Компьютерные вирусы и эпидемии

До распространения Интернета вирусы в основном распространялись через зараженные дискеты, Интернет же открыл для них совершенно новую безграничную среду.

В 1981 году появился первый настоящий компьютерный вирус Elk Cloner, созданный под ОС компьютеров компании Apple (наиболее распространенных в то время). Elk Cloner появился в одной из компьютерных систем техасского университета и распространялся через дискеты (заражение произошло через дискеты с пиратскими копиями компьютерных игр). Этот случай является интересным с той точки зрения, что здесь фигурируют сразу два типа компьютерных преступлений: собственно, само создание вредоносного ПО, и нарушение авторских прав на компьютерные игры, которое и привело к распространению вируса (здесь жертвы первого преступления являются исполнителями второго). Также важно, что в этом первом случае проявилась суть вирусов и их создателей – желание заразить как можно большее число компьютеров.

В 1983 году Лен Эйделман впервые употребил термин вирус к самокопирующимся компьютерным программам. Несколько позже Фредерик Коэн впервые дал точное определение термину «компьютерный вирус» и продемонстрировал разработанную им программу. Коэн определил вирус, как программу, которая «заражает» другие программы и модифицирует их, добавляя функционал для создания собственных копий.

В 1984 году Кен Томпсон (ученый, один из создателей языка С и ОС Unix) впервые рассказал о возможности создании бэкдора в команде login одной из версий ОС Unix. Данная возможность реализовывалась через модификацию компилятора C. При сборке ОС модифицированным компилятором, он встраивал бэкдор в команду логин, а при сборке другого компилятора, в него встраивались функции для генерации уязвимостей. В исходном коде компилятора при этом невозможно было обнаружить свидетельств воздействия.

К середине 80-х годов во всем широкое распространение получили компьютеры IBM PC под управлением MS-DOS. В результате того, что одна ОС заняла большую часть рынка, вирусы разработанные для этой ОС стали также массовыми. Единообразие используемых ОС и отсутствие адекватных механизмов защиты привели к тому, что появились первые вирусные эпидемии.

В 1987 году произошли две первые вирусные эпидемии, вызванные вирусами Brain (первый вирус для IBM PC-совместимых ПК) и Vienna. Изначально вирус Brain был создан для борьбы с пиратским распространением ПО в Пакистане, однако ситуация вышла из-под контроля. В итоге зараженными оказались более 18 000 компьютеров по всему миру. Brain был первым стелс-вирусом, скрывающим свое присутствие в ОС, при чтении зараженного сектора вирус подменял его на незараженную версию.

В конце 1980-х было известно о достаточно большом числе уязвимостей в ОС UNIX и в особенности в BSD (Berkeley Software Distribution). В ноябре 1988 года появились первые заявления о атаках на компьютерные системы под управлением различных UNIX систем в научных и правительственных организациях (в том числе NASA). Это была эпидемия первого сетевого «червя», инициированная Робертом Моррисом, аспирантом Корнеллского университета. Он запустил в сеть ARPANET червя, который заразил более чем 6000 компьютеров, забил сеть нежелательным трафиком и нанес ущерб в более чем 100 млн. долларов. Червь Морриса использовал известные уязвимости (в сервере sendmail, сервисах finger, rsh/rexec) в сочетании с подбором паролей по словарю. Также он скрывал свое присутствие, удаляя свой исполняемый файл и переименовывая свой процесс в sh (командная оболочка UNIX), также каждые 3 минуты червь ветвился.

Целю создания червя была попытка исследовать уязвимости Unix систем. Моррис получил довольно мягкое наказание, что отражает отношение к компьютерным преступлениям в то время – они все еще не воспринимались как реальные преступления. Моррис не стал создателем концепции вируса или червя, он известен тем, что он первым ее реализовал, продемонстрировав феноменальную скорость распространения.

В конце 1980-начале 1990-х вирусная активность начала расти, появился целый ряд новых сетевых червей (Father Christmas, WANK).

Также в эти годы произошло еще несколько достаточно масштабных по тем временам вирусных эпидемий (Lehigh, Stoned, Jerusalem, Cascade (первый зашифрованный вирус), DATACRIME, Ping-Pong, Form, Michelangelo).

Это были файловые (заражают исполняемые файлы. com и .exe, добавляя в них свой вредоносный код) и загрузочные вирусы, которые блокировали запуск ОС, уничтожали приложении при попытке их запуска, снижали производительность ПК и выполняли различные другие опасные действия.

В 1988 году появился первый троян - FLU-SHOT-4, замаскированный под довольно популярный тогда антивирус. Он распространялся через BBS и уничтожал некоторые сектора жестких дисков и дискет. Троян FLU-SHOT-4 интересен тем, что он проявлялся только после того, как программа была запущена. До этого момента фрагменты вредоносного кода было невозможно обнаружить в исходном коде программы, даже при исследовании его на уровне машинных команд.

В конце 1980-х году появился еще ряд троянов: Scrambler, маскирующийся под драйвер клавиатуры (KEYBGR.COM); 12-Tricks, распространяющийся как программа для тестирования скорости жесткого диска (CORETEST.COM); PC Cyborg или AIDS, распространяющийся через дискеты. AIDS, шифровал записи каталога, заполнял весь диск C: и подменял собой командную строку COMMAND.COM. Фактически троян блокировал работу компьютера и требовал произвести оплату за разблокировку.

В этом же году был обнаружен первый многокомпонентный вирус – Ghostball, заражающий, как исполняемые файлы, так и загрузочный раздел жесткого диска. Ghostball открыл новое направление развития компьютерных вирусов, в 1991 году появился новый вирус этого типа - Tequila.

В 1989 году появился первый полиморфный вирус 1260 (Chameleon.1260 или V2PX).

Подводя итог этому этапу, можно сказать что в этот период появилось и получило развитие большинство типов современных вирусов:

- файловые и загрузочные вирусы;

- вирусы-компаньоны.

- стелс-вирусы

- сетевые вирусы, черви;

- полиморфные вирусы;

- многокомпонентные вирусы.

Защита информации. Коммерческие организации, персональные компьютеры и сети

1980-е – это период, когда появились первые реальные угрозы хакерства и компьютерных преступлений. Вирусы и хакеры появились как элементы исследовательских проектов в рамках ведущих университетов, персональные компьютеры и сети сделали эти явления популярными и массовыми, создав реальные угрозы государственным и коммерческим организациям.

Практически до конца 1980-х большинство работ по компьютерной безопасности велись только в интересах правительственных и военных ведомств. Однако, широкое распространение ИТ и ПК, рост сетей и увеличение числа случаев хакерских атак привело к тому, что проблема безопасности также стала актуальна и для коммерческих организаций. Стандарты и политики, разработанные для военных нужд и работы с конфиденциальными данными, совершенно не подходили для коммерческих организаций.

В 1980-ых годах коммерческие организации только начинали активное внедрение компьютерных технологий в свою деятельность. Вопросы безопасности, в основном, решались исключительно на уровне парольных систем идентификации/аутентификации, часто не существовало даже простых требований к выбору пароля и логин (обычно реальное имя пользователя) часто совпадал с паролем.

К концу данного периода компьютерная безопасность уже стала восприниматься как сложное многогранное явление, пришло понимание того, что необходимо предпринимать более комплексные меры защиты. Так компьютерная безопасность стала включать в себя обеспечение конфиденциальности данных и доступности компьютерных ресурсов, защиту процессов от неправомерного использования или несанкционированных изменений. Однако, вопросы целостности данных и их несанкционированной модификации по-прежнему стояли на втором плане.

Также к концу 1980-х начали появляться новые методы идентификации и аутентификации, более стойкие по сравнению с парольными системами. Криптография получила широкое распространение в компьютерных сетях коммерческих организаций, открыв новые направления в электронной коммерции.

Однако, считается, что даже в конце 1980-x годов вопросы компьютерной безопасности не воспринимались столь остро, и системные администраторы часто не применяли никаких мер защиты, что и привело к появлению такого явления как вирусные эпидемии и расширению хакерского арсенала.

Появление Интернета, повсеместное распространение компьютеров и сетей, развитие клиент-серверных технологий привели к тому, что вопросы обеспечения компьютерной безопасности в 1990-х стали вопросами, требующими безотлагательного и качественного решения для обеспечения существования и развития любой коммерческой организации. В большинстве случаев, в коммерческих организациях не существовало единой политики организации и безопасности доступа в Интернет.

Развитие и переход на технологии клиент-сервер требовали от организации обеспечения безопасности на клиентской стороне. В это время особую популярность завоевала технология тонкого клиента, когда все важные операции и «чувствительные» данные вынесены с клиентского ПК на безопасный сервер.

В ответ на возникающие потребности коммерческих организаций в решениях по компьютерной безопасности начали появляться первые готовые коммерческие решения и инструменты.

Начиная с самого первого этапа при работе с информацией (как государственной, так и коммерческой) применялся принцип необходимого знания - концепция безопасности, ограничивающая допуск к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей заинтересованного уполномоченного лица [5]. Появление Интернета и перенос ряда услуг в онлайн среду во многом затруднило применение этого подхода, т.к. предоставление доступа по умолчанию производилось без прохождения каких-либо процедур идентификации. Необходимо было развитие технологий обеспечения безопасности и разграничения доступа в онлайн приложениях. Результатом стало развитие прикладной криптографии, применяемой для обеспечения конфиденциальности и целостности данных, передаваемых по сетям, технологий обмена ключевой информацией и появление различных межсетевых экранов.

Самой опасной угрозой стали компьютерные вирусы.

Присоединение корпоративных сетей к Интернету привело к возникновению ряда угроз:

1. вызванных, уязвимостями различных сетевых протоколов (в частности, TCP/IP) и систем;

2. атаки вирусов и сетевых червей;

3. опасность осуществления НСД к данным или ресурсам компьютерной системы;

4. несанкционированный перехват данных и их модификация;

5. кража паролей.

В качестве основных источников угроз и инициаторов атак выступали хакеры, конкурирующие организации, инсайдеры (в том числе недовольные сотрудники).

Стремительный рост опасности указанных угроз и числа инцидентов безопасности привели к необходимости развития механизмов разграничения доступа, идентификации/аутентификации, обеспечения конфиденциальности и целостности данных.