若论网络安全,没有多少术语的知名度能够盖过“计算机病毒”。尽管计算机病毒的威胁具有普遍性且影响广泛,但很多用户并不了解病毒的本质。下文简要介绍计算机病毒的历史以及这种广泛传播网络威胁的未来发展趋势。
自复制自动机理论
什么是计算机病毒呢?19 世纪 40 年代末期,数学家 John von Neumann 在其一系列演讲中率先提出这一理念,而后,于 1966 年发表了一篇论文:自复制自动机理论。这篇论文堪称一次高效的思想实验,推断出“机械”有机体(例如一串计算机代码)应该能够损坏机器、进行自复制以及感染新主机,就像生物病毒一样。
Creeper 程序
据 Discovery 披露,被许多人公认为第一款病毒的 Creeper 程序是 BBN 公司的 Bob Thomas 于 1971 年创建的。实际上,设计 Creeper 只是为了进行一项安全测试,查看自复制程序是否可行。可以说它确实做到了。Creeper 在感染了每一块新硬盘之后,会尝试从上一个主机中自行移除。Creeper 本无恶意,只是显示一条简单的消息:“我是 CREEPER。有本事来抓我呀!”
兔子病毒
据 InfoCarnivore 数据显示,1974 年开发的兔子(或 Wabbit)病毒确实有恶意,能够自我复制。它在一台计算机上制作多个副本,严重削弱系统性能,并最终造成设备崩溃。这款病毒因复制速度快而得名。
第一个木马
第一个木马(但是,对于是否算作木马,亦或只是另一种病毒,存在着一些争议)名为 ANIMAL。据 Fourmilab 记载,该病毒是计算机程序员 John Walker 于 1975 年开发的。当年,“动物程序”极其流行。该程序尝试通过回答 20 个问题的游戏猜测出用户在思考的动物。Walker 创建的版本很受欢迎,但要把它送给朋友就需要制作和送出磁带。为方便送人,Walker 创建了 PERVADE。这个程序伴随 ANIMAL 一起安装。在玩游戏时,PREVADE 会检查用户可以使用的所有计算机目录,然后在不存在 ANIMAL 的任意目录中制作一份副本。尽管 ANIMAL 和 PREVADE 并无恶意,却符合木马的定义:ANIMAL 中隐藏着另一个程序,在未经用户许可的情况下执行操作。
Brain 引导扇区病毒
Brain 是第一个 PC 病毒,从 1986 年起开始感染 5.2 英寸软盘。据 Securelist 报告,它是 Basit 和 Amjad Farooq Alvi 两兄弟的杰作。两人在巴基斯坦经营一家计算机商店。因对客户非法复制其软件感到无可奈何,于是,两兄弟开发了 Brain,以一个病毒取代了软盘的引导扇区。该病毒也是第一个隐形病毒,包含了一条隐藏的版权消息,但实际上并不会破坏任何数据。
LoveLetter 病毒
21 世纪初期出现的可靠、高速宽带网络改变了恶意软件传播的方式。恶意软件不再受制于软盘或公司网络,而是可以通过电子邮件、通过受欢迎的网站甚至时直接通过互联网迅速传播。现代恶意软件开始初具雏形。威胁形势已然成为由病毒、蠕虫和木马三分天下的混合环境,并由此产生了“恶意软件”这个统称。2000 年 5 月 4 日,出现了一个 LoveLetter 病毒,引发了进入这一新时代以来最严重的病毒爆发之一。
据 Securelist 记载,该病毒沿袭了当时早期电子邮件病毒的风格,并不像宏病毒那样从 1995 年起占据主要威胁地位,不以感染 Word 文档的形式出现,而是一种 VBS 文件格式的病毒。它的攻击方式简单直接,由于当时的用户还不知道对不明电子邮件保持警惕,所以它的攻击频频奏效。每一封邮件的主题都是“I Love You”,并且包含一个附件“LOVE-LETTER-FOR-YOU-TXT.vbs”。ILOVEYOU 的创建者 Onel de Guzman 设计了一个蠕虫,可以覆盖现有文件并用自身的副本取而代之,然后再将蠕虫传播给所有受害者的电子邮件联系人。因为新的受害者往往收到熟人发来的这封邮件,所以更有可能打开邮件,从而成就了 ILOVEYOU 作为社会工程攻击有效性概念验证的辉煌战绩。
Code Red 病毒
Code Red 蠕虫是一个“无需文件”的蠕虫,它只存在于内存中,并不试图感染系统上的文件。快速复制的蠕虫利用 Microsoft Internet Information Server 中的缺陷,通过操纵允许计算机通信并在数小时内即可传播全球的协议,造成了大规模的破坏。最终,据 Scientific American 记载,遭入侵的设备被用来针对 Whitehouse.gov 网站发起了分布式拒绝服务攻击。
Heartbleed
Heartbleed 是近年来最主要的病毒之一,于 2014 年突然爆发并将互联网服务器置于危险之中。Heartbleed 与病毒或蠕虫不同,源于一个 OpenSSL 漏洞。OpenSSL 是全球范围的公司普遍使用的开源密码库。OpenSSL 定期发出“检测信号”,确保仍旧连接安全的端点。用户可以向 OpenSSL 发送一定数量的数据,然后要求返回相同数量的数据,例如,一个字节。安全技术专家 Bruce Schneier 指出,如果用户要求发送允许的最大值 64 千字节,但仅发送一个字节,服务器便会以存储在 RAM 中的最后 64 千字节数据作为响应,这可能包括从用户名到密码,甚至是安全密钥的任何数据。
计算机病毒的未来
60 多年来,计算机病毒已成为人类集体意识的一部分,但曾经单纯的网络破坏行为已迅速转变为网络犯罪。蠕虫、木马和病毒在不断演变。黑客动机明确,比以往更加聪明,总是希望开辟连接和代码的新疆界,发明新的感染方法。未来的网络犯罪看起来会发生更多 PoS(销售点)黑客攻击,或许,最近出现的 Moker 远程访问木马就是未来发展的例证。这个新发现的恶意软件难以检测和移除,而且能够绕过所有已知的防范措施。世事难料 — 变化就是攻击和防御的命脉。