Факторы риска
АрхивКомпьютерные вирусы стали бичом high-tech-цивилизации. Причудливые хитросплетения Всемирной Паутины сделали одинаково уязвимыми как стратегические сети, так и домашние локалки. По итогам 2002 года, произошло более чем пятикратное увеличение абсолютного количества вирусов в почтовых сообщениях — основном канале распространения вредоносных программ на сегодняшний день.
Компьютерные вирусы стали бичом high-tech-цивилизации. Причудливые хитросплетения Всемирной Паутины сделали одинаково уязвимыми как стратегические сети, так и домашние локалки. По итогам 2002 года, произошло более чем пятикратное увеличение абсолютного количества вирусов в почтовых сообщениях — основном канале распространения вредоносных программ на сегодняшний день.
Компьютерные вирусы стали бичом high-tech-цивилизации. Причудливые хитросплетения Всемирной Паутины сделали одинаково уязвимыми как стратегические сети, так и домашние локалки. По итогам 2002 года, произошло более чем пятикратное увеличение абсолютного количества вирусов в почтовых сообщениях — основном канале распространения вредоносных программ на сегодняшний день.
В 1999–2001 гг. еще нельзя было однозначно предсказать количественные характеристики развития «компьютерной заболеваемости». Однако за прошлый год доля зараженных писем увеличилась почти вдвое — и теперь стало отчетливо видно, что прирост злонамеренных кодов в электронных сообщениях прекрасно ложится на экспоненциальную кривую всего с одним подгоночным параметром (рис. 2).
Эта зависимость оказалась единственной, точно предсказывающей величину инфицированности в 2002 году: судя по прошлым годам, можно было ожидать, что степень зараженности составит один вирус на 210–211 писем; реальная величина оказалась один на 215. На сегодняшний день две другие зависимости, свидетельствующие об управляемости ситуации, — линейная и параболическая — могут быть отброшены (предсказание для линейной — один вирус на 298–299 писем, а для параболической — один на 251–252).
Это свидетельствует о том, что распространение вирусов по электронной почте носит характер эпидемии, из чего, в свою очередь, следует, что мрачные прогнозы могут сбыться гораздо раньше, и при сохранении нынешних тенденций более половины почтовых посланий окажутся инфицированными уже к 2009–10 гг. Если сегодня около 12% писем не доходят до адресата из-за ошибок спам-фильтров провайдеров1, то неизбежное введение тотального антивирусного контроля при взрывном увеличении зараженности почты может серьезно парализовать деловую и личную переписку. Конечно, для оперативной связи еще остаются каналы Интернет-пейджеров, но, например, свежий червь Lirva уже вовсю эксплуатирует ICQ. Да и недоверие к самому распространенному средству обмена информацией вряд ли положительно скажется на развитии «новой экономики».
Анализируя причины, вызывающие компьютерные эпидемии, эксперты продолжают идти самым легким путем, перекладывая ответственность на потребителей, которые якобы сами должны заботиться о своей, а теперь в придачу еще и об общественной, безопасности. Я уже писал2, что такой подход бесперспективен, подтверждением чему стала хроническая эпидемия Klez, обеспечившая в минувшем году 51% прироста зараженности3. Разделение труда для того и было придумано, чтобы одни создавали качественные инструменты, а другие могли их использовать в повседневной работе, не особо вникая в проблемы изготовителей.
Хотя антивирусологи согласны с тем, что компьютерный вирус — это алгоритм, но упор в борьбе с заразой сделан на обнаружение и ликвидацию конкретных программных реализаций. На неявно присутствующие составляющие, которые позволяют вирусам выживать и эволюционировать, внимание практически не обращается. На это, впрочем, есть объективные причины. Описание поведенческих блокираторов4 показывает, что такие разработки находятся пока в зачаточном состоянии и до компромисса между эффективностью определения злонамеренного кода и снижением быстродействия компьютера еще далеко. Очевидно, что если технология создает больше проблем, чем решает, то у нее нет никаких надежд на успех.
Говоря о скрытых составляющих вирусного алгоритма, я подразумеваю прежде всего так называемые социотехнологические приемы, которые используют создатели злонамеренных программ для маскировки своих разработок и, в конечном счете, для повышения их живучести. Вынесение этой темы за скобки позволяет антивирусологам не обращать на нее внимания и заниматься абстрактными рассуждениями о необразованности пользователей. В то же время, если рассматривать компьютерный вирус как алгоритм, включающий в себя не только машинные команды, но и вероятную реакцию пользователя, то придется признать, что при разработке наиболее распространенных операционных систем этот аспект был проигнорирован.
Сегодняшняя антивирусная оборона рассчитана на потребителя-программиста, обладающего глубокими знаниями об архитектуре ОС и прикладных программ, о взаимодействии различных компонентов программного обеспечения, о принципах работы разных классов антивирусных программ, а также о самих вирусах и об особенностях их конкретных проявлений. Антивирусы легко обнаруживают и уничтожают известные им экземпляры чужеродных кодов, но удаление всех источников заразы еще не означает возвращения ОС в нормальное рабочее состояние. В каких-то случаях подсобит автоматика в лице системы защиты файлов (SFP), однако нередки случаи, когда повреждение вирусом незначительного количества программных модулей заканчивается полной переустановкой ОС. Причина проста — массовый потребитель не имеет достаточной квалификации для грамотного проведения восстановительных процедур.
Все распространенные вирусные социотехнические трюки направлены на то, чтобы убедить пользователя выполнить действие, по его разумению безопасное — например, прочитать документ или посмотреть картинку. Если почтовая программа разрешает доступ к вложениям прямо из окна просмотра сообщения, то она могла бы более конкретно предупреждать о типе файла и условиях безопасного обращения с ним. Информация от OE6 не только не конкретна, но и может усилить заблуждение, если имя вложения специально содержит большое количество пробелов перед расширением. Такое имя, не говоря уже о типе файла, полностью не отображается в предупреждении (рис. 3).
К слову, нужно отметить, что при наличии единственного вложения с таким длинным именем тип его нельзя точно определить и в окне просмотра сообщения (рис. 4).
То, что в данном случае иконка вложения соответствует bat-файлу на самом деле ничего не означает, поскольку при пересылке exe в него можно воткнуть любую иконку (например, от IrfanView( рис. 4)), которая и будет отражена в строке вложений.
Многочисленные вариации уязвимостей, связанные с автоматическим исполнением злонамеренного кода на этапе предварительного просмотра сообщения, не говоря уже о злонамеренных аудиофайлах для Media Player’а, — все это грубые просчеты разработчиков ПО. Бесполезно требовать от потребителей, чтобы они подчинялись набору правил, совершенно не понимая ни их смысла, ни действия. Реальное повышение среднего уровня компьютерной грамотности произойдет только в результате естественной смены поколений пользователей. За этот срок, пожалуй, можно будет изменить сами принципы разработки ОС, чтобы учесть в системах безопасности слабость пресловутого человеческого фактора. А пока что признание небезопасности своих продуктов, сделанное Microsoft в 2002 году, не оставляет нам шансов на ослабление вирусного натиска в ближайшие годы.
Итак, на первое место следует поставить фактор концептуальных ошибок, наличие которых сегодня не отрицают даже разработчики ОС. Макровирусы и вирусы для Outlook — это результат грубых просчетов при наделении приложений избыточной функциональностью. Исправление подобных промахов может потребовать внесения кардинальных изменений в программный проект. Потому наивно ожидать, что корпорации добровольно возьмутся за разработку систем, что называется, с нуля, до исчерпания рыночного потенциала нынешнего коммерческого ПО. Заставить же их сделать это очень трудно, ибо большие деньги, по мнению законодателей, всегда были убедительным аргументом.
На следующем месте располагаются непреднамеренные ошибки программирования. От них можно избавиться путем внесения в исходный код сравнительно небольших изменений. Самая большая загвоздка в том, как оперативно доставить исправленные коды на все компьютеры потребителей. То, что дело это непростое, подтверждает незатихающая эпидемия червей, эксплуатирующих уязвимость IFRAME. Благодаря этой печально известной уязвимости в системе безопасности Internet Explorer червь обладает способностью незаметно заражать компьютеры сразу же после прочтения инфицированного письма. Эта особенность практически исключает человеческий фактор и многократно повышает эффективность заражения и скорость распространения вредоносных программ.
И наконец, пресловутый недостаток квалификации у пользователей. Этот фактор принципиально неустраним. Всеобщая компьютерная грамотность — такая же фикция, как и всеобщее среднее, а на самом деле просто посредственное, образование.
1 www.compulenta.ru/2002/11/29/35953.
2 «Эпидемия состоится при любой погоде» («КТ» #436).
3 О характере эпидемии Klez см. az13.mailru.com/ 2/kl1w.htm.
4 www.securitylab.ru/?ID=29908.