Historia pewnego szkodnika

Historia pewnego szkodnika
02.05.2007 12:00
Historia pewnego szkodnika

Nie tylko najstarsi użytkownicy komputerów pamiętają czasy, gdy media donosiły o nadchodzącej Apokalipsie, której sprawcami miały być... wirusy. Miały one kasować dyski twarde setek tysięcy komputerów, a eksperci prześcigali się w przewidywaniu katastrof, jakie podobny atak może spowodować. Przewidywania były, jak to zwykle w takich przypadkach bywa, przesadzone. Faktem jednak jest, że mieliśmy wówczas do czynienia z wielkimi epidemiami lub ich zapowiedziami. Od kilku lat właściwie o niczym takim nie słychać. Spokój jest jednak złudny. W XXI wieku wcale nie poradziliśmy sobie ze szkodliwym kodem. Jego autorzy zmienili jedynie sposób działania - przez co są jeszcze bardziej groźni. Warto przypomnieć, jak to wszystko się zaczęło...

Na początku była... ćma

W roku 1945 pani kontradmirał Grace Murray Hopper wyciągnęła spośród kabli ćmę, która spowodowała awarię jednego z komputerów należących do Marynarki Wojennej USA. Powiedziała o niej nie "moth" czy "insect", a "bug". Tego terminu używano od XIX wieku na określenie problemów z urządzeniami elektrycznymi. Do opisania całego procesu naprawy komputera pani Hopper użyła słowa "debugging". Komputerowe zło, zaklęte w słowie, które powołało je do życia, zaczęło istnieć. Długo jednak się nie ujawniało.

Spór o to, kiedy narodził się pierwszy komputerowy wirus wciąż pozostaje nierozstrzygnięty. Nastąpiło to pomiędzy chwilą, w której Charles Babbage ( angielski inżynier, matematyk i filozof, żyjący w latach 1791-1871 ) wpadł na pomysł zbudowania programowalnej maszyny, a latami 70. ubiegłego wieku, gdy wykryto pierwsze wirusy. Od ćmy kontradmirał Hopper, do pierwszego niechcianego ( bo jeszcze niezbyt szkodliwego ) kodu, droga nie była jednak daleka.Podobno pierwszym człowiekiem, który pomyślał o czymś, co mogłoby być komputerowym wirusem, był węgierski naukowiec, John von Neumann. W 1949 roku wysunął on teorię istnienia samopowielającego się programu komputerowego, który mógłby być przechowywany w pamięci maszyny.

Skoro mamy już coś ( ćmę ), co psuje komputer i teorię Neumanna, że mogłoby to być programem, który sam się powiela, brakuje nam jedynie środka transportu. Tutaj nieoceniona okazała się pomoc korporacji AT&T, która w 1960 roku zaprezentowała Dataphone - pierwszy komercyjnie dostępny modem. Nieco później grupa programistów dokonała kolejnego kroku w kierunku rozpoczęcia epoki szkodliwego kodu. W roku 1963 stworzono kod ASCII, prosty język komputerowy, który umożliwiał wymianę danych pomiędzy maszynami różnych producentów.

Lata przed

Niegdyś wirusy komputerowe powstawały z głupoty lub złośliwości. Ich twórcy chcieli udowodnić coś sobie lub innym, zyskać rozgłos, komuś dokuczyć lub coś zniszczyć. Od ładnych paru lat celem autorów szkodliwego kodu jest zarobienie pieniędzy, a ściślej - ukradzenie ich swojej ofierze.

Nie jest to idea nowa, gdyż już pierwsi "cyberprzestępcy" zajmowali się kradzieżą. Na początku kradzieżą impulsów telefonicznych. Stały się one taką plagą, że w 1964 roku AT&T powołało specjalną grupę śledczą, która miała za zadanie chwytanie tzw. phreakerów, czyli osób, które oszukiwały instalacje telefoniczne i dzwoniły za darmo lub znacznie taniej, niż wynosiły ustalone stawki. W 1975 roku szef tejże grupy przyznał, że, by złapać phreakerów, monitorowała ona 33 miliony rozmów międzymiastowych. Phreakerzy udowodnili, że nowoczesną technologię można wykorzystać niezgodnie z intencjami jej posiadacza i odnosić z tego tytułu korzyści materialne. Do ukończenia układanki brakowało jeszcze kilku elementów, ale wkrótce pojawiły się i one.

Szkodliwy kod wkracza na scenę

Tymi elementami był UNIX, pierwszy wielozadaniowy system operacyjny, który narodził się w 1969 roku oraz ARPANET. Advanced Research Projects Agency ( ARPA, obecnie DARPA ) stworzyła swoją sieć również w roku 1969. Gdy pięć lat później zadebiutował Telenet, czyli komercyjna wersja ARPANET-u, wszystko było gotowe do debiutu. Hakerski narybek ( wśród którego znajdował się sławny później Kevin Mitnick ) dzielnie dął w gwizdki wyjęte z pudełek po płatkach owocowych i, wzorem phreakerów, oszukiwał centrale telefoniczne, a operatorzy ARPANETU w tym samym czasie odkrywali Creepera.

Pracował on na systemie operacyjnym Tenex i był w stanie samodzielnie rozprzestrzeniać się i replikować. W zainfekowanym systemie wyświetlał się komunikat: "I'm the Creeper: Catch me if you can". Wkrótce po nim w ARPANECIE znaleziono kolejny niechciany kod - Reapera. Również i on potrafił się rozprzestrzeniać, a gdy w zainfekowanej przez siebie maszynie znalazł Creepera, kasował go. Do dzisiaj nie jest jasne, skąd wziął się Reaper. Jedna teoria mówi, że stworzyli go administratorzy ARPANET-u, chcąc wyeliminować Creepera. Druga - iż był on dziełem autora Creepera, którzy próbowali naprawić swój błąd i zniszczyć poprzedniego szkodnika.

Rok po starciu Creepera z Reaperem zadebiutował Rabbit. Nazwano go tak, gdyż jedynie replikował się i rozprzestrzeniał. Miano "Królika" zyskał w uznaniu dla prędkości namnażania. Rabbit mógł jednak narobić szkód. Jego liczne kopie zużywały zasoby maszyny i spowalniały jej działanie. Na szczęście po osiągnięciu pewnego poziomu infekcji, wirus ulegał awarii.

Rok 1974 jest ważny jeszcze z jednego względu. Wówczas, o czym była już mowa, ARPANET został skomercjalizowany, a jego klon - Telenet - stał się pierwszą komercyjną siecią. Szkodliwy kod mógł ruszyć na podbój świata.

Miłe złego początki

Dalsza historia wirusów jest równie tajemnicza. "Pervading Animal" była grą. Albo i nie. Program napisany w 1975 roku na komputer Univac 1108 miał proste zasady: gracz wybierał sobie jakieś zwierzę, a program, zadając mu pytania i analizując odpowiedzi, miał za zadanie zgadnąć, o jakie zwierzę chodzi. Program był wyposażony w funkcję aktualizacji. Gdy nie odpowiedział prawidłowo, wgrywana była kolejna wersja, która zadawała nowe pytania. Problem w tym, że nie tylko zastępowała ona wersję dotychczasową, ale kopiowała się do innych katalogów. Po pewnym czasie w każdym katalogu znajdowała się kopia "Pervading Animal". Program zapychał tak cenne wówczas nośniki danych.

Obecnie trudno powiedzieć, czy był to szkodliwy kod, czy też jego twórcy popełnili jakiś błąd. W owych czasach granica pomiędzy błędem programistycznym, a szkodnikiem była bardzo cienka. Programiści pracujący na Univacu próbowali powtórzyć schemat z Creepera-Repera. Stworzyli nową wersję gry, która miała wyszukiwać i niszczyć starą. Jednak problem w pełni rozwiązano dopiero wówczas, gdy powstała nowa wersja systemu operacyjnego. "Pervading Animal" nie mógł już się powielać.Pierwszy oficjalny wirus

Pierwszy program oficjalnie zwany wirusem został zaprezentowany 10 listopada 1983. Tydzień wcześniej Fred Cohen, specjalista ds. ochrony informacji, wpadł na pomysł, by podczas seminarium na temat bezpieczeństwa zaprezentować szkodliwy kod. Nazwę "wirus" wymyślił dla niego Len Adleman. Stworzenie pierwszego oficjalnego wirusa zajęło Cohenowi 8 godzin. Program został przygotowany dla systemu Unix na komputerze VAX 11/750. Później trzeba było jeszcze postarać się o oficjalną zgodę na przeprowadzenie pokazu. Eksperyment składał się z pięciu różnych scenariuszy ataku, które przeprowadzano zdalnie za pomocą BBS. Każdy z pięciu ataków zakończył się sukcesem, czyli uzyskaniem dostępu do atakowanej maszyny. Najszybciej zdobyto go w 5 minut, a żaden z ataków nie trwał dłużej niż godzinę. Średni czas potrzebny na przełamanie zabezpieczeń wyniósł 30 minut. Administratorzy atakowanych systemów wiedzieli o tym, że próba włamania będzie miała miejsce, ale nie byli w stanie jej zapobiec. Zaskoczeniem była prędkość, z jaką
atak został przeprowadzony. Po udanej demonstracji... zabroniono dalszego eksperymentowania z siecią.

Cohen uznał, że skoro udał się atak na Uniksa, może też udać się na inne systemy. Przeprowadzono odpowiednie rozmowy z administratorami systemów Tops-20, VMS i VM/370. Okazało się, że doświadczony użytkownik Tops-20 jest w stanie przygotować atak w ciągu 6 godzin. Nowicjuszowi w użytkowaniu VM/370 udało się to, przy pomocy doświadczonego programisty, w 30 godzin, a nowicjusz w VMS bez niczyjej pomocy przygotował szkodliwy kod w 20 godzin. Wszystkie wirusy były w stanie odnaleźć i zainfekować pliki oraz przemieszczać się pomiędzy różnymi kontami.

Eksperymenty kontynuowano na kolejnych maszynach i systemach. Rok później William Gibson w swojej futurystycznej powieści "Neuromancer" spopularyzował termin "cyberprzestrzeń". Dla wirusów stała się ona przestrzenią do życia.

Pełnoprawny obywatel cyberprzestrzeni

To, co dotychczas było teoretyzowaniem i eksperymentowaniem, wkrótce stało się rzeczywistością. W 1986 roku rozległ się dzwonek alarmowy. Wykryto pierwszą ogólnoświatową epidemię komputerową. Sprawcą był wirus "Brain", który zarażał boot sector pecetów. Świat był zupełnie nie przygotowany na atak, dlatego też "Brain" odniósł sukces i rozprzestrzenił się w ciągu kilku miesięcy. Co prawda wcześniej wielokrotnie nakreślano scenariusze podobnych wydarzeń, ale robili to... autorzy powieści science-fiction. Nikt nie brał takiej możliwości na poważnie.

"Brain" był dziełem dwóch Pakistańczyków: 19-letniego Basita Farooqa Alviego i jego brata Amjada. W kodzie wirusa umieścili oni swoje nazwiska, adres i numer telefonu. Obaj bracia pracowali w firmie sprzedającej oprogramowanie, a wirusa stworzyli po to, by zbadać za jego pomocą poziom piractwa w swoim kraju. "Brain" był praktycznie nieszkodliwy. Jedynym efektem jego działalności była zmiana nazwy dysku na "Brain". Bracia stracili jednak nad nim kontrolę i ich wirus rozprzestrzenił się po całym świecie. Bardzo interesującą cechą Braina był fakt, że potrafił on ukryć swoją obecność. Gdy wykrył próbę odczytania zawartości zainfekowanego boot sectora, pokazywał oryginalną zawartość sprzed infekcji.

Kilka miesięcy później, w grudniu 1986 roku niemiecki programista Ralf Burger udostępnił na forum Chaos Computer Club wirusa Virdem, pierwszego szkodnika, który powielał się infekując pliki .COM.

Na kolejną epidemię nie trzeba było długo czekać. Wywołał ją wirus Vienna, odkryty w 1987 roku przez Franza Swobodę. Przyciągnął on uwagę mediów i wywołał gorące dyskusje. Każdy chciał wiedzieć, kto jest jego autorem. Swoboda wskazywał na Burgera, a Burger zaprzeczał i wskazywał na Swobodę. Twórca Vienny nigdy nie został odkryty, ale nie dlatego wirus ten jest tak ważny. Otóż Ralf Burger wysłał jego kopię do Brenta Fixa, a ten zneutralizował wirusa. Fix stał się więc pierwszym człowiekiem, któremu udało się tego dokonać.

Z Vienną związany jest też jeszcze jeden bardzo istotny fakt. Burger napisał książkę pt.: "Computer Viruses: The Disease of High Technology", w której opisywał, w jaki sposób Fix zwalczył wirusa i pokazywał, jak można zmienić kod tak, by wirus stał się nieaktywny. Książka zyskała wielką popularność i posłużyła tysiącom osób do... tworzenia własnych wirusów.

Rok 1987 był rokiem wysypu całej gamy wirusów. W sieci uniwersytetu Lehigh w Pennsylvanii znaleziono wirusa, którego nazwano na cześć uczelni. Wirus Lehigh był prawdopodobnie pierwszym wirusem w historii, który uszkodził przechowywane na dysku dane. Na szczęście, dzięki specjalistom z uniwersytetu, nigdy nie wydostał się na wolność.

Zadebiutowała też izraelska rodzina Suriv ( przeczytajcie nazwę od tyłu ). Suriv-1 infekował pliki .COM, Suriv-2 brał na cel pliki .EXE, a Suriv-3 radził sobie z oboma typami plików. Czwartym członkiem tej rodziny był Jerusalem, który spowodował ogólnoświatową epidemię w 1988 roku.

Pojawił się również Cascade, pierwszy wirus, który sam się szyfrował. Dzięki temu po każdej z infekcji wyglądał inaczej, przez co może być uznany za prekursora wirusów polimorficznych. Najbardziej widocznym objawem zarażenia były, co zapewne niektórzy z nas pamiętają, spadające z ekranu litery. Cascade w 1988 roku zainfekował komputery belgijskiego oddziału IBM-a, co przyczyniło się do podjęcia przez Błękitnego Giganta decyzji o rozpoczęciu produkcji oprogramowania antywirusowego.

W grudniu 1987 roku doszło też do pierwszej dużej infekcji w sieci lokalnej. Wirus Christmas Tree Worm wyświetlał choinkę na komputerach jednego z zachodnioniemieckich uniwersytetów podłączonych do sieci EARN ( European Academic Research Network ).I nadeszły ciemności...

Kolejną historyczną datę wyznacza Czarny Piątek, czyli 13 maja 1988 roku. Wówczas wykryto epidemię wywołaną przez Jerusalem. W tym czasie istniało już oprogramowanie antywirusowe. Tworzyły je setki firm, w których pracowały po 2-3 osoby. Skanery antywirusowe poszukiwały charakterystycznych fragmentów kodu. Powstawały jednak setki wirusów i łatwo znajdowały one nowe ofiary, gdyż świadomość zagrożenia była nikła, a brak dobrego kanału dystrybucji oprogramowania antywirusowego ( udostępnianego jeszcze wtedy za darmo lub za śmiesznie niskie kwoty ), tylko ułatwiał im zadanie.

Przed końcem 1988 roku miały też miejsce inne ważne wydarzenia. Wirus napisany przez Roberta Morrisa zaatakował ARPANET i unieruchomił 6000 komputerów, zajmując swoimi kopiami całą dostępną pamięć operacyjną. Morris został skazany na 10 000 USD grzywny i trzyletni nadzór kuratora.

Pojawił się też pierwszy tzw. hoax, czyli fałszywa informacja o wirusie. Jego autorem był Mike RoChennel, który porozsyłał informacje o wirusie, który rozprzestrzenia się pomiędzy modemami pracującymi z prędkością 2400 bodów. Nie był jednak groźny dla modemów 1200-bodowych. Wiele osób w informację tę uwierzyło.

Ważne daty zanotował też przemysł antywirusowy. Dnia 22 kwietnia powstało pierwsze elektroniczne forum - Virus-L - poświęcone zabezpieczeniom antywirusowym. Jego twórcą był Ken van Wyk, kolega z uczelni Freda Cohena.

W 1988 roku zadebiutował też program antywirusowy Dr. Solomon's Anti-Virus Toolkit. Kolejny rok warto zapamiętać z powodu pojawienia się wyjątkowo niebezpiecznego wirusa. Datacrime skonstruowany był tak, by pomiędzy 13 października a 31 grudnia rozpoczynać niskopoziomowe formatowanie zerowego cylindra dysku twardego. Prowadziło to do nieodwracalnego zniszczenia tablicy partycji i utraty danych. Pierwsze informacje o wirusie przekazał Fred Vogel już w marcu tego roku. Wywołały one prawdziwą histerię. O jej skali może świadczyć fakt, że w USA wirus został nazwany Columbus Day. Pojawiła się bowiem plotka, że jest on dziełem norweskiego terrorysty, który chce ukarać USA za to, że za odkrywcę Ameryki uznawany jest Kolumb, a nie Eryk Rudy.

W grudniu 1989 roku pojawia się kod-szantażysta. Na adresy w Europie, Afryce i Australii, ukradzione z bazy danych PC Business World, dociera 20 000 zainfekowanych dyskietek zawierających konia trojańskiego. Po zainfekowaniu system uruchomić można było jedynie 90 razy. Następnie nazwy wszystkich plików były szyfrowane i ukrywane. Z wyjątkiem jednego, który przekazywał instrukcję, by na wskazane konto przelać pieniądze. Dzięki niej jako sprawcę ataku Aids Information Diskette zidentyfikowano Josepha Poppa.

W tym samym roku doszło do pierwszej infekcji na terenie ZSRR. Jej ofiarą w październiku 1989 roku padł Jewgienij Kasperskij, którego komputer został zaatakowany przez odmianę Cascade'a. To wydarzenie spowodowało, że Kasperskij zainteresował się wirusami i stworzył później znaną firmę Kaspersky Lab.

Pojawia się też IBM Virscan, komercyjny program antywirusowy dla systemu MS-DOS, który powstał po tym, gdy IBM zorientował się, jak bardzo rośnie zapotrzebowanie na oprogramowanie antywirusowe. Na rynek trafiają też pierwsze specjalistyczne publikacje poświęcone wirusom: Virus Bulletin firmy Sophos i Virus Fax International autorstwa Dr Salomona.

Niespokojne lata 90.

Początek nowej dekady był jednocześnie początkiem nowej epoki w historii wirusów. Pojawiły się pierwsze wirusy polimorficzne. Przeważnie były odmianami znanych już rodzin, jednak zaszły w nich spore zmiany. W przeciwieństwie do Cascade'a nie zmieniały się tylko i wyłącznie dzięki szyfrowaniu. Zmiany zachodziły w samym kodzie wirusa. Polimorficzny kod był niewykrywalny dla ówcześnie wykorzystywanych programów antywirusowych i wymusił zmiany w podejściu do problemu zabezpieczeń.

Dark Avenger

Jeszcze ważniejszym wydarzeniem było powstanie tzw. Bułgarskiej Fabryki Wirusów. Terminu tego używano na określenie autorów licznych wirusów, które powstawały na terenie Bułgarii. Wśród nich znajdował się sławny, kto wie czy nie najsławniejszy, twórca wirusów - Dark Avenger. Wyróżniały go niezwykłe umiejętności w tworzeniu szkodliwego kodu oraz olbrzymia zręczność w jego rozprzestrzenianiu. Wielu z nas pamięta "pojedynek", jaki Dark Avenger toczył ze znanym specjalistą tworzącym oprogramowanie antywirusowe - Wesselinem Bontczewem. Tożsamość Dark Avengera do dzisiaj jest tajemnicą, a niektórzy przypuszczają, że jego prawdziwe nazwisko brzmi Todor Todorow, inni sądzą, że jest nim sam Bontczew. Dark Avenger jako pierwszy stworzył wirusa, który, gdy został wykryty, automatycznie infekował wszystkie pliki na komputerze. Dark Avenger stworzył też swoiste centrum, które pozwalało autorom wirusów wymieniać się swoimi dziełami. Miało ono olbrzymi wpływ na rozwój wirusów nie tylko w Bułgarii, ale i na całym świecie. W
1990 roku doszło też do olbrzymiej epidemii wywołanej przez... magazyn komputerowy. Do czytelników PC Today trafiło 50 000 zainfekowanych dyskietek dołączonych do czasopisma.

Kolejnych kilkanaście miesięcy zapowiadało przełom. Pojawiło się wiele nowych programów antywirusowych, wśród nich jeden z najsławniejszych - Norton AntiVirus. Doszło co prawda do kilku infekcji, ale, w porównaniu z poprzednimi latami, sytuacja wyraźnie się uspokoiła. Pozostawała taką jeszcze na początku 1992 roku. Z cyberprzestrzeni niemal znikają wirusy atakujące inne systemy niż MS-DOS i inne komputery niż klony peceta. Światowe sieci zostały połatane, szkodliwemu kodowi bardzo ograniczono możliwości działania. Szybko rosła jednak liczba wirusów boot sectora, zwiększało się zainteresowanie wirusami, co z kolei przyczyniło się do coraz większej liczby publikacji, z których uczyły się kolejne pokolenia twórców szkodliwego kodu.

Sielankę zakłócił Dark Avenger. Stworzył on narzędzie o nazwie MtE, pierwszy generator polimorficznych wirusów. Bułgar dołączył do niego szczegółową dokumentację. Na wyniki jego działania nie trzeba było długo czekać. Błyskawicznie zaczęły powstawać kolejne wirusy, a firmy specjalizujące się w ich zwalczaniu nie mogły sobie z nimi poradzić. Nawet w wiele miesięcy po powstaniu niektórych z nich oprogramowanie antywirusowe nie potrafiło ich wykryć. Pojawiły się też pierwsze programy, których celem było zwalczanie oprogramowania antywirusowego. Władze różnych krajów tworzą jednostki policyjne wyspecjalizowane w zwalczaniu cyberprzestępczości.Wielka panika i nowe otwarcie

W 1991 roku ponownie wybucha panika: światu zagraża Michał Anioł. Słynny Michaelangelo miał, zdaniem części specjalistów, zarazić ponad 5 milionów maszyn. Wszyscy z zapartym tchem czekali na wyznaczoną datę Apokalipsy: 6 marca 1992 roku. Gdy nadeszła okazało się, że koniec świata nie nastąpił, a Michał Anioł zaatakował jedynie kilka tysięcy komputerów.

W tym samym 1992 roku miało miejsce inne historyczne wydarzenie. Pojawił się Win.Vir14, pierwszy szkodliwy kod atakujący system Windows. Kolejny rok upłynął pod znakiem udoskonalania i automatyzowania technik produkcji wirusów. Szkodliwy kod staje się coraz bardziej doskonały, działa w trybie chronionym procesora, coraz lepiej potrafi się ukryć w zainfekowanych plikach. Pojawił się nawet wirus ( Strange/Hmm ), który do swoich celów wykorzystywał przerwania. Dla przemysłu antywirusowego był to nerwowe miesiące. Tym bardziej, że wiosną 1993 roku Microsoft zaczął dodawać do Windows i DOS swój własny, bardzo dobry, program antywirusowy. Z czasem jednak jego jakość spadła i koncern Gatesa przestał go produkować.

Kolejny rok przyniósł kolejne złe wieści. Powstały wysoko zaawansowane wirusy polimorficzne SMEG.Pathogen i SMEG.Queeg. O zdolnościach ich twórców najlepiej świadczy fakt, że nawet dzisiaj nie wszystkie programy antywirusowe potrafią je wykryć ze 100-procentową skutecznością.

Microsoft ante portas

Rok 1995 przyniósł znaczącą zmianę. Zadebiutował Windows 95, system, który milionom ludzi pozwolił na łatwe podłączenie się do Internetu. Przemysł antywirusowy początkowo obawiał się o swój byt, gdyż przypuszczano, że nowy system Microsoftu będzie odporny na ataki szkodliwego kodu. Błyskawicznie okazało się to nieprawdą, co udowodnił... sam Microsoft. W lutym do rąk betatesterów trafiły płyty z przygotowywanym właśnie systemem. Jeden z nich przeskanował płytę oprogramowaniemm antywirusowym i odkrył, że jest ona zainfekowana. Testy wstrzymano do czasu dostarczenia bezpiecznych wersji systemu. Na kolejny atak nie trzeba było długo czekać. Doszło do niego już w sierpniu. Wirus Concept potrzebował zaledwie miesiąca by pojawić się na całym świecie i stać się najbardziej rozpowszechnionym szkodliwym kodem.

Oprogramowanie Microsoftu musiało zmierzyć się również z zupełnie nowym zagrożeniem. Powstały wirusy makr. Początkowo atakowały one MS Worda, istniało jednak poważna niebezpieczeństwo, że ich ofiarą padną także inne aplikacje wchodzące w skład pakietu Office.

Losy konkurencji również nie układały się różowo - edytor AmiPro został zaatakowany przez szybko rozprzestrzeniającego się wirusa GreenStripe. Użytkownicy komputerów coraz częściej muszą uważać nie tylko na zagrożenia płynące z Sieci. Wielki producent komputerów, DEC, rozdaje na konferencji DECUS zainfekowane dyskietki, a wydawnictwu Ziff Davies dwukrotnie "udaje się" wysłać swoim czytelnikom wirusa.Pierwsze takie wirusy

Do ataków na systemy Microsoftu dochodzi na początku 1996 roku. W marcu pojawia się Win.Tentacle. To pierwszy wirus atakujący Windows 3.1 i pierwszy szkodliwy kod wymierzony przeciwko Windows, który swobodnie się rozprzestrzeniał. To nie jedyny "pierwszy" w tym roku. W czerwcu zostaje wykryty pierwszy wirus wymierzony przeciwko plikom .EXE systemu OS/2 - OS2.AEP. Kolejny miesiąc należał do kodu o nazwie Laroux. To pierwszy, który atakował Excela. Co ciekawe, został on wykryty niemal jednocześnie w dwóch różnych punktach świata: w komputerach firm poszukujących ropy naftowej na Alasce i w RPA. Rok później Laroux wywoła epidemię w wielu firmach w Moskwie.

Kilka tygodni po wykryciu wirusa Laroux powstają narzędzia Word Macro Virus Construction Kit i Macro Virus Development Kit. Jak wskazują ich nazwy, były przeznaczone do tworzenia wirusów makr.
Lata 1996-1997 to okres powstawania dziesiątków wirusów infekujących systemy Windows 95 i Windows NT. Powstaje nowa generacja wirusów, a ich twórcy skupiają się na zarażaniu 32-bitowych systemów. W 1997 roku pojawił się Bliss, pierwszy wirus atakujący Linuksa. W tym samym czasie na rynek trafia MS Office 97 i, chwilowo, pakietowi Microsoftu nie grozi niebezpieczeństwo ze strony wirusów makr. Stare wirusy nie działają na nowym oprogramowaniu, ale bardzo szybko cyberprzestępcy dostosowują się do sytuacji i tworzą wirusy makr dla MS Office'a 97.

Szkodniki w Sieci

To jednak nie koniec niespodzianek, które miały miejsce przed 10 laty. Internet stawał się coraz bardziej popularny, więc twórcy wirusów nie mogli przegapić takiej okazji. Powstaje zatem ShareFun - pierwszy wirus rozprzestrzeniający się za pośrednictwem poczty elektronicznej. Miesiąc później, w kwietniu, zostaje wykryty Homer, który jako pierwszy korzysta z protokołu FTP. Rosjanie tworzą natomiast "Esperanto", wirusa, który miał w założeniach być wirusem wieloplatformowym. Jego autorzy chcieli, by atakował systemy DOS, Windows i MacOS. Na szczęście sztuka ta im się nie udała.

W grudniu za to wykryto nowy typ wirusów, które wykorzystywały mIRC. Ich analiza wykazała, że w protokole istnieje poważna luka, którą szybko załatano i pierwsze prymitywne wirusy IRC zniknęły w ciągu pół roku. Zaczęły powstawać jednak coraz bardziej zaawansowane fragmenty kodu, a IRC jest obecnie bardzo popularnym narzędziem wykorzystywanym przez cyberprzestępców głównie do kontrolowania botnetów.

Ostatnia dekada

Robaki, wirusy, konie trojańskie zdążyły stać się komputerową codziennością. Jednym z ostatnich, jak się wydawało, oaz spokoju są sieci wojskowe. Sytuacja zmieniła się gwałtownie w 1998 roku. Podczas incydentu zwanego "Solar Sunrise" atakujący przejęli kontrolę nad 500 systemami komputerowymi należącymi do wojska, rządu i sektora prywatnego USA. Początkowo myślano, że atak nadszedł z Iraku. Szybko jednak okazało się, że jego sprawcami jest dwóch nastolatków z Kalifornii. Niechcący uświadomili oni wojskowym i urzędnikom, jak wielkie zagrożenie niesie ze sobą Internet. Okazało się, że sieci Departamentu Obroni i rządu wcale nie są tak bezpieczne, jak się wydawało.

Niebezpieczeństwo zawisło też nad aplikacjami jak najbardziej cywilnymi. Wykryto wirusa AccesiV, pierwszy szkodliwy kod atakujący MS Access. Fakt ten nie wywołał jednak większego poruszenia. Świat przyzwyczaił się do istnienia wirusów i pogodził z faktem, że głównym celem ataków są aplikacje Microsoftu. Wielkiego poruszenia nie wywoływały ani kolejne, coraz bardziej doskonałe wirusy makr, ani nie wywołał go Triplicate, szkodliwy kod zdolny do zaatakowania Worda, Excela i PowerPointa.

Informacje o wirusach infekujących pliki VBS, a tym samym witryny w Sieci interesowały tylko specjalistów i miłośników komputerów. Przeciętny użytkownik interesował się zagrożeniem tylko wtedy, gdy główne media informowały o nadchodzącym Armageddonie.

Happy99, Melissa i inni - robaki nowoczesneWirus o tej nazwie został uznany za pierwszego nowoczesnego robaka i zapowiedź nowych czasów. Wykorzystywał on program MS Outlook, który stał się standardem poczty elektronicznej. Happy99 dołączał się w formie załącznika do wysyłanych listów, a odbiorcy wyświetlał życzenia noworoczne i pokazywał strzelające sztuczne ognie. "Przebojem" 1999 roku była Melissa, która rozpoczęła działalność 26 marca. Był to pierwszy wirus makra, który potrafił samodzielnie rozpowszechniać się za pomocą Internetu. Nic więc dziwnego, że wywołał wielką epidemię. Na szczęście nie był zbyt skomplikowany i firmy antywirusowe szybko wypuściły szczepionkę. Melissa działała jednak błyskawicznie, a jej ofiarami padły sieci korporacyjne takich gigantów jak Microsoft, Intel czy Lockheed Martin. Straty spowodowane działalnością Melissy oceniono na 80 milionów dolarów.

Amerykanie postanowili złapać sprawcę ataku i bardzo szybko im się to udało. Autorem Melissy okazał się 31-letni David Smith z New Jersey. Sąd skazał go na 10 lat więzienia i 400 000 dolarów grzywny. Był on jedną z pierwszych osób skazanych na karę więzienia za napisanie wirusa.

Rok 1999 został jednak zapamiętany z innego powodu: w mediach pojawiły się informacje o tzw. "problemie roku 2000". Z doniesień prasowych rysował się czarny obraz. Dziennikarze i część ekspertów zapowiadali niemalże koniec cywilizacji. Wskutek zmiany daty systemy komputerowe miały oszaleć, a twórcy wirusów szykowali ponoć potężne uderzenie, które mogło ostatecznie zniszczyć sieci komputerowe. A że podłączone do sieci komputery były odpowiedzialne i za logistykę, i za przesył energii, i za dostawy wody przyszłość miała zdecydowanie czarne barwy.Świat jeszcze istnieje

Zagłada nie nadeszła, co nie znaczy, że rok 2000 był rokiem spokoju. Najpierw zaatakował "I Love You", wirus, który rozprzestrzeniał się podobnie do Melissy. Jak i jego poprzednik kradł hasła i nazwy użytkownika. Ofiarami epidemii padły miliony komputerów, a twórca wirusa, mimo namierzenia go przez władze, nie poniósł żadnych konsekwencji. Był nim bowiem student informatyki z Filipin, a wówczas jeszcze prawodawstwo tego kraju nie przewidywało kar za rozpowszechnianie wirusów czy włamywanie się do komputerów.

Panikę wywołała też nowa wersja kodu Back Orifice, stworzona przez grupę Cult of Death Cow. Na szczęście, więcej było w tym strachu, niż rzeczywistego zagrożenia, gdyż BO2K okazał się łatwy do zwalczenia.

W 2000 roku coraz bardziej popularne zaczęły stawać się wirusy atakujące urządzenia przenośne, ze sławnym trojanem Liberty na czele. Był to pierwszy kod, który czynił szkody systemowi PalmOS. Nie potrafił się on jednak replikować, co mocno ograniczyło infekcję.
Cyberprzestępcy nauczyli się też jak infekować pliki .PIF i stworzyli pierwszego wirusa w języku PHP. Na szeroką skalę zaczęli używać też poczty elektronicznej do rozpowszechniania wirusów. Zainteresowali się też Linuksem. Na system spod znaku pingwina stworzono 37 nowych wirusów i koni trojańskich i tym samym liczba szkodliwego kodu atakującego opensource'owy system wzrosła 7-krotnie, do 43 sztuk. Rok 2000 wyznacza też koniec dominacji wirusów makr i rozpowszechnienie się wirusów skryptowych.

Jednym z najbardziej istotnych wydarzeń był natomiast potężny atak DDoS, w wyniku którego praca Yahoo, eBaya, Amazona i wielu innych wielkich witryn została sparaliżowana na kilka godzin.

Teraźniejszość i przyszłość

W ciągu ostatnich 6 lat mieliśmy do czynienia przede wszystkim ze zjawiskami, które zostały już "zapowiedziane" w latach wcześniejszych. Głównym źródłem infekcji jest poczta elektroniczna, chociaż popularność zdobywają też inne drogi rozpowszechniania wirusów. W 2001 roku cyberprzestępcy zainteresowali się komunikatorami internetowymi i sieciami P2P i próbują za ich pośrednictwem zarażać użytkowników. Szczególnie mocno wykorzystywane są kanały IRC, które służą kontrolowaniu botnetów, czyli sieci komputerów-zombie. Coraz częściej jednak do ich kontroli wykorzystywane są sieci wymiany plików, które zapewniają kontrolującym większą anonimowość i utrudniają likwidację botnetu.

Głównym celem ataków przestał być system operacyjny Windows, a ciężar zainteresowania cyberprzestępców przeniósł się na aplikacje działające pod jego kontrolą. Niemiłą niespodzianką dla użytkowników systemu Mac OS X jest coraz większa liczba ataków na tę platformę, która okazała się mniej bezpieczną, niż sądzono jeszcze przed dwoma laty.

Najbardziej jednak znaczącą zmianą jest powolne zanikanie wielkich epidemii. Zdarzają się one coraz rzadziej, gdyż cyberprzestępcy nie chcą zwracać na siebie uwagi. Jeden z rosyjskich generałów milicji, odpowiedzialny za walkę z cyfrowym podziemiem zauważył, że "niegrzeczni chłopcy zmienili się w biznesmenów". Szkodliwy kod nie jest już tworzony po to, by niszczyć dane czy zdobywać sławę. Ma on służyć zarabianiu pieniędzy, a, jak wiadomo, wielkie pieniądze lubią ciszę.

Dlatego też w nadchodzących latach najbardziej powinniśmy obawiać się botów, czyli automatycznych programów, które postarają się dyskretnie przejąć kontrolę nad naszym komputerem i uczynić go częścią botnetu, który służy do rozsyłania spamu czy przeprowadzania ataków DDoS na konkurencyjne botnety lub firmy, które nie chcą zapłacić za "cyfrowy spokój". Specjaliści przewidują też wzrost popularności rootkitów, które staną się standardowym narzędziem cyberprzestępców. Na szczęście będzie dostępnych też coraz więcej narzędzi chroniących przed tego typu kodem.

Gwałtownie rozwija się czarny rynek, na którym sprzedawane są informacje o lukach i dane osobowe. Należy więc spodziewać się coraz większej liczby wykrywanych dziur i, co niewykluczone, coraz większej liczby ataków typu zero-day.

Tak popularna w ostatnich latach kradzież tożsamości czy danych finansowych stanie się coraz bardziej powszechna i wzrośnie liczba witryn, których celem będzie wyłudzanie haseł i nazw użytkownika do serwisów społecznościowych. Wiele osób wykorzystuje bowiem te same hasła do logowania się w różne miejsca. W najbliższym czasie powinniśmy spodziewać się również gwałtownego wzrostu liczby szkodliwego oprogramowania atakującego urządzenia przenośne, a cyberprzestępcy spróbują zapewne umieścić szkodliwy kod w formatach wideo. Serwisy w rodzaju YouTube czy MySpace są bowiem zbyt łakomym kąskiem, by nie spróbować z niego skorzystać.

Przyszłość nie rysuje się więc w różowych barwach. Ale... wcześniej też się nie rysowała i... Sami wiecie.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)