Вирус, антивирус, вакцина, «прививка»?

Информационная безопасность и компьютерные угрозы с каждым годом привлекают все большее внимание. В первую очередь это связано с колоссальным ростом вирусной активности и настоящим разгулом кибер-преступности. Изощренность используемых методов проведения атак и организации кибер-преступлений говорит только об одном – этой деятельностью давно уже занимаются не просто «хулиганы», а настоящие профессионалы своего дела. Причем профессионалы высокоинтеллектуальные. Совершенно определенно настало время, когда бороться с кибер-угрозами необходимо качественно иными методами, а может быть и вовсе взять на вооружение инструменты, расценивавшиеся ранее исключительно как вредоносные – компьютерные вирусы.

Ни для кого не секрет, что даже в медицине, где ненанесение вреда – один из основных принципов, уже давно используются опасные, а иногда и просто смертельные вирусы во благо человека. Например, при изготовлении «живых вакцин», которые по своей сути представляют живой вирус , ослабленный специальным образом, чтобы, будучи введенным в организм человека, дать последнему возможность выработать антитела. Так и компьютерные вирусы могут использоваться не только для сознательного анализа средств защиты, но и стать прототипом средств защиты нового поколения.

Компьютерные вирусы – антитела

Если развить аналогию между компьютерными и обычными вирусами, то глобальную информационную систему (совокупность всех аппаратных и программных средств) можно рассматривать как информационный организм . В этом случае представляется здравой идея защищать не каждую отдельную информационную клетку (неделимый программно-аппаратный комплекс – компьютер), а весь организм в целом. С этой целью необходимо разработать глобальную информационную иммунную систему , основной составляющей которой станут компьютерные антитела – вирусоподобные программы, направленные на уничтожение угроз определенного характера.

Как известно, в организме человека содержится ограниченное количество антител, число которых при необходимости увеличивается. Это означает, что число компьютерных антител также должно контролироваться . Компьютерные антитела не должны распространяться (размножаться) бесконтрольно. Необходимо поддерживать определенную популяцию, размер которой может быть увеличен при обнаружении очага заражения компьютерным вирусом.

При обнаружении очага заражения компьютерные антитела должны иметь возможность сообщить о нем другим компьютерным антителам, обладающим необходимыми свойствами для уничтожения найденного вируса. А последние должны иметь возможность быстрой репродукции и перемещения к очагу заражения.

Такая естественная аналогия с человеческим организмом позволяет сформулировать минимальные требования к компьютерным антителам:

· возможность обмениваться сообщениями друг с другом;

· возможность размножаться;

· возможность не только хаотичного, но и целенаправленного перемещения;

· возможность самоуничтожения;

· возможность поддержания размера популяции.

Очевидно, что широкое использование компьютерных антител возможно только после решения целого ряда задач:

· реализация механизма идентификации компьютерного антитела (в том числе антивирусными программами), защищенного от возможности использования этого механизма вредоносными вирусами;

· реализация механизма коммуникации между антителами;

· реализация механизма саморегуляции численности популяции компьютерных антител определенного вида;

· реализация механизма целенаправленной репродукции и самоуничтожения;

· реализация механизма целенаправленного перемещения компьютерного антитела к очагу заражения;

· решение правовых проблем.

Идентификация компьютерного антитела, и в первую очередь – антивирусной программой – вероятно наиболее важная из перечисленных выше задач. Ведь от ее успешного решения зависит невозможность (а в случае провала – возможность! ) использования вирусом данного механизма, чтобы «обмануть» систему и выдать себя за компьютерное антитело.

Без реализации механизма коммуникации между компьютерными антителами в том или ином виде невозможно решение последующих задач (в первую очередь задачи саморегуляции численности), в которых подразумевается «коллективное» поведение группы компьютерных антител одного типа.

У компьютерных антител должна быть возможность не только «размножаться», но и «умирать», иначе численность популяции не будет уменьшаться даже после успешного устранения нового вируса. Однако, данный механизм должен быть защищен от возможности «инициации извне», чтобы его нельзя было использовать для уничтожения компьютерных антител, мешающих распространению той или иной вредоносной программы.

Для организации целенаправленного перемещения, а также управления размером популяции возможно введение в информационный организм новых объектов, находящихся «над» компьютерными антителами, и управляемых гораздо более централизованно. Другим вариантом реализации целенаправленного перемещения может являться тесная интеграция компьютерных антител с операционными системами будущего, когда в ОС будут встроены специальные механизмы, обеспечивающие быструю доставку необходимых компьютерных антител к очагу заражения. В этом случае решения требует очевидная задача защиты данного механизма от использования «обычными» вредоносными вирусами для еще более быстрого распространения.

Последняя, но не менее сложная задача, – призвана решить правовые проблемы использования компьютерных антител. Возможно, частично справиться с правовым аспектом позволит централизованное размещение «пулов» компьютерных антител на серверах, контролируемых государственными организациями. В этом случае распространение компьютерных антител за пределы «пула» будет происходить только в случае возникновения необходимости. А после устранения угрозы свободные компьютерные антитела будут самоуничтожаться.

Одним словом, борьба с распространением вирусов должна стать делом не каждого отдельного человека, а современной информационной системы в целом. И наиважнейшая задача – создать механизмы активного противодействия массовому распространению компьютерных вирусов.

Компьютерный вирус – «лакмусовая бумажка»

Еще один вариант использования «хороших вирусов» – целенаправленная проверка качества средств защиты или анализ путей распространения компьютерных вирусов.

В первом случае компьютерный вирус будет исполнять роль «сканера на уязвимости». В его задачи не будет входить использование найденной уязвимости. Он должен будет только передать информацию о ней проверяющей структуре.

Во втором случае безопасный вирус будет распространяться всеми возможными способами для анализа путей перемещения компьютерных угроз и, например, построения карты маршрутов их наиболее быстрого распространения.

В обоих случаях каждый экземпляр «хорошего вируса» должен снабжаться индивидуальным уникальным идентификатором, который от родителя, порождающего новую копию вируса, будет передаваться «ребенку» (помимо его собственного идентификатора). Это позволит не просто узнать «куда» распространяются вирусы, но и как, в том числе – выявить очаги, порождающие самые крупные волны заражения, т.к. наличие иерархической связи между экземплярами вируса позволит подсчитать число порожденных копий вируса, а также построить маршруты распространения от самой первой до самой последней копии.

Второе необходимое свойство – возможность накапливать информацию о «родителе», породившем данный экземпляр вируса, а также всех его родителях, пока не будет найдена первая возможность передать эту информацию средствами электронной связи в аналитический центр.

Кроме того, крайне полезной была бы возможность непосредственно в момент заражения определять по IP-адресу компьютера (если он подключен к сети Интернет) его географическое местоположение, принадлежность к той или иной структуре, любую другую информацию, позволяющую провести не только количественный, но и качественный анализ информации о распространении вируса. Например, выявить компании, при заражении даже нескольких компьютеров которых происходит формирование новой лавинообразной волны распространения компьютерного вируса.

Самая серьезная проблема использования «лакмусовых вирусов» – правовые аспекты такой деятельности. Не только сама возможность использования доброкачественного вируса, который распространяется «скрытно» от пользователей, но и объем и характер информации, который разрешен для сбора таким вирусом. Будет ли создана юридическая база для использования подобных механизмов – от этого зависит будущее современных средств защиты.

Тем не менее, пример современной медицины вселяет надежду на то, что в той или иной форме опыт, накопленный компьютерными злоумышленниками, в конце концов, будет использован не только для нанесения вреда, но и для защиты от подобных действий. И однажды защищать персональный компьютер будет не только личный антивирус, но и целая информационная иммунная система.