Zmieniaj膮ce si臋 zagro偶enia, ewoluuj膮ce rozwi膮zania bezpiecze艅stwa: historia wirus贸w i program贸w antywirusowych

David Emm
Starszy konsultant ds. technologii, Kaspersky Lab UK

Od pojawienia si臋 pierwszego wirusa dla komputer贸w PC min臋艂o ponad 20 lat. Przez ten czas znacznie zmieni艂 si臋 charakter zagro偶e艅. Wsp贸艂czesne zagro偶enia s膮 o wiele bardziej z艂o偶one. Wi臋kszo艣膰 dzisiejszych szkodliwych program贸w, obejmuj膮cych trojany, exploity, rootkity, ataki phishingowe, spam oraz oprogramowanie spyware, jak r贸wnie偶 klasyczne wirusy i robaki, tworzonych jest w okre艣lonym celu - do przechwycenia maszyn u偶ytkownik贸w, wykorzystywanych nast臋pnie do nielegalnego osi膮gania korzy艣ci finansowych. Internet umo偶liwia przeprowadzenie b艂yskawicznych atak贸w na komputery, kt贸re - w zale偶no艣ci od preferencji autor贸w szkodliwych program贸w lub sponsoruj膮cego je podziemia przest臋pczego - mog膮 by膰 organizowane na szerok膮 skal臋, jak r贸wnie偶 mie膰 charakter selektywny. Szkodliwy kod mo偶e by膰 osadzony w wiadomo艣ci e-mail, wstrzykni臋ty do fa艂szywych program贸w lub umieszczony na stronach internetowych, z kt贸rych jest nast臋pnie pobierany przez trojana zainstalowanego na zainfekowanej maszynie. Skala tego problemu, pod wzgl臋dem samych tylko liczb, ci膮gle wzrasta. Baza sygnatur zagro偶e艅 firmy Kaspersky Lab zawiera blisko 600 000 wpis贸w - co tydzie艅 dodawanych jest oko艂o 3 500 nowych.

W ka偶dej dziedzinie ludzkiej aktywno艣ci m艂odsze pokolenie korzysta z osi膮gni臋膰 poprzednik贸w i pr贸buje przeciera膰 nowe szlaki. Zasada ta obowi膮zuje r贸wnie偶 w 艣wiecie tw贸rc贸w szkodliwego kodu. Kolejne fale szkodliwego kodu na nowo kszta艂towa艂y krajobraz zagro偶e艅.

Naturaln膮 odpowiedzi膮 na pojawianie si臋 kolejnych generacji zagro偶e艅 by艂a ewolucja rozwi膮za艅 bezpiecze艅stwa. W rezultacie, zar贸wno jedne jak i drugie zupe艂nie nie przypominaj膮 tych, kt贸re istnia艂y, gdy po raz pierwszy pojawi艂 si臋 problem wirus贸w. Jakie czynniki mia艂y wp艂yw na rozw贸j szkodliwego kodu? W jaki spos贸b rozwi膮zania bezpiecze艅stwa musia艂y ewoluowa膰, aby stawi膰 czo艂o wy艂aniaj膮cym si臋 zagro偶eniom?

Pierwsze wirusy dla komputer贸w PC, wirusy sektora startowego

Pierwszy wirus dla komputer贸w PC, Brain, pojawi艂 si臋 w 1986 r. Brain by艂 wirusem sektora startowego - jego dzia艂anie polega艂o na modyfikowaniu pierwszego sektora na dyskietce. Cykl 偶ycia wirusa sektora startowego jest nast臋puj膮cy: po uruchomieniu przez u偶ytkownika systemu z zainfekowanego no艣nika wirus automatycznie wykonuje si臋, 艂aduj膮c sw贸j kod do pami臋ci. Nie musi to by膰 dysk systemowy. W wi臋kszo艣ci przypadk贸w u偶ytkownik wcale nie chce uruchamia膰 systemu z dyskietki. Zazwyczaj zapomina j膮 wyj膮膰, a nast臋pnego dnia, podczas uruchamiania komputera, nie pami臋ta, 偶e dyskietka nadal znajduje si臋 w maszynie. Je偶eli BIOS zosta艂 skonfigurowany w taki spos贸b, aby m贸g艂 uruchamia膰 si臋 z dyskietki (naturalnie w obecnych czasach coraz wi臋cej komputer贸w PC nie posiada nap臋du na dyskietki), system wykrywa j膮 w nap臋dzie A: i automatycznie 艂aduje dowolny kod, kt贸ry znajduje si臋 w sektorze startowym: w przypadku zainfekowanej dyskietki, jest to kod wirusa. U偶ytkownik u艣wiadamia sobie, 偶e pr贸bowa艂 uruchomi膰 system z dyskietki, dopiero gdy widzi komunikat: 'Non system disk or disk error, replace and press any key when ready'. Wyjmuje dysk i kontynuuje prac臋, ca艂kowicie nie艣wiadomy tego, co w艂a艣nie zasz艂o. To, co nast膮pi p贸藕niej, b臋dzie zale偶a艂o od wykorzystywanego systemu operacyjnego. Wirusy sektora startowego infekuj膮 na poziomie BIOS, zanim zostanie za艂adowany system operacyjny, s膮 wi臋c niezale偶ne od systemu operacyjnego1. Wykorzystuj膮 jednak funkcje systemu DOS, aby rezydowa膰 w pami臋ci i rozprzestrzenia膰 si臋 na inne dyskietki, dlatego je偶eli system operacyjny nie obs艂uguje DOS-a, wirusy nie mog膮 za艂adowa膰 si臋 i rozprzestrzenia膰. Wirusy sektora startowego s膮 skutecznie usuwane przez ka偶dy system operacyjny poza DOS-em, Windowsem 3.x oraz Windowsem. Wirusy te mog膮 wyrz膮dzi膰 szkod臋 w systemie operacyjnym innym ni偶 DOS, pod warunkiem 偶e zostan膮 zakodowane do wykonania szkodliwej procedury na poziomie BIOS przed za艂adowaniem systemu operacyjnego. Przyk艂adem jest wirus Michelangelo, kt贸ry nadpisuje pocz膮tek dysku twardego natychmiast po uruchomieniu komputera PC 6 maja ... zanim zostanie za艂adowany system operacyjny.

Autorzy wirus贸w sektora startowego nie musieli ucieka膰 si臋 do socjotechniki w celu rozprzestrzeniania swoich twor贸w. Poza przypadkowym pozostawieniem zainfekowanej dyskietki w nap臋dzie, nie by艂a wymagana prawie 偶adna interakcja ze strony u偶ytkownika. W tamtych czasach dyskietki stanowi艂y g艂贸wny spos贸b przenoszenia danych z komputera na komputer czy od u偶ytkownika do u偶ytkownika. Dlatego istnia艂o du偶e prawdopodobie艅stwo, 偶e kto艣 przeka偶e zainfekowan膮 dyskietk臋 swojemu przyjacielowi, koledze lub klientowi, rozprzestrzeniaj膮c w ten spos贸b wirusa.

Wirusy sektora startowego udoskonalano i rozwijano w kolejnych latach. O ile Brain infekowa艂 tylko dyskietki, wi臋kszo艣膰 jego nast臋pc贸w infekowa艂a r贸wnie偶 dysk twardy. W wi臋kszo艣ci przypadk贸w oznacza艂o to zapisywanie kodu do sektora MBR (Master Boot Record). Niekt贸re wirusy (Form) infekowa艂y sektor startowy dysku twardego. Nieliczne (np. Purcyst) infekowa艂y zar贸wno MBR, jak i sektor startowy.

Wirusy plikowe dla systemu DOS

Do 1995 roku wirusy sektora startowego stanowi艂y oko艂o 70% wszystkich infekcji. Nie by艂 to jednak jedyny typ wirus贸w. W okresie tym pojawi艂y si臋 r贸wnie偶 wirusy, kt贸re infekowa艂y pliki wykonywalne systemu DOS - na pocz膮tku pliki COM, p贸藕niej pliki EXE. Wirusy te modyfikowa艂y atakowany plik w taki spos贸b, aby zapewni膰 automatyczne uruchomienie swojego kodu w momencie otwierania programu. Istnia艂o wiele r贸偶nych metod infekowania plik贸w.

Typow膮 metod膮 by艂o dodawanie kodu wirusa na koniec infekowanego pliku i modyfikowanie jego nag艂贸wka, tak aby 艂adowa艂 najpierw kod wirusa, a p贸藕niej instrukcje oryginalnego programu. Istnia艂o kilka odmian tej metody. Niekt贸re wirusy dodawa艂y sw贸j kod na pocz膮tek pliku. Inne umieszcza艂y go w kilku miejscach wewn膮trz pliku. Jeszcze inne, zwane wirusami nadpisuj膮cymi, ca艂kowicie zast臋powa艂y oryginalny kod. Poniewa偶 po nadpisaniu zainfekowany program nie uruchamia艂 si臋, niewiele z takich wirus贸w istnia艂o na wolno艣ci. Ich obecno艣膰 by艂a zbyt oczywista, aby mog艂y d艂ugo przetrwa膰. Niekt贸re wirusy wybiera艂y alternatywn膮 metod臋 infekcji. Wirusy towarzysz膮ce, na przyk艂ad, przechowywa艂y sw贸j kod w oddzielnym pliku "towarzysz膮cym". Taki wirus zmienia艂 na przyk艂ad standardow膮 nazw臋 pliku RUNME.EXE na RUNME.EXD i tworzy艂 nowy plik RUNME.EXE zawieraj膮cy kod wirusa. Gdy u偶ytkownik uruchomi艂 program, najpierw 艂adowany by艂 wirus, kt贸ry nast臋pnie przekazywa艂 kontrol臋 oryginalnemu programowi, przy czym u偶ytkownik nie zauwa偶a艂 niczego podejrzanego. Inn膮 alternatyw膮 by艂 tak zwany wirus link, kt贸ry rozprzestrzenia艂 si臋 poprzez manipulowanie sposobami uzyskiwania dost臋pu do plik贸w w systemie plik贸w FAT wykorzystywanym przez system DOS. U偶ytkownik otrzymywa艂 zainfekowany plik (np. na dyskietce) i uruchamia艂 go. Wirus 艂adowa艂 si臋 do pami臋ci i tworzy艂 na dysku plik (zazwyczaj ukryty) zawieraj膮cy kod wirusa. Nast臋pnie modyfikowa艂 system plik贸w FAT, aby 艂膮czy膰 inne pliki z sektorem dysku zawieraj膮cym kod wirusa. W rezultacie po ka偶dym uruchomieniu zainfekowanego pliku system wykonywa艂 najpierw kod wirusa.

Jednym z powod贸w, dla kt贸rych wirusy plikowe nie by艂y tak rozpowszechnione jak wirusy sektora startowego, by艂o to, 偶e u偶ytkownicy niezbyt cz臋sto wymieniali si臋 programami, szczeg贸lnie w 艣rodowisku biznesowym. Wprawdzie wymieniali si臋 dyskietkami, jednak g艂贸wnie w celu przenoszenia danych. Najskuteczniejsze i najszybciej rozprzestrzeniaj膮ce si臋 wirusy plikowe rezydowa艂y w pami臋ci: wirusy te, zwane wirusami plikowymi o po艣rednim dzia艂aniu, potrafi艂y monitorowa膰 aktywno艣膰 w systemie i zainfekowa膰 dowolny plik uruchomiony przez u偶ytkownika. W przeciwie艅stwie do nich, wirusy plikowe dzia艂aj膮ce bezpo艣rednio infekowa艂y plik (lub pliki) w momencie uruchomienia zainfekowanego programu, a nast臋pnie ulega艂y hibernacji do momentu kolejnego uruchomienia zainfekowanego pliku. Wirusy tego typu rozprzestrzenia艂y si臋 mniej skutecznie. Innym czynnikiem sprzyjaj膮cym rozprzestrzenianiu wirus贸w plikowych by艂a masowa dystrybucja zainfekowanych no艣nik贸w, na przyk艂ad rozpowszechnianie zainfekowanych dysk贸w na ok艂adkach magazyn贸w.

Krajobraz wirus贸w w latach 80-tych.

Pod koniec lat 80-tych liczba wirus贸w plikowych stale zwi臋ksza艂a si臋, jednak na scenie dominowa艂a jedynie garstka skutecznych szkodnik贸w. Jednym z nich by艂 wirus Jerusalem, kt贸ry rozprzestrzenia艂 si臋 w wielu firmach, instytucjach naukowych oraz agencjach rz膮dowych i spowodowa艂 13 maja 1988 r. (dzie艅 ten przeszed艂 do historii jako "Czarny Pi膮tek") pierwsz膮 powa偶n膮 epidemi臋. Innym skutecznie rozprzestrzenianym wirusem by艂 Vienna - po opublikowaniu jego kodu 藕r贸d艂owego pojawi艂o si臋 wiele wariant贸w tego szkodnika. Cascade, znany z tego 偶e by艂 to pierwszy zaszyfrowany wirus, rozprzestrzenia艂 si臋 a偶 do lat 90.

W p贸藕niejszym czasie niekt贸rzy autorzy wirus贸w pr贸bowali tworzy膰 szkodniki b臋d膮ce po艂膮czeniem wirus贸w plikowych i wirus贸w sektora startowego. Tequila, Junkie i Natas to przyk艂ady skutecznych szkodnik贸w znanych jako wirusy wielocz臋艣ciowe (multipartite).

W okresie tym problem stanowi艂y niemal wy艂膮cznie wirusy. Jednak ju偶 wtedy istnia艂o kilka robak贸w, z kt贸rych najbardziej znany, Morris, zosta艂 wykryty w listopadzie 1988 r. i zdo艂a艂 zainfekowa膰 oko艂o 6 000 niezabezpieczonych system贸w (oko艂o 10% wszystkich komputer贸w pod艂膮czonych do Internetu w 1988 r.). Nale偶y pami臋ta膰, 偶e w tym czasie Internet wykorzystywany by艂 niemal wy艂膮cznie przez instytucje rz膮dowe i naukowe. Czas robak贸w internetowych jeszcze nie nadszed艂.

Opr贸cz robak贸w istnia艂a r贸wnie偶 garstka trojan贸w. S艂owo trojan (skr贸t od ko艅 troja艅ski) pochodzi od drewnianego konia, kt贸rym pos艂u偶yli si臋 Grecy, aby wedrze膰 si臋 do Troi. Pierwsze trojany, jakie pojawi艂y si臋 pod koniec lat 80-tych ubieg艂ego stulecia, podszywa艂y si臋 pod nieszkodliwe programy. Gdy nie艣wiadomy niebezpiecze艅stwa u偶ytkownik uruchomi艂 taki program, trojan dostarcza艂 swoj膮 szkodliw膮 funkcj臋. Zgodnie z definicj膮 podawan膮 przez wi臋kszo艣膰 producent贸w oprogramowania antywirusowego, trojan to niezdolny do samodzielnego rozprzestrzeniania si臋 program, kt贸ry z pozoru wygl膮da na legalny, w rzeczywisto艣ci jednak jego celem jest wykonanie szkodliwego dzia艂ania na zaatakowanym komputerze.

Brak mo偶liwo艣ci samodzielnego rozprzestrzeniania si臋 trojan贸w jest g艂贸wn膮 cech膮 odr贸偶niaj膮c膮 je od wirus贸w. Wirusy to paso偶yty, kt贸re dodaj膮 sw贸j kod do infekowanego pliku. W ten spos贸b mog膮 rozprzestrzenia膰 si臋 z pliku do pliku, a im d艂u偶ej u偶ytkownik jest zainfekowany, tym dalej wirus rozprzestrzenia si臋 w jego komputerze (a tak偶e w sieci, je艣li u偶ytkownik mo偶e uzyska膰 dost臋p do sieci). W odr贸偶nieniu od wirus贸w trojany nie posiadaj膮 mechanizmu replikacji. Z tego powodu autorzy trojan贸w musieli znale藕膰 jaki艣 spos贸b r臋cznego rozprzestrzeniania swojego kodu. Zwykle umieszczali go na forach pod przykrywk膮 przydatnej aplikacji, celowo "wpuszczali" do sieci korporacyjnej lub wykorzystywali us艂ugi pocztowe w celu wys艂ania kodu do zdefiniowanej wcze艣niej listy ofiar.

Twelve Tricks by艂 zmodyfikowan膮 wersj膮 programu sprawdzaj膮cego wydajno艣膰 dysku twardego. Po zainstalowaniu trojan zapisywa艂 si臋 do g艂贸wnego rekordu startowego dysku i wykonywa艂 jedn膮 ze swoich dwunastu "sztuczek". Wiele z takich sztuczek powodowa艂o, 偶e zaatakowany u偶ytkownik zdawa艂 si臋 mie膰 problemy z dyskiem twardym. Niestety, istnia艂o r贸wnie偶 ryzyko, 偶e celem trojana jest sformatowanie 艣cie偶ki na dysku twardym zawieraj膮cej sektor startowy lub stopniowe uszkadzanie system贸w plik贸w FAT.

Jednym z pierwszych trojan贸w by艂 r贸wnie偶 Aids Information Disk. Pod koniec 1989 roku 20 000 dyskietek z tym trojanem zosta艂o wys艂anych na adresy skradzione PC Business World i World Health Organization przez firm臋 PC Cyborg. Dyskietki te zawiera艂y rzekomo informacje na temat wirusa HIV - tak wiec autor szkodnika wyra藕nie 偶erowa艂 na powszechnej obawie, jak膮 wywo艂ywa艂a ta choroba. Po uruchomieniu przez u偶ytkownika programu instalacyjnego trojan zapisywa艂 si臋 na dysk twardy, tworzy艂 w艂asne ukryte pliki i foldery oraz modyfikowa艂 pliki systemowe. Po 90 uruchomieniach komputera PC trojan szyfrowa艂 zawarto艣膰 dysku twardego, uniemo偶liwiaj膮c dost臋p do danych. Jedynym dost臋pnym plikiem na dysku by艂 plik README: zawiera艂 on rachunek i adres skrzynki pocztowej w Panamie w celu dokonania zap艂aty.2

Trojany zyska艂y popularno艣膰 znacznie p贸藕niej.

Ukrywanie si臋 i polimorfizm

W okresie tym rozwijano r贸wnie偶 techniki pozwalaj膮ce na zwi臋kszenie "okna mo偶liwo艣ci", czyli okresu, w kt贸rym wirus m贸g艂 rozprzestrzenia膰 si臋 niewykryty. Techniki ukrywania mia艂y na celu maskowanie przed u偶ytkownikiem zmian, jakie wirus dokona艂 w systemie. Obejmowa艂y one blokowanie komunikat贸w o b艂臋dzie, kt贸re mog艂yby zdradzi膰 obecno艣膰 wirusa, fa艂szowanie informacji o pliku, tak aby nie mo偶na by艂o zauwa偶y膰, 偶e zwi臋kszy艂 si臋 jego rozmiar, oraz przechwytywanie pr贸b odczytania sektor贸w systemowych przy u偶yciu narz臋dzia do edycji sektor贸w. P贸藕niejsze techniki ukrywania by艂y jeszcze bardziej wyrafinowane: gdy skaner antywirusowy pr贸bowa艂 czyta膰 pliki, kod wirusa by艂 odfiltrowywany z zainfekowanych plik贸w. Spowodowa艂o to konieczno艣膰 skanowania pami臋ci przed sprawdzeniem dysku (szyfrowanie kodu wirusa w pami臋ci by艂o tak skomplikowane, 偶e niewiele wirus贸w stosowa艂o t臋 technik臋).

Inn膮 technik膮 wykorzystywan膮 do obchodzenia skaner贸w antywirusowych by艂 polimorfizm. Termin "polimorfizm" pochodzi z greckiego i oznacza "wiele form". Technika ta polega na szyfrowaniu kodu wirusa, tak aby wraz z ka偶d膮 infekcj膮 wirus przyjmowa艂 inn膮 form臋. W ten spos贸b program antywirusowy nie mo偶e szuka膰 sta艂ej sekwencji bajt贸w. Pierwsze wirusy polimorficzne "proof-of-concept" stworzono w 1990 r. Jednak dopiero w kwietniu 1991 roku, wraz z pojawieniem si臋 wirusa Tequila, kod polimorficzny zacz膮艂 wyst臋powa膰 na wolno艣ci. Polimorfizm spowodowa艂, 偶e programy antywirusowe nie mog艂y opiera膰 si臋 wy艂膮cznie na sygnaturach. Konieczne sta艂o si臋 opracowanie innych technik, 艂膮cznie z emulacj膮 kodu wirusa, lub wykorzystywaniem algorytm贸w matematycznych, umo偶liwiaj膮cych "przejrzenie" kodu.

Obie techniki by艂y ulepszane i wykorzystywane przez kolejne pokolenia tw贸rc贸w wirus贸w.

Wczesne rozwi膮zania antywirusowe

Jak wygl膮da艂y rozwi膮zania antywirusowe w okresie pojawienia si臋 pierwszych wirus贸w? Problem wirus贸w nie wyst臋powa艂 pocz膮tkowo na du偶膮 skal臋: nowe wirusy pojawia艂y si臋 do艣膰 rzadko. Przez pewien okres niekt贸rzy uwa偶ali nawet, 偶e wirusy to mit. Pierwsze programy antywirusowe mia艂y na celu znalezienie i usuni臋cie pojedynczych wirus贸w lub - p贸藕niej - niewielkiej ich liczby.

P贸藕niej, gdy w 1989 r. liczba wirus贸w zacz臋艂a wzrasta膰, powstawa艂y "zestawy narz臋dzi" antywirusowych. Rdze艅 tych program贸w stanowi艂 skaner na 偶膮danie s艂u偶膮cy do przeszukiwania dysku w celu znalezienia kilkunastu istniej膮cych w tym czasie wirus贸w. Niekt贸re z takich zestaw贸w antywirusowych potrafi艂y usuwa膰 zainfekowany kod. Pewna ich cz臋艣膰 zawiera艂a narz臋dzia do obliczania sum kontrolnych pozwalaj膮ce na "oznakowanie" plik贸w na niezainfekowanym dysku, tak aby widoczne by艂y wszelkie dokonane w nich zmiany, nawet je艣li pliki zosta艂y zmodyfikowane przez ca艂kowicie nowego wirusa.

Pocz膮tkowo programy antywirusowe oferowa艂y tylko skanowanie na 偶膮danie, a liczba nowych wirus贸w ros艂a bardzo powoli. Wolne - jak na dzisiejsze standardy - by艂o r贸wnie偶 tempo rozprzestrzeniania si臋 szkodnik贸w. Du偶e znaczenie mia艂o zatem regularne skanowanie systemu oraz posiadanie "sposob贸w" zapewniaj膮cych usuni臋cie wszystkiego, co mog艂o przedosta膰 si臋 do komputera firmowego lub domowego. W tej sytuacji nieodzownym narz臋dziem by艂 czysty dysk systemowy: uruchomienie systemu w trybie awaryjnym zapewnia艂o, 偶e w pami臋ci nie znajduje si臋 偶aden wirus, kt贸ry m贸g艂by zak艂贸ci膰 skanowanie i legalne operacje 3. W wielu przypadkach firmy nie instalowa艂y oprogramowania antywirusowego na poszczeg贸lnych maszynach, przynajmniej nie na pocz膮tku (zmienia艂o si臋 to, po tym jak dana firma pada艂a ofiar膮 ataku wirusa). Administrator zwykle przeprowadza艂 regularne "zamiatanie" systemu i pr贸bowa艂 sprawdza膰 dyskietki, zanim pozwoli艂 pracownikom korzysta膰 z nich.

Standardowy cykl aktualizacji oprogramowania antywirusowego wynosi艂 kwarta艂. Mimo 偶e niekt贸rzy producenci oprogramowania antywirusowego oferowali comiesieczne aktualizacje, zwykle nie by艂y one traktowane jako konieczne, a ci, kt贸rzy potrzebowali dodatkowej warstwy ochrony p艂acili za cz臋stsze aktualizacje dodatkow膮 op艂at臋. Naturalnie uaktualnienia by艂y dostarczane na no艣nikach fizycznych... dyskietkach.

Wzrost liczby zagro偶e艅, ewolucja metod wykrywania

Pod koniec 1990 roku liczba wirus贸w zbli偶y艂a si臋 do 300. W obliczu wzrostu zagro偶enia producenci oprogramowania antywirusowego zacz臋li implementowa膰 ochron臋 w czasie rzeczywistym. Oznacza艂o to rozwijanie program贸w TSR (Terminate and Stay Resident), kt贸re - podobnie jak skuteczne wirusy z tego okresu - monitorowa艂y system, przechwytuj膮c dost臋p do dysku i plik贸w w celu wykrycia znanych wirus贸w.

Ponadto, firmy antywirusowe zacz臋艂y poszukiwa膰 sposob贸w proaktywnego wykrywania wirus贸w, tj. bez wykorzystywania sygnatur, za pomoc膮 tzw. analizy heurystycznej. Specjali艣ci z dziedziny oprogramowania antywirusowego, posiadaj膮cy coraz wi臋ksze do艣wiadczenie w zakresie technik stosowanych przez szkodliwe programy, stworzyli list臋 "podejrzanych" cech, z kt贸rych ka偶da posiada艂a okre艣lon膮 liczb臋 punkt贸w. Skaner analizowa艂 kod w poszukiwaniu tych cech: je偶eli liczba punkt贸w przekroczy艂a predefiniowany pr贸g, plik identyfikowany by艂 jako prawdopodobny wirus.

Rosn膮ce zagro偶enie ze strony wirus贸w polimorficznych sk艂oni艂o producent贸w oprogramowania antywirusowego do stosowania analizy opartej na sygnaturach w po艂膮czeniu z innymi metodami, kt贸re pozwoli艂yby skanerowi "przenikn膮膰 przez" warstwy szyfrowania. Obejmowa艂y one wykorzystywanie masek, kryptoanaliz臋, analiz臋 statystyczn膮 i techniki emulacji. Wykorzystywano r贸wnie偶 emulacj臋 kodu w celu usprawnienia wykrywania heurystycznego, poprzez umo偶liwienie dynamicznej analizy kodu.

Wczesne mechanizmy blokowania zachowa艅

Alternatywnym rozwi膮zaniem problemu gwa艂townego wzrostu liczby zagro偶e艅 by艂a analiza behawioralna. Podczas gdy tradycyjne skanery antywirusowe posiada艂y bazy sygnatur szkodliwego kodu i w trakcie procesu skanowania por贸wnywa艂y z nimi kod, mechanizmy blokowania zachowa艅 identyfikowa艂y szkodliwe oprogramowanie na podstawie zachowania programu: program, kt贸ry wykona艂 dzia艂anie niemieszcz膮ce si臋 w zakresie predefiniowanych dopuszczalnych akcji by艂 blokowany.

G艂贸wn膮 zalet膮 mechanizmu blokowania zachowa艅, wed艂ug jego zwolennik贸w, jest zdolno艣膰 rozr贸偶niania pomi臋dzy "dobrymi" i "z艂ymi" programami bez konieczno艣ci analizy kodu przez specjalist臋 z zakresu wirus贸w. Poniewa偶 nie ma potrzeby ci膮g艂ej analizy okre艣lonego zagro偶enia, nie jest r贸wnie偶 konieczne aktualizowanie sygnatur wirus贸w. W ten spos贸b u偶ytkownicy s膮 chronieni przed nowymi zagro偶eniami, zanim jeszcze zostan膮 wykryte, bez konieczno艣ci dokonywania tradycyjnych aktualizacji antywirusowych.

Wad膮 tej metody jest to, 偶e granica mi臋dzy szkodliwymi a legalnymi dzia艂aniami jest p艂ynna. Ta sama funkcja mo偶e by膰 szkodliwa, je偶eli wykonywana jest przez program stworzony w celu wyrz膮dzenia szkody, lub zupe艂nie nieszkodliwa w przypadku legalnego oprogramowania. Na przyk艂ad, niskopoziomowe zapisywanie dysku mo偶e by膰 dzia艂aniem wykonywanym przez wirusa, robaka lub trojana, na przyk艂ad w celu wymazania danych z dysku twardego, lub te偶 legalnym dzia艂aniem systemu operacyjnego. W jaki spos贸b mechanizm blokowania zachowa艅 zainstalowany na serwerze plik贸w rozr贸偶nia, czy modyfikacja (lub usuni臋cie) dokumentu jest dokonywana legalnie przez u偶ytkownika czy te偶 jest wynikiem szkodliwej dzia艂alno艣ci programu? W ko艅cu wirus czy robak to tylko program, kt贸ry potrafi tworzy膰 w艂asne kopie. Poza tym mo偶e robi膰 to samo co legalne programy. Z tego powodu popularne programy antywirusowe nadal w du偶ej mierze opiera艂y si臋 na wykrywaniu znanych szkodliwych program贸w.

Mimo jej wad producenci oprogramowania antywirusowego nadal wykorzystuj膮 analiz臋 zachowa艅. Obecnie kilka rozwi膮za艅 bezpiecze艅stwa wykorzystuje analiz臋 zachowa艅 w po艂膮czeniu z innymi metodami wykrywania, blokowania i usuwania szkodliwego kodu.

Rosn膮ca liczba zagro偶e艅 to tylko jeden z problem贸w. Opisany tutaj rozw贸j technik ukrywania si臋 i polimorfizmu 艣wiadczy o nieustannej ewolucji wirus贸w. Co prawda pojawi艂o si臋 wiele s艂abych podr贸bek wirus贸w, jednak najbardziej uzdolnieni tw贸rcy szkodliwego oprogramowania stworzyli bardzo skuteczny kod i zdo艂ali wyprzedzi膰 o krok specjalist贸w z dziedziny rozwoju rozwi膮za艅 antywirusowych. Jednym z nich by艂 autor wirus贸w znany jako 'Dark Avenger', odpowiedzialny za rozw贸j zar贸wno "szybkich infektor贸w", jak i za koncepcj臋 stopniowego uszkadzania danych (wirusy Dark Avenger i Nomenklatura). Dark Avenger sta艂 r贸wnie偶 za Self-Mutating Engine (znany jako MtE), modu艂em potrafi膮cym przekszta艂ci膰 zwyk艂ego wirusa w wirusa polimorficznego4. Jego ostatnim tworem by艂 wirus o nazwie Commander Bomber, kt贸rego kod rozprzestrzeniany by艂 za po艣rednictwem programu-gospodarza, co bardzo utrudnia艂o skanowanie w celu wykrycia go.

Wymiana wirus贸w i zestawy narz臋dzi do konstruowania wirus贸w?

W pierwszej po艂owie lat 90 producenci oprogramowania antywirusowego musieli zmierzy膰 si臋 z jeszcze innymi wyzwaniami. Jednym z nich by艂y fora wymiany wirus贸w (VX). Od pocz膮tku fora wykorzystywane by艂y jako mechanizm dystrybucji wirus贸w. Do czasu rozpowszechnienia si臋 Internetu do pobierania program贸w wykorzystywane by艂y fora: umieszczenie na forum zainfekowanych plik贸w by艂o skutecznym sposobem wywo艂ania infekcji. Fora wymiany wirus贸w rozwin臋艂y si臋 p贸藕niej. Koncepcja, na kt贸rej opiera艂y si臋, by艂a prosta: na forum wymiany wirus贸w umieszczano kolekcj臋 wirus贸w, jednak aby m贸c z niej korzysta膰, nale偶a艂o najpierw samemu "wrzuci膰" wirusa. Takie fora nie tylko zach臋ca艂y do tworzenia wirus贸w, umo偶liwia艂y r贸wnie偶 rozprzestrzenianie wirus贸w, kt贸re w innej sytuacji nie mog艂yby si臋 rozpowszechnia膰. R贸wnocze艣nie wiele os贸b, zar贸wno w Europie, jak i Stanach Zjednoczonych, oferowa艂o kolekcje wirus贸w na sprzeda偶.

Kolejnym niepokoj膮cym trendem by艂o pojawienie si臋 narz臋dzi do konstruowania wirus贸w. Pozwala艂y one osobom nieposiadaj膮cym odpowiedniej wiedzy ani umiej臋tno艣ci technicznych na "stworzenie w艂asnego wirusa". Takie narz臋dzia zapewnia艂y u偶ytkownikowi interfejs, kt贸ry pozwala艂 im wybra膰 z listy cechy wirusa. Niestety wirusy stworzone przy pomocy takich narz臋dzi zawiera艂y zwykle "podpis", kt贸ry pozwala艂 specjalistom z zakresu oprogramowania antywirusowego na wykrycie ich wszystkich przy u偶yciu jednej sygnatury.

Makrowirusy

G艂贸wna zmiana w krajobrazie zagro偶e艅 nast膮pi艂a w lipcu 1995 roku, gdy pojawi艂 si臋 pierwszy makrowirus o nazwie Concept. Makrowirusy mia艂y dominowa膰 przez kolejne cztery lata.

Autor wirusa Concept wykorzysta艂 fakt, 偶e u偶ytkownicy o wiele cz臋艣ciej wymieniali si臋 danymi ni偶 programami. Przy u偶yciu polece艅 j臋zyka WordBasic5 zmodyfikowa艂 szablon NORMAL.DOT i wprowadza艂 kod wirusa, w postaci kilku automatycznych makrowirus贸w, do ka偶dego dokumentu stworzonego przez u偶ytkownika. W rezultacie ka偶dy u偶ytkownik, kt贸ry otrzyma艂 zainfekowany dokument, stawa艂 si臋 ofiar膮. Taki rozw贸j wydarze艅, ju偶 wcze艣niej przewidywany przez specjalist贸w od rozwi膮za艅 antywirusowych, posiada艂 dalekosi臋偶ne implikacje.

Po pierwsze, tw贸rcy szkodliwego oprogramowania "przerzucili si臋" z kodu wykonywalnego (pliki program贸w i sektory dysk贸w) na dane. Wcze艣niej wirusy pisane by艂y g艂贸wnie w kodzie asemblera, kt贸ry wymaga posiadania sporej wiedzy. W por贸wnaniu z nimi tworzenie makrowirus贸w - pisanych w j臋zyku WordBasic, a nast臋pnie VBA (Visual Basic for Applications) - by艂o znacznie prostsze. 艁atwiej mo偶na by艂y r贸wnie偶 je skopiowa膰: makra wirus贸w by艂y zwykle dobrze widoczne, przez co z 艂atwo艣ci膮 mog艂y zosta膰 skopiowane lub zmodyfikowane. Nagle tworzenie wirus贸w sta艂o si臋 dost臋pne dla szerokiej rzeszy. W rezultacie znacznie wzros艂a liczba wirus贸w: podczas gdy w czerwcu 1995 roku istnia艂o 6 000 wirus贸w, pod koniec roku by艂o ich ju偶 7 500, a w grudniu 1998 r. ich liczba przekroczy艂a 25 000.

Po drugie, makrowirusy by艂y pierwszymi wirusami, kt贸re celowo infekowa艂y pliki danych. Poniewa偶 plikami danych wymieniano si臋 o wiele cz臋艣ciej ni偶 programami, autorzy makrowirus贸w posiadali znacznie skuteczniejszy kana艂 rozprzestrzeniania ni偶 dawniejsi autorzy wirus贸w. Problem jeszcze bardziej komplikowa艂 fakt, 偶e poczta elektroniczna sta艂a si臋 g艂贸wnym sposobem komunikacji i wymiany danych. Rozpowszechnienie poczty elektronicznej w艣r贸d zwyk艂ych u偶ytkownik贸w, nie tylko maniak贸w komputerowych, 艂atwe do艂膮czanie plik贸w do wiadomo艣ci e-mail oraz powszechny dost臋p do Internetu stanowi艂y 偶yzny grunt dla rozprzestrzeniania si臋 makrowirus贸w.

Po trzecie, makrowirusy nie by艂y przeznaczone dla okre艣lonej platformy czy systemu operacyjnego, ale opiera艂y si臋 na aplikacji. Poniewa偶 istnia艂y wersje Worda dla systemu Windows 3.x, Windows 95, Windows NT oraz Macintosh, wszystkie te systemy by艂y nara偶one na atak lub przynajmniej stanowi艂y skuteczny no艣nik. Co wi臋cej, po pewnym czasie problem nie dotyczy艂 ju偶 tylko Worda. Poniewa偶 VBA stosowany by艂 w ca艂ym pakiecie Office (Word, Excel, PowerPoint, Access oraz Project), wszystkie te aplikacje sta艂y si臋 celem makrowirus贸w: pojawi艂y si臋 nawet makrowirusy atakuj膮ce wszystkie aplikacje pakietu Office.

Jak ju偶 wspomnieli艣my wcze艣niej, ka偶de pokolenie korzysta z osi膮gni臋膰 swoich poprzednik贸w. Tw贸rcy makrowirus贸w zainteresowali si臋 wcze艣niejszymi rozwi膮zaniami technicznymi, takimi jak ukrywanie czy polimorfizm, i zastosowali je w nowym kontek艣cie.

Serwer pocztowy i rozwi膮zania instalowane na bramach

Wraz ze zmian膮 krajobrazu zagro偶e艅 zmienia艂y si臋 rozwi膮zana przeznaczone do ochrony firm przed atakami. Przed pojawieniem si臋 makrowirus贸w punktem ci臋偶ko艣ci skanowania antywirusowego by艂 komputer stacjonarny, za艣 w mniejszym stopniu serwer plik贸w. Makrowirusy zapocz膮tkowa艂y proces rozszerzenia sieci o serwery pocztowe i bram臋 internetow膮. Przyczyna jest oczywista. Poniewa偶 poczta elektroniczna stanowi艂a g艂贸wny mechanizm rozprzestrzeniania wirus贸w, skutecznym sposobem zablokowania zagro偶enia, zanim jeszcze dotar艂o do komputera stacjonarnego, by艂o skanowanie wiadomo艣ci e-mail. Naturalnie ochrona komputer贸w stacjonarnych i serwer贸w plik贸w wci膮偶 jest niezb臋dna. Nadal jest to podstawowa bro艅 w walce z wirusami. Konieczne jest jednak zintegrowanie jej w szerszym, wielowarstwowym rozwi膮zaniu zapewniaj膮cym dog艂臋bn膮 ochron臋.

Firmy antywirusowe skoncentrowa艂y si臋 nad dalszym rozwojem mo偶liwo艣ci wykrywania proaktywnego, w szczeg贸lno艣ci poprzez implementacj臋 wykrywania generycznego. Termin "wykrywanie generyczne" odnosi si臋 do wykrywania i usuwania wielu zagro偶e艅 przy pomocy jednej sygnatury wirusa. Wykrywanie generyczne opiera si臋 na za艂o偶eniu, 偶e skuteczne zagro偶enia cz臋sto kopiowane s膮 przez innych lub dopracowywane przez ich autor贸w. W rezultacie powstaje grupa wirus贸w, robak贸w lub trojan贸w, z kt贸rych ka偶dy jest oddzielnym tworem, ale nale偶膮cym do tej samej rodziny. W wielu przypadkach mog膮 istnie膰 dziesi膮tki a nawet setki r贸偶nych wariant贸w. Wykrywanie generyczne stanowi kolejn膮 metod臋 wykrywania nowych, nieznanych zagro偶e艅 bez potrzeby tworzenia ca艂kowicie nowej sygnatury.

Narodziny spamu

Wraz z rozpowszechnieniem si臋 poczty elektronicznej jako kluczowego narz臋dzia w biznesie pojawi艂 si臋 nowy problem powszechnie znany jako spam, wiadomo艣膰 艣mie膰 lub niechciana wiadomo艣膰 e-mail. Coraz wi臋cej firm zacz臋艂o korzysta膰 z poczty elektronicznej, staj膮c si臋 tym samym atrakcyjnym celem tych, kt贸rzy poszukiwali nowych sposob贸w reklamowania swoich produkt贸w i us艂ug. Reklamowano w ten spos贸b szeroki zestaw towar贸w i us艂ug, od legalnych po obsceniczne, nielegalne lub niepo偶膮dane z innych wzgl臋d贸w.

Pojawienie si臋 i wzrost ilo艣ci spamu spowodowa艂o kilka problem贸w. Obejmowa艂y one marnowanie przepustowo艣ci, tracenie czasu przez personel na czytanie poczty niezwi膮zanej z prac膮 oraz potencjalne kwestie prawne w zwi膮zku z obsceniczn膮, seksistowsk膮, rasistowsk膮 oraz inn膮 niepo偶膮dan膮 tre艣ci膮. Klasyfikacja spamu nie jest jednoznaczna: to, co dla jednej osoby stanowi spam, dla innej mo偶e zawiera膰 cenne informacje.

Masowa wysy艂ka szkodliwego kodu

Pojawienie si臋 wirusa Melissa w marcu 1999 r. stanowi艂o kolejny ogromny krok w rozwoju wirus贸w. Z pozoru szkodnik ten wydawa艂 si臋 kolejnym makrowirusem. Jednak w przeciwie艅stwie do wcze艣niejszych makrowirus贸w, kt贸re czeka艂y, a偶 u偶ytkownik wy艣le zainfekowane dane, wirus Melissa "przechwytywa艂" system e-mail w celu proaktywnego rozprzestrzeniania si臋 6. Jedyn膮 rzecz膮, jak膮 musia艂 zrobi膰 u偶ytkownik, by艂o dwukrotne klikni臋cie myszk膮 zainfekowanego za艂膮cznika do wiadomo艣ci e-mail. Gdy to zrobi艂, wirus przechwytywa艂 adresy e-mail z ksi膮偶ki adresowej programu Outlook i wysy艂a艂 swoje kopie do kontakt贸w znajduj膮cych si臋 na li艣cie. Dzi臋ki temu mechanizmowi "masowej wysy艂ki" Mellisa rozprzestrzenia艂 si臋 szybciej i na wi臋ksz膮 skal臋 ni偶 poprzednie makrowirusy. Co gorsze, ze wzgl臋du na liczb臋 wys艂anych wiadomo艣ci e-mail Melissa stanowi艂 zagro偶enie dla stabilno艣ci infrastruktury poczty elektronicznej. Ju偶 pierwsza fala wirusa Melissy (zosta艂 umieszczony na forum grupy dyskusyjnej po艣wi臋conej seksowi) spowodowa艂a zapchanie korporacyjnych system贸w pocztowych wiadomo艣ciami e-mail. Trudno si臋 dziwi膰, 偶e wirus ten ustanowi艂 trend. Przez kilka nast臋pnych lat prawie wszystkie najgro藕niejsze wirusy i robaki posiada艂y mo偶liwo艣膰 masowego rozprzestrzeniania si臋.

Melissa spowodowa艂 znacz膮ce zmiany w charakterze zagro偶e艅 wirusowych. Zainfekowane pliki mog艂y si臋 teraz rozprzestrzenia膰 bez udzia艂u u偶ytkownika. Po przechwyceniu systemu pocztowego wirusy dysponowa艂y bardzo skutecznym mechanizmem replikacji i w ci膮gu zaledwie kilku dni by艂y w stanie spowodowa膰 globalne epidemie.

W pewnym sensie wirus Melissa zwr贸cony by艂 w dw贸ch kierunkach jednocze艣nie. Z jednej strony, cofa艂 si臋 w przesz艂o艣膰, do ery makrowirus贸w, i stanowi艂 jedn膮 z ostatnich (i najwi臋kszych) infekcji makrowirus贸w. Z drugiej strony, zwraca艂 si臋 w przysz艂o艣膰, kt贸r膮 mia艂y zdominowa膰 robaki, w szczeg贸lno艣ci robaki pocztowe.

Robaki

Robaki pocztowe

Robak to samodzielny program ze zdolno艣ci膮 do replikacji, rodzaj wirusa, kt贸ry nie potrzebuje "nosiciela". Zamiast rozprzestrzenia膰 si臋 z jednego pliku na inny w obr臋bie tego samego komputera, robak pr贸buje rozsy艂a膰 swoje kopie za po艣rednictwem sieci (lub Internetu). Z tego powodu na jednym komputerze mo偶e znajdowa膰 si臋 tylko jeden egzemplarz robaka. Powr贸t robak贸w zbieg艂 si臋 w czasie z upadkiem makrowirus贸w (na skutek zmiany przetwarzania makr, jakie wprowadzi艂a firma Microsoft) oraz wznowieniem wykorzystywania plik贸w wykonywalnych do wywo艂ywania epidemii.

Robaki pocztowe wyst臋powa艂y w r贸偶nych odmianach. Rozprzestrzenia艂y si臋 jako pliki wykonywalne (np. Happy99, pierwszy robak wsp贸艂czesnej ery), jako pliki skryptowe za艂膮czone do wiadomo艣ci e-mail (Visual Basic Script lub Java Script) lub nawet jako skrypty osadzone wewn膮trz wiadomo艣ci HTML. Tym, co je 艂膮czy艂o, by艂o rozprzestrzeniania si臋 za po艣rednictwem poczty elektronicznej oraz wykorzystywanie metod socjotechniki w celu sk艂onienia naiwnych u偶ytkownik贸w do uruchomienia szkodliwego kodu.

Termin socjotechnika odnosi si臋 do "nietechnicznego" naruszenia bezpiecze艅stwa, kt贸re w du偶ej mierze wymaga interakcji ze strony u偶ytkownika i polega na nak艂onieniu u偶ytkownika do z艂amania normalnych 艣rodk贸w bezpiecze艅stwa. W kontek艣cie wirus贸w i robak贸w zwykle oznacza to za艂膮czenie wirusa lub robaka do pozornie nieszkodliwej wiadomo艣ci e-mail. Jednym z najwcze艣niejszych przyk艂ad贸w zastosowania socjotechniki by艂 LoveLetter z tematem 'ILOVEYOU' i tre艣ci膮: 'Kindly check the attached LOVELETTER coming from me'. Innym przyk艂adem socjotechniki (tak jak w przypadku LoveLetter, SirCam, Tanatos, Netsky i wielu innych) jest dodanie za艂膮cznika z podw贸jnym rozszerzeniem w celu ukrycia prawdziwej natury zainfekowanego za艂膮cznika: domy艣lnie Windows nie wy艣wietla drugiego (prawdziwego) rozszerzenia. Jeszcze inn膮 metod膮 by艂o skonstruowanie wiadomo艣ci e-mail w taki spos贸b, aby wygl膮da艂a na nieszkodliw膮, a nawet oferowa艂a odbiorcy pewne korzy艣ci!

Robaki internetowe

Robaki pocztowe nie by艂y jedynym rodzajem robak贸w. W 2001 roku powr贸ci艂y robaki internetowe. CodeRed, kt贸ry pojawi艂 si臋 w lipcu 2001 roku, by艂 robakiem "bezplikowym". W przeciwie艅stwie do wcze艣niejszej praktyki zwi膮zanej z tworzeniem wirus贸w, kod robaka istnia艂 tylko w pami臋ci: nie pr贸bowa艂 infekowa膰 plik贸w znajduj膮cych si臋 na zainfekowanej maszynie. CodeRed wykorzystywa艂 luk臋 w zabezpieczeniach serwera Microsoft (MS01-033 'Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise') w celu atakowania serwer贸w Windows 2000. Szkodnik ten rozprzestrzenia艂 si臋 za po艣rednictwem transmisji TCP/IP na porcie 80, uruchamiaj膮c si臋 w pami臋ci w wyniku przepe艂nienia buforu, a nast臋pnie w ten sam spos贸b wysy艂aj膮c w艂asne kopie na inne niezabezpieczone serwery. CodeRed zdo艂a艂 rozprzestrzeni膰 si臋 w Internecie w ci膮gu kilku godzin, znacznie szybciej ni偶 jakiekolwiek inne szkodniki. By艂 to pierwszy raz od czasu robaka Morris, gdy do rozprzestrzeniania si臋 szkodnik wykorzysta艂 luk臋 w zabezpieczeniach. Sukces robaka CodeRed spowodowa艂, 偶e inni wzi臋li z niego przyk艂ad. Kilka miesi臋cy p贸藕niej, we wrze艣niu 2001 roku wirus Nimda wykorzysta艂 luk臋 w zabezpieczeniach przegl膮darki Internet Explorer (MS01-020, 'Incorrect MIME header can cause Outlook to execute e-mail attachment') w celu wywo艂ania kolejnej globalnej epidemii.

Nimda infekowa艂 pliki, ale w przeciwie艅stwie do wcze艣niejszych masowo rozsy艂anych zagro偶e艅 nie wymaga艂 klikni臋cia przez u偶ytkownika zainfekowanego pliku EXE za艂膮czonego do wiadomo艣ci e-mail. Zamiast tego w celu automatycznego uruchomienia si臋 na niezabezpieczonych systemach wykorzystywa艂 luk臋 w zabezpieczeniach przegl膮darki. Luka ta znana by艂a od sze艣ciu miesi臋cy, jednak wiele system贸w nie zosta艂o za艂atanych i by艂o podatnych na ataki. Dzi臋ki tej luce Nimda zdo艂a艂 zainfekowa膰 systemy na ca艂ym 艣wiecie w ci膮gu zaledwie kilku godzin.

Exploity

W kolejnych latach po pojawieniu si臋 robak贸w CodeRed i Nimda tw贸rcy szkodliwego oprogramowania powszechnie wykorzystywali luki w zabezpieczeniach popularnych aplikacji i system贸w operacyjnych. Wcze艣niej tego typu ataki kojarzone by艂y z hakerami. Po艂膮czenie "tradycyjnych" technik tworzenia wirus贸w z metodami wykorzystywanymi przez haker贸w stanowi艂o kolejny "milowy krok" w dziedzinie rozwoju szkodliwego oprogramowania.

Niekt贸re zagro偶enia nie wykorzystywa艂y "tradycyjnych" technik wirusowych. Lovesan, Welchia i Sasser, na przyk艂ad, by艂y "czystymi" robakami internetowymi bez komponentu s艂u偶膮cego do przeprowadzania masowej wysy艂ki. Ponadto nie wymaga艂y, aby u偶ytkownik uruchomi艂 zainfekowany program, ale rozprzestrzenia艂y si臋 bezpo艣rednio przez Internet, z komputera na komputer, wykorzystuj膮c w tym celu r贸偶ne exploity. Lovesan wykorzystywa艂 luk臋 MS03-026 ('Buffer Overrun In RPC Interface Could Allow Code Execution'). Welchia wykorzystywa艂 t臋 sam膮 luk臋 oraz dodatkowo luk臋 MS03-007 ('Unchecked Buffer In Windows Component Could Cause Server Compromise'). Z kolei Sasser wykorzystywa艂 luk臋 MS04-011 (przepe艂nienie bufora w us艂udze Windows LSASS.EXE).

Nimda ustanowi艂 nowy trend polegaj膮cy na wykorzystywaniu exploit贸w w po艂膮czeniu z innymi metodami atak贸w. Opr贸cz masowego wysy艂ania swoich kopii do艂膮cza艂 r贸wnie偶 kod exploita (w postaci zainfekowanego JavaScript) do plik贸w HTML. Je偶eli zainfekowana maszyna by艂a serwerem, u偶ytkownik infekowa艂 si臋 w momencie uzyskiwania dost臋pu do zainfekowanych stron. Nimda poszed艂 o krok dalej w rozprzestrzenianiu si臋 w sieci korporacyjnej: szkodnik skanowa艂 sie膰 w celu wykrycia dost臋pnych zasob贸w i umieszcza艂 w nich swoje kopie w nadziei, 偶e zostan膮 uruchomione przez niczego niepodejrzewaj膮cych u偶ytkownik贸w. Na zainfekowanych maszynach wirus przekszta艂ca艂 lokalne dyski w udost臋pnione zasoby, umo偶liwiaj膮c dost臋p do nich wszystkim szkodliwym u偶ytkownikom. Nimda wykorzystywa艂 r贸wnie偶 exploit MS00-078 ['Web Server Folder Traversal'] na serwerze Microsoft IIS w celu infekowania niezabezpieczonych serwer贸w poprzez pobieranie w艂asnej kopii z zainfekowanej maszyny w sieci. Wielofrontowa strategia ataku wirusa Nimda spowodowa艂a, 偶e wiele os贸b okre艣li艂o go jako zagro偶enie "z艂o偶one".

Wiele zagro偶e艅, jakie pojawi艂y si臋 p贸藕niej (skutecznych z perspektywy ich autor贸w), wykorzystywa艂o r贸偶norodne mechanizmy atak贸w oraz luki w zabezpieczeniach w celu automatycznego uruchomienia kodu z pomini臋ciem u偶ytkownika. W rezultacie znacznie zmniejszy艂 si臋 odst臋p czasu od pojawienia si臋 nowego zagro偶enia do osi膮gni臋cia przez niego rozmiar贸w epidemii. Obecne zagro偶enia rozprzestrzeniaj膮 si臋 znacznie szybciej ni偶 wcze艣niej, osi膮gaj膮c globalny zasi臋g w przeci膮gu kilku godzin, a w celu przedostania si臋 do firmy wykorzystuj膮 krytyczn膮 dla niej infrastruktur臋 e-mail oraz rosn膮c膮 liczb臋 luk w zabezpieczeniach.

Reakcje na wzrost tempa rozprzestrzeniania szkodliwego kodu

Rozprzestrzenianie si臋 nowych zagro偶e艅 "z pr臋dko艣ci膮 Internetu" oraz rosn膮ca liczba globalnych epidemii spowodowa艂y, 偶e tw贸rcy oprogramowania antywirusowego musieli po艂o偶y膰 wi臋kszy nacisk na szybko艣膰 reakcji na nowe zagro偶enia. W "starych dobrych" czasach wi臋kszo艣ci klientom wystarczy艂y uaktualnienia kwartalne. P贸藕niej standardem sta艂y si臋 uaktualnienia comiesi臋czne. Nast臋pnie, po pojawieniu si臋 robak贸w pocztowych i internetowych wi臋kszo艣膰 producent贸w oprogramowania antywirusowego udost臋pnia艂o aktualizacje sygnatur co tydzie艅. Kilku z nich zacz臋艂o oferowa膰 codzienne aktualizacje7, a w niezale偶nych testach program贸w antywirusowych zacz臋to uwzgl臋dnia膰 pr臋dko艣膰 reakcji na nowe zagro偶enia 8.

Ponadto, w odpowiedzi na socjotechnik臋 stosowan膮 przez tw贸rc贸w szkodliwego oprogramowania wiele firm zacz臋艂o blokowa膰 na bramie internetowej okre艣lone typy plik贸w, tak aby do u偶ytkownik贸w nie dociera艂y za艂膮czniki EXE, PIF, SCR i inne.

Mimo to wiele os贸b wci膮偶 niepokoi艂o si臋 potencjalnym odst臋pem czasu mi臋dzy pojawieniem si臋 nowego exploita lub zagro偶enia a znalezieniem sposobu zablokowania go, w kt贸rym nowe zagro偶enie mog艂o si臋 swobodnie rozprzestrzenia膰. Niekt贸rzy kwestionowali zdolno艣膰 tradycyjnych rozwi膮za艅 antywirusowych opartych na sygnaturach do poradzenia sobie z coraz bardziej z艂o偶onym szkodliwym kodem 9. Natomiast wiod膮cy producenci oprogramowania antywirusowego zacz臋li rozszerza膰 zakres oferowanej ochrony.

Osobiste zapory sieciowe

Przyk艂adem mo偶e by膰 dodanie osobistej zapory sieciowej. Osobista zapora sieciowa monitoruje i blokuje niechciany ruch. Jak sugeruje jej nazwa (w przeciwie艅stwie do tradycyjnej zapory zainstalowanej na bramie), jest instalowana na komputerze stacjonarnym lub serwerze. Zapora sieciowa przypomina "nadzorc臋 ruchu", kt贸ry kontroluje ruch przychodz膮cy i wychodz膮cy na komputerze, zezwalaj膮c na po艂膮czenia lub blokuj膮c je na podstawie predefiniowanych polityk. Zapora sieciowa posiada dwa aspekty. Z jednej strony oferuje filtrowanie aplikacji, tzn. pozwala na ustanowienie regu艂 dla cz臋sto wykorzystywanych aplikacji, takich jak przegl膮darki, ICQ, komunikatory internetowe i inne. Z drugiej strony zapewnia filtrowanie pakiet贸w: analizuje transmisje danych (nag艂贸wki, wykorzystywane porty, protoko艂y, adresy IP itd.) i filtruje pakiety na podstawie ustanowionych polityk.

Systemy zapobiegania w艂amaniom

Niekt贸rzy producenci rozwi膮za艅 do ochrony uzupe艂niali "tradycyjne" technologie systemami zapobiegania w艂amaniom (IPS). Systemy HIPS, przeznaczone do ochrony komputer贸w stacjonarnych i serwer贸w, zwykle wykrywaj膮 szkodliwy kod przy u偶yciu analizy behawioralnej. W tym celu monitoruj膮 wszystkie odwo艂ania do systemu i por贸wnuj膮 je z politykami opartymi na "normalnym" zachowaniu. Takie polityki mog膮 by膰 do艣膰 szczeg贸艂owe, poniewa偶 zachowanie mo偶e odnosi膰 si臋 do okre艣lonych aplikacji. W ten spos贸b aktywno艣膰 obejmuj膮ca otwieranie port贸w w systemie, skanowanie port贸w, pr贸by zwi臋kszenia przywilej贸w w systemie oraz wstrzykiwanie kodu do uruchomionych proces贸w mo偶e zosta膰 zablokowana jako zachowanie niestandardowe. Niekt贸re systemy IPS, opr贸cz analizy behawioralnej, wykorzystuj膮 sygnatury znanego szkodliwego kodu.

Systemy NIPS, instalowane w sieci, filtruj膮 pakiety w celu wykrycia szkodliwego kodu, szukaj膮c niestandardowego wykorzystywania przepustowo艣ci lub niestandardowego ruchu (np. zniekszta艂cone pakiety). NIPS jest szczeg贸lnie przydatny w wykrywaniu atak贸w DoS [Denial-of-Service] lub ruchu generowanego przez robaki sieciowe.

Analiza zachowa艅

Kilku producent贸w uzupe艂ni艂o istniej膮ce technologie o analiz臋 behawioraln膮, monitorowanie w czasie rzeczywistym aktywno艣ci aplikacji, blokowanie podejrzanych czynno艣ci, a nawet mo偶liwo艣膰 cofania zmian dokonanych w systemie przez szkodliwy program.

Celem tych "nowych" technologii jest ochrona przed atakami maj膮cymi na celu kradzie偶 poufnych informacji, robakami sieciowymi i szkodliwym kodem, kt贸ry pr贸buje zamieni膰 zaatakowan膮 maszyn臋 w 'komputer zombie' wykorzystywany do przeprowadzania atak贸w spamowych.

Zalet膮 tych technologii jest to, 偶e nie opieraj膮 si臋 na sygnaturach znanych zagro偶e艅, ale oferuj膮 ochron臋 generyczn膮 przed atakami nieznanego szkodliwego kodu. Potencjaln膮 wad膮 jest ryzyko fa艂szywych alarm贸w. W celu minimalizacji tego ryzyka wi臋kszo艣膰 z nich zawiera "tryb uczenia", dzi臋ki kt贸remu produkt mo偶e pozna膰, jak wygl膮da "normalne" zachowanie w danym 艣rodowisku. Technologie te wymagaj膮 jednak ostro偶nego dostrojenia, a tym samym znacznie wi臋kszych koszt贸w administracyjnych ni偶 tradycyjna ochrona antywirusowa. W przypadku IPS, w celu wykrycia nowych metod atak贸w niezb臋dne s膮 r贸wnie偶 aktualizacje (aczkolwiek nie s膮 konieczne cotygodniowe lub codzienne sygnatury tak jak w przypadku "tradycyjnej" technologii antywirusowej).

Od cyberwandalizmu do cyberprzest臋pczo艣ci

Obserwowany od 2003 roku spadek liczby globalnych epidemii odzwierciedla zmian臋 motywacji tw贸rc贸w szkodliwego oprogramowania. Jeszcze kilka lat temu wirusy i inne szkodliwe programy stanowi艂y odizolowane akty wandalizmu komputerowego, by艂y antyspo艂ecznym sposobem wyra偶enie siebie przy u偶yciu zaawansowanej technologii. Wi臋kszo艣膰 wirus贸w ogranicza艂a si臋 do infekowania innych dysk贸w lub program贸w. "Szkoda" oznacza艂a w wi臋kszo艣ci przypadk贸w utrat臋 danych, poniewa偶 wirus zwykle usuwa艂 lub (rzadziej) uszkadza艂 dane przechowywane na zainfekowanych dyskach.

Jednak w ci膮gu ostatnich kilku lat sytuacja uleg艂a zmianie. Obecnie problem stanowi "crimeware", szkodliwy kod tworzony w celu uzyskania korzy艣ci finansowych przy u偶yciu nielegalnych 艣rodk贸w. Podziemie przest臋pcze odkry艂o, 偶e w dzisiejszym 艣wiecie mo偶na zbi膰 fortun臋 na szkodliwym kodzie, dlatego wi臋kszo艣膰 zagro偶e艅 powstaje "na zam贸wienie".

Tw贸rcy szkodliwego kodu wyra藕nie zmienili taktyk臋. Spadek liczby globalnych epidemii 艣wiadczy o tym, 偶e cyberprzest臋pcy odchodz膮 od przeprowadzania masowych atak贸w na komputery zlokalizowane na ca艂ym 艣wiecie. Po osi膮gni臋ciu w 2003 roku szczytowego poziomu liczba globalnych epidemii charakteryzuje si臋 sta艂ym spadkiem. Nie znaczy to jednak, 偶e nie ma ju偶 偶adnych epidemii, a jedynie to, 偶e nie wyst臋puj膮 na skal臋 globaln膮. Dzisiejsze ataki sta艂y si臋 bardziej precyzyjne.

Cz臋艣ciowo wynika to z wi臋kszego do艣wiadczenia organ贸w 艣cigania w tropieniu sprawc贸w przest臋pczo艣ci elektronicznej. Nie bez znaczenia jest tu r贸wnie偶 wieloletnia praktyka ekspert贸w z dziedziny rozwi膮za艅 antywirusowych w zwalczaniu epidemii na du偶膮 skal臋. Szybka reakcja na nowe zagro偶enia, w postaci definicji wirus贸w, to w tym wypadku jedynie wierzcho艂ek g贸ry lodowej. R贸偶ne zespo艂y specjalist贸w opracowa艂y "systemy wczesnego ostrzegania" umo偶liwiaj膮ce wczesne rozpoznanie szkodliwej aktywno艣ci w Internecie. W przypadku ataku, mo偶liwe jest wy艣ledzenie i zamkni臋cie serwer贸w wykorzystywanych do gromadzenia poufnych danych przechwyconych z zainfekowanych maszyn, co pozwala na z艂agodzenie skutk贸w ataku.

Istnieje jeszcze trzeci pow贸d, dla kt贸rego autorzy szkodliwego oprogramowania wol膮 przeprowadza膰 ataki na konkretne cele. Wi臋kszo艣膰 program贸w 'crimeware' s艂u偶y do kradzie偶y poufnych danych z zainfekowanych komputer贸w, kt贸re s膮 nast臋pnie wykorzystywane do nielegalnego zarabiania pieni臋dzy, co oznacza, 偶e przechwycone dane musz膮 zosta膰 przetworzone. Gdy w gr臋 wchodz膮 miliony zainfekowanych maszyn, nie tylko istnieje wi臋ksze prawdopodobie艅stwo wykrycia, ale r贸wnie偶 wymaga to przeprowadzenia szeroko zakrojonej operacji logistycznej.

Obecnie taktyka cyberprzest臋pc贸w polega na jednoczesnym atakowaniu tysi膮ca komputer贸w w przeprowadzanych na niewielk膮 skal臋, "niezauwa偶alnych" operacjach. Lub te偶 tworzeniu specjalnego kodu w celu przepuszczenia ataku na pojedynczy komputer lub niewielk膮 ich liczb臋.

Tego typu ataki cz臋sto przeprowadzane s膮 przy u偶yciu trojan贸w. W ci膮gu ostatnich kilku lat liczba trojan贸w znacz膮co wzros艂a: obecnie stanowi膮 one "ulubion膮" bro艅 autor贸w szkodliwego kodu. Naturalnie trojany wyst臋puj膮 w wielu r贸偶nych postaciach - ka偶dy z nich stworzony jest w celu wykonania okre艣lonej funkcji na zainfekowanym komputerze. Trojany obejmuj膮 backdoory, trojany kradn膮ce has艂a, trojany droppery, trojany downloadery i trojany proxy.

Trojany mog膮 by膰 wykorzystywane do przechwytywania poufnych danych (nazwa u偶ytkownika, has艂o, PIN itd.), kt贸re s膮 nast臋pnie u偶ywane do przeprowadzania oszustw komputerowych. Mog膮 r贸wnie偶 zosta膰 przekszta艂cone w "armi臋 zombie", przy pomocy kt贸rej przeprowadzane s膮 ataki DDoS (Distributed-Denial-of-Service) na okre艣lone organizacje. Tego typu ataki s艂u偶膮 do wy艂udzania pieni臋dzy od organizacji: "pokazowy" atak DDoS daje ofierze pr贸bk臋 tego, co si臋 stanie, je艣li nie zap艂aci 偶膮danej kwoty. Zainfekowane maszyny mog膮 te偶 wyst臋powa膰 w roli po艣rednik贸w w dystrybucji wiadomo艣ci spamowych. Wzros艂a r贸wnie偶 liczba robak贸w lub trojan贸w wykorzystywanych do wy艂udzania pieni臋dzy od indywidualnych u偶ytkownik贸w. Tego typu programy szyfruj膮 dane u偶ytkownika i tworz膮 plik 'readme', w kt贸rym u偶ytkownicy proszeni s膮 o przelanie pieni臋dzy autorowi programu przy pomocy jednego z wielu dost臋pnych system贸w p艂atno艣ci elektronicznej.

Zainfekowane maszyny cz臋sto 艂膮czone s膮 w sieci przy u偶yciu kana艂贸w IRC lub stron internetowych, na kt贸rych autor umie艣ci艂 dodatkow膮 funkcjonalno艣膰. Takie "sieci bot贸w" kontrolowane s膮 zwykle z jednego serwera. To oznacza, 偶e po zlokalizowaniu takiego serwera mo偶na je 艂atwo zamkn膮膰. Ostatnio jednak pojawi艂o si臋 wi臋cej z艂o偶onych botnet贸w, opartych na modelu P2P [peer-to-peer]. Najbardziej znany z nich - Zhelatin [wyst臋puj膮cy r贸wnie偶 pod nazw膮 'Storm Worm'] - pojawi艂 si臋 w styczniu 2007 roku i od tego czasu nieustannie rozrasta艂 si臋. Podobny model stosowa艂 r贸wnie偶 backdoor MayDay, kt贸ry po raz pierwszy pojawi艂 si臋 we wrze艣niu 2007 roku. Poniewa偶 Zhelatin by艂 dystrybuowany i nie istnia艂 偶aden centralny serwer, kt贸rego zamkni臋cie mog艂o spowodowa膰 zablokowanie botnetu, robak ten zdo艂a艂 utrzyma膰 si臋 przez bardzo d艂ugi czas.

Odej艣ciu od globalnych epidemii na rzecz precyzyjnych, mniej spektakularnych atak贸w towarzyszy艂a inna jeszcze istotna zmiana: stosunkowy spadek wykorzystywania masowych wysy艂ek w celu dystrybucji szkodliwego kodu. Kilka lat wcze艣niej do przeprowadzania epidemii wykorzystywane by艂y zwykle robaki, kt贸re "porywa艂y" system pocztowy, przy pomocy kt贸rego rozprzestrzenia艂y si臋 proaktywnie, przechwytuj膮c dodatkowe kontakty z zainfekowanych maszyn. Metod臋 t臋 wykorzystywa艂y robaki LoveLetter, Klez, Tanatos (Bugbear), Sobig, Mimail, Sober oraz Mydoom w celu wywo艂ania globalnych epidemii. Obecnie coraz wi臋cej szkodliwych program贸w jest celowo wysy艂anych w wiadomo艣ciach spamowych. Dzi臋ki temu ich autorzy mog膮 kontrolowa膰 dystrybucj臋 szkodliwego kodu, kt贸ry zamiast rozprzestrzenia膰 si臋 bez ogranicze艅 atakuje okre艣lone komputery PC.

Z tego samego powodu "pakiety" szkodliwego oprogramowania umieszczane na zainfekowanych komputerach cz臋sto zawieraj膮 teraz trojana downloadera. Jak sugeruje ich nazwa, trojany te maj膮 na celu pobieranie szkodliwego kodu z okre艣lonych stron internetowych. Szkodniki te wykorzystuje si臋 nie tylko do kontrolowania rozprzestrzeniania szkodliwego kodu, ale r贸wnie偶 do automatycznej aktualizacji za po艣rednictwem sieci. Coraz cz臋艣ciej przy ich pomocy instalowane s膮 programy 'spyware' lub 'pornware' bez wiedzy czy zgody u偶ytkownika.

Ataki phishingowe

Wykorzystywanie szkodliwego kodu nie jest jedyn膮 metod膮 stosowan膮 przez cyberprzest臋pc贸w do gromadzenia danych osobowych, kt贸re mog膮 pos艂u偶y膰 im do nielegalnego zarobienia pieni臋dzy. Phishing (celowy b艂膮d w pisowni s艂owa 'fishing') to szczeg贸lna forma cyberprzest臋pczo艣ci, kt贸ra polega na nak艂anianiu u偶ytkownik贸w do ujawnienia swoich danych osobowych (nazwa u偶ytkownika, has艂o, numer PIN lub inne informacje dost臋pu), a nast臋pnie wykorzystywaniu tych danych do uzyskania pieni臋dzy pod fa艂szywym pretekstem. Jest to oszustwo: kradzie偶 pieni臋dzy poprzedzona kradzie偶膮 danych. Phisherzy w du偶ym stopniu polegaj膮 na socjotechnice. Tworz膮 niemal idealn膮 replik臋 strony internetowej wybranej instytucji finansowej. Nast臋pnie rozsy艂aj膮 spam, kt贸ry imituje rzeczywist膮 korespondencj臋 takiej instytucji. Phisherzy zwykle wykorzystuj膮 prawdziwe logo, styl korespondencyjny, a nawet nazwiska os贸b z zarz膮du instytucji finansowej. Ponadto fa艂szuj膮 nag艂贸wek wiadomo艣ci, tak aby odbiorca by艂 przekonany, 偶e zosta艂a wys艂ana przez bank. Wiadomo艣ci takie informuj膮 zwykle, 偶e bank zmienia struktury IT, w zwi膮zku z czym klienci proszeni s膮 o potwierdzenie informacji u偶ytkownika. Od czasu do czasu wiadomo艣ci wspominaj膮 o awariach sieci, a nawet atakach haker贸w, aby sk艂oni膰 u偶ytkownik贸w do potwierdzenia swoich danych osobowych.

Fa艂szywe wiadomo艣ci phishingowe 艂膮czy jedna rzecz: wszystkie stanowi膮 przyn臋t臋, przy pomocy kt贸rej phisherzy pr贸buj膮 nak艂oni膰 u偶ytkownik贸w do klikni臋cia zawartego w wiadomo艣ci odsy艂acza. Je艣li przyn臋ta chwyci, nieszcz臋sna "rybka" znajdzie si臋 w powa偶nym niebezpiecze艅stwie. Z pomoc膮 ujawnionych przez u偶ytkownika poufnych informacji przest臋pcy b臋d膮 mogli uzyska膰 dost臋p do jego konta bankowego. Zawarty w wiadomo艣ci phishingowej odsy艂acz kieruje u偶ytkownika bezpo艣rednio na imitacj臋 strony internetowej, kt贸ra do z艂udzenia przypomina rzeczywist膮 stron臋 banku. Strona ta zawiera formularz. Wype艂niaj膮c go u偶ytkownik przekazuje przest臋pcy wszystkie informacje potrzebne mu do uzyskania dost臋pu do konta online i kradzie偶y pieni臋dzy.

Cyberprzest臋pcy graj膮 o wysokie stawki. Tak wysokie, 偶e nie chc膮 utraci膰 偶adnej z kontrolowanych przez siebie maszyn. Cz臋sto stosowan膮 przez nich praktyk膮 jest sabotowanie oprogramowania bezpiecze艅stwa poprzez zamykanie aktywnych proces贸w, usuwanie kodu lub blokowanie aktualizacji antywirusowych. Niekt贸rzy cyberprzest臋pcy usuwaj膮 szkodliwe oprogramowanie swojej "konkurencji". Backdoor.Win32.Agent.uu (znany r贸wnie偶 jako 'SpamThru') wykorzystywa艂 nawet pirack膮 kopi臋 oprogramowania antywirusowego 10 w celu wykrywania i usuwania z zainfekowanych komputer贸w innych szkodliwych program贸w.

Zaawansowane ukrywanie si臋

W ci膮gu ostatnich 12 miesi臋cy popularne sta艂o si臋 wykorzystywanie rootkit贸w do maskowania obecno艣ci szkodliwego kodu oraz oprogramowania "spyware". Termin "rootkit" zosta艂 zapo偶yczony ze 艣wiata Uniksa, w kt贸rym okre艣la艂 narz臋dzia zapewniaj膮ce dost臋p z uprawnieniami u偶ytkownika root przy jednoczesnym pozostawaniu niewidocznym dla administratora systemu. Obecnie termin rootkit oznacza techniki ukrywania si臋 stosowane przez autor贸w szkodliwego oprogramowania w celu ukrycia zmian dokonanych w zainfekowanych maszynach. Autor szkodliwego oprogramowania zwykle uzyskuje dost臋p do systemu poprzez z艂amanie has艂a lub wykorzystanie luki w zabezpieczeniach aplikacji. To pozwala mu uzyska膰 inne informacje o systemie, kt贸re umo偶liwi膮 mu zdobycie dost臋pu administratora do maszyny. Rootkity cz臋sto wykorzystywane s膮 do maskowania obecno艣ci trojana poprzez ukrywanie wpis贸w do rejestru, proces贸w trojana i innej aktywno艣ci systemowej.

Mobilne szkodliwe oprogramowanie

Do tej pory autorzy szkodliwego oprogramowania skupiali si臋 g艂贸wnie na komputerach stacjonarnych i laptopach. Jednak od pojawienia si臋 Cabira w czerwcu 2004 roku zacz臋li w coraz wi臋kszym stopniu tworzy膰 szkodliwy kod przeznaczony dla urz膮dze艅 mobilnych.

W 艣rodowisku korporacyjnym coraz cz臋艣ciej wykorzystuje si臋 urz膮dzenia mobilne, a co za tym idzie r贸偶nego rodzaju technologie bezprzewodowe. S膮 to zaawansowane urz膮dzenia: obs艂uguj膮 us艂ugi IP, zapewniaj膮 dost臋p do sieci WWW i oferuj膮 po艂膮czenie sieciowe. W rzeczywisto艣ci, niewiele jest rzeczy, kt贸re mo偶esz zrobi膰 na laptopie, a kt贸rych nie m贸g艂by艣 wykona膰 przy pomocy komputera podr臋cznego.

Tu w艂a艣nie le偶y problem. Obecnie firmy dzia艂aj膮 w "otwartym 艣rodowisku", w kt贸rym pracownicy s膮 ze sob膮 po艂膮czeni sieci膮, a tym samym podatni na atak, niezale偶nie od tego, gdzie pracuj膮: w firmie, w domu czy w podr贸偶y. Mobilne urz膮dzenia z natury swej s膮 mniej bezpieczne, poniewa偶 dzia艂aj膮 poza zasi臋giem tradycyjnego obszaru sieci bezpiecze艅stwa. Wykorzystywane do przenoszenia coraz wi臋kszej ilo艣ci cennych danych, bezprzewodowe urz膮dzenia staj膮 si臋 coraz atrakcyjniejszym celem tw贸rc贸w szkodliwego kodu. Historia rozwoju szkodliwego kodu pokazuje, 偶e ponad bezpiecze艅stwo zwykle przedk艂adana jest 艂atwo艣膰 dost臋pu. Poniewa偶 urz膮dzenia mobilne znajduj膮 si臋 poza zasi臋giem tradycyjnego obszaru bezpiecze艅stwa sieci, 艂atwo mog膮 sta膰 si臋 najs艂abszym ogniwem w korporacyjnym systemie bezpiecze艅stwa.

Pierwszy robak dla telefon贸w kom贸rkowych, Cabir, pojawi艂 si臋 w czerwcu 2004 roku. Od tego czasu Cabir rozprzestrzeni艂 si臋 do ponad 40 kraj贸w na ca艂ym 艣wiecie wykorzystuj膮c do tego celu technologi臋 Bluetooth. Poniewa偶 jest to najpopularniejsza metoda bezprzewodowej transmisji danych, wielu tw贸rc贸w wirus贸w wybiera w艂a艣nie ten spos贸b infekcji. Wiele urz膮dze艅 obs艂uguj膮cych technologi臋 Bluetooth pozostaje w trybie wykrywalnym: tym samym s膮 podatne na infekcje i otwarte dla haker贸w.

Wirusy, robaki i trojany dla urz膮dze艅 mobilnych pojawi艂y si臋 w ci膮gu bardzo kr贸tkiego okresu czasu; te same zagro偶enia dla komputer贸w PC rozwija艂y si臋 przez 20 lat.

Obecnie co tydzie艅 pojawia si臋 oko艂o 10 nowych zagro偶e艅 mobilnych. W wi臋kszo艣ci s膮 to proste szkodniki, jednak autorzy szkodliwego oprogramowania maj膮 艣wiadomo艣膰, 偶e wykorzystuj膮c mobilne urz膮dzenia mog膮 zarobi膰 nielegalnie sporo pieni臋dzy. W kwietniu 2006 roku pojawi艂 si臋 pierwszy trojan szpieguj膮cy dla systemu Symbian: Flexispy jest komercyjnym trojanem, kt贸ry przejmuje kontrol臋 nad smartfonami i wysy艂a informacje o rozmowach telefonicznych oraz dane dotycz膮ce SMS-贸w autorowi lub osobie kontroluj膮cej trojana. Po nied艂ugim czasie okaza艂o si臋, 偶e autor tego trojana sprzedaje sw贸j tw贸r za 50 dolar贸w. Podobny szkodnik pojawi艂 si臋 r贸wnie偶 dla systemu Windows Mobile, b臋d膮cy obecnie drugim pod wzgl臋dem popularno艣ci systemem operacyjnym dla urz膮dze艅 mobilnych.

Wi臋kszo艣膰 zagro偶e艅 mobilnych, jakie widzieli艣my do tej pory, wymaga interakcji u偶ytkownika (zaakceptowania transmisji pliku, a nast臋pnie zgody na jego uruchomienie). Dlatego trudno uwierzy膰, 偶e mog膮 si臋 tak skutecznie rozprzestrzenia膰. Nie zapominajmy jednak, 偶e robaki dla komputer贸w PC, wymagaj膮ce podobnej interakcji u偶ytkownika, r贸wnie偶 odnios艂y sukces. Kluczem jest tutaj socjotechnika, kt贸ra cz臋sto opiera si臋 na wykorzystaniu przyn臋ty w postaci darmowych zdj臋膰 pornograficznych, film贸w do pobrania, darmowych us艂ug oraz program贸w umo偶liwiaj膮cych szybkie zarobienie pieni臋dzy.

Podobnie jest w przypadku telefon贸w kom贸rkowych. Na przyk艂ad, robak Comwar wykorzystuje us艂ug臋 MMS [Multimedia Messaging Service] w celu wysy艂ania swoich kopii do kontakt贸w znalezionych w ksi膮偶ce adresowej telefonu, przy czym koszt jednego MMS-a wynosi oko艂o 0,35 dolara. Badania pokaza艂y, 偶e wielu u偶ytkownik贸w jest sk艂onnych przyj膮膰 pliki wysy艂ane na ich urz膮dzenie za po艣rednictwem technologii Bluetooth, szczeg贸lnie gdy zawarto艣膰 jest zwi膮zana z seksem.

Skutki dzia艂ania zagro偶e艅 mobilnych s膮 r贸偶ne. Robak zainstalowany na telefonie mo偶e spowodowa膰, 偶e urz膮dzenie nie b臋dzie dzia艂a膰. Na przyk艂ad trojan Skuller, pobierany przez u偶ytkownik贸w z r贸偶nych stron internetowych zwi膮zanych z telefoni膮 kom贸rkow膮, zast臋powa艂 ikon臋 systemu czaszk膮, co powodowa艂o 偶e us艂ugi stawa艂y si臋 niedost臋pne. Trojan Mosquit wysy艂a SMS-y na numery o podwy偶szonej op艂acie. Dzia艂anie oprogramowania 'crimeware', takiego jak Brador, Flexspy lub inny trojan mobilny pozwala autorowi szkodliwego oprogramowania lub osobie, kt贸ra go kontroluje, na kradzie偶 poufnych danych przechowywanych na urz膮dzeniach mobilnych. W tym kontek艣cie warto zauwa偶y膰, 偶e u偶ytkownicy rzadko szyfruj膮 dane, kt贸re przechowuj膮 na swoim urz膮dzeniu, a wielu z nich nawet nie wykorzystuje has艂a.

Cyberprzest臋pcy nadal eksperymentuj膮 z mobiln膮 technologi膮. Kilka interesuj膮cych wynik贸w tych eksperyment贸w mogli艣my ju偶 ujrze膰. Nale偶y do nich Lasco, po艂膮czenie wirusa z robakiem; Cxover, kt贸ry infekuje pliki na urz膮dzeniach mobilnych i komputerach PC, oraz RedBrowser, trojan atakuj膮cy telefony dzia艂aj膮ce pod kontrol膮 systemu Java [J2ME], tj. telefony nieb臋d膮ce smartfonami.

Trudno przewidzie膰, kiedy strumie艅 kodu 'proof-of-concept' zamieni si臋 w pow贸d藕 mobilnych szkodnik贸w. W du偶ej mierze b臋dzie to zale偶a艂o od celu, do jakiego b臋d膮 wykorzystywane te urz膮dzenia. Gdy zar贸wno liczba smartfon贸w, jak i wykorzystywanie ich do prowadzania biznesu online osi膮gnie "mas臋 krytyczn膮", urz膮dzenia te - podobnie jak popularne systemy - stan膮 si臋 celem podziemia przest臋pczego. Dzisiaj przest臋pcy wykorzystuj膮 do nielegalnego zarabiania pieni臋dzy dane przechowywane na komputerach stacjonarnych oraz laptopach. Jutro b臋d膮 pr贸bowali przechwyci膰 dane przechowywane na urz膮dzeniach mobilnych.

Z tego powodu czo艂owi producenci oprogramowania antywirusowego opracowali rozwi膮zania do ochrony mobilnych urz膮dze艅 - zar贸wno programy instalowane na urz膮dzeniu, jak rozwi膮zania dla dostawc贸w telefonii kom贸rkowej.

Wsp贸艂czesne wyzwania

Od czasu pojawienia si臋 pierwszych wirus贸w dla komputer贸w PC zagro偶enia dla firm i u偶ytkownik贸w indywidualnych zmieni艂y si臋 diametralnie. W pocz膮tkowym okresie nikt nie spodziewa艂 si臋 tak ogromnej liczby i r贸偶norodno艣ci szkodliwych program贸w, jakie istniej膮 obecnie. Ka偶da kolejna fala szkodliwego oprogramowania powodowa艂a, 偶e producenci rozwi膮za艅 antywirusowych stawali przed nowymi wyzwaniami i musieli wprowadzi膰 zmiany do istniej膮cych rozwi膮za艅, rozwin膮膰 nowe lub zastosowa膰 technologie spoza 艣wiata antywirusowego. W efekcie, krajobraz zagro偶e艅 diametralnie r贸偶ni si臋 od tego sprzed 20 lat, a dzisiejsze rozwi膮zania bezpiecze艅stwa zupe艂nie nie przypominaj膮 tych najwcze艣niejszych. Zmieni艂y si臋 r贸wnie偶 motywy autor贸w szkodliwego oprogramowania. Pocz膮tkowo mieli艣my do czynienia g艂贸wnie z cyberwandalizmem; obecnie jednak tw贸rc贸w szkodliwego kodu motywuje ch臋膰 nielegalnego uzyskania korzy艣ci finansowych. W rezultacie wi臋kszy ni偶 kiedykolwiek nacisk po艂o偶ony jest na dostarczanie natychmiastowej ochrony przed oko艂o 200 zagro偶eniami, jakie pojawiaj膮 si臋 ka偶dego dnia, jak r贸wnie偶 opracowywanie rozwi膮za艅, kt贸re potrafi膮 zablokowa膰 nowe, nieznane zagro偶enia bez konieczno艣ci tworzenia sygnatur. W por贸wnaniu z dzisiejszymi kompleksowymi rozwi膮zaniami wczesne programy antywirusowe wydaj膮 si臋 jednowymiarowe. Ponadto, zmiana praktyk biznesowych oraz zanik tradycyjnych granic sieci oznacza, 偶e rozwi膮zania bezpiecze艅stwa musz膮 zapewnia膰 ochron臋 firmie i jej pracownikom, niezale偶nie od tego, w jakim miejscu si臋 znajduj膮 i w jaki spos贸b prowadz膮 interesy.


1 Bior膮c pod uwag臋 opisane wcze艣niej ograniczenia, nic dziwnego 偶e niekt贸rzy mogli my艣le膰, 偶e wirusy sektora startowego ju偶 wymar艂y. Prawie! W styczniu 2007 roku dowiedzieli艣my si臋 o dw贸ch infekcjach wirusa Junkie: jedna z nich mia艂a miejsce w Rosji, druga w Holandii; natomiast we wrze艣niu 2007 roku okaza艂o si臋, 偶e du艅ski producent dostarcza艂 laptopy zainfekowane wirusem Angelina.

2 Dr Joseph Popp, rzekomy autor tego trojana, zosta艂 p贸藕niej poddany ekstradycji do Wielkiej Brytanii. Na podstawie jego zachowania w s膮dzie uznano jednak, 偶e jest niezdolny do udzia艂u we w艂asnym procesie (p贸藕niej s膮d w艂oski uzna艂 go winnym w procesie zaocznym)

3 Mimo 偶e niewielka liczba wirus贸w, takich jak Exebug i Purcyst, modyfikowa艂a ustawienia CMOS, pr贸buj膮c uniemo偶liwi膰 uruchomienie systemu w trybie awaryjnym z dyskietki.

4Zapocz膮tkowa艂o to nowy trend. W kolejnych latach pojawi艂y si臋 inne silniki polimorficzne, w tym "Trident Polymorphic Engine" oraz "Nuke Encryption Device".

5 J臋zyk pisania makr wbudowany we wczesne wersje programu Word dla systemu Windows

6 Melissa nie by艂 pierwszym wirusem, kt贸ry pr贸bowa艂 wykorzysta膰 poczt臋 e-mail w celu "masowego wysy艂ania" swoich kopii. W 1998 r. wirus RedTeam zawiera艂 kod umo偶liwiaj膮cy mu rozprzestrzenianie si臋 za po艣rednictwem Internetu. Jednak wirus ten atakowa艂 jedynie program pocztowy Eudora i nie potrafi艂 rozprzestrzenia膰 si臋 na znaczn膮 skal臋.

7 Obecnie jeden z producent贸w oprogramowania antywirusowego, Kaspersky Lab, zapewnia cogodzinne uaktualnienia sygnatur.

8 W szczeg贸lno艣ci AV-Test GmbH

9 W 2001 r. w dokumencie zatytu艂owanym "Signature-Based Virus Detection at the Desktop is Dying" Gartner napisa艂: "Wykorzystywane przez wi臋kszo艣膰 firm oprogramowanie antywirusowe dla komputera stacjonarnego oparte na sygnaturach posiada dzisiaj niewielk膮 warto艣膰, kt贸ra stale maleje. Gartner uwa偶a, 偶e firmy powinny zacz膮膰 zast臋powa膰 techniki oparte na sygnaturach mocniejszym podej艣ciem. Te, kt贸re tego nie zrobi膮, zostan膮 zalane szkodliwym oprogramowaniem".

10 Pobieranym programem antywirusowym by艂 Kaspersky Anti-Virus

殴r贸d艂o:
Kaspersky Lab