Логотип Эхо
На главную
Логотип Эхо
Новости
Передачи
Мнения
Документы
Персоны
Встречи
Эхо Книги
Архив Эха Москвы
Поддержать
Купить мерч «Эха»:
В ЕвропеВ США и Канаде
Поддержать
На главную

Дмитрий Лозинский. Компьютерные вирусы и борьба с ними - Дмитрий Лозинский - Особое мнение - 2001-08-01

01.08.2001

1 августа 2001 года

В прямом эфире радиостанции "Эхо Москвы" Дмитрий Лозинский, программный председатель совета директоров компании "Диалог-наука".

Эфир ведет Сергей Корзун.

С.КОРЗУН: Сегодня "Персонально ваш", председатель совета директоров компании "Диалог-наука", разработчик "AIDS-test", первой отечественной антивирусной программы, Дмитрий Лозинский. Дмитрий Николаевич, добрый вечер.

Д.ЛОЗИНСКИЙ: Здравствуйте.

С.КОРЗУН: Сегодня должна была быть страшная ночь. В ночь на первое августа должен был активизироваться страшный китайский вирус. Почему он такой страшный?

Д.ЛОЗИНСКИЙ: На самом деле, он не так страшен, как интересен. Для меня здесь академический интерес.

С.КОРЗУН: А он портит программы на компьютере?

Д.ЛОЗИНСКИЙ: Программы он не портит. Он перегружает Интернет своей деятельностью, блокируя все серверы, на которые он попал, на некоторое время. А кроме того, у него есть такая возможность с 20 по 28 число каждого месяца блокировать сайт американского Белого Дома.

С.КОРЗУН: Его называют китайским вирусом, почему? Его действительно сделали китайцы?

Д.ЛОЗИНСКИЙ: Сегодня я читал, что китайцы открещиваются от этого вируса. Этот вирус заражает только вэб-серверы. И, попавши туда, он страницу сайта меняет на надпись "Hack By Chines". Отсюда и пошло название китайского вируса. При этом у него есть очень интересное свойство - это первый бестелесный вирус.

С.КОРЗУН: Что значит бестелесный? Он не создает файлы?

Д.ЛОЗИНСКИЙ: Да, он абсолютно не создает файлы. На сервер приходит очередной пакет данных определенного формата, и, пользуясь очередной ошибкой в майкрософтских программах, он умудряется запустить свой код на этом сервере. И вместо программы, которая обеспечивает функционирование вэб-сервера, начинает работать этот код. Дальше он пытается размножиться по остальным серверам, то есть, сканирует все адреса, и себе рассылает. Потом вместо странички сервера выдает свой текст, и, в-третьих, как я уже говорил, он пытается бомбардировать Белый Дом. Правда, больше у него это не получится, потому что бомбардировка идет по фиксированному цифровому адресу, а они уже успели сменить этот адрес.

С.КОРЗУН: Какие есть еще способы защиты? Может ли он настичь простого пользователя?

Д.ЛОЗИНСКИЙ: Простого пользователя он достичь не может, только администратора. Единственное настоящее спасение от него - это просто заштопать дырку. Кстати, интересно, что эта заплатка появилась в Майкрософт ровно за месяц до появления этого вируса. Они успели узнать про эту дырку, быстро выпустили заплатку, но, естественно, далеко не все это заштопали. Про эту заплатку узнали одновременно и какие-то пакостники и сумели сделать достаточно тонкий код, который такую пакость вытворяет.

С.КОРЗУН: Правильно ли я понимаю, что этот вирус на сервере ничего жизненно важного не поражает, поэтому и бороться с ним не надо? Просто пройдет какое-то время, заштопается эта дырка, и он сам уйдет?

Д.ЛОЗИНСКИЙ: В этом, собственно, и состоит борьба. Кстати, интересно, что практически все антивирусные программы против него абсолютно бессильны, потому что они рассчитаны только на то, чтобы проверять файлы либо файловую деятельность. А здесь ничего такого не происходит. И, кстати, только "Doctor Web", единственный из наших антивирусов, способен его обнаружить и обезвредить в памяти компьютера. В нем предусмотрена очень длинная и сложная операция сканирования всей памяти. Но это тоже довольно бесполезное дело, просто можно узнать, что к вам попал этот вирус. Но лучше не узнавать, а просто заштопать дырку.

С.КОРЗУН: Я прошу присылать вопросы на наш пейджер 974-22-22, абонент "Эхо Москвы". Вы можете задавать их и по прямому телефону 203-19-22. Несколько вопросов, пришедших к Вам по каналу Интернета. "Ожидаете ли Вы в обозримом будущем, - спрашивает Илья Кузнецов из Ижевска, - эпидемию UNIX-вирусов, сравнимых по величине с WINDOWS-эпидемией?"

Д.ЛОЗИНСКИЙ: Вирусы появляются, они пролезают во всякие дырки, но пока эпидемии вроде бы не было. Может быть, потому что программирующих под UNIXом достаточно мало, кстати, также, как и задержались WINDOWS-вирусы. Очень долго были только DOS-вирусы. И, скорее всего, частых и страшных эпидемий не будет.

С.КОРЗУН: Вопрос от Ивана из Красноярска: "Объясните, что значит заштопать дырку?"

Д.ЛОЗИНСКИЙ: Надо просто найти в Интернете на Майкрософт-сайте соответствующую программу, скачать ее, запустить на своей машине и все.

С.КОРЗУН: Она распространяется бесплатно?

Д.ЛОЗИНСКИЙ: Конечно.

С.КОРЗУН: Следующий вопрос от Александра: "Какие цели, кроме хулиганских, преследуют создатели вирусов?"

Д.ЛОЗИНСКИЙ: Не знаю. Тут, по-видимому, ситуация вот какая. Статистически достаточно мало умных людей пишут вирусы, но зато они обнаруживают всякие дырки в системе и выясняют, как можно написать вирус. То есть, какому-то грамотному человеку хочется показать, какой он умный, но сам вирус пишут не слишком грамотные люди. Кстати, гигантская эпидемия с "Анной Курниковой" вообще была сделана при помощи генератора вирусов.

С.КОРЗУН: То есть, любой человек, найдя такую программу, может сделать разновидность известного вируса и запустить ее?

Д.ЛОЗИНСКИЙ: Конечно. С "Анной Курниковой" вообще получилось так, что нам ее не понадобилось вставлять в программы, потому что она уже опознавалась заранее. Опознавались все порождения этого генератора.

С.КОРЗУН: Можно ли поставить универсальный фильтр на входе электронной почты и других данных, чтобы отсеять все возможные вирусы?

Д.ЛОЗИНСКИЙ: Конечно, нет. Естественно, в любой антивирусной программе есть эвристический блок, который опознает всякие известные принципы написания вирусов, но всегда ведь находится нечто новое. Например, с Code Red'ом. Здесь вообще нужно вставлять принципиально новые блоки, и я пока что не представляю, как это можно сделать. Здесь нужно контролировать все процессы в режиме отладчика, которые происходят в компьютере.

С.КОРЗУН: Такого рода вирус может стать смертельным для компьютера?

Д.ЛОЗИНСКИЙ: Конечно, может.

С.КОРЗУН: Насколько быстро разработчики антивирусных программ могут отреагировать на эту возможность?

Д.ЛОЗИНСКИЙ: Само наличие пакости абсолютно непринципиально для вируса, вирус это то, что размножается. Если в вирусе есть пакость, нас это не касается, это касается тех, кто попался. А вообще опознать новый вирус можно чаще всего за 15 минут. Но принципиально новые вирусы опознавать очень сложно, можно мучиться и неделю. Но это очень редко бывает.

С.КОРЗУН: Вы сказали, что наша единственная антивирусная программа это "Doctor Web". Почему она единственная, неужели конкуренция не лучше монополизма в этой области?

Д.ЛОЗИНСКИЙ: Просто эта процедура сканирования всей виртуальной памяти современного компьютера очень долгая, и все просто не захотели этого делать. Пользователь не понимает, чего он так долго что-то творит в машине. А наш Игорь Данилов просто из академического интереса захотел это сделать и сделал.

С.КОРЗУН: Опытные компьютерщики всегда найдут выход и без наших советов. А что делать персональным пользователям? Как часто, на Ваш взгляд, стоит проверят свой компьютер на возможность нахождения там вируса? И всегда ли использовать программу "Doctor Web"?

Д.ЛОЗИНСКИЙ: Я, конечно, хотел бы сказать, что нужно использовать только программу "Doctor Web", но сейчас антивирусные программы первого десятка практически эквивалентны по возможностям. Нужно не сканировать постоянно, а нужно держать резидентный монитор, особенно, если вы активно бегаете по Интернету и любите оттуда качать разные программочки.

С.КОРЗУН: Вопрос из Интернета от Петровича из Санкт-Петербурга, скорее, общего характера: "Не есть ли вирус - та щука в реке, чтобы карась не дремал? Чем ловить хакеров, лучше бы создавали новые антивирусы, заплатки и т.д. Отчего бы не принять закон об обязательной установке антивирусов на все компьютеры, ведь 90 % всех бед не от вирусов, а от разгильдяйства самих пострадавших".

Д.ЛОЗИНСКИЙ: Я, конечно, за такой закон, но вряд ли его можно принять. Вообще-то одно другому не мешает. Все-таки с хулиганами и пакостниками надо бороться.

С.КОРЗУН: Вопрос от Валентина Николаевича на пейджер: "Больше года назад "Радио России" сообщило, что в России разработана документация микропроцессора, не подверженного действию вирусов. Что Вы знаете о дальнейшем ходе этой работы?"

Д.ЛОЗИНСКИЙ: Не слышал такого. Может быть, там зашита фиксированная программа, но я такого не слышал.

С.КОРЗУН: "Правда ли, что вирус "I love you" определенным образом воздействовал на потенцию юзеров?" вопрос от Владимира.

Д.ЛОЗИНСКИЙ: Конечно, нет. Скорее, понижал, потому что вызывал стресс.

С.КОРЗУН: Какой самый страшный вирус за последнее время Вам встретился?

Д.ЛОЗИНСКИЙ: Вирус, который называли "Чернобылем", он же "Чех". Он просто физически уничтожил огромное количество компьютеров, особенно ноутбуки. Он портил постоянную память программ, а в ноутбуках она припаяна, и перепрограммировать было просто невозможно. Оставалось только выбрасывать.

С.КОРЗУН: Вопросы по телефону 203-19-22. Алло, добрый вечер.

СЛУШАТЕЛЬ: Добрый вечер. Меня зовут Илья, и я бы хотел узнать мнение вашего гостя о продукции зарубежных антивирусов и о Касперском. Спасибо.

Д.ЛОЗИНСКИЙ: Я на эту тему уже сказал. Практически все антивирусы первой десятки по возможностям обнаружения вирусов эквивалентны. Вся разница при соревнованиях между первым и десятым в какой-то паре процентов. А по так называемым живым вирусам обычно разница в один-два вируса, которые постоянно кто-то пропускает.

С.КОРЗУН: Алло, добрый вечер.

СЛУШАТЕЛЬ: Добрый вечер, меня зовут Сергей Кислицын. Возможно ли создать вирус, и будет ли это законно и морально, который поражает только порносайты и их пользователей?

Д.ЛОЗИНСКИЙ: Вопрос, конечно, хороший. Если бы можно было опознать порносайты каким-то образом, были бы более сильные фильтры, которые с ними борются. Боюсь, что это невозможно, для этого нужен слишком большой код. Ну а насчет законности, думаю, что это все равно незаконно, потому что это называется самоуправство.

С.КОРЗУН: Алло, добрый вечер. Мы вас слушаем.

СЛУШАТЕЛЬ: Добрый вечер. Меня зовут Игорь. Я абсолютный дилетант как программист, но как пользователь я работаю в Интернет-трейдинге. Торгую акциями. Скажите, возможно ли создать такой вирус, который дистанционно отчислял бы операции вместо меня? Есть ли такой риск?

Д.ЛОЗИНСКИЙ: Это зависит от программ, которые у Вас работают. Если программы достаточно грамотные, я думаю, что это невозможно.

С.КОРЗУН: А существует ли опасность для тех, кто совершает деловые операции, хотя бы с кредитной карточкой? Насколько сильно они защищены?

Д.ЛОЗИНСКИЙ: Там применяется защищенный обмен, зашифрованный в обе стороны. В передаче в ту сторону обязательно имеется электронная подпись, и за вас никто не может подписаться.

С.КОРЗУН: То есть, по идее, хорошие программы должны быть стопроцентно защищены от несанкционированного использования?

Д.ЛОЗИНСКИЙ: Конечно.

С.КОРЗУН: И тем не менее, мошенничеств с электронными кредитными картами довольно много. С чем это связано?

Д.ЛОЗИНСКИЙ: Очень просто. Если кто-то знает номер вашей электронной карты и билл-эдресс, этого достаточно для того, чтобы платить за ваш счет.

С.КОРЗУН: Алло, добрый вечер.

СЛУШАТЕЛЬ: Добрый вечер, меня зовут Антон. Мне хотелось бы спросить Дмитрия, почему был закрыт такой замечательный проект как программа "AIDS-test"?

Д.ЛОЗИНСКИЙ: Просто так получилось. Отчасти потому что мне уже за 60, и я просто устал. Эстафету перехватил Данилов со своим "Doctor Web", и его программа, кстати, на 2 порядка лучше, чем тогдашняя " AIDS-test".

С.КОРЗУН: И последний вопрос. Алло, добрый вечер.

СЛУШАТЕЛЬ: Добрый вечер. Я хотел бы узнать, не происходит ли так, что антивирусные фирмы сами пишут вирусы, которые потом, собственно, и лечат?

Д.ЛОЗИНСКИЙ: Зачем нам это?

С.КОРЗУН: Чтобы работа была.

Д.ЛОЗИНСКИЙ: Работы нам более чем достаточно - каждый месяц появляется чуть ли не 500 новых вирусов. Зачем еще самим трудиться?

С.КОРЗУН: Как много среди них таких, с которого мы начали?

Д.ЛОЗИНСКИЙ: Очень мало. Во-первых, для этого нужно обнаружить действительно серьезную дырку. Похожая дырка была обнаружена 2 год назад, но вирусы так и не появились. Была возможность заражать клиентские машины в момент получения почты, можно было допустить несанкционированную чужую программу на компьютере, которая в дальнейшем могла стать вирусом.

С.КОРЗУН: Ну что ж. Спасибо за ответы на наши вопросы. Будем надеяться, что без работы не останетесь, но все-таки работы будет все меньше и меньше. Дмитрий Лозинский был "Персонально ваш".