Een korte geschiedenis en de toekomst van computervirussen

Als het gaat om cybersecurity, zijn er weinig termen met meer naamsbekendheid dan 'computervirussen'. Ondanks de aanwezigheid van deze dreigingen en hun brede impact, weten veel gebruikers niet veel over de aard van virussen. Wat volgt, is een kort overzicht van de geschiedenis van het computervirus en wat de toekomst in petto heeft voor deze wijdverbreide cyberdreiging.

Theorie van zelfreplicatie

Wat is een computervirus? Dit idee werd voor het eerst besproken in een reeks lezingen van de wiskundige John von Neumann in de late veertiger jaren en in een paper gepubliceerd in 1966, Theory of Self-Reproducing Automata. De paper was in feite een gedachte-experiment dat speculeerde dat het mogelijk zou zijn voor een 'mechanisch' organisme, zoals een stukje computercode, om machines te beschadigen, zichzelf te kopiëren en nieuwe gastheren te infecteren, net als een biologisch virus.

Het Creeper-programma

Zoals Discovery opmerkt, werd het Creeper-programma, vaak beschouwd als het eerste virus, in 1971 gecreëerd door Bob Thomas van BBN. Creeper was eigenlijk bedoeld als een beveiligingstest om te zien of een zelfreplicerend programma mogelijk was. Dat was het geval, min of meer. Met elke nieuwe harde schijf die werd geïnfecteerd, probeerde Creeper zich te verwijderen uit de vorige gastheer. Creeper had geen kwade bedoelingen en toonde enkel een simpele boodschap: "IK BEN DE CREEPER. PAK ME DAN, ALS JE KAN!"

Het Rabbit-virus

Volgens InfoCarnivore had het Rabbit-virus (of Wabbit-virus) dat werd ontwikkeld in 1974 wel kwade bedoelingen en kon het zichzelf dupliceren. Eenmaal op een computer maakte het meerdere kopieën van zichzelf, waardoor de systeemprestaties ernstig verslechterden en de computer uiteindelijk crashte. De snelheid van replicatie gaf het virus zijn naam.

De eerste trojan

De eerste trojan heette ANIMAL (hoewel er enige discussie is over de vraag of dit een trojan of gewoon een ander virus was). ANIMAL werd volgens Fourmilab in 1975 ontwikkeld door computerprogrammeur John Walker. Destijds waren dierenprogramma's populair, waarbij in een potje van 20 vragen werd geraden aan welk dier de gebruiker dacht. Er was veel vraag naar de versie die Walker maakte. Om deze te kunnen verzenden naar zijn vrienden, moesten ze op magneetbanden worden gezet. Om dat gemakkelijker te maken, maakte Walker PERVADE, dat zichzelf installeerde samen met ANIMAL. Tijdens het spelen van het spel doorzocht PERVADE alle computermappen van de gebruiker en werd vervolgens een kopie van ANIMAL gemaakt in alle mappen waar het nog niet aanwezig was. Er waren geen kwade bedoelingen, maar ANIMAL en PERVADE voldeden aan de definitie van een trojan: in ANIMAL zat een ander programma verborgen dat acties uitvoerde zonder toestemming van de gebruiker.

Het opstartsectorvirus Brain

Brain, het eerste pc-virus, begon in 1986 5,2"-diskettes te infecteren. Zoals Securelist meldt, was dit het werk van twee broers, Basit en Amjad Farooq Alvi, die een computerwinkel hadden in Pakistan. Ze waren er zat van dat klanten illegale kopieën maakten van hun software, dus ontwikkelden ze Brain, die de opstartsector van een diskette verving door een virus. Het virus, dat ook het eerste stealth-virus was, bevatte een verborgen copyrightboodschap, maar beschadigde geen gegevens.

Het LoveLetter-virus

De invoering van betrouwbare, snelle breedbandnetwerken in de vroege 21e eeuw veranderde de manier waarop malware werd verzonden. Malware was niet langer beperkt tot diskettes of bedrijfsnetwerken, maar kon zich nu zeer snel verspreiden via e-mail, via populaire websites of zelfs rechtstreeks via internet. Als gevolg hiervan begon moderne malware vorm te krijgen. De verschillende dreigingen vormen sindsdien een gemengde omgeving met virussen, wormen en trojans. Vandaar de naam 'malware' als overkoepelende term voor schadelijke software. Een van de ernstigste epidemieën van dit nieuwe tijdperk was LoveLetter, dat verscheen op 4 mei 2000.

Zoals Securelist opmerkt, volgde LoveLetter het patroon van eerdere e-mailvirussen uit die tijd, maar in tegenstelling tot de macrovirussen die sinds 1995 de grootste dreiging vormden, nam het niet de vorm aan van een besmet Word-document, maar van een VBS-bestand. Het was simpel en ongecompliceerd, maar omdat gebruikers nog niet had geleerd op de hoede te zijn voor ongevraagde e-mails, werkte het. Het onderwerp was 'I Love You' en elk e-mail bevatte de bijlage 'LOVE-LETTER-FOR-YOU-TXT.vbs'. De ontwikkelaar van ILOVEYOU, Onel de Guzman, ontwierp zijn worm zodanig dat bestaande bestanden werden overschreven en vervangen door kopieën van zichzelf, die vervolgens werden gebruikt om de worm te verspreiden naar alle e-mailcontacten van het slachtoffer. Aangezien het bericht nieuwe slachtoffers vaak bereikte via iemand die ze kenden, waren ze meer geneigd om het te openen, waardoor ILOVEYOU een 'proof of concept' werd van de effectiviteit van social engineering.

Het Code Red-virus

De Code Red-worm was een bestandsloze worm, die alleen bestond in het geheugen en geen poging deed om bestanden op het systeem te infecteren. Door te profiteren van een fout in de Microsoft Internet Information Server, kon de snel replicerende worm veel schade doen door het manipuleren van protocollen waarmee computers met elkaar communiceren. In slechts een paar uur was het wereldwijd verspreid. Zoals opgemerkt in Scientific American, werden gemanipuleerde machines uiteindelijk gebruikt om een DDoS-aanval op de website Whitehouse.gov uit te voeren.

Heartbleed

Eén van de meest recente grote virussen kwam uit in 2014. Heartbleed kwam op het toneel en vormde een risico voor servers op heel internet. Heartbleed richtte zich, in tegenstelling tot virussen of wormen, op een beveiligingslek in OpenSSL, een algemeen, open source cryptografische bibliotheek gebruikt door bedrijven in de hele wereld. OpenSSL verstuurt periodiek 'heartbeats' om te controleren of endpoints nog verbonden waren. Gebruikers kunnen OpenSSL een bepaalde hoeveelheid gegevens sturen en dezelfde hoeveelheid terugvragen, bijvoorbeeld één byte. Als gebruikers beweren dat ze de maximale grootte verzenden, 64 kilobytes, maar eigenlijk maar één byte verzenden, reageert de server met de laatste 64 kilobytes aan gegevens die zijn opgeslagen in het RAM, zo legt beveiligingsexpert Bruce Schneier uit. Deze gegevens kunnen van alles bevatten, waaronder gebruikersnamen, wachtwoorden en beveiligingssleutels.

De toekomst van computervirussen

Al meer dan 60 jaar zijn computervirussen onderdeel van het collectieve menselijke bewustzijn, maar wat ooit gewoon cybervandalisme was, is snel veranderd in cybercriminaliteit. Wormen, trojans en virussen evolueren. Hackers zijn gemotiveerd en slim. Ze zijn altijd bereid de grenzen op te zoeken van verbindingen en codes om nieuwe infectiemethoden te ontwikkelen. De toekomst van cybercriminaliteit lijkt zich te richten op meer PoS-hacks (point of sale) en misschien is de recente trojan voor externe toegang Moker een goed voorbeeld van wat ons te wachten staat. Deze pas ontdekte malware is moeilijk te detecteren, moeilijk te verwijderen en passeert alle bekende verdediging. Niets is zeker. Verandering is de levensader van zowel aanval als verdediging.