Вирусы - Исторический обзор
Подборка: Daemon
Существует огромное количество мнений по поводу даты рождения первого компьютерного вируса. Однако большинство сходится на том, что как таковые вирусы впервые появились в 1986 г. Не стану спорить, но не рассказать о том, что предшествовало 1986 году, не могу. Итак, предыстория.
Исторически возникновение вирусов связано с идеей создания самовоспроизводящихся программ - концепции, уходящей своими корнями в пятидесятые годы. Идея самовоспроизводящихся механизмов исследовалась еще Джоном фон Нейманом, который в 1951 г. предложил метод создания таких механизмов.
Таким образом, предшественниками вирусов были различного рода программы (некоторые из них в виде игр), принцип работы которых заключался в способности саморазмножаться. Уже в начале 60-х появилась "Игра для полуночников", в которой несколько ассемблерных программ, названных "организмами", загружались в память компьютера. Организмы, созданные одним игроком (т.е. принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков. И уже тогда в описании игры термин "вирус" применялся к одному из видов организмов.
Приблизительно в 1970 г. была создана саморазмножающаяся программа для одной из первых компьютерных сетей - APRAnet. Программа Creeper путешествовала по сети, обнаруживая свое появление сообщением: "I'M THE CREEPER ... CATCH ME IF YOU CAN".
Затем была написана программа Rabbit, которая размножалась на трех соединенных между собой машинах IBM, причем появление новых подзадач вызывало замедление работы, а затем и полное зависание машин.
Другим примером вирусоподобных программ была довольно известная игра Animal, разработанная для Univac 1108. Суть этой игры состояла в том, что человек задумывал некоторое животное, и программа, задавая вопросы, пыталась определить, какое животное загадал человек. Автор предусмотрел в ней возможность саморазмножения. Когда программа угадывала неправильно, она просила пользователя предложить вопрос, который позволил бы улучшить ее способности к отгадыванию данного животного. Запомнив этот вопрос, программа не только модифицировала себя, но и пыталась переписать свою обновленную (улучшенную) копию в другой каталог. Если там уже была программа Animal, то она стиралась. В противном случае создавалась новая копия. Оказалось, что через некоторое время все каталоги файловой системы содержали копию Animal. Более того, если пользователь переходил с машины на машину, то он переносил и свой каталог, и в результате во всех каталогах этой ЭВМ также появлялась Animal. При этом совокупность копий Animal занимала значительное файловое пространство, что в те времена воспринималось как проблема.
Все это происходило на фоне выхода в свет научно-фантастических романов "околовирусного" толка. Наибольшей популярностью пользовались романы "The Shockware Rider" Дж.Бруннера (он описал "червей", программы, распространяющиеся по сети, очень похожие на вирус Морриса), "The Adolescence of P-1" Т.Риана (автором был создан образ достаточно жуткого разумного вируса, занимающегося сбором информации), "Neuromancer" В.Гибсона (где впервые было введено понятие "киберпространства").
В начале 80-х уже были написаны труды, посвященные проблемам вирусов, в частности, первая и весьма примечательная европейская работа "Самовоспроизводящиеся программы" Й.Крауса. Ее автор - сотрудник кафедры информатики Дортмундского университета - не только дал достаточно точное определение компьютерных вирусов, но и привел примеры их листингов.
Вскоре появился первый, получивший некоторое распространение, бутовый вирус на ПЭВМ Apple II. Этот вирус, названный Elk Cloner, обнаруживал свое присутствие сообщением, содержавшим даже небольшое стихотворение. Поскольку винчестеров тогда еще не было, борьба с ним состояла в использовании защитных наклеек на дискетах.
В 1982 г., не без влияния упоминавшегося выше романа Бруннера, сотрудниками исследовательского центра фирмы Xerox была создана программа-червь и проведен ряд экспериментов. Идея, которой руководствовались авторы, состояла в том, что программа, требующая значительных вычислительных мощностей, захватывала все простаивающие, но подключенные к сети ЭВМ, с тем, чтобы, например, ночью использовать максимум ресурсов, а утром, когда пользователи начинают работать, освобождать их, сохраняя промежуточные результаты вычислений. Днем программа "перебивалась" бы одной-двумя машинами, а ночью опять захватывала все свободные вычислительные мощности. В связи с этой способностью к ночному распространению такую программу правильнее было бы назвать не червяком, а вампиром. При проведении эксперимента по запуску червяка в сеть наблюдалось его неконтролируемое распространение и зависание части зараженных червяком машин. Поскольку эксперимент проводился в локальной сети Ethernet и некоторые комнаты с включенными машинами следующим утром оказались закрытыми, копии червя на этих машинах заражали другие машины. К счастью, авторы предусмотрели такую возможность и послали по сети команду самоуничтожения всем копиям червяка.
В сентябре 1984 г. публикуется статья Фреда Коэна, в которой автор исследует разновидность файлового вируса. Это было фактически второе "академическое" исследование проблемы вирусов. Статья содержала полезное, хотя и недостаточно строгое формальное определение вируса и ряд важных соображений о большой потенциальной опасности компьютерных вирусов, а также относительно того, что для своего размножения вирусу достаточно обычных операций, реализуемых файловой системой любой ОС. Коэн описал ряд экспериментов, проделанных на системе VAX 11/750, работающей под управлением ОС Unix. Вирус был имплантирован в начало утилиты VD, которая позволяла графически отображать структуру каталогов диска. В ходе пяти экспериментов пользователю зараженной программы в течение определенного времени (от 5 до 30 мин.) предоставлялся статус "суперюзера". Эксперимент показал достаточно высокую скорость размножения вируса (полсекунды на заражение) и большое количество зараженных файлов. По следам этой статьи в 1984 г. в немецком журнале "Шпигель" появился материал под названием "Тайная инструкция", вызвавший оживленную дискуссию о целесообразности публикаций по данной тематике, в которой принял участие и сам Ф.Коэн. Скажем, Джером Лоубел, советник по безопасности компьютеров фирмы "Honeywell Informations Systems", возражал против публичного обсуждения данного вопроса. В свою защиту Коэн привел следующие соображения: "Суть дела заключается в том, что если придумать что-либо в этом роде под силу мне, то это может также сделать и кто-то другой, а этот другой может оказаться скверным парнем".
Вот так. Это лишь то немногое, что происходило до 1986 года.
События 1985-86 гг. по времени совпали с быстрым ростом производства и резким снижением цен на ПЭВМ серии IBM PC. Поэтому второй этап в развитии вирусов связан с достижением "критической массы" производства этого самого массового компьютера в истории развития вычислительной техники. "Масса", по-видимому, была достигнута в 1987 г., когда одновременно в нескольких странах произошли вспышки заражения компьютеров вирусами. Вирусы стали представлять собой угрозу для всех пользователей персональных ЭВМ. В отличие от первого этапа, когда разработки вирусоподобных программ носили исследовательский характер, и авторы, заручившись согласием пользователей, занимались чистым экспериментаторством на благо системного программирования, второй этап носит характер противостояния пользователей безответственным или даже уголовным "элементам".
К числу "первопроходцев" на данном этапе относят бутовый вирус "Brain", разработанный братьями Алви. По непроверенным (и, вероятно, завышенным) данным, приведенным McAfee, он заразил только в США более 18 тысяч компьютеров. По заявлению одного из братьев, Амджата, 26-летнего выпускника отделения физики Пенджабского университета, он таким образом пытался наказать американцев, покупавших дешевые пиратские копии программ в Пакистане. Амджат утверждает, что по пакистанским законам свободное копирование не является преступлением, и хотя он не одобряет такое положение вещей, но вынужден с ним мириться и не может наказывать других. Поэтому он не продавал зараженные вирусом пиратские копии пакистанским покупателям. Другое дело - американцы, у которых существуют законы, запрещающие пиратство. Их, по его мнению, стоило проучить. К середине 1987 г. братья признали, что уже достаточно наказали пиратов, и прекратили распространение вируса. Однако вирус к тому времени уже широко распространился по США, а оттуда попал в другие страны, в том числе и в СССР. Интересно, что вирус "Brain" являлся также и первым стелс-вирусом: при попытке чтения зараженного сектора он "подставлял" его незараженный оригинал.
Примерно в то же время Р. Бургер обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный "VirDem", демонстрировал такую возможность. Этот вирус был проанонсирован в декабре 1986 г. на форуме компьютерного андеграунда.
Кстати, в те же годы известнейший исследователь компьютерной заразы Фред Коэн защитил диссертацию под названием "Компьютерные вирусы".
В 1987 г. Р. Бургер дизассемблировал вирус "Vienna" и поместил результат в свою книгу "Computer Viruses: A High Tech Desease", в которой популяризовал идею написания вирусов, подробно объясняя, как это делать.
Появляются еще несколько новых вирусов. Лехайский вирус, возникший в одноименном университете США, в течение нескольких дней уничтожил содержимое нескольких сотен дискет из библиотеки вычислительного центра университета и личных дискет студентов.
Также в этом году были созданы такие известные вирусы, как "Cascade" (самошифрующийся файловый вирус), несколько модификаций вируса "Surviv", заражавших СОМ- и EXE- файлы, загрузочные вирусы "Yale", "Stoned", "PingPong".
Наконец, в декабре 1987 г. в сеть Bitnet в одном из университетов Западной Германии был запущен первый известный сетевой вирус "Cristmas Tree", который затем проник в сеть IBM VNet. Через четыре дня вирус парализовал сеть - она была забита его копиями. При запуске вирус выводил на экран изображение рождественской елочки и рассылал свои копии всем пользователям сети.
Самым знаменитым вирусом того времени стал сетевой вирус Морриса. Аспирант факультета информатики Кор-нельского университета инфицировал с помощью написанной им программы большое количество компьютеров (порядка 6000), подключенных к американской национальной сети Internet. "Червь Морриса" поражал только компьютеры типа SUN 3 и VAX, которые использовали варианты ОС UNIX версии 4 BSD. Убытки от него были оценены в 96 миллионов долларов.
Помимо информации типа "как это было" и "то ли еще будет", в американской прессе широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли он героем-хакером, который без нанесения серьезного ущерба указал на слабые места в национальной компьютерной сети, или является преступником, который должен быть сурово наказан. Вскоре Моррис был отчислен из университета.
Министерство юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства, и только 18 января 1990 г. в городе Сиракьюс (штат Нью-Йорк) начался судебный процесс по делу Морриса. Процесс над Моррисом стал возможен в результате принятия в 1986 г. федерального закона об ответственности за преступления, связанные с компьютерами. Моррису грозил штраф в 250 тысяч долларов и тюремное заключение сроком до пяти лет. Адвокат Морриса утверждал, что тот якобы создал вирус для проведения эксперимента по проверке защиты компьютера. При этом он допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. Интересно отметить, что в интервью репортеру одной из американских газет мать Морриса упомянула тот факт, что научно-фантастический роман Дж. Бруннера "The Shockware Rider" (в котором впервые были описаны программы-"черви") был одной из наиболее зачитанных книг в комнате юного Морриса. Суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером в 10 тысяч долларов. Осуждение Морриса было сигналом того, что американское общество уже осознает опасность вирусов и предпринимает какие-то меры по борьбе с ними.
В том же году появился еще один вирус-червь "HI.COM", выводивший на экран изображение елочки и извещавший пользователей, что им следует "stop computing and have a good time at home!!!".
В конце восьмидесятых панику в США и западноевропейских странах вызвала история с так называемой AIDS Information Trojan - троянской программой, распространявшейся в составе пакета с базой данных о заболевании синдромом приобретенного иммунодефицита (СПИД). Как программа, так и база данных были записаны на дискете, которая была разослана 20 тысячам заказчиков, включая ряд медицинских и общественных организаций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и многих других стран. Все адресаты получили по почте посылку с упаковкой данного продукта, на которой указывалось его назначение, а на обратной стороне крайне мелким шрифтом были набраны условия распространения. Сопроводительное письмо извещало, что на дискете содержатся новые сведения по проблемам СПИДа, но в письме условия использования дискет не указывались. После записи на винчестер они действительно начали выдавать информацию по обещанной тематике. Однако затем (после 90 загрузок системы) "троянец" шифровал имена всех файлов на диске, делал их невидимыми и оставлял на диске только один читаемый файл - требование перечислить сумму в 378 долларов на счет некоей фирмы в Панаме. В этом случае пользователю якобы будет выслана программа восстановления перекодированной информации. Среди пострадавших были как индивидуальные владельцы компьютеров, так и лаборатории, научные центры, больницы. В некоторых случаях заблокированным оказался итог работы целых научных коллективов. Джозеф Попп, автор "троянца", был пойман и приговорен к тюремному заключению.
И как собственно оценить тот факт, что программист отправляет в путешествие свой закодированный в
двоичном коде интеллект с заданием размножаться и меряться силой с "внешним миром"? Решайте сами...
:: на начало ::
Главная
