Раздел: Документация

0 ... 12 13 14 15 16 17 18 ... 102

направленности в юниксоидном мире практически не встречается даунов и вандалов. Степень защищенности операционной системы тут ни при чем. Надеяться, что UNIX сможет справиться с вирусами и сама несколько наивно, и, чтобы не разделить судьбу «Титаника», держите защитные средства всегда под рукой, тщательно проверяя каждый запускаемый файл на предмет наличия заразы. О том, как это сделать, и рассказывает следующая глава.

ОТ ДРЕВНЕГО МИРА ДО НАШИХ ДНЕЙ

Исторически сложилось так, что первым нашумевшим вирусом стал Червь Морриса, запущенный им в Сеть 2 ноября 1988 года и поражающий компьютеры, оснащенные 4 BSD UNIX. Задолго до этого, в ноябре 1983 года, доктор Фредерик Коэн (Dr. Frederick Cohen) доказал возможность существования са-моразмножающихся программ в защищенных операционных системах, продемонстрировав несколько практических реализаций для компьютеров типа VAX, управляемых операционной системой UNIX. Считается, что именно он впервые употребил термин «вирус».

На самом деле между этими двумя событиями нет ничего общего. Вирус Морриса распространялся через дыры в стандартном программном обеспечении (которые, кстати говоря, долгое время оставались незаткнутыми), в то время как Козн рассматривал проблему саморазмножающихся программ в идеализированной операционной системе без каких-либо дефектов в системе безопасности вообще. Наличие дыр просто увеличило масштабы эпидемии и сделало размножение вируса практически неконтролируемым.

А теперь перенесемся в наши дни. Популярность UNIX-подобных систем стремительно растет, и интерес к ним со стороны вирусописателей все увеличивается. Квалификация же системных администраторов (пользователей персональных компьютеров и рабочих станций), напротив, неуклонно падает. Все это создает благоприятную среду для воспроизводства и размножения вирусов, " процесс нх «производства» в любой момент может принять лавинообразный характер, — стоит только соответствующим технологиям попасть в массы. Готово ли UNIX-сообщество противостоять этому? Нет! Судя по духу, витающему в телеконференциях, п общему настроению администраторов, IJNIX считается непотопляемой системой и вирусная угроза воспринимается крайне скептически. Между тем качество тестирования программного обеспечения (неважно — рас-"Ространяемого в открытых исходных текстах или без таковых) достаточно невелико, и, ц0 меткому выражению одного из хакеров, один единственный enclMail содержит больше дыр, чем все Windows-приложения, вместе взятые.

хотя огромное количество различных дистрибьютивов UNIX-систем много-Кратно снижает влияние каждой конкретной дырки, ограничивая ареал обитания вирусов сравнительно небольшим количеством машин, в условиях всеоб-1 зг" Глоализаиии и высокоскоростных Интернет-каналов даже чрезвычайно фательный вирус способен поразить тысячи компьютеров за считанные дни 1Л» Даже часы!

---

-:-----.—LsHjKa]]

Распространению вирусов невероятно способствует тот факт, что в Подав ющем большинстве случаев система конфигурируется с довольно демократ1я ным уровнем доступа. Иногда это происходит по незнанию и/или небрежно"4 системных администраторов, иногда по «производственной» необходим0ст " Если на машине постоянно обновляется большое количество фограмм„0 обеспечения (в том числе и создаваемого собственными силами), привилегии на модификацию исполняемых файлов становятся просто необходимы, в цр0 тивном случае процесс общения с компьютером из радости рискует преврат1пъ ся в мучение.

Антивирусные программы, в том виде, в котором они есть сейчас, категории ски не справляются со своей задачей, да и не могут с ней справиться в принципе. Это не означает, что они полностью бесполезны, но надеяться на их помощь было бы по меньшей мере наивно. Как уже отмечалось выше, в настоящий момент жизнеспособных UNIX-вирусов практически нет. И, стало быть, антивирусным сканерам сканировать особо и нечего. Эвристические анализаторы так и не вышли из ясельной группы детского сада и к реальной эксплуатации в промышленных масштабах явно не готовы.

Ситуация усугубляется тем, что в скриптовых вирусах крайне трудно выделить устойчивую сигнатуру — такую, чтобы не встречалась в «честных» программах и выдерживала хотя бы простейшие мутации, отнюдь не претендующие на полиморфизм. Антивирус Касперского ловит многие из существующих скриптовых вирусов, но... как-то странно он их ловит. Во-первых, вирусы обнаруживаются далеко не во всех файлах, а во-вторых, простейшее переформатирование зараженного файла приводит к тому, что вирус остается незамеченным. Все скрипты, позаимствованные из потенциально ненадежных источников, следует проверять вручную, поскольку:

...самый дурацкий тронп может за несколько секунд парализовать жизнь сотен контор, которые напрасно надеются на разные антивирусы

© Игорь Николаев

Вы либо безоговорочно доверяете своему поставщику, либо нет. В полученном вами файле может быть все что угодно (и просто некорректно работающая про грамма в том числе!).

Что бы там ни говорили фанатики UNIX, но вирусы размножаются и на эти платформе. Отмахиваться от этой проблемы — означает уподобиться стр , Вы хотите быть страусами? Я думаю — нет!

ЧТО ДУМАЮТ АДМИНИСТРАТОРЫ ОБ AVP ДЛЯ LINUX

— Мужики, а чем вам, собственно, AVP не угодил?

Тем, что вместо того, чтобы сесть, подумать и сделать как наоо, ли пионера, который не с первой попытки научился делать бинар запускающиеся не только на его машине, и потом метались туда с , пытаясь кого-нибудь заинтересовать своей поделкой. До avpdaetn017

---

УСЛОВИЯ, НЕОБХОДИМЫЕ

ДЛЯ ФУНКЦИОНИРОВАНИЯ ВИРУСОВ

Памятуя о том, что общепринятого определения «компьютерных вирусов» не существует, условимся обозначать этим термином все программы, способные к скрытому размножению. Последнее может быть как самостоятельным (пораженце происходит без каких-либо действий со стороны пользователя: достаточно просто войти в сеть), так и пет (вирус пробуждается только после запуска инфицированной программы).

Сформулируем минимум требований, «предъявляемых» саморазмножающимися программами к окружающей среде (кстати, почему бы окружающую среду не назвать окружающим четвергом?):

•в операционной системе имеются исполняемые объекты;

•эти объекты можно модифицировать и/или создавать новые;

•происходит обмен исполняемыми объектами между различными ареалами обитания.

Под «исполняемым объектом» здесь понимается некоторая абстрактная сущность, способная управлять поведением компьютера по своему усмотрению, и е<-Н°ЭТ0 ие самое удачное определение, но всякая попытка конкретизации Bib.3**110 °°Рачивается потерей значимости. Например, текстовый файл вый МаТСинтерпретируется вполне определенным образом и на пер-

вый ЦЗГЛяд сРеД°й обитания вируса быть никак не может. Однако, если тексто-

процессор содержит ошибку типа «buffer overflow», существует вполне ре-

це Ная Воз-Можность внедрения в файл машинного кода с последующей Дать a4ef*На него Управления. А это значит, что мы не можем априори утверж-• какой объект исполняемый, а какой нет.

мечи, додумались далеко не с первой попытки — сперва все какие-то по-дечки с ncurses интерфейсом пихали. Наступили (по пионерству) на все положенные грабли. Сейчас кое-как работает, только почему-то от рута, и все время в кору падает. Нафиг, к терапевту. Пионер там был обучаемый, два раза одни и те же грабли не топтал — но оно мне надо, его обучать забесплатно? Drweb овцы купили именно тем, что пионеров нанимать не стали и головой думали до того, как писать, а не после того, как написали.

Alex Korchmar (RU.UNUX)

...бинарная хренотень с кривыми наклонностями, непонятно похотливая на рута, делающая что-то непонятное, погано документированная, стоящая странных бабок и при этом интегрируемая в систему через задницу, должна спокойно уходить в /(lev/null по мере поступления.

Igor Nikolaev (RU.UNIX.BSD)

0 ... 12 13 14 15 16 17 18 ... 102