Včera jsme oslavili jedno kulaté a vlastně docela smutné výročí. 19. ledna uplynulo rovných třicet let do chvíle, kdy se světem PC začal šířit první moderní virus. Jmenoval se Brain a pro leckoho může být překvapením, že se nezrodil na žádném špičkovém pracovišti západního světa, ale v pákistánském Láhauru.
Srdečné pozdravy z Pákistánu
Na svědomí jej měli bratři Alviové a dá se říci, že je to zároveň prvopočátek počítačového spamu a internetové reklamy, smyslem viru totiž nebylo nic jiného než upoutávka na jejich stejnojmennou firmu Brain Computer.
Virus napadal zaváděcí sektor operačního systému DOS na počítačích standardu IBM PC, které v druhé polovině 80. let začaly dobývat svět, a tak šíření Brainu ještě urychlily. Virus se usadil v zavaděči operačního systému, změnil název diskové jednotky a zanechal po sobě stopu v podobě několika variant textu.
Kód Brainu obsahoval tento podpis
Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination............
$#@%$@!!
To bylo vše. Brain neměl za úkol cokoliv ničit, a jelikož i samotná počítačová legislativa tehdy byla ještě v naprostých plenkách, jedinou nepříjemností pro jeho autory byly zahlcené telefonní linky. bratři Alviové nakonec z popularity vytěžili maximum a stali se klíčovým hráčem třeba při zavádění prvních internetových služeb v zemi včetně e-mailu. Jejich firma pod názvem Brain Telecommunication funguje dodnes.
Creeper, Reaper a válka červů ze 70. let
Brain byl sice prvním známým a úspěšně se šířícím virem na platformě PC, nicméně malware jako takový tu byl již roky před ním. Teorii virů ostatně pospal již v roce 1949 samotný John von Neumann v článku Theory of self-reproducing automata (PDF) a v praxi ji v roce 1971 proměnil Bob Thomas, když do sítě Arpanet vypustil experimentální program Creeper, který je dnes považovaný za první počítačový virus.
Creeper se skrze prainternet šířil z jednoho počítače na druhý, přičemž na každém zobrazil zlověstnou hlášku „I'm the creeper, catch me if you can!“ To bylo vše. Neměl rozhodně cokoliv ničit, ale jen ověřit samotný princip šíření.
Sálový počítač řady PDP-10. Právě na něj se zaměřoval program Creeper
O rok později se na scéně objevil jeho protipól Reaper. I v tomto případě se jednalo o autonomního červa, který se šířil skrze Arpanet, ovšem jeho úkolem bylo naopak ničit původního Creepera a jednalo se tedy o první antivirový program. Svým způsobem tedy na počátku 70. let vypukla velká červí válka, která svým způsobem trvá dodnes, protože i nyní se sítí vedle těch zlých šíří i hodné viry, které se je pokoušejí ničit. Jelikož se však v obou případech jedná o ilegální zásah do počítačového systému, identita tvůrců není vždy zcela jasná, a antivirové společnosti tak spoléhají v klasické antiviry, které mohou ostatně prodávat, což by bylo u hodných virů docela komplikované.
Jeruzalémský ničitel
Zpět ale do osmdesátých let. Pokud byl Brain pouhou a dnes lehce sentimentální reklamou, to co přišlo v následujících měsících a letech, již předznamenávalo, že bude malware nedílnou a krajně nebezpečnou součástí počítačové éry.
V říjnu 1987 se tak začal šířit třeba virus Jeruzalém, který se aktivoval každý pátek třináctého. Tím prvním byl 13. květen roku 1988, kdy se již skrze diskety a další média dostal Jeruzalém na počítače po celém světě a mohl drtivě udeřit – začít mazat všechny dostupné programy na počítači.
Unixový Morris a zrod týmu CERT
Ačkoliv se dnes většina virů zaměřuje především na nejrozšířenější platformu Windows, v 80. letech byl trh mnohem barevnější a na scéně se objevovaly viry prakticky pro jakýkoliv operační systém počínaje MS DOS a konče počítači Amiga a Unixem.
Právě na unixovém systému se v roce 1988 ve velkém prosadil červ Morris z pera studenta Cornellovy univerzity Roberta Morrise. Unixový červ byl první zmapovaný moderní virus, který již cíleně útočil skrze internet, podle svého autora jej měl totiž především změřit – cestovat z jednoho internetového stroje na druhý. Samotný program údajně neměl dělat žádné potíže, jenže se stal pravý opak.
Robert Morris v době, kdy zablokoval mladý internet a později jako úspěšný akademik a investor
Morris udělal v kódu viru několik kritických chyb, které zahltily operační systém a prakticky jej zastavily. Jelikož se Morris šířil skrze síť velmi rychle, napáchal škody ve výši až deseti milionů dolarů a Robert Morris byl jako jeden z prvních amerických hackerů odsouzen podle čerstvé legislativy na potírání počítačové kriminality k tříleté podmínce, 400 hodinám veřejně prospěšných prací a tučné pokutě.
Případ Morris se dočkal v zámoří ohromné publicity a přinutil agenturu DARPA zřídit bezpečnostní centrálu CERT/CC (Computer Emergency Response Team Coordination Center), která se později stala modelem pro další bezpečnostní týmy po celém světě, které dnes evidují počítačové hrozby. A jak dopadl samotný Robert Morris? Dostudoval a získal Ph.D., stal se profesorem na MIT, podniká a investuje.
Nástup polymorfních virů
V průběhu devadesátých let se na scéně objevil zástup antivirových společností, a viry tak musely být stále důmyslnější. Zrodili se tzv. polymorfní červi – třeba experimentální 1260, jejichž kód se při zachování původní funkce neustále měnil. To v praxi znamenalo, že je nebylo vůbec snadné odhalit podle jednoznačného otisku.
E-mailové příloha jako dokonalý nosič
Na sklonku 90. let se začaly viry masivně šířit skrze přílohy v e-mailu, který se pomalu stával samozřejmostí každé domácnosti. K průkopníkům patřil virus Happy99, který poprvé zaútočil v lednu roku 1999. Na Windows po spuštění zobrazil animaci ohňostroje, jenže mimo to se také trvale usadil v systému a šířil se dál.
Zatímco příjemce sledoval animaci ohňostroje, virus v tichosti obsadil počítač
Šíření skrze přílohu e-mailu bylo natolik úspěšné, že po Happy99 záhy přišli další a tento způsob patří k standardům útoku vlastně dodnes, přestože stále více poštovních služeb automaticky kontroluje přílohy na přítomnost malwaru.
Botnet – síť milionů zavirovaných počítačů
S příchodem nového tisíciletí se virová scéna začala profesionalizovat a z malwaru se stal prostředek ekonomického profitu. Namísto toho, aby ničily data a poškozovaly počítače, začaly viry sloužit k masivnímu rozesílání spamů a vzniku rozsáhlých botnetu – řízené sítě zavirovaných strojů, které operátor ovládá jednoduchými příkazy.
Tato proměna vedla k vzniku zcela nového segmentu šedé zóny internetu – malwaru jako službě, takže takový botnet si dnes může pronajmout prakticky kdokoliv, zaplatit anonymní měnou bitcoin (ostatně některé botnety slouží i distribuované těžbě bitcoinů) a v přehledném webovém rozhraní uspořádat třeba masivní útok DDoS, nebo rozeslat pár milionů reklamních e-mailů na svůj pochybný produkt.
Ovládací panel botnetu Storm – operátor ani v nejmenším nemusel být specialista
Na počátku roku 2007 se tak na scéně objevil třeba botnet Storm, který podle odhadů napadl až 50 milionů počítačů a v době své největší slávy stál až za 8 % veškerého malwaru na operačním systému Windows. Ještě větší publicity se pak dočkala rodina virů Zeus, která dala život celé hromadě botnetů, protože se stala žádaným artiklem ve všemožných undergroundových e-shopech jako ucelené řešení napadni – vybuduj botnet – využij jeho výkon.
Studená kyberválka
Viry ale samozřejmě neprogramovali a nevypouštěli do světa výhradně ruští studenti, kteří si tak chtěli vydělat na nové hračky, ale nejspíše i státem sponzorované skupiny. Týká se to pravděpodobně i Stuxnetu, který měl napadnout íránské průmyslové počítače a sabotovat tamní jaderný program. I proto se dnes mnozí specialisté domnívají, že stopy Stuxnetu vedou především do Izraele a USA, ačkoliv přímý důkaz chybí a dozvíme se jej snad až za několik desítek let v rámci otevírání vládních archivů.
Nejhrozivější zbraň: Zaplať výkupné!
Zatímco viry, které nás zapojí do botnetu, příliš neplechy na straně uživatele nedělají, protože je v jejich zájmu, abychom si jich nevšimli, jsou tu i viry z kategorie ransomware, které naopak patří k tomu nejnebezpečnějšímu na internetu.
Milý uživateli, zašifrovali jsme ti osobní data. Dokud nám nepošleš skrze bitcoin výkupné, nepošleme ti klíč.
Cílem ransomwaru je vyloudit z oběti ransom – výkupné, čili takový virus zpravidla velmi silnou šifrou skryje osobní data na počítači (zpravidla vše v uživatelské složce) a poté vyzve oběť, aby zaslala určitý obnos do anonymní bitcoinové peněženky. Teprve poté získá dešifrovací klíč. Často však platí, že majitel o svá data přijde tak jako tak, protože útočník už neodpovídá. Zde je jedinou ochranou záloha kritických osobních dat, aktualizovaný systém a antivirový program. Ransomware přitom útočí i v Česku, rozhodně jej tedy nepodceňujte.
Příští cíl? Internet věcí
Velkou výzvou pro autory virů zítřka bude samozřejmě internet věcí – všechna ta připojená zařízení počínaje samotným domácím Wi-Fi routerem a chytrým televizorem a konče spotřebiči, které se teprve rozšíří, ať už se bude jednat o internetové pračky nebo třeba ledničky, zabezpečovací systémy aj.
Hypotetická podoba televizního ransomwaru podle Symantecu. Zablokuje televizní přijímač a dokud nezaplatíte, manželka neuvidí Ordinaci v růžové zahradě.
Jelikož jsou tyto specializované počítače na rozdíl třeba od laptopu a stolního PC neustále online, pro útočníky jsou velmi lákavé, protože při jejich ovládnutí je budou moci používat v rámci botnetu prakticky kdykoliv. Pokud přitom bude váš televizor s dostatečně výkonným čipsetem po nocích těžit bitcoiny, prakticky se to nedozvíte – snad jen na zvýšené spotřebě.
Proto je naprosto klíčové, aby byl tento nový svět připojených autonomních věcí robustně zabezpečený už na svém počátku, jak se to docela podařilo současným mobilním telefonům. I pro ně útočníci píšou malware všeho druhu, jejich design ale nabízí mnohem vyšší obranu, takže přes jejich ohromné množství v oběhu jsme se nějakého opravdu masivního útoku zatím nedočkali. Nelze než doufat, že u toho i zůstane, přestože jak praví klasik, temná strana kyberscény je stále krok před námi.
