Historie počítačového viru Předpoklady pro vznik počítačového viru (40. – 50. Léta) •John von Neumann - Idea replikace •myšlenka celulárního automatu, který reprodukuje sám sebe – článek - Theory of Self-Reproducing Automata • • •V 70. letech John Horton Conway zjednodušuje Neumannovy myšlenky a navrhuje systém s velmi jednoduchými pravidly vývoje • •1. Živá buňka s méně než dvěma živými sousedy umírá (Příliš malá hustota populace) •2. Živá buňka s 2-3 živými sousedy přežívá do další generace •3. Živá buňka s více než třemi živými sousedy umírá (příliš velká hustota populace) •4. Mrtvá buňka s přesně třemi sousedy ožívá (reprodukce) •Game of life na Atari 2600 - https://www.youtube.com/watch?v=bSWhDHybXDY • • Von Neumannova architektura •1. operační paměť •2. aritmeticko-logická jednotka •3. řadič – řídicí jednotka •4. vstupní zařízení •5. výstupní zařízení •vnitřní struktura počítače by se neměla nijak měnit v závislosti na zpracovávané úloze, měla by být univerzální •programy i data se uchovávají v téže operační paměti • •programy podobné virům byly označovány jako červy – programy, jež narušovaly osobní prostor jiných programů, často produkovaly náhodné operace a chyby - důsledek této architektury •kdybychom se pokusili sledovat stopu chybných operací odhalili bychom náhodné vzory paměťových lokací, v podobě nepravidelných zakřivených drah Užitečné, neškodné a zábavné samoreprodukční programy (60. -70. léta) •Core wars (od 1961) – vytváření virů jako sport, kdo udělá lepší program, který zničí ostatní • • •Cookie program (70. léta) •Creeper (1971) •ANIMAL (1975) •XEROX worm (1979) První nebezpečné viry, příchod osobních počítačů a nových hackerů, konstrukce virů ve vědeckém prostředí (80.léta) •Apple viry •Apple II (1977) první osobní počítač, který se rozšířil, ukázal, že počítač může být pro každého •Platforma, na níž se objevily první viry psané přímo uživateli (většinou studenty) •První pojmenovaný virus – Elk Cloner – 1981 • •Virus, který vytvořil Joe Dellinger v roce 1981 •chtěl vědět jak moc je nutné změnit kód operačního systému DOS 3.3, aby mohl kopírovat sám sebe jako virus •Druhá verze viru způsobovala neočekávané poruchy •Šířil se prostřednictvím pirátských kopií počítačové hry Congo Bongo • CyberAIDS – 1988 – •vytvořen skupinou hackerů •vydání Pro Dosu (1983), zaktivizovalo hackery chtěli vytvořit kopii systému, v níž bude obsažen virus •Časté ztotožňování počítačového viru s virem HIV •Virus Festering Hate – od stejných autorů, šířil se prostřednictvím BBS fóra, využíval telekomunikační program Zlink, virus přenášen přes ranou verzi internetu •po 25 spuštěních virus zahájil mazání disku •objevilo se několik programů, které bojovaly proti tomuto viru, dokázaly jej odhalit • • •Jméno tvůrce viru Lord Digital patří Patricku Karlu Kroupovi slavnému hackerovi, který prošel mnoha významnými hackerskými skupinami v 80. letech • •patří k první generaci, která již od dětských let vyrůstala s osobnímimi počítači •Patřil do první skupiny hackerů pro počítače Apple - pirátské kopie her, prolomení ochrany, hackování telefonů •Poté společně s dalšími založil slavnou hackerskou skupinu – Legion of Doom (1984) •v 80.letech člen kontrakulturního hnutí, jež se scházelo v New Yorku, změnilo jeho pohled na úlohu technologií • •V 90. Letech vstoupil do mainstreamu svou esejí o počátcích a budoucnosti kyberprostoru •Voices in my Head, MindVox: The Overture •stal se známou osobností, mytologii kyberprostoru rozvíjí v časopisu Wired •Bral velmi dlouho drogy, závislost na heroinu •Virus Load Runner (1989) – varovné hlášení • • • • •Virus Blackout (1989) – kompletní ztišení počítače, černé pozadí, počítač zcela neaktivní •apple problém virů nijak neřešil, neboť se neprojevoval v tak velkém měřítku, vždy se snažili pouze vytvořit lék na virus, ale nezaměřovali se na prevenci hrozby nebo pronásledování hackerů •v této době komunita kolem počítačů Apple připomínala malé město kde se všichni znají a důvěřují si •Po roce 89 přesun hackerů na jiné počítače Amiga, PC, Atari ST Viry na počítači Amiga (1985) – praktická realizace myšlenky počítačového viru v Evropě • • • • •Uvedení Amigy v roce 1985 •V USA méně známý počítač – určen pro umělce, hackery •V Evropě velmi rozšířený, mnoho hackerských skupin, •Tvorba virů předmětem undergroundové počítačové kultury zejména v Evropě •Charakteristické vlastnosti těchto komunit – technologické nadšení, amorálnost, chaotičnost, kreativita • • • •Nejznámější skupiny: Byte Bandits, Swiss Cracking Association •První virus – SCA Virus (1987) – ukryt v textovém procesoru WordPerfect •Když infikoval počítač naspal následující sdělení - https://www.youtube.com/watch?v=bac84Ibo_y4 • • •Virus SCA využíval boot sector na disku o velikosti 1024 bytů kódu •při spuštění disku se nejdříve spustil kód viru a nakopíroval se do paměti, pak se spustil správný kus kódu •SCA virus neměl za úkol poškodit počítač •Hlavním úkolem dokázat, že je možné napsat program tohoto druhu •Věta: „Something wonderful has happened…“ inspirována tímto filmem •Virus od hackera ze skupiny Byte Bandit - zčernání obrazovky a zaseknutí počítače¨, nutné napsat tajný kód •Lamer Exterminator (1989) - přepisoval náhodné sektory na disku slovem Lamer! •Saddam Hussein (1991) •Právě v roce 1987 se objevilo větší množství virů i na ostatní platformy, začalo se uvažovat o jejich nebezpečnosti •Zaměstnanec firmy Commodore Bill Coester přidělen na výzkum virů, úkol: zajistit jejich eliminaci, •Commodore začal uvažovat o virech jako o problému •Varování časopisu AmigaWorld (1988) Amiga World Vol 04 11 1988 • Tvorba virů ve vědeckém prostředí •Fred Cohen – jeden z prvních vědců, který se zabýval viry a jejich nebezpečným potenciálem •pokusil se vyvinout experimentální počítačový virus, aby dokázal, že se jedná o nový typ hrozby •3.11.1983 - vypuštěn první experimentální virus na týdenním semináři počítačové bezpečnosti •Různá bezpečnostní opatření, virus byl pod kontrolou •Měřena rychlost útoků viru, rychlost je překvapila nejvyšší rychlost pod ½ sekundy •Jakmile byly výsledky experimentu zveřejněny, administrátoři zakázali další experimenty na jejich systému (UNIX) •Vedoucí počítačové bezpečnosti nepovolil další experimenty •Březen 1984 další experiment – virus na Bell – LaPadula systému •Virus dokázal překročit uživatelské privilegie a pohybovat z nižší úrovně zabezpečení do vyšší úrovně •Raná 80. léta návrat Core Wars (A. K. Dewdney) – programy soutěží o místo v paměti, snaží se zničit konkurenční program •od roku 1986 pravidelné soutěže •Software volně ke stažení •Ukázka: https://www.youtube.com/watch?v=-ytlji6T8R0 • • Negativizace viru (druhá pol. 80. let) •1984 - Virus hlavním tématem prezentace Freda Cohena na konferenci o počítačové bezpečnosti •1985 - první článek o počítačových virech v magazínu Times •Brain virus (1986) – první PC virus – infikoval soubory s příponou exe a com •1987 - Virus Lehigh – první file infector, který se dostal do širšího povědomí, protože mazal celý disk, ovlivnil antivirovou scénu •Email worm CHRISTMA EXEC pro IBM střediskové počítače - šířil se prostřednictvím emailu • •V roce 1987 uspořádal Christopher Langton první konferenci věnovanou tematice umělého života, která se konala v Los Alamos •Langton vyloučil z konference jakékoliv příspěvky týkající se počítačových virů, až na jedinou výjimku: A Core War Bestiary of Viruses, Worms and Other Threats to Computer Memories •Nechtěl, aby byl nový obor spojován s počítačovými viry • •Jeruzalem virus – destruktivní náklad, svého vzniku, autor Yisrael Radai, první MS-DOS virus, jež mohl infikovat širokou škálu souborů, vzorem pro další tvůrce virů, různé verze •Edice - COMPUTE! Book - Computer Viruses – Ralph Roberts - První kniha o ochraně před počítačovým virem – velmi emotivní až hysterické, přichází nový nepřítel, který ohrožuje naše harddisky Morris Worm – mediální virus •Tvůrce student Robert Morris •Autor původně vůbec nezamýšlel vytvořit nebezpečný program •Kvůli chybě v programování počítačový červ unikl •Škody ve výši 10 000 000 dolarů •Využíval chyby v síti, šířil se ranou verzí internetu •Tento případ široce medializován • • • • • •Morris Worm určil způsoby, kterými bude prezentován virus v médiích – obraz nebezpečných hackerů, debaty s odborníky, antropomorfizace viru •Morris byl za svůj čin odsouzen ke 400 hodinám veřejných prací •Počítačový červ také upozornil na zranitelnost internetové sítě a nedostatečné institucionální zázemí pro potírání digitální kriminality •Vznik institutu CERT (1988), který se specializuje na otázky digitální bezpečnosti. • •Morris Worm se stal důležitou součástí historie digitální kultury, uložen v Muzeu počítačové historie • AIDS Trojan (1989) •v roce 1989 odesláno 10 00 kusů disket s informacemi o AIDS •program se instaloval do složky, ale přitom vytvořil skrytou složku s jiným programem, který po několika spuštěních počítače zašifroval harddisk •objevila se zpráva, že pokud chce uživatel rozšifrovat data a obdržet šifrovací klíč musí zaplatit poplatek 90. léta – Nové formy virů, rychlé šíření skrze internet •Nové viry •Polymorfní - při šíření se modifikují •mnohostranné viry (multipartite virus) - infikují různé oblasti v počítači, soubory i systémové oblasti disku (soubory exe, com nebo boot sektor) •stealth viry - viry, které se dokáží maskovat v systému – virus Frodo • •obliba virtuálních bulletinů zvaných Virus-exchange boards – komuikační platforma pro tvůrce virů •Centrem tvorby virů – Bulharsko, Rusko •1991- na Virus-exchange boards se objevují konstrukční soupravy, které umožňují vytvoření vlastního viru prakticky komukoliv •1992 – Generátory virů - Běžný uživatel si mohl během několika sekund vytvořit vlastní virus. Michelangelo virus (1992) • •Způsobil masovou hysterii •Přepisoval data na pevném disku •šířil se prostřednictvím softwaru uloženého na disketách od různých prodejců •Johnem McAfee předpověděl, že tento virus zasáhne stovky tisíc počítačů •Prodej antivirových programů se prudce zvýšil •Reálný dopad byl mnohem menší • One_Half.3544.A. •Vytvořen na Slovensku •Silně polymorfní a multipartitní virus •Chytré maskování před všemi tehdejšími antiviry •Šifroval data na pevném disku a když měl být odstraněn, zašifrovaná data zůstala nečitelná •Údajné místo jeho vzniku – Košická univerzita • Černobyl (1998) •poprvé zaregistrovaný na Taiwanu, kde neznámý hacker poslal infikované soubory do místní internetové konference •Virus se rozšířil do USA a začal se šířit pomocí infikovaných počítačových her z několik populárních serverů •Masivní šíření do celého světa •každého 26. dubna vymazal Flash BIOS Solar Sunrise (1998) •Virus, který ovládl zhruba 500 vládních vojenských systémů •Incident byl původně připisován iránským vládním hackerům •Brzy se ale přišlo na to, že autory viru byli dva Američané 2000 – 2010 - Období makrovirů, backdoor viry, DoS útoky Melissa (1999) •Jeden z prvních makrovirů •Melissa se šířila skrze programy Microsoft Word a Excel •z e-mailového klienta Microsoft Outlook rozesílala hromadné e-maily na všechny adresy uživatele •Masová výroba elektronické pošty I love you (2000) •Infikoval 10 procent počítačů připojených k internetové síti •Skrýval se v emailové příloze •Jakmile byl aktivován rozeslal sám sebe na všechny adresy uložené v emailovém adresáři •Autoři: Onel de Guzman, Irene de Guzman a Reomel Lamores ANNA KOURNIKOVA •Virus vytvořen pomocí tzv. virového generátoru •Příloha měla obsahovat fotografie známé ruské tenistky •Opět se rozesílal na všechny dostupné adresy •Chytrý nápad zajistil masivní šíření viru MyDoom (2004) •Šíří se pomocí e-mailů ve formě přílohy •Když je virus vypuštěn zavede do počítače backdoor, který otevře porty pro přístup na internet •Umožňuje tak útočníkovi přístup k souborům počítače •Odhaduje se, že zasáhl 20 až 30 procent všech počítačů • • SpamTool.Win32.Small.b •Virus, který vnikl do počítače a sbíral zde adresy, které posílal tvůrci viru •Poté na ně mohl posílat nevyžádanou poštu •phishing – emaily, které žádají po uživateli číslo kreditní karty •Mohl obchodovat se seznamem adres Stuxnet (2010) •Infikoval průmyslový software firmy Siemens •Hlavním cílem viru byly různé průmyslové objekty na území Íránu •Šířil se prostřednictvím USB disků •nejspíše se jednalo o armádní projekt, který vznikl buď na území Izraele nebo USA Flame (2012) •využíván pro špionáž na středním východě •sbírá data nejrůznějšího druhu •zasaženo přibližně 1000 počítačů •podporuje tzv. kill command, který vymaže veškeré stopy viru •Původ v tajných službách a armádě •Velmi sofistikovaný