Wirusy, malware, spyware. Krótka historia cyberbezpieczeństwa

Historie z lat 90. o ubieraniu rękawiczek do pracy z komputerem w celu ochrony przed wirusami to wyolbrzymione bajki. Faktem jest jednak to, że świadomość bezpieczeństwa informatycznego ukształtowały amerykańską popkultura i szukająca taniej sensacji prasa. To kiepski grunt, mocno ograniczający wyobraźnię. Wpadliśmy w pułapkę myślenia o wirusach, choć dzisiejszy krajobraz IT nie przypomina tego z dawnych lat.

Wirusy były problemem na początku informatyzacji kraju. W dobie dyskietek i powszechnego "drugiego obiegu" oprogramowania, duża część nośników była zainfekowana wirusami. Działały one jednak inaczej niż dziś. Ich głównym celem była sama replikacja oraz - żarty. Rozpowszechniały się wskutek nieuwagi użytkownika: dyskietka pozostawiona w napędzie po wyłączeniu komputera, przy następnym uruchomieniu była odczytywana przed startem systemu. W efekcie do pamięci zapisywał się program pracujący w tle (dziś powiedzielibyśmy "rootkit", choć wtedy nie miało to sensu), infekujący kolejne wkładane dyskietki.

Ochrona przed dyskietkowymi wirusami polegała jedynie na dwóch kwestiach: zabezpieczaniu ich przed zapisem i niepozostawianiem ich w napędzie po wyłączeniu PC. Poza tym, twory te (jak Stoned, 1994) nie robiły nic więcej. Bardziej złośliwe wirusy pojawiły się później, acz nawet te za którymi stała skoordynowana akcja, w większości przypadków nie były napędzane motywacją finansową.

Ich negatywny wpływ był inny. Takie wirusy jak CIH potrafiły uszkodzić komputer. Kreśliło to obraz wirusów jako czegoś innego niż oprogramowanie - wyrządzając fizyczne szkody, wyglądały na twór niemal biologiczny, bardzo trudny do wytłumaczenia laikowi. A gdy coś jest tajemnicze, edukowanie na ten temat jest trudniejsze.

Problem rozpędzał się, gdy wirusy zaczęły przenosić się z komputerów prywatnych do biur i sieci. Pierwsze makrowirusy, wykorzystujące platformę programowania Office i Outlook do propagacji, przecierały szlak do dzisiejszych "komercyjnych" kampanii malware, atakujących duże firmy i instytucje.

Melissa (1996) i ILOVEYOU (2000) wykorzystywały funkcje automatycznego wykonywania kodu w pakiecie biurowym. Funkcje te były hitem automatyzacji lat 90-tych, aż okazały się przewlekle dziurawe. Dziś nie musimy się nimi martwić, bo domyślnie już nie działają - o ile mamy aktualne oprogramowanie.

Popularyzacja wirusów związana z ekspansją internetu spotkała się z odpowiedzią dostawców oprogramowania. Niestety, zanim wprowadzono zmiany architekturalne utrudniające infekcję, uwagę na sobie skupiły antywirusy. Dziś uchodzą za niezbędne oprogramowanie, choć smartfony dowodzą, że kluczem do bezpieczeństwa jest właściwa konfiguracja - a nie antywirus. Poprawne ustawienie pakietu Office pozwoliło uniknąć makrowirusów, a aktualizacje - złośliwych skryptów. I mimo, ze na smartfonach (zazwyczaj) nie znajdziemy antywirusa, fakt ten nie daje do myślenia użytkownikom pecetów, gdzie antywirus jest normą, choć nie musiałoby tak być.

Epidemię robaków sieciowych i propagujących się mailowo wirusów sprawiły w końcu, że problem uznano za zagrożenie na poziomie narodowym. Dziury, umożliwiające panoszenie się takich szkodników jak Sasser (2004), uznano za nieuniknione, postawiono na mitygacje. W rezultacie, system Windows został przebudowany tak, by utrudniać najpopularniejsze ścieżki propagacji.

Na dzisiejsze normy, zmiany te (wprowadzone głównie przez Service Pack 2 do Windows XP) były dość skromne, ale należy mieć na uwadze, że dotychczas twórcy oprogramowania nie wprowadzali niemal żadnych adaptacji zorientowanych na ochronę przed wirusami. A popularność oprogramowania antywirusowego sprawiała, że nie było w powszechnej świadomości wiedzy o tym, że jest taka potrzeba.

Wzrost popularności zagrożeń sieciowych sprawił, że poza antywirusem rekomendowano stosowanie firewalla. Problem z tą radą, również trudny do wytłumaczenia laikowi, polega na tym, że gdyby komputer nie oczekiwał połączeń przychodzących, to nie trzeba by ich było filtrować zaporą sieciową.

Tymczasem Windows twierdził domyślnie, że jest zainstalowany w bezpiecznej sieci lokalnej (i mamy rok 1993). Zapotrzebowanie na zaporę wynikało w dużej części z obecności wielu usług sieciowych, domyślnie włączonych w Windowsach, i otwartych "na cały świat". Służą one do udostępniania plików i drukarek oraz do wykrywania i automatycznej konfiguracji urządzeń w sieci lokalnej.

Były to jednak zagrożenia przed którymi chroniły także aktualizacje. Świadomość konieczności aktualizowania systemu była jednak nikła. Na wielu komputerach aktualizacje automatyczne nie aplikowały się poprawnie. Nie brakowało także, i dalej nie brakuje, "ekspertów" sugerujących wyłączanie aktualizacji.

Stosowane argumenty to zazwyczaj jeden z dwóch. Albo jest to obawa, że wyszukiwanie aktualizacji umożliwia Microsoftowi odnalezienie "kradzionych empetrójek" (i wezwanie policji) albo przekonanie, że Windows był doskonały w momencie wydania, a następnie jest "psuty" poprawkami, mimo że są one tworzone przez tych samych ludzi co sam system i rozwiązują znane i łatwe do samodzielnego zidentyfikowania problemy.

Dlatego wyłączanie aktualizacji to zły pomysł. To, że regularnie wraz z nimi dostajemy w pakiecie funkcje o które niekoniecznie prosiliśmy (np. AI), to niestety cena gry. Ze względu na złożoność oprogramowania, poprawki są dziś agregowane w duże pakiety. Nie otrzymujemy już malutkich "łatek" na dziury i oddzielnych, opcjonalnych pakietów z nowymi funkcjami. Z tego powodu, chcąc dbać o bezpieczeństwo, przychodzi nam czasem godzić się na niechciane dodatki.

Popularyzacja zagrożeń sieciowych nie oznaczała jednak wyginięcia klasycznych wirusów. Zanim Office dorobił się blokady forków i makr, a Windows - poprawnie działających zabezpieczeń dla funkcji skryptów, Autoodtwarzania i HTA, wszechobecne były wirusy rozprowadzane na pendrive’ach. To plaga, która choć dziś jest już znacznie mniejsza niż kiedyś, nie wygasła. Wciąż możemy się z nią spotkać np. w punktach ksero.

Wirusy pendrive'owe wykorzystywały mechanizm autoodwarzania zaprojektowany dla płyt CD-ROM. W czasach, gdy płyty CD rzadko były wypalane samodzielnie, a zamiast tego były sprzedawanym nośnikiem tylko do odczytu, automatyczne uruchamianie aplikacji z nośnika było niegroźne i wręcz pożądane.

Popularyzacja pendrive'ów to zmieniła. Funkcja nie miała w nich sensu, ale była włączona - w efekcie służąc głównie wirusom. Problem urósł do ogromnej rangi, gdy mechanizm ten okazał się służyć propagacji bardzo złośliwych szkodników, jak Conficker (2008) i Stuxnet (2010).

Microsoft długo nie umiał zaimplementować poprawnego zabezpieczenia ani możliwości pełnego wyłączenia tej funkcji dla nośników USB. Dziś pierwsza generacja wirusów pendrivowych już nie działa, ze względu na zmiany w systemie. W ich miejsce pojawiła się kolejna, wykorzystująca słabości plików LNK.

Zamiast pendrive'ów korzystamy już jednak coraz częściej z chmury. Jednocześnie, zagrożenia wyewoluowały na tyle, że nastąpiła ich komercjalizacja. Dlatego dzisiaj wirusy nie są czymś, co ma nam tylko złośliwie przeszkadzać. Dzisiaj złośliwe oprogramowanie chce na nas zarobić. Spotkamy się więc z dwoma rodzajami zagrożeń. Pierwsze to ransomware - oprogramowanie żądające okupu za odszyfrowanie danych, nad którymi przejęło kontrolę. Drugie to złodzieje pamięci podręcznej aplikacji (głównie przeglądarek). Zamiast kraść nam hasło, kradną całą tożsamość.

Ransomware to, poza swoją komercyjną naturą, klasyczny wirus. Najpopularniejsza do tej pory kampania ransomware, wykorzystująca WannaCry (2017), wykorzystywała do propagacji dziury w protokołach RDP i SMB. Choć program miał podstawowe zdolności samodzielnego rozpowszechniania, bez dziur w SMB by sobie nie poradził. Kolejny raz był to więc problem możliwy do rozwiązania aktualizacjami. Popularność ransomware jednak spadła wśród użytkowników, ponieważ o wiele bardziej opłaca się atakować firmy. Zamiast żądać okupu, przeciętnego użytkownika okrada się z tożsamości.

Przez pewien czas popularny był termin spyware - określający oprogramowanie szpiegujące lub obserwujące użytkownika. Dziś spyware'u już prawie nie ma (lub, jak kto woli, jest wszędzie). Zamiast tego, użytkownika śledzi się w internecie za pomocą jego śladu cyfrowego.

Pobierając od użytkownika stan pamięci aplikacji (jak Discord, Telegram, Messenger, WhatsApp), złośliwe oprogramowanie potrafi udawać osobę zalogowaną. Nie musi się logować, ponieważ dysponuje skradzionym upoważnieniem otrzymanym przez użytkownika po prawdziwym zalogowaniu. Choć jest to coraz trudniejsze, w dalszym ciągu jest możliwe. Wymaga jednak uruchomienia złośliwego kodu, a Windows stopniowo zamyka kolejne sposoby na to, by robić to przypadkowo.

Ransomware opłaca się podczas atakowania firm, indywidualni użytkownicy cierpią właśnie na kradzieży i wtórnym obrocie kont. Lecz ze względu na coraz lepsze zabezpieczenia i większe zróżnicowanie urządzeń, kradzież tożsamości bywa skuteczniejsza metodami socjotechnicznymi.

Choć phishing i fałszywe strony logowania to nic nowego, w dobie wszechobecnych powiadomień, płatności bezgotówkowych i tuzinów różnych kont, o wiele łatwiej o wyłudzenie poświadczeń. Należy pamiętać, że nasza uwaga i rozsądek są poddawane próbom przez ludzi, dla których przestępstwo jest chlebem powszednim.

Co wynika z tego przeglądu? Kilka kwestii. Przede wszystkim wirusy nie opuszczą nas, ale wiele z nich nie zrobi nam żadnej krzywdy, jeżeli będziemy korzystać z aktualnego i poprawnie skonfigurowanego oprogramowania. Po drugie, komercjalizacja złośliwego oprogramowania sprawia, że należy nie tylko bronić się przed samą infekcją, ale także minimalizować jej potencjalne efekty. Tam gdzie to możliwe, należy włączyć dwuskładnikowe uwierzytelnianie i bezpiecznie obchodzić się z hasłem. Ważne jest m.in. właściwe gospodarowanie hasłami, na przykład za pomocą menedżera haseł.

Aktywny antywirus (systemowy Defender jest w porządku), aktualne oprogramowanie i bezpieczna konfiguracja (UAC, HTA, wyłączone skrypty i makra, odsłonięte rozszerzenia nazw plików) ustrzegą nas przed większością wirusów. Ich popularność zresztą spada. Większym zagrożeniem jest socjotechnika. Przed oszustami nie chroni żaden antywirus. Niech nie daje on zatem złudnego poczucia bezpieczeństwa. Choć kampanie są dziś prędko blokowane, zanim to nastąpi, jesteśmy zdani na własną ostrożność.