Esimese arvutiviiruse ajalugu ja viirusetõrjetarkvara päritolu

Et rääkida küberjulgeolek On kohane naasta alguse juurde, sellesse hetke, mil programm näitas, et see suudab liikuda läbi võrgu ja paljundada Ilma luba küsimata. See polnud laastav rünnak ega ulatuslik röövimiskatse, kuid see oli ründajate ja kaitsjate vahelise võidujooksu alguspunkt, mis on sellest ajast alates ainult kiirenenud.

Mis on arvutiviirus ja miks see on oluline?

Igapäevases keeles kipume igasugust pahatahtlikku tarkvara nimetama viiruseks, kuid õige on eristada viirused, ussid ja troojalased (ja paneme kõik kokku „pahavara” alla). Rangelt võttes nakatavad viirused faile või sektoreid saabas ja need levivad failide käivitamisel; ussid liiguvad võrkudes ilma, et peaksid end millegagi ühenduma; troojalased maskeerivad end millekski legaalseks, et soovimatut koodi sisse hiilida.

Lisaks akadeemilistele siltidele on praktiline võti selles, et need teosed saavad rikkuda andmeid, aeglustada süsteeme, põhjustada krahhe ja avada uksi isegi volituste vargusele või spionaažile. Interneti ja pilveteenuste laialdase kasutuselevõtuga lakkas levik enam diskettidest või suletud võrkudest ning hakkas toetuma e-post, veebisaidid ja sotsiaalmeedia tohutu ulatusega.

Teooriast praktikani: ennast ise kopeerivad automaadid

Juba ammu enne personaalarvutite kodudesse jõudmist oli matemaatik John von Neumann tõstatanud võimaluse luua programme, mis nad paljunevad iseNeljakümnendate lõpus esitles ta ideed konverentsidel ja 1966. aastal avaldati teos "Isepaljuneva automaadi teooria", milles ta spekuleeris "mehaaniliste organismide" üle, mis on võimelised paljunema ja tekitama efekte, nagu bioloogilised viirused, aga digitaalsetes süsteemides.

Kuuekümnendatel ja seitsmekümnendatel katsetati ka programmide vahelisi konkurentsistsenaariume. Bell Labsis tegid teadlased, näiteks Viktor Võssotski, Robert Morris seenior ja Doug McIlroy Nad lõid mängu Darwin, kus programmid võitlesid mälu kontrolli pärast. Aastakümneid hiljem populariseeris A. K. Dewdney Core Wari, mis on veel üks keskkond, kus koodi "sõdalased" võitlevad RAMi pärast, peegeldades ... loogikat. Rünnak ja kaitse tarkvaras kes oli kohe laborist lahkumas.

Creeper: säde, mis süütas süütenööri

1971. aastal lõi Bob Thomas BBN Technologiesist pugeja et testida, kas programm suudab võrgus liikuda, paljuneda ja masinate vahel "hüpata". See toimus ARPANETis, interneti algmeses, ja sihtmärgiks olid DEC PDP-10 arvutid, mis käitasid TENEX operatsioonisüsteemi. Süsteemi jõudes kuvas Creeper kuulsa teate «Mina olen roomaja, püüa mind kinni, kui saad!"ja siis lülituks see teisele arvutile, desinstallides end eelmisest."

See ei kavatsenud kahju tekitada, aga näitas siiski häirivat fakti: kui miski saab autonoomselt liikuda, sirvi võrkuMõned allikad paigutavad selle aastasse 1972 või seostavad seda isegi IBM/360 seadmetega, kuid tehniliste üksikasjade osas on üksmeel selles osas siiski levinud. PDP-10 koos TENEXi ja ARPANETigaOlgu kuidas on, Creeper pani paika kõik kontseptuaalsed alarmid ja defineeris enne ja pärast.

Rangelt võttes käitus Creeper pigem nagu uss (see ei nakatanud kohalikke faile, see elas ja liikus võrgus), kuid läks rahvaajalukku kui "esimene arvutiviirus", kuna see pani aluse olulisele ideele: tarkvara, mis paljundab ja levitab ilma kasutaja sekkumiseta ja väljaspool tema kontrolli.

Reaper: esimene pahavarajaht

Reaktsioon oli kiire. Ray Tomlinson, kes on tuntud oma võtmerolli poolest e-posti valdkonnas, töötas välja Koristaja ARPANETi skannimiseks, Creeperi eksemplaride leidmiseks ja nende kõrvaldamiseks. Seda programmi peetakse esimeseks viirusetõrjeks, kuna see oli esimene, mis täitis kahekordset ülesannet tuvastamine ja desinfitseerimine võrgus olevast reaalajas ohust.

Reaper tõestas, et igale rünnakuinnovatsioonile järgneb kaitseinnovatsioon ja see rünnak pole sellest ajast peale peatunud. Vaimus on Reaper otsene eelkäija. praegused ohutusmootorid, mis kombineerivad telemeetria, signatuurid ja käitumine soovimatu koodi võimalikult kiireks tuvastamiseks ja neutraliseerimiseks.

Elk Cloner: hüpe personaalarvutite maailma

1982. aastal kirjutas üliõpilane Richard Skrenta Elk Cloner Apple II jaoks. See nakatas käivituskettaid ja aeg-ajalt kuvas ekraanil luuletuse. Tõeliselt oluline polnud mitte nali, vaid meetod: olles seotud igapäevase diskettide vooga, See levis "tahtmatult" iga kord, kui keegi jagas füüsilist andmekandjat.

Elk Cloner tegi selgeks, et personaalarvutite populaarsuse levik toob kaasa nakkusi. toetavad levinud harjumused, näiteks diskettide vahetamine või kasutamine eemaldatav andmekandjaSeda mustrit, mutatis mutandis, nähti hiljem ka koos USB, makrod dokumentides või e-posti manustes.

Jänes/Jänes: laviin, mis blokeerib kõik

Kõne Jänes (või jänes)1974. aasta uuring esindas probleemi teist nurka: kontrollimatut replikatsiooni. Pärast süsteemi nakatamist kloonis see end nii mitu korda, et jõudlus langes järsult, põhjustades lõpuks krahhe. See „koopiaplahvatus“ aitas kinnistada ideed, et reprodutseerimiskiirus iseenesest on vektoriks... kriitiline mõju.

LOOM ja PREVADE: nii sündis Trooja kontseptsioon

1975. aastal lõi programmeerija John Walker LOOMSel ajal väga populaarne äraarvamismäng, millele lisandus PREVADE levitamise hõlbustamiseks. Samal ajal kui kasutaja mängis, läbis PREVADE ligipääsetavad kataloogid ja Kopeerisin sõna ANIMAL sinna, kus seda polnud.ilma selgesõnalist nõusolekut küsimata. See ei olnud mõeldud kahju tekitamiseks, kuid see vastab Trooja hobuse definitsioonile: "sõbralik" programm, mis peidab teist komponenti, mis teeb volitamata toiminguid.

See juhtum illustreerib, et "funktsionaalne pettus" on peaaegu sama vana kui enesereplikatsioon. Näiliselt õigustatud tarkvara võib taustal töötada toimingud, mida kasutaja ei heaks kiidahägustab piiri nalja, tehnilise testi ja tegeliku väärkohtlemise vahel.

Aju: esimene suurem arvutiviirus

Aastal 1986 ilmus Aju, pidas Esimene viirus arvutiga ühilduvatele seadmeteleSelle lõid vennad Basit ja Amjad Farooq Alvi Pakistanist, kes olid tüdinenud oma tarkvara volitamata koopiatest. Brain asendas 5,25-tolliste diskettide alglaadimissektori oma koodiga, tehnikaga, mis tegi sellest... alglaadimissektori viirus millel oli kurioosne omadus: see sisaldas peidetud sõnumit autoriõiguse ja kontaktandmetega.

Aju kirjeldati omal ajal kui "nähtamatut", sest takistas juurdepääsu sektorilevarjates oma kohalolekut lihtsate tööriistade eest. Kuigi see andmeid ei hävitanud, näitas selle levik, et hüpe laboritest tänavale oli juba toimunud ja et eemaldatavad andmekandjad olid ideaalne globaalne levikuvektor.

Disketilt internetti: saabub moodne pahavara

Usaldusväärsete lairibaühenduste tulekuga 21. sajandi alguses lakkas pahavara enam füüsilisest andmekandjast või suletud ettevõtete võrkudest ning hakkas levima üle kogu maailma. e-post, veebisaidid ja internet iseSellest ajast alates on olukord olnud kirju: viirused, ussid ja troojalased eksisteerivad koos ning paljud kasutajad nimetavad kõike pahatahtlikku tarkvara "viiruseks", sellest ka üldmõiste "pahavara" praktiline kasutamine.

LoveLetter/ILOVEYOU: Sotsiaalne manipuleerimine kiirteel

See hakkas ringlusse 4. mail 2000 Armastuskiri (ILOVEYOU), VBS-vormingus uss (see ei olnud dokument sõna(nagu need olid olnud domineerivad makroviirused alates 1995. aastast). E-kiri saabus teemareaga "Ma armastan sind" ja sellele oli lisatud fail «ARMASTUSKIRI SULLE TXT.vbs»Käivitamisel kirjutas see failid üle enda koopiatega ja kasutas neid enda edastamiseks kõik kontaktid ohvri kohta.

ILOVEYOU edu saab seletada usaldusega: kui sõnum tuleb kelleltki, keda sa tunned, on sul suurem tõenäosus seda avada. See oli tohutu tõestus usaldusest. sotsiaalne tehnika ja kui kiiresti võib ülemaailmne võrk üle koormata lihtne ja arusaadav uss, kui kasutajad ei kahtlusta ootamatuid manuseid.

Code Red: mäluuss, mis käivitab DDoS-rünnaku

Aastal 2001 ilmus Red CodeMälus asuv failideta uss, mis kasutas ära Microsoft Internet Information Services'i (IIS) haavatavust. See paljunes kiiresti, kasutades ära sideprotokollide vigu, ja levis mõne tunni jooksul üle maailma. Samal ajal kasutati nakatunud arvuteid viiruse levitamiseks. teenuse keelamise rünnak Whitehouse.gov veebisaidi vastu.

Code Red näitas, et laialdaselt kasutusele võetud teenuse ärakasutatava haavatavuse ja sihtmärgiks oleva kasuliku koormuse kombinatsioon automatiseerida levitamist See võib kriitilisi infrastruktuure väga lühikese aja jooksul kokku variseda, isegi kui klassikalist failinakkust pole.

Südamevalu: kui probleem pole viirus

2014. aastal jõudis see pealkirjadesse heartbleedSee oli viga OpenSSL-i "südamelöögi" laienduse implementatsioonis. See ei olnud viirus ega uss: see oli haavatavus globaalselt kasutatavas krüptograafilises teegis. Nipp seisnes selles, et serverilt tuli taotleda suurema hulga andmete tagastamist, kui saadeti; süsteem vastas seejärel kuni 64 KB mälu oma RAM-ist, kus võivad esineda volikirjad, seansid või privaatvõtmed.

Mõju oli laastav, sest OpenSSL integreeriti lugematutesse teenustesse. Heartbleed tegi selgeks, et krüpteerimisahela nõrkused võivad haavatavusi paljastada. äärmiselt tundlik teave isegi ilma lõpp-punktis pahavara käivitamata ning rõhutas vajadust avatud lähtekoodiga komponentide hoolika auditeerimise ja parandamise järele.

Riskid ja levikuteed: mis kõigil juhtudel kordub

Ajalukku tagasi vaadates on selge, et vektorid on edukad siis, kui nad toetuvad väljakujunenud harjumustele: diskettide jagamine, manuste avamine, linkidele klõpsamine, eemaldatavate andmekandjate kasutamine või pimesi usaldamine. sõnumid ja descargasTänapäeval on e-post, sõnumid ja eriti sotsiaalvõrgustikud jätkuvalt arterid, mille kaudu levib palju pahavara, ilma et ründaja peaks seda vaeva nägema.

Samuti tasub meeles pidada, et viirused ründavad tavaliselt süsteemi, mille jaoks nad on kirjutatud. Sellegipoolest on olnud platvormideüleseid juhtumeid ning veebi ja interpretaatorite (makrod, JavaScript jne) esiletõusuga on tekkinud vektorid, mis keskkondade vahel hüppamine ühiste punktide ärakasutamine.

Esimesest arvutiviirusest saadud operatiivsed õppetunnid

Creeperilt ja tema "jälitajalt" Reaperilt saame õppida lihtsaid tõdesid, mis kehtivad ka tänapäeval. Esiteks, liikuvus See ongi probleem: mida vähem on kontrolli võrgutegevuse üle, seda kiiremini intsident eskaleerub. Teiseks vajab kaitse nähtavust ja automaatset reageerimist: kui „viirusetõrje” õigeaegselt kohale ei jõua, määrab ründaja tempo.

Ettevõtete ja administratsioonide puhul tähendab see tuntud, kuid mitte alati rakendatud harjumusi: pidev turvapaigaldus, mitmefaktoriline autentimine, varundamine. kontrollitudminimaalsed privileegid, külgliikumise piiramiseks segmenteerimine ja telemeetria jälgimine piisavalt, et käivitada tegutsemist vajavaid hoiatusi.

• Segmenteeri ja piira liigutusi: vähendab ründaja hüppepinda.
• KasutajavormManused, makrod ja USB-draivid jäävad nakkusmaanteeks.
• Nähtavuse suurendaminelogid, EDR ja korrelatsioon, et näha, mis tegelikult toimub.
• Automatiseeri vastusSelle minutitega ohjeldamine väldib tundidepikkust lööki.

Vaidlused "esimese" ja ajaloolise täpsuse üle

Mis oli tegelikult esimene arvutiviirus? Kui küsida spetsialistidelt, tulevad ilmsiks nüansid: Creeper (1971) rändas ARPANETis eksperimentaalse varjundi ja hoiakutega ussElk Cloner (1982) ilmus Apple II arvutite käivitusekraanil; Brain (1986) tõi selle nähtuse MS-DOS-i maailma ja tegi selle globaalseks kaardile. On isegi viiteid, mis paigutavad Creeperi 1972. aastasse või seostavad seda sellega. IBM/360See näitab, et populaarsed kronoloogiad pole kunagi täiuslikud.

Arutelu viib rahuliku järelduseni: lisaks nimele on olulised mehhanismid (replikatsioon, levik, varjamine) ja see, kuidas need on arenenud. Creeper alustas vestlust, Reaper juhatas sisse aktiivse kaitse ja sealt edasi on variandid ära kasutanud e-posti, käivitusprotsesse, brausereid ja teisi süsteeme. serveri haavatavused et selle ulatust mitmekordistada.

Oportunistlikust kuritegevusest rünnakutööstuseni

See, mis oli seitsmekümnendatel teaduslik kurioosum, on muutunud ulatuslik küberkuritegevusTänapäeval eksisteerivad lunavara-, pettus- ja spionaažioperatsioonid kõrvuti motiveeritud, hästi rahastatud ja väga loominguliste rühmitustega. Müügikoha (POS) süsteemid on olnud kaardivarguste sihtmärgiks ning sellised tööriistad nagu MokerKaugjuurdepääsuga troojalane on näidanud, kui keeruline on tuvastada ja kõrvaldada ohte, mis on loodud kontrollidest kõrvale hiilima.

Idee, et absoluutses mõttes pole miski kindel, on üha enam populaarsust kogumas. See fraas pole kaugeltki lüüasaamist pooldav, vaid pigem julgustab looma mitmekihilisi kaitsemehhanisme, tunnistades, et mõned neist ebaõnnestuvad ning et erinevus „intsidendi” ja „katastroofi” vahel seisneb sageli selles, et eelnev ettevalmistus, ohjeldamise kiirus ja taastumisprotsesside vastupidavus.

Tagasi vaadates on silmatorkav, et paljud alustalad ei olnud avalikult pahatahtlikud. Creeper oli sisuliselt eksperiment; ANIMAL/PR EVADE püüdis mängu populariseerida; Brain püüdis ohjeldada ebaseaduslikku kopeerimist. aegSiiski on sama replikatsiooni ja liikumise loogika teeninud ka eesmärke sabotaaž, spionaaž ja kasum, sundides arendama mitme miljardi dollari suurust kaitsetööstust.

Kogu see teekond – von Neumanni teooriast Heartbleedini, läbi Creeperi, Reaperi, Elk Cloneri, Rabbiti, ANIMALi, Braini, ILOVEYOU ja Code Redi – jätab ühe selge õppetunni: turvalisus ei ole seisund, vaid protsess. Parim otsus on alati järgmine, mille teed rünnakupinna vähendamiseks ja ... parandamiseks. jälgitavus ja automatiseeri oma vastuse.