Идея компьютерного вируса предшествовала компьютерным сетям. Немецкий математик и отец теории игр Джон фон Нейман впервые теоретизировал эту концепцию в конце 1940-х годов. Он представлял себе компьютерный вирус как автоматически самовоспроизводящуюся сущность. Но прошло еще 30 лет, прежде чем кто-то его создал.

Экспериментальная компьютерная сеть ARPANET была создана в 1969 году и предшествовала Интернету.Он был разработан для передачи сообщений с компьютера на компьютер на большие расстояния без необходимости в выделенном телефонном соединении между каждым компьютером. Для этого требовался метод разделения и отправки данных, известный сейчас как коммутация пакетов. Немногие первые пользователи были в основном учеными-компьютерщиками. Представьте себе их удивление, когда однажды в 1971 году на экранах подключенных телетайпов появилась фраза: «Я крипер, поймай меня, если сможешь!»

Хотя они не знали этого в то время, они были первыми жертвами компьютерного вируса.Но что означало загадочное послание и кто его отправил?

Оказывается, первый компьютерный вирус написал не хакер, и не со злым умыслом. Болд, Беранек и Ньюман* (теперь Raytheon BBN Technologies) были пионерами в сетях с коммутацией пакетов, таких как ARPANET и Интернет. Один из его исследователей, Боб Томас, создал Creeper как экспериментальную компьютерную программу.

Creeper был червем — типом компьютерного вируса, который воспроизводит себя и распространяется на другие системы.В данном случае его целью были компьютеры Digital Equipment Corporation (DEC), которые были подключены к ARPANET.

Но это была не вредоносная программа, которую мы ассоциируем с сегодняшними компьютерными вирусами; показать его загадочное сообщение было все, что Крипер сделал. Он не шифровал файлы, не требовал выкупа, не уничтожал данные, не воровал номера социального страхования и не выводил из строя центрифуги. Он только показал свой дразнящий вызов.

Его создатель просто хотел создать экспериментальную самовоспроизводящуюся программу, чтобы продемонстрировать, что это возможно.Делая это в первую очередь из научного любопытства, он также позабавился, назвав его — Крипер был таинственным омерзительным зеленым грабителем банков из популярного мультсериала 70-х «Скуби-Ду».

Итак, Creeper был первым компьютерным вирусом, но точно не последним — как мы все знаем. Вслед за Creeper, который был выделен исследователями, Elk Cloner стал первым компьютерным вирусом , обнаруженным в дикой природе. Написанный в 1982 году 15-летним старшеклассником по имени Ричард Скрента, это был вирус загрузочного сектора, поражавший компьютеры Apple II.Он распространился с помощью самой современной технологии съемных носителей — гибких дисков — и стал первой крупной эпидемией компьютерного вируса. Это не было преднамеренно вредным, но оно повреждало некоторые диски и вызывало раздражение, отображая на зараженных компьютерах следующую поэму при каждой 50-й загрузке:

ELK CLONER:

ПРОГРАММА С ЛИЧНОСТЬЮ

ОНА ПОЛУЧИТСЯ НА ВСЕ ВАШИ ДИСКИ

ЭТО ПРОНИКНУТ В ВАШИ ЧИПЫ

ДА, ЭТО КЛОНЕР!

ОН ПРИЛЕПИТСЯ К ВАМ КАК КЛЕЙ

ОН ТОЖЕ ИЗМЕНИТ ОЗУ

ОТПРАВЬТЕ КЛОНЕРА!

Сегодня мы продолжаем сталкиваться с надоедливыми и зачастую весьма разрушительными последствиями все более мощных компьютерных вирусов.

Считаете себя любителем истории кибербезопасности? Поделитесь своим мнением с нами на Twitter.

* Интернет мелочи: 24 апреля 1985 года BBN.com стал вторым зарегистрированным доменным именем.

Защита от компьютерных вирусов | Служба общественной безопасности Тулейна

Отказ от ответственности: любое упоминание о коммерческих продуктах на веб-сайте полицейского управления TUHSC не означает рекомендацию или одобрение этих продуктов полицией TUHSC.

Что такое компьютерный вирус и как его получить?

Вирусы просты, но часто окружены шумихой и дезинформацией.(Многие хотят, чтобы вы поверили, что должны быть экспертом, чтобы разбираться в вирусах, но это не так!)

Компьютерный вирус — это программа, которая копирует себя и заражает дискеты или файлы. Компьютерные вирусы могут распространяться на другие компьютеры и файлы при обмене зараженными дискетами или файлами. Часто зараженные файлы приходят в виде вложений электронной почты, даже от людей, которых вы знаете. Отправители электронной почты понятия не имеют, что они передают файл с вирусом.

Некоторые компьютерные вирусы могут стирать или изменять информацию, хранящуюся на вашем компьютере, другие вирусы могут причинить небольшой вред вашей системе или вообще не нанести никакого вреда.Написание и распространение любого вируса запрещено политикой университета, и любой, кто это сделает, будет нести юридическую ответственность за ущерб.

Эти зараженные программы могут быть файлами, содержащими исполняемый код (чаще всего файлы .COM и .EXE), или загрузочными секторами. Вирус может заразить ваш компьютер только в том случае, если вы запустите зараженную программу или загрузитесь с дискеты, содержащей зараженный загрузочный сектор.

Типы компьютерных вирусов

В настоящее время существует четыре типа компьютерных вирусов, каждый из которых распространяется по-своему.

1. «Макрос»
   Эти вирусы распространяются при совместном использовании файлов документов из MS-Word (версия 6.0 и выше) или MS-Excel (версия 5.0 и выше). Макровирусы являются частой причиной вирусных инфекций, и они могут заражать как ПК, так и компьютеры Macintosh. После заражения вашего компьютера макровирусом любой документ Word или Excel, который вы создаете или открываете, также может содержать вирус.
2. «Загрузочный сектор»
   Эти вирусы распространяются путем совместного использования дискет между разными компьютерами.Любая дискета может распространять вирус загрузочного сектора, даже если это не загрузочная системная дискета. Если вы делитесь файлами, используя общие дискеты, вы можете распространить вирус загрузочного сектора на другие компьютеры, который затем может заразить другие дискеты.
3. «Программа»
   Эти вирусы распространяются путем совместного использования программных файлов. Поскольку большинство пользователей совместно используют программы реже, чем данные или файлы документов, этот тип вирусов встречается реже, чем другие. Программный вирус может заразить другие программы и повредить файлы данных на вашем компьютере.
4. «Электронная почта» или «Обман»
   Эти вирусы на самом деле вовсе не являются вирусными программами. Это сообщения электронной почты, отправленные людьми из лучших побуждений, чтобы предупредить других о новом вирусе, о котором они прочитали. Эти ложные предупреждающие сообщения обычно говорят: «Обязательно отправьте это всем, кого вы знаете», и предупреждают о серьезном повреждении вашего компьютера или файлов. Предупреждения о ложных вирусах могут стать причиной огромного объема интернет-трафика и ненужного беспокойства для других. Прежде чем пересылать такое сообщение, проконсультируйтесь с кем-нибудь, кто разбирается в компьютерных вирусах.

Помните:

• Вирус не может появиться на вашем компьютере сам по себе. Вы должны получить его, поделившись зараженными файлами или дискетами, или загрузив зараженные файлы из Интернета.
• Дискета, защищенная от записи, не может быть заражена вирусом.
• Вы не можете заразиться вирусом, прочитав тело сообщения электронной почты Pine, хотя оно может быть перенесено во вложение (например, файл Word или Excel). Эти вложения должны быть отсканированы, прежде чем Вы их прочтете.

Как защитить свой компьютер?

Есть несколько вещей, которые вы должны сделать, чтобы защитить свой компьютер от вирусных инфекций:

• Используйте качественную антивирусную программу и обязательно регулярно ее обновляйте. Используйте его для сканирования любых файлов — программ, программного обеспечения или дискет (даже нового программного обеспечения от коммерческой компании), прежде чем использовать их на своем компьютере.
• Делайте резервные копии важных документов или файлов и храните их на отдельных дискетах.Создание резервных копий также защитит вашу информацию от случайного удаления файлов, выхода из строя дискеты и других повреждений.
• Всякий раз, когда вы используете компьютер в лаборатории кампуса, обязательно перезагрузите компьютер или запустите «очистку» перед началом сеанса и выйдите из системы по завершении сеанса.
• Никому не передавайте коммерческое программное обеспечение. Распространение такого материала является нарушением авторских прав автора и способом распространения вирусов.
• Если вы получаете программное обеспечение, являющееся общественным достоянием (PD), для которого автор предоставил разрешение на копирование, приобретайте его из надежного источника.(Например, и человек, которого вы не знаете, не является надежным источником.) Прежде чем запускать материал PD, используйте антивирусную программу для проверки на наличие известных вирусов.
• Убедитесь, что ваша программа электронной почты настроена таким образом, что она не запускает вложенные файлы или программы.
• Никогда не запускайте полученный исполняемый файл без запуска антивирусной утилиты.
• Всегда сканируйте свои дискеты и файлы после их использования на другом компьютере.
• Всегда сканируйте все файлы, загружаемые из Интернета.
• Всегда сканируйте вложения электронной почты в виде файлов Word или Excel, прежде чем читать их.
• Получите защиту. Если на вашем компьютере нет программного обеспечения для защиты от вирусов, мы рекомендуем вам установить его как можно скорее.

Как получить антивирусное программное обеспечение?

Вы должны установить последние версии антивирусного программного обеспечения на свой настольный компьютер, чтобы защитить его от вирусов.

На странице загрузки служб технологической инфраструктуры Тулейнского университета есть программное обеспечение McAfee VirusScan для сред Windows и Linux и программное обеспечение Virex для Mac OS.Загрузка ТИС

Вы также можете загрузить антивирусное программное обеспечение непосредственно из Интернета. Вот список нескольких сайтов с программным обеспечением для защиты от вирусов:

Что делать, если мой компьютер заражен вирусом?

Не все повреждения ваших программ и файлов вызваны вирусами: изношенные дискеты, неисправные жесткие диски, ошибки пользователя и плохо написанные программы могут привести к потере данных. Если ваш компьютер ведет себя странно или вы считаете, что на нем есть вирус, используйте антивирусную программу, чтобы выяснить это.

Если ваш компьютер заражен вирусом, НЕ ПАНИКУЙТЕ! Используйте антивирусную программу, чтобы удалить вирус самостоятельно, или выключите компьютер и найдите того, кто знает, как удалить вирус.

Если в памяти активен вирус, это может помешать корректной работе антивирусных программ. Чтобы убедиться, что вирус не активен, выключите компьютер и перезагрузитесь с заведомо чистой системной дискеты, прежде чем начинать процесс лечения.

Уничтожьте все копии вируса как можно быстрее.Проверьте все свои дискеты и предупредите всех, у кого могут быть зараженные файлы или диски.

Помните, что большинство вирусов можно удалить без необратимого повреждения системы, а большинство вирусных заражений можно предотвратить. При надлежащем уходе ваш компьютер может оставаться свободным от вирусов.

Антивирусное программное обеспечение должно быть установлено при первоначальной настройке персонального компьютера. Программное обеспечение должно еженедельно обновляться новыми описаниями вирусов, и ваш поставщик может предоставить функцию автоматического обновления.Организации могут извлечь выгоду из использования нескольких брендов антивирусного программного обеспечения.

Что такое вирус — Программное обеспечение Check Point

Чтобы программа технически считалась вирусом, она должна состоять из следующих двух элементов:

1. Программа должна выполняться самостоятельно. Таким образом, он часто заменяет выполнение другой программы своим собственным кодом и запускает сам себя вместо предполагаемой программы.
2. Он должен иметь возможность воспроизводить себя. Например, он может заменить другие исполняемые файлы копией зараженного вирусом файла. Вирусы могут заражать как настольные компьютеры, так и сетевые серверы.

Как распространяются вирусы?

Обладая способностью воспроизводить себя, вирус распространяется с одного компьютера на другой и по всей компьютерной сети.Везде, куда он распространяется, он копирует тот же процесс, что и предшествующий ему, и, таким образом, способен заразить огромное количество компьютеров за очень короткий промежуток времени.

Подобно человеческим вирусам, а также троянским коням, компьютерные вирусы могут различаться по наносимому ими ущербу. Некоторые из них могут вызвать лишь слегка раздражающие эффекты, в то время как другие могут повредить ваше оборудование, программное обеспечение или файлы.
Как и трояны, почти все вирусы прикреплены к исполняемому файлу. Это означает, что он может присутствовать на компьютере, но фактически не может заразить его, если только вредоносная программа не будет запущена или открыта.

Подобно человеческим вирусам, компьютерный вирус не может распространяться без участия человека, например запуска зараженной программы для ее поддержания. В результате вирусы часто распространяются людьми, которые неосознанно отправляют зараженные файлы другим в виде вложений в электронные письма.

Как предотвратить заражение компьютерными вирусами?

Всегда рекомендуется использовать антивирусное решение.Кроме того, это программное решение должно всегда обновляться, чтобы обеспечить исправление любых уязвимостей и возможность блокировать любые известные угрозы.

Поскольку ландшафт кибербезопасности продолжает развиваться, а атаки становятся все более изощренными, межсетевые экраны следующего поколения будут по-прежнему оставаться важным компонентом решения для обеспечения безопасности любой организации, независимо от того, находитесь ли вы в центре обработки данных, в сети или в облаке. Чтобы узнать больше об основных возможностях, которыми должен обладать брандмауэр следующего поколения, загрузите Руководство покупателя брандмауэра следующего поколения (NGFW) сегодня.

Copyright (c), 1984, Фред Коэн — Все права защищены

Существуют общие средства для обеспечения доказуемо правильной защиты схемы [Feiertag79], но они зависят на политике безопасности, которая эффективна против типов атак, выполненный. Даже некоторые довольно простые системы защиты не могут быть доказаны «безопасный» [Harrison76]. Защита от отказ в обслуживании требует обнаружения останавливающихся программ, что хорошо известно, что оно неразрешимо [Garey79]. Проблема точной маркировки информационного потока в системе [Fenton73] было показано, что он NP-полный.Использование охранников для прохождения недостоверная информация [Woodward79] между пользователями было рассмотрено, но в целом зависит от способности для доказательства корректности программы, которая, как известно, является NP-полной.

Программа-червь Xerox [Shoch82] имеет продемонстрировал способность распространяться по сети и даже случайно вызвал отказ в обслуживании. В более позднем варианте игра «Core Wars» [Dewdney84] был изобретен, чтобы позволить двум программы для борьбы друг с другом. Другие вариации на эту тему сообщалось многими неопубликованными авторами, в основном в контексте ночные игры между программистами.Термин «вирус» также был используется вместе с дополнением к APL, в которое автор помещает общий вызов в начале каждой функции, которая, в свою очередь, вызывает препроцессор для дополнения стандартного интерпретатора APL [Gunn74].

Изучена потенциальная угроза широко распространенной проблемы безопасности [Хоффман82] и потенциальный ущерб правительству, финансам, бизнесу и академическим учреждения является крайним. Кроме того, эти учреждения, как правило, используют рекламу специальные механизмы защиты в ответ на конкретные угрозы, а не звуковые теоретические методы [Каплан82].Текущий системы военной защиты в значительной степени зависят от изоляционизма, однако разрабатываются новые системы, обеспечивающие «многоуровневое» использование [Klein83]. Ни одна из опубликованных предложенных систем не определяет и не реализует политику, которая может остановить вирус.

В данной статье мы раскрываем новую проблему защиты от компьютерных вирусов. Сначала мы исследуем инфекционное свойство вируса и покажем, что транзитивность закрытие общей информации может потенциально стать зараженным. При использовании в сочетании с троянским конем, понятно, что это может вызвать широкое распространение отказ в обслуживании и/или несанкционированное манипулирование данными.Результаты несколько экспериментов с компьютерными вирусами используются для демонстрации того, что вирусы представляют собой огромную угрозу как в условиях нормальной, так и в условиях высокой безопасности. системы. Пути обмена, транзитивность потока информации и общность интерпретации информации определены как ключевые свойства в защита от компьютерных вирусов, а также индивидуальный анализ этих показаны свойства. Анализ показывает, что только системы с потенциалом для защиты от вирусной атаки используются системы с ограниченной транзитивностью и ограниченное совместное использование, системы без совместного использования и системы без общего интерпретация информации (способность Тьюринга).Только первый случай представляет практический интерес для современного общества. В общем, обнаружение вируса оказывается неразрешимым как с помощью априорного, так и динамического анализа, и без обнаружения лечение, вероятно, будет трудным или невозможным.

Рассмотрены несколько предложенных контрмер, и показано, что они соответствуют к частным случаям индивидуального анализа вирусных свойств. Ограниченное системы транзитивности считаются обнадеживающими, но показано, что точные реализация неразрешима, и в целом показаны неточные политики со временем приводить к тому, что системы становятся все менее и менее пригодными для использования.Использование в масштабе всей системы исследуются вирусные антитела, и показано, что они в целом зависят от растворов к неразрешимым проблемам.

Сделан вывод, что изучение компьютерных вирусов является важным области исследований с потенциальными применениями в других областях, которые в настоящее время системы практически не защищают от вирусных атак, и что единственный доказуемо «безопасной» политикой на данный момент является изоляционизм.

Компьютерный вирус

Copyright (c), 1984, Фред Коэн — Все права защищены

Следующая псевдопрограмма показывает, как вирус может быть записан в псевдокомпьютерный язык. Символ «:=» используется для определения, «:» символ помечает оператор, «;» разделяет операторы, символ «=» используется для присваивания или сравнения, символ «~» означает «нет», Символы «{» и «}» группируют последовательности операторов вместе, а «…» символ используется для обозначения того, что нерелевантная часть кода была оставил неявным.

 программный вирус:=
{1234567;

исполняемый файл подпрограммы: =
{цикл: файл = получить случайный исполняемый файл;
если первая строка файла = 1234567, то перейти к циклу;
добавить вирус в файл;
}

подпрограмма do-damage:=
{какой бы ущерб ни был нанесен}

триггер подпрограммы:=
{возвратите true, если выполняется какое-то условие}

основная программа:=
{заразить исполняемый файл;
если нажать на спусковой крючок, то нанести урон;
перейти к следующему;}

следующий:} 

Этот пример вируса (V) ищет незараженный исполняемый файл (E) путем поиска исполняемых файлов без «1234567» в начале, и добавляет V к E, превращая его в зараженный файл (I).Затем V проверяет чтобы увидеть, верно ли какое-либо условие срабатывания и наносит ли оно ущерб. Ну наконец то, V выполняет остальную часть программы, к которой он был добавлен. Когда пользователь пытается чтобы выполнить E, вместо него выполняется I; он заражает другой файл, а затем выполняется, как если бы это был E. За исключением небольшой задержки для заражения, I выглядит как E, пока условие срабатывания не нанесет урон.

Распространенное ошибочное представление о вирусах связывает их с программами, которые просто распространяться по сетям. Программа-червь, «войны ядер» и тому подобное программы сделали это, но ни одна из них на самом деле не связана с заражением.То ключевым свойством вируса является его способность заражать другие программы, достигая тем самым транзитивное закрытие обмена между пользователями. Например, если V заразил один из исполняемых файлов пользователя A (E), а затем пользователь B запустил E, V мог распространить также к файлам пользователя B.

Следует отметить, что вирус не обязательно использовать в злых целях или быть троянским конем. Например, можно написать вирус сжатия находить незараженные исполняемые файлы, сжимать их с разрешения пользователя, и предварить себя к ним.При выполнении зараженная программа распаковывает сам и выполняется нормально. Поскольку он всегда спрашивает разрешение перед выполнением сервисы, это не троянский конь, но так как он обладает свойством заражения, это все же вирус. Исследования показывают, что такой вирус может спасти более 50% места, занимаемого исполняемыми файлами в средней системе. То производительность зараженных программ будет немного снижаться по мере их распаковки, и, таким образом, вирус сжатия реализует определенный компромисс времени и пространства.Образец вируса сжатия может быть записан следующим образом:

 вирус сжатия программы:=
{01234567;

исполняемый файл подпрограммы: =
{цикл: файл = получить случайный исполняемый файл;
если первая строка файла = 01234567, то перейти к циклу;
сжать файл;
добавить вирус сжатия в файл;
}

основная программа:=
{если запросить разрешение, то заразить исполняемый файл;
распаковать остальную часть этого файла в tmpfile;
запустить временный файл;}
} 

Эта программа (C) находит незараженный исполняемый файл (E), сжимает его, и добавляет C, чтобы сформировать зараженный исполняемый файл (I).Затем он распаковывает остальное во временный файл и выполняется нормально. Когда я запущен, он будет искать и сжимать другой исполняемый файл перед распаковкой E во временный файл и выполнить его. Эффект заключается в распространении через система сжимает исполняемые файлы и распаковывает их как есть быть казненным. Пользователи будут испытывать значительные задержки, так как их исполняемые файлы распаковываются перед запуском.

В качестве более угрожающего примера предположим, что мы модифицируем программу V, указав триггер-вытянут как истину после указанной даты и времени, и указание do-damage как бесконечный цикл.С уровнем обмена в большинство современных систем, вся система, скорее всего, станет непригодной для использования, поскольку указанной даты и времени. Может потребоваться большой объем работы чтобы отменить ущерб от такого вируса. Эта модификация показана здесь:

 ...
подпрограмма do-damage:=
{цикл: перейти к циклу;}

триггер подпрограммы:=
{если год>1984, то вернуть true, иначе вернуть false;}
... 

В качестве аналогии с компьютерным вирусом рассмотрим биологическое заболевание, которое на 100% заразен, распространяется при общении животных, убивает всех инфицированных животных мгновенно в данный момент и не имеет обнаруживаемых побочных эффектов до этого момента.Если между введением была использована задержка даже в одну неделю болезни и ее последствий, скорее всего, останется только лишь немногие живые отдаленные деревни и, безусловно, уничтожили бы подавляющее большинство современного общества. Если бы компьютерный вирус такого типа мог распространяться по компьютеры мира, это, вероятно, остановило бы большую часть использования компьютеров для значительный период времени и нанести ущерб современному правительству, финансам, бизнес, академические институты.

Предотвращение компьютерных вирусов

Copyright (c), 1984, Фред Коэн — Все права защищены

Основные ограничения

Данная система общего назначения, в которой пользователи могут использовать информацию в их распоряжении, как они хотят, и передачи такой информации, как они видят подходит для других, должно быть ясно, что способность делиться информацией является транзитивным. То есть, если есть путь от пользователя А к пользователю Б и там путь от пользователя B к пользователю C, то есть путь от пользователя A к пользователю C при сознательном или невольном сотрудничестве пользователя B.

Наконец, нет принципиального различия между информацией, могут использоваться как данные, а информация может использоваться как программа. Этот хорошо видно в случае с интерпретатором, который принимает информацию редактируется как данные и интерпретируется как программа. По сути, информация имеет смысл только в том смысле, что подлежит интерпретации.

В системе, где информация может интерпретироваться как программа по ее получатель, такая интерпретация может привести к заражению, как показано выше.Если есть обмен, заражение может распространяться через интерпретацию поделилась информацией. Если нет ограничений на транзитивность информации поток, то информация может достичь транзитивного закрытия информации поток, начинающийся с любого источника. Совместное использование, транзитивность потока информации, и общность интерпретации, таким образом, позволяют вирусу распространяться на транзитивные замыкание информационного потока, начинающегося с любого заданного источника.

Очевидно, что если нет обмена, то не может быть и распространения информации через информационные границы, и, таким образом, никакая внешняя информация не может быть интерпретируется, и вирус не может распространяться за пределы одного раздела.Этот называется «изоляционизмом». Так же ясно, что система, в которой ни одна программа могут быть изменены, и информация не может быть использована для принятия решений. быть зараженным, так как заражение требует модификации интерпретируемой информации. Мы называем это системой «фиксированной функциональности первого порядка». Мы должны отметить что практически любая система с реальной полезностью в научных исследованиях или разработках среда потребует общности интерпретации, и этот изоляционизм неприемлемо, если мы хотим извлечь выгоду из работы других.Тем не менее, это решения проблемы вирусов, которые могут быть применимы в ограниченные ситуации.

Модели перегородок

Модель целостности [Biba77] является примером политики, которая может быть использована для разделения систем на закрытые подмножества под транзитивность. В модели Биба уровень целостности связан с вся информация. Свойства строгой целостности двойственны свойствам Bell-LaPadula. характеристики; ни один пользователь на данном уровне целостности не может прочитать объект с более низким целостности или написать объект более высокой целостности. В оригинальной модели Бибы было сделано различие между доступом на чтение и выполнение, но это не может применяться без ограничения общности интерпретации информации поскольку программа с высокой целостностью может записать объект с низкой целостностью, целостность копирует себя, а затем считывает ввод с низкой целостностью и производит выход с низкой целостностью.

Если модель целостности и модель Белла-ЛаПадулы сосуществуют, форма приводит к ограниченному изоляционизму, который делит пространство на замкнутые подмножества при транзитивности. Если для обоих механизмов используются одни и те же деления (более высокая целостность соответствует более высокой безопасности), результаты изоляционизма поскольку информация, поднимающаяся по уровням безопасности, также перемещается вверх по уровням целостности, а это не разрешено. Когда модель Biba имеет границы внутри Границы Белла-ЛаПадулы, инфекция может распространяться только из более высокой целостности уровни на более низкие в пределах заданного уровня безопасности.Наконец, когда Белл-ЛаПадула границы находятся в пределах границ Биба, инфекция может распространяться только из от более низких уровней безопасности к более высоким уровням безопасности в пределах заданной целостности уровень. На самом деле существует 9 случаев, соответствующих всем парам нижних границы с верхними границами, но три, показанные графически ниже достаточны для понимания.

   Те же подразделения         Biba в B-L         B-L в Biba
--------------        ---------------         ---------------
Biba   B-L   Результат     Biba   B-L   Результат     Biba   B-L   Результат
----   ----   ----      ----   ----   ----      ----   ----   ----
|\\| |//| |ХХ| |\\| |//| |ХХ| |\\| |//| |ХХ|
|\\| |//| |ХХ| |\\| | | |\\| | | |//| |//|
| | + | | = | | | | + | | = | | | | + | | = | |
|//| |\\| |ХХ| |//| | | |//| | | |\\| |\\|
|//| |\\| |ХХ| |//| |\\| |ХХ| |//| |\\| |ХХ|
----   ----   ----      ----   ----   ----      ----   ----   ----
\\ = не могу писать   // = не могу читать    XX = нет доступа    \ + / = X 

Подобно тому, как системы, основанные на модели Белла-ЛаПадулы, склонны двигаться к более высоким уровням безопасности, всегда повышая уровень чтобы удовлетворить пользователя самого высокого уровня, модель Biba имеет тенденцию перемещать всю информацию к более низким уровням целостности, всегда снижая целостность результатов к самой низкой входящей целостности.Мы также знаем, что точная система для целостности является NP-полным (точно так же, как двойственное ему NP-полно).

Программист, пользующийся наибольшим доверием, — это (по определению) программист, который может писать программы, исполняемые большинством пользователей. Для поддержания Bell-LaPadula политика, пользователи высокого уровня не могут писать программы, используемые пользователями более низкого уровня. Это означает, что наиболее надежными программистами должны быть те, кто находится на самом низком уровне. уровень безопасности. Это кажется противоречивым. Когда мы смешиваем Biba и Bell-LaPadula моделей, мы обнаруживаем, что возникающий в результате изоляционизм защищает нас от вирусов, но не позволяет любому пользователю писать программы, которые можно использовать повсюду система.Каким-то образом, точно так же, как мы допускаем шифрование или рассекречивание данные, чтобы переместить их с более высоких уровней безопасности на более низкие, мы должны быть возможность использовать тестирование и проверку программ для перемещения информации из нижних уровни целостности на более высокие.

Другая часто используемая политика, используемая для разделения систем на закрытые подмножества. это политика категорий, используемая в типичных военных приложениях. Эта политика разделяет пользователей на категории, при этом каждый пользователь имеет доступ только к информации требуется для выполнения своих обязанностей.Если каждый пользователь в строгой системе категорий имеет доступ только к одной категории за раз, система защищена от вирусов атака через границы категорий, потому что они изолированы. К несчастью, в современных системах пользователи могут иметь одновременный доступ к нескольким категориям. В этом случае заражение может распространиться за границы категорий на транзитивные закрытие информационного потока.

Модели потока

В качестве примера покажем поток разрешенной информации на расстоянии метрическая система с порогом, установленным на 1, и каждый пользователь (A-E), способный общаться только с двумя ближайшими соседями. Обратите внимание, что информация, начинающаяся с C может перейти только к пользователю B или пользователю D, но не может перейти к A или E даже при содействии Б и Д.

 Правила:
D (выход) = макс (D (вход))
D(общий ввод)=1+D(неразделенный ввод)
Информация доступна тогда и только тогда, когда D < const

A     B     C     D     E
+-+   +-+   +-+   +-+   +-+
|X|---|1|---|0|---|1|---|X|
+-+   +-+   +-+   +-+   +-+

Метрика расстояния с порогом 1 

На следующем рисунке показан пример реализации системы списка потоков. различные ограничения (обозначенные A и B) для разных пользователей (в строке, столбце 1,3 и 2,5).Обратите внимание, что хотя информации разрешено достигать 1,5, на самом деле он не может попасть туда, потому что нет пути от его источника в 1,3. Как и в дистанционно-метрической системе, транзитивность информационного потока не выполняется, так что даже если бы информация, указанная B, была в состоянии достигнув 2,3, дальше он пройти не смог.

 Правила:
F (выход) = Союз (F (входы))
Информация доступна тогда и только тогда, когда B(F)=1
1     2     3     4     5     6
+-+   +-+   +-+   +-+   +-+   +-+
1 |А|---|А|---|А|---| |---|А|---|В|
+-+   +-+   +-+   +-+   +-+   +-+
| | | | | |
+-+   +-+   +-+   +-+   +-+   +-+
2 | |---| |---|А|---| |---|В|---|В|
+-+   +-+   +-+   +-+   +-+   +-+
| | | | | |
+-+   +-+   +-+   +-+   +-+   +-+
3 |B|---|B|---|B|---|B|---|B|---|B|
+-+   +-+   +-+   +-+   +-+   +-+

Образец системы списков потоков 

В системе с неограниченными информационными путями ограниченная транзитивность может иметь эффект, если пользователи не используют все доступные пути, но поскольку всегда прямой путь между любыми двумя пользователями, всегда есть возможность инфекции.Например, в системе с транзитивностью, ограниченной расстояние 1 «безопасно» делиться информацией с любым пользователем, которому вы «доверяете» не беспокоясь о том, что этот пользователь неправильно доверял другой пользователь.

Ограниченная интерпретация

Например, система, имеющая только функцию «отображение файла», может отображать содержимое файла пользователю и не может изменять какие-либо файл. В стационарных базах данных или почтовых системах это может иметь практическое применение. но уж точно не в среде разработки.Во многих случаях компьютер почта является достаточным средством связи, и до тех пор, пока компьютер почтовая система отделена от других приложений, поэтому никакая информация может протекать между ними разве что в скрытом канале через пользователя, это могут быть использованы для предотвращения инфекции.

Хотя никакая фиксированная схема интерпретации сама по себе не может быть заражена, Схема фиксированной интерпретации порядка может использоваться для заражения программ, написанных интерпретироваться им. Например, микрокод компьютера может быть исправлена, но код на машинном языке, который он интерпретирует, все еще может быть заражен.LISP, APL и Basic — все это примеры фиксированных схем интерпретации, которые может интерпретировать информацию в общих чертах. Поскольку их способность интерпретировать вообще говоря, на любом из этих языков можно написать программу который заражает программы на одном или всех этих языках.

В ограниченных системах интерпретации инфекции не могут распространяться дальше чем в общих системах интерпретации, потому что каждая функция в ограниченном система также должна иметь возможность выполняться в общей системе.Предыдущий таким образом, результаты дают верхние границы распространения вируса в системах с ограниченным толкованием.

Проблемы точности

Проблема в том, что когда информация несправедливо признана нечитаемой данным пользователем, система становится менее удобной для этого пользователя. Это форма отказа в обслуживании в доступе к информации, которая должна быть доступным запрещено.Такая система всегда стремится сделать себя менее и менее пригодным для обмена, пока он не станет полностью изоляционистским или достигает точки стабильности, когда все оценки точны. Если такой точка стабильности существовала, у нас была бы точная система для этой стабильности точка. Поскольку мы знаем, что любая точная точка стабильности, кроме изоляционизма требует решения NP-полной задачи, мы знаем, что любая не NP-полная решение должно иметь тенденцию к изоляционизму.

Резюме и выводы

  Пределы вирусной инфекции

общее толкование           ограниченное толкование
\Транзитивность
Общий доступ\  ограниченный      общий             ограниченный      общий
|-----------|------------| |-----------|------------|
общий | неограниченный | неограниченный | | неизвестно   | неизвестно  |
|-----------|------------| |-----------|------------|
ограниченный | произвольный | закрытие | | произвольный | закрытие |
|-----------|------------| |-----------|------------| 

Лечение компьютерных вирусов

Copyright (c), 1984, Фред Коэн - Все права защищены

Обнаружение вирусов

 программа противоречивый вирус:=
{...
основная программа:=
{если ~D(противоречивый-вирус), то
{заразить исполняемый файл;
если нажать на спусковой крючок, то нанести урон;
}
перейти к следующему;
}
} 

Противоречие разрешимости вируса "CV"

Эволюция вируса

 программа эволюционный-вирус:=
{...
подпрограмма print-random-statement:=
{напечатать имя-случайной-переменной, " = ", имя-случайной-переменной;
цикл: если случайный бит = 0, то
{print random-operator, random-variable-name;
перейти в цикл;}
печатать точку с запятой;
}

подпрограмма копирования-вируса-со-случайными-вставками:=
{цикл: копировать эволюционный вирус в вирус, пока не будет найдена точка с запятой;
если random-bit = 1, то print-random-statement;
если ~конец входного файла перейти к циклу;
}

основная программа:=
{копировать-вирус-со-случайными-вставками;
заразить исполняемый файл;
при нажатии на спусковой крючок наносит урон;
перейти к следующему;}

следующий:} 

В общем случае доказательство эквивалентности двух эволюций программы «P» («P1» и «P2») неразрешима, потому что любая решающая процедура «D», способная нахождения их эквивалентности могут быть вызваны P1 и P2.Если найден эквивалент они выполняют разные операции, и если обнаруживаются разные, они действуют одинаковы и, следовательно, эквивалентны. Это иллюстрируется следующей модификацией запрограммировать EV, в котором решающая процедура D возвращает «истину» тогда и только тогда, когда два входные программы эквивалентны.

 программа неразрешимый-эволюционный-вирус:=
{...
копирование подпрограммы с неразрешимым утверждением: =
{копировать неразрешимый-эволюционный-вирус в файл до строки, начинающейся с-zzz;
если файл = P1, то напечатайте "если D(P1,P2), то напечатайте 1;";
если файл = P2, то напечатайте "если D(P1,P2), то напечатайте 0;";
скопировать неразрешимый-эволюционный-вирус в файл до конца входного-файла;
}

основная программа:=
{если случайный бит = 0, то файл = P1, иначе файл = P2;
копия-с-неразрешимым-утверждением;
ззз:
заразить исполняемый файл;
при нажатии на спусковой крючок наносит урон;
перейти к следующему;}

следующий:} 

Программа UEV превращается в один из двух типов программ P1 или P2.Если тип программы P1, оператор с пометкой "zzz" станет:

если D(P1,P2) то выведите 1;

если D(P1,P2) то выведите 0;

Поскольку и P1, и P2 являются развитием одной и той же программы, эквивалентность эволюций программы неразрешима, и поскольку они оба являются вирусами, эквивалентность эволюций вируса неразрешима. Программа UEV также показывает, что обе неэквивалентные эволюции могут быть вирусами. То эволюции эквивалентны с точки зрения их вирусных эффектов, но могут иметь немного другие побочные эффекты.

Альтернативой обнаружению по внешнему виду является обнаружение по поведению. Вирус, как и любая другая программа, действует как суррогат пользователя в запрашивающие службы, а службы, используемые вирусом, являются законными в законное использование. Тогда вопрос о поведенческом обнаружении становится одним из определение того, что является и не является законным использованием системной службы, и поиск средство обнаружения разницы.

В качестве примера законного вируса компилятор, который компилирует новый Версия самого себя на самом деле является вирусом по определению, данному здесь.это программа, которая «заражает» другую программу, модифицируя ее, чтобы включить развитая версия самого себя. Поскольку вирусная способность есть в большинстве компиляторов, каждое использование компилятора является потенциальной вирусной атакой. Вирусная активность компилятора запускается только определенными входными данными, и, таким образом, для чтобы обнаружить срабатывание, нужно уметь определять вирус по его внешнему виду. Поскольку точное обнаружение по поведению в данном случае зависит от точного обнаружения по внешнему виду входных данных, и поскольку мы уже показали, что точное обнаружение по внешнему виду неразрешимо, отсюда следует, что точное обнаружение по поведению также неразрешима.

Ограниченная защита от вирусов

В качестве контрмеры мы можем разработать новую программу входа в систему (и компилятор C) настолько отличается от оригинала, что делает его эквивалентность очень трудно определить. Если бы «лучшая программа ИИ дня» была бы неспособна обнаружения их эквивалентности за заданное время, а компилятор выполнил свою задачу менее чем за это время, это могло быть разумно предположил, что вирус не мог обнаружить эквивалентность, и поэтому не стал бы распространяться. Если точный характер обнаружения были известны, вероятно, было бы довольно просто обойти это.

Хотя мы показали, что вирусы вообще невозможно обнаружить, любой конкретный вирус может быть обнаружен с помощью определенной схемы обнаружения. Например, вирус V может быть легко обнаружен путем поиска 1234567 как первая строка исполняемого файла. Если исполняемый файл оказался зараженным, он не будет запущен и, следовательно, не сможет распространяться. Следующее программа используется вместо обычной команды запуска и отказывается выполняться программы, зараженные вирусом V:

 новая команда запуска программы: =
{файл = имя исполняемой программы;
если первая строка файла = 1234567, то
{print "в программе есть вирус";
выход;}
в противном случае запустить файл;
} 

Точно так же любую конкретную схему обнаружения можно обойти с помощью определенного вирус.Например, если злоумышленник знал, что пользователь использует программу PV в качестве защиты от вирусной атаки, вирус V может быть легко заменен с вирусом V', где первая строка была 123456 вместо 1234567. Много можно исследовать более сложные схемы защиты и вирусы. Что становится вполне очевидно, аналогична старой западной поговорке: «это не лошадь, которая нельзя оседлать, не тот человек, которого нельзя бросить". Никакой заразы не может быть которые не могут быть обнаружены, и не может существовать ни один механизм обнаружения, который не может быть зараженным.

Этот результат приводит к мысли, что баланс сосуществующих вирусов и защиты могут существовать, так что данный вирус может нанести ущерб только данная часть системы, в то время как данная схема защиты может только защитить от определенного набора вирусов. Если бы каждый пользователь и злоумышленник использовали одинаковые защиты и вирусы, может быть окончательный вирус или защита. Это имеет смысл как с точки зрения атакующего, так и с точки зрения обороняющегося. точки зрения иметь набор (возможно, несовместимых) вирусов и средств защиты.

В случае, если вирусы и схемы защиты не развивались, это вероятно, приведет к некоторому набору фиксированных оставшихся в живых, но поскольку программы могут быть написана для развития, программа, которая превратилась в сложную для атаки программа с большей вероятностью выживет, как и вирус, который сложнее обнаружить. По мере эволюции балансы имеют тенденцию меняться, при этом конечный результат неясен во всех обстоятельствах, кроме простейших. Этот имеет очень сильные аналогии с биологическими теориями эволюции [Dawkins78], и может хорошо относиться к генетическим теориям болезней.Аналогично, распространение проникновение вирусов через системы вполне может быть проанализировано с помощью математических модели, используемые при изучении инфекционных заболеваний [Baily57].

Поскольку мы не можем точно обнаружить вирус, у нас остается проблема определения потенциально незаконного использования в разрешимом и легко вычислимом способ. Мы могли бы захотеть обнаружить множество программ, которые не являются вирусами и даже не обнаружить некоторые вирусы, чтобы обнаружить большое количество вирусов. Если событие относительно редко встречается при «нормальном» использовании, оно имеет высокую информативность. контент, когда это происходит, и мы можем определить порог, при котором сообщение сделано.При наличии достаточного инструментария списки потоков могут быть сохранил, который отслеживает всех пользователей, которые произвели какой-либо данный файл. Пользователи, которые появляются во многих списках входящих потоков, могут рассматриваться как подозрительные. То скорость, с которой пользователи входят в списки входящих потоков, также может быть хорошим индикатором вируса.

Этот тип меры может иметь значение, если службы, используемые вирусами редко используются другими программами, но создают несколько проблем. Если порог известен злоумышленнику, вирус можно заставить работать в пределах Это.Интеллектуальная схема порогового значения может адаптироваться, чтобы порог мог не может быть легко определен злоумышленником. Хотя эта «игра» явно может воспроизводиться вперед и назад, частота опасных запросов может быть поддерживается достаточно низким, чтобы замедлить необнаруженный вирус без значительного вмешательства с законным использованием.

Несколько систем были проверены на предмет их способности обнаруживать вирусные атаки. Удивительно, но ни одна из этих систем не содержит даже следов владельца программа, запущенная другими пользователями.Маркировка такого рода должна почти наверняка использоваться, если необходимо обнаружить даже самые простые вирусные атаки.

После имплантации вируса его может быть нелегко полностью удалить. Если система продолжает работать во время удаления, вылеченная программа может быть повторно заражена. Это открывает возможности для бесконечной погони за хвостом. Без некоторого отрицания служб, удаление, вероятно, будет невозможным, если только программа, выполняющая удаление распространяется быстрее, чем удаляемый вирус. Даже в случаях там, где удаление происходит медленнее, чем вирус, можно разрешить большинство действий для продолжения во время удаления без процесса удаления быть очень быстрым.Например, можно изолировать пользователя или подмножество пользователей. и лечить их, не отказывая в услугах другим пользователям.

Как правило, точное удаление зависит от точного обнаружения, так как без точное обнаружение, невозможно точно знать, следует ли удалить заданный объект. В особых случаях возможно выполнение удаление по неточному алгоритму. Например, каждый файл, записанный после данная дата может быть удалена, чтобы удалить любой вирус, запущенный после эта дата.

Одно беспокойство, которое было выражено и которое легко развеять, это вероятность того, что вирус может быть спонтанно создан. Это сильно связанный с вопросом, сколько времени потребуется N обезьянам на N клавиатурах чтобы создать вирус, и похоронен с такой же скоростью.

Эксперименты с компьютерными вирусами

Copyright (c), 1984, Фред Коэн - Все права защищены

Первый вирус

Первоначальная инфекция была внедрена в 'vd', программу, которая отображает Файлы Unix структурированы графически и представлены пользователям через систему. доска объявлений. Поскольку vd была новой программой в системе, характеристики или другие детали его работы были известны.Вирус был имплантирован в начале программы, чтобы она выполнялась перед любой другой обработкой.

Чтобы держать атаку под контролем, были приняты некоторые меры предосторожности. Все заражения были выполнены злоумышленником вручную, и никакого ущерба не было нанесено. сделано, только отчет. Следы были включены, чтобы гарантировать, что вирус не распространялся без обнаружения, для заражения использовался контроль доступа процесс, а код, необходимый для атаки, хранился в сегментах, каждый зашифрованы и защищены для предотвращения незаконного использования.

В каждой из пяти атак злоумышленнику были предоставлены все системные права менее чем за час. Самое короткое время было менее 5 минут, а в среднем менее 30 минут. Даже те, кто знал о нападении, были зараженный. В каждом случае файлы были «лечены» после экспериментов. чтобы гарантировать, что конфиденциальность пользователя не будет нарушена. Ожидалось, что атака была бы успешной, но очень короткое время захвата было довольно удивительно. Кроме того, вирус был достаточно быстрым (менее 1/2 секунды) что задержка зараженных программ осталась незамеченной.

Как только были объявлены результаты экспериментов, администраторы решили что дальнейшие эксперименты в области компьютерной безопасности не разрешаются на их система. Этот запрет включал запланированное добавление следов, которые могли бы отслеживать потенциальные вирусы и эксперименты по увеличению пароля, которые потенциально могут в значительной степени улучшили безопасность. Эта кажущаяся реакция страха типичная, а не попытка решить технические проблемы технически, политика часто выбираются решения.

После успешных экспериментов в системе Unix, Было совершенно очевидно, что те же методы будут работать и во многих других системах.В частности, были запланированы эксперименты по системе «Топс-20», системе VMS, система VM/370 и сеть, содержащая несколько таких систем. В проведен процесс переговоров с администраторами, продемонстрирована целесообразность путем разработки и тестирования прототипов. Прототипы атак для Топ-20 система были разработаны опытным пользователем Топс-20 за 6 часов, новичок пользователь VM/370 с помощью опытного программиста за 30 часов и начинающий пользователь VMS без посторонней помощи за 20 часов. Эти программы продемонстрировали возможность находить файлы для заражения, заражать их и пересекать границы пользователя.

После нескольких месяцев переговоров и административных изменений было решил запретить эксперименты. Офицер службы безопасности на объекте постоянно выступал против экспериментов по безопасности, и даже не читал никаких предложений. Это особенно интересно в в свете того, что было предложено разрешить системным программистам и сотрудники службы безопасности для наблюдения и надзора за всеми аспектами всех экспериментов. Кроме того, системные администраторы не хотели разрешать очищенные версии. лент журналов, которые будут использоваться для автономного анализа потенциальной угрозы вирусов, и не хотели, чтобы к их систем своими программистами, чтобы помочь обнаружить вирусные атаки.Хотя там эти действия не представляют очевидной угрозы, и они требуют небольшого время, деньги и усилия, администраторы не желали разрешать расследования. Похоже, их реакция была такой же, как и реакция страха Unix-администраторы.

Система на базе Bell-LaPadula

Из-за крайне ограниченного времени разработки (26 часов использования компьютера пользователем, который никогда не использовал 1108, с помощью программиста, который не использовал 1108 в течение 5 лет), многие вопросы были проигнорированы в реализации. В частности, производительность и универсальность атаки были полностью проигнорированы.В результате каждая инфекция занимала около 20 секунд, хотя их легко можно было сделать менее чем за секунду. В системе остались следы вируса, хотя они могли быть устраняется в значительной степени с небольшими усилиями. Вместо того, чтобы заразить много файлов одновременно, заражался только один файл за раз. Это позволило развитие вируса должно быть продемонстрировано очень четко, без участия большое количество пользователей или программ. В качестве меры безопасности система использовался в выделенном режиме только с системным диском, одним терминалом, одним принтер и учетные записи, посвященные эксперименту.

После 18 часов подключения вирус 1108 выполнил первое заражение. Хозяин предоставил довольно полный набор руководств пользователя, использование системы, и помощь компетентного бывшего пользователя системы. Через 26 часов использования, вирус был продемонстрирован группе из примерно 10 человек, включая администраторы, программисты и сотрудники службы безопасности. Вирус продемонстрировал возможность пересекать границы пользователя и переходить с заданного уровня безопасности на более высокий уровень безопасности. Еще раз подчеркнем, что ни одна система жуки были вовлечены в эту деятельность, а скорее в том, что Белл-ЛаПадула модель допускает легитимность такого рода деятельности.

В целом атака была несложной. Код для вирус состоял из 5 строк ассемблерного кода, около 200 строк на Фортране код и около 50 строк командных файлов. Считается, что компетентный системный программист мог бы написать намного лучший вирус для этой системы в 2 недели. Кроме того, как только будет понята природа вирусной атаки, разработать конкретную атаку несложно. Каждый из программистов присутствующие были убеждены, что они могли бы создать лучший вирус в столько же времени.(Это правдоподобно, поскольку у этого злоумышленника не было 1108 опыт.)

Инструментарий

В результате оснащения этих систем набором «социальных» пользователи были идентифицированы. Некоторые из них удивили главного системного администратора. Число системных администраторов было довольно велико, и если кто-то из них были заражены, вся система, скорее всего, рухнет в течение часа.Немного были предложены простые процедурные изменения, чтобы замедлить эту атаку на несколько порядков без снижения функциональности.

                      Сводка по распространению
система 1                         система 2
класс| ##  |распространение| время | класс| ##  |распространение| время |
---------------------------    ---------------------- ------
| С  | 3   | 22  | 0  | | С  | 5   | 160 | 1  |
| А | 1   | 1  | 0  | | А | 7   | 78 | 120  |
| У  | 4   | 5  | 18  | | У  | 7   | 24 | 600  | 

Пользователи, которым не был предоставлен доступ, игнорируются в этих вычислениях, но другие эксперименты показывают, что любой пользователь может поделиться с ним, предложив программа на доске объявлений системы. Детальный анализ продемонстрировал что системные администраторы склонны пробовать эти программы, как только они объявляются. Это позволяет обычным пользователям заражать системные файлы за считанные минуты. Администраторы использовали свои учетные записи для запуска программ других пользователей и хранение часто исполняемых системных файлов, и несколько обычных пользователей, принадлежащих очень часто используемые файлы.Эти условия делают вирусную атаку очень быстрой. Использование отдельных учетных записей для системных администраторов при обычном использовании тут же было предложено, и планомерное перемещение (после проверки) часто используемых программ в системный домен также рассматривался.

Другие эксперименты

На данный момент нам не удалось получить разрешение ни на инструмент или эксперимент на любой из систем, которые эти вирусы были написано для. Результаты, полученные для этих систем, основаны на очень простом примеры и могут не отражать их общее поведение в системах в обычном режиме. использовать.

Резюме и выводы

                      Сводка атак

| Unix-C| Б-Л | Инстр |Unix-sh| VMS  | Базовый |
--------------------------------------------------
Время    | 8 часов |18 часов | Н/Д  | 15мин | 30мин | 4 часа |
--------------------------------------------------
Inf t   |0,5 сек |20 сек | Н/Д  | 2 сек | 2 сек | 10 сек|
--------------------------------------------------
Код    | 200 л | 260 л | Н/Д  | 7 л | 9 л | 100 л |
--------------------------------------------------
Испытания  | 5    | Н/Д  | Н/Д  | Н/Д  | Н/Д  | Н/Д  |
--------------------------------------------------
Мин т   | 5 мин | Н/Д  |30 сек | Н/Д  | Н/Д  | Н/Д  |
--------------------------------------------------
Среднее время |30 мин | Н/Д  |30 мин | Н/Д  | Н/Д  | Н/Д  |
--------------------------------------------------
Макс. t   |60 мин | Н/Д  |48 часов | Н/Д  | Н/Д  | Н/Д  |
-------------------------------------------------- 

Проблемы с политиками, препятствующими контролируемым экспериментам по безопасности ясны; лишение пользователей возможности продолжать свою работу способствует незаконному атаки; и если один пользователь может запустить атаку без использования системных багов или специальные знания, другие пользователи также смогут.Просто сказав пользователи не запускать атаки, мало что сделано; пользователи, которым можно доверять не будет атаковать; но пользователям, которые могут нанести ущерб, нельзя доверять, поэтому блокируется только законная работа. Перспектива, которую позволяло каждое нападение иметь место снижает безопасность, по мнению автора, является заблуждением. То Идея использования атак для изучения проблем требуется даже правительству политики для доверенных систем [Klein83] [Каплан82]. Было бы рациональнее использовать открытые и контролируемые эксперименты в качестве ресурса для повышения безопасности.

Резюме, выводы и дальнейшая работа

Copyright (c), 1984, Фред Коэн - Все права защищены

Предотвращение, по-видимому, включает ограничение законной деятельности, в то время как лечение может быть сколь угодно сложным без некоторого отказа в обслуживании.Точный обнаружение невозможно, однако для ограничения можно использовать статистические методы. необнаруженное распространение ни по времени, ни по протяженности. Поведение при типичном использовании должны быть хорошо поняты, чтобы использовать статистические методы, и такое поведение может меняться от системы к системе. Ограниченные формы обнаружения и профилактику можно использовать для обеспечения ограниченной защиты от вирусов.

Было продемонстрировано, что вирус может распространяться по любая система, которая позволяет делиться.Каждая система общего назначения в настоящее время в использовании открыт для, по крайней мере, ограниченной вирусной атаки. Во многих современных «безопасных» систем вирусы имеют тенденцию к дальнейшему распространению, если они созданы менее надежными пользователями. Эксперименты показывают жизнеспособность вирусной атаки и указывают на то, что вирусы быстро распространяются и легко создаются в различных операционных системах. Дальнейшие эксперименты еще продолжаются.

Представленные результаты не зависят от операционной системы или реализации. но основаны на фундаментальных свойствах систем.Важнее, они отражают реалистичные предположения об используемых в настоящее время системах. Дальше, почти каждая «безопасная» система, разрабатываемая в настоящее время, основана на Белл-ЛаПадула или решетчатая политика в одиночку, и эта работа ясно продемонстрировала что этих моделей недостаточно для предотвращения вирусной атаки. Вирус по сути доказывает, что контроль честности следует рассматривать как неотъемлемую часть любого безопасная операционная система.

Было выявлено несколько неразрешимых проблем, связанных с вирусами и контрмеры.Здесь собраны:

Неразрешимые проблемы обнаружения

• Обнаружение вируса по внешнему виду
• Обнаружение вируса по его поведению
• Обнаружение эволюции известного вируса
• Обнаружение спускового механизма по внешнему виду
• Обнаружение пускового механизма по его поведению
• Обнаружение эволюции известного пускового механизма
• Обнаружение детектора вирусов по его внешнему виду
• Обнаружение вирусного детектора по его поведению
• Обнаружение эволюции известного вирусного детектора

Наиболее важные текущие исследования касаются влияния вирусов на компьютерные сети. Основной интерес представляет определение того, как быстро вирус может распространиться на большой процент компьютеров в мире. Этот осуществляется с помощью упрощенных математических моделей и исследований вирусных распространение в «типичных» компьютерных сетях. Последствия вируса в защищенная сеть также представляет большой интерес. Поскольку вирус приводит нас к считают, что целостность и безопасность должны поддерживаться в системе чтобы предотвратить вирусную атаку, сеть также должна поддерживать оба критерия чтобы разрешить многоуровневый обмен между компьютерами.Это вводит значительные ограничения для этих сетей.

Важные примеры эволюционных программ были разработаны в исходный уровень для создания многих эволюций данной программы. Просто был разработан эволюционирующий вирус, а также простое эволюционирующее антитело. в разработке. Механизм списка потоков для Unix будет реализован, когда необходимое оборудование доступно, а инструментарий сетей Ожидается, что он будет продолжаться до тех пор, пока позволяют условия и финансирование.Статистический методы обнаружения, основанные на результатах инструментирования, также находятся в этапы планирования и набор рекомендаций по снижению вирусной угрозы были разработаны.

Благодарности