В прошлом выпуске "Антихакера" Евгений Касперский ответил на наши вопросы, касающиеся создателей вирусов, их психологии, мотивации. Сегодня мы поговорим с Евгением о том, для чего хакеры используют вирусы, какие языки программирования обычно применяют для создания вредоносных программ, как скрывают вири от взгляда пользователя. Первую часть статьи вы можете прочитать на нашем компакте в разделе "ИнфоБлок".
 "Игрополис" ([И]): Евгений, вы считаете, что корень зла кроется в преклонении перед хакерами и компьютерными преступниками? Это основной стимул для подростков?
 Евгений Касперский ([Е]): Если брать в расчет школьников и студентов, то есть представителей "любителей" и "рецидивистов", то да. Они горят желанием проявить себя. Они хотят быть уникальными и неповторимыми, ищут себе пример подражания и, в конце концов, попадают в капкан масс-культуры, натыкаясь на образы неуловимых хакеров.
 Что касается "профессионалов", то они, скорее, делают это из-за денег, чем ради самоутверждения. Просто это у них получается лучше, чем что-либо созидательное. Это своего рода диагноз.
 [И]: Есть мнение, что каждый искусный программист в молодости проходит через вирусописательство. Или почти каждый. На ваш взгляд, это действительно так?
 [Е]: Не знаю, мы никогда не задавались целью собрать такую статистику.
|
 [И]: Есть мысль, что СМИ сами подливают масло в огонь, рассказывая, к примеру, о полчищах работодателей, которые рыщут по всяческим Defcon’ам в поисках самых искусных хакеров... Естественно, суммы гипотетических контрактов варьируются, как размер рыбы у завзятого рыбака. На ваш взгляд, в этом есть доля правды?
 [Е]: Идея о негативной роли некоторых СМИ в раздувании вирусно-хакерской истерии не нова. И я соглашусь, это действительно смахивает на правду. У нас что ни неделя, то куча звонков и писем от пользователей: "а что это за вирус, о котором кричит трампампам.ru?", "а почему у вас на сайте ничего о нем нет?", "а "Касперский" ловит этот вирус?". Начинаем разбираться, оказывается, что вирус вообще не жилец, не вызвал ни единого заражения, добавлен в нашу базу данных месяц назад и забыт за полной своей безопасностью. В общем-то, понятно, почему происходят такие вещи. С одной стороны, для СМИ жизненно важен новостной поток, и чем он сенсационнее, тем лучше. С другой, например, некоторые антивирусные компании, по всей видимости, установили для себя стандарт — ни недели без вирусной страшилки. А что эта страшилка не более чем пустышка — им дела нет. Такой подход, на мой взгляд, вообще дискредитирует антивирусную индустрию в целом.  
 [И]: Как следует СМИ изменить свою политику? Ведь не станут же они придумывать случаи поимки того или иного компьютерного "отморозка".
 [Е]: Мой совет — перед публикацией новостей из мира вирусов постараться хотя бы проверить информацию. Ведь происходит не только дезориентация пользователей, но и подрыв имиджа самого издания — кто ему станет потом верить? Где-то год назад в США вообще лоббировался закон, согласно которому перед выпуском вирусных предупреждений корреспондент должен был заручиться комментариями по крайней мере двух антивирусных компаний.
 [И]: Какие-нибудь журналы или сайты пропагандируют "деструктивность" среди своей аудитории?
 [Е]: Скорее, стараются собрать как можно больше сенсаций, чтобы привлечь как можно больше читателей. Не думаю, что здесь есть какой-то злой умысел — просто идет борьба за выживание в условиях рыночной экономики.
 [И]: Можно ли относиться к вирусам философски — в том смысле, что они являются лишь еще одним "монстром", рожденным совместными усилиями человечества и прогресса?
 [Е]: Интересный подход к вопросу. Да, с одной стороны, вирусы — продукт умственной деятельности человека, венца природы, величайшего достижения эволюционного процесса, автора "Илиады" и "Гамлета", создателя пирамид и Останкинской башни. Но мне нравится более трезвый взгляд на вещи: вирусы — это хулиганство, выражение деструктивной натуры, своего рода темная сторона человека.
 [И]: Люди создали еще и атомные бомбы и химическое оружие... По сравнению с ними вирусы — просто детский лепет. Может, надо просто "тихо радоваться"?
 [Е]: Да, по массовости поражения вирусам еще далеко до атомной бомбы. Но, в принципе, они также могут вызвать человеческие жертвы в достаточно крупных масштабах. Например, поражение какого-нибудь диспетчерского центра, в результате чего нарушится нормальный порядок работы аэропортов.
|
 [И]: Вы говорили, что есть "циничные профессионалы". То есть для некоторых вирусмейкерство — это профессия?
 [Е]: Да, ведь с помощью вирусов можно не только испортить файлы либо напакостить каким-то другим детсадовским способом. Однако вирусописательство для них скорее не профессия, а инструмент. Профессия — это компьютерные преступления.
 [И]: А есть ли профессионалы, которым можно заказать написание вируса для взлома (или диверсии) какой-нибудь конкретной компании? Если проводить аналогию с футболом, то существуют ли "персональщики"?
 [Е]: Наверняка есть.
 [И]: Почему вы так в этом уверены?
 [Е]: Поверьте мне.
 [И]: Можно ли использовать вирус для поиска хорошей работы? Работодатели клюют на такую приманку?
 [Е]: Да, отличный способ: заразить богатенькую компанию, а потом предложить свои услуги по излечению сети от вируса. Это, конечно, шутка. В действительности, вирусописатели иногда находят высокооплачиваемую работу. Бывает, человек прославляется одним-единственным вирусом, который он сделал "в научно-исследовательских целях", а его детальное изучение показывает, что автор — гениальный разработчик, системный архитектор. Тогда вирусописатели просто кардинально меняют сферу деятельности. Так произошло, например, с Чен Инг Хао, автором CIH.  
 [И]: Расскажите подробнее о Чен Инг Хао.
 [Е]: Это бывший студент Технологического университета в Тайбее (Тайвань). В 1998 г. эксперимента ради написал вирус CIH (инициалы Cheng Ing Hao), который неизвестным способом выбрался из его зоопарка и, как вы знаете, до сих пор бесконтрольно бороздит просторы современного интернета. В том же году этого человека забрали в армию, а после окончания службы буквально с руками оторвали в какую-то тайваньскую IT-компанию.
 [И]: Чен Инг Хао — лишь исключение? Повезло человеку, или есть еще прецеденты?
 [Е]: Если покопаться, то таких прецедентов хоть отбавляй. Иногда случается, но при этом вирусописателям не следует обольщаться надеждами на высокие оклады в престижных компаниях. При успешном вирусописательстве срок и нары — тоже вполне вероятный сценарий.
 [И]: Можете привести примеры?
 [Е]: Ойййй... Я подробностей совсем не помню, но, навскидку, — Кевин Митник, Роберт Моррис.
 [И]: Митник писал вирусы?!
 [Е]: Я не исключаю этого факта.
 [И]: Евгений, а есть ли вирусы, которые можно считать произведением искусства? Действительно красивые и по задумке, и по реализации?
 [Е]: О, да. Время от времени мы диву даемся, сколько любви и мастерства человек вложил в вирус. Честно говоря, в таких случаях бывает очень жаль — столько вдохновения он пустил на эту гадость, а ведь мог "дерево посадить, дом построить". Классические примеры таких произведений искусства — Magistr, CIH (он же "Чернобыль"), Hybris.
 [И]: Вы не могли бы раскрыть изюминку каждого из них?
 [Е]: Начнем с CIH, как наиболее древнего. Этот вирус стал первым в мире, который был "научен" портить аппаратную часть компьютера: в момент активизации своей деструктивной функции он получал доступ к микросхеме Flash BIOS и заполнял ее случайными символами.
|
 Сейчас известно несколько разновидностей самого CIH, а также дюжина его клонов, заимствовавших функцию выведения из строя "флэшки". Дело в том, что какой-то умелец додумался дизассемблировать код вируса и выложил на своем сайте в интернете исходники. Этим не замедлили воспользоваться его коллеги по вирусописательской артели. Вскоре функция "убийства BIOS" появилась во многих других вирусах, в том числе Kriz, Magistr...
 Magistr — это просто произведение искусства. Автор этого вируса действительно талантливый программист — настолько продуман и лаконичен этот вирус. Представляете, всего в 30 килобайт ассемблерного кода запихнуть очень сложный полиморфный вирус, процедуру распространения по локальной сети и электронной почте и, в дополнение, деструктивную функцию CIH!  
 Hybris — один из первых многокомпонентных вирусов, имеющих функцию самообновления. Представьте себе, этот вирус состоит из основной подпрограммы и дополнительных плагинов, которые могут подключаться к вирусу в любой момент по желанию автора. Например, подпрограмма заражения ZIP и RAR-архивов, внедрения на компьютеры, зараженные "троянцем" SubSeven, шифрования. Помимо этого, в Hybris есть очень хитрая система скачки плагинов. Самый топорный метод — это загрузка с анонимного веб-сайта. Но такие сайты быстро прикрывают, и система перестает работать. Так Vecna, автор Hybris, изобрел другой способ — вирус соединяется с электронной конференцией alt.comp.virus и ищет там новые версии подпрограмм. А чтобы под видом плагина вирусу не подсунули антивирус, каждый модуль имеет цифровую подпись (128-битный ключ RSA), что обеспечивает стопроцентную аутентификацию. Это действительно уникальный способ — ведь такую огромную конференцию закрыть невозможно.
 [И]: На чем обычно пишут вирусы?
 [Е]: В принципе, профессионалу все равно, какой язык программирования использовать. Главное, что у него получаются вирусы, которые работают и могут нанести жертве реальный вред. Большинство предпочитает C++, как наиболее простой и в то же время мощный язык. Попадаются экземпляры и на Delphi, но это скорее исключение. Другим исключением, лишь подтверждающим высокую квалификацию вирусописателя, является использование ассемблера. Немногие рискуют писать на нем, но если уж решаются, то получаются просто шедевры. Вы уж извините меня за такие восторженные отзывы о некоторых вирусах, которые приносят вред рядовым пользователям. Но если быть до конца откровенным, компьютерные вирусологи — как врачи-исследователи, они ведь тоже восхищаются совершенству того или иного вируса, который может быть даже смертельно опасен. Это сущность творческого человека — любоваться творениями природы и своих рук. С этим ничего не поделаешь.
 [И]: Сложно ли исследовать такие шедевры?
 [Е]: Трудно дать однозначный ответ на этот вопрос. Я бы сказал так: настоящий профессионал выдает код с высокой структурированностью, логичностью и прозрачностью. Соответственно, чем выше уровень вирусописателя, тем проще исследовать его код. Например, Magistr — всего 30 килобайт кода, все очень компактно, словно автор специально делал вирус так, чтобы нам его проще было исследовать. С другой стороны, бывает, приходят вирусы на Delphi в несколько сот килобайт с кучей библиотек внутри, копаться в которых — сущая каторга! В таких случаях приходится тратить уйму времени, чтобы отделить мух от котлет: что есть код собственно вируса, а что — дополнительный (нередко — неиспользуемые библиотеки).
|
 Однако замечу, что простота анализа вируса далеко не означает простоту разработки "противоядия". Скорее наоборот. К примеру, с CIH вирусологи всего мира боролись очень долго. Лечилку-затычку, которая в принципе не позволяет вредителю проникнуть на компьютер, сделали быстро, но вот на процедуру полноценного лечения зараженной машины ушло несколько недель. Кстати, до сих пор некоторые антивирусы не умеют корректно лечить CIH в памяти.  
 [И]: Возможно ли, теоретически, создание идеального вируса? Такого, чтобы его код было невозможно расшифровать?
 [Е]: В мире нет ничего идеального. Даже самые раскрутые криптоалгоритмы можно расшифровать. Другой вопрос, что на это могут потребоваться сотни лет и безумные вычислительные мощности. В принципе, можно это применить и к вирусу, но тогда он не будет работать. Чтобы вирус работал, необходимо, чтобы он сам себя расшифровывал, а для этого в его коде должен содержаться расшифровщик. Так что ключик — в самом вирусе.
 [И]: А если написать собственный эмулятор процессора со своими командами и архитектурой? И объединить его с вирусом, написанным специально под этот эмулятор на его собственном языке... Это будет явно сложнее полиморфика. Такой подход позволяет создать потенциально непобедимый вирус?
 [Е]: Нет уж — учить, как писать вирусы, я не стану.
 [И]: Много ли вирусов защищенного режима? Среди них есть действительно "матерые рецидивисты"?
 [Е]: Не так уж и много. Например, LMD, Getto, PMBS, Inca, семейство Windows-вирусов Repus. Однако мы уже давно не видели ни одного из них в "диком" состоянии.
 [И]: Почему? Я, например, недавно просматривал одиннадцатый номер Infected Voice (в нем содержится информация о самом первом вирусе защищенного режима) — и там этой категории вирусов предсказывали большое будущее. К тому же, если посмотреть на них с точки зрения теории, то вирусы защищенного режима должны быть более живучими и хорошо замаскированными. Где практика в данном случае отошла от теории?
 [Е]: Такие вирусы слишком трудно делать, и поэтому подобными вещами занимаются лишь профессионалы. Для достижения тех же целей сегодня есть более простые пути.
 [И]: В будущем есть хотя бы теоретическая возможность защититься от вирусов на 100%?
 [Е]: В мире никогда не будет ничего стопроцентного. Даже защиты от вирусов.
 [И]: Оптимистом вас не назовешь. Но хоть какие-нибудь благоприятные перспективы есть?
 [Е]: C'est la vie! Благоприятных перспектив создания абсолютной защиты не то что не обещаю, скорее наоборот, обещаю... что такого никогда не будет. Даже лучший антивирусный эксперт может, заработавшись, нечаянно стукнуть не по той клавише, и вирус заразит его систему. А уж об абсолютности компьютерных программ, особенно до момента изобретения искусственного интеллекта, и говорить не приходится. Вообще, на антивирус, конечно, полагаться нужно, но и самому нельзя плошать. Самым слабым звеном ИТ-безопасности является человек. Насколько он будет подкован в проблеме защиты от вирусов, настолько его компьютер будет защищен.
 [И]: Спасибо, Евгений! Было очень интересно пообщаться. Всего доброго и успехов!
 * * *
 Если у вас, уважаемые читатели, есть какие-то интересные вопросы к Евгению Касперскому, присылайте их на почтовый адрес автора этой статьи с пометкой "Вопросы для Евгения Касперского". Как только вопросов наберется достаточное количество, мы сделаем еще одно интервью.