Computer Viruses — обзор

II Viruses, Worms, and So Forth

С технической точки зрения наиболее тревожным аспектом злоумышленников, обсуждаемых в этой статье, является то, что они самовоспроизводятся.Другими словами, часть программного обеспечения, выполняющая подрывную деятельность, может создавать свои копии и передавать эти копии другим программам на компьютере или другим компьютерам в сети. Очевидно, что каждая из этих копий теперь может сеять хаос там, где она есть, а также воспроизводить себя! Таким образом, может быть достаточно установить одну такую ​​программу на одном компьютере, чтобы воздействовать на все компьютеры в данной сети. Поскольку все больше и больше компьютеров, включая персональные, связаны между собой, угроза подрывной деятельности может принимать буквально глобальные масштабы.Давайте посмотрим на это более подробно. Сначала мы определим несколько важных терминов.

Логическая бомба — это фрагмент кода, обычно встраиваемый в другое программное обеспечение, который активируется (выполняется) только при выполнении определенного условия. У него нет возможности самовоспроизведения. Активация логической бомбы может прервать выполнение программы или стереть данные или файлы программы. Если условие исполнения не выполняется постоянно, это может рассматриваться как логическая бомба замедленного действия. Логические бомбы, которые активируются при каждом вызове, обычно не так опасны, как бомбы замедленного действия, поскольку их действия можно наблюдать при каждом запуске уязвимого программного обеспечения.Типичная бомба замедленного действия — это такая, когда недовольный сотрудник вставляет в сложное программное обеспечение, которое часто используется (например, компилятор или система расчета заработной платы), код, который прерывает выполнение программного обеспечения, например, после определенной даты, естественно выбранной для выпадают после даты увольнения или увольнения работника.

Хотя некоторые программные ошибки могут показаться бомбой замедленного действия (печально известная проблема 2000 года, безусловно, является самой известной и самой дорогостоящей из них), практически все преднамеренные логические бомбы являются злонамеренными.

Компьютерный вирус — это логическая бомба, которая способна самовоспроизводиться, каким-то образом разрушать компьютерную систему и передавать свои копии в другие аппаратные и программные системы. Каждая из этих копий, в свою очередь, может самовоспроизводиться и влиять на другие системы. Компьютерный вирус обычно прикрепляется к существующей программе и, таким образом, постоянно сохраняется.

Червь очень похож на компьютерный вирус в том, что он самовоспроизводится и разрушает систему; однако обычно это автономная программа, которая входит в систему через обычные каналы связи в сети и затем генерирует свои собственные команды.Следовательно, он часто не сохраняется в виде файла постоянно, а существует только в основной памяти компьютера. Обратите внимание, что логическая бомба, находящаяся в программном обеспечении, явно скопированном в другую систему, может показаться пользователям как вирус, даже если это не так.

Каждый из трех типов механизмов подрывной деятельности, бомбы, вирусы и черви, может, но не обязательно, причинять ущерб. Известны случаи, когда бомбы и вирусы просто распечатывали какое-то короткое сообщение на экране, а затем стирали себя, не уничтожая данные и не вызывая других сбоев.Это можно считать относительно безобидными розыгрышами. Однако необходимо четко понимать, что эти механизмы подрывной деятельности, особенно самовоспроизводящиеся, определенно имеют огромный потенциал нанесения ущерба. Это может происходить из-за преднамеренного и явного стирания данных и программного обеспечения или из-за гораздо менее очевидных побочных эффектов. В качестве одного примера рассмотрим червя, который попадает в какую-либо систему по электронной почте, тем самым активируя процесс, который обрабатывает получение почты. Обычно этот процесс имеет высокий приоритет; то есть, если выполняются какие-либо другие процессы, они будут приостановлены до завершения работы почтового обработчика.Таким образом, если система получает много почтовых сообщений, у пользователя может сложиться впечатление, что система сильно замедлилась. Если все эти почтовые сообщения являются копиями одного и того же червя, ясно, что система легко может быть перегружена и тем самым может быть нанесен ущерб, даже если никакие данные или программы не стираются.

Именно это произошло в приведенном выше историческом исследовании конкретного случая. 2 ноября 1988 года, когда червь вторгся в более 6000 компьютеров, связанных между собой крупной сетью США, которая была предшественницей современного Интернета, включая Arpanet, Milnet и NSFnet.Пострадали компьютеры под управлением операционной системы Berkeley Unix 4.3. Червь использовал два разных недостатка, а именно: устройство отладки в почтовом обработчике (которое большинство центров оставили на месте, хотя оно больше не требовалось после успешной установки почтового обработчика) и аналогичную проблему в коммуникационной программе. Червь использовал эти недостатки, заставляя почтовый обработчик обходить обычные средства контроля доступа довольно изощренным способом; он также искал в файлах пользователей списки доверенных пользователей (имеющих более высокий уровень полномочий) и использовал их для проникновения в другие программы.Средством передачи червя между компьютером была сеть. Поскольку зараженные сайты можно было повторно фильтровать произвольно часто, системы (особенно те, которые были любимыми получателями почты) становились перегруженными и перестали выполнять полезную работу. Именно так пользователи обнаружили проникновение, и это также был основной ущерб, нанесенный червем. (Хотя он не стирал и не изменял какие-либо данные, он определенно был способен на это, если бы был разработан таким образом.) Вторичный ущерб был вызван попытками удалить червя.Из-за большого количества затронутых сайтов эта стоимость, по оценкам, составила много лет работы, даже несмотря на то, что было относительно легко устранить червя путем перезагрузки каждой системы, поскольку червь никогда не хранился постоянно.

Одна из причин, по которой этот червь произвел большое волнение, заключалась в том, что он вызвал первое серьезное проникновение на мэйнфреймы. До этого инцидента сообщалось о различных компьютерных вирусах (вызывающих разную степень повреждения), но только для персональных компьютеров. Персональные компьютеры, как правило, менее сложны и изначально предназначались только для личного использования, а не для работы в сети; по этим причинам они считались более уязвимыми для атак со стороны вирусов.Таким образом, считалось, что угрозы для мэйнфреймов со стороны вирусов гораздо менее вероятны, чем угрозы для персональных компьютеров. Инцидент 2 ноября 1988 года разрушил этот миф менее чем за полдня — времени, которое потребовалось, чтобы отключить Интернет и многие компьютерные системы на нем.

С тех пор на сцене появилось множество злоумышленников, чему в значительной степени способствовал стремительный рост всемирной паутины. Неудивительно, что, учитывая доминирующее положение на рынке операционных систем Microsoft, самые последние вирусы существуют в контексте операционных систем этой компании.Многие из этих вирусов все чаще используют вложения для тайной передачи; в этом случае открытие вложения может быть всем, что требуется для заражения. Фактически, пользователи могут даже не знать, что вложение было открыто, потому что это произошло автоматически (для поддержки более сложных почтовых функций, таких как предварительный просмотр или сортировка почты в соответствии с определенным пользователем критерием). Часто возникающая в результате подрывная деятельность почтовой системы способствует дальнейшему распространению вируса с использованием списков рассылки, поддерживаемых системой.

Худшие компьютерные вирусы в истории

Луиза Рочфорд

Вирусы существовали всегда. Мы заражаемся, заболеваем, и наши тела работают с максимальной нагрузкой, чтобы позволить нам выздороветь и поправиться, с помощью улучшенных диет, лекарств и других средств и решений. Компьютеры и другие устройства также могут заболеть ужасными и мощными вирусами, хотя это явление было не всегда.

Первый компьютерный вирус был написан в 1971 году.Названный Creeper System и созданный Бобом Томасом из BBN Technologies, это был экспериментальный самовоспроизводящийся вирус, который размножался до такой степени, что забивал жесткий диск, пока не становился полностью непригодным для использования. В то время это называлось только программой — термин «вирус» был введен годом позже, в 1972 году, в научно-фантастическом романе Дэвида Герольда «Когда был Харли».

Затем, в 1981 году, произошла первая в истории крупномасштабная вспышка компьютерного вируса. Названная Elk Cloner и написанная для систем Apple II старшеклассником Ричардом Скрентой, программа изначально была написана как шутка.Его конструкция, а также непонимание и незнание общественностью вредоносных программ позволили вирусу успешно распространяться — большое достижение для 15-летнего создателя.

Однако с тех пор эти программы и вирусы стали сильнее, хитрее и вредоноснее. Три города недавно стали жертвами атак программ-вымогателей, в том числе Лейк-Сити, Флорида, которые потеряли в общей сложности 500 000 долларов (394 000 фунтов стерлингов) из-за хакеров. Это следует из другого нападения на Ривьера-Бич, где было потеряно 600 000 долларов, в результате чего общая сумма составила 1 доллар.1 м из муниципалитетов Флориды за короткий промежуток времени. Вирусы могут поражать компьютеры где угодно, в том числе принадлежащие предприятиям и организациям, и оказывать разрушительное воздействие везде, где они заражают.

Оглядываясь назад, вот некоторые из самых больших и самых опасных компьютерных вирусов в истории на данный момент:

ILOVEYOU — С 5 мая ^{-го и} 2000 года этот компьютерный червь распространялся по электронной почте с темой «ILOVEYOU» и вложением «LOVE-LETTER-FOR-YOU».txt.vbs ». Этот вирус распространялся быстро и легко, поскольку он мог использовать список рассылки пользователя для отправки электронного письма друзьям и знакомым, которые сочли бы его и вложение безопасным для открытия, учитывая то, что его отправитель был знаком. Как только чей-то компьютер был заражен, он начинал его повреждать и перезаписывать файлы, часто скрывая их. Пострадали десятки миллионов компьютеров с Windows. Эта вирусная эпидемия очень четко продемонстрировала важность осторожности при открытии вложений в электронных письмах, даже если они отправлены вашим знакомым.

Мелисса — До ILOVEYOU была Мелисса. Этот был создан 26 марта ^-го 1999 и, как и ILOVEYOU, использовал бы массовую рассылку для отправки зараженного вложения по электронной почте. После открытия этот вирус отключал различные средства защиты в Word 97 или Word 2000, а затем рассылал себя по первым 50 адресам в списке адресов электронной почты жертвы. Мелиссу создал Дэвид Л. Смит из Нью-Джерси, а в декабре 1999 года Дэвида приговорили к 10 годам тюремного заключения и штрафу в 5000 долларов за создание и распространение.

WannaCry — Теперь кое-что другое, гораздо более новое. WannaCry, который начал свою жизнь в мае 2017 года, был особенно опасен, поскольку он шифровал данные жертвы и требовал выкуп в виде биткойнов, а также затронул 200000 компьютеров в 150 странах. К счастью, этот вирус был быстро остановлен после того, как Microsoft выпустила аварийные исправления для своих систем, и был обнаружен аварийный переключатель, предотвращающий его дальнейшее распространение. Однако воздействие этого конкретного вируса было огромным — хакерская атака обошлась NHS в 92 миллиона фунтов стерлингов, поскольку он заразил 70 000 его устройств, включая сканеры МРТ, компьютеры и театральное оборудование.В то время NHS критиковали за использование устаревших и уязвимых ИТ-систем, поскольку Windows XP в то время было 17 лет. Компания Nissan Motor Manufacturing UK также подверглась атаке, и в 2018 году в электронном письме от предполагаемых создателей содержалась угроза уничтожить их данные, если 0,1 BTC не будет выплачено на биткойн-адрес хакеров. Ужасная форма программы-вымогателя, этот вирус действительно заставил вас плакать и подумать об обновлении своей системы.

CryptoLocker — Еще один пример программы-вымогателя, CryptoLocker существовал с 5 сентября ^th 2013 по май 2014 года, а также распространялся как троянский вирус через вложения электронной почты.Хотя CryptoLocker схож в исполнении, уникальность и разрушительность CryptoLocker заключалась в том, что после того, как файлы были зашифрованы после заражения, их было практически невозможно расшифровать, что приводило к безвозвратной потере данных и файлов. Те, кто заплатил выкуп, сообщили, что часто их файлы оставались зашифрованными. Успех CryptoLocker привел к появлению клонов под похожим названием, таких как CryptoWall, Crypt0L0cker и TorrentLocker. С момента его выпуска атаки программ-вымогателей стали более безудержными и смертоносными.

Conficker — Этот червь, известный также под именами Downup, Downadup и Kido, был обнаружен в ноябре 2008 года и его было особенно трудно удалить.Он использовал комбинацию передовых методов вредоносного ПО и распространялся в виде 5 вариантов, обнаруженных с интервалом между 21 ноября ^st 2008 — 7 апреля ^th 2009. Вирус отключал многие службы Microsoft Windows, в том числе автоматические обновления , Защитник Windows и отчеты об ошибках Windows, а также делают недоступными антивирусные веб-сайты и часто блокируют доступ пользователей к их учетным записям. Conficker заразил миллионы компьютеров в 190 странах, став одной из крупнейших вирусных инфекций в истории.

Mydoom — Начиная с 26 января ^-го 2004, Mydoom стал самым быстрораспространяющимся почтовым червем в истории, превзойдя ILOVEYOU и с тех пор ни разу не превзойдя его. В какой-то момент Mydoom был настолько заразным, что одно из каждых 12 электронных писем содержало вирус. Многие жертвы использовали поисковые системы для поиска информации или решения, до такой степени, что службы поисковых систем замедлялись и даже падали, поскольку миллионы людей пытались удалить программу. Mydoom функционировал как троян-бэкдор, позволяя хакеру, стоящему за ним, получать доступ к зараженным системам и внедрять другое вредоносное ПО.

Shamoon — Обнаруженный в 2012 году, Shamoon стал известен, спустя годы, как «самый большой взлом в истории». Вредоносное ПО было предназначено, в частности, для нефтяного и энергетического секторов и поразило более 30 000 компьютеров в Саудовской Аравии. По сути, Shamoon полностью уничтожает зараженное устройство, однако он работает на разных этапах: после заражения вирус составляет список файлов на компьютере жертвы; информация отправляется хакеру; некоторые или все затронутые файлы стираются функцией под названием «wiper»; наконец, вирус перезаписывает основную загрузочную запись, что означает, что компьютер больше не может быть перезагружен и, следовательно, становится непригодным для использования.Shamoon ударил по правительству Саудовской Аравии и начался, когда сотрудник Saudi Aramco открыл зараженное электронное письмо, которое предоставило вирусу доступ к их компьютерной сети.

Новые вирусы создаются и обнаруживаются постоянно, поэтому как никогда важно иметь надежную систему кибербезопасности, проявлять осторожность и осторожность и постоянно обновлять наши устройства. Если следовать этим примерам, вирусы одновременно креативны и заразительны, и со временем они будут только становиться все более мощными.

Авторское право (c), 1984, Фред Коэн — Все права защищены

Существуют общие средства обеспечения доказуемо правильной защиты. схемы [Feiertag79], но они зависят о политике безопасности, которая эффективна против типов атак, которые выполненный. Даже некоторые довольно простые системы защиты не могут быть проверены. «безопасно» [Harrison76]. Защита от отказ в обслуживании требует обнаружения останавливающих программ, что хорошо известно, неразрешима [Garey79]. Проблема точной маркировки информационного потока в системе [Fenton73] было показано, что он является NP-полным.Использование охранников для прохождения недостоверная информация [Woodward79] между пользователями было изучено, но в целом зависит от умения для доказательства правильности программы, которая, как известно, является NP-полной.

Программа-червь Xerox [Shoch82] имеет продемонстрировал способность распространяться по сети и даже случайно вызвал отказ в обслуживании. В более позднем варианте игра «основных войн» [Dewdney84] был изобретен, чтобы позволить двум программы для борьбы друг с другом. Другие вариации на эту тему сообщалось многими неопубликованными авторами, в основном в контексте ночные игры между программистами.Термин вирус также был используется вместе с дополнением к APL, в которое автор помещает общий вызов в начале каждой функции, который, в свою очередь, вызывает препроцессор для расширения интерпретатора APL по умолчанию [Gunn74].

Рассмотрена потенциальная угроза широко распространенной проблемы безопасности. [Hoffman82] и потенциальный ущерб правительству, финансам, бизнесу и академической среде. институтов крайний. Кроме того, эти учреждения, как правило, используют рекламу случайные механизмы защиты в ответ на конкретные угрозы, а не на звук теоретические методы [Kaplan82].Текущий системы военной защиты в значительной степени зависят от изоляционизма, однако разрабатываются новые системы, позволяющие «многоуровневое» использование [Klein83]. Ни одна из опубликованных предлагаемых систем не определяет и не реализует политику, которая может остановить вирус.

В этой статье мы открываем новую задачу защиты от компьютерных вирусов. Сначала мы исследуем инфекционные свойства вируса и покажем, что транзитивный закрытие совместно используемой информации потенциально могло быть заражено. При использовании вместе с троянским конем, очевидно, что это может вызвать широкое распространение отказ в обслуживании и / или несанкционированное манипулирование данными.Результаты нескольких экспериментов с компьютерными вирусами используются, чтобы продемонстрировать, что вирусы представляют собой серьезную угрозу как при нормальном, так и при высоком уровне безопасности. системы. Пути обмена, транзитивность информационного потока и общность интерпретации информации определены как ключевые свойства в защита от компьютерных вирусов и их индивидуальный анализ. свойства показаны. Анализ показывает, что единственные системы с потенциалом для защиты от вирусной атаки используются системы с ограниченной транзитивностью и ограниченное совместное использование, системы без совместного использования и системы без общего интерпретация информации (способность Тьюринга).Только первый случай представляет практический интерес для современного общества. В общем, обнаружение показано, что вирусы неразрешимы как априори, так и во время выполнения, и без обнаружения излечение, вероятно, будет трудным или невозможным.

Рассмотрены несколько предлагаемых контрмер и показано, что они соответствуют к частным случаям индивидуального анализа вирусных свойств. Ограничено системы транзитивности считаются обнадеживающими, но показано, что точные реализация трудноразрешима, и в целом показаны неточные политики со временем привести к тому, что системы будут использоваться все меньше и меньше.Использование общесистемного вирусные антитела исследуются, и показано, что они зависят в целом от растворов к неразрешимым проблемам.

Сделан вывод о важности изучения компьютерных вирусов. область исследований с потенциальными приложениями к другим областям, текущим системы практически не обеспечивают защиты от вирусных атак, и это единственное Доказуемо «безопасная» политика на данный момент — изоляционизм.

Компьютерный вирус

Авторское право (c), 1984, Фред Коэн — Все права защищены

Следующая псевдопрограмма показывает, как вирус может быть записан в псевдокомпьютерный язык. Символ «: =» используется для определения, «:» символ обозначает утверждение, «;» разделяет операторы, символ «=» используется для присвоения или сравнения, символ «~» означает «нет», Символы «{» и «}» группируют последовательности операторов вместе, а символ «… » символ используется, чтобы указать, что несущественная часть кода была слева неявно.

 программный вирус: =
{1234567;

подпрограмма заражать исполняемый файл: =
{цикл: файл = получить-случайный-исполняемый-файл;
если первая строка файла = 1234567, то цикл goto;
добавить вирус к файлу;
}

подпрограмма do-damage: =
{какой бы ущерб ни был нанесен}

подпрограмма нажата триггером: =
{вернуть истину, если выполняется какое-то условие}

основная программа: =
{заражать исполняемый файл;
если нажать на спусковой крючок, то нанеси урон;
перейти к следующему;}

следующая:} 

В этом примере вирус (V) ищет неинфицированный исполняемый файл (E) поиск исполняемых файлов без «1234567» в начале, и добавляет V к E, превращая его в зараженный файл (I).Затем V проверяет чтобы увидеть, истинно ли какое-то условие срабатывания и наносит ли он ущерб. Ну наконец то, V выполняет остальную часть программы, к которой он был добавлен. Когда пользователь пытается для выполнения E вместо него выполняется I; он заражает другой файл, а затем выполняется так, как если бы это был E. За исключением небольшой задержки заражения, I выглядит как E до тех пор, пока условие срабатывания не приведет к повреждению.

Распространенное заблуждение о вирусе связывает его с программами, которые просто распространяются через сети. Программа-червь, Core wars и другие подобные программы сделали это, но на самом деле ни одна из них не связана с инфекцией.В Ключевым свойством вируса является его способность заражать другие программы, достигая переходное закрытие совместного использования пользователями. Например, если V инфицирован один из исполняемых файлов пользователя A (E), а затем пользователь B запустил E, V мог распространять к файлам пользователя B.

Следует отметить, что вирус не должен использоваться в злых целях. или быть троянским конем. В качестве примера можно написать вирус сжатия найти незараженные исполняемые файлы, сжать их с разрешения пользователя, и готовиться к ним.При запуске зараженная программа распаковывает сам и работает нормально. Поскольку он всегда спрашивает разрешения перед выполнением services, это не троянский конь, но поскольку он обладает свойством заражения, это все еще вирус. Исследования показывают, что такой вирус может сэкономить более 50% пространства, занимаемого исполняемыми файлами в средней системе. В производительность зараженных программ несколько снизится при их распаковке, и, таким образом, вирус сжатия реализует определенный компромисс во времени и пространстве.Образец вируса сжатия можно записать следующим образом:

 программа-сжатие-вирус: =
{01234567;

подпрограмма заражать исполняемый файл: =
{цикл: файл = получить-случайный-исполняемый-файл;
если первая строка файла = 01234567, то цикл goto;
сжать файл;
добавить вирус сжатия к файлу;
}

основная программа: =
{если спросить-разрешение, то заразить-исполняемый файл;
распаковать остаток этого файла в tmpfile;
запустить tmpfile;}
} 

Эта программа (C) находит незараженный исполняемый файл (E), сжимает его, и добавляет C в начало зараженного исполняемого файла (I).Затем он распаковывает остальная часть себя во временный файл и выполняется в обычном режиме. Когда я запущен, он будет искать и сжимать другой исполняемый файл перед распаковкой E во временный файл и запустив его. Эффект распространяется через система сжимает исполняемые файлы и распаковывает их как есть быть исполненным. Пользователи будут испытывать значительные задержки при запуске исполняемых файлов. распаковываются перед запуском.

В качестве более угрожающего примера предположим, что мы модифицируем программу V, указав триггер как истину после заданной даты и времени, и указание причинения ущерба как бесконечного цикла.С уровнем участия в большинство современных систем, вся система, вероятно, станет непригодной для использования в качестве указанной даты и времени. Может потребоваться большая работа чтобы отменить ущерб, нанесенный таким вирусом. Эта модификация показана здесь:

 ...
подпрограмма do-damage: =
{цикл: цикл перехода;}

подпрограмма нажата триггером: =
{если год> 1984, вернуть истину, иначе вернуть ложь;}
... 

По аналогии с компьютерным вирусом рассмотрим биологическое заболевание, которое 100% заразен, распространяется при общении животных, убивает всех инфицированных животных мгновенно в заданный момент и не имеет заметных побочных эффектов до этого момента.Если между введением использовалась задержка хотя бы на одну неделю болезни и ее последствий, скорее всего, останется только несколько отдаленных деревень живы, и, безусловно, уничтожит подавляющее большинство современного общества. Если бы компьютерный вирус этого типа мог распространиться повсюду компьютеров мира, это, скорее всего, остановит использование компьютеров для значительный период времени и нанести ущерб современному правительству, финансам, бизнес и академические учреждения.

Защита от компьютерных вирусов

Авторское право (c), 1984, Фред Коэн — Все права защищены

Основные ограничения

Учитывая систему общего назначения, в которой пользователи могут использовать информацию в их распоряжении, как они хотят, и передачу такой информации, как они видят подходит для других, должно быть ясно, что способность делиться информацией транзитивен. То есть, если есть путь от пользователя A к пользователю B, и там — это путь от пользователя B к пользователю C, то есть путь от пользователя A к пользователю C при сознательном или невольном сотрудничестве пользователя B.

Наконец, нет принципиального различия между информацией, которая можно использовать как данные, так и информацию, которую можно использовать как программу. Этот это хорошо видно в случае переводчика, который принимает информацию редактируется как данные и интерпретирует их как программу. Фактически, информация имеет смысл только потому, что подлежит интерпретации.

В системе, где информация может быть интерпретирована как программа ее получателя, такая интерпретация может привести к заражению, как показано выше.Если есть совместное использование, инфекция может распространяться через интерпретацию поделился информацией. Если нет ограничения на транзитивность информации поток, то информация может достичь транзитивного замыкания информации поток начинается в любом источнике. Совместное использование, транзитивность информационного потока, и универсальность интерпретации, таким образом, позволяют вирусу распространяться на транзитивный закрытие информационного потока, начинающегося с любого данного источника.

Очевидно, что если нет обмена, не может быть и распространения информации через границы информации, и поэтому никакая внешняя информация не может быть интерпретируется, и вирус не может распространяться за пределы одного раздела.Этот называется изоляционизмом. Столь же ясно, что система, в которой нет программы могут быть изменены, и информация не может быть использована для принятия решений. быть инфицированным, поскольку заражение требует модификации интерпретируемой информации. Мы называем это системой «фиксированная функциональность первого порядка». Следует отметить что практически любая система, имеющая реальную полезность в научных исследованиях или разработках окружающая среда потребует общности интерпретации, и изоляционизм неприемлемо, если мы хотим получить пользу от работы других.Тем не менее, это решения проблемы вирусов, которые могут быть применимы в ограниченные ситуации.

Модели перегородок

Модель целостности [Biba77] является примером политики, которая может быть использована для разделения систем на закрытые подмножества под транзитивность. В модели Биба уровень целостности связан с вся информация. Свойства строгой целостности — двойственные свойства Bell-LaPadula. характеристики; ни один пользователь с заданным уровнем целостности не может прочитать объект ниже целостность или написать объект более высокой целостности. В оригинальной модели Бибы было сделано различие между доступом для чтения и выполнения, но это не может применяться без ограничения универсальности интерпретации информации поскольку программа с высоким уровнем целостности может записать объект с низким уровнем целостности, сделайте низкий целостность копий самого себя, а затем считывание входных данных с низкой целостностью и создание выход с низкой целостностью.

Если модель целостности и модель Белла-ЛаПадула сосуществуют, форма результат ограниченного изоляционизма, который делит пространство на замкнутые подмножества при транзитивности. Если для обоих механизмов используются одни и те же деления (более высокая целостность соответствует более высокой безопасности), результат изоляционизма поскольку информация, повышающаяся по уровням безопасности, также поднимается по уровням целостности, а это не разрешено. Когда модель Биба имеет границы внутри Границы Белла-ЛаПадулы, инфекция может распространяться только от более высокого уровня целостности уровни на более низкие в пределах данного уровня безопасности.Наконец, когда Bell-LaPadula границы находятся в пределах границ Биба, инфекция может распространяться только из от более низких уровней безопасности до более высоких уровней безопасности в рамках заданной целостности уровень. На самом деле существует 9 случаев, соответствующих всем парам нижних границы с верхними границами, но три, показанные графически ниже достаточно для понимания.

 Те же подразделения Biba в B-L B-L в Biba
-------------- --------------- ---------------
Biba B-L Результат Biba B-L Результат Biba B-L Результат
---- ---- ---- ---- ---- ---- ---- ---- ----
| \\ | | // | | XX | | \\ | | // | | XX | | \\ | | // | | XX |
| \\ | | // | | XX | | \\ | | | | \\ | | | | // | | // |
| | + | | = | | | | + | | = | | | | + | | = | |
| // | | \\ | | XX | | // | | | | // | | | | \\ | | \\ |
| // | | \\ | | XX | | // | | \\ | | XX | | // | | \\ | | XX |
---- ---- ---- ---- ---- ---- ---- ---- ----
\\ = не могу писать // = не могу читать XX = нет доступа \ + / = X 

Точно так же, как системы, основанные на модели Белла-ЛаПадулы, имеют тенденцию вызывать всю информацию двигаться к более высоким уровням безопасности, постоянно повышая уровень для удовлетворения потребностей пользователей самого высокого уровня модель Биба имеет тенденцию перемещать всю информацию к более низким уровням целостности, всегда снижая целостность результатов к наименьшей входящей целостности.Мы также знаем, что точная система ибо целостность является NP-полной (так же, как ее двойник является NP-полным).

Программист, которому доверяют, — это (по определению) программист, который может писать программы, исполняемые большинством пользователей. Чтобы сохранить Bell-LaPadula политики, пользователи высокого уровня не могут писать программы, используемые пользователями более низкого уровня. Это означает, что программисты, пользующиеся наибольшим доверием, должны иметь самый низкий рейтинг. уровень безопасности. Это кажется противоречивым. Когда мы смешиваем Biba и Bell-LaPadula модели, мы обнаруживаем, что в результате изоляционизм защищает нас от вирусов, но не разрешает никому писать программы, которые можно использовать повсюду. система.Как-то так же, как мы разрешаем шифрование или рассекречивание данные, чтобы переместить их с более высоких уровней безопасности на более низкие, мы должны возможность использовать тестирование и верификацию программ для переноса информации из нижних уровни целостности до более высоких.

Еще одна часто используемая политика, используемая для разделения систем на закрытые подмножества — это политика категорий, используемая в типичных военных приложениях. Эта политика разделяет пользователей на категории, каждый пользователь может только получить доступ к информации требуется для выполнения своих обязанностей.Если каждый пользователь в строгой системе категорий имеет доступ только к одной категории за раз, система защищена от вирусных атакуют через границы категорий, потому что они изолированы. К несчастью, в существующих системах пользователи могут иметь одновременный доступ к нескольким категориям. В этом случае инфекция может перекинуться через границы категорий на переходные закрытие информационного потока.

Модели потока

В качестве примера мы показываем поток разрешенной информации на расстоянии. метрическая система с порогом, установленным на 1, и каждый пользователь (A-E) может общаться только с 2 ближайшими соседями. Обратите внимание, что информация, начинающаяся с C может течь только к пользователю B или пользователю D, но не может переходить к A или E даже при сотрудничестве B и D.

 Правила:
D (выход) = max (D (вход))
D (общий вход) = 1 + D (неразделенный вход)
Информация доступна, если D Политика «список потоков» поддерживает список всех пользователей, оказавших влияние
на каждом объекте.Правило ведения этого списка: список потоков
output - это объединение списков потоков всех входов (включая пользовательский
кто вызывает действие). Защита принимает форму произвольного логического значения.
выражение в списках потоков, определяющее доступность. Это очень
общая политика, и может использоваться для представления любой из вышеперечисленных политик.
путем выбора правильных логических выражений.
 На следующем рисунке показан пример системы списков потоков, реализующей
разные ограничения (обозначены A и B) для разных пользователей (в строке, столбце
1,3 и 2,5).Обратите внимание, что, хотя информация может доходить до 1,5,
он не может добраться туда, потому что нет пути от его источника в
1,3. Как и в системе метрики расстояний, транзитивность информационного потока
не выполняется, так что даже если информация, указанная B, могла быть
достигнув 2,3, он не мог пройти дальше.
 Правила:
F (выход) = Союз (F (входы))
Информация доступна тогда и только тогда, когда B (F) = 1
1 2 3 4 5 6
+ - + + - + + - + + - + + - + + - +
1 | A | --- | A | --- | A | --- | | --- | A | --- | B |
+ - + + - + + - + + - + + - + + - +
| | | | | |
+ - + + - + + - + + - + + - + + - +
2 | | --- | | --- | A | --- | | --- | B | --- | B |
+ - + + - + + - + + - + + - + + - +
| | | | | |
+ - + + - + + - + + - + + - + + - +
3 | B | --- | B | --- | B | --- | B | --- | B | --- | B |
+ - + + - + + - + + - + + - + + - +

Пример системы списка потоков 
В приведенном выше примере используется довольно простая логическая функция, но в целом
очень сложные условные выражения могут использоваться для определения доступности.Как
Например, пользователю A может быть разрешен доступ только к информации, записанной
пользователи (B и C) или (B и D), но не информация, написанная B, C или D
один. Это может быть использовано для принудительной сертификации информации Б перед
C или D могут передать его A. Система списков потоков также может использоваться для реализации
Биба и дистанционные модели. Например, дистанционная модель может
реализуется следующим образом: @center [ИЛИ (пользователи <= расстояние 1) И НЕ (ИЛИ (пользователи
> расстояние 1))]
 В системе с неограниченными информационными путями ограниченная транзитивность может
имеют эффект, если пользователи не используют все доступные пути, но поскольку там
всегда прямой путь между любыми двумя пользователями, всегда есть возможность
инфекции.Например, в системе с транзитивностью, ограниченной
на расстоянии 1 «безопасно» делиться информацией с любым пользователем, которому «доверяешь»
не беспокоясь о том, доверял ли этот пользователь неправильно
другой пользователь.
 Ограниченная интерпретация 
 Ограничения на универсальность интерпретации менее строгие, чем фиксированные.
интерпретация первого порядка, способность инфицировать - открытый вопрос, потому что
заражение зависит от разрешенных функций. Требуются определенные функции
на заражение.Умение писать обязательно, но любая полезная программа
должен иметь выход. Можно разработать набор операций, которые не
допускать заражение даже в самом общем случае совместного использования и транзитивности,
но неизвестно, включает ли какой-либо такой набор нефиксированный первый порядок
функции.
 В качестве примера, система только с функцией display-file может только
отображать содержимое файла пользователю и не может изменять какие-либо
файл. В фиксированных базах данных или почтовых системах это может иметь практическое применение,
но, конечно, не в среде разработки.Во многих случаях компьютер
почта - достаточное средство связи, и пока компьютер
почтовая система отделена от других приложений, так что никакой информации
могут течь между ними, за исключением скрытого канала через пользователя, это
может использоваться для предотвращения инфекции.
 Хотя никакая фиксированная схема интерпретации сама по себе не может быть заражена, высокая
Схема фиксированной интерпретации может быть использована для заражения программ, написанных
быть истолкованным им. Например, микрокод компьютера может
быть исправлено, но код на машинном языке, который он интерпретирует, все еще может быть заражен.LISP, APL и Basic - все это примеры фиксированных схем интерпретации, которые
может интерпретировать информацию в общих чертах. Поскольку их способность интерпретировать
в общем, можно написать программу на любом из этих языков
который заражает программы на одном или всех этих языках.
 В системах с ограниченной интерпретацией инфекции не могут распространяться дальше
чем в общих системах интерпретации, потому что каждая функция в ограниченном
Система также должна быть способна работать в общей системе.Предыдущий
Таким образом, результаты обеспечивают верхнюю границу распространения вируса в системах.
с ограниченным толкованием.
 Проблемы точности 
 Хотя изоляционизм и ограниченная транзитивность предлагают решения для инфекции.
проблема, они не идеальны в том смысле, что
считается ценным инструментом в вычислительной технике. Из этих политик только изоляционизм
могут быть точно реализованы на практике, потому что отслеживание точной информации
расход требует NP-полного времени, а поддержание маркировки требует больших
количество места [Denning82].Это оставляет
нас неточными методами. Проблема с неточными методами заключается в
что они склонны приближать системы к изоляционизму. Это потому, что они
используйте консервативные оценки эффектов, чтобы предотвратить потенциальный ущерб.
За этим стоит философия: лучше перестраховаться, чем сожалеть.
 Проблема в том, что когда информация несправедливо считается нечитаемой
для данного пользователя система становится менее удобной для этого пользователя. Это
форма отказа в предоставлении доступа к информации, которая должна
быть доступным запрещено.Такая система всегда стремится сделать себя менее
и менее пригоден для совместного использования, пока он не станет полностью изоляционистским
или достигает точки стабильности, когда все оценки точны. Если такой
точка устойчивости существовала, у нас была бы точная система для этой устойчивости
точка. Поскольку мы знаем, что любая точная точка стабильности, кроме изоляционизма
требует решения NP-полной проблемы, мы знаем, что любая не NP-полная
решение должно иметь тенденцию к изоляционизму.
 Резюме и выводы 
 В следующей таблице приведены ограничения на распространение вирусов
только что изученная превентивная защита.Неизвестно используется для обозначения
что специфика конкретных систем известна, но ни одна теория не
было показано, что он предсказывает ограничения в этих категориях. 
 Пределы вирусной инфекции

общая интерпретация ограниченная интерпретация
\ Транзитивность
Совместное использование \ ограниченное общее ограниченное общее
| ----------- | ----------- | | ----------- | ----------- |
генеральный | безлимитный | безлимитный | | неизвестно | неизвестно |
| ----------- | ----------- | | ----------- | ----------- |
ограниченный | произвольный | закрытие | | произвольный | закрытие |
| ----------- | ----------- | | ----------- | ----------- | 
 Лечение компьютерных вирусов 
 Авторское право (c), 1984, Фред Коэн - Все права защищены 
 Поскольку предотвращение компьютерных вирусов может оказаться невозможным при широком распространении
желательно, биологическая аналогия приводит нас к возможности излечения
как средство защиты.Лечение в биологических системах зависит от способности
чтобы обнаружить вирус и найти способ победить его. Аналогичная возможность
существует для компьютерных вирусов. Теперь мы исследуем возможность обнаружения
и удаление компьютерного вируса.
 Обнаружение вирусов 
 Чтобы определить, что данная программа «P» является вирусом, ее необходимо определить.
что P заражает другие программы. Это неразрешимо, поскольку P может вызывать
процедура принятия решения 'D' и заражать другие программы тогда и только тогда, когда D определяет
что P не вирус.Мы заключаем, что программа, которая точно распознает
вирус из любой другой программы, исследуя его внешний вид, невозможен.
В следующей модификации программы V мы используем гипотетическое решение
процедура D, которая возвращает "истину", если и только если ее аргументом является вирус, чтобы проиллюстрировать
неразрешимость D.
 программа-вирус-противоречивый: =
{...
основная программа: =
{если ~ D (противоречивый вирус), то
{заражать исполняемый файл;
если нажать на спусковой крючок, то нанеси урон;
}
перейти к следующему;
}
} 
 Противоречие разрешимости вируса "CV" 
 Изменяя основную программу V, мы убедились, что если решение
процедура D определяет CV как вирус, CV не заразит другие программы,
и поэтому не будет действовать как вирус.Если D определяет, что CV не вирус,
CV заразит другие программы и, таким образом, станет вирусом. Следовательно, гипотетический
процедура принятия решения D противоречива, и точное определение
вирус по своему внешнему виду неразрешим.
 Эволюция вируса 
 В наших экспериментах некоторым вирусам для реализации требовалось менее 4000 байт.
на компьютере общего назначения. Поскольку мы могли чередовать любую программу,
не останавливается, завершается за конечное время и не перезаписывает вирус
или любой из его переменных состояния, и все еще есть вирус, количество возможных
вариации одного вируса явно очень велики.В этом примере
эволюционный вирус EV, мы увеличиваем V, позволяя ему добавлять случайные утверждения
между любыми двумя необходимыми утверждениями.
 программа evolutionary-virus: =
{...
подпрограмма print-random-statement: =
{выведите имя-случайной-переменной, "=", имя-случайной-переменной;
цикл: если random-bit = 0, то
{вывести случайный-оператор, имя-случайной-переменной;
цикл goto;}
напечатать точку с запятой;
}

подпрограмма copy-virus-со-случайными-вставками: =
{цикл: копировать эволюционный вирус в вирус до точки с запятой;
если случайный бит = 1, тогда распечатайте случайный оператор;
if ~ цикл перехода к концу входного файла;
}

основная программа: =
{копировать вирус со случайными вставками;
заражать-исполняемый файл;
если нажать на спусковой крючок, нанесите урон;
перейти к следующему;}

следующая:} 
 Эволюционный вирус "EV" 
 В общем, доказательство эквивалентности двух эволюций программы
'P' ('P1' и 'P2') неразрешима, потому что любая процедура принятия решения 'D' способна
об обнаружении их эквивалентности могут воспользоваться P1 и P2.Если найден эквивалент
они выполняют разные операции, и если они отличаются друг от друга, они действуют
то же самое и, таким образом, эквивалентны. Примером может служить следующая модификация
для программирования EV, в котором процедура принятия решения D возвращает "истина", если два
программы ввода эквивалентны.
 программа undecidable-evolutionary-virus: =
{...
подпрограмма copy-with-undecidable-assertion: =
{скопируйте undecidable-evolutionary-virus в файл до строки-begin-with-zzz;
если file = P1, то напечатайте «если D (P1, P2), то напечатайте 1;»;
если file = P2, то напечатайте «если D (P1, P2), то напечатайте 0;»;
скопировать undecidable-evolutionary-virus в файл до конца входного файла;
}

основная программа: =
{если random-bit = 0, то файл = P1, иначе файл = P2;
копировать с неразрешимым утверждением;
zzz:
заражать-исполняемый файл;
если нажать на спусковой крючок, нанесите урон;
перейти к следующему;}

следующая:} 
 Неразрешимая эквивалентность эволюции вируса "УЭВ" 
 Программа UEV превращается в один из двух типов программ P1 или P2.Если тип программы - P1, оператор с меткой «zzz» будет выглядеть следующим образом:
 если D (P1, P2), то выведите 1;
 в то время как, если тип программы - P2, оператор с меткой "zzz" будет выглядеть следующим образом:
, если D (P1, P2), то выведите 0;
 Каждая из двух эволюций вызывает процедуру принятия решения D, чтобы решить,
эквивалентны. Если D указывает, что они эквивалентны, то P1 напечатает
1, в то время как P2 напечатает 0, а D будет противоречить. Если D указывает
что они разные, ни печатает ничего. Поскольку они иначе
равно, D снова противоречит.Следовательно, процедура гипотетического решения
D самопротиворечив, и точное определение эквивалентности
из этих двух программ по их внешнему виду неразрешима.
 Поскольку и P1, и P2 являются развитием одной и той же программы, эквивалентность
эволюции программы неразрешима, и поскольку они оба являются вирусами,
эквивалентность эволюции вируса неразрешима. Программа UEV также
демонстрирует, что две неэквивалентные эволюции могут быть вирусами. В
эволюции эквивалентны с точки зрения их вирусных эффектов, но могут иметь
немного другие побочные эффекты.
 Альтернативой обнаружению по внешнему виду является обнаружение по поведению.
Вирус, как и любая другая программа, выступает в роли суррогата для пользователя в
запрашивает услуги, а услуги, используемые вирусом, являются законными в
законное использование. Тогда вопрос о поведенческом обнаружении становится одним из
определение того, что является, а что нет законным использованием системной службы, и поиск
средство обнаружения разницы.
 В качестве примера легитимного вируса компилятор, компилирующий новый
версия сама по себе является вирусом по данному здесь определению.это
программа, которая "заражает" другую программу, модифицируя ее для включения
развившаяся версия самого себя. Поскольку вирусные возможности есть в большинстве компиляторов,
каждое использование компилятора - потенциальная вирусная атака. Вирусная активность
компилятора запускается только определенными входами, и, следовательно, в порядке
чтобы обнаружить запуск, нужно уметь обнаруживать вирус по его внешнему виду.
Поскольку точное обнаружение по поведению в этом случае зависит от точного обнаружения
по внешнему виду входов, и поскольку мы уже показали, что точные
обнаружение по внешнему виду неразрешимо, отсюда следует, что точное обнаружение
по поведению тоже неразрешима.
 Ограниченная вирусная защита 
 Была разработана ограниченная форма вируса [Thompson84]
в виде специальной версии компилятора C, которая может обнаруживать
компиляция программы входа в систему и добавление троянского коня, позволяющего автору
авторизоваться. Таким образом, автор мог получить доступ к любой системе Unix с помощью этого компилятора.
Кроме того, компилятор может обнаруживать компиляции новых версий самого себя.
и заразить их тем же троянским конем. Было ли это на самом деле
было реализовано неизвестно (хотя многие говорят, что у АНБ есть рабочая версия
из него).
 В качестве контрмеры мы можем разработать новую программу входа в систему (и компилятор C)
достаточно отличаться от оригинала, чтобы сделать его эквивалентность очень
сложно определить. Если бы «лучшая программа дня на искусственный интеллект» была бы неспособна
обнаружения их эквивалентности за заданный промежуток времени, а компилятор
выполнила свою задачу за меньшее время, это могло быть разумно
предположил, что вирус не мог обнаружить эквивалентность, и поэтому
не размножилась бы. Если точный характер обнаружения
были известны, вероятно, было бы довольно просто обойти это.
 Хотя мы показали, что в целом обнаружить вирусы невозможно,
любой конкретный вирус может быть обнаружен с помощью определенной схемы обнаружения.
Например, вирус V можно легко обнаружить, выполнив поиск 1234567 как
первая строка исполняемого файла. Если будет обнаружено, что исполняемый файл заражен,
он не будет запущен и, следовательно, не сможет распространяться. Следующие
программа используется вместо обычной команды запуска и отказывается выполнять
программы, зараженные вирусом V:
 программа new-run-command: =
{файл = имя-программы-подлежащей выполнению;
если первая строка файла = 1234567, то
{выведите "в программе есть вирус";
выход;}
в противном случае запустите файл;
} 
 Защита от вируса V "ПВ" 
 Точно так же любую конкретную схему обнаружения можно обойти конкретным
вирус.Например, если злоумышленник знал, что пользователь использует программу
PV в качестве защиты от вирусной атаки, вирус V можно легко заменить
с вирусом V ', где первая строка была 123456 вместо 1234567. Многое
могут быть исследованы более сложные схемы защиты и вирусы. Что становится
совершенно очевидно, аналогично старой западной поговорке: «Разве лошадь не
нельзя ездить, это не тот человек, которого нельзя бросить ». Никакой инфекции не может быть
которые не могут быть обнаружены, и не может существовать никакого механизма обнаружения, который не может
быть зараженным.
 Этот результат наводит на мысль, что баланс сосуществующих вирусов и
могла существовать защита, такая, что данный вирус мог нанести ущерб только
данной части системы, в то время как данная схема защиты могла только
защитить от заданного набора вирусов. Если каждый пользователь и злоумышленник использовали
идентичные защиты и вирусы, может быть окончательный вирус или защита.
Это имеет смысл как с точки зрения нападающего, так и с точки зрения защитника.
точки зрения иметь набор (возможно несовместимых) вирусов и средств защиты.
 В случае, если вирусы и схемы защиты не развивались, это
вероятно, приведет к некоторому набору фиксированных выживших, но поскольку программы могут
быть написанным, чтобы развиваться, программа, которая превратилась в трудную для атаки
программа с большей вероятностью выживет, как и более сложный вирус.
обнаружить. По мере эволюции балансы имеют тенденцию меняться,
конечный результат неясен во всех случаях, кроме простейших. Этот
имеет очень сильные аналогии с биологическими теориями эволюции [Dawkins78],
и может иметь хорошее отношение к генетическим теориям болезней.Точно так же и спред
вирусов через системы можно было бы проанализировать с помощью математических
модели, используемые при изучении инфекционных болезней [Baily57].
 Поскольку мы не можем точно обнаружить вирус, у нас осталась проблема
определения потенциально незаконного использования в разрешимой и легко вычислимой
способ. Возможно, мы захотим обнаружить многие программы, которые не являются вирусами и
даже не обнаруживать некоторые вирусы, чтобы обнаруживать большое количество вирусов.
Если событие происходит относительно редко при «нормальном» использовании, оно имеет высокую информативность.
контент, когда это происходит, и мы можем определить порог, при котором отчеты
готово.Если доступно достаточно инструментов, списки потоков могут быть
ведется отслеживание всех пользователей, которые применили какой-либо файл. Пользователи, которые
появление во многих списках входящих потоков может считаться подозрительным. В
скорость, с которой пользователи входят в списки входящих потоков, также может быть хорошим индикатором
вируса.
 Этот тип меры может иметь значение, если службы, используемые вирусами
редко используются другими программами, но создают несколько проблем. Если
порог известен злоумышленнику, вирус можно заставить работать в
Это.Интеллектуальная схема определения порога может быть адаптирована так, чтобы порог мог
злоумышленнику нелегко определить. Хотя эта «игра» явно может
воспроизводиться вперед и назад, частота опасных запросов может быть
поддерживается на достаточно низком уровне, чтобы замедлить необнаруженный вирус без значительного вмешательства
при законном использовании.
 Несколько систем были проверены на их способность обнаруживать вирусные атаки.
Удивительно, но ни одна из этих систем не содержит даже следов владельца
программа, запущенная другими пользователями.Такая маркировка почти наверняка
использоваться, если необходимо обнаружить даже простейшие вирусные атаки.
 После того, как вирус будет имплантирован, его будет нелегко удалить полностью. Если
система продолжает работать во время удаления, вылеченная программа может быть повторно заражена.
Это представляет собой потенциал для бесконечной погони за хвостом. Без отрицания
сервисов удаление, скорее всего, будет невозможно, если программа, выполняющая
удаление распространяется быстрее, чем удаляемый вирус. Даже в случаях
если удаление происходит медленнее, чем вирус, можно разрешить
большинство действий следует продолжить во время удаления без процесса удаления
будь очень быстрым.Например, можно изолировать пользователя или подмножество пользователей.
и вылечить их, не отказывая в услугах другим пользователям.
 Как правило, точное удаление зависит от точного обнаружения, потому что без
точное обнаружение, невозможно точно знать, следует ли
удалить данный объект. В особых случаях может быть возможно выполнить
удаление по неточному алгоритму. Например, каждый файл, записанный после
указанную дату можно удалить, чтобы удалить любой вирус, запущенный после
эта дата.
 Было высказано одно беспокойство, которое легко устраняется:
вероятность того, что вирус может появиться спонтанно. Это сильно
связаны с вопросом, сколько времени займет N обезьян на N клавиатурах
для создания вируса и похоронен с аналогичной отправкой. 
 
 Эксперименты с компьютерными вирусами 
 Авторское право (c), 1984, Фред Коэн - Все права защищены 
 Чтобы продемонстрировать возможность вирусной атаки и степень ее поражения.
это угроза, было проведено несколько экспериментов.В каждом случае эксперименты
были выполнены с ведома и согласия системных администраторов.
В процессе проведения экспериментов недочеты реализации тщательно устранялись.
избегали. Было критически важно, чтобы эти эксперименты не основывались на реализации
не работает, но только из-за фундаментальных недостатков в политике безопасности.
 Первый вирус 
 3 ноября 1983 года первый вирус был задуман как эксперимент.
будет представлен на еженедельном семинаре по компьютерной безопасности. Концепция была
впервые представил на этом семинаре автором, и название «вирус» было
придумал Лен Адлеман.После 8 часов профессиональной работы на сильно загруженном
Система VAX 11/750 под управлением Unix, первый вирус был завершен и готов
для демонстрации. В течение недели было получено разрешение на проведение экспериментов,
и проведено 5 экспериментов. 10 ноября вирус был продемонстрирован.
на семинар по безопасности.
 Первоначальная инфекция была имплантирована в программу vd, которая отображает
Файловые структуры Unix графически и представлены пользователям через систему
доска объявлений. Поскольку vd была новой программой в системе, не работала
характеристики или другие подробности его работы были известны.Вирус
был имплантирован в начале программы, так что она была выполнена
перед любой другой обработкой.
 Чтобы сдержать нападение, были приняты некоторые меры предосторожности.
Все заражения злоумышленник выполнял вручную, повреждений не было.
сделано, только отчетность. Были включены следы, чтобы гарантировать, что вирус будет
не распространяться без обнаружения, для заражения использовались средства контроля доступа
процесс, а код, необходимый для атаки, хранился в сегментах, каждый
зашифрованы и защищены для предотвращения незаконного использования.
 В каждой из пяти атак злоумышленнику были предоставлены все системные права.
менее чем за час. Самое короткое время было менее 5 минут, а среднее
менее 30 минут. Даже те, кто знал о нападении, были
зараженный. В каждом случае файлы были «вылечены» после экспериментов.
чтобы гарантировать, что конфиденциальность пользователя не будет нарушена. Ожидалось, что
атака будет успешной, но очень короткое время захвата
довольно удивительно. Кроме того, вирус был достаточно быстрым (менее 1/2 секунды).
что задержка зараженных программ осталась незамеченной.
 После объявления результатов экспериментов администраторы решили
что дальнейшие эксперименты по компьютерной безопасности не будут разрешены на их
система. Этот запрет включал запланированное добавление следов, которые могли отслеживать
потенциальные вирусы и эксперименты по увеличению пароля, которые потенциально могут
в значительной степени улучшили безопасность. Эта очевидная реакция страха
типичная, вместо того, чтобы пытаться решить технические проблемы технически, политика
часто выбираются решения.
 После успешных экспериментов в системе Unix он
Было совершенно очевидно, что те же методы будут работать во многих других системах.В частности, были запланированы эксперименты с системой Топс-20, системой VMS,
система VM / 370 и сеть, содержащая несколько таких систем. В
процесс согласования с администраторами, была продемонстрирована целесообразность
путем разработки и тестирования прототипов. Прототип атаки для Топс-20
систему разработал опытный пользователь Топс-20 за 6 часов, новичок
Пользователь VM / 370 с помощью опытного программиста за 30 часов, и
начинающий пользователь VMS без посторонней помощи за 20 часов. Эти программы продемонстрировали
возможность находить файлы для заражения, заражать их и пересекать границы пользователей.
 После нескольких месяцев переговоров и административных изменений он был
решил, что эксперименты не будут разрешены. Офицер безопасности
на объекте постоянно сопротивлялся экспериментам по обеспечению безопасности, и
не стал бы даже читать никаких предложений. Это особенно интересно в
в свете того факта, что предлагалось разрешить системным программистам и
сотрудники службы безопасности наблюдают и контролируют все аспекты всех экспериментов.
Кроме того, системные администраторы не хотели разрешать «очищенные» версии.
лент журналов, которые будут использоваться для автономного анализа потенциальной угрозы
вирусов и не желали добавлять к их
системы, разработанные их программистами, чтобы помочь обнаружить вирусные атаки.Хотя там
не представляет собой очевидной угрозы, исходящей от этих действий, и они требуют небольшого
время, деньги и усилия, администраторы не желали разрешать расследования.
Похоже, что их реакция была такой же, как и реакция страха.
Администраторы Unix.
 Система на основе Bell-LaPadula 
 В марте 1984 г. начались переговоры о проведении экспериментов.
на системе на основе Bell-LaPadula [Bell73]
реализован на Univac 1108. Эксперимент был принципиально согласован.
в считанные часы, но на то, чтобы затвердеть, потребовалось несколько месяцев.В
Июль 1984 г. был назначен двухнедельный период для экспериментов. Цель
этого эксперимента просто чтобы продемонстрировать осуществимость вируса
на системе на основе Bell-LaPadula путем реализации прототипа.
 Из-за крайне ограниченного времени на разработку (26 часов
использования компьютера пользователем, который никогда не использовал 1108, с помощью
программиста, который не использовал 1108 в течение 5 лет) многие вопросы были проигнорированы
в реализации. В частности, производительность и универсальность
атаки были полностью проигнорированы.В результате на каждое заражение уходило около
20 секунд, хотя их легко можно было сделать менее чем за секунду.
Следы вируса остались в системе, хотя они могли быть
устраняется в значительной степени без особых усилий. Вместо того, чтобы заразить
сразу несколько файлов, за раз был заражен только один файл. Это позволило
очень четко продемонстрировать развитие вируса без участия
большое количество пользователей или программ. В качестве меры безопасности система
использовался в выделенном режиме только с системным диском, одним терминалом, одним
принтер и счета, посвященные эксперименту.
 После 18 часов подключения вирус 1108 выполнил свое первое заражение.
Хост предоставил достаточно полный набор инструкций по использованию системы,
и помощь компетентного пользователя системы в прошлом. Через 26 часов
использования вирус был продемонстрирован группе из 10 человек, в том числе
администраторы, программисты и чекисты. Вирус продемонстрировал
возможность пересекать границы пользователей и переходить с заданного уровня безопасности
на более высокий уровень безопасности. Снова следует подчеркнуть, что ни одна система
ошибки были вовлечены в эту деятельность, но, скорее, Bell-LaPadula
Модель позволяет законному осуществлению такого рода деятельности.
 В целом атаку провести несложно. Код для
вирус состоял из 5 строк ассемблерного кода, около 200 строк Фортрана
код и около 50 строк командных файлов. Считается, что компетентный
системный программист мог бы написать гораздо лучший вирус для этой системы в менее
2 недели. Кроме того, как только вы поймете природу вирусной атаки,
разработать конкретную атаку несложно. Каждый из программистов
присутствующий был убежден, что они могли бы создать лучший вирус в
столько же времени.(Это правдоподобно, поскольку у злоумышленника ранее не было
1108 опыта.)
 Контрольно-измерительные приборы 
 В начале августа 1984 года было предоставлено разрешение на использование VAX Unix.
система для измерения распространения и анализа распространения вирусов. Данные на данный момент
довольно ограничен, но появилось несколько тенденций. Степень обмена
похоже, сильно различается между системами, и многие системы, возможно, придется
до того, как эти отклонения будут хорошо изучены. Небольшое количество
пользователей, по всей видимости, составляют подавляющее большинство обмена, а вирус
можно значительно замедлить, защитив их.Защита нескольких «социальных»
люди могут также замедлить развитие биологических заболеваний. Инструментарий был
консервативный в том смысле, что заражение могло произойти без инструментов
поднимая его, поэтому предполагаемое время атаки нереально медленное.
 В результате оснащения этих систем набор «социальных»
идентифицированы пользователи. Некоторые из них удивили главного системного администратора.
Количество системных администраторов было довольно большим, и если кто-то из них
были заражены, вся система, скорее всего, выйдет из строя в течение часа.Некоторый
были предложены простые процедурные изменения, чтобы замедлить эту атаку несколькими
порядков без снижения функциональности.
 Сводка по распространению
система 1 система 2
класс | ## | распространение | время | класс | ## | распространение | время |
---------------------------- ---------------------- ------
| S | 3 | 22 | 0 | | S | 5 | 160 | 1 |
| А | 1 | 1 | 0 | | А | 7 | 78 | 120 |
| U | 4 | 5 | 18 | | U | 7 | 24 | 600 | 
Показаны две системы с тремя классами пользователей (S для системы, A для
системный администратор и U для обычного пользователя).'##' обозначает номер
пользователей в каждой категории, «распространение» - это среднее количество пользователей, на которых вирус
будут распространяться на, а "время" - это среднее время, затрачиваемое на их однократное распространение
они вошли в систему, округленные с точностью до минуты. Среднее время вводит в заблуждение
потому что как только заражение достигает учетной записи root в Unix, весь доступ
предоставляется. Принимая это во внимание, вы увеличиваете время передачи заказа.
одной минуты, что настолько быстро, что время заражения становится ограничивающим фактором
насколько быстро могут распространяться инфекции.Это совпадает с предыдущим экспериментальным
результаты с использованием реального вируса.
 Пользователи, которым не предоставлен доступ, игнорируются в этих расчетах, но
другие эксперименты показывают, что любой пользователь может поделиться, предложив
программа на системной доске объявлений. Продемонстрирован подробный анализ
что системные администраторы стремятся попробовать эти программы, как только они
объявляются. Это позволяет обычным пользователям заражать системные файлы за считанные минуты.
Администраторы использовали свои учетные записи для запуска программ других пользователей и
хранение часто выполняемых системных файлов и нескольких обычных пользователей, принадлежащих
очень часто используемые файлы.Эти условия делают вирусную атаку очень быстрой.
Использование отдельных учетных записей для системных администраторов при нормальном использовании
было сразу предложено, и систематическое перемещение (после проверки)
часто используемых программ в системную область.
 Другие эксперименты 
 С тех пор аналогичные эксперименты были выполнены на различных системах, чтобы
продемонстрировать осуществимость и определить простоту внедрения вируса
во многих системах. Написаны простые вирусы для VAX VMS и VAX Unix.
на соответствующих языках команд, и ни одна программа не требует дополнительных
чем 10 строк командного языка для реализации.Вирус Unix независим
компьютера, на котором он реализован, и, следовательно, может работать
под IDRIS, VENIX и множеством других операционных систем на базе UNIX на
широкий выбор систем. Реализован вирус, написанный на Basic.
менее 100 строк для Radio Shack TRS-80, IBM PC и нескольких
другие машины с расширенными базовыми возможностями. Хотя это источник
уровень вируса и может быть довольно легко обнаружен создателем любого
Данная программа редко проверяет работающую программу ее создателем.
после того, как он находится в эксплуатации.Во всех этих случаях вирусы были
написано так, чтобы следы в соответствующих операционных системах были
не может определить источник вируса, даже если сам вирус
был обнаружен. Поскольку вирус UNIX и Basic мог распространяться через
гетерогенная сеть настолько легко, что они считаются довольно опасными.
 На данный момент нам не удалось получить разрешение ни на один из
инструмент или эксперимент на любой из систем, в которых были эти вирусы
написано для. Результаты, полученные для этих систем, основаны на очень простых
примеры и могут не отражать их общее поведение в системах в нормальном
использовать.
 Резюме и выводы 
 В следующей таблице приведены результаты экспериментов на сегодняшний день.
Три системы расположены по горизонтальной оси (Unix, Bell-LaPadula,
и КИПиА), а вертикальная ось указывает меру
производительность (время программирования, время заражения, количество строк кода,
количество выполненных экспериментов, минимальное время до перехода, среднее время
до захвата, и максимальное время для захвата), где время до захвата указывает
что все привилегии будут предоставлены злоумышленнику в течение этой задержки
от занесения вируса.
 Сводка атак

| Unix-C | B-L | Instr | Unix-sh | VMS | Базовый |
-------------------------------------------------
Время | 8 часов | 18 часов | N / A | 15мин | 30мин | 4 часа |
-------------------------------------------------
Inf t | .5 сек | 20 сек | N / A | 2 сек | 2 сек | 10 сек |
-------------------------------------------------
Код | 200 л | 260 л | N / A | 7 л | 9 л | 100 л |
-------------------------------------------------
Испытания | 5 | N / A | N / A | N / A | N / A | N / A |
-------------------------------------------------
Мин т | 5 мин | Н / Д | 30 сек | N / A | N / A | N / A |
-------------------------------------------------
Сред. T | 30 мин | Н / Д | 30 мин | N / A | N / A | N / A |
-------------------------------------------------
Макс t | 60 мин | N / A | 48 часов | N / A | N / A | N / A |
------------------------------------------------- 
Кажется, что вирусные атаки легко развиваются за очень короткое время, их можно
предназначены для того, чтобы оставлять мало следов в большинстве современных систем, эффективны
против современных политик безопасности для многоуровневого использования и требует только
минимальный опыт для реализации.Их потенциальная угроза серьезна, и они
может очень быстро распространяться через компьютерную систему. Похоже, что они
могут распространяться через компьютерные сети так же, как они распространяются через
компьютеров, и, таким образом, представляют собой широко распространенную и довольно непосредственную угрозу для
многие современные системы.
 Проблемы с политиками, предотвращающими контролируемые эксперименты по безопасности
ясны; лишение пользователей возможности продолжать свою работу способствует незаконному
атаки; и если один пользователь может запустить атаку без использования системных ошибок
или специальные знания, другие пользователи также смогут.Просто рассказав
пользователи не запускают атаки, мало что сделано; пользователи, которым можно доверять
не будет атаковать; но нельзя доверять пользователям, которые могут нанести ущерб,
поэтому блокируется только законная работа. Перспектива, которую позволяла каждая атака
иметь место, снижает безопасность, по мнению автора, является ошибкой. В
идея использования атак для изучения проблем требуется даже правительству
политики для доверенных систем [Klein83]
[Kaplan82]. Было бы рациональнее
использовать открытые и контролируемые эксперименты в качестве ресурса для повышения безопасности.
 
 Резюме, выводы и дальнейшая работа 
 Авторское право (c), 1984, Фред Коэн - Все права защищены 
 Подводя итог, можно сказать, что абсолютной защиты легко добиться абсолютным
изоляционизм, но это обычно неприемлемое решение. Другие формы
защиты, похоже, все зависит от использования чрезвычайно сложных и / или
ресурсоемкие аналитические методы или неточные решения, которые
чтобы со временем сделать системы менее удобными.
 Профилактика предполагает ограничение законной деятельности, в то время как
лечение может быть сколь угодно трудным без некоторого отказа в услугах.Точный
обнаружение неразрешимо, однако статистические методы могут использоваться для ограничения
необнаруженное распространение ни по времени, ни по размеру. Поведение при типичном использовании
необходимо хорошо понимать, чтобы использовать статистические методы, и это поведение
может меняться от системы к системе. Ограниченные формы обнаружения и
Предотвращение может использоваться для обеспечения ограниченной защиты от вирусов.
 Доказано, что вирус может распространяться повсюду.
любая система, позволяющая делиться.Каждая система общего назначения в настоящее время
при использовании открыт, по крайней мере, для ограниченной вирусной атаки. Во многих текущих "безопасных"
системы, вирусы имеют тенденцию к дальнейшему распространению, когда их создают менее доверенные пользователи.
Эксперименты показывают жизнеспособность вирусной атаки и указывают на то, что вирусы
быстро распространяются и легко создаются в различных операционных системах.
Дальнейшие эксперименты все еще продолжаются.
 Представленные результаты не зависят от операционной системы или реализации,
но основаны на фундаментальных свойствах систем.Важнее,
они отражают реалистичные предположения об используемых в настоящее время системах. Способствовать,
почти каждая разрабатываемая в настоящее время «безопасная» система основана на
Белла-ЛаПадула или только политика решетки, и эта работа ясно продемонстрировала
что этих моделей недостаточно для предотвращения вирусной атаки. Вирус по сути
доказывает, что контроль целостности следует рассматривать как неотъемлемую часть любого
безопасная операционная система.
 Было выявлено несколько неразрешимых проблем с вирусами.
и контрмеры.Вот краткое изложение:
 Неразрешимые проблемы обнаружения 
 Обнаружение вируса по внешнему виду
 Обнаружение вируса по его поведению
 Обнаружение эволюции известного вируса
 Обнаружение спускового механизма по внешнему виду
 Обнаружение спускового механизма по его поведению
 Обнаружение развития известного спускового механизма
 Обнаружение детектора вирусов по внешнему виду
 Обнаружение вирусного детектора по его поведению
 Обнаружение эволюции известного детектора вирусов
 Несколько потенциальных контрмер были изучены достаточно глубоко, и ни один
кажется, предлагают идеальные решения.Некоторые из методов, предложенных в
эта бумага, которая может предложить ограниченную защиту от вирусов, используется ограниченно
В настоящее время. Чтобы быть полностью защищенной от вирусных атак, система должна
защищать от входящего информационного потока, при этом быть защищенным от утечки
информации, которую система должна защищать от исходящего информационного потока.
Чтобы системы разрешили совместное использование, должен существовать некоторый информационный поток.
Таким образом, основной вывод данной статьи заключается в том, что цели обмена
в многоуровневой системе безопасности общего назначения может находиться в таком прямом противостоянии
к целям вирусной безопасности, чтобы их примирение и сосуществование
невозможно.
 Наиболее важные текущие исследования связаны с влиянием вирусов на
компьютерные сети. Первостепенный интерес представляет определение того, насколько быстро вирус
может распространиться на большой процент компьютеров в мире. Этот
делается с помощью упрощенных математических моделей и исследований вирусных
распространение в «типичных» компьютерных сетях. Последствия заражения вирусом
безопасные сети также представляют большой интерес. Поскольку вирус приводит нас к
считают, что в системе должны поддерживаться как целостность, так и безопасность.
чтобы предотвратить вирусную атаку, сеть также должна поддерживать оба критерия
для обеспечения многоуровневого обмена между компьютерами.Это вводит
значительные ограничения в этих сетях.
 Значительные примеры эволюционных программ были разработаны в
исходный уровень для создания многих эволюций данной программы. Просто
развивающийся вирус, и простое развивающееся антитело также
в разработке. Механизм списка потоков для Unix будет реализован, когда
имеется необходимое оборудование, а также оборудование сетей
ожидается, что будет продолжаться до тех пор, пока позволяют средства и финансирование.Статистическая
методы обнаружения, основанные на результатах КИП, также находятся в
этапы планирования и набор рекомендаций по снижению вирусной угрозы
были разработаны.
 Благодарности 
 Из-за деликатного характера большей части этих исследований и экспериментов
в его ходе, многие люди, которым я очень обязан
нельзя явно поблагодарить. Вместо того, чтобы игнорировать чью-либо помощь, я
решил назвать только имена. Лен и Дэвид предоставили много
хороший совет как при исследовании, так и при написании этой статьи, и без
их я, вероятно, никогда бы не добрался до этого момента.Джон, Фрэнк, Конни,
Крис, Питер, Терри, Дик, Джером, Майк, Марв, Стив, Лу, Стив, Энди,
и Лорейн все больше рискуют своим носом, чем просто чуть-чуть
в их усилиях по проведению экспериментов, публикации результатов и предоставлению
скрытая поддержка работы. Мартин, Джон, Мэгди, Си-ань, Сатиш, Крис,
Стив, младший, Джей, Билл, Фади, Ирв, Сол и Фрэнк - все слушали и предлагали:
и их терпение и дружба были бесценны. Алиса, Джон, Мел, Энн,
и Эд обеспечил лучшую блокировку, чем когда-либо имелось в передней четверке USC.
 .