Вячеслав Соболев
"Hard & Soft" N1 1999
1999
Кто не знает, что такое Aidstest? Нужно быть человеком, очень далеким от информационных технологий, чтобы не беспокоиться о компьютерных вирусах и средствах борьбы с ними. Уверен, Aidstest не раз выручал многих из тех, кто сейчас читает эти строки. Время, увы, не стоит на месте. Уже больше года, как вышла последняя версия Aidstest. А начиналось все в ноябре 88-го...
-- Ну, это, пожалуй, даже слишком известная история, чтобы опять ее пересказывать, -- говорит Дмитрий Николаевич Лозинский, и в его голосе проскальзывают нотки... усталости. Знаменитый вирусолог и программист, один из пионеров коммерческой разработки программного обеспечения в нашей стране не может жаловаться на недостаток внимания к собственной персоне. Скорее, даже наоборот. Что поделаешь, такова оборотная сторона популярности автора программы Aidstest.
-- Думали ли вы в конце 80-х, что разработка антивирусных программ станет вашим основным занятием всерьез инадолго?
-- Конечно, нет. Я вообще предполагал, что через пару лет это дело заглохнет окончательно и бесповоротно. Наивность? В какой-то степени, да. С другой стороны, я всегда считал и продолжаю считать, что писать вирусы неинтересно. На те двадцать с чем-то тысяч вирусов, которые известны к настоящему времени, приходится от силы два десятка более-менее оригинальных идей.
-- Но ведь в последнее время мы то и дело слышим о появлении новых классов вредоносных программ. В прессе мелькают сообщения о вирусах, написанных на Java, HTML, командных зыках.
-- Так идеи-то, по большому счету, остаются те же, и главная из них - найти, куда дописать свой код, и таким образом размножиться. Просто для их реализации выбираются новые средства. Я сам в прошлом увлекался программированием на маломощных встроенных языках, пытаясь писать на них что-нибудь стоящее. Это действительно интересная задача, но к вирусам не имеет никакого отношения. Что же касается ажиотажа вокруг Java- и HTML-вирусов, то все это пока больше походит на рекламные трюки специалистов в области антивирусных технологий.
-- Вы так считаете?
-- Я пока не вижу эффективного механизма размножения таких "существенно сетевых" вирусов. Мне это напоминает уже достаточно давнюю историю с SYS-вирусами, поражающими только драйверы устройств. В свое время я не стал включать механизмы их обнаружения и лечения в Aidstest и правильно сделал. SYS-вирусы быстро сошли на нет, поскольку им было трудно переходить с машины на машину. С известными на сегодня Web-вирусами дело обстоит примерно так же. Пакостник может создать сайт и заразить компьютеры посетителей. Но массовое заражение других сайтов при этом принципиально невозможно.
-- Нет ли здесь некоторого противоречия -- под вашим руководством в фирме "ДиалогНаука" разрабатывается антивирус для электронной почты DSAVMail? (Первая версия DSAVMail вышла в мае прошлого года. -- Прим. ред.)
-- В случае с электронной почтой фактически мы имеем дело с потоком присоединенных файлов, в которых могут содержаться вирусы. Механизм заражения при этом такой же, как при использовании обычных дискет, и сами вирусы те же. Если же говорить о Web-вирусах, написанных специально для сетевой среды, то, повторюсь, им крайне тяжело выйти за рамки пакостных сайтов.
-- Но по пути к клиентским компьютерам зараженные Java-аплеты, скрипты, HTML-страницы минуют большое количество сетевых узлов.
-- К счастью, они не исполняются на этих узлах. В качестве аналогии приведу вам такой пример. На своей машине я держу коллекцию вирусов. Так вот, она не опасна до тех пор, пока я не начну запускать эти вирусы.
-- Сейчас много говорят об опасности троянских программ.
-- Они всегда были опасны, просто сейчас это снова вошло в моду. Знаете, на заре нашего дикого капитализма, когда законов еще не было и деньги, в принципе, платились, но не было уверенности в их получении, многие программисты поступали следующим образом. В заказные программы вставлялись "бомбы замедленного действия". Если клиент "забывал" рассчитаться с подрядчиком, "бомба" рано или поздно взрывалась. Если же деньги выплачивались, то клиенту вручалась новая версия программы, уже без "жучка". Беда состоит в том, что троянскую программу очень сложно отличить от нормальной. "Бомба" может быть запрятана в тексте очень глубоко. Это вирусы, как правило, сидят где-то на поверхности, вносят изменения в заголовки, изменяют размер файлов и т. п. С "троянцами" дело обстоит иначе. "Бомба" ждет своего часа, ничем не выдавая своего присутствия. Теоретически не исключено, что как-то и можно ее вычислить с помощью эвристических анализаторов. Но на практике, увы, приходится ограничиваться простым опознаванием известных троянских программ по тем же обычным признакам, по которым одна программа отличается от другой, например, по контрольным суммам каких-то больших участков. Те же, которые не получили широкого распространения, останутся, увы,вне поля зрения специалистов и где-то взорвутся. Можно только пожалеть людей, которым они напакостят.
-- Из сказанного вами можно сделать вывод, что за десять лет, отделяющих нас от первой версии Aidstest, вирусописатели мало изменились и в массе своей по-прежнему остаются людьми не очень грамотными.
-- К сожалению, грамотные ребята среди них все же попадаются. Но что интересно, многие из тех, кто действительно обладает хорошим уровнем знаний в области программирования и при этом пишет вирусы, стали чаще не распространять свои "изделия", а сразу присылать их известным вирусологам. К примеру, именно таким образом из Венесуэлы к нам попал первый по-настоящему 32-битный вирус, способный работать как под Windows 95, так и под NT, хотя и не очень устойчиво. По миру он так и не пошел.
-- Автор надеялся получить какой-то отклик? Рецензию?
-- Нет, думаю, просто прислал ценителям, которые могут определить качество проделанной работы. Копии вируса, кстати, тот парень прислал Игорю Данилову и Евгению Касперскому.
-- Сколько времени занимала обработка одного вируса на заре программы Aidstest и сейчас?
-- Видите ли, за первый год их всего набралось не более двух десятков. Только через два года счетчик перевалил за полсотни. Поэтому тогда можно было не торопясь разбирать один вирус, скажем, неделю. Кроме того, в самом начале у меня еще не было достаточной практики. Нужно не меньше года плотно заниматься, изучать приемы работы, чтобы прийти к профессионализму в написании антивирусов. Сейчас же порой на не слишком сложного паразита тратишь не более пятнадцати минут. При том потоке в десять вирусов в день без праздников и выходных приходится иногда и слегка халтурить. Для полноценной обработки вируса его нужно проанализировать целиком - посмотреть, нет ли "подводных камней", отшлифовать механизм обезвреживания памяти и т. д. На это в большинстве случаев (за исключением тривиальных, серийных) требуется несколько часов.
-- В дальнейшем вы ожидаете еще большего увеличения вирусопотока?
-- Не знаю. Это вопрос к психиатрам.
-- Как-то от одного известного вирусолога мне довелось услышать такую фразу: "Вся эта публика, по явному недоразумению природы испытывающая комплекс положительных эмоций оттого, что гадит соседу под дверь, на самом деле обеспечивает безбедное существование нескольким тысячам людей, занятых в антивирусной индустрии".
-- И что же? Благодарить их за это? Это все равно что благодарить воров и бандитов за то, что они кормят милицию. Я думаю, что все эти люди, "занятые в индустрии", с большим удовольствием занялись бы чем-нибудь другим.
-- Почему Aidstest прекратил свое развитие? Из-за резкого увеличения количества вирусов?
-- Нет, истинная причина была скорее финансовой. Слишком долго разработку Aidstest приходилось вести одному, не разгибаясь. Программа расширялась до тех пор, пока, по сути, не изжила себя. Ее было необходимо переписать. Собственно, это и произошло. Фактически Dr.Web - это и есть следующий Aidstest.
-- Завершена ли работа по обучению Dr.Web распознаванию и лечению старых вирусов, которые "знал" Aidstest?
-- Да. Причем давно. Я лично внес последние 40 записей в вирусную базу Dr.Web, когда мне потребовалось выяснить механизм ее пополнения. Это было нужно для того, чтобы описать эту технологию и подключить к процессу разработки Dr.Web новых людей. Времена, когда один человек создавал и поддерживал антивирус, ушли безвозвратно.
-- Получается, Россия все-таки в какой-то мере и здесь следует тенденциям мировой компьютерной индустрии, где в последнее время происходит стремительное укрупнение антивирусных центров?
-- А куда от этого денешься? Правда, во всем мире разработка антивирусных программ считается неплохим бизнесом. У нас же, к сожалению, деньги платить не любят. Мы пытаемся как-то воспитывать пользователей наших продуктов, стараемся выдерживать умеренные цены. Но...
-- Но вы же сами считаете своим главным достижением не собственно Aidstest, а прорыв психологии потребителей. Вы одним из первых в нашей стране начали убеждать людей, что программы можно покупать, даже если они и не защищены от копирования.
-- Действительно, это так. Aidstest был чуть ли не первой программой, которую по-настоящему начали покупать. Исподволь, постепенно мы начали приучать людей, что чувствуешь себя спокойнее, если заплатил за программу, а не украл ее. И приучили.
-- Вы полагаете, что такой метод воздействия способен принести больше пользы, чем репрессии?
-- С теми, кто на воровстве программ зарабатывает солидные суммы, бороться, конечно, надо. И вряд ли уговоры здесь как-то помогут. Но как можно требовать, скажем, от студента, изучающего программирование, оплаты реальной стоимости средств разработки Microsoft или какой-то другой фирмы. Дайте ему выучиться, начать зарабатывать по-человечески. Тогда он будет платить.
-- В чем, кроме размеров авторских коллективов и извечных вопросов пиратства, проявляется разница между российскими и западными антивирусами? Есть ли какие-либо технологические различия?
-- Мы убедили нашу публику в том, что от всех вирусов нужно лечиться. Мало кто в мире исповедует эту идеологию. Большинство известных антивирусных программ нередко только определяет наличие вируса, после чего, по сути, рекомендует переустановить операционную систему и приложения. Неплохой лечащий модуль был у Dr.Solomon, но и то только потому, что писал его Дмитрий Грязнов. У McAfee еще до образования Network Associates была программа Scan&Clean, так вот этот Clean был у них настолько халтурным, что фактически не лечил многие вирусы.
-- Как вы относитесь к пресловутой проблеме "накручивания вирусных счетчиков"?
-- Когда Dr.Web (или другая антивирусная программа) сообщает пользователю о том, что ей известно столько-то вирусов, это число на самом деле означает всего лишь количество записей в ее вирусной базе. Существуют целые классы вирусов, которые заносятся в базу двумя-тремя (а то и одной) записями. Например, на все модификации так называемого "вируса Хижняка" (в свое время мне прислали их около четырех десятков), появившиеся после выхода книги "Пишем вирус и антивирус", в базе Dr.Web приходится 4 или 5 строчек. Проблема вирусных счетчиков? Сейчас, по-моему, у всех ведущих фирм они сравнялись. Или почти сравнялись. Есть, образно говоря, мировая коллекция, от которой коллекции конкретных разработчиков отличаются лишь новыми поступлениями. В ее рамках тот же Dr.Web умеет лечить все. Есть несколько очень сложных вирусов, которые можетлечить только Dr.Web, из-за чего, кстати, он часто уступает в скорости другим антивирусным программам.
-- Следует ли из ваших слов вывод о том, что споры о "лучшем антивирусе в мире", по сути, не имеют смысла?
-- Не совсем так. Смысл в спорах, возможно, и есть, но пытаться устраивать соревнования - абсолютно безнадежное занятие. Даже результаты тех тестов, которые проводит Virus Bulletin (специализированное ежемесячное издание, посвященное антивирусным технологиям), на самом деле мало о чем говорят.
-- Почему?
-- Во-первых, потому, что разница между первым местом и десятым составляет около 2-3%. Во-вторых, это тестирование еще и довольно-таки вредно, поскольку многие разработчики (не будем называть, кто именно) начинают подгонять свои программы для таких соревнований. Сделать это не так уж трудно - включить в программу механизм, позволяющий обнаружить присутствие коллекции, после чего на ходу изменить алгоритм обработки вирусов. В-третьих, организовать соревнование между "ревизорами" (типа Adinf) и резидентными "сторожами" вообще принципиально невозможно. Значит, не получится и определить, какой антивирусный комплекс лучше защищает компьютер. Наконец, в-четвертых, по миру в "живом" виде сейчас ходит несколько сот вирусов. В коллекции же их более двадцати тысяч.
-- Иными словами, вы хотите сказать, что лабораторные испытания имеют мало общего с реальным ранжированием антивирусных программ относительно друг друга?
-- Попадание программы в первую десятку свидетельствует о том, что это серьезный антивирус, и подтверждает квалификацию разработчиков. Внутри десятки расстановка мест не говорит практически ни о чем. Слишком велик элемент случайности. Допустим, пропустил один вирус из последних поступлений и тут же оказался вместо первого места на пятом.
-- Известно, что одно из ваших любимых увлечений -- прогулки в одиночестве по лесу. Это отвлекает вас от вирусов?
-- Не только от вирусов. Вообще от всяких глупостей. У меня есть избушка в Шанево. Это полузаброшенная деревня в районе озера Селигер. Потрясающие места! Находясь там, забываешь о проблемах. .. Да просто обо всем. А при этом еще и думается хорошо, идеи иногда приходят.
-- Лес помогает вам в работе?
-- Бывает и так. Года четыре назад, когда мне потребовалось внести довольно существенные изменения в Aidstest, я уехал на месяц в Шанево. И там за последнюю неделю вечерами (по паре часов, не более) на своем ноутбуке, который у меня только-только тогда появился, сделал то, что собирался сделать два года и что в "нормальных" условиях потребовало бы месяца три.
-- В заключение позвольте задать вам один риторический вопрос. Представьте, что сейчас снова 1988 год, вы работаете в Госплане СССР и узнали о вирусе Vienna. Ваши действия.
-- Конечно, я снова написал бы лечащую программу. Раз надо, значит, надо. Полез бы я после этого в профессионалы? Сомневаюсь. Уж очень скучное это занятие. Я и Данилова, когда с ним познакомился, первым делом начал убеждать, чтобы он бросил к чертовой матери эти вирусы. Уговаривал часа три. Через пару-тройку лет он, наверное, понял, что я тогда был в чем-то прав. С другой стороны, и он был по-своему прав, решив продолжать писать антивирусы. Что-то нам с ним это все же дало. Да хотя бы стабильную работу и заработок в течение нескольких лет. Уже немало.
[Вернуться к списку] [Комментарии (0)]