Článek
Psal se rok 1989 a světem se šířila epidemie – počet zachycených případů nemoci AIDS poprvé přesáhl 100 tisíc. Sto tisíc prakticky odsouzených k smrti, protože léčba byla v nedohlednu.
V době, kdy prevence byla jediné účinné opatření, se objevilo jedno inovativní řešení – počítačový, interaktivní dotazník, který měl pomoci předpovědět riziko nákazy AIDS u daného člověka. Kopii dotazníku dostali během prosince 1989 na pětipalcových disketách výzkumníci v 90 zemích světa. A také předplatitelé počítačových či ekonomických časopisů ve Velké Británii, Francii i Itálii. Celkem na různé adresy zřejmě vyrazilo zhruba 20 tisíc kopií.
Na disketě však ve skutečnosti čekalo něco jiného, než průvodní informace slibovala. Když ji adresáti načetli, jejich počítače se nakazily něčím, co se později stalo známým jako „digitální verze viru AIDS“.
Virus nějakou dobu dřímal. Po dalších 89 zapnutí počítač fungoval jako normálně. Ale při devadesátém spuštění se na obrazovce objevila výhružná zpráva v červené barvě, jejíž obsah lze shrnout jednoduše: Zaplaťte, nebo přijdete o svá data!
Trojský kůň jinak
Virus zašifroval obsah počítačů obětí, přesněji zašifroval názvy souborů na počítači. I na tehdejší dobu šlo o poměrně primitivní útok, který přesto znemožnil použití většiny počítačů. A každého, kromě velmi opravdu zkušených uživatelů, skutečně připravil o jeho data.
Zpráva s žádostí o „výkupné“, která se objevila na počítačích napadených historicky prvním ransomwarem.
Pachatel nabízel obětem cestu ven, odblokování jejich dat po zaplacení „licenčního poplatku“. Ten měla oběť poslat v podobě šeku poštou do P.O. boxu v Panamě.
Pachatel nabízel na výběr ze dvou „tarifů“: doživotní a omezené počtem použití, i když rozdíl mezi nimi podle všeho zřejmě nebyl. Cena činila 378, nebo 189 dolarů, což je na dnešní hodnotu dolaru zhruba 800 a 400 dolarů (kolem 20, či 10 tisíc korun), určených pro „PC Cyborg Corporation“. Na oplátku měl napadený dostat disketu se softwarem, který měl soubory zachránit, a návod, jak při záchraně postupovat.
Virus se ve své době označoval jako „trojský kůň“. Což je popis zvolený na základě toho, jakým způsobem napadá cílové zařízení. V příběhu o dobytí Tróje se Řekové skryli v koni, kterého sami Trójané odtáhli za své hradby. Softwarové „trojské koně“ se maskují uvnitř jiných programů, které navenek působí legitimně. Velmi často je uživatel spustí aktivně a v dobré víře sám, a tak svůj počítač nakazí.
Z dnešního pohledu je ovšem zajímavější obchodní model tohoto případu ranného počítačového pirátství. Pachatel v podstatě žádal výkupné za rukojmí v podobě dat. Jde tedy o první známý případ „vyděračského softwaru“, který se běžně označuje výrazem ransomware („ransom“ je anglicky výkupné).
Ransomware je dnes nejrychleji se šířící typ počítačové kriminality, premiéra v roce 1989 ovšem příliš úspěšná nebyla.
Na poprvé žádný úspěch
Ne, že by se obešla zcela bez následků. „Incident tehdy způsobil velké škody. Lidé přišli o spoustu práce. Nebyla to okrajová záležitost, už tehdy to byla velká věc“, řekl nedávno pro CNN Eddy Willems, který v roce 1989 také disketu dostal a jeho počítač byl napaden. Willems měl ovšem nadprůměrné IT vědomosti, se situací si poradil a dnes pracuje ve firmě zabývající se počítačovou bezpečností.
Škody však nakonec nebyly tak veliké. Jiní programátoři škodlivý software brzy analyzovali a vytvořili antivirové programy, které umožňovaly obnovit soubory zablokované virem. Antivirus se stejně jako samotný škodlivý kód rozesílal často poštou na disketách.
Navíc, i kdyby někdo zaplatit chtěl, nebylo to úplně jednoduché. Poslat peníze či šek do Panamy není nic, co by se dalo z domova a obratem ruky. Neví se, že by někdo výkupné zaplatil. Samotný P.O. box ovšem policii k pachateli nedovedl – to udělal on sám.
Opravdu „šílený vědec“?
Zhruba dva týdny po události upoutal pozornost ochranky na amsterdamském letišti zvláštní incident.
Evoluční biolog s doktorátem z Harvardu jménem Joseph L. Popp se přes nizozemské město vracel ze semináře o AIDS, který pořádala Světová zdravotnická organizace (WHO). Choval se ovšem (i na akademika) velmi výstředně. Na zavazadlo jednoho ze spolucestujících napsal „Doktor Popp byl otráven“ a nakonec se v podstatě nervově zhroutil.
Vše dohromady stačilo na to, aby policisté prohledali Poppovo zavazadlo, ve kterém objevili razítko s nápisem PC Cyborg Corporation. Tedy názvem entity, které oběti prvního ransomwaru měly adresovat výkupné.
Popp sice mohl pokračovat do USA, kde ho ovšem brzy poté zatkla FBI. Byl vyhoštěn do Velké Británie, kde čelil obžalobě z deseti zločinů. Samozřejmě žádná legislativa ohledně počítačové zločinnosti neexistovala, ale žalobce se řídil podle paragrafu o běžné krádeži. U soudce však neuspěl.
Příčina nebyla ani tak v chybějící legislativě, ale v osobě obžalovaného. Podle četných svědectví britského tisku nosil na nose kondomy, na hlavě lepenkovou krabici a na vousy si nasadil natáčky, aby se bránil před škodlivou radiací. V listopadu 1991 soudce Geoffrey Rivlin rozhodl, že Popp nemůže být pro nepříčetnost souzen.
Ne všichni věřili, že Popp je tak křehké psychické konstituce, jak naznačoval. Důkazy z digitálního deníku, které získala policie, odhalily, že lékař svůj čin plánoval více než rok a půl, což zpochybnilo tvrzení právníků, že Popp svůj škodlivý software vytvořil během manického záchvatu.
Proč ho však vůbec vytvořil, zůstává stále nejasné. Podle svého právníka plánoval věnovat zisk z výkupného na alternativní vzdělávací programy o AIDS. Mohlo by se tedy zdát, že byl ve skutečnosti jakýmsi kryptoanarchistickým Robinem Hoodem, který se snažil změnit svět k lepšímu.
Deník The Guardian zase přišel s mnohem přímočařejším motivem – Popp byl nedávno odmítnut pro práci ve WHO a chtěl se tedy pomstít. Proto byli adresáty primárně lidé spolupracující s touto organizací.
Vyšetřování „promyšleného, i když poněkud neobratného pokusu vylákat peníze od nic netušících uživatelů PC“, jak událost charakterizoval odborný časopis Virus Bulletin, tedy skončilo nalezením pachatele, ale ne jeho odsouzením.
Popp se mohl vrátit k práci, jeho kariéru však události samozřejmě poznamenaly. Ve svém oboru se příliš neprosadil. Zato později například publikoval knihu rad do života inspirovaných vědeckým poznáním: „Populární evoluce: Antropologické lekce do života“, která se ovšem evidentně příliš neprodávala (na Amazonu jí patří na seznamu bestsellerů 3 552 973. místo). Zemřel v roce 2007, před smrtí ještě založil „minizoo“ ve státě New York zaměřenou na motýly.
Živoucí dědictví
Popp evidentně před smrtí nechtěl být spojován s útokem z prosince 1989, ale právě díky němu zanechal v dějinách největší stopu.
Jeho virus byl skutečně v mnoha ohledech amatérský. „Zatímco koncept je geniální a nesmírně důmyslný, naprogramování je dosti nedbalé,“ psalo se v analýze Poppova programu v časopise Virus Bulletin v roce 1990.
Nedostatky ovšem napravili jiní. Jednoduché šifrování Poppova malwaru se brzy podařilo výrazně vylepšit (tedy z pohledu útočníka). Další klíčovou technologií se staly kryptoměny, které umožňují jednoduchou formou poslat výkupné na druhý konec světa. I když platby bitcoinem nejsou tak nevystopovatelné, jak by si laik mohl myslet, proti obálce do Panamy je to pro pachatele systém podstatně bezpečnější a výhodnější.
Ransomware se tak v posledních letech stal zjevně nejoblíbenější technikou počítačového útoku. Podle odhadů společnosti SonicWall došlo v minulém roce zhruba k více 300 milionům ransomware útoků, což představuje 60% nárůst oproti roku 2019. Nárůst se nezastavuje, stejná firma tvrdí, že v roce 2021 se mohlo odehrát zhruba 300 milionů útoků za prvních šest měsíců roku.
Na rozdíl od Poppovy amatérské snahy však mají profesionální skupiny jiné cíle. „Ransomwarové gangy se stále častěji zaměřují na větší organizace. Je to logické, protože u nich očekávají, že se jim podaří získat ‚výkupné‘ z vydírání a navíc, že bude tučnější,“ řekl nedávno Martin Lohnert ze společnosti Soitron.
Ze statistik společnosti Sophos přitom vyplývá, že nějakou formou ransomwaru je napadena více než polovina všech firem. Zajímavostí je, že jen zlomek z nich nakonec za odšifrování dat zaplatí. Podle firmy Kaspersky to v minulém roce v Česku bylo dokonce jen kolem 6 % z nich. Jde o relativně nízké číslo, na druhou stranu v počtu globálně napadených firem a požadovaném výkupném nejde o zanedbatelné částky, nicméně útočníkům to nestačí, a tak se nyní soustředí na efektivitu.
Jak se firemní ochrana obecně zlepšuje, metody útočníků se stávají rafinovanějšími. V poslední době například napadají své cíle oklikou přes dodavatele. Příkladem může být nedávný útok na společnost SolarWinds.
Vyděrači pronikli do systému společnosti, ale nezaútočili. Umístili „zadní vrátka“ (tzv. backdoor) do softwaru, který firma vytvářela, a čekali. Když se dotyčný kód dostal s novou aktualizací do světa, vyděrači měli na vybranou z tisícovek cílů včetně třeba federálních amerických agentur či technologických společností.
V březnu 2021 byl odhalen snad ještě ambicióznější útok. Cílil na programovací jazyk PHP. Hackeři tedy pod jmény známých vývojářů prolomili ochranu webu GitHub, který slouží jako úložiště pro jazyk PHP. Můžete si ho představit jako centrální sklad, ze kterého se distribuují do celého světa nové aktualizace. Útočníci vložili do jazyka vlastní kód, který jim měl otevřít „zadní vrátka“ k webovým stránkám, které PHP využívají. V nejhorším případě by tak získali možnost nahrát vlastní malware – třeba právě pro zašifrování obsahu – na 80 procent světových webů.
V červenci byl pak odhalen jiný, bohužel úspěšný útok na „dodavatelský řetězec“: přes software společnosti Kaseya, která slouží ke správě počítačů v síti na dálku.
Joseph Popp to tedy v roce 1989 opravdu nemohl vědět, ale jeho dotazník o AIDS stojí na začátku velké malwarové pandemie. Stejně jako v případě AIDS se rozbíhala desetiletí, ale postupně nabrala na síle. A není důvod si nemyslet, že situace nemůže být ještě horší.
