Creeper 1971: pierwszy wirus komputerowy, który się przedstawiał

ARPANET 1971: sieć, której nikt nie myślał chronić

Wyobraź sobie sieć komputerową złożoną z zaledwie kilkunastu węzłów. Żadnych zapór ogniowych, żadnych polityk bezpieczeństwa, żadnej filozofii zero trust. Użytkownicy to naukowcy i wojskowi badacze, którzy znają się nawzajem – koncepcja złośliwego oprogramowania po prostu nie istnieje w ich słowniku.

Taki był ARPANET na początku lat 70. Sieć, zbudowana przez Defense Advanced Research Projects Agency (DARPA), miała łączyć komputery na uczelniach i w laboratoriach, umożliwiając wymianę zasobów obliczeniowych. Bezpieczeństwo nie było priorytetem, bo wszyscy użytkownicy pełnili zaufane role i znali się osobiście.

To właśnie w tym środowisku dojrzewał eksperyment, który miał zmienić myślenie o bezpieczeństwie sieci na zawsze. Nikt wtedy nie przypuszczał, że akademicka ciekawostka stanie się przodkiem ransomware, wirusów i robaków sieciowych, które dziś kosztują globalną gospodarkę biliony dolarów rocznie.

Bob Thomas i narodziny Creepera

Bob Thomas był programistą w firmie BBN Technologies – tej samej, która zbudowała dla ARPANET pierwsze urządzenia IMP (Interface Message Processor), poprzedniki dzisiejszych routerów. Pracował nad fascynującym teoretycznym pytaniem: czy program komputerowy może samodzielnie przemieszczać się między maszynami połączonymi siecią?

Odpowiedź przyjęła formę programu Creeper. Thomas napisał go w assemblerze na komputery DEC PDP-10 z systemem operacyjnym TENEX, które dominowały wtedy w węzłach ARPANET. Program korzystał z protokołu RSEXEC, umożliwiającego zdalne wykonywanie kodu na innych maszynach sieci.

Gdy Creeper uruchamiał się na nowym komputerze, wyświetlał na terminalu komunikat, który dziś rozbawiłby każdego specjalistę od cyberbezpieczeństwa:

I'M THE CREEPER: CATCH ME IF YOU CAN!

Złap mnie, jeśli potrafisz. Wyzwanie rzucone w ciszy serwerowni 1971 roku okazało się prorocze – bo ktoś wkrótce faktycznie musiał to zrobić.

Jak działał Creeper – wędrowiec, nie niszczyciel

Mechanizm działania Creepera był zarazem prosty i przełomowy. Program wykrywał inne komputery podłączone do ARPANET i kopiował się na nie przy użyciu dostępnych protokołów sieciowych. Pierwotna wersja Thomasa była zaprojektowana tak, by program przemieszczał się, a nie tylko replikował – usuwał się z poprzedniej maszyny po przeniesieniu na nową.

Creeper nie:

• uszkadzał żadnych plików ani danych użytkowników,
• kradł poufnych informacji,
• zakłócał działania systemów operacyjnych,
• exploitował luk bezpieczeństwa w tradycyjnym sensie.

Jedyne, co robił, to wyświetlanie komunikatu i szukanie nowego domu. Jednak nawet to wystarczyło, by administratorzy sieci zaczęli się zastanawiać: co będzie, gdy ktoś stworzy program, który nie jest tak łagodny?

Wkrótce potem Ray Tomlinson – inżynier z tej samej firmy BBN, znany dziś głównie z wynalezienia adresu e-mail z symbolem @ – stworzył bardziej agresywną wersję Creepera. Jego wariant nie tylko przemieszczał się, ale faktycznie replikował, zostawiając kopie na każdej kolejnej maszynie. To była zmiana jakościowa, która ustanowiła wzorzec dla wszystkich przyszłych wirusów sieciowych.

Reaper: historia pierwszego antywirusa

Gdy Creeper zaczął wędrować po ARPANET – wyświetlając swój bezczelny komunikat na kolejnych terminalach – oczywiste stało się, że potrzebny jest program, który go wyeliminuje. Tak narodził się Reaper, uznawany powszechnie za pierwszy antywirus w historii informatyki.

Reaper był – o ironio – zbudowany na tej samej zasadzie co zagrożenie, z którym walczył. Sam przemieszczał się po sieci z węzła na węzeł. Jednak zamiast wyświetlać prowokacyjne komunikaty, szukał instancji Creepera i je usuwał. Był to zatem autonomiczny program obronny działający w samej tkance sieci.

Tak zaczął się pierwszy w historii informatyki wyścig zbrojeń między złośliwym oprogramowaniem a narzędziem obronnym – pierwowzór batalii, którą obserwujemy do dziś:

• wirusy kontra programy antywirusowe,
• ransomware kontra systemy EDR i XDR,
• phishing kontra filtry poczty e-mail i bramki bezpieczeństwa,
• exploity zero-day kontra łatanie podatności i monitoring anomalii.

Autorstwo Reapera nie jest w pełni udokumentowane – część źródeł przypisuje go Rayowi Tomlinsonowi, inne wskazują na anonimowych programistów BBN. Niezależnie od tego, kto go napisał, Reaper ustanowił zasadę aktualną do dziś: każde nowe zagrożenie wymusza stworzenie nowej obrony.

Wirus, robak czy mobilny kod? Spór o definicję Creepera

Czy Creeper był naprawdę wirusem komputerowym? Informatycy i historycy technologii spierają się o to do dziś. Nowoczesna definicja wirusa zakłada, że program wstrzykuje własny kod do istniejących plików lub programów, replikuje się bez wiedzy użytkownika i zazwyczaj powoduje nieautoryzowane działanie lub szkody.

Creeper nie wstrzykiwał kodu do innych programów – był samodzielną aplikacją przemieszczającą się między maszynami korzystającymi ze wspólnych protokołów dostępu. Z tego powodu część badaczy klasyfikuje go jako pierwszego robaka sieciowego (ang. worm), nie wirusa w ścisłym sensie.

Jeszcze inne podejście traktuje Creepera jako pierwszy program mobilny (ang. mobile code) – kod zdolny do autonomicznego przemieszczania się w sieci. Ta koncepcja doczekała się rozwinięcia dopiero w latach 90., gdy Java i aplety webowe umożliwiły uruchamianie kodu pobieranego bezpośrednio z sieci.

Niezależnie od klasyfikacji, jedno jest bezsporne: Creeper był pierwszym samoreplikującym się programem sieciowym i bezpośrednim przodkiem całej rodziny złośliwego oprogramowania, którą znamy dziś – od robaków pocztowych, przez ransomware, aż po zaawansowane trwałe zagrożenia (APT).

Co historia Creepera mówi o bezpieczeństwie IT Twojej firmy

Historia Creepera i Reapera z 1971 roku to nie tylko ciekawostka historyczna – to parabola o naturze cyberbezpieczeństwa, aktualna po ponad pięćdziesięciu latach. Jakie lekcje warto z niej wyciągnąć?

Zagrożenia rodzą się z eksperymentów i niewinnych funkcji. Bob Thomas nie chciał nikogo skrzywdzić – chciał sprawdzić, czy program może się przemieszczać. Wiele dzisiejszych luk bezpieczeństwa pochodzi nie ze złośliwości, lecz z funkcji zaprojektowanych z myślą o wygodzie, bez uwzględnienia konsekwencji dla bezpieczeństwa.

Każde zagrożenie wymaga aktywnej odpowiedzi. Reaper nie pojawił się sam – ktoś musiał zauważyć problem i napisać kontrę. Dziś tę rolę pełnią systemy EDR, SIEM i zespoły monitorujące sieci firmowe całą dobę. Bierna postawa nie jest opcją.

Otwarte sieci bez kontroli dostępu to zaproszenie dla intruzów. ARPANET w 1971 roku był tak otwarty, jak tylko można sobie wyobrazić. Dzisiejsze sieci firmowe, które nie stosują segmentacji, silnego uwierzytelniania i monitoringu ruchu, przypominają tamten ARPANET – tyle że z dużo groźniejszymi lokatorami i nieporównanie wyższą stawką.

Jeśli chcesz sprawdzić, czy infrastruktura Twojej firmy jest gotowa na współczesnych następców Creepera, audyt bezpieczeństwa IT przeprowadzony przez NovaSys to dobry punkt wyjścia. Identyfikujemy słabe punkty, zanim zrobi to ktoś inny.