tech n o lo g i e C Y B E R P R Z E S T Ę P C Z O Ś Ć Wirus komputerowy ma 25 lat! 1986 – pierwszy wirus dla PC – Brain 1987 – wirus Vienna resetuje komputery 1989 – wirus Dark Avenger niszczy losowo wybrany sektor dysku 1990 – pierwszy polimorficzny wirus Chameleon, wirus 4K/4096, który ukrywa się w systemie 1991 – powstawanie masowych infektorów, szybko zarażających dyski sieciowe Novell Netware 1992 – 6 marca aktywował się wirus Michelangelo, mimo ochrony zaatakował ponad 20 tysięcy komputerów. 1992 – narzędzia do tworzenia wirusów – Virus Maker, Virus Creation Laboratory, Virus Mega Toolkit 1993 – wirusy ukrywające się w systemach są coraz popularniejsze – Monkey i One_half 1995 – Concept – pierwszy makrowirus infekujący dokumenty programu Microsoft Word 1998 – wirus Marburg zostaje omyłkowo wydany na płytach CD razem z grami 1998 – CIH/Czarnobyl – wirus, który masowo niszczył sprzęt, w tym przypadku BIOS 1999 – Happy_99 – pierwszy wirus rozprzestrzeniający się za pomocą poczty elektronicznej 2000 – wirusy automatycznie rozsyłające zarażone dokumenty, na przykład Melissa 2001 – wirusy korzystające z socjotechniki (Iloveyou/Love Letter) oraz automatyczne szybkie infektory internetowe (Code Red, Sasser) 2002 – koniec epoki rozsyłania spamu przez serwery open relay 2003 – Fizzer – pierwszy komercyjny wirus, służył do rozsyłania spamu 2003 – dalszy rozwój znanej technologii wirusów (Sobig, Mydoom, SDBot, Bagle, Netsky), robaki sieciowe – SQL Slammer 2003 – powszechne wykorzystywanie luk w przeglądarce Internet Explorer do instalacji wirusów 2004 – Cabir – pierwszy wirus atakujący telefony komórkowe firmy Nokia z systemem Symbian S60 2005 – Sony BMG – pierwszy komercyjny rootkit umieszczany przez legalną firmę, rootkity są wykorzystywane do kradzieży klasyfikowanej informacji 2006 – wirus Storm, pojawienie się fałszywych programów antywirusowych 2007 – wirusy wyposażone w moduły analizy własnego kodu, by usprawniać ich działanie 2008 – ataki Confickera 2009 – wykorzystywanie luk we wtyczkach przeglądarek (Adobe Flash, Reader, Sun Java), co trzeci komputer w botnecie ZeuS/Zbot to maszyna firmowa, rynek podziemny wydaje EULA dla wirusów, pojawia się usługa wynajmowania przejętych komputerów 2010 – popularyzacja wirusów dla innych platform niż PC z Windows, działania internetowej przestępczości zorganizowanej 2011 – analiza wirusa Stuxnet, który okazał się narzędziem cybernetycznej wojny Wirtualne pole walki Obecnie tworzenie wirusów to działalność komercyjna, która zamieniła się w cybernetyczne pole bitwy. Biorą w niej udział żołnierze internetowi wspierani przez wysłanników państw. K iedy powstawały pierwsze Marcin Marciniak wirusy komputerowe, nie myślano w ogóle o pecetach, firma Microsoft rozpoczynała dopiero swój rozwój. Początkowo były to wirusy, które roznosiły się w środowisku maszyn typu UNIX – pierwszym skutecznym wirusem, był Morris Worm. Gdy komputery PC zyskały dużą popularność, pojawiły się wirusy dla systemu MS-DOS. Jednym z nich był Brain (styczeń 1986 r.), który zmieniał etykietę dyskietki 5 ¼’’ o powszechnej wtedy pojemności 360 kB. Humor, audio, wideo i plotki Twórcy wirusów pisali kod dla własnej radości lub sławy i umieszczali procedury wyświetlające komunikaty, grafikę lub odtwarzające dźwięki. Przykładem jest wirus Den Zuk, który wyświetlał logo, był także wirus Flaga.4004, wyświetlający polską flagę. Niekiedy wirusy wyświetlały komunikaty błędów, począwszy od typowych zgłoszeń systemu MS-DOS, skończywszy na humorystycznych, np. „W stacji dyskietek A: są dwie dyskietki” lub „Podłącz podajnik papieru toaletowego do drukarki”. Efektami dźwiękowymi były zazwyczaj melodyjki – tak działał Yankee Doodle. Fakt odtwarzania znanej melodii przez wirusa do tego stopnia wbił się w świadomość użytkowników komputerów, że wydanie gry North & South firmy Infogames wiązało się z pierwszym oszustwem (hoax) w Polsce. Plotka głosiła bowiem, że gra ta zawiera wspomnianego wirusa, a naprawdę tylko odtwarzała tę samą melodię. Był to rok 1990. W tym samym czasie na Politechnice Warszawskiej napisano pierwsze- Partnerem tematu jest 36 computerworld 23 sierpnia 2011 go wirusa, który odgrywał prostą melodię, przesuwając odpowiednio karetkę popularnej drukarki igłowej firmy OKI. Były także wirusy odtwarzające próbki głosu, na przykład Cysta.8045 (Rycho). Marburg, wyświetlający losowo ikony błędu (czerwony krzyżyk) na ekranie, stał się słynny dlatego, że jako pierwszy wirus pojawił się na tłoczonych w 1998 r. płytach CD: na fabrycznym nośniku gry MGM/EA „Wargames” oraz na płytach czasopism „PC Power Play” i „PC Gamer Magazine” w kilku krajach. Niszczenie danych Wiele wirusów nie koncentrowało się na odgrywaniu dźwięków i wyświetlaniu komunikatów, ale niszczyło dane. Początkowo resetowały one komputery (wirus Vienna z 1987 r.), później zaczęły niszczyć pliki wykonywalne (jednym z pionierów był izraelski wirus Suriv). Na celowniku twórców były popularne aplikacje, takie jak AutoCAD (uruchomienie ACAD.EXE powodowało szybsze niszczenie danych), edytory tekstu (ChiWriter, Word 2.0), a także całe dyski (wirus Dark Avenger). Polski wirus gada z głośnika Jednym z ciekawszych wirusów odtwarzających dźwięki był polski produkt o nazwie Cysta.8045 (Rychu). Wirus co pewien czas wybierał jeden z czterech zapisanych tekstów, które odtwarzał przez głośnik PC (nie potrzebował do tego karty dźwiękowej). Trzy z tych tekstów miały obsceniczny charakter, czwarty nawoływał „Precz z Wałęsą”. Wirus ten roznosił się przez infekcje dyskietek, w ten sposób zarażając kolejne komputery, apogeum jego działania przypadało na początek lat 90. Wirus ten był nieznany poza Polską. ATENA C Y B E R P R Z E S T Ę P C Z O Ś Ć tech n o lo g i e Obecnie coraz mniej wirusów niszczy dane, gdyż zmienił się cel wykorzystywania złośliwego kodu – zamiast rozrywki, sławy lub dowcipów, jest to działalność stricte komercyjna, polegająca na kradzieży informacji. Działanie lokalne Zanim nastała era Internetu, wirusy roznoszone były na dyskietkach 5 ¼ oraz 3,5 cala. Opracowano przy tym mechanizmy efektywnego zarażania różnych dysków. Przykładem może być W32.Parite czy choćby Marburg – do infekcji wystarczyło otwarcie pliku lub nawet możliwość dostępu w lokalnej sieci. Ówczesne antywirusy (np. mks_vir Marka Sella) dobrze radziły sobie z coraz to nowymi wirusami, gdyż zagrożenia miały lokalny charakter i dystrybuowane były powoli. Niekiedy twórców można było określić po zgłoszeniach infekcji – tak wykryto grupę hackerów z południa kraju, którzy utworzyli „zagłębie wirusów”. Do ochrony wystarczała wtedy miesięczna subskrypcja antywirusa na dyskietkach przesyłanych pocztą. Gdy upowszechniła się poczta elektroniczna, powstał szybki kanał komunikacji, który sprawił, że dyskietki odeszły do lamusa. Razem z nimi pożegnaliśmy także wirusy, które infekowały sektory startowe oraz inne ważne miejsca tego nośnika. Różne media Plagą z połowy lat 90. były makrowirusy programu Microsoft Word. Najpopularniejszym edytorem był Word 6.0 dla Windows 3.x, który nie miał ochrony przed wykony- waniem kodu VBA w dokumentach, zatem znacząca większość przesyłanych plików DOC zawierała makrowirusa. Gdy Microsoft wprowadził możliwość wyłączenia makr, znaczenie makrowirusów zaczęło zanikać. Ponieważ komputery miały już bezpośrednie połączenia przez Internet, powstały kolejne wirusy, które tym razem roznosiły się w bezpośrednim połączeniu TCP/IP, ale niektóre z nich potrafiły wykorzystać różne wektory – przykładem może być Conficker lub Storm. Razem z przeniesieniem do Internetu działalności komercyjnej i rozwoju bankowości elektronicznej pojawiły się wirusy, które mają na celu zarabianie pieniędzy przez kradzież danych. Jest to obecnie największa część przychodów internetowego podziemia. Ponieważ sieci komputerowe są wykorzystywane w instytucjach rządowych i publicznych, można stwierdzić, że w walkę w Internecie zaangażowano znaczne siły, wliczając specjalistów, którzy mają poparcie agencji rządowych różnych państw. Jednym z najnowszych i najbardziej skomplikowanych wirusów był Stuxnet, który stał się narzędziem walki – miał porazić instalację produkcji materiałów rozszczepialnych i spowolnić rozwój irackiego programu nuklearnego. Nowością były także zmasowane ataki odmowy obsługi kierowane przeciw różnym firmom i portalom (w tym także serwisowi Gazeta.pl), a nawet sieciom całych krajów (Estonia). Widać wyraźnie, że Internet stał się nie tylko medium komunikacji, jest także polem walki. komentarz Wirusy są coraz bardziej skomplikowane i mają zaawansowane mechanizmy obronne, takie jak polimorfizm czy szyfrowanie złośliwego kodu. Większość wektorów ataku zostaje skutecznie zablokowana poprzez oprogramowanie antywirusowe oraz systemy IPS/IDS. Celem ataków nie są już dane na pojedynczych komputerach, obecnie zdobywa się komputery masowo, umożliwiając tym samym przeprowadzanie rozproszonych i anonimowych ataków na ściśle określony cel, np. serwery instytucji rządowych. Rozpowszechnienie dostępu do Internetu znacząco ułatwia infekcję, a przede wszystkim po zainfekowaniu maszyny ofiary umożliwia natychmiastowe przejęcie nad nią kontroli. Do sieci na stałe wpięte są nie tylko komputery osobiste i telefony, ale także systemy automatyki. Przejęcie kontroli nad tymi urządzeniami daje nieograniczone możliwości cyberprzestępcom. W celu efektywnego odpierania zagrożeń obecnego świata Internetu należy stosować jak najwięcej mechanizmów zabezpieczających działających w odmienny sposób. Wciąż jedną ze skuteczniejszych metod obrony jest świadomość i zdrowy rozsądek użytkowników, które także stają się popularnym wektorem ataku. Tomasz Nowakowski, specjalista ds. systemów, Biuro Architektury i Infrastruktury, ATENA Usługi Informatyczne i Finansowe sp. z o.o. computerworld 23 sierpnia 2011 37