БЕЗОПАСНОСТЬ
В нынешнем году компьютерный мир отмечает своеобразный юбилей: двадцать лет назад была зафиксирована первая глобальная вирусная эпидемия среди IBM-совместимых компьютеров. Для того чтобы поразить множество сетей, вирусу Brain тогда потребовалось несколько месяцев. Вообще история компьютерных вирусов и хакерских взломов весьма интересна и полна невидимых схваток - как между вирусописателями (за титул “самого-самого”), так и между ними и производителями антивирусных средств (а это уже из вечных тем борьбы добра и зла).
Первые атаки, первые отражения
Первые вирусы были примитивны и спокойны. К примеру, тот же Brain был написан в Пакистане в 1986 г. 19-летним программистом Баситом Фаруком Алви и его братом Амжадом, не придумавшими ничего умнее, как оставить в теле вируса текстовое сообщение, содержащее их имена, адрес и телефонный номер, по которым их и отыскали. Надо отдать братьям должное: кроме заражения загрузочных секторов и изменения меток (label) дискет, других данных вирус не портил.
В 1987 г., после появления очередного вируса Vienna, известный программист Бернт Фикс “препарировал” это зловредное творение, а другой не менее талантливый программист Ральф Бюргер опубликовал дизассемблированный код Vienna в своей книге под названием “Компьютерные вирусы: болезнь высоких технологий” (“Computer Viruses: A High Tech Desease”). Там Бюргер представил все данные о структуре вируса, конечно, в чисто научных целях. Он даже слегка модифицировал код вируса, уменьшив его способности к размножению. Однако “процесс пошел” - получилось так, что книга популяризировала идею написания вирусов, объяснила, как это делается, и таким образом послужила толчком к написанию тысяч компьютерных зловредных программ.
Перед Рождеством 1987-го произошла первая известная повальная эпидемия сетевого вируса Christmas Tree, написанного на языке REXX и распространявшего себя в операционной системе VM/CMS. При запуске вирус выводил на экран изображение рождественской елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в системных файлах NAMES и NETLOG.
Год 1988-й вошел в летопись компьютерных заражений вместе с эпидемией вируса Jerusalem, который каждую пятницу, выпадающую на 13-е число, уничтожал все файлы, запускаемые на атакованном компьютере. В 1988-м этой черной датой стало 13 мая.
Примерно тогда же начали создаваться первые компании - разработчики антивирусного программного обеспечения. Как правило, это были маленькие полулюбительские фирмы, чаще всего состоявшие из двух-трех человек. Их антивирусные программы представляли собой простейшие сканеры, использовавшие контекстный поиск для обнаружения уникальной последовательности кода вируса. Наряду со сканерами большой популярностью пользовались иммунизаторы, модифицировавшие программы так, что вирусы считали их уже зараженными и не трогали.
В ноябре 1988 г. “грянул гром”: из-за сетевой атаки “червя Морриса” была остановлена работа как минимум половины существовавшего тогда Интернета. Сетевой червь заразил более 6000 компьютерных систем в США, включая исследовательский центр NASA, и практически парализовал их работу.
Атаки широким фронтом
В 1989-м наступило “пятнадцатилетие хаоса” - вирусные эпидемии только нарастали. В начале года вирус Datacrime кроме банального размножения и визуальных эффектов на мониторах, как это было раньше, стал инициировать низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.
Начало 90-х принесло миру новые потрясения. Появились полиморфные вирусы, в которых отсутствует постоянный вирусный код. Для поиска и нейтрализации таких программ был создан эмулятор процессора для дешифрации кодов. Сегодня эта технология стала неотъемлемым атрибутом каждого антивирусного продукта.
Другой “черной меткой” года стал тот факт, что все большую значимость приобретали файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы MS-DOS на самом популярном компьютере - IBM PC. В дополнение к этому “продвинутые старшие товарищи” в помощь молодым хакерам выпускают конструкторы вирусов VCL и PS-MPC - создать вредоносную программу стало проще простого.
В 1994-м все большее значение приобретает проблема заражения компакт-дисков. Быстро завоевав популярность, этот тип носителей оказался одним из основных путей распространения вирусов. Было зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии “компактов” прямо на заводе. В 1995 г. отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo.
В 1996 г. можно отметить два заметных события: появился первый вирус для операционной системы Windows 95 - Boza и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым. Вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпустили конструкторы макровирусов соответственно для немецкой и английской версий MS Word, положив начало эры “вирусов в документах”.
В 1997 г. появляется первый вирус для операционной системы Linux - вирусы заняли еще одну “экологическую” нишу. Развитие технологии Internet Relay Chat (mIRC) определило интерес к ней со стороны вирусописателей - поток вредоносных программ для mIRC не заставил себя ждать.
В 1998-м помимо вирусов на арену выходят многочисленные троянские программы, ворующие пароли доступа в Интернет (семейство PSW), и утилиты скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg. А разразившаяся в I квартале года эпидемия семейства вирусов Win32.HLLP.DeTroie заставила аналитиков отметить новую тенденцию: вирус не только заражал выполняемые файлы Windows32, но и передавал своему “хозяину” информацию о зараженном компьютере через Интернет. В середине года разразилась эпидемия вируса Win95.CIH, ставшая не просто массовой, но глобальной. Ее начало было зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции.
Следствием развития VBScript стало появление полноценного HTML-вируса - HTML.Internal. Было уже очевидно, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений и дело идет к созданию полноценного сетевого вируса-червя, способного использовать возможности MS Windows и Office, заражать удаленные компьютеры, веб-серверы и активно распространяться по электронной почте.
Количество глобальных компьютерных эпидемий начало нарастать на рубеже тысячелетий. Две из них произошли в 1999-м. Одна была связана с интернет-червем Happy99 (также известным как Ska), другая - с программой Melissa, первым макровирусом для MS Word, сочетавшим в себе также и функциональность интернет-червя. Сразу после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым пятидесяти найденным адресам свои копии. Подобно Happy99, вирус Melissa делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. Убытки компаний исчислялись десятками миллионов долларов: администраторы были вынуждены отключать корпоративные серверы электронной почты.
В самом начале лета 1999 г. грянула эпидемия опасного интернет-червя ZippedFiles (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений. “Капитально отметился” и вирус Babylonia. Он оказался первым вирусом-червем с функциями удаленного самообновления. После установки на компьютер пользователя червь ежеминутно пытался соединиться с сервером, находящимся в Японии, и загрузить оттуда список вирусных модулей.
2000-й начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio (популярное приложение для создания диаграмм и блок-схем), которые “поддались” зловредной программе Inta, разработанной подпольной группой 29A. А 5 мая грянула попавшая в Книгу рекордов Гиннесса эпидемия скрипт-вируса LoveLetter. Наивные пользователи даже не представляли себе, что в “безобидных” файлах VBS, замаскированных под еще более безобидные TXT, может находиться исключительно опасный вирус, который сразу после запуска уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook.
В августе того же года была идентифицирована Liberty - первая вредоносная программа класса “Троянский конь” для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске троян просто стирал файлы, но не имел никаких способностей к саморазмножению.
Именно с этого года главным средством транспортировки вирусов стала электронная почта. Согласно статистике службы технической поддержки “Лаборатории Касперского”, около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов через этот канал.
В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами вирусных хит-парадов были макро-, а позднее скрипт-вирусы и черви. Однако уже осенью 2001-го около 90% зарегистрированных случаев заражения компьютеров, по данным “Лаборатории Касперского”, были вызваны Windows-червями. В 2002-м появились новые модификации червей - им “понравилось” обитать в киберпространстве. За год было зафиксировано целых три эпидемии подобных вирусов - Klez, Lentin и Tanatos (также известен как Bugbear). Все они использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer, и в целом на них пришлось более 85% всех инцидентов.
Направление главного удара
В настоящее время ситуация с массовыми “поделками” компьютерных вирусов более-менее взята под контроль. Как отмечает Сергей Антимонов, председатель совета директоров компании “ДиалогНаука”: “Если в 2004 г. мы фиксировали около пятидесяти серьезных эпидемий, то в 2005-м всего десять и ноль - за первое полугодие 2006-го. Причем подкосили вирусные эпидемии не технологические меры, а новые, более жесткие законы против киберпреступности с суровым наказанием и реальными тюремными сроками, осведомленность пользователей о правилах компьютерной гигиены, а также серьезный подход к обучению специалистов, отвечающих за безопасность информации и защиту данных в компаниях и государственных организациях”.
Были и яркие акции. К примеру, Microsoft и SCO предлагали крупные денежные вознаграждения за информацию об известных вирусописателях. В частности, соученики Свена Яшана, 18-летнего немца, автора вирусов Sasser и Nesky, “сдали” его за 250 тыс. долл. Молодые программисты всего мира поняли этот знак: писать вирусы не забава, это может привести к большим неприятностям и краху едва начавшейся карьеры.
Однако на смену “романтикам” пришли финансово мотивированные группы вирусописателей и спамеров, которые своими разработками добывают деньги. Им не нужны шумные эпидемии. Они делают “штучный товар”: троянские программы, программы-шпионы, атакующие конкретные объекты - компании и частных лиц - с четко обозначенными намерениями (кража данных кредитных карт, паролей и т. д.). Число эпидемий уменьшилось, но растет количество эффективного адресного вредоносного кода; меньше создается вирусов или червей, но больше - троянских программ, программ-шпионов... Успокаиваться нам рано.
С автором можно связаться по адресу: mb@viem.ru.
