остро стоит проблема выработки кодекса “исследователя-вирусолога”. Этот кодекс должен исключать свободную передачу вирусов, в особенности их наиболее опасных разновидностей (RCE-1800, RCE-2000 и др.). Здесь есть смысл применить подход, принятый в медицине, где лекарства разделены на “список-А”,
список-Б” и т.д., причем в список-А попадают наиболее опасные лекарства, доступ к которым наиболее регламентирован, в список-Б менее опасные, но с регламентацией доступа (рецепт с печатью) и т.д.

Появление “коллекционеров” вирусов, не ведущих работу по созданию средств защиты, представляет особую опасность, поскольку попадание такой коллекции” в руки злонамеренного и безответственного программиста может наделать много бед. Автор считает, что передача вирусов может осуществляться только лицам, активно ведущим разработку средств защиты, и только на основе “соглашения о нераспространении”.

Наибольшую опасность представляют собой комментированные исходные тексты вирусов. Уровень квалификации, требуемый для того, чтобы изменить в ассемблерном тексте две-три команды, и заново ассемблировать текст вируса намного ниже, чем тот, который требуется для дизассемблирования и реконструкции логики. Поэтому распространение исходного текста вируса фактически является подстрекательством к созданию новых вирусов. В этом плане заслуживает осуждения поступок В.Бончева, распространявшего дискету с исходными текстами вирусов, копии которой попали и в нашу страну.

Следует подчеркнуть необходимость особой осторожности для всех, кому так или иначе приходится анализировать зараженные программы и реконструировать логику вируса. Относящиеся к этому материалы желательно держать на личных дискетах, не прибегая без необходимости к записи на винчестер. Каталоги и архивы защищать от несанкционированного доступа паролями или, предпочтительнее, шифровкой. Недопустимо оставлять такого рода материалы в обычных каталогах на “персональном компьютере коллективного пользования”, поскольку есть немало любителей рыться в чужих каталогах в поисках “чего-нибудь интересненького”. Реконструированный текст следует рассматривать как материал “для служебного пользования” и не передавать незнакомым лицам, даже если, по их словам, они занимаются разработкой антивирусных средств: для создания большинства антивирусных средств, в особенности фагов, необходимые сведения специалист может получить самостоятельно за два-три часа работы.

В особенности это относится к вузам, где, несмотря на нашу бедность, талантливые ребята все же имеют возможность работать на персональных ЭВМ. Часто такие ребята предоставлены сами себе и не имеют поддержки со стороны преподавателей программирования, многие из которых давно отошли или вообще никогда не занимались разработкой реальных программ и просто боятся студентов, “знающих слишком много”. При отсутствии более конструктивной цели, заполучив какие-нибудь листинги, такие студенты могут заняться разработкой вирусов, а не антивирусов, не отдавая себе отчет в аморальности своих действий. Поскольку обмен программами между студентами обычно весьма интенсивен, вирус имеет определенные шансы на быстрое распространение. Поэтому необходимы определенные действия общественности, чтобы предотвратить такую возможность. Они могут включать награду каждому, кто сообщит автора того или иного вируса, а также разъяснительную работу относительно этического содержания действий разработчиков вирусов. В этом плане заслуживает внимания обращение к авторам вирусов американской общественной организации “Профессионалы-программисты за социальную ответственность”:

“У Вас есть талант, чтобы сделать что-то полезное в жизни. То, что Вы делаете, вредит промышленности и обществу, которое готово принять Вас и ваш талант с распростертыми объятьями. Удовлетворение, которое Вы получите от сотрудничества с нами, намного выше того, которое Вы получите при нанесении вреда ни в чем не повинным людям. Остановитесь!”

Среди программистов существует два основных мнения относительно того, следует ли публиковать сведения о конкретных вирусах и методах атаки, используемых ими. Одни считают, что публикация технических подробностей облегчит криминальным элементам, которые, к сожалению, имеются и среди программистов, создание более опасных и разрушительных вирусов. Другие придерживаются противоположного мнения, полагая, что публикация этих данных будет способствовать мобилизации сил на создание мощных средств борьбы с этой разновидностью компьютерного вандализма и предотвратит ненужное дублирование усилий. Автор придерживается второй точки зрения и считает, что создание мощных средств защиты позволит поднять “планку технической сложности разработки эффективного вируса до уровня, на порядок превышающего сегодняшний, что существенно сузит круг лиц, представляющих потенциальную опасность.

При написании данной работы автор сознательно исключил ряд сведений, которые могли бы быть использованы во вред. В частности, дампы зараженных программ приводятся в сокращенном виде. однако решающее значение, по-видимому, имеет создание общественной атмосферы нетерпимости к попыткам разработки или использования вирусов. Если такие попытки будут вызывать не отпор, а поощрительное похлопывание по плечу в коллективе разработчика, то в скором времени и пользователям и разработчикам антивирусных программ придется бороться на два фронта: не столько против вирусов, попадающих с Запада (или с Востока), сколько против отечественных разновидностей. Тем более, что первые отечественные вирусы уже появились. Ситуация с отечественными разработчиками вирусов усложняется тем, что их довольно сложно привлечь к уголовной ответственности по действующему законодательству. Вместе с тем действующий уголовный кодекс не исключает возможность применения к разработчикам вирусов статьи о хулиганстве (ст.206 Уголовного кодекса УССР) в случаях, если вирус разрушит важную информацию, приведет к нарушению действия систем, так или иначе связанных с безопасностью людей или управляющих производственными процессами, или вызовет другие последствия, которые можно квалифицировать как умышленные действия, выражающие явное неуважение к обществу.

В связи с этим следует отметить полную бесперспективность попыток использования вирусов для защиты программного обеспечения от незаконного копирования. Поскольку распространение вируса не является контролируемым процессом, то в данном случае скорее всего пострадают не лица, использовавшие незаконную копию, а другие пользователи. Хотя я ни в коей мере не оправдываю незаконное копирование программ, но лекарство не должно быть опаснее, чем болезнь. Не стоит бросать бомбу в магазин для наказания человека, укравшего пачку сливочного масла. Более того, установление автора вируса будет означать полную потерю репутации разработчика и, следовательно, коммерческий крах. Этому будет, несомненно, способствовать и широкая огласка, включая сообщения на профессиональных семинарах, и публикации в прессе, которые последуют за установлением автора(ов) вируса.