Проделки Калигулы
Архив Очередной макровирус, поражающий документы Microsoft Word, недавно выявлен в Сети. Специфика вируса под названием Caligula заключается в том, что он "интересуется" лишь машинами, на которых установлена программа криптозащиты PGP.
PGP, что расшифровывается как Pretty Good Privacy ("очень хорошая секретность") является де-факто стандартом шифрования в Интернете. Многочисленные попытки его компрометации так и не увенчались успехом, а потому он обладает прекрасной репутацией и широко используется сетевой общественностью. Именно на репутацию PGP и покушается вирус-шпион Caligula. В отличие от ранее писавшихся вирусов-вредителей, предназначенных, как правило, для порчи информации на пользовательском компьютере, новое поколение больше интересуется воровством информации. Кроме того, ранее существовала тенденция делать вирусы маленькими по размерам и незаметными для антивирусных программ. Теперь подходы изменились. На винчестере хранится столько информации, что особенно прятать вирусы даже не считают нужным.
Действие Caligula заключается в следующем. Попав в компьютер через Интернет вместе с документом Word (любопытно, что первоначальное распространение вируса было организовано в документе со списком логинов и паролей для доступа к порносайтам), Caligula выясняет, нет ли среди установленных программ PGP. Если PGP отсутствует, никаких неприятных действий вирус не совершает, в противном случае частные ключи пользователя загружаются при установлении связи с Интернетом по ftp-протоколу на Web-сайт злоумышленников (www.codebreakers.org). "Побочное" действие вируса сводится к выдаче в конце каждого месяца сообщения "WM97/CALIGULA (c) Opic [CodeBreakers 1998]. No cia, No nsa, No satellite, Could map our veins".
Мнения по поводу зловредности Caligula разделились. Если эксперт по информационной безопасности Sandia Labs Фред Коэн (Fred Cohen) - один из первых, кто обнаружил и опубликовал информацию о новом вирусе, - считает, что "накопление злоумышленниками большого числа частных ключей может привести к подделыванию ими электронных подписей и получению несанкционированного доступа к частным документам", то большинство других экспертов утверждают, что Caligula безвреден. Например, Сол Виверос (Sal Viveros), директор по маркетингу компании Network Associates, которая приобрела в прошлом году программу PGP разработки Фила Зиммермана (Phil Zimmerman), считает, что обладание частными ключами пользователя никак не компрометирует засекреченные с их помощью данные, поскольку сами ключи также хранятся в закодированном виде. Впрочем, рекомендацию Коэна системным администраторам блокировать пересылку информации на хакерский сайт вряд ли можно считать неразумной. Сама Network Associates включила Caligula в свой популярный антивирусный пакет VirusScan. (Мнение Евгения Касперского о вирусе Caligula - в теме номера).
Автор вируса Caligula (напомним, что Калигула - римский император начала нашего тысячелетия, стремившийся к абсолютной власти и впоследствии убитый), является членом хакерской группировки The Codebreakers ("Дешифровщики"). Он утверждает, что не имел никакого намерения нарушить чью бы то ни было приватность. "Целью написания вируса, - сообщил он в интервью сетевому агентству новостей "InternetNews", - было доказательство самой принципиальной возможности (a proof-of-concept) существования таких угроз безопасности. Основной угрозой безопасности является не вирус и не PGP, а операционная система Microsoft Windows. Задачей было показать всем, что даже сильная криптография в лице PGP может быть скомпрометирована из-за дефектов реализации системы. В итоге ничто, работающее под управлением Windows, не может претендовать на звание сильной криптографии".