Szpetni dwudziestoletni

Wirusy, robaki, trojany i szpiedzy to dzisiaj codzienność. Cyberprzestępczość to zjawisko nowe, ale pierwsze wirusy są niemal tak stare, jak same komputery.

Historia wirusów komputerowych sięga niemal początków informatyki. Już pierwsze komputery wykorzystywały małe programy mogące się replikować, a teoretyczne podstawy działania wirusów opisano już w roku 1949! Jednak prawdziwy wirus atakujący komputery PC powstał w roku 1986. Brain, napisany przez dwóch braci z Pakistanu, jest równolatkiem PC Worlda! Infekował bootsektor dyskietek, a co ciekawe, zawierał także informacje reklamowe (o usługach informatycznych świadczonych przez wspomnianych braci), czyli był jednocześnie pierwszym programem typu adware. Również w roku 1986 powstał pierwszy trojan atakujący pecety. Był to PC-Write Trojan, podszywający się pod popularny wówczas edytor tekstów PC-Write nasze.

Pechowy piątek, trzynastego

W roku 1987 pojawił się pierwszy wirus zawierający procedury destrukcyjne. Był to Stoned, infekujący i niszczący bootsektor dysku lub dyskietki. Prawdziwa epidemia wybuchła jednak rok później, kiedy pecety na całym świecie zostały zainfekowane wirusem Jerusalem. Aktywował się, gdy czasomierz w komputerze wskazywał, że jest piątek, trzynastego. Uaktywniony wirus zarażał pliki wykonywalne COM oraz EXE i niszczył programy uruchamiane feralnego dnia. Jerusalem po uruchomieniu działał jako program rezydentny, nawet gdy zainfekowana aplikacja została zamknięta.

Jerusalem dał początek całej rodzinie, która stała się jednym z najbardziej rozpowszechnionych zagrożeń w czasach DOS-u. Poszczególne wersje wirusa różniły się znacznie, aktywowały w różnych dniach, niektóre w ogóle nie zawierały procedur destrukcyjnych lub tylko wyświetlały komunikat o infekcji. Wirus występował pod wieloma nazwami, m.in. Friday13th, BlackBox, BlackWindow, Israeli. Liczba infekcji - na początku lat 90. jeden komputer na 10 tysięcy był zarażony Jerusalem. Pod koniec dekady liczba infekcji znacznie się zmniejszyła, przede wszystkim z powodu upowszechnienia się twardych dysków i spadku popularności dyskietek, a także coraz częstszego stosowania programów antywirusowych w domowych komputerach.

W roku 1988 nastąpił pierwszy atak robaka internetowego, nazwanego po prostu Internet Worm (lub też Morris Worm od nazwiska jego twórcy Roberta Morrisa, obecnie szanowanego naukowca z MIT). Programy działające na podobnej zasadzie, czyli rozprzestrzeniające się przez Internet, znane były już wcześniej. Testowe prototypy powstały już na początku lat 80. w laboratoriach Xeroksa. Odpowiadały definicji robaka internetowego, tzn. przenosiły się z komputera na komputer w sieci, ale nie zawierały procedur destrukcyjnych, przeciwnie - wykonywały pożyteczne zadania, np. dostarczały komunikaty. Internet Worm z roku 1988 był niezwykle groźny, chociaż - jak wspomnieliśmy - niebezpieczeństwo wynikało z błędu w kodzie programu. Atakował systemy Unix na komputerach połączonych z Internetem. Wykorzystywał protokół TCP/IP, dziury w systemie operacyjnym i typowe błędy administratorów, aby kopiować się przez Sieć.

Internet Worm okazał się niesłychanie groźny - w ciągu kilku godzin zaatakował tysiące komputerów w ośrodkach naukowych w Stanach Zjednoczonych. Jak na dzisiejsze standardy, był dość powolny - naukowcy amerykańscy zdążyli telefoniczne ostrzec kolegów z innych krajów, którzy dosłownie powyrywali kable sieciowe z gniazdek. Epidemia została dość szybko opanowana, przede wszystkim dzięki błyskawicznemu łataniu dziur w systemach operacyjnych.

W końcu lat 80. napisano pierwsze programy antywirusowe. W 1984 powstała firma Norman, w 1985 - Sophos, w 1988 - Trend Micro. W Polsce w roku 1987 Marek Sell pisze mks_vir, trzy lata później pojawia się Norton AntiVirus. Oprogramowanie ochronne staje się jedną z ważniejszych gałęzi przemysłu informatycznego.

Na początku lat 90. gwałtownie wzrosła liczba nowych wirusów, w tym polimorficznych, które pojawiły się jako odpowiedź na programy antywirusowe. Wirus polimorficzny zmienia swój kod za każdym razem, gdy tworzy nową kopię. Składa się z części zaszyfrowanej, z rzeczywistym kodem wirusa, oraz części z procedurami deszyfrującymi, które wyglądają inaczej w każdej kopii, co utrudnia wykrycie zagrożenia. Programy antywirusowe bardzo szybko nauczyły się walczyć również z wirusami polimorficznymi. Najczęściej stosowana jest tzw. emulacja: podejrzany program jest uruchamiany w specjalnym środowisku, a gdy rozpocznie się deszyfrowanie właściwego wirusa, jest on rozpoznawany tak jak inne zagrożenia.

Wiele hałasu o nic

Na początku roku 1992 pojawił się Michelangelo. Wzbudził histerię w mediach, które zapowiadały wirusową apokalipsę, nawet 5 milionów infekcji, na 6 marca (dzień urodzin Michała Anioła). W rzeczywistości straty spowodowane uaktywnieniem feralnego dnia procedur destrukcyjnych wirusa były niewielkie - kilka tysięcy zainfekowanych komputerów. Dodatkowe zamieszanie spowodowało kilku producentów PC ze Stanów Zjednoczonych, wypuszczając na rynek pojedyncze serie komputerów zainfekowanych Michelangelem.

Medialny szum miał swoją dobrą stronę - znajomość zagrożeń związanych z wirusami i sposobów ochrony za pomocą odpowiednich programów stała się niemal powszechna. To jeden z nielicznych wypadków, gdy zyski (wiedza użytkowników) znacznie przewyższyły realne straty spowodowane infekcjami.

Znacznie groźniejszy okazał się CIH/ Czarnobyl, który wyruszył na wojnę z danymi użytkowników w 1998 roku. To jeden z najbardziej odpornych wirusów plikowych. Do dzisiaj są komputery i pliki nim zainfekowane (chociaż niektóre firmy antywirusowe twierdzą, że nie ma go już "na wolności"). CIH zaskoczył wszystkich. Napisany przez Tajwańczyka Chen Ing Hau długo rozprzestrzeniał się bez żadnych objawów. Znalazł się nawet w oficjalnym uaktualnieniu firmware do twardych dysków oraz podobnie jak Michelangelo, w serii komputerów skierowanych do sprzedaży. Wirus zaktywizował się 26 kwietnia 1999 roku (w rocznicę awarii w Czarnobylu) i okazał się, że jest nie tylko mocno rozpowszechniony, ale i niezwykle groźny. Procedura destrukcyjna uszkadzała bootsektor twardego dysku i atakowała BIOS komputera, trwale wyłączając wiele maszyn z użytku.

W roku 1995 pojawił się nowy typ zagrożeń - makrowirusy, wykorzystujące zaawansowane skrypty, które można osadzać w dokumentach tworzonych w pakietach biurowych. Podatne na nie były zwłaszcza dokumenty Worda i Excela. Umieszczenie w skryptach Visual Basica (w którym to języku zapisywane są makropolecenia w pakiecie Office) procedur kopiujących kod makrowirusa do innych plików to proste zadanie nawet dla początkującego programisty. Makrowirusy okazały się na tyle groźne, że już w Office 97 pojawiły się pierwsze zabezpieczenia przed nimi, np. blokowanie wszelkich makropoleceń w dokumentach. Sęk w tym, że użytkownicy często blokadę wyłączali.

Robak zamiast miłości

Przełom wieków przyniósł kilka światowych epidemii robaków sieciowych. Jedną z największych i najważniejszych spowodowała Melissa, połączenie makrowirusa (infekowane były dokumenty Worda) i robaka sieciowego (rozprzestrzeniała się pocztą elektroniczną). Co ciekawe, zarażała jedynie dokumenty Worda 97 i Worda 2000, a dalsze rozsyłanie było możliwe tylko przy użyciu Outlooka. Mimo to robak noszący imię tancerki erotycznej z Florydy błyskawicznie rozprzestrzenił się na cały świat. Autor Melissy, David L. Smith, został zatrzymany, osądzony i skazany na 20 miesięcy więzienia oraz 5 tysięcy dolarów grzywny słowo.

Podobnie działał LoveLetter, łączący kilka efektywnych sposobów ataku. Rozprzestrzeniał się pocztą elektroniczną, jego kod umieszczony był w pliku VBS (Visual Basic Script). Autor robaka wykorzystał dwie charakterystyczne cechy Windows. Po pierwsze, dwukrotne kliknięcie pliku VBS powoduje jego uruchomienie, a więc wykonanie skryptu. Po drugie, robak ukrywał się w załącznikach o podwójnych rozszerzeniach, np. .txt.vbs. Windows domyślnie ukrywa rozszerzenia plików, dlatego .txt.vbs widoczne będzie jako .txt. Wielu użytkowników nabiera się na ten prymitywny trik i otwiera plik w przekonaniu, że ma do czynienia z bezpiecznym plikiem tekstowym. LoveLetter udawał... list miłosny i zaskakująco dużo osób dało się skusić korespondencji rzekomo od kolegi czy koleżanki (bo robak rozsyłał się, korzystając z książki adresowej Outlooka). Ponadto LoveLetter instalował w systemie program do przechwytywania haseł użytkownika (w folderze systemowym pojawiał się plik win-bugsfix.exe). Był to najkosztowniejszy atak wirusowy - straty spowodowane atakiem LoveLetter szacuje się na 10 miliardów dolarów.

Już w obecnym stuleciu powstało wiele robaków sieciowych wykorzystujących błędy w oprogramowaniu, przede wszystkim w programach pocztowych i przeglądarce internetowej. Tak działały BubbleBoy i Kakworm, którym błąd w Internet Explorerze pozwalał automatycznie uruchamiać szkodliwy kod - nawet najbardziej uważny użytkownik był bezradny, jeśli nie aktualizował regularnie oprogramowania i nie instalował wszelkich publikowanych łatek. Robakiem, który bardzo skutecznie wykorzystał dziurę w oprogramowaniu, był Blaster. Zaatakował w 2003 roku, używając tzw. metody przepełnienia bufora w zdalnym wywołaniu procedury (RPC), znanym błędzie Windows 2000/XP. Ponieważ znaczna część użytkowników nie zainstalowała odpowiedniej łatki, bez trudu zainfekował ogromną liczbę komputerów. Przenosił się tylko za pośrednictwem komputerów z 32-bitowym Windows 2000/XP, ale mógł destabilizować także Windows NT/XP 64-bitowy i Windows Server 2003.