PDA

View Full Version : История На Вирусите



Ax3
09-09-2009, 18:09
Компютърни вируси - въведение

Ето какво намерих също докато се ровех в нета.

Възникване

Още със създаването на първите наистина работоспособни компютърни прототипи в средата на 50-те години на миналия век възниква идеята за създаване на помощно средство, с което да се изследват вътрешните информационни потоци в прототипите.

През 60-те и 70-те години на миналия век тази идея се развива значително и довежда до създаване на средство, което се саморазмножава и самотранспортира.

Дълго време това средство се е използвало само в лабораториите за конструиране на по-добре работещи компютърни прототипи.

През 1970 г. се появяват първите съобщения за компютърни вируси, които представляват реализация на вирусната идея, но извън лабораториите и с определена цел.

През 1983 г. Фред Коен провежда поредица от експерименти, свързани с компютърната сигурност, в резултат на което създава официално признатата дефиниция за компютърен вирус.

През 1986 г. се създава Brain - първият вирус за PC, с което започва и новата съвременна история на компютърните вируси.

През 1988 г. се създава Internet Worm – първият вирус (червей) за глобалната информационна мрежа Internet. Чрез него съвременната цивилизация за първи път се сблъсква с мащабите на това явление и осъзнава доколко е незащитена от злонамереното мислене.

През 1991 г. се появяват първите полиморфни (самопроменящи се) компютърни вируси, които рязко променят изискванията към защитните системи. Тъй като този тип вируси позволяват всяко следващо поколение от даден вирус да се различава значително от всички предходни и от всички следващи екземпляри, то създадените вирусни сигнатури не могат да откриват абсолютно всички вирусни екземпляри. Това изисква нови методи и средства за създаване на антивирусни програми.

През 1992 г. се появява WinVir – първият вирус за операционната система MS Windows, с което се слага началото на една основна линия в развитието на компютърните вируси.

През 1995 г. се появява Concept – първият макровирус за MS Word. С него се слага началото на създаване на компютърни вируси, които манипулират потребителските документни файлове.

През 1996 г. се създава Varan - първият вирус за MS Windows 95, който обработва по специфичен начин изпълнимите програмни файлове в операционната система. През същата година се създават и първите макровируси за MS Excel, които за първи път използват вътрешните скрити полета на документните файлове.

През 1997 г. се създава Cantor – първият вирус за MS Windows NT, с което се разрушава мита за сигурната професионална графична операционна система.

През 1998 г. се създава Monti – първият макровирус за MS Access. С него се доказва, че и сериозните приложения са под заплаха.

През 1999 г започва създаването на принципно нови компютърни вируси с ярко подчертани злонамерени цели, за чието постигане се разчита на Internet среда и WEB – базирани ресурси.

През 2000 г. започва интегрирането на технологиите за създаване на различните разновидности на компютърните вируси с финансови инструменти, работещи в Internet среда, като електронно банкиране, електронна търговия, електронни борсови операции и т.н. Компютърните вируси и техните разновидности стават част световната система за финансови измами.

През 2001 г. се забелязва ярка тенденция компютърните вируси и техните разновидности да се използват за шпиониране. Това включва извличане на всякаква информация от атакувания компютър или система без разрешението на упълномощеното лице. Създават се напълно автоматични програмни системи чрез технологиите на компютърните вируси и техните разновидности, които мигрирайки в WEB – базираните ресурси на Internet средата, извличат конфиденциална информация по предварително планирани критерии.

През 2002 г. е налице добре изразена особеност компютърните вируси и техните разновидности да се използват освен за шпиониране и за решаване на локални или глобални конфликти, свързани с конкуренцията в определени пазарни ниши, с планирането на ценовата политика, с осигуряване на суровинни запаси и т.н. На практика компютърните вируси и техните разновидности се превръщат в основен инструмент (а в някои случаи и основна заплаха) за добронамерено или злонамерено управление на световната дигитална икономика.

__________________________________________________ _____

Еволюция и перспективи за бъдещето

Развитието на компютърните вируси и техните разновидности е процес с изключително висока динамика.

Тя се определя от много фактори, между които са технологичните постижения в областта на процесорите, паметите, твърдите дискове, компакт дисковете, мониторите, звуковите устройства, телекомуникациите, операционните системи, приложните програми и др.

Друг много важен фактор е непрекъснатото увеличаване на броя на потребителите на информационните технологии в световен мащаб и съответно нарастване на тези от тях, които имат възможност за контакти с технологиите за създаване на вируси.

Това увеличава абсолютния брой на тези потребители, които владеят уменията за създаване на вируси и техните разновидности, което им дава възможност да интерпретират по нов и неочакван начин последните постижения в областта на информационните технологии.


1. Еволюция

Посочената по-горе характерна тенденция в еволюцията на компютърните вируси и техните разновидности има за свое начало постиженията на вирусното ноу-хау през 2000 г., когато Интернет средата, съчетана със злонамереното мислене, позволи създаването на глобални информационни заплахи.

Еволюцията на компютърните вируси и техните разновидности получи изключително силен тласък от възможностите за роботизирано генериране и роботизирано разпространение на вирусите, което позволи на потребители с елементарни компютърни познания да създават с висока продуктивност силно агресивни вирусни сценарии.

Това промени твърде сериозно географията и демографията на създаването на компютърните вируси и техните разновидности, като тази тенденция е на път да породи особени тенденции при създаването на правителствени, публични или корпоративни информационни системи, изразяващи се в това, че средствата отделяни за защита на системите ще доминират вероятно над разумното в общите разходи, а това означава ограничаване на разходите за други полезни функции и процедури.

2. Перспективи

По отношение на перспективите за бъдещето, трябва определено да се посочи, че компютърните вируси и техните разновидности няма да изчезнат.

Вечната борба между доброто и злото намира своята съвременна реализация под формата на създаване на злонамерена програмна среда, която ще се стреми да разруши, манипулира или компрометира съществуваща добронамерена програмна среда.

Все по-високата зависимост на обществото от информационните технологии предопределя изключително силния стимул за създаване на компютърни вируси и техните разновидности.

Преследваните цели на вирусните сценарии ще се развиват вероятно във все по-агресивна посока. Стремежът за присвояване на съдържание или на ценности чрез информационните технологии ще доминира в общата картина на злонамереното мислене.

Сложността на вирусните сценарии ще нараства с темпове, пропорционални на откритията и нововъведенията в областта на информационната индустрия, като доминиращата идея в тяхното изпълнение ще бъде максималната възможна прикритост и дългосрочност в реализацията на целите.

_____________________________________________

Видове и класификация

Еволюцията на компютърните и комуникационните системи, които извършват обработка на информационни потоци при определени изисквания по отношение на сигурността, се характеризира с многогодишна историческа битка между злонамереното и добронамереното мислене.

Престъпленията, извършвани в рамките на съвременната цивилизация по различно историческо време от представители на различни раси, националности, религии, социално положение, образование и др., се характеризират с определени особености, които се повтарят с устойчива последователност през вековете.

Тези особености са свързани с няколко най-често срещани мотиви за извършване на престъпленията, между които вероятно най-често срещаният е присвояването с цел лично облагодетелстване.

Постигането на тази цел обикновено е съпроводено с определена подготовка, която включва натрупване на необходимата информация, планиране на определена поредица от действия, извършване на деянието, заличаване на евентуални следи и улики.

Обществото има добре развита система от институции, които извършват процесуално-разследващи и наказателно-репресивни действия като отговор на тези престъпления. Още при възникването и оформянето на информационната индустрия са възникнали и т.нар. информационни престъпления, които, макар и незначителни на пръв поглед, са носители на значителни финансови загуби, а това налага изграждането на система от наказателни мерки.

Киберпространството възникна като понятие през последните десетина години и представлява обобщен израз на изградената от съвременното общество информационна инфраструктура, включваща всички йерархични нива на съвременната глобална Мрежа.

Престъпленията в киберпространството имат своята сериозна история, която включва стотици разкрити и публично огласени и наказани извършители и, което е много по-важно в случая, десетки милиони неразкрити и ненаказани извършители.

Причините за това съотношение са много и най-различни, но доминиращото е особената невидимост на информационните престъпления, състояща се в това, че престъпление има, но извършител няма, тъй като доказателства за пряката отговорност се намират изключително трудно.

Известните и съответно изучени и класифицирани информационни престъпления са вероятно стотици, но само някои от тях е прието да се наричат хакерски атаки.

Съдържанието, което се влага в този термин, не винаги отговаря на поредицата от планирани действия, извършвани от отделни лица или организирани групи, но това което винаги присъства в подобни действия е нарушаването на определени забрани, правила и граници с добронамерена или злонамерена цел.

Същността на хакерските атаки се заключава в манипулиране на информационната среда, което включва операционната система, приложенията, мрежовите протоколи, транспортните протоколи, протоколите на процедурите за сигурност и др. по такъв начин, че се променя идентичността на отделния потребител, компютър или мрежа, заблуждава се насрещната страна за правомерността на определени действия, извличат се по нерегламентиран начин данни, чието използване носи преки финансови или морални загуби на физически или юридически субекти преодолявайки регионални, национални или глобални граници.

В най-общ план, отчитайки изискванията на различни класификационни схеми, хакерските атаки могат да се разделят на активни и пасивни.

Активните атаки съдържат в себе си определен сценарий, който предполага планиране и извършване на поредица от действия, свързани с промяна на определена програмна среда и нейните компоненти.

Пасивните атаки също съдържат в себе си определен сценарий, който включва предварително планирана поредица от действия, но този сценарий се отличава с това, че при него не се цели и не се постига промяна в програмната среда, а само се търси достъп до атакуваните ресурси и информационни потоци, като се реализира функцията наблюдение и анализ.

1. Атака чрез предсказване
2. Атака чрез прекъсване
3. Атака чрез копиране
4. Атака чрез десинхронизация
5. Атака чрез маскираност
6. Атака чрез маршрут
7. Атака чрез хипервръзка
8. Атака чрез web

1. Атака чрез предсказване

Информацията в Интернет се предава между компютрите чрез т.нар. TCP/IP пакети, наричани просто пакети, които за да извършват своето движение, се нуждаят от две координати. Първата е т.нар. IP адрес на компютъра получател, втората е уникалния сериен (последователен) номер на пакета. С тяхна помощ приемащият компютър разпознава своите пакети и съответно маршрутизаторите (рутерите) пропускат в своите мрежи очакваните пакети. Хакерските действия се състоят в предварително подслушване и анализиране на нормалните пакети, в резултат на което се предсказва правилното множество от IP адреси и серийни номера, след което хакерският компютър застава между сървъра и обслужвания компютър, като обикновено след няколко опита успява да получи достъп до вътрешната информация, съдържаща имена, пароли, файлове и др.

2. Атака чрез прекъсване

В този случай се постига пълно прекъсване на TCP сесията на логическо и на физическо ниво, в резултат на което хакерският компютър заема напълно мястото на атакувания компютър и сървърът продължава да поддържа информационния поток без да открие подмяната. Това се постига, тъй като освен вярното представяне чрез правилния IP адрес на атакувания компютър, хакерският компютър генерира правилни серийни номера на пакетите, които издържат на конвенционалната проверка на сървъра. В сценария на тази атака се предвиждат и действия, насочени към напълно изолирания клиентски компютър, които предвиждат симулиране на пропаднала комуникация, ненужно повторение на вече изпратени пакети и т.н., които целят максимално прикриване на пробива. Подготовката и реализацията на този вид атака я прави значително по-опасна, тъй като присвояването на самоличността на клиентския компютър и извършването на действия от негово име осигуряват значителен потенциал за злонамерени действия.

3. Атака чрез копиране

При тази атака се извършва наблюдение, преглеждане и евентуално копиране на отделни пакети, множества от пакети, на целия TCP поток за определено време или при наличие на необходимите ресурси върху хакерския компютър, на абсолютно целия TCP трафик. По този начин се събира пълна информация за цялата мрежа, което позволява в спокойна обстановка да се постигне пълно разглобяване на пакетите, включително и откриване на определени пароли и процедурни особености. Допълнително предимство на този вид атака е възможността за разглобяване на защитен (криптиран) TCP трафик, поради възможността да се използват допълнителни изчислителни ресурси в условията на планирани експерименти. В този случай се постига почти пълно разкриване на атакуваната система, което включва и всички достъпни през мрежата съседни компютри и локални мрежи. Щетите са значителни, особено ако се допусне ситуацията с копиране на пакети да не бъде открита навреме, което дава възможност за изтичане на информация по този начин през относително дълъг период от време.

4. Атака чрез десинхронизация

Атаките от този вид се основат на обстоятелството, че TCP връзката изисква синхронизация при изпращане и получаване на пакети. Ако поради някаква причина приемащият компютър получи пакет, чийто номер не съвпада с очаквания, той ще го отхвърли и ще продължи да чака пакета с правилния номер. Това дава възможност на хакера да създаде ситуация при което правилният номер не може да се получи и двете страни на връзката се десинхронизират. През това време хакерският компютър, който е свързан към мрежата и през който преминават действителните пакети, започва да изпраща заместващи пакети в двете посоки със съответно променено съдържание. Подправените пакети позволят на хакерския компютър да се маскира или като сървър или като клиент или като двете в зависимост от сценария на атаката. Хакерският компютър може да филтрира информационния поток като отстранява онова, което се счита за нежелано, или да прибавя команди и заявки за изпълнение, които нямат нищо общо с обичайния режим на работа на атакувания компютър. Съществуват около десетина разновидности на този вид атака, които използват различни вторични средства като например свръхколичество от пакети, невалидни номера, невалидно съдържание и др.

5. Атака чрез маскираност

Тук се използва идеята хакерът да се маскира като клиент и от негово име (използвайки клиентския IP адрес) да започне или да продължи вече започната сесия със сървъра чрез изпращане на синхронизиращи пакети. По-нататък се осъществява поредица от действия, които имат за цел запазване на това състояние, при което сървърът е в неведение относно маскирането и въпреки, че в повечето случаи хакерският компютър не може да получава данни от сървъра, той може да изпраща данни към него, а това е сериозна потенциална заплаха. В този случай се използва контролиращата процедура на проверения веднъж клиентски компютър и делегиране след това на пълно доверие, без да се извършва периодична допълнителна проверка по време на вече започната сесия. Този модел е характерен за операционни системи от фамилията Unix и въпреки, че има определени недостатъци поради исторически причини все още има сериозно присъствие.

6. Атака чрез маршрут

Основната идея на този вид атака е обичайните точки в маршрута на пакетите между два доверени IP адреса да се допълнят с една или повече допълнителни точки, които всъщност представляват хакерския компютър. Това незначително удължаване на пътя на пакетите обикновено не може да се открие и без да се нарушава общата процедура по сигурността се създава добра възможност за злонамереното мислене да реализира свои сценарии за наблюдение, анализиране и копиране на пакетите от TCP трафика. Съществуват варианти на тази атака, изчакващи подходяща ситуация, при която клиентският компютър е изключен от мрежата; тогава хакерския компютър се представя за клиентски с всичките последици от това. Съществуващите правила в някои операционни системи да се приемат пакети с маршрута, по които трябва да преминат, и с отворени възможности за заобикаляне и отклоняване от първоначално планирания маршрут създават сериозно удобство за хакерите, които използват този вид атаки.

7. Атака чрез хипервръзка

Този вид атака се състои в създаване на условия, при които става възможно определена хипервръзка, сочеща към някакъв обект на истински сайт, да бъде частично или изцяло редактирана, в резултат на което хипервръзката започва да сочи или променен обект на истинския сайт или друг хакерски сайт. В зависимост от сценария за атака подмяната на обект или на сайт е съпроводена с допълнителни действия, които позволяват да се наблюдава или манипулира съдържание на определени информационни потоци в определени информационни точки. Със средствата на тази атака е възможно да се проведат успешни действия на хакерите срещу определени протоколи за автентичност на сървърите (например SSL), използвани за създаване на защитени WEB браузъри. Като резултат от това е възможно потребителят да изпрати лична информация през заблудения браузър към фалшивия сървър, който е под хакерски контрол.

8. Атака чрез web

Основната идея при този вид атака е създаване на напълно дублирано копие на определен WEB сайт, при което върху фалшивото копие се осъществява пълен хакерски контрол. Обикновено се фалшифицират популярни и широко известни сайтове, тъй като това гарантира висок потребителски интерес и съответно високи възможности за проява на злонамереното мислене. По такъв начин се създава възможност за наблюдение, анализ и манипулиране на всякаква информация от и към фалшивия сървър. При съответната подготовка от страна на хакерите и при недостатъчната компетентност от страна на потребителите тази подмяна е възможна даже и в случаите, когато се използват специализирани сертификати, гарантиращи защитена връзка. Особено значение имат атаките от този вид, когато става въпрос за приложения, свързани с електронната търговия, с електронните разплащания, с електронното банкиране, с електронните борси и т.н. Възможностите за злоупотреби в тази посока чрез използване на хакерски атаки от този тип са изключително привлекателни за злонамереното мислене.

ВЗЕТО ОТ: http://azop.piczo.com/-?cr=5&linkvar=000044