Атака по ошибке: к чему привела первая компьютерная эпидемия

Как эволюционировали киберугрозы с момента первой эпидемии

Reuters
30 ноября во всем мире отмечается Международный день защиты информации, но мало кто знает историю возникновения этого праздника. Он берет свое начало от первой массовой компьютерной эпидемии, произошедшей из-за случайности. Что произошло в тот день и как эволюционировали компьютерные угрозы спустя годы — в материале «Газеты.Ru».

В 1988 году 30 ноября было объявлено Международным днем защиты информации, который призван напомнить пользователям о важности защиты компьютерных систем. Именно в этот год более 30 лет назад после случайной ошибки молодого аспиранта Роберта Морриса произошла первая массовая компьютерная эпидемия. В течение 24 часов были заражены около 6000 из примерно 60 000 компьютеров, подключенных к Интернету.

Однако «червь Морриса», как впоследствии назвали причину эпидемии, был далеко не первой киберугрозой в истории человечества.

Опасные семидесятые

Несмотря на то что червь Морриса является одним из самых известных вирусов, заражение компьютерных систем происходило задолго до его появления. Так, например, вирус Creeper впервые был обнаружен в сети ARPANET в начале 1970-х годов. Компьютерная сеть ARPANET была создана в 1969 году в США Агентством министерства обороны США по перспективным исследованиям (DARPA) и стала первым прототипом сети Интернет. 

Creeper был экспериментальной самовоспроизводящейся программой и использовал ARPANET для заражения компьютеров, работающих под управлением операционной системы TENEX. Creeper получил доступ через ARPANET и скопировал себя в удаленную систему, где появилось сообщение «Я — крипер [англ. «creeper» — цепляющееся, вьющееся растение], поймай меня, если сможешь!».  

Первый массовый компьютерный вирус появился в 1982 году и назывался Elk Cloner.

Он появился «в свободном хождении», то есть находился за пределами компьютера или лаборатории, где он был создан.

Elk Cloner был написан американским девятиклассником. Этот зловред подключался к операционной системе Apple и распространялся через дискету. При пятидесятом использовании вирус активировался, заражая компьютер и показывая короткое стихотворение, начинающееся со слов «Elk Cloner: программа с характером».

Червь, который нельзя остановить

Компьютерные вирусы со временем эволюционировали, и на сегодняшний день выделяют сразу пять поколений угроз, рассказал «Газете.Ru» технический директор Check Point Software Technologies в России и СНГ Никита Дуров.

Атаки первого поколения появились в 1980-х годах вместе с массовым распространением персональных компьютеров по всему миру. На тот момент вирусные программы распространялись путем копирования самих себя. Одна из самых известных вирусных программ под названием Brain Virus появилась в 1986 году.  

На тот момент коммерческого антивирусного программного обеспечения еще не было, поэтому последствия были достаточно разрушительными. Вирус затронул предприятия и пользователей по всему миру.

Атаки второго поколения, Gen II, пошли в конце 80-х с появлением сетей и распространением Интернета. Именно к ним относится червь Морриса, ставший первым вирусом, который привел к масштабной компьютерной эпидемии.

Самым интересным аспектом червя Морриса была ошибка, совершенная его автором, аспирантом Корнеллского университета Робертом Таппаном Моррисом, при его написании. Изначально червь Морриса создавался как инструмент для тестирования уязвимостей системы. Но затем, из-за логического недочета, он превратился во вредоносную программу.

Речь идет о ошибке в механизме распространения. Программа должна была спрашивать, есть ли в нем уже копия червя. Но червь Морриса копировал себя, даже если компьютер подтверждал, что червь уже запущен. Это происходило в одном случае из семи.

«Червь Морриса, как и другие компьютерные черви, не нуждается в управляющем центре и может существовать и распространяться самостоятельно. Именно поэтому черви могут заразить такое количество устройств.

В случае червя Морриса в течение суток пострадали около 6000 компьютеров. 

Червь использовал уязвимости и бэкдоры в операционной системе Unix. Он не повреждал никаких файлов, но замедлял работу компьютеров до такой степени, что электронная почта задерживалась на несколько дней», — пояснил Алексей Федоров, глава представительства компании Avast в России и СНГ.

В 1988 году, когда появился червь Морриса, антивирусные программы были новинкой, их было всего несколько вариантов, рассказывает Павел Баудиш, сооснователь компании Avast. Все они были сосредоточены на компьютерах, совместимых с IBM PC. Эти компьютеры не были соединены вместе в сеть, и вредоносные программы в основном распространялись через дискеты.

С червем Морриса была немного другая ситуация: он использовался на компьютерах, которые использовали операционную систему UNIX и были связаны между собой сетью DARPA. Для UNIX тогда не существовало антивирусов.

Червь Морриса был первым вирусом, который использовал сеть для распространения среди компьютеров, что повлияло на скорость и масштаб заражения.

Узнав о последствиях своего поступка, Роберт Моррис был очень удивлен — он не ожидал, что вирус будет распространяться настолько стремительно. Позднее Роберт признал свою ошибку и ответственность за эпидемию.

Признание не спасло от наказания, но приговор был не очень строг — вероятно, потому, что червь не повреждал и не удалял файлы, а только тормозил работу компьютера.

В то время начало активно развиваться вирусное программное обеспечение, рассказывает Никита Дуров. Появляются первые межсетевые экраны: их разработали после кражи 10 миллионов долларов из Citibank в 1994 году.

При подключении внутренних сетей к всемирной паутине число пользователей стремительно росло. Теперь для успешной защиты бизнеса была нужна уже комбинация антивирусных программ и межсетевой защиты — это было начало развития точечных решений по защите от киберугроз.

От простого к сложному

Следующее десятилетие принесло третье поколение атак. Это были нулевые годы — тогда хакеры уже достаточно хорошо умели использовать уязвимости всех компонентов ИТ-инфраструктуры. Таких уязвимостей было много: в операционных системах, аппаратных средствах и приложениях. Один из самых ярких примеров атак этого поколения — сетевой червь SQLSlammer, который использовал уязвимости Microsoft SQL Server и MSDE и до сих пор занимает первое место по скорости распространения среди угроз.

Модель точечных решения для обеспечения кибербезопасности уже не справлялась, так как была слишком громоздкой и сложной в управлении.

Каждый новый продукт безопасности имел свой пользовательский интерфейс и консоль управления, что тормозило работу и увеличивало нагрузку на ИТ-специалистов.

В этот период появляется большое количество различных поставщиков и продуктов для обеспечения кибербезопасности, но киберпреступники все равно оказываются впереди.

Спустя еще десять лет, в 2010 году, стало появляться все больше и больше новостей о крупных атаках. Теперь они влияли уже не на отдельные компании и конкретных людей, а на все общество. Государства начинают обсуждать методы борьбы с кибератаками. В 2013 году происходит небывалая до этого атака: злоумышленники получили доступ к данным 40 млн владельцев карт, выпущенных торговой сетью Target. 

Решения систем безопасности четвертого поколения могли обнаруживать атаки только на основе известных сигнатур. Проблема заключалась в том, что они создавались лишь только после того, как вскрывалась атака. После этого компания-разработчик антивирусных решений выпускала обновление, которое закрывало проблему, но на это могли уйти месяцы.

В это время появляются новые, ранее неизвестные угрозы нулевого дня, и установленные патчи уже не спасали. Требовалось решение, которое защитит от атак нулевого дня, после чего появились так называемые «песочницы» — инструменты для предотвращения таких угроз. Это помогло, но еще больше усложнило инфраструктуру безопасности и работу ИТ-специалистов.

Кроме того, существующие решения не позволяли проверять содержимое файлов, которые приходили по почте до их скачивания. Это означало, что все документы, которые прикреплялись к письмам, включая картинки и текстовые файлы, были потенциальным источником заражения.

В 2017 году мир столкнулся с новыми атаками пятого поколения. Теперь они были направлены на разные устройства по всему миру и распространялись с небывалой скоростью.

Злоумышленники использовали комбинированные продвинутые методы, нанося огромные финансовые потери. Вредоносные программы теперь разрабатываются на заказ под конкретные организации. Среди примеров — атака WannaCry, которая затронула 300 тыс. компьютеров в 150 странах, и NotPetya, которая привела к потерям в $300 млн.

С каждым годом киберпреступления развивались все сильнее и сильнее, менялся тип преступлений, увеличивался ущерб от атак — и вслед за этим менялась и мотивация хакеров, отмечает Алексей Федоров.

Например, еще в 90-х годах злоумышленники создавали вирусы, чтобы показать себя и сделать себе имя. Сегодня киберпреступность — это организованный бизнес, который ставит под угрозу все больше и больше данных и финансовых активов, а его жертвами могут стать как крупные компании, так и отдельные индивиды.