计算机科学

计算机病毒学

计算机病毒的出现正在逐渐失去控制。只有“健康”的预防和监视措施才能使我们遏制网络上的病毒流行。

埃里克·菲利欧(ÉricFiliol)和让·伊夫·马里恩(Jean-Yves Marion) 科学档案N°55
本文仅供《 对于科学》的订户使用
在2003年的电影《终结者3》中,天网系统通过病毒控制了防御​​网络。现实遇上虚构。的确,由于我们对计算机的依赖性很高,并且系统的无限互连是不可控的,因此现在可能出现这种情况。 1988年11月2日,莫里斯病毒成功攻击了大约6,000台连接到Internet的计算机。 15年后的2003年1月25日,世界标准时间上午5:30,Slammer病毒使用六个月前发现的计算机漏洞破坏了Internet。在十分钟之内,该病毒便自我复制并感染了具有此漏洞的90%的计算机。如今,正确编程的病毒将能够在几秒钟内破坏互联网。

计算机病毒的流行造成数十亿欧元的损失,对我们的社会构成了真正的威胁。当前的基础设施,例如通信,能源运输或货物分配,都取决于计算机网络。尤其是由于恶意行为而导致的故障将使我们无法使用这些服务。诸如Slammer病毒的成功攻击之类的病毒攻击会阻止对Internet上分布的信息系统中包含的资源的访问。作为说明,感染了Slammer病毒后,位于美国俄亥俄州贝斯-戴维斯核电站的监视计算机网络瘫痪了近24小时。

其他类型的攻击能够破坏网站的形象,修改某些信息,从我们这里窃取或更严重的信息,以及使用我们自己的系统在不知情的情况下进行犯罪。可以想像这种转移的可能后果。为了实施自己的行为,恶意代码变得更加谨慎,就像在系统上进行间谍一样。这些新入侵者证明是经济战争的武器,也是政治武器,这取决于谁控制它们。

病毒是否在现代技术上等同于生物感染?计算机病毒流行病是否像细菌战一样成为新的威胁?与生物学的比较走了多远?如果通过抗击生物病毒获得的经验使我们能够抗击其计算机同行...这些问题的答案首先需要具备计算机病毒的知识。

当病毒程序生效时

计算病毒学的第一步可以追溯到1986年,当时弗雷德·科恩(Fred Cohen)在美国南加州大学展示了他的博士学位论文。他用以下词语介绍了“计算机病毒”的概念:“我们可以将病毒大致定义为一系列符号,根据一种解释,在给定的环境中,它会导致在同一环境中对其他符号序列进行修改。 ,以便它们包含病毒(可能已被修改)。 ”

术语“病毒”的选择暗示了计算机世界和生物学世界之间的类比。确实,这两个世界之间存在着几种对应关系。首先是结构:生物病毒由与编码特定功能的字母序列(例如程序)相对应的核酸细丝组成。但是,计算机病毒是进入系统后运行的程序。然后,两种病毒的功能:它们引起感染。计算机病毒出于自身利益而强迫并劫持计算机系统的软件资源,并且在大多数情况下,它会导致其主机发生故障。最后,复制的方式:计算机病毒似乎具有无限复制和变异的生物学“相似性”。

程序执行的概念也适用于蜂窝世界。实际上,病毒在细胞内的繁殖周期是根据病毒基因组独特的编码方案或程序进行的。但是,在计算机科学中,严格意义上讲并不存在程序和数据的概念,因为计算机可以操纵符号。任何数据都是潜在的程序,相反,任何程序都是数据。硬币的另一面是利用这种矛盾来控制系统。

我们使用的软件存在缺陷:我们每天都会遇到这些缺陷。这些缺陷充当病毒的门户。不能提供所有安全保证的软件是漏洞的主要来源。它们之所以更加危险,是因为程序之间的通信和交互以一种易受攻击的软件威胁整个系统的安全性的方式进行。有关所有平台:计算机,个人助理,手机等。

今天,感染的媒介是 DVD, 按键 USB 当然还有互联网。因此,ILoveYou病毒会以附件形式显示在电子邮件中。只需单击鼠标,用户即可执行包含病毒的文件。知情的用户通常是传染链中的薄弱环节。

但是,其他感染模式会使最不了解情况的用户逃脱。因此,红色代码,Slammer或Blaster病毒使用一种称为“内存溢出”的方法。用户登录系统时,系统会提示他们输入密码,例如八个字母。为了进行攻击,该病毒伪装成用户并提供更长的密码(超过八个字符)。所需的效果是内存溢出。如果系统容易受到此类攻击,则很可能是错误的。为了控制系统,病毒程序员对密码进行编码,密码本身就是一个可执行程序。当系统读取的密码太长时,可能会产生错误,导致执行恶意代码。病毒随后进入系统。

立即使用的瑕疵

大多数此类缺陷已由计算机编辑人员了解并纠正。但是其他人却没有:这些都是所谓的0天软件缺陷。他们只有海盗才知道,他们利用他们进行攻击。仅在以后发现的发布者无法立即发布修订。在2006年1月袭击特别是英国议会的设施遭到袭击的情况下就是这种情况。该代码隐藏在简单的图像中,并且直到三周后才提供此修复程序。在此期间,没有用于解决该缺陷的技术解决方案。

这种情况已引起关注,因为0天裂口的数量在不断增加,黑客已将其变成新的讨价还价筹码:一个漏洞目前的交易价在5,000至50,000美元之间。软件公司通常无能为力,并且等待攻击发生以进行分析并找出漏洞。更糟糕的是,一旦发布了修补程序,管理员和用户将无法一致地应用它们。这种缺乏计算机卫生的技术使数百万台计算机受到攻击的摆布。在这方面,Slammer病毒的案例非常有说服力:虽然已知该漏洞并在六个月前发布了补丁程序,但由于缺乏对系统进行“预防接种”的服务,近200,000台服务器屈服于攻击。

设计不良的软件很常见,并且会在不同程度上影响所有操作系统。通常,产品会很快开发出来,以面对竞争和不良的质量检查。但是,制作安全软件是一项艰巨的任务。另外,可以从数学上证明不可能绝对地保证程序的质量。不确定性是IT中的关键词!因此,一种有效的防御病毒的方法是定期更新我们的计算机。

病毒利用系统中的缺陷将其渗透:它劫持了主机系统的功能以发挥其优势。生物病毒通过劫持细胞膜受体进入宿主细胞的功能来做到这一点。然后,这两种类型的病毒将控制其宿主的功能成倍增加。但是,与生物病毒不同,计算机病毒需要一个目标才能自我复制。找到目标后,它会自我复制,有时会更改其代码。因此,自主病毒具有自我繁殖的能力。美国威斯康星大学的数学家Stephen Kleene无疑设计了第一个自我复制程序。

但是,类推的危险是将两个不同的对象简化为一个,而不考虑每个对象的特殊性。最显着的区别是代码突变:虽然生物病毒很少突变,但其计算机同类病毒却经常突变,并且产生的代码始终可行。幸运的是,流行病传播的数量级差异很大。严重急性呼吸系统综合症等病毒性疾病会怎样?斯拉),如果该病毒以计算机病毒的速度传播,那么它将导致2002年至2003年间亚洲800多人死亡!

防病毒的相对功效

在第一种计算机病毒出现二十年之后,当前的防病毒软件显然没有提供足够的保护。有几个原因。首先是数学上的:弗雷德·科恩(Fred Cohen)证明不可能构建能够检测所有病毒的“通用防病毒”。但是,可以设计有效的防病毒软件。

当前的防病毒通过分析病毒的形状来识别病毒,这需要事先了解病毒的特征元素及其特征。然后,这些软件会过滤程序以对其进行分析,并保留所有签名与病毒签名匹配的签名。然后将指定的程序视为潜在病毒。通过使防病毒软件保持最新状态,可以定期补充新病毒签名的数据库,这是有效对抗最常见病毒的必要条件。

但是,此方法有两个概念上的弱点。首先,如果没有已知特征与之匹配,则新病毒将通过筛网。最后,面对雷击,防御反应时间可能太长!那么其他方法是必要的。其中之一是基于程序的行为分析:它包括识别系统执行的一组过程中的恶意操作。您最好在大海捞针中寻找针头...

所有这些努力都是徒劳的吗?从技术上讲,始终可以绕过任何保护系统。的确,黑客无需编写复杂的代码:每月出现约600到1200个新代码,这足以使防病毒公司的工作复杂化。另外,最高级的病毒代码被编写为尽可能难以分析,并且能够不断变异或隐藏在系统中。实验室实验表明,出于多种原因,这些代码将始终能够使任何防病毒程序失败。

恶意代码和防病毒不受相同的约束:病毒可以自由运行几分钟甚至几十分钟。用户将永远不允许他们的防病毒软件垄断同一时间来确定代码是否为恶意代码。应当记住,除特殊情况外,如果始终可以进行人体分析,则程序执行的抗病毒分析效果有限。其他问题天生是无法确定的,没有防病毒软件可以解决。因此,某些类别的代码突变是无法阻止的。

然后,至少可以通过两种方式将生物学中抗病毒控制的经验用于计算机病毒学的帮助。首先,发展最快的生物有机体具有复杂而有效的免疫系统。后者将生物体特有的东西与异物(特别是传染原)区分开来。免疫系统会识别异物并记住这种遭遇。难道我们不应该受到它的启发而发明更有效的抗病毒防御,由于正式的免疫系统而能够适应新的威胁吗?免疫学的类比建议使用由众多自主过程组成的防御系统来保护计算机网络。

第二,现代医学制定了一系列预防疾病的措施和预防措施。这样的计算机预防(其两个轴是软件维护),类似于疫苗接种政策,以及“健康”行为(与健康生活相当),这是否不在我们的承受范围之内?

卫生问题

计算机病毒和生物病毒之间的相似之处令人信服。正如不可能预先检测到新的生物病毒的出现一样,我们注定要在计算机网络上观察感染源,并采取相应的纠正措施。只有预防和适当的卫生政策,才能使我们有效地对抗计算机病毒……希望它们受到所有人的尊重和应用。

另一方面,如果生物学是计算机科学的合法灵感领域,它就不能为计算机世界的问题提供奇迹解决方案。另外,当一些软件发行商毫不犹豫地为我们的计算机提供“疫苗”,以及展示听诊​​器,胶囊或caduceus作为广告论据的防病毒软件时,让我们进行批判性观察...

最后,还有一个相当于Sentinel的网络,该网络从全国各地的医生那里收集流行病学信息,但仍有待在国家一级建立。在国际上,为什么不想象一个“ oms IT”,能够在所有警报面前组织防御?为了确保有效运作,这些机构将必须完全独立地行动,特别是在商业和战略利益方面,并以自主,理论和应用研究为基础。

订阅并访问超过20年的档案!

订阅优惠

12期+ 4期特刊
纸质+数字版

+无限访问超过20年的档案

我订阅

订阅并访问超过20年的档案!

订阅优惠

12期+ 4期特刊
纸质+数字版

+无限访问超过20年的档案

我订阅

我们的最新出版物

回到顶部

已经有帐号了?

身份证明

标识自己可以访问您的内容

看到

还没有帐户 ?

注册

注册以激活您的订阅或订单问题。

创建我的账户