Історія. Перші віруси
Історія починається в 1983 році, коли американський учений Фред Коэн (Fred Cohen) у своїй дисертаційній роботі, присвяченої дослідженню комп’ютерних програм, що самовідтворюються, уперше ввів термін комп’ютерний вірус. Відома навіть точна дата – 3 листопада 1983 року, коли на щотижневому семінарі по комп’ютерній безпеці в Університеті Південної Каліфорнії (США) був запропонований проект по створенню програми, що самопоширюється, що відразу охрестили вірусом. Для її налагодження треба було 8 годин комп’ютерного часу на машині VAX 11/750 під керуванням операційної системи Unix і рівно через тиждень, 10 листопада відбулася перша демонстрація. Фредом Коэном за результатами цих досліджень була опублікована робота “Computer Viruses: theory and experiments” с докладним описом проблеми.
Теоретичної ж основи програм, що самопоширюються, були закладені в 40-х роках минулого сторіччя в працях по вивченню математичних автоматів, що самовідтворюються, американського вченого Джона фон Неймана (John von Neumann) , що також відомий як автор базових принципів роботи сучасного комп’ютера. В 1951 році фон Нейманом був розроблений метод, що демонстрував можливість створення таких автоматів, а в 1959 журнал “Scientific American” опублікував статтю Л. С. Пенроуза (L. S. Penrose) “Self-Reproducing Machines”, присвячену механічним структурам, що самовідтворюються. На відміну від раніше відомих робіт, тут була описана найпростіша двовимірна модель подібних структур, здатних до активації, розмноженню, мутаціям, захватові. Пізніше, слідами цієї статті інший учений Ф. Ж. Шталь (F. G. Stahl) реалізував модель на практиці за допомогою машинного коду на IBM 650.
Перші програми, що самопоширюються, не були шкідливими в змісті, що нині розуміє. Це були скоріше програми-жарти або наслідки помилок у програмному коді, написаному в дослідницьких цілях. Складно представити, що вони були створені з якоюсь конкретною шкідливою метою.
Перші віруси
Pervading Animal (кінець 60-х – початок 70-х) — так називалася перший відомий вірус-гра для машини Univac 1108. За допомогою навідних запитань програма намагалася визначити ім’я тварини, задуманого граючої. Завдяки наявності функції додавання нових питань, коли модифікована гра записувалася поверх старої версії плюс копіювалася в інші директорії, через якийсь час диск ставав переповненим.
Перший мережний вірус Creeper з’явився на початку 70-х у військовій комп’ютерній мережі Arpanet, прототипі Інтернет. Програма могла самостійно вийти в мережу через модем і зберегти свою копію на вилученій машині. На заражених системах вірус виявляв себе повідомленням: “I’ THE CREEPER : CATCH ME IF YOU CAN”. Для видалення настирливого, але в цілому необразливого вірусу невідомим була створена програма Reaper. По суті це був вірус, що виконував деякі функції, властиві антивірусу: він поширювався по обчислювальній мережі й у випадку виявлення тіла вірусу Creeper знищував його.
Перші вірусні епідемії
Можливості перших вірусів були сильно обмежені малою функціональністю існуючих на той момент обчислювальних машин. Тільки наприкінці сімдесятих, слідом за випуском нового покоління персональних комп’ютерів Apple (Apple II) і згодом IBM Personal Computer (1981 рік), стали можливі вірусні епідемії. Поява BBS (Bulletin Board System) забезпечило швидкий обмін інформацією між навіть самими віддаленими крапками планети.
Elk Cloner (1981 рік) споконвічно використав для поширення піратські копії комп’ютерних ігор. Оскільки жорстких дисків тоді ще не було, він записувався в завантажувальні сектори дискет і проявляв себе перекиданням зображення на екрані й виводом тексту:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT' CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Перші антивірусні утиліти (1984 рік) були написані Анди Хопкинсом (Andy Hopkins). Програми CHK4BOMB й BOMBSQAD дозволяли робити аналіз завантажувального модуля за допомогою контекстного пошуку й перехоплювати операції запису й форматування, виконувані через BIOS. На той час вони були дуже ефективні й швидко завоювали популярність.
Brain (1986 рік) — перший вірус для IBM-сумісних комп’ютерів, що викликав глобальну епідемію. Він був написаний двома братами-програмістами Баситом Фарук й Амжадом Алви (Basit Farooq Alvi й Amjad Alvi) з Пакистану з метою визначення рівня піратства в себе в країні: вірус заражав завантажувальні сектори, міняв мітку диска на “(c) Brain” і залишав повідомлення з іменами, адресою й телефоном авторів. Відмітною рисою його була функція підміни в момент звертання до нього зараженого сектора незараженим оригіналом. Це надає право назвати Brain першим відомим стелс-вирусом. Протягом декількох місяців програма вийшла за межі Пакистану й до лету 1987 року епідемія досягла глобальних масштабів. Нічого деструктивний вірус не робив.
У цьому ж році відбулася ще одна знаменна подія. Німецький програміст Ральф Бюргер (Ralf Burger) відкрив можливість створення програмою своїх копій шляхом додавання свого коду до виконуваних DOS-файлів формату COM. Досвідчений зразок програми, що одержала назва Virdem, був продемонстрований на форумі комп’ютерного андеграунда – Chaos Computer Club (грудень 1986 року, Гамбург, ФРН). По результатами досліджень Бюргер випустив книгу “Computer Viruses. The Disease of High Technologies”, що послужила поштовхом до написання тисяч комп’ютерних вірусів, частково або повністю використали описані автором ідеї.
Lehigh (1987 рік) — перший по-справжньому шкідливий вірус, що викликав епідемію в Лехайском університеті (США), де в той час працював Фред Коэн. Він заражав тільки системні файли COMMAND.COM і був запрограмований на видалення всієї інформації на поточному диску. Протягом декількох днів був знищений уміст сотень дискет з бібліотеки університету й особистих дискет студентів. Усього за час епідемії було заражено біля чотирьох тисяч комп’ютерів. Однак за межі університету Lehigh не вийшов.
Сімейство резидентних файлових вірусів Suriv (1987 рік) — утвір невідомого програміста з Ізраїлю. Найвідоміша модифікація, Jerusalem, стала причиною глобальної вірусної епідемії, першою дійсною пандемією, викликаної MS-DOS-вірусом.
Действие вірусів Suriv зводилося до завантаження коду на згадку комп’ютера, перехоплюванні файлових операцій і зараженні запуска користувачем COM- і/або EXE-файлів. Ця обставина забезпечувала практично миттєве поширення вірусу по мобільних носіях. Jerusalem відрізнявся від своїх попередників додатковою деструктивною функцією – знищенням всіх програм, що запускають, у п’ятницю, 13. Такою чорною датою стало 13 травня 1988 року, коли відразу перестали працювати комп’ютери багатьох комерційних фірм, державних організацій і навчальних закладів, у першу чергу Америки, Європи й Близького Сходу.
Примітно, що в тім же 1988 року відомий програміст Питер Нортон (Peter Norton) висловився різко проти існування вірусів. Він офіційно оголосив їхнім неіснуючим міфом і зрівняв з казками про крокодилів, що живуть у каналізації Нью-Йорка. Це показує як низка була культура антивірусної безпеки в той час.
Mike RoChenle — псевдонім автора першої відомої вірусної містифікації. У жовтні 1988 року він розіслав на станції BBS велика кількість повідомлень про вірус, що передається від модему до модему зі швидкістю 2400 біт/с. Як панацея пропонувалося перейти на використання модемів зі швидкістю 1200 біт/с. Як це ні смішно, багато користувачів дійсно пішли цій раді.
Хробак Морриса (листопад 1988) — з ним зв’язана перша епідемія, викликана мережним хробаком. 60000-байтная програма, написана 23-літнім студентом Корнельского університету (США) Робертом Моррисом, використала помилки в системі безпеки операційної системи Unix для платформ VAX й Sun Microsystems. З метою непомітного проникнення в обчислювальні системи, пов’язані з мережею Arpanet, використався підбор паролів (зі списку, що містить 481 варіант). Це дозволяло маскуватися під завдання легальних користувачів системи. Однак через помилки в коді нешкідлива за задумом програма необмежено розсилала свої копії по інших комп’ютерах мережі, запускала їх на виконання й у такий спосіб забирала під себе всі мережні ресурси.
Хробак Морриса заразив за різними оцінками від 6000 до 9000 комп’ютерів у США (включаючи Дослідницький центр NASA) і практично паралізував їхню роботу на строк до п’яти доби. Загальні збитки були оцінені в мінімум 8 мільйонів годин втрати доступу й понад мільйон годин прямих втрат на відновлення працездатності систем. Загальна вартість цих витрат оцінюється в 96 мільйонів доларів. Збиток був би набагато більше, якби хробак споконвічно створювався з руйнівними цілями.
4 травня 1990 року вперше в історії відбувся суд над автором комп’ютерного вірусу, що присудив Роберта Морриса до 3 рокам умовно, 400 годинникам суспільних робіт і штрафу в 10 тисяч доларів США.
Епідемія хробака Морриса стала причиною створення організації CERT (Computer Emergency Response Team), у функції якої входить надання сприяння користувачам у запобіганні й розслідуванні комп’ютерних інцидентів, що мають відношення до інформаційних ресурсів. На сайті цієї організації оперативно публікуються самі останні відомості про нові шкідливі програми, виявлених уязвимостях у ПО, методах захисту корпоративних мереж, аналітичні статті, а також результати різних досліджень в області комп’ютерної безпеки.
Dr. Solomon’s Anti-Virus Toolkit (1988) — перша широко відома антивірусна програма. Створена англійським програмістом Аланом Соломоном (Alan Solomon), вона завоювала величезну популярність і проіснувала до 1998 року, коли компанія Dr. Solomon була поглинена іншим виробником антивірусів – американської Network Associates (NAI).
Крім офіційного перейменування Arpanet в Інтернет, що випливає рік ознаменувався виходом у світло першого номера Virus Bulletin (липень 1989) — самого популярного на сьогоднішній день видання, що містить останні новини в сфері вірусних й антивірусних технологій: докладну інформацію про нові шкідливі програми, методи захисту від вірусів й усунення наслідків зараження. Засновниками журналу виступили керівники англійської антивірусної компанії Sophos Ян Храске (Jan Hruska), Питер Лэммер (Peter Lammer) і Эд Уайлдинг (Ed Wilding). Згодом редакція Virus Bulletin (1991) початку проводити щорічні конференції для антивірусних експертів, де корпоративні замовники мають можливість прямо спілкуватися із провідними спеціалістами в цій області. У січні 1998 року була заснована нагорода VB 100%, присуджувана антивірусним програмам за результатами проведеного редакцією Virus Bulletin тестування. Кількість нагород VB 100%, отриманих у результаті тестування сьогодні найчастіше є одним з основних критеріїв у виборі засобів антивірусного захисту.
Як відповідь через пару місяців Dr. Solomon’s запустила свій власний видавничий проект – Virus Fax International, згодом перейменований в Secure Computing. Сьогодні цей журнал є одним з найбільш популярних видань в області захисту інформації, спеціалізуючись на аналізі не тільки антивірусних програм, але також усього спектра програмних й апаратних засобів, застосовуваних для забезпечення комп’ютерної безпеки.
Datacrime (1989) — вірус, що незважаючи на порівняно невелике поширення, викликав повальну істерію у світових засобах масової інформації. Він відрізнявся тим, що з 13 жовтня по 31 грудня ініціював низькорівневе форматування нульового циліндра жорсткого диска, що приводило до знищення таблиці розміщення файлів (FAT) і безповоротній втраті даних.
У відповідь корпорація IBM випустила (4 жовтня 1989 року) комерційний антивірус Virscan для MS-DOS, що дозволяє шукати характерні для ряду відомих вірусів рядка у файловій системі. Вартість програми склала всього 35 доларів США.
Aids Information Diskette (грудень 1989) — перша епідемія троянської програми. Її автор розіслав близько 20000 дискет з вірусом по адресах у Європі, Африці й Австралії, викраденим з баз дані Організації всесвітньої охорони здоров’я й журналу PC Business World. Після запуску шкідлива програма автоматично впроваджувалася в систему, створювала свої власні сховані файли й директорії й модифікувала системні файли. Через 90 завантажень операційної системи всі файли на диску ставали недоступними, крім одного – з повідомленням, що пропонувало надіслати $189 на зазначену адресу. Автор троянца, Джозеф Попп (Joseph Popp), визнаний пізніше несамовитим, був затриманий у момент пред’яви чека й засуджений за вимагання. Фактично, Aids Information Diskette – це перший й єдиний вірус, який для масового розсилання використовував дійсну пошту.
Cascade (1989) — резидентний зашифрований вірус, що викликає характерний відеоефект – опадання букв на екрані. Примітний тим, що послужив поштовхом для професійної переорієнтації Євгенія Касперского на створення програм-антивірусів, будучи виявленим на його робочому комп’ютері. Уже через місяць другий інцидент (вірус Vacsina) був закритий за допомогою першої версії антивірусу — V, що декількома роками пізніше був перейменований в AVP — AntiViral Toolkit Pro.
Eddie (також відомий як Dark Avenger, 1989 рік) — перший вірус, що протидіє антивірусному програмному забезпеченню: він заражає нові файли, поки антивірус перевіряє жорсткий диск комп’ютера. Це досягалося застосуванням особливої технології, що дозволяє заражати не тільки COM/EXE- програми в момент їхнього запуску, але й будь-які файли при спробі прочитання.