Příchod hackerů: zrod antivirů

1. 4. 2014
Doba čtení: 9 minut

Sdílet

S tím, jak se koncem osmdesátých let začaly objevovat počítačové viry a červi schopní napáchat škody, se začalo rodit i nové softwarové odvětví: výroba antivirů a později obecněji pojatého bezpečnostního software. Zrodily se tak legendy jako John McAfee, Eugene Kaspersky nebo Pavel Baudiš.

První viry a červi se zrodili coby experimenty – často s jednoznačně pozitivním úmyslem, například zjistit, jak se budou chovat v prostředí počítačů programy, které kopírují sebe sama, nebo lépe distribuovat výpočetní zátěž. V čistě teoretické rovině tak uvažoval již v roce 1949 John von Neumann ve svém článku „Theory of self-reproducing automata“, jednou z prvních praktických aplikací byl Creeper, který se šířil na minipočítačích DEC PDP-10 prostřednictvím akademické sítě ARPANET.

S nástupem osmdesátých let se ale rychle rozšířily domácí a osobní počítače, BBS pro výměnu informací i software a nakonec i veřejné počítačové sítě a začal se objevovat první malware. Ponejprv se jednalo, jak jsme v předchozích dílech příchodu hackerů psali, o vtípky a kanadské žertíky, nebo viry a červy, jejichž škodlivost souvisela s tím, že se svým autorům takříkajíc vymkly z rukou a začaly se nekontrolovaně šířit a zahlcovat počítače i sítě.

Otec není nikdy jistý

V roce 1984 poprvé použil student Technické fakulty USC Fred Cohen, na návrh svého profesora Leonarda Andlemana, v souvislosti s popisem programu který sám sebe kopíruje název „virus“. Cohen se problematice virů, včetně jejich podobnosti s biologickou předlohou, chování, detekce a odstranění ze systému, věnoval i v následujících letech. Byl to právě on, kdo v roce 1987 jako první nabídl skvěle podloženou studii o detekci virů a postuloval, že neexistuje algoritmus, který by mohl zcela bezchybně odhalit všechny myslitelné viry. Svou práci ale pochopitelně stavěl na předchozím výzkumu řady slavných počítačových vědců, jako byl například Butler Lampson.

Cohen byl ale především teoretikem (věřil mimo jiné v možnost vytvářet pozitivní viry – sám vytvořil například virus, který komprimoval spustitelné soubory a šetřil tak místo na disku počítače) a i když se v následujících letech věnoval otázkám vývoje a fungování antivirového software, zůstal vědcem – během následujících deseti let vydal více než 60 článků a 11 knih, zaměřených převážně na oblasti virů počítačové bezpečnosti. Jeho myšlenky tak do praxe uváděli jiní – říci ale jednoznačně, kdo stvořil první antivir, je poněkud ošemetné.

Jako první autor nástroje pro odstranění viru – tedy rané formy antivirového programu – je obvykle uváděn německý hacker Bernd Robert Fix, člen Hamburského Chaos Computer Clubu. Fix sám vytvářel ukázkové i výzkumné viry a v roce 1987 napsal nástroj pro odstranění viru Vienna – právě ten je považován za první antivirový program. Ve stejném roce se ale objevily také první antivirové programy pro osobní počítače Atari ST – G Data a UVK 2000 a dokonce první nástroje pro detekci virů využívající heuristickou analýzu, které vytvořili Ross Greenberg a Erwin Lanting.

Bývalý hacker Bernd Robert Fix (foto z roku 2010) je údajně autorem vůbec prvního antivirového programu.

Najdi virus

S prvními viry a potřebou jejich detekce a odstranění přišly pochopitelně otázky, které řeší výrobci bezpečnostního software dodnes – především jak viry účinně odhalovat. Řadu hlavních postupů shrnul ve svých článcích zmíněný Fred Cohen již koncem osmdesátých let. Neodhalíme vám asi nic nového a nemáme prostor se jednotlivým metodám a jejich historii věnovat podrobně, postačí tedy velmi stručné připomenutí:

Odhalení na základě signatur

Nejstarší, nejtradičnější a v případě již známých virů nejspolehlivější metoda hledání signatur – známých řetězců, které viry či škodlivý kód obsahují. Výhodou je zejména malý počet falešných poplachů a rychlost takového postupu. Pomocí signatur ale pochopitelně nelze odhalit viry neznámé, navíc stačí aby se známý virus jen mírně pozměnil (tzv. polymorfní, oligomorfní nebo metamorfní viry) a nebude odhalen. Signatury jsou každopádně základní metodou používanou dnes prakticky všemi antiviry a bezpečnostními balíky – proto je důležitá jejich častá (denní, nebo dokonce častější) aktualizace.

Heuristika

Právě snaha odhalit upravené či změněné varianty virů, nebo viry zcela neznámé vedla k rozvoji heuristických metod. Heuristický postup tak nehledá přesnou signaturu (část kódu), ale její varianty (například s některými znaky, jež jsou zaměňovány, nahrazenými univerzální hvězdičkou). Některé heuristické metody mohou zkoumat i chování spustitelných souborů.

Detekce rootkitu

Rootkit je škodlivý kód navržený tak aby nepozorovaně převzal administrátorská práva počítače – to umožňuje využít počítač k vykonání určité činnosti, nebo odstavit nainstalovaný antivir. Mohou navíc způsobit neovladatelnost PC.

Ochrana v reálném čase

Zatímco zpočátku byly používány hlavně metody detekce signatur a heuristiky, při nichž byl počítač „prohlédnut“ v pravidelném intervalu (denně, týdně), s příchodem výkonnějších počítačů, operačních systémů umožňujících multitasking a připojení k internetu (které znamená neustálou potenciální hrozbu napadením) se objevily techniky ochrany v reálném čase. Ty sledují podezřelé aktivity zejména v situacích, kdy do PC vložíte nové paměťové médium nebo jste online.

A pak to šlo rychle…

Podíváte-li se dnes do profilů významných hráčů v oblasti antivirů a bezpečnostního software, pak nejspíše zjistíte, že řada z těchto firem byla založena během pětiletky 1987–1992 a hned několik bezpečnostních celebrit současnosti bylo na přelomu osmdesátých a devadesátých let členy diskuzního e-mailového zpravodaje VIRUS-L, který se zrodil v evropské síti EARN (European Academic Research Network).

Patřil mezi ně i John McAfee, Angličan, který vyrůstal ve Virginii a v roce 1968 nastoupil jako programátor v NASA Institute for Space Studies. McAffee po třech letech NASA opustil a nastoupil nejprve ke k výrobci počítačových systémů Univac a posléze do Xeroxu, kde byl architektem operačních systémů. Ze Xeroxu odešel koncem sedmdesátých let do CSC, aby počátkem let osmdesátých nastoupil do společnosti Lockheed, kde se poprvé setkal s počítačovými viry v podobě pákistánského Brain (i tomu jsme věnovali jeden z předchozích dílů).

John McAfee pochopil význam virů a obchodní potenciál boje s nimi jako jeden z prvních – již v roce 1987 založil McAfee Associates coby společnost zaměřenou na vývoj antivirů a jako první využil pro distribuci model shareware (ten byl definován o tři roky dříve, když v časopise Softalk-PC hledali vhodnější alternativu k označení „User-Supported Software“). Že byl „čuch“ Johna McAfee správný, se ukázalo již po dvou letech, kdy dal výpověď v Lockheedu, aby se naplno věnoval své firmě, z níž se v roce 1992 stala akciová společnost. Dva roky po jejím vstupu na burzu McAfee prodal svůj zbývající podíl a ze společnosti se zcela stáhl. V roce 2011 se McAfee, poté co byla stažena z burzy, stala dceřinou společností Intelu, v letošním roce zmizí jméno jejího zakladatele z názvu a bude nahrazeno novým „Intel Security“.

O rok později (1988) byla v Los Angeles založena manželi Stevem a Jenny Changovými společnosti Trend Micro. Záhy poté bylo její sídlo přesunuto do Taipei (dnes společnost sídlí v Tokiu). Trend Micro od počátku zaměřilo hlavně na síťovou bezpečnost.

Další významný hráč se objevil v květnu 1989, když společnost Symantec uvedla svůj Symantec Antivirus pro Macintosh (SAM) – jednalo se o jeden z prvních antivirových programů, které bylo možné snadno aktualizovat o nové signatury a umožnit tak detekci novějších virů. Když o rok později společnost Symantec koupila Peter Norton Computing, rozhodla se využít novou značku pro antivirové programy na PC – v roce 1991 se tak zrodil Norton AntiVirus 1.0 (NAV) pro PC. Dnes již Symantec nabízí verzi 21.0.

Peter Norton (zde na obálce prvního vydání své knihy o programování PC) sice antiviry neprogramoval, jeho jméno je ale dnes díky Symantecu nejslavnější právě v této oblasti.

Na starém kontinentu

V případě antivirů ale nezůstávala pozadu ani Evropa. Již v roce 1986 založil Tjark Auerbak se svým společníkem v západním Německu firmu H+BEDV. Ta v roce 1988 uvedla svůj první antivirový skenovací program pod lakonickým názvem AntiVir (program byl přezdíván též Luke Filewalker – podobnost snad netřeba vysvětlovat). V roce 2006 se H+BEDV sloučila s AntiVir PersonalProducts a Avira a vznikla tak současná Avira.

V roce 1987 se s virem Vienna poprvé setkala dvojice slovenských programátorů – Peter Paško a Miroslav Trnka. Oba tehdy napsali program pro jeho detekci, své zkušenosti s technikami odhalování virů během následujících let rozšiřovali a v roce 1992 je rozhodli zužitkovat při založení společnosti ESET.

V roce 1988 se s virem Vienna poprvé setkal také Pavel Baudiš, pracující v té době ve Výzkumném ústavu matematických strojů v Praze. Protože neměl přístup k nástroji, který o rok dříve napsal v Berlíně Bernd Robert Fix, vytvořil svůj vlastní antivir a začal jej společně s kolegou Eduardem Kučerou distribuovat pod hlavičkou nově založeného družstva. Z družstva ALWIL Software se v roce 1991 stala stejnojmenná společnost (dnes Avast), která v roce 1995 uvedla první antivirus pro Windows 95. Avast dnes drží na celosvětovém trhu antivirů neuvěřitelný podíl 15,9 % (první je Microsoft s 23 %).

Ve stejném roce, kdy přišel na trh Luke Filewalker a v Praze vzniklo družstvo ALWIL založili Petri Allas a Risto Siilasmaa ve Finsku společnost Data Fellows. Ta se sice zpočátku věnovala školení a problematice databází, už v roce 1991 ale vytvořila svůj první program – heuristický skener. Data Fellows změnila v roce 1999 svůj název na F-Secure.

Viry si pochopitelně našly svou cestu i dále za železnou oponu, byť po roce 1990 pro ně byla výrazně snazší. Ještě před jejím pádem se s nimi v Rusku seznámil Eugene Kaspersky, který vystudoval matematickou fakultu na moskevském Institutu kryptografie, telekomunikací a počítačových věd – škole, která byla v té době úzce svázána s ministerstvem obrany a KGB. Kaspersky byl ale především počítačový vědec – díky tomu se v roce 1989 dostal ke studiu počítačových virů, poté co narazil na virus Cascade a vytvořil nástroj pro jeho odstranění (Cascade patřil mezi poměrně rozšířené viry přelomu 80. a 90. let – napadal .COM soubory a způsoboval kaskádovitý „pád“ textu z horní do dolní části obrazovky. Byl zajímavý mimo jiné tím, že sám sebe šifroval, aby bylo složitější jej odhalit).

Eugene Kaspersky v roce 2011. Jeho majetek je v současné době odhadován na 16 miliard korun.

Eugene Kaspersky se v roce 1991 stal členem Centra informačních technologií KAMI, které vyvinulo antivir AVP – ten byl v roce 1994 vyhlášen v testech Hamburské univerzity jako nejlepší jak z hlediska detekce, tak schopnosti odstranit nákazu. V roce 1997 nakonec Kaspersky společně s několika kolegy založil Kaspersky Lab.

ict ve školství 24

Československý úspěch

Oblast bezpečnosti a antivirového sofware je doménou, v níž patří bývalé Československo k absolutní špičce – AVG, Avast a ESET držely společně v únoru 2014 podle údajů OPSWAT 33% podíl na globálním trhu antivirových aplikací - podle počtu instalací. Svou roli hrálo bezpochyby skvělé načasování: první masivní nápor virů a malware se na osobních počítačích objevil takřka současně s rozpadem východního bloku. Není divu, že Avast (dříve ALWIL), AVG (dříve Grisoft) a ESET byly založeny ještě před rozpadem Československa v letech 1991–2.

Existuje-li oblast, která dokazuje, že Česko i Slovensko mohou být ve světě konkurenceschopné i jinak než jako obří montážní linka automobilového nebo elektrotechnického průmyslu, pak je to bezesporu bezpečnostní software. V příběhu příchodu hackerů (a boje s nimi) nám v tomto případě právem patří, snad vůbec poprvé, významné místo.

Odkazy

Autor článku