Индийская мстя

> В апреле 2017 г. в США завели уголовное дело против Нимеша Пателя (Nimesh Patel), который в течение 14 лет работал системным администратором в компании Allegro MicroSystems. Ему пришлось уйти из компании, и он решил отомстить бывшему работодателю путем заражения вирусом базы данных его бухгалтерии на СУБД Oracle.

Базу!!! Оракл!!! Вирусом!!!

[убегает ставить антивирусы на свои оракловые базы]

> Опять какой-то хер виноват!!!

- Что случилось с нашей сетью?
- А хер его знает!
- И где же этот хер, который знает?

> А как же триггеры на события в наиболее часто используемой таблице? Не совсем вирус, наверное.

Не то, что "не совсем вирус", а "совсем не вирус".

> С ораклом не сталкивался, но в ms sql криво написанный триггер может и базу положить.

И в оракле может.

> Другое дело, что можно относительно быстро вычислить источник проблемы.

Совершенно верно. С точки зрения СУБД это пользовательский объект, и спрятать его от SYS (ораклового SA) никак не получится.

> Но вопить будут про вирус! Так дороже в устранении последствий и ответственность виновному больше.

Топ-менеджеры и изнасилованные вирусами журналисты вовсе не обязаны разбираться в подобных технических нюансах!!!

> спасибо за разъяснения.

Да не за что, был рад помочь разобраться.

Для дополнительного понимания просто прими как факт, что абсолютное большинство современных вредоносных программ, называемых в обиходе "вирусами", в каноническом смысле вирусами вовсе не является. Черви, трояны, шифровальщики - но не вирусы. Механизмы распространения и вредоносные проявления - схожи, устройство и принципы работы - нет.

> Так он целый будет. Просто все числовые показатели немножко другие станут, но так чтоб итог сохранился прежний))

Ты про сами данные, что ли, говоришь? Просто для меня, например, "битый бэкап" - это битый на блочном уровне или неконсистентный.

> Определение компьютерного вируса по сути в том или ином виде содержит лишь одну четкую деталь - вирус это алгоритм самовоспроизведения, который начинает каким то образом выполнять заражаемая подсистема, не имея это в качестве своей целевой подзадачи. Ну и до кучи внедрение этого алгоритма в иные алгоритмы.
>
> И то, что я описал - вполне в это вписывается.

Полностью с тобой согласен.

> А вот дальше, с учетом того, что ты сказал, - начинается интересное.
>
> Дело в том, что ты, насколько я понял, исходишь из того, что если вирус нельзя привнести извне в подсистему - то он и не вирус.
> Если, конечно, ты имеешь в виду именно это.

Именно так. Я исходил изначально из этого.

> Но тут дискуссионно как бы.
> Вирус всегда создается человеком (про самозарождение пока не слышал) внутри некой подсистемы и для нее.
> Почему, если алгоритм самовоспроизведения создан изначально внутри ОС в виде исполняемого ей кода, то мы считаем его вирусом, а если внутри БД изначально создан скрипт с такой же задачей - не считаем?
>
> Или ты имеешь в виду, что если алгоритм не может выйти за границы подсистемы в которой он создан, то т.к. он не распространяется, то это не вирус, а просто зловредная закладка?

Вопрос действительно дискуссионный и, на мой взгляд, лежит больше в плоскости терминологии, чем в технической.

> Но даже в этом случае скрипт, изначально заложенный в БД, может содержать алгоритм распространения вовне.
> Представь себе экзотический скрипт, который порождает в определенный момент исполняемые файлы.
> Да, БД не заражалась, напр., именно извне.
> Но можем ли мы не считать зараженной подсистему, в которой есть такое?

Здесь, наверное, лучше сказать "производит некие несанкционированные действия без ведома конечных пользователей и администраторов системы". Если с этой точки зрения - да, конечно, система заражена. Чем именно, кем и как заражена - другой вопрос.

> Не оспариваю возможности оракла в отношении такого контроля.
>
> Но ведь это как всегда зависит от того, как это все настроено в конкретном случае.

Это как всегда. Нормальная промышленная система с серьезными данными всегда требует тонкого тюнинга, присмотра и ухода.

Нам с тобой нет смысла спорить, у нас просто несколько разное видение вопроса. Я (как, наверное, и ты) еще застал "классические вирусы" с инъекцией в код носителя, перехватом исполнения, полиморфизмом и прочими интересными вещами. Поэтому по старой памяти придерживаюсь своей точки зрения.