Když John Brunner v roce 1975 ve své knize The Shockwave Rider poprvé použil pojem „červ“ ve spojení s počítačovou sítí, popisoval software určený k pomstě – sběru dat a boji s provozovateli informačních sítí, které pomáhaly řídit a kontrolovat společnost. Přesto se první skuteční počítačoví červi zrodili během 70. letech v laboratořích Xerox PARC s dobrým úmyslem. Umožňovali automatizovat testování, optimalizovat výpočetní výkon a zátěž – zkrátka a dobře mělo se jednat o užitečné pomocníky.
Ostatně i červ Roberta Tappana Morrise, který jako první zahltil v roce 1988 tehdejší internet, byl napsán coby pomůcka pro zmapování velikosti (rozsahu) sítí. Jestliže Morrisův červ ukázal, že i dobře míněný sám sebe kopírující a šířící program dokáže zahltit počítače v síťovém prostředí, australský WANK, vypuštěný o rok později, předvedl, že i samotné zahlcení a vylekání uživatelů, bez dalších cílených škod, může být účinným útokem nejen na původně zamýšlený cíl (NASA a Ministerstvo energetiky), ale prakticky na celou síť. Bylo tedy jen otázkou času, než se objeví programátor, schopný napsat mnohem destruktivnější a univerzálnější program, jenž by se dokázal šířit po rychle se rozvíjejícím internetu.
Přesto než přišel první skutečně masivní a agresivní útok červa, uplynulo dlouhých deset let. Internet na přelomu století vypadal úplně jinak – připojených počítačů nebyly desetitisíce, ale stovky milionů, z nichž většina měla mladý operační systém Windows 98 a kancelářské aplikace Microsoftu. Internet už také nebyl doménou amerických či západoevropských univerzit. Bylo jej možné najít prakticky všude – v podobě vytáčeného připojení přes modem i v Pandacanu, šestém obvodě filipínského hlavního města Manily. Právě zde žila trojice studentů Onel de Guzman, jeho sestra Irene de Guzman a její přítel Reonel Ramones, a na jaře 2000 vypustili na internet do té doby nejničivější malware, jaký svět poznal: internetového červa „ILOVEYOU“.
Jeden z rezidenčních boků Manilské čtvrti Pandacan (foto z r. 2006 – Wikipedie)
Důrazné varování
V roce 1999 žil svět ve (z valné části přehnaných) obavách z chyby Y2K. Skutečná hrozba se přitom neskrývala v neschopnosti počítačových systému vyrovnat se s přechodem z 20. do 21. století, ale v takřka totální nezabezpečenosti programů, které většina uživatelů spouštěla každý den: kancelářské sady Microsoft Office a e-mailového programu Outlook. První a dlužno podotknout že důrazné varování přitom přišlo více než rok před masovým útokem I Love You. Virus Melissa (někdy se o něm hovoří také jako o červu, nešlo ale o samostatný program, takže skutečným červem nebyl) byl poprvé objeven 26. března 1999, když se mu podařilo zahltit e-mailové systémy přes něž se šířil.
Melissa se objevila na Usenetu, v diskusní skupině, kde uživatelé sdíleli informace o serverech s pornografií. Byla ukryta uvnitř dokumentu „List.doc“ který obsahoval hesla k několika desítkám stránek s pornem. Melissa byla makrovirem (čtenářům Rootu jistě netřeba vysvětlovat podstatu, nicméně zjednodušeně řečeno se jedná o program uvnitř .doc souboru) a byla napsána, aby se šířila z textových editorů Word 97 a 2000 tak, že si sama zprostředkovala odeslání na 50 prvních kontaktů v Outlooku, na něž se dokument nakažený makrovirem odeslal v příloze.
Melissu vypustil do světa David Smith z New Jersey, přesněji řečeno Smith použil upravený makrovirus jiného autora. Smith byl záhy dopaden a za svůj „žertík“ byl odsouzen k deseti letům z nichž si „naostro“ odpykal 20 měsíců a pokutě 5 000 dolarů. Původní Melissa sice mohla zahltit e-mailové systémy, nepáchala ale žádné cílené škody. To ovšem neplatilo o jejích variantách, které kupříkladu mazaly XLS soubory nebo náhodně promazávaly data v nich, žádaly výkupné za smazané soubory a podobně. Tyto varianty také používaly různé prvky sociálního inženýrství ve snaze „zaujmout“ příjemce a přesvědčit jej, aby nakaženou přílohu otevřel.
Globální úder
Melissa měla být varováním. Makra v aplikacích Office a především skripty Visual Basicu byly silná, nabitá a odjištěná zbraň, stačilo jen stisknout kohoutek. Právě to se stalo krátce po půlnoci 4. května 2000.
Ničivý počítačový červ se prohnal během čtvrtka přes několik světadílů a zasáhl desetitisíce koncových uživatelů i organizací jako je CIA, Ford Motor Company nebo Britský parlament. Během pěti hodin se červ rozšířil přes Asii, Evropu a Spojené státy prostřednictvím emailových zpráv nadepsaných „ILOVEYOU“. Hrozba zahltila webové servery, přepsala osobní soubory a donutila správce IT odstavit kompletně e-mailové systémy. Zkoumání kódu Visual Basic (v něm byl virus coby makro/skript napsán – pozn. aut.) odhalilo, že virus patrně poškozuje soubory s příponami MP3 a JPEG na pevném disku, napadá chatovacího klienta mIRC (jehož prostřednictvím se také šířil – pozn. aut.) a přenastavuje základní domovskou stránku Internet Exploreru.
Útok byl zřejmě veden z Filipín, ze sítě společnosti Sky Internet v Quezon City, odkud se červ „ILOVEYOU“ patrně začal šířit. Společnost se snaží vypátrat jeho autora.
ZDNet News, 4. května 2000
ILOVEYOU představoval optimální kombinaci virulence, agresivity a sociálního inženýrství, která z něj udělala zbraň masového ničení. Zatímco Melissa byla pouhým makrem v .doc souboru, červ ILOVEYOU byl skriptem s příponou .vbs, který využíval „skvělé“ vlastnosti operačního systému Windows a Outlooku, který pro větší „pohodlí“ uživatelů skrýval přípony známých souborů. To co na první pohled vypadalo jako příloha LOVE-LETTER-FOR-YOU.TXT, byl ve skutečnosti soubor s příponou .vbs, který se po „rozkliknutí“ automaticky spustil. Skripty (a makra) nebyly v té době považovány za potenciální riziko, a tak e-mailový klient uživateli bez okolků dovolil skript spustit.
Skript Visual Basic měl navíc mnohem širší možnosti, co vše v napadeném počítači provádět – zahrnovalo to úpravy registrů a změny v systémových souborech (díky tom se ILOVEYOU posléze spouštěl při startu počítače), změny či mazání souborů s vybranými přílohami, nebo jejich nahrazení škodlivým kódem s příponou .vbs pro další následné „sekundární“ šíření. Při primárním šíření prostřednictvím e-mailu byl navíc přikládán i spustitelný soubor, který po napadení počítače běžel na pozadí, vyhledával hesla a čísla kreditních karet a zasílal je zpět útočníkům (je ale možné, že tuto vlastnost měly až modifikované verze – pozn. aut.). Skutečnost že byl napsán ve skriptovacím jazyku Microsoft VBS, znamenala, že jej kdokoliv mohl snadno změnit a vypustit znovu. Záhy se tak objevila řada variant obsahující jiný předmět e-mailu, zdánlivě jinou přílohu (vtip, varování před virem, informace o platbě za prsten ke dni matek, děkovný dopis arabských aerolinií a další). Tyto varianty navíc poškozovaly či měnily jiné typy souborů.
Zatímco Melissa se rozesílala jen na prvních 50 adres, ILOVEYOU se šířil na všechny kontakty, které byly v adresáři Outlooku k dispozici. Není divu, že záhy zasáhl řadu velkých podniků, organizací a poskytovatelů e-mailových služeb. Ti tak museli své e-mailové servery odstavovat (to se stalo mimo jiné i v britském parlamentu) a často to mělo dopad i na fungování jejich „back office“. Nejzoufalejší byli ale pochopitelně uživatelé, jimž některá z variant červa přepsala, smazala, nebo poškodila soubory – zejména osobní (fotografie, hudbu), které často neměli zálohovány.
Varianty ILOVEYOU ve zpravodajství z roku 2000 (anglicky):
Rychlá obrana
ILOVEYOU se šířil závratnou rychlostí a nakonec zasáhl desetinu všech počítačů připojených k Internetu – těch bylo v roce 2000 zhruba půl miliardy, takže obětí bylo přes 45 milionů. Není divu, že celkové škody byly později odhadnuty na více než 5 miliard dolarů.
Zatímco Microsoft možná rizika VBScriptu a emailových příloh obecně ani po incidentu s Melissou zjevně nedocenil, antivirové společnosti, správci IT i samotní uživatelé byli schopni reagovat o poznání lépe než před rokem. Zatímco v březnu 1999 řadě z nich trvalo několik dní, než si uvědomili, co se děje a začali s protiopatřeními, o rok později už řada z nich reagovala během několika minut nebo hodin.
Záchrana nakonec přišla prakticky ze stejného směru jako nákaza. Prvním, kdo vytvořil program, který dokázal ILOVEYOU odstranit, byl pětadvacetiletý thajský programátor Narinnat Suksawat. Jeho Rational Killer dokázal červa odstranit a obnovit systémové soubory (nikoliv ale poškozené uživatelské soubory) a byl uvolněn necelý den po propuknutí nákazy. Suksawat díky tomu o dva měsíce později získal místo u Sun Microsystems. Problém ochrany před nejrůznějšími variantami červa vyřešila elegantně společnost Kenyan, která shromažďovala nové varianty červa a její antivirus Skeptic automaticky distribuoval aktualizovanou ochranu.
Bezzubá justice
Přestože se Sky Internetu a filipínské policii podařilo vystopovat původce červa, narazila na stejný problém, s jakým se potýkali američtí vyšetřovatelé v 80. letech. Filipínský právní systém neřešil problematiku škodlivých programů a napsání ILOVEYOU tak nebylo trestné. Přestože se k neúmyslnému vypuštění červa přiznali a dokonce se podařilo prokázat, že přinejmenším jeden z nich – Onel de Guzman – měl patrně motiv vypustit škodlivého červa záměrně (ve své bakalářské práci chtěl navrhnout trojan, který by ISP kradl hesla pro přístup k internetu a umožnil tak chudým studentům, aby se mohli bezplatně připojit – což se stalo důvodem k odmítnutí práce a nedokončení školy), Guzmana ani Ramonese nebylo možné obvinit a odsoudit a oba byli propuštěni bez obvinění. V červenci 2000 přijal filipínský parlament předpis č. 8792 (Zákon o E-commerce), který postavil psaní škodlivého kódu mimo zákon.
Jak vypadá napadení naživo? Více ve videoukázce na YouTube… (anglicky):
