Skąd wzięła się nazwa „robaki internetowe”?

Bo ktoś nie miał lepszego pomysłu. Serio. Termin „internet worm” – czyli „robak internetowy” – nie powstał na uczelni, w laboratorium NASA, ani nawet w filmie science fiction. Zawdzięczamy go niedoszłym studentom informatyki, którzy postanowili pobawić się z siecią ARPANET w 1971 roku. I jak to bywa z nazwami – została. Bo brzmiała obrzydliwie i… idealnie oddawała sposób działania.

Co to w ogóle jest robak?

Robak to złośliwy program, który rozmnaża się w sieci bez udziału użytkownika. Nie potrzebuje kliknięcia, instalacji ani otwarcia załącznika. To różni go od większości malware’u. Robak to kod, który kopiuje samego siebie, przesyła na inne systemy (lokalne lub zdalne), uruchamia się automatycznie, a potem powtarza cykl. Pętla infekcji.

Działa w pełni samodzielnie. Po stronie ofiary nie musi być żadnego działania – wystarczy luka bezpieczeństwa, otwarty port, źle skonfigurowany serwer lub zapomniany system operacyjny sprzed dekady. Robak wykorzystuje protokoły sieciowe – często TCP/IP, SMB, FTP, RPC, HTTP – do przemieszczania się w infrastrukturze.

Typowe cechy robaka:

• działa bez udziału użytkownika (zero klików)
• nie potrzebuje gospodarza (działa jako samodzielny plik wykonywalny)
• rozprzestrzenia się przez sieć (lokalną lub internet)
• potrafi infekować systemy różnego typu (Windows, Linux, urządzenia IoT)
• czasem instaluje dodatkowe komponenty (typu backdoor, spyware, ransomware)

Robak nie zawsze szkodzi. Niektóre, jak Welchia, próbowały… łatać systemy. Większość jednak zjada zasoby, generuje ruch sieciowy, destabilizuje systemy, tworzy backdoory lub instaluje moduły DDoS. Może zawierać ładunek (payload) – ransomware, koparkę, keyloggera – albo być czysto transportowy: tylko się mnoży.

Najbardziej przerażające robaki to te, które łączą prędkość z inteligencją. Przykład? Stuxnet. W 2010 roku sparaliżował wirówki nuklearne w Iranie, atakując konkretne urządzenia fizyczne przez łańcuch exploitów. Autonomicznie.

Skąd nazwa? I kto pierwszy?

Zaczęło się od eksperymentu. Creeper – pierwszy robak – powstał w 1971 roku. Tak, zanim Jobs zbudował swojego pierwszego Maca. Creeper był programem eksperymentalnym, który wędrował między komputerami DEC PDP-10 w sieci ARPANET, zostawiając wiadomość: „I’M THE CREEPER: CATCH ME IF YOU CAN”. Nie niszczył danych. Bawił się.

Ale najważniejsze: replikował się. Bezczelnie. Samodzielnie. I tu pojawia się metafora: jak to coś nazwać?

Robak. Bo:

• pełza po sieci, infekując kolejne maszyny
• rozprzestrzenia się szybko, bez pytania o zgodę
• jest uparty, ciężki do złapania
• brzmi paskudnie, jakby był żywy

Nazwę „worm” upowszechniła literatura science fiction. W książce „The Shockwave Rider” (1975) autor John Brunner opisał program, który rozsiewa się po sieci niczym robak. Cztery lata później, gdy pojawił się rzeczywisty przypadek Creepera i jego cyfrowego pogromcy – Reapera – nazwa „worm” przylgnęła na dobre.

Wirus czy robak? A może jedno i to samo?

Nie. I różnica jest ogromna.

Wirus:

• potrzebuje pliku-gospodarza (np. dokumentu Word, EXE, DLL)
• aktywuje się dopiero, gdy użytkownik otworzy/uruchomi plik
• najczęściej rozprzestrzenia się przez nośniki (USB, e-mail, załączniki)
• przeważnie działa lokalnie
• modyfikuje pliki, w których się znajduje
• może ukrywać się przez lata (np. Michelangelo, 1991)

Robak:

• działa jako samodzielny plik
• replikuje się przez sieć automatycznie
• nie wymaga aktywności człowieka
• może infekować tysiące urządzeń w minutach
• nie musi niszczyć danych, wystarczy że się rozmnaża
• może sam siebie aktualizować i komunikować z C2 (command & control)

Innymi słowy: wirus czeka – robak atakuje. Wirus to pasożyt, robak to drapieżnik. Wirus jest zaraźliwy, robak jest pandemiczny.

Na poziomie kodu: wirusy wstrzykują swój kod w pliki, robaki mają go w sobie i kopiują siebie jako całość.

I jeszcze jedno: wirusy częściej spotkasz w plikach użytkownika, robaki za to szaleją w infrastrukturze IT, na poziomie sieci, serwerów, urządzeń brzegowych, drukarek, NAS-ów i kamer. To one tworzą botnety, rozsyłają spam, kopią kryptowaluty i przejmują kontrolę nad całymi centrami danych.

Robak to cybernetyczna wersja zombie: nie myśli, nie czeka, nie rozróżnia. Po prostu infekuje.

Dlaczego to ważne?

Bo robaki były początkiem ery zautomatyzowanego ataku. Nie phishing. Nie trojany. Nie botnety. Robaki.

• Morris Worm (1988) sparaliżował 10% ówczesnego internetu. Pisany przez studenta.
• Code Red (2001) zaatakował 359 000 komputerów w 14 godzin.
• SQL Slammer (2003) zainfekował 75 000 serwerów w 10 minut.

Szybkość? Skuteczność? Autonomia? Tego wcześniej nie było. Dlatego nazwa „worm” – choć odpychająca – została ikoną cyfrowego zagrożenia.

Czy nadal istnieją?

Tak. I mają się dobrze. Robaki nie tylko przetrwały – ewoluowały. Choć nie są już medialnymi gwiazdami jak w czasach Morris Worma (1988) czy ILOVEYOU (2000), dziś są bardziej ukryte, bardziej zautomatyzowane i znacznie bardziej niebezpieczne. Przestały być ciekawostką studentów informatyki – stały się narzędziem profesjonalnych grup APT, cyberprzestępców i państwowych agencji.

Współczesne robaki nie wyświetlają już durnych komunikatów – one zarabiają lub szpiegują.

Najpopularniejsze zastosowania dziś:

• budowanie botnetów – miliony komputerów zainfekowane np. przez robaka Conficker czy Mirai, które potem służą do DDoS, spamu, klikfraudów
• kopanie kryptowalut – robaki takie jak WannaMine infekują serwery i wykorzystują ich moc obliczeniową do wydobycia Monero
• utrzymywanie trwałego dostępu – robaki infekują urządzenia brzegowe (routery, NAS-y, IoT), tworząc backdoory trudne do wykrycia
• dystrybucja ransomware – np. robaki EternalBlue/Nyeta rozprzestrzeniały Petya i WannaCry, paraliżując szpitale, firmy i infrastrukturę publiczną

Przykłady?

• EternalRocks (2017) – robak używający aż 7 exploitów NSA jednocześnie. Uczył się i czekał.
• BlueKeep (2019) – robak eksplorujący lukę w RDP. W teorii mógł sparaliżować setki tysięcy systemów.
• WormGPT (2023) – narzędzie stworzone z wykorzystaniem LLM do automatyzacji ataków phishingowych i kampanii spamowych. Nazwa przypadkowa? Wątpliwe.

Co je odróżnia dziś od poprzedników?

1. Stealth mode. Działają po cichu. Nie zjadają 100% CPU, nie wyskakują z alertem – kradną, kopią, nasłuchują.
2. Autonomia i aktualizacja. Nowoczesne robaki łączą się z serwerami C2 i potrafią pobierać nowe moduły w locie.
3. Rozproszenie. Są wieloplatformowe. Jeden robak może infekować Windowsa, Androida, routery i serwery NAS.
4. Zero click. Nie potrzebują interakcji. Exploity typu zero-day umożliwiają infekcję nawet bez błędu użytkownika.
5. Pieniądze. Każdy nowy robak to inwestycja. ROI się liczy. 100 000 zainfekowanych maszyn = zysk. Proste równanie.

Co najgorsze – robaki coraz częściej trafiają na urządzenia, które nikt nie aktualizuje.

• routery w domach (firmware sprzed 8 lat)
• serwery FTP w szpitalach
• rejestratory CCTV z lukami w Telnecie
• drukarki z otwartym SNMP

Nie widać ich – bo nikt nie patrzy.

Więc czy nadal istnieją? Tak. Są wszędzie. Tylko już nie proszą o uwagę. Działają po cichu. W tle. W ukryciu.

I może właśnie to powinno nas niepokoić najbardziej.

Dlaczego „robak”, a nie np. „pirat sieciowy”?

Bo język technologii to nie marketing. Nie brzmi mało groźnie, brzmi realnie. Robak nie budzi szacunku. Budzi dyskomfort. Jakby coś pełzało ci po kręgosłupie. Zobacz również wpis o tym, czym są robaki komputerowe.

I może o to właśnie chodziło.

Bo nie każdy atak wybucha z hukiem. Niektóre po prostu wpełzają. I zostają.