וירוס נולד 1986 הייתה שנה רבת התרחשויות. בין היתר, ברית המועצות שחררה את שרנסקי מן הכלא, פולארד הודה באשמת ריגול לטובת ישראל בפני בית דין בארה"ב, ממשלתה של גברת הברזל מארגרט תאצ'ר שינתה את מדיניות הבורסה הלונדונית והכינה בכך את הקרקע למסחר האלקטרוני, מעבורת החלל צ'אלנג'ר נהרסה במסע ו-7 נוסעיה נהרגו. אבל 1986 זכורה לנו בעיקר כשנה בה התחלנו את הפעילות במה שמאוחר יותר יכונה "צ'יף", וגם כמועד התגלית של וירוס המחשבים האישיים הראשון בהיסטוריה. יום אחד ב-1986, בפקיסטאן, האחים בסיט ואמג'אד פארוק אלווי גילו את הבוט-סקטור הנמצא בתחילת כל דיסקט פלופי הניתן לאתחול ומכיל קוד בר הפעלה - executable. הקוד הופעל בכל פעם שהם עשו אתחול עם הפלופי בתוך הכונן A. האחים הבינו שהם יכולים להחליף את הקוד בתוכנה אחרת, משלהם, שתוכל להיות תוכנת שבת (resident program) בזיכרון שתוכל להתקין עותק של עצמה בכל פלופי שיוכנס בכל כונן. התוכנה העתיקה את עצמה והם קראו לה "וירוס". התוכנה שלהם הייתה מסוגלת להדביק רק פלופיס של 360KB. שנה לאחר מכן...הופה! הווירוס שלהם הופיע יום אחד בהיר באוניברסיטת דלאוור. זה התגלה כאשר מדעני האוניברסיטה החלו למצוא בדיסקטים שלהם כותרת כרך בשםBrain(c) . חשוב לציין שפרט לשכפול עצמי ומתן כותרת לכרך הדיסקטים, הווירוס היה לגמרי בלתי מזיק... אם וירוס ביולוגי הוא גורם סכנה ביולוגי, הרי שוירוסים של מחשבים הם גורמי סכנה לוגיים, הם מפעילים פקודות על מנת לשכפל את עצמם ולממש את הפוטנציאל הזדוני שלהם ברמת הלוגיקה של המחשב. אך על נשכח כי היום רכיבי החומרה נושאים גם הם מרכיבים שבאחוזים לא מבוטלים מנוהלים על ידי תוכנה. היכן שיש תוכנה, יש אפשרות להפעלת פקודות.
נחזור ל-1986. תכניתן בשם Ralf Burger הבין שניתן לגרום לקובץ לשכפל את עצמו על ידי צרוף עותק של עצמו לקבצים אחרים. לשם הדגמת התופעה, הוא כתב דמו וקרא לו VIRDEM. בדצמבר חילק את הדמו ביום עיון של מועדון המחתרתChaos Computer Club בגרמניה. דגם ה-Virdem היה לתוכנה הראשונה המסוגלת לשכפל את עצמה על ידי הוספת הקוד לקבצים ברי הפעלה מסוג DOS בפורמט COM. הקהל כל כך התלהב מן התופעה, שברגר התבקש לכתוב עליה ספר. אך היות והוא לא הכיר את הווירוס BRAIN ("הקדחת הפקיסטאנית"), אפילו לא התייחס אליו בספרו. אבל בינתיים, עוד וירוס החל להתפשט, הפעם מווינה... היה זה וירוס שהתפשט בתוכנה בשם Charlie, ולכן פרנץ סוובודה קרא לו "וירוס צ'ארלי". כאשר בורגר קיבל עותק מווירוס זה, העביר אותו להאקר הגרמני ברדט פיקס (ממועדון הכאוס). פעם הראשונה בהיסטוריה, פיקס פירק את הווירוס לגורמים לאחר שנקט אמצעים כדי להפחית מאלימותו, ובורגר כלל את התהליך בספרו. הווירוס וינה גורם לקובץ אחד מתוך 8 לבצע אתחול מחדש של המחשב. פיקס החליף את הקוד הגורם לתופעה זו כך שהקבצים עצרו את המחשב במקום לאתחל אותו מחדש. דר פרדריק ב. כהן סיים בתקופה זו את עבודת הדוקטורט שלו בארה"ב, שעסקה בוירוסים של מחשבים. הוא הוכיח בה שלא ניתן לצור תוכנה שמסוגלת לנתח קובץ ולזהות אותו כווירוס ב-100% הצלחה. הוא גם הדביק מחשב בווירוס בצורה ניסיונית וגילה שהתוכנה הויראלית מתפשטת יותר מהר ויותר רחוק מאשר איש ציפה. ב-1987, עת שכהן ו-Kenneth Van Wyk למדו באוניברסיטת Lehigh, נוצר הווירוס Lehigh, וירוס שלומיאלי שלא הצליח לפרוץ החוצה מהקמפוס כיוון שרק היה מסוגל להדביק COMMAND.COM וגרם נזק רב למחשב המארח (שכתוב של הדיסק ודריסת ה-FAT) אחרי 4 שכפולים בלבד. כותב הווירוס לא היה כנראה ואן-וויק ולא כהן, אלא אדם שלישי. כמו כל טפיל אחר, וירוס שפוגע קשה בפונדקאי שלו לא יכול להמשיך לחיות. עם זאת, החשיפה התקשורתית הרבה של וירוס זה הוביל את ואן-ויק לייסד את קבוצת החדשות Virus-L על גבי ה-Usenet (רשת דומה במקצת ל-BBSים שהייתה לאחת מאבות הפורומים האינטרנטיים). להבדיל מ-Lehigh, שרק פגע ב-Command.com, הוירוס Suriv-01 היה רזידנט בזיכרון ומסוגל להדביק כל קובץ עם סיומת COM. , מה שיכול להוביל אותו לקבצים בכל מיני קבצים וכוננים. אחריו ה-Suriv-02 רק יכל להדביק קובצי EXE. (הראשון בהיסטוריה). שניהם פותחו על ידי מתכנת שחלק אומרים היה איטלקי, וחלק -ישראלי. ניסיונו הרביעי היה כה מוצלח שהצליח להתפשט בעולם. הוא כונה וירוס ירושלים, והעוקץ שלו היה למחוק קבצים שהופעלו בימי שישי ה-13. לפני שבוע היה לנו יום שישי כזה, אבל הצרוף נדיר, כך שהווירוס עובר די לא מורגש רוב הזמן. הוא לא משפיע על COMMAND.COM, קובץ שבאותם ימים כולם שמרו עליו. הווירוס התגלה על ידי ישראל רדאי ז"ל מן האוניברסיטה העברית, ולכן נקרא "ירושלים". נושא הוירוסים היה אז חם בעולם כולו. סטודנט אוניברסיטאי בניו זילנד מצא דרך לגרום שבאחת מכל שמונה אתחולים מדיסקט נגוע, הווירוס יגרום למסך להציג מסר: "ה-PC שלך כרגע המום/מסומם" (stoned). גם באוניברסיטת טורין שבאיטליה השתעשע אז סטודנט עם הקוד שקשור לשעון. הוא הצליח לכתוב וירוס שפגע בבוט-סקטור והקפיץ כדור קטן על המסך כאשר הגישה למחשב נעשתה בדיוק בחצי השעה. היות ווירוס זה היה מסוגל לעבוד אך ורק עם מחשבי 8086 או 8088, הוא לא שרד וניתן היום לראות את "וירוס הפינג-פונג" או "הווירוס האיטלקי" רק במוזיאונים לנושא. גם וירוס שנכתב ב-Yale באותם ימים לא הצליח להרשים את העולם בחיוניותו... עד שמתכנת גרמני יצא עם "Cascade" המפורסם, שזכור לכולם בזכות מפלי האותיות על המסך. רוב רובו של וירוס זה היה מוצפן, רק זנב קוד קטן נשאר גלוי לשם פענוח הווירוס. הוא הקשה מאוד על ניקוי הקבצים, והיה בסיס לתכנות של 1260 - Chameleon (הווירוס הפולימורפי הראשון, שנכתב על ידי מארק וושבורן ב-1990 והתבסס על וירוס וינה).
מפולת התוים של-Cascade
בסביבות 1988 התחילו להופיע יצרני תוכנות אנטי וירוס. למרות שהם לא מכרו הרבה, כי הבעיה באותם ימים נחשבה רק לפוטנציאלית, היה נפוץ מאוד למכור את התוכנות ב-5 או 10 דולר, ובצ'יף בכלל חילקנו אותן ללא תשלום ללקוחות שביקשו, או צרפנו דיסקט לגיליון של "אנשים ומחשבים" ב-IBM לא ייחסו עד אז בחשיבות גדולה לווירסוים, אבל באותה שנה הם נפגעו מהתפרצות הווירוס Cascade, התפרצות לא מאוד רצינית באתר ההדרכה שלהם ב-La Hulpe, בלגיה. התאגיד מצא את עמו במצב מביך ונאלץ להודיע ללקוחותיו שיתכן והם נדבקו שם. מאותו רגע, האחריות לחקר הוירוסים הועבר ב-IBM ל-High Integrity Computing Laboratory אשר ב-Yorktown בסך הכול, תשמ"ח הייתה שנה יחסית רגועה למחשבים האישיים לגבי התפרצויות ויראליות. קשה להאמין,אבל בדיון בנושא "האם הוירוסים של מחשבים בכלל קיימים" אמר פטר נורטון (בתמונה) בעצמו שהם אגדה | |
אורבאנית, בדיוק כמו תניני הביבים בניו יורק... ב-1988 הופיע ה-"Virus-B", גם הוא מחק קבצים בימי שישי ה-13 אך כיוון ובנוסף גם הודיע באותיות קידוש לבנה על הימצאו במערכת ויכולתו להדביק קבצים נוספים, קיים חשד שהוא נכתב למטרות מיצג או לימוד בלבד. יום השישי ה-13 הראשון של 1989 חל בינואר. אחרי ההתרחשויות משנה קודמת, העיתונות השתוללה והזהירה בכל צבעי הכותרות בפני וירוסים של מחשב. למרות זאת, היו תאגידים שנפגעו. פעילות רבה של יצירת וירוסים חדשים התרחשה בממלכה המאוחדת, בבולגריה וברוסיה. בחודש מרץ צלצל תושב הולנדי שקרא לעצמו פרד פוגל (שם נפוץ מאוד בהולנד) לחוקר אנגלי ואמר לו שמצא וירוס חדש, בשם Datacrime, בדיסק הקשיח שלו, וכי הווירוס יבצע את פעילותו ההרסנית ב-13 של החודש לאחר מכן. כאשר הווירוס פורק, הסתבר כי בכל יום שבין ה-12 באוקטובר (תאריך גילוי יבשת אמריקה) ל-31 בדצמבר, הוא יגרום ל- low level format של צילינדר אפס בדיסק הקשיח ובכך ימחק ברוב הדיסקים דאז, את ה-FAT - מה שישאיר את כל מידע המשתמש במצב בלתי נגיש. תכונותיו של הווירוס פורסמו, אך כיוון שמדובר בווירוס שאינו רזידנט בזיכרון, הוא נחשב לא קל להפצה. למרות זאת, השמועה רצה וכל מי שחזר על הסיפור הוסיף מעט מדעתו. לקראת יוני באותה שנה כבר היו כולם משוכנעים שהווירוס יתפרץ ב-12 באוקטובר בפרמוט הרסני של כל דיסק קשיח. בארה"ב הומצא הסיפור שהוא נכתב על ידי מחבלים נורווגיים משוכנעים שאריק-ה-אדום גילה את אמריקה ולא קולומבוס, ב-12 באוקטובר 1792. באותם ימים עסקה משטרת הולנד במניעת פשעים. וירוס בשם Datacrime היה בוודאי פשע בעיניה, ולכן הם הזמינו ממתכנת שיכתוב תוכנה לאיתור הווירוס. ה-"Datacrime detector" נמכר בכל תחנת משטרת הולנד בדולר אחד. הוא נמכר יפה אך פלט הרבה מאוד תוצאות שווא. גרסה 2 הייתה מעט יותר מוצלחת. בחודש יולי חברות הולנדיות גדולות החלו לברר עם IBM אם עניין הוירוסים באמת מסוכן, ואם כן מה בעצם עושה IBM לגבי האיום? אחרי אירוע Le Hulpe, בתאגיד נהגו לבדוק מצעים נכנסים עם תוכנת אנטי וירוס לשימוש פנימי בלבד. הבעיה הייתה שאם לא היו מציעים את התוכנה ללקוחות והווירוס אכן היה מפיל קורבנות ב-12 באוקטובר, התדמית של IBM הייתה נפגעת קשות. האנשים הטכניים של IBM ידעו שתחזית האסון אינה סבירה, אך יתכן ואי שם מישהו יאבד מידע חשוב בעקבות הינגעות ב-Datacrime. לכן, בספטמבר 1989 IBM השיקה את גרסת 1.0 של תוכנת הסריקה שלה, יחד עם הסבר ללקוחות. חברות רבות סרקו אז לראשונה את המערכות שלהם. בקושי נמצא Datacrime, אך נמצאו גרסאות של הוירוסים הנפוצים יותר. ה-13 באוקטובר חל באותה שנה ביום שישי, כך שזה היה מועד הפגיעה של שני וירוסים: ירושלים ודטהקריים. גם בארה"ב וגם בהולנד, אחוזי הפגיעה היו כמעט אפסיים - בעיקר בהשוואה לציפיות שהעיתונות עזרה ליצור. בלונדון, המכון המלכותי למען העיוורים הודיע שהם איבדו כמויות מידע גדולות וחודשים של עבודה בעקבות הווירוס. אחר חקירה הסתבר שמה שהיה להם הייתה התפרצות מינורית של ירושלים, ומה שנמחק מ-4 מחשבים היה בעצם מספר קובצי תוכנה קלים להחלפה. עם זאת, ההתפרצות באתר זה נרשם כ"אסון גדול" בתקשורת. באותם שנים עליזות כל התפרצות של וירוס מסוים בסביבה התאגידית טופל באופן פרטני, לפי מקרה. התוכנות הקיימות שמשו לגילוי וירוסים של הבוט-סקטור על ידי בדיקת הבוט-סקטור. תוכנה נוספת ידעה להתמודד עם התפרצויות של וירוסים מסוג ירושלים ו-Cascade. סימנטק, שהייתה עד אז יצרנית תוכנת ניהול למסדי נתונים, השיקה בסוף 1990 את האנטי וירוס של נורטון. באפריל 1991 השיקה חב' סנטרל פוינט את המוצרCentral Point Anti Virus. אחריו גם יצא הדור החמישי של Xtree ונוספים, שרובם החליפו למעשה את התוויות של מוצרים אחרים, כמעט כולם ישראלים. באותה שנה כבר הסתובבו מעל 1,200 וירוסים, חלק לא מבוטל מהם נכתבו במזרח אירופה וברית המועצות (ובעיקר מאזור רוסיה, שהפך לעצמאי בדצמבר אותה שנה), ואחת הדרכים העיקריות להפצתם הייתה דרך רשת ה-BBSים. אחד אחר השני קמו אחרי VX BBS הבולגרי, BBSים שהתמחו בייצור וירוסים. הוירוסים חגגו מכל עבר. גם הוירוסים הפולימורפיים החלו עידן חדש, כאשר הווירוס "טקילה" נגנב בשוויץ על ידי חבר של כותבו, ונשתל בעותקי המאסטר של אבי הגנב, יצרן תוכנות שיתופיות. מהר מאוד התפתח תחכום גובר במנגנון הפולימורפיזם, מנגנון המשנה את הווירוס עם כל רפלקציה שלו. 1992 נחרטה בהיסטוריה בזכות בהלת המיכאלאנג'לו. אחרי שיצרן אנטי וירוס אמריקני חזה כי חמישה מיליון מחשבים יקרסו ביום ההולדת של האומן הרנסנטי, ב-6 במרץ, התפתחה היסטריה כללית. למעשה, בין 5 ל-10 אלף מחשבים קרסו, ביניהם רבים בארץ. הווירוס דרס את המידע ברצף של אפסים והעביר את ה-MBR למקום אחר בדיסק או בדיסקט. מעבדת הצלת הנתונים שלנו בנס ציונה שברה אז שיא מקומי בטיפול במעל 150 עבודות שחזור ביממה. | וירוס מיכאל-אנג'לוו מתוך www.cyberzoo.org
|
ואז, כאילו שזה היה חסר לנו, יצאו חבילות תוכנה שאפשרו לכל אחד לכתוב וירוסים (ראו VCL ו-Phalcon/Skism Mass-Produced Code Generator). יחידת המחשב של סקוטלנד יארד הצליחה, אחרי שלושה חודשי פעילות, לעצור קבוצת כותבי וירוסים בשם ARCV או Association of Really Cruel Viruses. תופעה נוספת מאז הייתה אנשים או גופים שמכרו אוספי וירוסים. אחדים נתפסו על ידי הרשויות, אחרים מעולם לא. ב-1993 XTREE נמכר ל-Central Point Software, (שנמכרה שנה לאחר מכן לסימנטק). לקראת אמצע 1993 היו כ-3,000 וירוסים, בשנת 2000 היו מעל 50,000, באפריל 2008 מנתה סימנטק מעל מיליון. לא נכנס כאן לסוגים, גוונים ומוטציות. למניעים לכתיבה או לרווחיות פתרונות האבטחה. רק נשאר לנו לקבל שסביבת המחשוב הוא עולם ומלואו, ובעולם המלאכותי יש -כמו בטבע- שפע מזיקים וטפילים, כי אם היה הכול מושלם, הרי שהיה זה גן עדן. |