Помоги проекту - поделись книгой:
Компьютерра
18.10.2010 - 24.10.2010
Статьи
Компьютерные вирусы: тридцать лет бесчинств
Компьютерные вирусы, кажется, давно уже никто не воспринимает, как нечто из ряда вон выходящее и смертельно опасное (за исключением, возможно, Stuxnet, но о нём разговор отдельный). Это уже просто данность.
Так было, понятное дело, не всегда: случались и массированные паники, и громогласные пророчества со стороны антивирусных компаний, предрекающих, что вирусы скоро устроят конец если не света, то интернета точно, ну и многочисленные городские легенды про компьютерные вирусы, способные вызывать припадки эпилепсии и инсульт у людей, сидящих за компьютерами. Как и любые другие конспирологические теории и городские легенды, опровергать и развенчивать их бессмысленно и невозможно.
Самый первый вирус был создан как экспериментальная программа, демонстрирующая способность компьютерного кода самовоспроизводиться без участия человека. Сейчас компьютерные вирусы — средство заработка как для тех, кто их пишет, так и для тех, кто с ними борется: и с той и с другой стороны имеет место быть отличный бизнес, правда, со стороны вирусописателей — сугубо криминальный, но зато какой доходный!
Самый ранний из известных вирусов писался в порядке эксперимента — исследовалась возможность автоматической саморепликации компьютерного кода. Боб Томас, сотрудник ИТ-компании BBN Technologies, написал программу, получившую название Creeper («ползун», читается как «крипер»), — вполне натурального «червя», который «заражал» компьютеры DEC PDP-10 на базе ОС TENEX, используя в качестве средства распространения ARPANET.
На экране заражённой системы появлялась надпись «Я — ползун, поймай меня, если сможешь». Позднее, в соответствии с золотым принципом «клин клином вышибают», была написана программа Reaper («жнец», читается как «рипер»), которая отыскивала и истребляла копии «крипера».
Остаётся добавить, что BBN Technologies занималась разработкой метода пакетной коммутации (packet switching) для APRANET — и, в итоге, того, что станет интернетом. То есть, получается, что «черви» и интернет родились практически одновременно. Хотя стоит уточнить: термины «вирус» и, тем более, «червь» в отношении компьютерных программ тогда ещё не применялись.
Само понятие «компьютерный вирус» появилось в 1983-1984 годах благодаря профессору информатики в Университете Южной Калифорнии Леонарду Эдлману (Leonard Adleman) и его студенту Фредрику Коэну (Frederick Cohen). Собственно термин придумал Эдлман, а Коэн — написал демонстративную паразитическую программу, способную «заражать» другие программы, внедряя в них свою копию, иногда видоизменённую. Почти так же, как действует биологический вирус.
Между тем, двумя годами раньше — в 1981 году — 15-летний гик по имени Ричард Скрента (Richard Skrenta), любитель небезобидных розыгрышей, написал первый «загрузочный» вирус (boot sector virus) для операционной системы Apple II, живенько так распространявшийся через флоппи-дискеты. Это был первый в истории случай широкого, неконтролируемого распространения вируса, который, по счастью, не причинял целенаправленного ущерба.
О том, что вредоносное программное обеспечение вообще может существовать, большинство пользователей просто не знало.
Довольно скоро, впрочем, пришлось узнать: в 1986 году братья Басит и Амджад Фарук Альви написали программу (c)Brain, вирус, который заменял загрузочный сектор флоппи-диска своей копией, а сам этот сектор угонял в другое место и метил как непригодный (bad sector). Вирус создавал на дискете до пяти килобайт испорченных секторов, замедлял работу дисководов и делал около 7 килобайт оперативной памяти недоступной для DOS.
Как потом объясняли братья Альви, они писали свой вирус как средство защиты своей основной программной разработки от пиратов — предполагалось, что (c)Brain позволит отслеживать пиратские копии этой программы. Братья даже честно указали в программном коде свои координаты, в частности, телефон, по которому следует звонить в случае заражения — и в итоге получили колоссальное количество звонков от возмущённых жертв своего вируса. Ничем хорошим это для них не закончилось.
1987 год оказался каким-то особенно урожайным на зловредный софт. Бельгийские офисы IBM подверглись атаке со стороны первого в истории самошифрующегося вируса Cascade, после чего в IBM начали всерьёз разрабатывать антивирусное ПО. Появился первый вирус для Commodore Amiga, и не то, чтобы совсем безобидный.
Впрочем, он был несравним с Jerusalem, вирусом для DOS, обнаруженным в октябре 1987 года. Эта безбожная тварь садилась резидентом в оперативную память и заражала все исполняемые файлы. Обходила только command.com (в своей оригинальной версии). файлы EXE Jerusalem заражал по нескольку раз, до тех пор, пока они не переставали влезать в память. Медленные машины (PC-XT) вирус мог замедлять в пять раз, на PC-AT последствия заражения были менее заметны.
Главная же проблема заключалась в том, что, начиная с 1988 года, каждую пятницу тринадцатого, этот вирус должен был уничтожать все запускавшиеся с момента заражения компьютера программы. Впоследствии у него было несколько десятков разновидностей, отличавшихся степенью деструктивности и датами уничтожения запускавшихся программ.
В декабре того же 1987 года появился Christmas Tree EXEC, репродуцирующийся вирус, парализовавший ряд международных компьютерных сетей.
В ноябре 1988 года специалисты выявили вирус, «официально» называвшийся «червём» — Morris worm.
История с ним получилась весьма драматичной. Автором «червя» явился некий Роберт Таппан Моррис, студент Корнелльского университета, который создал программу, с помощью которой хотел — по его словам — просто выяснить, сколько в мире компьютеров подключено к интернету. Непонятно, правда, почему тогда Моррис разослал своё детище из сетей Массачусеттского технологического института (MIT), а не из Корнелльского университета...
"Червь" должен был заражать машины под управлением BSD, используя самые разные уязвимости — от программных брешей до слабых паролей. Кроме того, ему полагалось самовоспроизводиться и перед заражением опрашивать каждую машину на наличие на ней своей копии. Правда, Моррису подумалось, что системные администраторы могут попытаться помешать его вирусу, настроив компьютеры так, чтобы те давали ложные положительные ответы. Поэтому автор червя настроил его так, чтобы тот в 14% случаев самовоспроизводился, вне зависимости от ответа опрашиваемых машин.
Следствием этого стала жуткая эпидемия и значительный финансовый ущерб для организаций, чьи сети оказались наглухо забиты червём Морриса. Сам Моррис, узнав о том, что натворил, заявил, что сначала должен был испытать своего червя на симуляторе. Программист оказался первым в истории человеком, осуждённым по закону 1986 года о злоупотреблениях и мошенничестве при использовании компьютерных технологий (Computer Fraud and Abuse Act), но наказан был достаточно мягко: три года условного срока и штраф в 10 тысяч долларов. Впоследствии он стал профессором в том же самом MIT.
Следующими предполагаемым чемпионом по вредоносности должен был стать вирус Michelangelo (1992 год), но не стал. Оказалось, что это СМИ развели истерику, и намалевали чёрта так страшно, что 6 марта все ждали «цифрового апокалипсиса». Не случилось.
В 1995 году на свет появился первый макровирус, использовавший уязвимости в Microsoft Word — Concept. Впоследствии макровирусы стали чрезвычайно популярны у вирусописателей. Чем больше распространялись операционные системы и офисные пакеты Microsoft, тем больше становилось макровирусов.
Стремительное распространение Microsoft Windows — со всеми множественными брешами в безопасности у ранних версий (с Windows 95 начиная) — положило начало совсем новой эпохе.
В 1998 году на свет появился чрезвычайно опасный вирус китайского происхождения, CIH. Как потом стало известно, компания Yamaha начала распространять обновлённую прошивку для своих CD-приводов CD-R400, в которой сидел этот вирус, затем с зеркала сайта Activision пошла распространяться заражённая вирусом демоверсия игры SiN, а в марте 1999 года IBM поставила клиентам несколько тысяч компьютеров Aptiva, заражённых вирусом CIH, ставшим впоследствии известным ещё и как Chernobyl. И не случайно: первый массированный удар вирус нанёс как раз 26 апреля 1999 года, в годовщину чернобыльской аварии.
Вирус заполнял первые 1024 кб загрузочного сектора нулями и выводил из строя BIOS. Для простых людей это фактически означало уничтожение компьютера.
Впоследствии CIH совершил второе пришествие, но это отдельная история.
Следующие пять лет, с 1999 по 2004 годы — это период настоящей гонки вооружения между вирусописателями, антивирусниками, программистами Microsoft и пользователями, становившимися всё менее доверчивыми к нехитрым уловкам распространителей вирусной погани.
Большая часть наиболее опасных червей этих лет использовали многочисленные уязвимости в разработках Microsoft — офисных пакетах, операционных системах Windows и Windows Server, серверных приложениях Microsoft Internet Information Services, браузерах Internet Explorer и т.д. Продукция Microsoft была крайне популярной, и крайне бранимой за свои уязвимости: для вирусописателей создание червей, эксплуатировавших бреши, стало настоящим видом спорта.
Melissa (1999) — макровирус, распространявшийся самостоятельно по электронной почте, используя адресную книгу Microsoft Outlook.
ExploreZip (1999) — вирус, уничтожавший документы Microsoft Office.
ILOVEYOU, он же LoveLetter (2000) — один из наиболее зловредных в истории вирусов. Выуживая адреса из адресной книги Outlook, рассылал сам себя по электронной почте в виде вложения с таким вот файлом: LOVE-LETTER-FOR-YOU.TXT.vbs. По умолчанию Outlook скрывал расширение VBS (а это скрипт на Visual Basic), поэтому наивному получателю казалось, что это обычный текстовый файл. А какой, спрашивается, может быть вред от открытия файла TXT? Внимание, ответ: от 5,5 до 10 млрд долларов.
Ранние версии ILOVEYOU подгружали в систему ещё и троян Barok, а более поздние (с 2001 года) «подгоняли» и старичка CIH. Уж если пакостить, так по-крупному.
2001 год — это AnnaKournikova, опять почтовый червь, притворявшийся, что во вложении письма есть фотография Анны Курниковой в чём мать родила. Автора вируса поймали и отправили на 150 часов общественных работ.
2001 год — вирус Sircam, распространявшийся по почте и через локальные сети, Code Red и Code Red II, атаковавший Microsoft IIS, червяки Nimda и Klez. Последний мог утаскивать с собой с заражённой машины на следующую какой-нибудь случайно выбранный файл.
Следующим поистине знаменательным годом стал 2003-й: SQL Slammer, Blaster/Lovesan, Sobig.F и Sober.
SQL Slammer, он же Sapphire и Helkern, из них самый выдающийся: 24 января 2003 года он устроил форменную глобальную катастрофу, оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета в целом — России тоже досталось.
Очень мелкий (менее 400 байт) и оборотистый, вирус со страшной скоростью генерировал случайные IP-адреса и сразу же отправлял туда свою копию «на удачу». За первые три минуты атаки вирус поразил 75 тысяч адресов и продолжал размножаться как тот самый пресловутый штамм Андромеды. Впрочем, атака быстро схлынула именно потому, что вирус забил все каналы связи и ему больше некуда было размножаться. Вдобавок, системные администраторы бросились латать дыры в Microsoft SQL Server, которые и использовал червь, так что его удалось быстро усмирить.
В дальнейшем (после того, как в 2004 году MyDoom стал самым стремительно распространявшимся вирусом в истории) вредоносные программы стали отчего-то куда реже привлекать к себе массовое внимание. Их не стало меньше, они изменились сами — и по форме, и по назначению.
Вирусописателям, похоже, надоело в массе своей соревноваться, чей вирус быстрее заразит всё на свете, разработчики ПО начали куда более тщательно относиться к безопасности, а рядовые пользователи сделались менее доверчивыми. Достаточно разок вляпаться, чтобы здоровая паранойя относительно «левых» вложений и странных ссылок выработалась навеки.
Сейчас у вирусописателей несколько иные интересы. Трояны и вирусы пишутся не для того, чтобы нанести прямой ущерб компьютерам, а для того, чтобы воровать личную информацию вроде номеров кредитных карт и паролей к ним (а то даже и аккаунты в онлайновых играх, благо на них тоже можно подзаработать).
Формируемые с помощью вирусов гигантские ботнеты — это тоже бизнес. Большой, добротный ботнет — ходовой товар, отличное оружие, активно используемое, кстати, в политической и конкурентной борьбе (особенно в России).
В 2007 году много шуму наделал, например, вирус Storm Worm, с помощью которого как раз и формировался мощный ботнет, объёмы которого в итоге оценивались где-то в 50 млн заражённых машин (впрочем, это наиболее пессимистичная оценка).
Через такие крупные ботнеты рассылается большая часть спама, трояны для расширения ботнета, с их помощью организуются DDoS-атаки и прочие «прелести жизни». Аренда ботнетов сейчас стала, по некоторым оценкам, совсем недорогой: 9 долларов в час.
Венцом вирусописательского творения на сегодняшний день является, возможно, всё тот же Stuxnet — просто в силу своей оригинальности: такого не видел никто и никогда.
Про него уже очень многое написано. За техническими подробностями можно обратиться, например, к статьям Бёрда Киви.
Так или иначе, Stuxnet является серьёзным оружием. Возможно, менее серьёзным, чем хотелось бы думать конспирологам, — в конце концов, он изначально предназначен для атаки на совершенно конкретные промышленные установки. Но — легка беда начала. История вирусов явно не закончена.
Есть ли будущее у клонов Digg и Reddit
Сайты социальных новостей снова у всех на слуху. Если раньше основной пищей для дискуссий были «войны» между пользователями самых популярных и посещаемых из них — Digg.com и Reddit.com, сейчас споры о том, какое место уготовано подобным ресурсам в современном интернете на фоне бурного роста таких социальных сетей как Facebook и Twitter, ведутся уже в крупных и уважаемых СМИ.
Что собой представляют сайты социальных новостей? Эти ресурсы позволяют зарегистрированному пользователю размещать ссылки на статьи, новости или на собственные материалы. Кроме того пользователи могут голосовать за понравившуюся ссылку (или иногда «топить» ее), оставлять свои комментарии и голосовать за чужие. Любая активность влияет на рейтинг, а с его повышением на некоторых сайтах открываются новые возможности. Среди наиболее популярных зарубежных сайтов социальных новостей кроме уже упоминавшихся можно выделить Delicious, Newsvine, Sphinn, StumbleUpon и ряд других.
О немалой популярности подобных ресурсов свидетельствует хотя бы тот факт, что после разоблачения журналистом Оле Оле Олсоном пользователей-консерваторов на Digg, которые объединились в «мафию» и не давали выйти на главную и самую посещаемую страницу сайта материалам либерального характера, заметка об этом появилась в таком влиятельном американском издании как The New York Times.
Однако развитие Facebook и Twitter ставит концепцию сайтов социальных новостей под удар. Пользователи Facebook, к примеру, имеют возможность одобрять (like) и комментировать материалы других пользователей, тем самым выводя их в раздел «Популярные новости». Чем не Digg с «Реддитом»? Пользователи Twitter могут делиться своими ссылками с людьми, входящими в их круг общения, а также передавать по цепочке понравившиеся ссылки.
Дело дошло до того, что создатели сайта Sphinn фактически признали свое поражение и решили отказаться от системы голосования за ссылки, препоручив формирование контента команде редакторов. Рядовые пользователи при этом смогут предлагать свои материалы, однако те должны будут пройти предварительную модерацию редакторами. А основатель Digg Кевин Роуз объявил о нововведениях на ресурсе, среди которых есть и возможность отслеживать материалы, размещенные друзьями пользователя, и делиться с ними своими ссылками — по аналогии с Facebook и Twitter. Кроме того был произведен редизайн ресурса, и исчезла функция «закапывания» ссылок. Впрочем, это не понравилось ряду постоянных пользователей, и они потянулись на Reddit. Согласно данным компании Experian Hitwise, в августе посещаемость Digg снизилась: на 34% в Великобритании и более чем на четверть — в США.
В России тоже есть сайты социальных новостей — Dirty.ru, Habrahabr, SMI2.ru, News2.ru, Pikabu, Vott.ru. Однако они вроде бы подобных трудностей еще не испытывают. Facebook и Twitter в России только набирают популярность, а такие сети как «Вконтакте» и «Одноклассники» лишь недавно ввели у себя функции, позволяющие добавлять и одобрять ссылки.
Мы выяснили у владельцев и создателей крупнейших российских сайтов социальных новостей, каким они видят будущее своих ресурсов. Dirty.ru и Habrahabr в опросе участия не принимали, поскольку для регистрации на них требуется наличие приглашения, что несколько ограничивает возможности для свободной социализации. Регистрация на остальных сайтах осуществляется свободно, их пользователем может стать любой читатель этой статьи.
- Расскажите краткую историю SMI2. Откуда появилась идея сайта?
- Первоначально идея была в том, чтобы создать сеть удаленных журналистов. За техническую основу был взят принцип Digg.com, через некоторое время пришло осознание, что создавать второй REGNUM (крупное российское новостное агентство) довольно трудоемко и дорого, однако сама идеология сохранилась. Пока основная масса материалов — ссылки на новости и статьи. Тем не менее, растет количество авторских статей, переводов, а также есть возможность редактирования ссылочных материалов пользователями, которые имеют редакторские функции. По итогу такого редактирования появляется уникальный авторский материал, переписанный двумя-тремя редакторами.
- Какие, на ваш взгляд, у вас основные конкуренты в России?
- Сложно сказать. Все подобные проекты развивают свои сервисы: некоторые полностью копируют функционал Digg, мы стараемся делать что-то наподобие соцсети, только с привязкой к новостям и развлекательными инструментами: действия над комментариями, новостями, пользователями. В системе у нас это называется волшебством, пользователи имеют уровни, карму и внутреннюю валюту (энтропию).
- Какие цели и задачи ставит перед собой руководство ресурса? Как он будет развиваться?
- В сторону народной журналистики, создания сайтов на платформе SMI2 и социальных связей.
- Как вы считаете, кто ваши посетители, и зачем они приходят на сайт?
- Новости — самый ходовой товар в интернете. Пользователи Сети постоянно потребляют новости, но им недостаточно только этого. Они хотят делиться новостями с друзьями и со всем миром, обсуждать их, создавать на их основе что-то свое. Удовлетворить эти потребности, помочь рядовому обитателю Рунета приобщиться к волнующим его событиям, призвана наша соцсеть.
- Какие интересные стимулы вы предлагаете активным пользователям?
- Заработок с рекламы в новостях. Чем популярнее новости, тем больше заработок. До недавнего времени проводился конкурс «народный корреспондент».
- Поясните вкратце основные правила сайта, пожалуйста. За что пользователь может быть «забанен»?
- У нас все модераторы из активных пользователей. Есть стандартный инструмент, который предотвращает дрязги, провокации и пр. — «Лепрозорий». Модератор может скинуть комментарий, который провоцирует или оскорбляет других пользователей, в «Лепрозорий» вместе со всей веткой обсуждения. Далее пользователи могут продолжить общаться в лепрозории, но на практике такого не случается, это сильно остужает пыл провокаторо- Соответственно, «бан» бывает в тех редких случаях, если пользователь совершенно неадекватен.
- Подходит ли ваш сайт для привлечения трафика на сайты пользователей SMI2?
- СМИ2 можно разделить на социальную сеть и «обменку». Практически все крупные СМИ участвуют в обмене трафиком со SMI2. Если говорить о том, сколько SMI2 отдает посетителей другим сайтам как соцсеть, думаю, вполне достаточно, чтобы считать ее трафикогенератором.
- Почему, на ваш взгляд, в России подобные сайты не пользуются такой же популярностью, какой у себя на родине пользуются западные аналоги — типа того же Digg, Reddit и пр.?
- Я бы не сказал, что они не пользуются популярностью, просто в сравнении с англоязычной аудиторией мы слишком малы.
- Расскажите краткую историю News2. Откуда появилась идея сайта?
- История началась в далеком 2006 году, если верить Wikipedia, 28 января, сам уже не помню. Я тогда только окончил университет и занимался сайтостроением, ну или чем-то похожим. Меня интересовало все новое: it, компьютеры, всякие гаджеты и прочее. Мне казалось, что в рунете об этом читать нечего, лучшее, что было, — это запоздалые переводы статей с зарубежных сайто- Habrahabr тогда не было (теперь, к слову, это один из моих любимых сайтов). Ну, а так как английским я немного владею, сидел плотно на Digg.com, Delicious.com, а также регистрировался на всех новых и интересных стартапах, просто из любопытства.
Хотелось как-то самореализоваться, сделать хороший, полезный сайт, возможно, заработать на нем миллионы — я был в постоянном поиске хорошей идеи. И хотя за плечами не было крупных проектов, я точно знал, что могу сделать аналог любого из этих сайтов, оставалось только выбрать. Идея Digg мне нравилась больше прочих, по крайней мере больше тех, которые я смог придумать сам. Она казалась перспективней и интересней Facebook, который тогда только набирал популярность, хех. Далее дело техники — примерно через неделю первая версия сайта была готова, и, судя по скриншотам с той же Wikipedia, до наших дней он дошел почти без изменений. Потом были долгие месяцы исправления ошибок и наращивания функционала, кое-что придумывал сам, но в основном читал «книгу пожеланий» прямо с сайта. Там и сейчас тонны интересных идей, которые пока остаются нереализованными. Уже много позже сайт был практически полностью переписан профессиональным программистом, с которым мы сотрудничаем до сих пор.
- Какие, на ваш взгляд, у вас основные конкуренты в России?
- Их было много, но с годами становится все меньше. Сейчас мне удалось найти не более трех похожих сайтов, и то у всех есть существенные отличия от News2. Самый качественный из них — SMI2, он же и самый популярный. Но, несмотря на красивую «обертку» и профессионализм его создателей, мне почему-то неинтересны новости, которые там публикуются. А «обертки» через RSS все равно не видно.
- Какие цели и задачи ставит перед собой руководство ресурса? Как он будет развиваться?
- Ну, конечно, захватить побольше пирога «рынка» новостных сайтов, стать чем-то вроде Habrahabr, только в более широкой области. Основная проблема и стопор в развитии сайта заключаются в том, что он всегда был проектом «выходного дня», и, как следствие, на его развитие постоянно не хватало времени. Закончилось все это тем, что пару лет сайт был практически в свободном плавании. Однако за это время ему, как ни странно, даже удалось немного набрать популярность. Сейчас мы с моим партнером Григорием думаем над тем, как лучше задействовать свои ресурсы, чтобы вывести сайт на новый уровень. Думаю, ближайшее обновление будет примерно через месяц.
- Как вы считаете, кто ваши посетители, и зачем они приходят на сайт?
- Я не изучал аудиторию более того, что показывают отчеты LiveInternet. Могу сказать лично за себя — на News2 я зачастую нахожу новости с блогов, которые ещё не опубликованы популярными новостными сайтами; кроме того, иногда встречаются интересные авторские материалы. Как правило ньюсхантеры (так пользователи News2 называют сами себя) добавляют интересующие лично их материалы, у них есть области, в которых они разбираются лучше прочих. Тут нет никакого штата журналистов, точнее, штат есть, но он неограничен. За счет этого новостная лента не похожа ни на один известный мне новостной сайт. Здесь интересно!
- Какие интересные стимулы вы предлагаете активным пользователям?
- Активные участники зарабатывают внутреннюю валюту, которой могут оплатить размещение баннеров на сайте.
- Поясните вкратце основные правила сайта, пожалуйста. За что пользователь может быть «забанен»?
- У нас, конечно, есть правила, но даже я не могу забанить ни одного участника по своему желанию — у меня просто нет такой кнопки, как и кнопки удаления новости или вывода ее в топ. Механизм «бана» автоматизирован, как и механизм вывода новости в топ — единственной причиной для «бана» пользователя может служить коллективное мнение других участников сайта, и чем авторитетнее участник, тем весомее это мнение. Обычно пользователей банят за спам.
- Подходит ли ваш сайт для привлечения трафика на сайты пользователей News2?
- Подходит, но с некоторыми оговорками. Как и на Digg, чтобы получить переходы, необходимо вывести новость в топ. А для этого надо, чтобы она понравилась участникам. То есть это должен быть действительно хороший и актуальный материал, все прочее я сам регулярно пытаюсь «закопать».
- Почему, на ваш взгляд, в России подобные сайты не пользуются такой же популярностью, какой у себя на родине пользуются западные аналоги — типа того же Digg, Reddit и пр.?
- Думаю, просто никто еще серьезно не занимался привлечением пользователей на такого рода сайты, кроме SMI2. News2 никогда не платил за рекламу на сторонних ресурсах, не говоря уже про рекламу в оффлайне.
Об авторе: Алексей Лахов — создатель проекта Сегодня-News.
Поделиться книгой: