Про Вирус Морриса И Пр

И.Э.Моисеенков СУЕТА ВОКРУГ РОБЕРТА ИЛИ МОРРИС-СЫН И ВСЕ, ВСЕ, ВСЕ… Москва 1990 год стр. 2 Если кому-либо, даже не связанному с удивительным миромвычислительной техники, задать вопрос о том, какая из стран мирадостигла наибольших успехов в этой области, то в 99% вам назовутСоединенные Штаты Америки. И это, конечно же, правда. США насегодняшний день остаются цитаделью компьютерного мира, его мощнойосновой. Несмотря на значительные усилия других стран, большинствоприоритетов в компьютерной области принадлежит американскимкорпорациям, американским университетам и вообще — чтобы неперечислять всех других американских организаций и лиц — всемуамериканскому обществу — обществу, наиболее близко стоящему к томукачественному порогу развития, за которым это общество сможет с полнойуверенностью назвать себя обществом информационным. Однако за все в этом мире приходится платить и особенно многоплатить приходится тому, кто идет первым. Поэтому США вместе славрами лидера приобрели массу серьезных и сложных проблем, причем нетолько научных или технических, но и социальных. За примерами ходитьдалеко не надо: феномены компьютерной преступности, компьютерныхвирусов, компьютерной субкультуры хакеров, усиливающаяся зависимостьжизненно-важных государственных и общественных структур от надежностиаппаратных средств и правильной работы программ — все это реалиисегодняшнего дня развитых в компьютерном отношении государств и преждевсего — США. Так что лидерство какого-либо общества (или, еслихотите, государства) в какой-либо области подразумевает в немалойстепени способность этого общества быстро реагировать на неизбежновозникающие трудности и проблемы, аналогов решения которых в мирепросто не существует. Те, кто идет следом за лидером, учатся на его опыте, стараютсяизбежать его ошибок, используют успешно использованные им методы. Этовобщем-то и понятно — рано или поздно все идущие в одном направлениисталкиваются примерно с одними и теми же проблемами, если, конечно,кто-либо из идущих не начинает претендовать на собственный -"уникальный" — путь, чреватый, естественно, собственными "уникальными"синяками и шишками. Право, имеет смысл хорошенько подумать, стоит лиизобретать велосипед, если затем придется ездить на велосипеде соседа. стр. 3 A Что было до этого. "I remember the good old days, when computers were mainframes, analysts were magicians, and programmers punced cards…" [A1] Philip Fites, Peter Johnston, Martin Kratz "Computer viruses crysis" "Поражает равнодушие, с каким люди до сих пор воспринимают факты атак систем безопасности (будь то несанкционированный доступ, использование неразрешенных привилегий, "троянские кони", или общеизвестные вирусы) пока относительно безвредные, чем и оправдывают отсутствие интереса. Я думаю, что должно случиться нечто по последствием сравнимое с Чернобылем или Тримайл Айлендом, чтобы проснулось большинство нашего общества." Петер Ньюман, дайджест RISKS_FORUM. В принципе, к тому, что произошло в ноябре 1988 года, вела всяистория развития вычислительной техники, однако излагать ее целикомсмысла не имеет, поскольку дело это весьма долгое, хотя и оченьзанимательное. Поэтому мы остановимся лишь на отдельных фактах,имеющих непосредственное отношение к описываемым далее событиям. Итак… …1969 год. По инициативе Управления перспективных исследованийМинистерства Обороны США — Defense Advanced Research Projects Agency;DARPA — в США создается локальная вычислительная сеть, получившаяназвание Advanced Research Projects Agency NETwork — Arpanet. [A2] Этасеть создавалась в интересах исследователей в области вычислительнойтехники и технологии для обмена сообщениями, а также программами имассивами данных между крупнейшими исследовательскими центрами,лабораториями, университетами, государственными организациями ичастными фирмами, выполняющими работы в интересах Министерства ОбороныСША ( Department of Defence of USA; DoD). Arpanet быстро завоевала симпатии ученых и инженеров, посколькутрудно переоценить возможность быстрого обмена данными при ведениисовместных работ подрядчиками Пентагона, удаленными друг от друга навесьма приличные расстояния вплоть до ситуации, когда абоненты сетирасполагались в противоположных концах страны: например,______________________________ [A1] "Я помню добрые старые времена, когда компьютеры былибольшими, аналитики считались волшебниками, а программистыперфорировали карты…" Филипп Файтс, Петер Джонстон, Мартин Кратц "Кризис компьютерных вирусов" [A2] Сеть управления перспективных исследований. стр. 4Массачусетский технологический институт (Massachusets Institute ofTechnology, или просто MIT), находящийся в Калифорнии и Корнеллскийуниверситет, расположенный в штате Нью-Йорк (запомните эти названия!).Быстрая и качественная связь, базирующаяся, конечно, на прекрасноразвитой сети телефонных линий связи США, весьма существенно влияла наход разработок, повышая их эффективность и сокращая затрачиваемоевремя. Если учесть легкость доступа пользователей к сети черезотносительно простую систему паролей, а также то, что работа с сетьювелась на основе понятных даже непосвященным в таинства компьютерныхсистем операционных команд, станет понятной та популярность, какуюArpanet приобрела среди ученых. Финансирование этой сети осуществляет Пентагон, но вряд лиследует считать Arpanet милитаристской системой типа СОИ; в концеконцов, эту сеть использовали — и используют — обычные ученые иисследователи для обмена научной и технической информацией, конечно, вопределенной степени важной, но даже не секретной. Однако наивно было бы предполагать, что Пентагон из-за каких-либосоображений станет заниматься благотворительностью и за просто такстанет выкладывать отвоеванные у Конгресса денежки на финансированиепереговоров между университетами, фирмами и т.д. Военные не осталисьвнакладе, поскольку сеть Arpanet с помощью специальных команд моглабыть логически "разделена" на подсети. Именно таким образом в1983 году в интересах военной связи (но для обмена несекретнымисообщениями) из состава сети Arpanet была выделена подсеть, получившаяназвание Military Network — "военная сеть" — Milnet. Процесс объединения отдельных вычислительных систем в сети сталодним из магистральных направлений развития вычислительной техники.Помимо Arpanet в США в настоящее время работает масса других сетей:фирмы — разработчики вычислительной техники и программных средствимеют собственные внутренние локальные вычислительные сети;вычислительные системы банков активно объединяются в сети -использовать в работе вычислительную сеть стало для американцевпризнаком хорошего тона. Сети стали использоваться для связивычислительных систем, находящихся в различных странах мира (!):например, американская сеть Национального Научного Фонда NSFnet,объединяет около 2000 систем по всему свету. Набирающий силу процесс интеграции вычислительных мощностейвполне последовательно привел к идее объединения различных сетей другс другом в своего рода суперсеть — такой "сетью сетей" в Америке сталасеть Science Internet или просто Internet, ныне объединяющая 1200сетей (!) по всей Америке и имеющая выход на европейскиевычислительные сети через систему Лондонского университета! Всовокупности под эгидой Internet работают около 500 000 вычислительныхсистем. Такое трудно даже представить! Еще более сложно представить,что все ЭТО успешно работает на благо цивилизованного человечества. Осмысление интеграционных процессов в компьютерном мире вылилосьв создание модели "взаимодействия открытых систем" — OSI; Open SystemsInterconnection, — реализация которой позволила бы обмениватьсяинформацией вычислительным системам различных производителей, и,соответственно, различной архитектуры. Модель OSI была предложенаМеждународной организацией стандартизации [A3] в 1970 году ипредставляет собой семиуровневый набор протоколов, полностьюопределяющих и стандартизующих процесс передачи данных. Концепция OSI стр. 5гарантирует, что локальная сеть, использующая один из стандартныхпротоколов для каждого из семи уровней модели, будет работатьсовместно с другими сетями данного стандарта. Естественно, в реализации такой модели весьма заинтересованы все,кто использует вычислительную технику — а на "диком" Западе ееиспользуют практически везде. Всеобщая реализация модели "открытыхсистем" стало бы основой формирования информационного общества.Модель OSI поддерживается большинством основных фирм-производителейкомпьютеров и сетей, а также многими крупными потребителями сетей, втом числе и правительством США. В стороне от этих проблем не мог остаться и Пентагон, чуткоулавливающий тенденции в мире науки и техники благодаря своим весьмакомпетентным консультантам. Прозорливость, с которой американскоевоенное ведомство подминает под себя перспективные разработки,вкладывая в них немалые силы и средства, вызывает уважение. Так именнопо заказу DoD был разработан один из трех наиболее распространенныхпротоколов транспортного уровня модели OSI, получивший названиеTCP/IP [A4], реализованный на практике в сетях Arpanet и Internet. Однако блестящие перспективы информационного общества несколькопоблекли в последние годы в связи с появлением компьютерных вирусов,названных "чумой информационной эры". Поскольку интеграциявычислительных систем повышает их уязвимость для вирусов, некоторыеэксперты считают, что "век информатики" может закончиться крахомконцепции "открытых систем". Компьютерные вирусы — тема для отдельного очень интересного иочень длинного разговора. Касаясь этой темы, постоянно ловишь себя нанепреодолимом желании пофилософствовать насчет влияния вирусов наразвитие вычислительных систем. В последнее время компьютерные вирусы приобрели чрезвычайнуюизвестность в самых различных слоях общества: специалисты серьезноизучают эту проблему; разработчики ломают голову над созданием всеболее изощренных средств защиты; программисты и администраторы систем,жутко ругаясь, отлавливают вирусы в своих системах; большинствопользователей находятся в состоянии благоговейного ужаса перед однимупоминанием вирусов вслух, а вся остальная масса простых смертных,непосвященных в таинства компьютерного мира, с полным непониманием, нотем не менее с большим интересом типа "Ну надо же!", периодическичитают в газетах маленькие заметки о "кровожадных" компьютерныхвирусах, неизвестно откуда нападающих на ЭВМ. Вообще феномен компьютерных вирусов стоит перед компьютернымобществом давно, во всяком случае первое официальное сообщение об этомявлении относится к 1978 году, хотя и эту дату нельзя считать днемрождения проблемы.______________________________ [A3] ISO — International Standards Organization — официальноразмещается в Женеве. Представителем ISO в США является Национальныйинститут стандартизации — American National Standards Institute -ANSI. [A4] Transmission Control Protocol/Internet Protocol — протоколуправления передачей и взаимодействия между сетями. стр. 6 Сам термин "вирус" в отношении определенного вида компьютерныхпрограмм впервые употребил Фред Кохен в 1984 году на конференции повопросам безопасности компьютерных систем в докладе о своихисследованиях. Своим названием компьютерные вирусы обязаныопределенному сходству с вирусами естественными: способности ксаморазмножению; высокой скорости распространения; избирательностипоражаемых систем (каждый вирус поражает только определенные системыили однородные группы систем); способности "заражать" еще незараженныесистемы; трудности в борьбе с вирусами и т.д. В последнее время кэтим особенностям, характерным для вирусов компьютерных иестественных, можно добавить еще и постоянно увеличивающуюся быстротупоявления модификаций и новых поколений вирусов. Только если в случаевирусов естественных эту скорость можно объяснить могуществом иизобретательностью природы, то вирусы компьютерные обязаны скоростьювозникновения новых штаммов исключительно недосмотру или бредовымидеям людей определенного склада. Однако серьезного отношения компьютерные вирусы потребовали ксебе относительно недавно; настолько недавно, что американскийинститут стандартов до сих пор не дал четкого определениякомпьютерного вируса, благодаря чему в трудах и работахспециалистов-компьютерщиков царит полнейший плюрализм в трактовкеэтого термина. Лично я придерживаюсь определения, данного в книге"Кризис компьютерных вирусов": Компьютерный вирус — программа, производящая в вашей компьютерной системе действия, в которых вы не нуждаетесь и о которых не подозреваете. Попадая тем или иным способом в компьютерную систему, вирус вобщем случае самокопируется в различные места системы, а затем — либоодновременно с этим — производит в системе изменения, в лучшем случаене приводящие к катастрофическим последствиям — вроде высвечивания наэкране терминала некоторого сообщения, — а в худшем делающие вашусистему неработоспособной. В широком потоке литературы по проблеме вирусов, хлынувшей впоследнее время на нас, приводится масса классификаций и описанийвирусов, так что интересующихся этой проблемой всерьез я с чувствомглубокого облегчения отсылаю к специальным публикациям, большейчастью, правда, далеких от совершенства и законченности. Однако сэтого момента считаю, что имею дело с людьми, достаточно хорошопредставляющими, что такое компьютерный вирус, чтобы не примешивать кэтой проблеме какие-либо потусторонние силы. Компьютерные вирусы — вотличие от вирусов естественных — полностью дело ума и рукчеловеческих, поэтому их можно — и нужно! — изучать, анализировать иуспешно бороться с ними. Специалисты классифицируют вирусы по самым различным признакам,что вносит определенную неразбериху: по степени опасностипроизводимых вирусом действий; по способу проникновения вируса всистемы; по длине; по местам размещения вируса в системе и т.д. стр. 7 Имея в виду последующее изложение, я остановлюсь только на однойхарактеристике вирусов, позволяющей разбить все их множество на двепока неравноценные по мощности группы — на автономности вирусов. Большинство вирусов паразитирует на конкретных программах илифайлах — "своих" для каждого вируса, — присоединяя свое тело к телупрограммы или к определенным файлам, гарантированно присутствующим винфицируемой системе. Аналогично, большинство вирусов имеетсобственные "излюбленные" места в инфицируемой системе, в которыхвирус размещается сразу после проникновения в систему. Знание этихособенностей, уникальных для каждого семейства вирусов, значительнооблегчает обнаружение вирусов в системе и борьбу с ними. Собственноэто "большинство" вирусов и называется вирусами в общепринятомпонимании этого термина. Вполне понятно, что отсутствие в системепользователя какого-либо программного продукта на 100% гарантирует,что система не будет поражена вирусом, паразитирующим именно на этойпрограмме. Хуже обстоит дело с вирусами, нацеленными на системныепрограммы и файлы, однако именно эта нацеленность облегчает борьбу сзаразой.1 2 3 4 5 6 7 8 9

Но есть относительно небольшая — пока, и далее я объясню почему -группа программ, которые с полной уверенностью можно отнести к вирусамв соответствии с приведенным выше определением, отличающихсяповышенной степенью автономности в своей работе — так называемые"черви". Если обычный вирус активизируется при запуске пользователемпрограммы, на которой паразитирует вирус или при отработке системойконкретных событий — например, прерываний, — то червь самостоятельноуправляет запуском своих копий. Если обычный вирус размещается в более-менее определенных местахсистемы, то место размещения в системе червя предсказать крайнесложно, поскольку ему все равно, где размещаться — было бы достаточноместа. Черви нацелены не на конкретные программы или файлы, а на системыконкретной архитектуры. Черви гораздо опаснее вирусов именно в силусвоей автономности, т.е. независимости от наличия в поражаемыхсистемах некоторых уникальных условий, например, наличия определенныхфайлов. Платой за повышенную автономность является повышенная сложностьчервя как программы и, как следствие, значительно больший, нежели уобычных вирусов, размер. Обычно черви состоят из нескольких модулей -сегментов — кода, слишком больших, чтобы быть спрятанными в файлахоперационной системы. Однако этот "маленький" недостаток с лихвойокупается размером ущерба, который может причинить червяк, посколькудогадаться о наличии в системе именно червя, локализовать его ибороться с ним, по сравнению с обычными вирусами, сложнее. Появление, развитие и быстрое распространение вычислительныхсетей вызвало к жизни подвид червей — так называемых "сетевых червей".Сетевые черви — еще более сложное образование. Они характерны тем,что распространяются по сети, используя для распространения сетевыесредства коммуникации — "электронные почты" всевозможных видов,специальные сетевые утилиты и т.д — и используют атакуемые узлы всобственных интересах (для саморазмножения и дальнейшегораспространения по сети). При этом очень быстро наступает полная стр. 8блокировка сети. Первые исследования и эксперименты с сетевыми червями былипроведены на сети Ethernet в исследовательском центре фирмы Xerox вПало Алто. Червь в этих экспериментах существовал в виде сегментов,выполнявшихся на разных узлах сети под управлением головного сегмента.При этом четко проявилась опасность этого вида червей, поскольку впроцессе работы червь мог затирать своей информацией страницы памятиинфицируемых систем, что неминуемо вело к остановке последних. Специалисты, должно быть, уже поняли, что сетевые черви являютсяпобочным — и вряд ли ожидавшимся — детищем исследований в областираспределенной обработки информации. Но отчего же все-таки проблема вирусов — в основном в планеборьбы с ними — приобрела в последнее время такое значение? Насколькои чем оправданы усилия нашей компьютерной братии от пользователей допрофессионалов, затрачиваемые на изучение и борьбу с компьютернойзаразой? Причин такого положения дел достаточно много, но главных,пожалуй, две: — во-первых, деятельность большинства вирусов изначально небезобидна: большинство вирусов либо сознательно рассчитано на повреждение или искажение используемых в вычислительной системе данных и программ (в том числе и системных), либо допускает подобные эффекты вследствие своей работы; — во-вторых, масштабы распространения вирусов самым непосредственным и теснейшим образом связаны с масштабами распространения технического чуда последнего десятилетия — персональных компьютеров. Немного поясню. Первое утверждение очевидно: вряд ли кто-нибудь из нормальныхлюдей добровольно согласится на то, чтобы продукт его труда — иногдавесьма длительного, — был уничтожен или безнадежно испорчен буквальнов мгновение ока. Учитывая все возрастающую зависимость деловых,финансовых, правительственных и военных кругов от предоставляемыхкомпьютерами услуг, становится понятным ужас и ненависть, испытываемыеэтими кругами по отношению к компьютерным вирусам. Ситуация подогревается также тем, что внедрение вирусов в системыпроисходит зачастую через "дыры" в подсистемах безопасности, а это неможет не волновать разнообразные органы, которые у нас называюткомпетентными. Поскольку эти органы весьма заботятся о сохранностисвоей информации, они справедливо считают, что если вирус пролез в"дыру", то почему бы в эту же "дыру" не пролезть кому-либо из племенилюбопытных длинноносых варвар. Взять тот же вирус: отчего бы ему небыть запрограммированным на то, чтобы, пробравшись незамеченным всистему компетентного органа, разместиться в самом дальнем и укромномуголке и, продолжая оставаться незамеченным для хозяев, не разрушатьхозяйские данные, а периодически посылать их своему разработчику. стр. 9 Чувствуете прелесть! Само собой разумеется, насколько такаяперспектива желательна компетентным органам одной стороны, настолькоона ненавистна компетентным органам стороны другой. Вторая причина популярности компьютерных вирусов менее очевидна,но от этого ничуть не становится менее истинным тот факт, чтонаблюдаемое в последнее годы глобальное распространение вирусов — исопутствующих им проблем — во многом определяется массовым выпуском ираспространением микрокомпьютеров, которые наиболее беззащитны длявирусов в силу стандарности своей архитектуры и архитектурыматематического обеспечения. Большие системы практически не имеют проблем с вирусами в силусвоей уникальности, обеспечиваемой тем, что, во-первых, каждая большаясистема проходит стадию генерации, во время которой многочисленныесистемные параметры образуют уникальное сочетание; во-вторых, большиесистемы имеют хорошо развитые подсистемы разделения доступа и защиты,что является серьезным препятствием для вирусов и позволяет легкообнаруживать источник заражения. Легко заметить, что микросистемы в большинстве своем лишеныуникальности. Именно стандартность является и преимуществоммикросистем, обусловившим их широкое распространение, и их проклятием,поскольку вирус, возникший в одной системе, без труда поражаетсоседнюю, так как по архитектуре обе системы похожи как две капливоды. Теперь понимаете какое значение для усугубления проблемыкомпьютерных вирусов имело начатое в августе 1981 года фирмой IBMсерийное производство персональных компьютеров — знаменитых IBM PC!Ведь легкость серйиного производства и относительная дешевизнаперсоналок — прямое следствие их стандартности! Хотя с другойстороны, доступность и понятность персоналок дляпользователей-непрофессионалов — тоже следствие стандартности. Но этого мало. Непонятно почему, но люди всегда стремилисьоблегчить вирусам — и естественным, и компьютерным — их черное дело.Например, обычная чума: не тем ли объясняется ее массовость искорость распространения, что люди издавна стремились жить как можноближе друг к другу, вследствие чего появлялись стоянки, поселения,деревни, города и т.д.О СПИДе я уже не говорю: попробуйте, уговорителюдей воздержаться от общеизвестного способа его распространения! Аналогично и с "электронной чумой", как называют вирусы. Итак извечное стремление человеческое пообщаться с себе подобнымипривело к появлению многомашинных систем — компьютерных сетей. Крометого, люди во многом схожи, поэтому ничего нет удивительного в том,что в разных концах света пользователи работают с одними и теми жеудачно созданными программами и системами. Примером этому можетслужить победоносное шествие по миру операционной системы UNIX (и ееаналогов) и компиляторов языка C. Операционная система UNIX, появившаяся на свет в 1969 году,является детищем двух талантливых — судя по самой UNIX — программистовК.Томпсона и Д.Ричи [A6], работавших в Bell Laboratories — филиалевсемогущей American Telephon & Telegraph (AT&T), кстати долгое времядержавшей монополию на сети связи в США. UNIX замышлялась какоперационная система для внутренних нужд, которая должна была бытьдостаточно проста в использовании, дружественна по отношению к стр. 10пользователям и как можно меньше зависящей от типа машин, на которыхона будет работать. Кроме того, UNIX разрабатывалась какмногопользовательская система и потому имела неплохую системуразделения доступа, базирующуюся на парольной защите. Успех системы превзошел все ожидания. UNIX мгновенно завоеваласимпатии пользователей, что позволило AT&T значительно усилить своипозиции на рынке. UNIX для AT&T стал настоящим Клондайком,компьютерным Эльдорадо. Быстро стали появляться усовершенствованныеверсии системы: 1975 год — UNIX V6, 1976 год — UNIX V7 (первая"базовая" версия), 1982 год — UNIX System III, 1984-85 год — UNIXSystem V. Появляются аналоги UNIXа — GENIX, XENIX, Ultrics, VENIX,PC-IX. Лавры разработчика пожинал также и калифорнийский университетв Беркли, разработавший UNIX 4.0, 4.1, 4.2 и т.д. Ах, если бы онизнали, какую шутку уготовил им 1988 год! Таким образом, тенденция к объединению разнотипных систем всочетании с появлением на рынке и широким распространением системыUNIX и компиляторов языка C (в силу их комфортабельности дляпользователя) еще более усложнили "эпидемиологическую" обстановку вкомпьютерном мире, создав буквально питательную среду для вирусов всехмастей. Как обычно, всю опасность положения сознавала лишьнезначительная часть специалистов, во всеуслышание предупреждавших,что пренебрежение пользователей вопросами обеспечения хотя бысобственной безопасности даром не пройдет. Но, как известно, покагром не грянет… …Да! Чуть не забыл: летом 1988 года в AT&T Bell Laboratoriesработал студент последнего курса одного из американских университетов.И занимался он не чем иным как "перепиской программ системыбезопасности для большинства компьютеров, работающих под управлениемоперационной системы UNIX". В принципе ничего особенного — дляАмерики и вообще цивилизованных стран — в этом не было: мало листудентов работают в солидных корпорациях, лабораториях и учреждениях,приобретая практический опыт и обеспечивая себе рабочие места в этихорганизациях, — если бы этот факт не был через несколько месяцевупомянут в "Нью-Йорк Таймс" в связи с событиями, потрясшими всюАмерику (по крайней мере, ту ее часть, которая имеет отношение ккомпьютерам). [A8]______________________________ [A6] Кен Томпсон возглавлял группу разработчиков, создавших в1969 году ассемблерный вариант UNIX. При этом преследовалась цельсоздания удобной операционной обстановки для проведенияисследовательских работ в области программирования; а сама системапредназначалась для машины PDP-7 фирмы DEC — представителя семействамашин, широко распространенных в научных и исследовательских центрахстраны, что подготовило почву для победного шествия UNIXа по Штатам. Деннис Ричи подключился к проекту позже, однако во многом емуобязана рождением в 1972 году коммерческая версия системы, написаннаяна высокоуровневом языке C. Кстати, язык C тоже появился в AT&T и тоже как разработка длявнутренних нужд. Ядро системы UNIX состоит примерно из 10000 строк наC и еще 1000 строк на языке ассемблера. стр. 11 B Как это было. "Сейчас 3:45 AM, среда (sic) 3 ноября 1988 года. Мне все надоело, я не могу поверить в то, что произошло…" Из сообщения Клиффа Столла, переданного по электронной почте Dockmaster.ARPA. …Гром — вирусная атака, названная компьютерными экспертамивеличайшим нападением на национальные компьютеры из когда-либослучавшихся — грянул 2 ноября 1988 года. Абсолютно точную последовательность событий в настоящее времявосстановить практически невозможно, поскольку, во-первых, во времясамой атаки все были заинтересованы прежде всего в быстрой локализациии удалении вируса, а никак не в подробной регистрации фактов [B1]; и,во-вторых, потому, что вирус быстро заблокировал атакуемыевычислительные сети, в результате чего прервалась связь междупользователями. Но можно попытаться представить примерную картину распространениявируса на основании сообщений, проходивших в компьютерных сетях, неподвергшихся нападению, и многочисленных публикаций в прессе. Вчастности, представляют интерес сообщения, проходившие во время атакипо электронным почтам VIRUS_L (далее VIR) и RISKS_FORUM (далееRISKS) [B2]. Специалисты старшего поколения утверждают, что сообщения,проходившие в сетях во время вирусной атаки, очень напоминаютсообщения о вражеских боевых действиях, поступавших по связи во времяВторой мировой войны. Во всяком случае, эти сообщения позволяютощутить полную беспомощность, царившую во время вирусной атаки вразличных узлах сети, примерно оценить возможность пользователейпонять, что же происходит и сделать выводы относительно требований ксистеме оказания помощи в подобных ситуациях. Итак, 2 ноября 1988 года, среда. 17:00 Вирус обнаружен в Корнеллском университете (Нью-Йорк). 21:00 Вирус обнаружен в системах Стэнфордского университета и фирмы______________________________ [A8] 5.11.1988, статья Джона Маркоффа "Author of Computer 'Virus'is son of USA Electronic Security Expert".______________________________ [B1] Что, кстати, сильно затруднило потом работу следствия. [B2] Полное название — "Forum on Risks to the Public in Computersand Related States: ACM Committee and Public Policy". ОрганизованПетером Ньюманом. Обзоры этих сообщений, используемых, в частности, и в настоящейстатье, были опубликованы в нескольких номерах журнала"Computer &Security" в начале 1989 года. стр. 12 Rand Corporation (Калифорния). 22:00 Вирусом поражена система университета в Беркли (Калифорния). 23:00 Вирус обнаружен специалистами отделения математики Принстонского университета (Нью-Джерси). Сначала все обнаружившие вирус подумали, что это очереднойинцидент, касающийся только их системы. Никто естественно представитьсебе не мог, какие масштабы примет эпидемия через несколько часов.Тем не менее администраторы атакованных систем послали сообщения опроисшедшем. 23:28 В электронной почте VIRUS_L прошло первое сообщение о вирусе. Сообщается, что атакованы университеты в Дэвис и Сан-Диего, Ливерморская лаборатория имени Лоуренса и исследовательский центр НАСА [B3] (все в Калифорнии). Вход вируса идентифицируется как SMTP. Атакуются все системы 4.3 BSD и Sun 3.x. Отмечается, что вирус распространяется по каналам TELNETD, FTPD, FINGER, RSHD и SMTP [B4]. 23:45 Вирус обнаружен в исследовательской лаборатории баллистики. [B5] Постепенно стало проясняться, что одни и те же признаки поражениявирусом наблюдают пользователи, находящиеся в разных концах страны.Учитывая совпадение событий по времени, был сделан вывод, чтонациональные компьютерные системы атакованы одним и тем же вирусом,распространяющимся через сети, поскольку иным способом распространениянельзя было объяснить скорость, с которой вирус появлялся в различныхконцах США, если, конечно, не предположить, что все происходящее -результат заранее спланированной и хорошо подготовленной акции некойпреступной группы, имеющей доступ ко всем национальным системам.Жизнь администраторов американских систем после установления этогофакта, как говорится, переставала быть безинтересной! Для пользователей и системных администраторов атакованных узловсетей поведение вируса было непостижимым. В некоторых системах вдиректории /usr/tmp появлялись необычные файлы; в журнальных файлахряда утилит появлялись странные сообщения. Наиболее примечательным,однако, было то, что все более и более повышалась загрузка систем,приводившая в конце концов либо к исчерпанию свободного места,выделенного под свопинг, либо к переполнению системной таблицыпроцессов — в любом случае это означало блокировку системы.1 2 3 4 5 6 7 8 9

Исходя из названия сетей, в которых вирус был обнаружен, его тутже окрестили вирусом Milnet/Arpanet. Вскоре, однако, выяснилось, чтовирус из Arpanet благополучно перекочевал в сеть Science Internet — ион тут же получает название "вирус Internet". Но после того, какКорнеллский университет высказал косвенно доказанное предположение,что вирус, вероятно, разработан в его стенах, вирус получает наконецодно из наиболее распространившихся, благодаря стараниям прессы,название — вирус Cornell/Arpanet. Это название вируса появилось вдвух передовых статьях и последующей серии заметок Джона Маркофа,Лоренца М. Фишера, Мишеля Вайнеса, Джеффа Герса и Калвина Симса [B6],опубликованных в "Нью-Йорк Таймс" с 4 по 17 ноября 1988 года. стр. 13 Вообще для специалистов оказалось приятным сюрпризом то,насколько подробно и грамотно пресса комментировала события. ФилиппГарднер — полковник в отставке, специалист по безопасности компьютеров- написал по этому поводу: "Казалось, репортеры точно знали, у когоможно получить достоверную информацию, и, кроме того, они делалихорошие выводы из того, что эти лица говорили. Это тем более приятнов условиях, когда мы становимся, к несчастью, свидетелями ненормальнойтенденции к росту числа 'экспертов' в среде самих журналистов." Наступило 3 ноября, четверг. 01:00 Сообщения о заражении 15-ти узлов сети Arpanet. 02:00 Поражена вирусом система Гарвардского университета (Массачусетс). 03:30 Вирус обнаружен в Центре Массачусетского технологического института (Massachusets Institute of Technologies; MIT). 03:46 В сообщении, прошедшем в электронной почте RISKS, уточняется, что атакуются системы UNIX — 4.3 BSD — и аналогичные ей Sun, работающие на компьютерах VAX фирмы DEC и компьютерах Sun фирмы Sun Microsystems Inc. Сообщается также, что вирус распространяется через дыры в системе безопасности утилиты электронной почты Sendmail, имеющейся в составе указанных систем. 04:00 Поскольку сеть перегружена, распространение вируса замедляется; к этому моменту заражены уже более 1000 узлов сети. 05:15 В университете Карнеги-Меллона в Питтсбурге (Пенсильвания) из 100 компьютеров, подключенных к Arpanet, вышло из строя 80. 08:00 Сообщение о вирусе из астрофизического центра Smithonian. Впоследствии возникло несколько версий относительно того, какименно и кем был обнаружен вирус. Согласно первой, вирус был обнаружен в ночь со 2 на 3 ноября1988 года одним из научных сотрудников Ливерморской лабораторииим.Лоуренса. Обращаясь со своего домашнего терминала к вычислительной______________________________ [B3] Соответственно, Lawrence Livermore Laboratory и NASA's AimesResearch Center. [B4] SMTP расшифровывается как простой протокол передачи почты -Simple Mail Transfer Protocol; FTP — как протокол передачи файлов -File Transfer Protocol; а TELNET является названием протокола эмуляциитерминала. Эти протоколы являются подпротоколами TCP/IP, созданнымидля реализации соответствующих функций. [B5] Army Ballistic Research Laboratory. [B6] John Markoff, Lawrence M. Fisher, Michael Wines, Jeff Gerth,Calvin Sims. стр. 14системе лаборатории, он заметил необычное повышение интенсивности еезагрузки. Заподозрив неладное, сотрудник сообщил об этом дежурномуоператору и тот (очевидно руководствуясь инструкцией) сразу жеотключил систему от сети Science Internet, по которой распространялсявирус. Специалисты Ливерморской лаборатории действительно могли однимииз первых обнаружить вирус. Дело в том, что эта лаборатория,проводившая исследования по программе СОИ и разработку новых видовядерного оружия, в мае 1988 года уже сталкивалась с вирусом, послечего, по всей видимости, были приняты дополнительные мерыпредосторожности и повышена бдительность. Немедленно об инциденте было сообщено Управлению связи МО США(Defence Communication Agency; DCA), в ведении которого находится сетьArpanet. В три часа ночи о вирусной атаке узнало руководство DoD.Однако, несмотря на оперативность извещения, локализовать вирус в сетибыло уже невозможно. По второй версии извещение о появлении вируса было отправленонеизвестным лицом по компьютерной сети вместе с инструкцией по егоуничтожению. Но сеть была перегружена и очень многие вычислительныецентры не сразу приняли сигнал. Когда же, наконец, на сообщениеобратили внимание, было уже поздно. Согласно третьей версии первыми обнаружили неполадки ввычислительной системе специалисты MIT. Внимание ответственного забезопасность вычислительноо центра привлекло необычное поведениекомпьютера. Машина интенсивно функционировала, хотя в данное время наней никто не работал, на дисплей никакие данные не выводились. Черезнесколько минут вся память системы была забита, и система вышла изстроя. Неполадки в работе систем зарегистрировали не только люди, но ипроцессоры вычислительных систем. Они начали передавать в сетьсообщения о том, что не в состоянии принимать новые данные вследствиепереполнения памяти. Благодаря этому центры некоторыхнаучно-исследовательских институтов вовремя отключились и сумелиизбежать заражения. Так, одно из учебных заведений шт.Нью-Джерси — Stevens Instituteof Technology, получившее предупреждение, успело изолировать свою ЭВМи блокировать доступ вирусу. Вскоре выяснилось насколько серьезный удар был нанесен. Во-первых, вирус распространялся через компьютерную сеть счудовищной быстротой — следствие быстродействия узловых систем ихорошего состояния линий связи в США. Во-вторых, в результате работы вируса блокировалась как сеть, таки атакованные системы, останавливавшиеся вследствие переполненияпамяти и/или превышения допустимого предела загрузки. Весь ужасзаключался в том, что пока до администраторов систем доходило, что ихсистемы подверглись нападению, они начисто лишались возможностичто-либо предпринять, поскольку теряли доступ к перегруженной системе. стр. 15 В-третьих, инфицировалась операционная система UNIX Berkeley 4.3- одна из самых популярных версий UNIX, в силу наличия в нейэлектронной почты и удобных отладочных средств. Это было тем болеенепонятно, если учесть, что UNIX — система многопользовательская и ктому же имеет систему защиты, основанную на идентификации каждогопользователя с помощью паролей. С этим сталкивались впервые. Атака шла по наиболее популярным среди пользователей странысетям, включая сеть Пентагона, и расчитывалась на поражение одной изсамых популярных операционных систем — каково!. Неудивительно, что среди администраторов систем началасьнастоящая паника. Многие из них не сумели или не приложили — иногда втечение нескольких дней — должных усилий к тому, чтобы связаться сдругими пострадавшими, а попросту лишили пользователей возможностиработать с их машинами. В результате за несколько минут они лишилисьне только своих машин, к которым запретили доступ, но и других машинInternet, с которыми они не могли работать до конца восстановления. Стало понятно, что если вирус не остановить, то последствия могутбыть самые нежелательные. По всей стране пользователи затаилидыхание, боясь подумать, что произойдет, если вирус запрограммированна уничтожение или повреждение данных (а это было весьма вероятно). Через 5 часов вирус инфицировал от 435 до 800 систем, а всего втечение полутора-двух суток (2-3 ноября) поразил около 6000компьютеров. Среди пострадавших — помимо уже упомянутых — оказалисьсистемы Агентства национальной безопасности и Стратегическогоавиационного командования США; лабораторий NASA (в частности JetPropulsion Laboratory; а в вычислительном центре NASA в Хьюстонекомпьютерный вирус чуть было не затронул систему управления запускамикораблей многоразового использования Shuttle, но ее удалось вовремяотключить) и Лос-Аламосской национальной лаборатории;исследовательских центров ВМС США (Naval Research Laboratory, NavalOcean Systems Command) и Калифорнийского технологического института;крупнейших университетов страны (в Висконсинском университете из 300систем было "выбито" 200) и бесприбыльного "мозгового центра" SRIInternational; а также ряда военных баз, клиник и частных компаний. Анализ, проведенный специалистами, показал, что схемараспространения компьютерного вируса была примерно следующей: сетьArpanet — Milnet — Science Internet — NSF net. В результате вируспрактически вывел эти сети из строя. Минимум на два дня прекратилисьвсе научно-исследовательские работы. При этом, учтите, не было известно, "ушел" ли вирус через Лондонв Западную Европу [B8] C Как с этим боролись. Насколько невозможно сейчас восстановить хронологию вируснойатаки, настолько же невозможно точно установить, сколько времени______________________________ [B8] Как сообщила впоследствии газета "Уолл-стрит джорнэл", вирусвсе-таки сумел по Internet достичь Европы и Австралии, где также былизарегистрированы случаи блокировки компьютеров. стр. 16потребовалось на локализацию вируса и сколько людей в этомучаствовали. Но представляется правомочным предположение, что обе этицифры весьма и весьма значительны. Судите сами… …Продолжается 3 ноября. 15:00 Первые сообщения о том, что инфицированным узлам и другим пользователям направлен антидот. 21:00 Первое интервью в MIT, посвященное вирусу. 21:20 RISKS Разослан "worm condom" — "презерватив от червя". 22:04 RISKS Разослано сообщение о способе борьбы с вирусом, состоящем в размещении в библиотеке C внешней переменной с именем "pleasequit", установленной в ненулевое значение. Как только DCA узнало о вирусе, оно сразу же поставило визвестность об этом ФБР [C1], которое расценило инцидент как "делосамого высокого приоритета" и начало расследование. Одновременно с ФБРсамостоятельные расследования начали само DCA и NCSC [C2].Специалисты последнего центра, дезассемблировав вирус, заявили, что онсоздан с большим искусством и умело использует ряд уязвимых мест сетиArpanet. Многие специалисты в области безопасности компьютеров отмечаютоперативность, с которой отреагировали на появление в своих системахвируса пользователи. Уже 3 ноября практически во всех ведомствах иучреждениях, вычислительные системы которых были поражены вирусом,начали формироваться специальные группы для ликвидации последствийинцидента. После первого шока, вызванного молниеносной вирусной атакой,специалисты стали анализировать ситуацию, в результате чего выяснилисьнекоторые интересные факты. Во-первых, вирус поразил не все системы — ряд систем осталисьнетронутыми в силу того, что работающие на них системные программистыпереписали программы, входящие в систему безопасности с учетомобнаруженных недостатков в промышленных версиях этих программ [C3]. Во-вторых, вирус использовал в процессе своего распространенияподсистему отладки — родился даже термин "отладочный хук". В-третьих, вирус, по всей видимости, был сетевым червем,поскольку ни одна из существовавших до атаки программ не была в ходе______________________________ [C1] Federal Bureau of Investigation; FBI. [C2] National Computer Security Center — Национальный центркомпьютерной безопасности. Чуть позже мы поговорим об этом центре несколько подробнее. [C3] Иными словами, недостатки системы безопасности, позволившиевирусу блокировать тысячи компьютеров, были известны ранее (!), нолень или халатность разработчиков и системщиков спровоцировалисвалившуюся напасть. Эх, знать бы, где упадешь — соломки подостлал бы! стр. 17атаки искажена. Это, так сказать, косвенные догадки. Но с самого начала мощные компьютерные центры началидезассемблирование вируса. Именно дезассемблирование могло дать ответна три главных вопроса: что это такое, чем это грозит и как с этимбороться. Впрочем, следственные органы интересовали и другие вопросы:откуда именно стал распространяться вирус, какой "шутник" его запустили кто является автором столь "удавшейся" программы. По ряду причинполучить ответ на этот вопрос оказалось крайне непросто. В частности, в калифорнийском университете в Беркли ранним утром3 ноября специалистам удалось "выловить" копию вирусной программы иприступить к ее анализу. Уже в 5 часов утра того же дня специалистамиэтого университета был разработан "временный набор шагов", которыерекомендовалось предпринять для приостановления распространениявируса: например, рекомендовалось "залатать" предложенным образомобнаруженные промахи в работе утилиты Sendmail. Около 9 часов утра специалисты университета в Беркли разработалии разослали программные "заплаты" для ВСЕХ промахов в системномпрограммном обеспечении, позволявших вирусу распространяться; аспециалистами другого университета — в Пурду — примерно в это же времябыло разослано описание метода борьбы с программой-захватчиком, нетребующего модификации системных утилит. Пятница, 4 ноября 1988 года. 00:27 RISKS Сообщение из университета в Пурду, содержащее довольно полное описание вируса, хотя по-прежнему неизвестно, что именно "вирус предполагает делать окончательно". 14:22 RISKS Краткое сообщение о дезассемблировании вируса. Указано, что вирус содержит несколько ошибок, которые "могут привести к неприятностям и, несомненно, непредсказуемому поведению программы". Отмечается, что если бы "автор тестировал программу более тщательно", он все равно не смог бы обнаружить эти ошибки вообще или, во всяком случае, достаточно долго. Ряд пользователей сети Arpanet, в частности MIT, где быласформирована своя группа, приступили к срочной модификации сервисныхподпрограмм, чистке файлов данных и программного обеспечения. В Ливерморской лаборатории, несмотря на четкие действияспециалистов, вирус удалось блокировать только через пять часов послеобнаружения [C4]. Как сообщил Джей Блумбекер, директор Национального центраинформации о компьютерной преступности (г.Лос-Анджелес), ликвидацияпоследствий распространения вируса стоила Лос-Аламосской Национальнойлаборатории $250000. Исследовательскому центру NASA в г.Маунтин Вью (Калифорния)пришлось на два дня закрыть свою сеть для восстановления нормальногообслуживания 52000 пользователей. 21:52 RISKS Сообщение группы MIT о вирусе Internet. Заявлено, что в вирусе не обнаружено кода, предполагающего порчу файлов. Рассказывается о работе вируса; подтверждено, что "вирус содержит стр. 18 несколько ошибок". Отмечается, что программа предполагала "скрытое распространение, что представляет определенный интерес". Тот же день, газета "Нью-Йорк Таймс". В заметке Джона Маркоффа "'Virus' in Military Computers Disrupts Systems Nationwide" дан весьма аккуратный обзор происшедшего и сообщено, что не назвавший себя студент позвонил в редакцию и заявил, что инцидент является всего лишь "экспериментом, который испортился в результате небольшой программной ошибки." В университете штата Делавэр червь был обнаружен в большомкомпьютере VAX, ласково именуемом в пределах университета Дэви(Dewey), 3 ноября примерно в 8:15 утра. Вот как описывает борьбу свирусом участник событий [C5]: "Червь поразил систему университета во вторник утром, почти сразу же после того, как пришел на работу административный и технический персонал. Первым делом, каким занялось большинство администраторов, было ежедневно выполняемое ознакомление с поступившими сообщениями электронной почты. Администраторы обнаружили предупреждения о вирусе, информацию о странных файлах, обнаружение которых свидетельствует о наличии одного или нескольких червей и идеи относительно обнаружения и уничтожения программы-червя. Администраторы быстро обнаружили работающую оболочку UNIX, не связанную с каким-либо терминалом и, используя команду KILL, уничтожили первый червь в Дэви. Спустя несколько часов на терминалы администраторов стали поступать новые сообщения и предупреждения о втором черве. В это время Arpanet была в панике, и системные администраторы______________________________ [C4] Вы думаете, этой многострадальной лаборатории удалосьпередохнуть от вирусов?1 2 3 4 5 6 7 8 9

Глубоко заблуждаетесь! Открываем газету"Правда" от 20 декабря 1988 года (N 355) и читаем: "Предпринята еще одна попытка — вторая за последний месяц -вывести из строя компьютерную систему Ливерморской лабораториирадиации в Калифорнии. Восемь раз в течение недели в компьютернуюсистему крупнейшей в США ядерной лаборатории проникалсильнодействующий 'вирус' и 'забивал' все каналы информации.Благодаря усилиям заведующего центром компьютерной безопасностиТ.Абрахамсона, который попросту не уходил домой и сутками корпел надэлектронными головоломками, каждый раз удавалось 'нейтрализоватьвирус' и предотвратить опасное 'заражение памяти' ЭВМ. Член руководства лаборатории Р.Борчерс считает, что проникнуть вкомпьютерную систему мог только высококвалифицированный специалист,обладающий секретной информацией о деталях программы, о кодах, пароляхи слабых местах 'защитного кордона' ЭВМ." Остается только пособолезновать специалистам лаборатории ипозавидовать их квалификации и самоотверженности, проявляемой в борьбеза живучесть своей вычислительной системы.______________________________ [C5] Эти сведения почерпнуты из статьи Clinton E. White "Virusesand worms: attac on campus", опубликованной в журналеComputer & Security N 8(1989 г.). стр. 19 советовали остановить работу утилиты Sendmail и/или отсоединиться от сети. К счастью, администраторы продолжали контролировать свои системы и не отсоединялись. Через некоторое время они получили программу блокировки червя, написанную системным программистом из университета в Пурду (Purdue). Эта программа инициировала вызов червя и запись всех сегментов в пустой файл, что позволило обнаружить код червя и прекратить его распространение по системам. По счастливому случаю оба червя UNIX были обнаружены, по всей видимости, спустя всего лишь несколько минут после их поступления в систему из Arpanet. Благодаря утренним сообщениям электронной почты администраторы были в курсе событий, в результате чего черви были зафиксированы до того, как события приобрели драматический характер. Ущерб состоял в потере времени системными администраторами на обнаружение червей, их уничтожение и чистку системы от сопутствующих червям файлов (около одного дня работы системных администраторов, что оценивается в сумму свыше 120$)." Думаю, всем понятно, что под именем червя UNIX здесь упоминаетсяописываемый вирус. Вопрос вызовет, пожалуй, упоминание о двух червях, ведь мы-то всевремя говорим об одном. На это есть две причины. Первая — это то, что на компьютер было совершено два "нападения",не совпадавшие по времени. Второе — то, что, как впоследствии выяснилось, вирус использовалдля распространения два различных механизма, в результате чегоказалось, что работают два — правда очень похожих — червя. Но об этом- несколько ниже. Тем временем ФБР упорно делало свое дело. Ход расследованиядержался в тайне, однако известно, что уже 4 ноября ФБР обратилось кКорнеллскому университету с просьбой разрешить сотрудникам Бюротщательно проверить рабочие файлы всех научных работников. Всемагнитные носители в университете были арестованы, после чегосотрудниками ФБР были тщательно просмотрены файлы подозреваемых лиц, врезультате чего был обнаружен файл, содержавший набор слов,опробованных вирусом в качестве паролей. [C6] Владельцем этого файла был 23-летний студент выпускного курсаКорнеллского университета Роберт Таппан Моррис. Впрочем, в этот же день "виновник торжества" — исчезнувший ранееиз родного университета — сам явился с повинной в штаб-квартиру ФБР вВашингтоне. Вот когда в ФБР и Пентагоне вздохнули с облегчением! Еще бы:вирус оказался не творением рук неизвестных злоумышленников или -свят-свят! — спецслужб, а всего лишь "невинной проделкойдоморощенного гения", как выразился адвокат, благоразумно приглашенныйс собой "экспериментатором".______________________________ [C6] То, что именно эти слова были опробованы вирусом, былоустановлено в результате дезассемблирования вируса. стр. 20 Естественно, Морриса тут же привлекли к работам по ликвидации егомилой проделки: кто же лучше автора знает, как остановить вирус.Хотя именно к этому моменту в результате дезассемблированиявыловленного в сети тела вируса многие специалисты из крупных научныхи инженерных центров страны могли рассказать о вирусе очень много,если не все. Пора и нам познакомиться с этим произведением программистскогоискусства поближе. D Что это было. "Я не имею желания подогревать распространяющиеся слухи, но этот вирус — отличная штука. Если он не уничтожит нас, он сделает нас сильнее. Брайан Булковски, университет Браун. Наиболее полный и детальный разбор вирусной атаки, включаяалгоритм работы червя, был сделан в двух работах: "The Internet WormProgramm: An Analysis" CSD-TR-823 — техническом отчете ЮджинаСпаффорда (Eugene H.Spafford) — и в "With Microscope and Tweezers: AnAnalysis of the Internet Virus of November 1988" Марка Эйчина (MarkW.Eichin) и Джона Рохлиса (Jon A.Rochlis). Права на обе эти работыприобрел MIT, так что все желающие — и имеющие возможность! — могутзапросить требующуюся информацию у ее нынешнего владельца. Могу сразу сказать, что сделать это будет не так-то просто, апочему — вы узнаете несколько ниже. Итак, что же представлял собой вирус Морриса [D1]. Вирус Морриса — высокосложная 60000-байтная программа, разработанная с расчетом на поражение операционных систем UNIX Berkeley 4.3 (или 4.3 BSD) и аналогичных ей Sun, работающих на компьютерах фирм Sun Microsystems Inc. (Sun) и Digital Equipment Corp. (DEC) [D2]. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью Arpanet, и остаться там необнаруженным. Поскольку вирус распространялся в среде сети с использованием соответствующих сетевых средств и полностью обеспечивал свою работу сам, то бесспорным является утверждение, что вирус Морриса является полноправным представителем крайне редко встречающегося вирусного семейства сетевых червей.______________________________ [D1] Мне кажется более правильным называть этот вирус по имениего автора, хотя, как я уже говорил, вирус имеет массу другихназваний. Однако в нашей стране, имеющей весьма отдаленноепредставление об Arpanet, Milnet, Internet, Корнеллском университете ит.д. прижилось и получило определенное распространение именно этоназвание — "вирус Морриса". В дальнейшем будем так называть его и мы. стр. 21 Компьютерные эксперты, дезассемблировавшие вирус, единодушноотметили, что программа была написана с выдающимся мастерством ирасчетом на три недостатка в системе безопасности поражаемыхоперационных систем. Вирусная программа включала компоненты, позволявшие раскрыватьпароли, существующие в инфицируемой системе, что в свою очередьпозволяло программе маскироваться под задачу легальных пользователейсистемы, на самом деле занимаясь размножением и рассылкой собственныхкопий. Вирус не остался скрытым и полностью безопасным, как задумывалавтор, в силу незначительных ошибок, допущенных при разработке,которые привели к стремительному неуправляемому саморазмножениювируса. Теперь давайте рассмотрим вирус несколько подробнее, насколько,конечно, позволяет имеющаяся у нас информация о нем. Прежде всего интересен вопрос, каким образом распространялсявирус? Суббота, 5 ноября 1988 года. 18:31 RISKS Предупреждение против ссылок на "ошибки в операционной системе UNIX". Указывается, что "вирус не использует каких-либо ошибок в UNIX", ошибки содержит "программа пересылки Sendmail". Первой лазейкой была утилита электронной почты Sendmail,входившая в состав инфицируемых систем. Недостаток утилиты Sendmail,позволивший Моррису обходить подсистему безопасности вычислительнойсистемы атакуемого узла сети, имеет, если можно так выразиться,классический характер и относится к такому довольно частовстречающемуся явлению в программировании как "люки". По большому счету люк — это не описанная в документации напрограммный продукт возможность работы с этим программным продуктом.Люки чаще всего являются результатом забывчивости разработчиков: впроцессе разработки программы разработчики часто создают временныемеханизмы, облегчающие ведение отладки за счет прямого доступа котлаживаемым частям продукта. Например, для начала работы с продуктомтребуется выполнить некоторую последовательность действий,предусмотренных алгоритмом — ввести пароль, установить значениянекоторых переменных и т.п. При нормальной работе продукта этидействия имеют определенный смысл, но во время отладки, когдаразработчику необходимо тестировать некоторые внутренние частипрограммы и волей-неволей приходится выполнять ту же операцию входадобрый десяток — а то и более — раз на дню, безобидные в общем-топравила, затрудняющие тем не менее доступ к отлаживаемым частям,начинают не на шутку раздражать. Что делает программист? Правильно:в течение получаса он программирует некоторый дополнительный механизм,не предусмотренный изначальным алгоритмом программы, но позволяющий невыполнять надоевших действий или выполнять их автоматически -например, при нажатии определенной клавиши (группы клавиш) или привводе определенной последовательности символов. Все — люк готов! [D2] Такая избирательность вируса послужила причиной того, чторяд экспертов высказали мысль, что инцидент, связанный с вирусомМорриса, вполне мог быть тщательно подготовленной акцией корпорацииIBM по подрыву позиций своих конкурентов. стр. 22 Если сравнивать с промышленным производством, то люк — этотехнологическое отверстие, не имеющее никакого отношения к основномупредназначению изготовляемого изделия, но значительно облегчающеепроцесс производства. По окончании отладки большинство люков убирается из программы; нолюди есть люди — зачастую они забывают о существовании каких-то мелких"лючков". Автор программы Sendmail, Эрик Олмен (Eric Allman) тоже создал всвоей программе "черный ход". [D5] Вообще программа Sendmail былавесьма сложной и могла работать в нескольких режимах, что позволялорешать весьма сложные задачи распределенной обработки данных. Один изрежимов предполагал работу утилиты в виде демона — фонового процесса:при этом программа постоянно опрашивала порт TCP на предметобнаружения попыток передачи сообщений с использованием подпротоколаSMTP. При обнаружении такой попытки демон устанавливал связь судаленным абонентом и принимал адрес отправителя, адрес получателя,инструкции по обработке сообщения и собственно сообщение. Так вот,червь в качестве инструкций обработки посылал команду DEBUG, а вместоадреса получателя передавал набор команд. При нормальной работетакого делать нельзя, однако такая возможность в режиме отладкисуществовала, поскольку при этом можно было удостовериться всрабатывании почты, не указывая дальнейшую программу обработки, что,как вы понимаете, значительно облегчило Олмену отладку Sendmail.Однако эта возможность продолжала весьма активно использоваться идругими пользователями, поскольку этот метод позволял избежать сложнойпроцедуры конфигурации утилиты Sendmail для выполнения частных задач. Теперь будет понятен первый механизм распространения вирусаМорриса: обосновавшись на инфицированном узле, вирус рассылал спомощью Sendmail по обнаруженным в пораженной системе адресам соседнихузлов "невинное" сообщение, состоящее из 99 строк текста на языке C.Переданное сообщение — текст программы — компилировалось наузле-получателе и полученный модуль начинал работать, избежаввыполнения требуемой процедуры входа в систему. Работа этого модулязаключалась в установлении контакта с сервером червя (т.е. атакующейпрограммой-червем, работающей на уже инфицированном узле) икопировании с атакующего узла трех файлов: двух файлов объектногокода (отдельно для VAX и для Sun) и файла с упоминавшимся 99-строчнымисходным текстом. Уже упоминавшийся пользователь из университета Делавэр описал этоследующим образом: "Червь проник через Sendmail. Предполагая получение обычного сообщения, Дэви открыл порт электронной почты и позволил разместиться в нем сообщению, являвшемуся на самом деле первым сегментом червя. Этот сегмент затребовал у Дэви запуска программы (так называемой оболочки) в отладочном режиме, как если бы законный пользователь отлаживал обычную программу." При этом, во-первых, копирование выполнялось только в случаепередачи серверу случайного числа, которое было ранее послано этим же______________________________ [D5] Впоследствии он сказал, что создал этот "черный ход" с цельюоблегчения работы в системе, доступ к которой закрывал ему чрезмерноусердный администратор. стр. 23сервером в ходе попытки заражения. Если сервер не получал такогочисла, он отсоединялся от модуля захвата, а сам модуль захватасамоуничтожался. Это должно было предотвратить "поимку" кем-либофайлов червя. Во-вторых, если копирование в результате чего-либо былонеудачным, то сервер также отсоединялся, а модуль захвата уничтожалвсе уже переданные файлы и самого себя. И, наконец, в-третьих, модуль захвата в случае удачногокопирования поочередно пытался запустить полученные файлы. Если ниодин из файлов запустить не удавалось, сервер отсоединялся, а всефайлы и сам модуль захвата уничтожались; если же какой-либо файлначинал работать (т.е. попытка заражения увенчалась успехом!), ужеэта копия червя разрывала связь с сервером и уничтожала все следыатаки (т.е. все созданные файлы) на диске. Немалые подозрения вызвал тот факт, что в теле программы былиобнаружены структуры данных, обеспечивающие передачу 20 файлов, тогдакак на самом деле передавались лишь три. Это послужило источникомутверждений, что Моррис задумывал распространять таким образомнекоторые опасные для систем подпрограммы. Однако доказать этинамерения не удалось, впрочем, как не удалось выяснить и истинноепредназначение обнаруженных структур. Другим — вторым! — недостатком, использованным вирусом Моррисадля собственного распространения, была непродуманность работы другойутилиты, также входящей в состав атакуемых систем — Finger. Программа Finger также работала в режиме фонового процесса -демона — и предоставляла пользователям возможность опрашиватьудаленный узел о текущем состоянии системы или активности конкретногопользователя. В случае обнаружения попытки установить связь состороны удаленного демона, демон Finger данного узла устанавливалсвязь, считывал одну строку запроса и посылал в ответ информацию,определяемую полученным запросом. Вся беда заключалась в том, что длясчитывания строки ввода в свой внутренний буфер программа Fingerиспользовала программу gets языка C, а эта программа — как, впрочем, ицелый ряд других программ ввода/вывода в C — в процессе размещенияинформации не проверяла границы буфера ввода, что делало возможнымпереполнение буфера и, соответственно, затирание данных, размещенныхследом за буфером. Червь передавал демону Finger точно расчитанную строку вводадлиной 536 байтов, которая переполняла буфер ввода и затирала верхнийкадр системного стэка таким образом, что в этом кадре оказывалиськоманды, осуществлявшие установление связи с атакующим сервером червячерез порт TCP. После установления связи происходила передача наатакуемый узел и запуск программы захвата и происходил процесс,описанный несколько выше. В данном случае интересно то, что этот метод срабатывал толькодля систем, работающих на машинах VAX, хотя, как утверждаютспециалисты, разработать необходимую строку ввода для машин Sun былоделом одного часа.1 2 3 4 5 6 7 8 9

Работающий вирус открывал связь TCP и в директории /tmp создавалфайл с именем $$,11.c, где $$ заменялось идентификатором текущегопроцесса, куда копировался код для расширения программы listener либоhelper. По завершению работы Finger вирусная программа, содержащаясяв переданных данных (все тот же первый сегмент червя), поступала навыполнение. стр. 24 Более понятно об этой лазейке расскажет очевидец событий: "Второй червь UNIX, принадлежащий тому же автору, также поступил через электронную почту, но использовал другую схему атаки. В большинстве систем электронной почты UNIX есть утилита Finger, которая позволяет получить информацию о пользователях другого узла. Червь с помощью утилиты Finger запрашивал информацию о пользователях, работавших в UNIX. При выполнении запроса Finger размещала в памяти опрашиваемого узла свои данные. Но червь изменял эту память таким образом, что вызов адресовался на его точку входа, в результате чего он начинал работу." Теперь вам понятно, почему пользователям показалось, что работаютдва червя? Все дело в том, что вирус Морриса использовал дляраспространения своих копий два независимых друг от друга пути — черезSendmail и через Finger. Итак, червь благополучно попал в систему и приступил к работе.Что же он делает? Слово — нашему знакомому делавэрцу. "По логике первого сегмента, выполнявшегося как обычная программа, через тот же самый порт электронной почты в систему Дэви поступила вторая часть червя. Эта часть состояла из серии сообщений, содержащих объектный код, добавлявшийся к работающей оболочке червя. Первой группой команд производилось обращение к списку адресов других машин, с которыми был связан Дэви, с последующей посылкой по этим адресам через сеть копий первого сегмента червя… …При нормальной работе каждый узел сети имеет список адресов других компьютеров (обычно около десятка), с которыми данный узел непосредственно связан линиями связи. С помощью таких списков адресов червь стал распространяться по сети от одного узла к другому; заражение при этом росло по экспоненте." Логично? Вполне: заразился сам — помоги товарищу. И еще -вирус стремился размножиться и разослать свои копии по обнаруженнымадресам сопредельных узлов раньше, чем его успеют обнаружить иостановить. Это логика доброй половины всех известных вирусов [D2].Обнаружение адресов доступных узлов производилось вирусом за счетвыполнения программ Ioctl и Netstat с различными аргументами, а такжеза счет считывания и анализа ряда специальных системных ипользовательских файлов, используемых для обеспечения работы в сети.Выделяемая таким образом информация заносилась в создаваемый червемвнутренний список доступных узлов. По окончании формирования списка______________________________ [D2] Вторая половина придерживается другой тактики — затаиться,выждать некоторое время, а уже затем начать размножаться и пакостить.Но для всех вирусов характерна крайняя озабоченность судьбой своихкопий: существуют вирусы, которые не начинают пакостить всерьез дотех пор, пока не создадут заранее определенное количество копий, чтогарантирует пользователям гораздо более интересную жизнь. стр. 25червь начинал процесс рассылки копий по выявленным адресам. При этомописанные выше способы начинали отрабатываться только в том случае,когда червь устанавливал достижимость конкретного узла в данный моментза счет попыток установления связи с данным узлом через порт telnet. После рассылки копий по обнаруженным адресам червь считывалсистемные файлы /etc/hosts.equiv и /.rhosts с целью обнаружения такназываемых "эквивалентных" или "доверенных" узлов, а такжепользовательские файлы .forward, используемые для автоматическойрассылки сообщений "электронной почты". Термин "доверенных" узлов связан с механизмом "доверенногодоступа". Смысл его в том, что для облегчения выполнения операций наудаленном узле пользователь имеет возможность создать файл сопределенным именем, куда он может занести пары .При работе с удаленным узлом система проверяет наличие у пользователятакого файла и, если работа ведется с узлом, указанным в одной из пар,с использованием указанного в той же паре имени входа, системаавтоматически разрешает доступ без запроса пароля. Именно вотсутствии запроса пароля и заключается "доверие". Считав указанные файлы, червь предпринимал попытку атаки "в лоб",т.е пытался, используя механизм доверенного доступа, создать путемвызова программы Rsh на удаленном узле работающую оболочку, маскируясьпод пользователя. Если попытка лобовой атаки не удавалась, червь считывал в памятьсистемный учетный файл /etc/passwd и предпринимал ряд не лишенныхостроумия попыток раскрыть пользовательские пароли. Надо сказать, что в системе UNIX пользовательские пароли хранятсяв шифрованном виде, но в общедоступном для чтения файле, где хранитсяи другая нешифрованная информация. Крупным недостатком — помимообщедоступности учетного файла — было также то, что используемый дляшифрования паролей DES-алгоритм [D4] был значительно ослаблен за счетиспользования при шифровании в качестве ключа последовательностинулевых битов. Кроме этого, Моррис умело сыграл на человеческойслабости многих пользователей, которые, не придавая серьезногозначения вопросам безопасности своих данных, использовали в качествепаролей общеупотребляемые смысловые слова, что при серьезном подходе кделу просто недопустимо. Для начала червь пытался опробовать в качестве паролей учетныеимена пользователей. Делалось это путем шифрования учетных имен______________________________ [D4] DES — Data Encryption Standart — стандарт шифрования данных,определяющий алгоритм, который реализуется в виде электронных устройств ииспользуется для криптографической защиты данных в ЭВМ. Описанный в стандарте алгоритм определяет операции преобразованияданных в непонятную непосредственно форму — шифрование, и наоборот -расшифрование. Обе операции опираются на некоторое двоичное число,называемое ключом. Ключ состоит из 64 двоичных цифр, из которых 56 битовиспользуются самим алгоритмом, а оставшиеся 8 битов служат дляобнаружения ошибок. Сам алгоритм известен всем его пользователям. Уникальностьалгоритму придает использование в каждом приложении уникального ключа.Тот, кто не знает ключа, зная сам алгоритм, не сможет получить скрытыетаким образом данные. стр. 26пользователей, найденных в учетном файле, и сравнения полученногошаблона с шифрованным паролем данного пользователя — в случаесовпадения червь производил попытку запуска оболочки на всех удаленныхузлах, где данный пользователь мог работать (что устанавливалось засчет просмотра внутреннего списка доступных узлов и анализа упомянутыхвыше файлов). Если пользователь был чуть более искушен, и пароль не совпадал сучетным именем в чистом виде, то производилась аналогичная попытка сиспользованием учетного имени, преобразованного самым тривиальнымобразом: например, опробовалось учетное имя, написанное в обратномпорядке. Если и это не давало результата, в качестве шаблонов опробовалисьзашифрованные 432 общеизвестных слова (типа "cretin", "batman" ит.д.), составлявшие внутренний словарь червя. Этот вариант дал,кстати, наибольший процент раскрытия паролей. После всех этих шагов в качестве паролей опробовались слова изимевшегося в системе словаря. Как видите, ничего особенного в примененном методе вскрытияпаролей нет, как нет и оправдания халатности пользователей,послужившей причиной того, что червю в отдельных системах удавалосьвскрыть пароли более половины пользователей. А ведь каждый новыйпароль червь использовал для атаки новых жертв! "Следующая группа команд содержала список общеиспользуемых в качестве паролей слов, зашифрованных по DES-алгоритму [D4], которые сравнивались в таком виде с системным файлом паролей Дэви, также зашифрованным по DES-алгоритму. Каждый зашифрованный пароль-шаблон сравнивался с паролями всех законных пользователей Деви, и каждое полное совпадение запоминалось вирусом. В Деви червь таким образом смог получить около 20 из 300 паролей, причем один из раскрытых паролей обеспечивал получение привилегий системного пользователя. Системный пользователь в UNIX имеет возможность работать с системными файлами и таблицами безопасности, обращаться к другим системам, а также читать, писать и чистить файлы по всей системе. В этот момент червь стал распространять свои копии по другим системам университета, но не производил серьезных разрушений файлов или программ, хотя и мог это делать, — червь, несомненно, не был запрограммирован на разрушение; единственным ущербом, нанесенным червем Деви, было существенное замедление работы других программ." К счастью для американских пользователей, Моррис был вопределенном смысле добропорядочным специалистом, не ставившим себецелью напакостить всем окружающим, вследствие чего созданный им вирусне искажал и не уничтожал данных. Именно поэтому вирус Морриса былотнесен специалистами к категории так называемых "мирных" вирусов, неприносящих пользователям непоправимых бед. стр. 27 Если бы Моррис добавил к своей программе еще несколько строк, то,по мнению специалистов, ущерб был бы непоправимым. Как показал анализ червя, имевшее в действительности местонеуправляемое размножение вируса в планы Морриса не входило. Впроцессе работы червь пытался связаться с другой копией, работающей вэтой же системе, через заведомо определенное гнездо TCP. Если попыткабыла успешной, т.е. в системе работала еще одна копия червя,атакующий червь устанавливал в 1 переменную pleasequit, что вызывалосаморазрушение червя, но после выполнения им этапа вскрытия паролей.Такая задержка саморазрушения привела к тому, что в одной системемогли одновременно работать несколько копий червя. Более того,сочетание условий в теле червя делала возможной ситуацию, когда сильнозагруженная система отказывала новой копии червя в установлении связи,что расценивалось червем как отсутствие в системе других копий и,следовательно, приводила к началу работы новой копии. Моррис опасался, что системные программисты рано или позднопредпримут попытки запустить имитатор червя, отвечавшего бы на попыткиустановления связи через порт TCP с целью уничтожения истинных копийчервя. Чтобы блокировать такие попытки, червь на основе анализаслучайно генеруемого числа (примерно в одном случае из семи)устанавливал внутренние флажки таким образом, что оказывалсянезависимым от результатов проверки наличия других копий червя всистеме. Эти "бессмертные" копии вносили значительную лепту вперегрузку инфицируемых систем. Таким образом, недостаточно корректное программирование механизмаразмножения независимо от ответа машины было ошибкой, приведшей квыходу вируса из-под контроля. С другой стороны, эта ошибка впрограмме обусловила и раннее обнаружение вируса. [D3] И это еще не все! Очевидно предполагая, что появление новоговируса не вызовет у большинства пользователей восторга, Морриспредпринял определенные меры с тем, чтобы скрыть истинный источникзаражения и это ему удалось намного лучше. По словам Питера Йи -специалиста по компьютерной технике из университета в Беркли: "Мыобнаружили, что программа-вирус достаточно сложна и ее автор прекрасносправился с задачей затруднить ее обнаружение." Во-первых, достаточно сложной была схема запуска вируса:программа-вирус была запущена в компьютере MIT (Новая Англия), в товремя как автор, используя возможности теледоступа, работал закомпьютером в Корнеллском университете в Ithica (Нью-Йорк). Во-вторых, как поведал Питер Йи: "Попав в память первогокомпьютера, программа стерла информацию, касающуюся времени ее ввода,места, откуда она была направлена, а также того, в какие ЭВМ онадолжна попасть." В-третьих, на основе анализа случайно генерируемого числа, червьпытался послать сообщение на узел университета в Беркли. Это______________________________ [D3] Интересно отметить, что автор вируса, известного подназванием "Иерусалим" — первого, как принято считать на Западе,вируса, использованного в террористических целях, допустил аналогичнуюошибку. Из-за этого вирус, который должен был в мае 1987 года -накануне 40-летия образования государства Израиль — вывести из строяего компьютерные сети, был обнаружен в конце 1986 года и ликвидирован. стр. 28происходило примерно один раз на 15 попыток инфицирования. Однакоэтот механизм был запрограммирован недостаточно корректно, вследствиечего никакой реальной пересылки данных не происходило. Было ли этоизначально продуманной хитростью или действительно задумываласьпересылка информации — так и осталось неизвестным. Известно только,что пересылаться должен был один байт с неустановленным значением.Это позволяет предположить, что автор задумывал создатьпрограмму-монитор, которая получала и обрабатывала бы пересылаемыебайты, содержащие идентификацию пораженных червем узлов. Однакокаких-либо доказательств наличия такой программы не было обнаружено, ипоэтому равновероятной является версия, что при создании этогомеханизма автор предполагал ложно указать на источник заражения. В-четвертых, червь периодически "ветвился" (создавал подпроцесс)с помощью команды Fork с последующим уничтожением командой Killпроцесса-родителя. Прежде всего это позволяло сменитьидентификационный номер процесса с тем, чтобы в файле системнойстатистики не было подозрительных данных о слишком большом потребленииресурса процессора каким-либо одним процессом. Далее, слишком долгоработающему процессу система начинает уменьшать диспетчерскийприоритет, а при "резветвлении" новому процессу присваивался начальныйприоритет. Правда и этот механизм работал не всегда четко, посколькув ряде случаев червь в совокупности потреблял до 600 секунд временипроцессора. И, наконец, на случай, когда червь работал бы в системе в течение12 часов, был предусмотрен механизм повторного инфицированиясопредельных узлов: червь стирал в своем внутреннем списке узловпометки о зараженности, либо "иммунности" узлов и таким образомповторял процесс заражения с самого начала. И по сей день остается невыясненным вопрос об истинных мотивах,которыми руководствовался Моррис, создавая свой вирус? Сам автор по этому поводу благоразумно хранил молчание, чтопослужило причиной появления множества самых разнообразных версий.Есть даже романтический вариант этой истории, согласно которому червьбыл создан и запущен с единственной целью — завоевать сердце некоейДжуди Фостер (Jodie Foster). Однако наиболее распространено мнение, что Моррис создал своюпрограмму в экспериментальных целях, а к столь серьезным последствиямпривел выход вируса из-под контроля в силу небольших программныхошибок. Вероятнее всего смысл эксперимента заключался в скрытномраспространении вирусной программы по сети, минуя средства обеспечениябезопасности, с последующим преданием этого факта огласке. Что иговорить, шум был бы большой, хотя, возможно, несколько меньшийсостоявшегося в действительности. С этой точки зрения вирус полностьюдостиг своей цели — многомиллионная армия пользователей былапоставлена перед фактом "удручающего состояния программногообеспечения и системы безопасности в мире UNIX" (Матт Бишоп,университет Дортмуса). стр. 29 Сам Моррис дал следующую версию происшедшего. 2 ноября, набрав свой код доступа в сеть, он осуществил вводвируса с компьютера Корнеллского университета.1 2 3 4 5 6 7 8 9

Моррис рассчитывал,что вирус будет пассивным — "спящим" — и приступит к активнымдействиям только через несколько дней. Однако произошел неприятныйдля автора сбой, и вирус принялся за дело мгновенно. Когда Моррис попытался узнать ход атаки, он неожиданно обнаружил,что сеть перегружена настолько, что он сам не в состоянии получитьдоступ к терминалу. Моррис пытался остановить процесс, но все попыткиокончились неудачей. Более того, поскольку каналом распространениявируса была электронная почта Sendmail, то именно она первая и вышлаиз строя, в результате чего Моррис лишился связи с другимикомпьютерами. Это, по его словам, "отрезало" его от сети и непозволило известить коллег об угрозе. Моррис тут же (около 2 часов ночи 3 ноября) по телефону связалсясо своим другом в Гарвардском университете и попросил его послать вArpanet сигнал тревоги с подробными инструкциями о методе уничтожениявируса. Этот знакомый в свою очередь послал краткое сообщение наизлишне техническом языке и к тому же разместил это сообщение намалоизвестную EBB (Electronic Bulletin Board — "электронная доскаобъявлений"). Все равно к этому моменту сеть была перегружена ибольшинство абонентов просто не имели возможности прочитать этосообщение. Испугавшись ответственности, Моррис сбежал из университета кродителям, где связался с адвокатом (с помощью которого, очевидно, ибыла разработана соответствующая версия происшествия). 4 ноября, как известно, он явился с повинной в штаб-квартиру ФБРв Вашингтоне. E Что за этим последовало. Воскресенье, 6 ноября 1988 года. 15:50 RISKS Высказаны предупреждения против раздувания шумихи вокруг вируса большей, чем это сделано в прессе. Событие, "происшедшее в действительности, не является сюрпризом ни для читателей RISKS, ни для пользователей Internet или UNIX." 19:01 RISKS Краткое обращение к пользователям с призывом изучать вирус; отмечается, что "неэтичность и другие злоупотребления не являются необычными." Компьютерные системы должны перестать быть "относительно широко открытыми." Понедельник, 7 ноября 1988 года. 15:44 RISKS Обсуждение возможности провокации вирусом ядерной войны. Вызвано воскресным сообщением (15:50), но впадает в противоположную крайность, преувеличивая возможнось "ядерного Армагеддона". 19:06 VIR Частная реакция на вирус Internet компьютерной службы, которая "непосредственно даже не связана с Internet" стр. 30 и лишь к этому моменту была оповещена из местных газет и местных филиалов ABC и NBC. 8 ноября 1988 года в Вашингтоне была организована встреча группыпрограммистов и экспертов по компьютерной безопасности из различныхуниверситетов с одной стороны и представителей федеральных властей сдругой — "Proceedings of the Virus Post-Mortem Meeting". Целью встречи было обсуждение результатов вирусной атаки исложившейся в связи с этим ситуации и выработка предложений по поводутого, как избежать повторения подобных атак в будущем. На встрече былпринят документ, состоящий из 11 рекомендаций участников совещания(см. приложение B). Одним из результатов встречи стал запрос NCSC к исследователямуниверситета в Пурду на удаление из компьютерной системы университетавсей информации, касающейся алгоритма работы вируса. Университетудалил всю информацию, которая с точки зрения специалистовпредставляла какую-либо опасность. Согласно рекомендациям была создана так называемая "группаответа": в настоящее время Группа ответа на компьютерную опасность(Computer Emergency Response Team) официально располагается вуниверситете Карнеги-Меллона, находясь на финансовом обеспечениисерьезно обеспокоенного инцидентом Пентагона. ФБР наложило запрет на все материалы, имеющие отношение к вирусуМорриса, а 11 ноября 1988 года в "Нью-Йорк Таймс" в статье ДжонаМаркоффа было заявлено, что NCSC ищет способы, чтобы вообще остановитьраспространение точной информации о "внутренней работе программ,которые осложняют работу американских компьютеров." Теперь, я думаю, вам стало понятно, почему получить подробныематериалы по вирусу Морриса (в частности) в настоящее время не так-топросто. Вирусная атака послужила причиной резко возросшего интереса ксредствам обеспечения безопасности как вычислительных систем, так иобъединяющих эти системы сетей. Правительственные лаборатории и исследовательские центры,занимающиеся проблемами защиты информации, интенсифицировали работынад созданием сложных и, по возможности, универсальных антивирусныхпрограмм, которые должны выявлять и блокировать вирус на самых раннихстадиях его развития. Однако, по мнению экспертов, если такиепрограммы и удастся создать, они вряд ли станут достоянием гласности.Предполагается, что в случае создания универсальных антивирусныхпрограмм они будут рассматриваться как своего рода "стратегическоеоружие". К работам по борьбе с вирусами и созданию "имунных" программподключились Национальный научный фонд США, биржа Уолл-стрита и др.Беспокойство финансовых кругов США объясняется их сильной зависимостьюот вычислительной техники, на базе которой функционирует вся системаэлектронных безналичных расчетов [E1]. стр. 31 Поскольку вирус Морриса ощутимо ударил по репутации одного изпопулярнейших семейства операционных систем — UNIX — неудивительно,что разработчики стали прилагать лихорадочные усилия к тому, чтобывернуть UNIXу былой авторитет и, соответственно, не потерять рыноксбыта. Так, специалистов калифорнийского университета в Беркли — местарождения UNIX Berkeley — вирусная атака побудила заново полностьюпроанализировать свою систему, исправить обнаруженные червем дыры иотключить в системе UNIX режим отладки. Они также переписалипрограмму Finger таким образом, чтобы она проверяла границыразмещаемой ею памяти с тем, чтобы любой проникший в систему вирус несмог бы записать в эту память свои коды. Как сообщил в феврале 1989 года вице-президент компании AT&TВильям О'Ши (William O'Shea) для системы UNIX 4.1 были разработаныулучшенные средства обеспечения безопасности. Новые средства состоятв усовершенствовании методологии доступа, обеспечении целостностиданных, отказе от утилит и ненавязчивой политике сдерживания.Существовавший ранее статус суперпользователя заменен статусомсуперпользователя, который работает только на период установкисистемы. Безопасность паролей улучшена за счет использования"теневых" файлов паролей. Использованы механизмы ограничения доступак файлам в соответствии с текущей формой активности в системе.Реализована более гибкая система авторизации, включающая групповые ипользовательские идентификаторы, а также контроль команд и процедурвхода. Не остались в стороне и владельцы национальных компьютерныхсетей, в частности — Internet. Internet Activities Board — комитетInternet — в феврале 1989 года заявил о намерении ввести с цельюувеличения сохранности сообщений электронной почты Internet новогостандарта безопасности. Пользователи получат возможность шифроватьсвои сообщения, а также проверять идентичность отправленного иполученного сообщений. Стандарт безопасности включает DES, системуаутентификации из RSA Data Security и формат аутентификацииCCITT X.509. Защищать сети гораздо сложнее, чем системы. Так, например,защите в Internet подлежат три основных точки: индивидуальные______________________________ [E1] Промышленная ассоциация по компьютерным вирусам только за1988 год зафиксировала почти 90 тысяч вирусных атак на персональныекомпьютеры, а по данным Национального центра информации покомпьютерной преступности (National Center for Computer Crime Data) заэтот же год компьютерная преступность нанесла американским фирмамубытки в размере 500 млн. долларов В наибольшей степени от этогострадают банки. По словам Ховарда Глассмана, который отвечает забезопасность в Bank of America, компьютерная преступность может статьпричиной крушения экономической системы страны. На самом деле, количество инцидентов, связанных с вирусами,вероятно, превосходит опубликованные цифры, поскольку большинство фирмумалчивает о вирусных атаках, опасаясь, что подобная антирекламаповредит их репутации. Другие фирмы молчат, чтобы не привлекатьвнимание хакеров. Как заметил администратор фирмы Amway, "лучшийспособ избежать проблем с вирусами — не болтать о том, что выпредпринимаете во избежание этих проблем." стр. 32терминалы, локальные сети и собственно Internet, которая может бытьпоражена из любой из объединяемых ею сетей. Большое значение в связис этим, помимо аппаратно-программных средств, приобретаюторганизационные меры, предпринимаемые в целях обеспечения безопасностисети вплоть до контроля за дисциплинированностью каждого пользователя. Для защиты Internet специалистами, в частности, было предложеноследующее: — должна быть сформирована политика безопасности сети, включая вопросы уголовного преследования нарушителей; — операторы Internet должны начинать уголовное преследование всех лиц, замешанных в атаке сети; — операторы Internet должны начать регулярные тренировки с упором на обеспечение безопасности сети; — Internet должна оплачивать информацию, помогающую обнаружить и доказать виновность лиц, атаковавших сеть. После атаки пользователи стали обвинять во всем случившемся нетолько Морриса, но и транспортный протокол TCP/IP, утверждая, что сампротокол не соответствует требованиям обеспечения безопасности.Однако в ответ специалистами было заявлено, что вирус вызвал серьезныепоследствия в силу недостатков безопасности систем, но не сети. Вирус распространялся через программы, входящие в систему UNIX,которые, как оказалось, были написаны недостаточно хорошо и имели дырыв схеме безопасности. Пикантность ситуации состояла в том, чтосуществуют другие программы, работающие по тем же алгоритмам не хуже,а то и лучше упомянутых злосчастных программ, но при этом не имеющиедыр в безопасности. Системы в Internet, которые использовали этиальтернативные программы, избежали поражения вирусом. Это доказывает,что TCP/IP в состоянии поддерживать безопасный траффик. F Как это судили. "НЬЮ-ЙОРК, 9. (ТАСС) Пока Роберт Моррис лишь смущенно улыбается перед объективами репортеров — он уже стал героем дня в США, но еще не ясно, смогут ли американские власти показать, что он еще и преступник. "У нас нет никакого опыта наказаний за такие дела", — заявил представитель ФБР…" Советская Россия, 10.11.88 N259(9810) "Вся эта история выглядит и как захватывающая драма отца, сына и колоссальной электронной игры, и как наихудший результат веселой проделки, в которой непреднамеренность не может служить оправданием. Разбор этого дела в суде позволит выяснить соответствие нынешнего законодательства, направленного против "электронного саботажа", уровню развития вычислительных систем и средств. Очень важно доказать преступность подобных действий, хотя стр. 33 в данном конкретном случае безусловно имеет смысл смягчить наказание." Х.Д.Хайланд. Четверг, 10 ноября 1988 года. 19:03 VIR Утверждение, что "действия, предпринятые в отношении" Морриса и подобных ему лиц будут "действиями общества в области компьютерной безопасности." 20:40 RISKS Официальное сообщение о ситуации в Корнеллском университете, где, по-видимому, был запущен вирус. Выводы сопровождаются комментарием, какой Моррис хороший; высказывается уверенность, что его наказание не будет "слишком суровым". Представляет интерес юридическая сторона дела. Долгое время ФБР не могло выдвинуть официального обвинения вотношении автора вируса, несмотря на то, что по заказу этогоуважаемого ведомства Гарвардским и Корнеллским университетами былиподготовлены обзоры существующего законодательства, касающегося"компьютерных" преступлений. Несмотря на наличие относительно новыхзаконодательных актов, таких как Акт о злоупотреблениях имошенничестве с помощью компьютеров от 1986 года (Computer Fraud andAbuse Act of 1986), выдвинуть обвинение в отношении лица,злоупотребившего многомашинной компьютерной системой, каковой являетсялюбая компьютерная сеть, было нелегко. В конце концов, поскольку пораженные вирусом системы входили всостав компьютерной сети, контролируемой правительством США,распространение вируса было признано действием, нарушившим закон. Нои после этого оставался неясным вопрос о том, как квалифицироватьавтора вируса — как преступника или как обычного хулигана. Всоответствии с уже упоминавшимся законом от 1986 года в случаеквалификации действий Морриса как "несанкционированного доступа кправительственным компьютерам", ему грозил крупный штраф и тюремноезаключение сроком до 10 лет. 22 января 1989 года Моррис был признан виновным судом присяжных.Если бы осуждающий вердикт был утвержден без изменений, то Моррисаожидало бы заключение в тюрьму на 5 лет и $250000 штрафа. Однакоадвокат Морриса Томас Гидобони (Thomas Guidoboni) сразу же заявил опротесте и направил все бумаги в окружной суд с прошением отклонитьрешение суда. Защита Морриса основывалась на двух посылках: — на том, что формулировка закона неопределенна и оставляет открытой интерпретацию доказательства преднамеренности совершенных действий; стр. 34 — и на том, что закон не отражает специфику функционирования компьютеров в 1990х годах: в законе речь идет о несанкционированных действиях в отношении отдельного компьютера, а в рассматриваемом случае была поражена многомашинная система — компьютерная сеть. Прежде чем признать Морриса виновным, суд достаточно быстроустановил несколько признаков преступления. Самым мошенническим элементом всей этой истории является то, чтоМоррис вошел в сеть для запуска вируса без авторизации. Суд определил, что вирус Морриса причинил ущерб не менее, чем на$1.000, хотя власти представили более 40 свидетельств, которые всовокупности утверждают, что за счет потери производительности вирусМорриса обошелся не менее чем в $150.000. Защита особенно настаивала на том, что вирус не поразил системы,связанные с обработкой денег; власти вынуждены были признать, что всетрудности заключались в выключении машины, отсоединении ее от сети,повторном включении и проверке. Далее, защита подчеркивала факт, что ресурсы в основном былизатрачены на приведение нарушенной системы безопасности в состояние,предшествовавшее атаке, и дезассемблирование обнаруженного вируса сцелью выяснения его опасности. При этом, поскольку электронная почтасети во время вирусной атаки не работала, многие абоненты часамипытались дезассемблировать вирус, не подозревая, что это уже сделанодругими абонентами. Другим доводом защиты был тезис о том, что доказанные разрушенияне обязательно являются прямым следствием работы вируса, т.е. затратыресурсов могли быть вызваны чем-либо помимо вируса. Например, имелисьпоказания о том, что значительное время пользователями было затраченона проверку отсутствия в вирусе "троянских коней", "часовых бомб" иликаких-либо иных разрушительных программных средств. Вдействительности вирус не содержал подобных элементов, поэтому защитаобъявила неправомочными попытки возложить на Морриса ответственностьза длительные усилия, направленные на то, чтобы разрушить собственныенеобоснованные подозрения.1 2 3 4 5 6 7 8 9

Защита подчеркнула также тот факт, что электронную почту могиспользовать кто-угодно для связи с кем-угодно, причем без согласия наэто адресата, тогда как обе эти программы в процессе работы используютмощности и память получателя. На основании этого Гидобони высказалутверждение, что все, кто авторизован в Internet, имеют привилегии,достаточные для использования Sendmail и Finger для связи с другимипользователями и, более того, невозможно установить, кто именнообратился к данному абоненту, поскольку для обращения к любомуабоненту никакой авторизации не требуется вообще. При этом Гидобонисправедливо заметил, что подразумеваемая эффективность авторизациисостоит в обязательной уникальной идентификации каждого пользователяпри каждом вхождении в систему, в частности в Internet.______________________________ Промышленная ассоциация по компьютерным вирусам оценила стоимостьпотерянного времени и людских ресурсов, а также сверхурочных затрат наудаление вируса из тысяч компьютеров примерно в $100.000.000. стр. 35 Небольшое препирательство на суде между защитой и обвинениемпроизошло по поводу того, имело ли бы место нарушение закона, если быМоррис не допустил программной ошибки. Эксперт Департамента ЮстицииМарк Раш заявил, что если бы вирус работал точно так, как былозадумано автором, администраторы узлов сети потеряли бы время налокализацию и удаление вируса; следовательно, существенный ущерб былбы нанесен даже в том случае, если бы ошибка не была допущена. Хотя защитник не стал оспаривать этот вывод сразу, вне залазаседаний он заявил, что если бы программа работала так как задумывалего клиент, никакого ущерба не было бы вообще; и если бы некоторыеадмистраторы проявили бы немного любознательности в отношениипоявившегося вируса, они вполне смогли бы проанализировать его наосновании вполне достаточного количества сообщений о вирусе,поступавших от других пользователей. G Что сказал Пентагон. "…По свидетельству "Нью-Йорк таймс", 'представители Пентагона, стремясь умерить опасения, что ключевые военные компьютеры уязвимы для подобных диверсий, заявили, что такой вирус не может проникнуть в секретные компьютерные сети, управляющие системами ядерного оружия и хранящими в памяти военные планы'. Однако эксперты указывают, что происшедший случай свидетельствует о том, сколь уязвима компьютерная сеть." Московская правда 6.11.88 N256(20874). Вирус Морриса стал причиной очень серьезного беспокойства такогоуважаемого и солидного учреждения как Пентагон. Не является секретом, что всеобщая компьютеризация — как принятоу нас говорить — американского общества не обошла стороной этуорганизацию. Компьютеры позволили создавать надежные системы связи сумопомрачительной скоростью передачи данных, что само по себе являетсядля подобных государственных структур весьма привлекательным;компьютеры поддерживают обширные банки данных, позволяющие эффективноуправлять столь масштабной организацией; компьютеры встраиваютсяпрактически во все новейшие системы вооружения, включая и ядерные,поскольку это резко повышает и эффективность применения этих систем, иоперативность их "срабатывания"; компьютеры составляют сердцевину всехнавигационных систем и так называемых систем предупреждения.Вспомните хотя бы пресловутую СОИ: ведь даже наши средства массовойинформации все уши прожужжали о том, что эта милитаристская задумкапрактически во всех аспектах основывается на использованиивычислительной техники. Однако тут же наши газеты вещали, чтоамериканские военные, а с ними и "все человечество", все большестановятся заложниками компьютеров. стр. 36 Как ни странно, последний вывод был не так далек от истины.Нарушение работы компьютерных сетей командования и управления, помнению самих американцев, означало бы катастрофу. Осознав всю опасность вирусов, правительство США за последниегоды предприняло целый ряд срочных мер с тем, чтобы обеспечитьнадлежащую безопасность своих наиболее важных информационных систем,которые каналами связи соединены с другими, незащищенными системами.Специалисты, ответственные за защиту военных компьютерных систем,подчеркивали, что "в закрытые системы Пентагона встраиваютсяспециальные механизмы защиты, которые работают настолько тонко, чтолишь немногие люди знают, что система фиксирует каждый шагпользователя." В частности, секретные сети передачи данных былизащищены шифрующими устройствами для закрытия всех данных, поступающихна терминал и уходящих с него. Считалось, что помимо защиты отпроникновения иностранных спецслужб, применение новыхкриптографических методов лишит компьютерных взломщиков (по крайнеймере на ближайшее время) возможности совершать различные манипуляции ссекретными военными компьютерными системами. Гораздо более сложной считалась и считается проблема защитыпубличных компьютерных сетей от неавторизованного доступапользователей или, еще хуже, "компьютерных взломщиков" — хакеров.Особо труден в этом отношении вопрос зашиты военных сетей, соединенныхс общеиспользуемыми сетями. Ввиду этого в 1982 году Белый Дом даже был вынужден отказаться отучастия в компьютерном консорциуме 17 стран, так как выяснилось, чтоэто позволит советским экспертам получать доступ к несекретным, нодостаточно важным американским базам данных. В соответствии с четырехлетней программой по борьбе скомпьютерными вирусами DoD еще в 1987 году ужесточило режимобеспечения безопасности своих сетей. В некоторых наиболее важныхкомпьютерных сетях были приняты следующие меры: — максимально ограничен доступ; — детально фиксировались все операции пользователей; — циркулирующая в сетях информация шифровалась; — в распоряжении пользователей сетей предоставлялись программы-вакцины, выявляющие несанкционированные изменения в программном обеспечении и данных; — наиболее важные, содержащие секретные сведения вычислительные системы стали полностью автономными, т.е. были отключены от сетей. В январе 1981 года с целью определения пригодности предлагаемыхразличными разработчиками компьютерных систем для нужд DoD был созданЦентр компьютерной безопасности министерства обороны США. Позднее, всентябре 1985 года, этот центр был переименован в Национальный центркомпьютерной безопасности (National Computer Security Center; NCSC) иперешел под ласковое крылышко Агентства национальной безопасности(National Security Agency; NSA). стр. 37 NCSC и ныне оценивает пригодность компьютерных систем с точкизрения их безопасности для использования этих систем не только ввооруженных силах, но также в различных государственных учреждениях,фирмах, выполняющих государственные и военные заказы; при этомоценивание продуктов ведется по строго определенной программе,предусматривающей проверку строго определенных механизмов и средств.Это обстоятельство обеспечивает возможность сравнения рейтинговбезопасности разнородных продуктов. Оценивание осуществляется на основании стандарта, известного подназванием "оранжевая книга". Согласно стандарту все компьютерныесистемы условно разделяются на четыре основных группы безопасности,которые в свою очередь делятся на классы безопасности. В настоящеевремя сушествуют следующие классы безопасности — в порядке увеличениягарантированности защиты: D, C1, C2, B1, B2, B3, A1. Присвоенный компьютерной системе класс безопасности частоназывают рейтингом безопасности. Продукты, не прошедшие официальной проверки NCSC, не могут бытьиспользованы для обработки закрытой информации в военной сфере илигосударственных учреждениях. Фирмы-разработчики программногообеспечения весьма заинтересованы в получении и повышении полученныхофициальных рейтингов безопасности для своей продукции, посколькуналичие рейтинга безопасности является необходимым условием дляполучения фирмой значительных государственных и военных заказов, атакже является хорошей рекламой для продукции фирмы. Многие исследования в области компьютерной безопасности такжефинансировались военными. Так что, как видите, безопасность собственных компьютерных системвесьма волновала Пентагон задолго до 1988 года. Представьте теперь, что должны были чувствовать уважаемыеамериканские военные, когда обнаружилось, что Milnet практическимгновенно выведена из строя вирусом! Вирус Морриса показал уязвимость сетевых структур, поставил подсомнение надежность средств связи Пентагона и обороны США в целом.Фактически Моррис для DCA был тем же, чем был Руст для советских войскпротивовоздушной обороны. Оказавшись перед фактом, что все многолетние труды по убеждениюналогоплательщиков в надежности военных компьютерных систем пошлинасмарку, Пентагон изо всех сил постарался достойно встретитьнеизбежный шквал негодования. Уже 3 ноября представитель DCA,стремясь успокоить общественное мнение, публично признал фактзаражения сетей министерства вирусом, однако пытался принизитьзначение происшедшего. Он заявил: "Вирус был выявлен в несколькихглавных компьютерах, подключенных к сети Arpanet и к той части Milnet,которая содержит сведения несекретного характера… Хотя некоторыеважные данные министерства обороны в той или иной мере пострадали,файлы, содержащие секретную информацию, связанную с вопросаминациональной безопасности, воздействию вируса не подверглись." стр. 38 Нетрудно догадаться, что число оптимистов, которые верятзаявлениям официальных представителей Пентагона относительнонеуязвимости секретных вычислительных систем этого ведомства,значительно уменьшилось. Да и ряд военных экспертов были менееоптимистичны в оценке неуязвимости военных вычислительных систем. Снова всплыла история о том, как несколько лет назад группаспециалистов решила негласно проверить степень этой "неуязвимости".По образному выражению одного члена этой группы, правительственныесистемы "оказались похожи на швейцарский сыр, через дырки которогопроникнуть внутрь можно без особого труда". Масла в разгоравшийся огонь уничтожающей критики подлилосообщение о том, что заражения компьютерных систем Пентагона вирусомМорриса можно было избежать, если бы в свое время соответствующиеорганы прислушались к предупреждениям специалистов об уязвимости UNIXи рекомендациям использовать вместо нее более защищенную операционнуюсистему VMS. Основным и достаточно сильным доводом в руках Пентагона был факт,что вычислительные системы и сети, в которых проходит или содержитсясекретная информация, являются полностью автономными, т.е. физическине соединены с внешними компьютерными системами. Тут же следовалвывод о том, что вирус Морриса не может поразить основные военныесистемы, поскольку он (вирус) просто не сможет в них попасть! Как говориться, три "ха-ха": а что было бы, если бы Моррис иликто-нибудь еще запустил аналогичный вирус не во "внешней" системе -каковой может считаться Arpanet — а в любой из закрытых "автономных"систем? Чем бы тогда закончилась вся эта история? Неважно, что вирус Морриса не уничтожал данные, а "просто"блокировал сеть. Чтобы представить себе возможные результатыблокировки ВОЕННОЙ компьютерной сети совсем не нужно обладатьчрезвычайно развитой фантазией. Бывший начальник всех информационныхсистем Пентагона С.Уолкер (Stephen Walker) по этому поводу заявил:"Если бы кто-нибудь смог сделать с системой NORAD [G2] то же самое,что сделал Моррис с Arpanet, ушерб был бы огромен." Подумайте сами,что значит, например, вывод из строя военной системы предупреждения онападении даже на несколько минут с учетом, что так называемое "времяподлета" к американскому континенту межконтинентальных ядерных ракетсоставляет около получаса. А ведь вирус Морриса заблокировал Arpanetминимум на сутки! Несмотря на очевидный промах с вирусом Морриса, военныеспециалисты оценивают проблему вирусов весьма дальновидно. Например,один из них заявил: "Возможные негативные последствия наступательногоиспользования вирусов настолько велики, что по разрушительной силе иплощади поражения я сравнил бы их с ядерным или химическим оружием". Что же предпринял Пентагон после столь дорого стоившего емуинцидента? После упоминавшейся ранее встречи, состоявшейся 8 ноября,представитель Пентагона заявил, что "процесс совершенствованияпрограмм идет полным ходом". Было объявлено также о некоторыхдополнительных мерах, которые будут приняты для обеспечениябезопасности военных компьютерных сетей: стр. 39 — еще более ужесточается процедура доступа пользователей к аппаратным и программным средствам; — внедряется новое сложное сетевое программное обеспечение, которое "выявляет и блокирует" все попытки вируса проникнуть в систему; — вводится более жесткий стандарт безопасности для военных компьютеров. В начале 1989 года стало известно, что DARPA планирует начатьразработку новой национальной компьютерной сети Defence ResearchInternet [G3], которая придет на смену сети Arpanet. Сеть DRI создастинформационно-справочную базу для проводимых Управлением исследованийи разработок в области систем связи, контроля и управления, обеспечитдоступ специалистов управления и корпораций-подрядчиков к новомупоколению систем параллельной обработки данных. Кроме того, сетьбудет своего рода полигоном для отработки новых подходов и концепцийразвития сетевых вычислительных структур DoD. В процессе разработкиновой сети будет уделено большое внимание созданию эффективных средствобеспечения безопасности сети и циркулирующих в ней данных, способныхгарантировать надежную защиту от вирусных атак и других нарушенийбезопасности. В настоящее время разрабатываются так называемые "доверительныесистемы" (trusted systems), которые надежно гарантируют, чтопользователь получает доступ только к такой информации, какую емуположено читать, и может совершать с системой такие операции, на какиеон имеет официальное разрешение. Специалисты утверждают, что"доверительные системы" позволяют более грамотно объединять компьютерыв информационные сети без снижения уровня безопасности. Отсутствиетаких систем — главное препятствие к более эффективному использованиюкомпьютеров в закрытых информационных сетях. До окончания ихразработки информационные сети нельзя считать полностью безопасными сточки зрения возможности несанкционированного проникновения. Таким образом, риск утраты секретной информации пока по-прежнемуреален. А теперь немного поясню сделанный мною несколько раньше намек накрайне щекотливое положение, в котором оказался NCSC. Как я уже объяснил, NCSC обязан рождением Пентагону, так что"слава" одного из них косвенно "осеняет" и другого. Но дело обстоитгораздо интереснее: Роберт Таппан Моррис является сыном одного изнаиболее известных правительственных экспертов по компьютернойбезопасности — научного руководителя NCSC! Каково! Эффект будет более поразительным, если учесть, что во времядоклада Конгрессу в 1983 году именно Моррисом-старшим было высказаноутверждение, что возможность обмана технически образованными новичкамиспециалистов по безопасности является "совершенным нонсенсом". Но и это еще не все! Оказывается, баловство с компьютернымивирусами является для Моррисов чуть ли не семейной традицией:______________________________ [G2] NORAD — North American Aerospace Defence Command -Командование аэрокосмической обороны Северной Америки.1 2 3 4 5 6 7 8 9

[G3] Сеть исследований Министерства обороны — DRI. стр. 40Моррис-старший, работая в 60-ых годах Bell Laboratories, принималучастие в создании игры, основанной на компьютерном вирусе. Ядромэтой игры, которая называлась Core Wars, была программа, которая могларазмножаться и пыталась разрушить программы других игроков. [G4] Тем не менее инцидент существенно не отразился на каръереМорриса-старшего. По крайней мере в начале 1989 года он был избран вспециальный консультативный совет при Национальном институтестандартов и технологии (NIST; бывшее Национальное бюро стандартов) икурирующем его министерстве торговли. Этот совет образуется ежегоднов соответствии с положениями Закона о безопасности компьютеров(Computer Security Act of 1987). Задачами этого совета являютсявыработка заключений и рекомендаций по вопросам безопасностивычислительных систем правительственных ведомств США, а также решениепроблем, возникающих в процессе разработки и внедрения новыхстандартов защиты несекретной, но важной информации, хранящейся илициркулирующей в этих системах и т.п. H Что об этом думали. "Значение происшедшего не в конкретных сиюминутных последствиях. Инцидент этот — напоминание о "Челленджере" и Чернобыле. Мы создали такие сложные системы, что порой не можем полностью удержать их под своим контролем." Дж.Уайзенбаум, сотрудник MIT. "Молодому Моррису, на удивление, симпатизируют очень многие — это явно прослеживается по потоку сообщений. Думается, настала пора исключить из компьютерной профессии позицию 'ребенок есть ребенок'. Или, как лучше сказано в Библии, 'Когда я был ребенком, я говорил как ребенок, я думал как ребенок, я рассуждал как ребенок; когда я стал взрослым, я отказался от детских путей." Филипп Гарднер, полковник в отставке. "Мы не в состоянии учиться на______________________________ [G4] Моррис-отец прокомментировал события следующим образом:"Некоторые считают, что суть проблемы состоит в том, что в США вырослоновое поколение хорошо разбирающихся в технике людей, которые прижелании извлечь из компьютерной системы секретные данные в состояниипреодолеть все барьеры, создаваемые специалистами по защите АИСкрупнейших американских корпораций и министерства обороны… Однаковсе не так просто." По мнению Морриса-старшего, именно новый вирус позволил выявитьэти уязвимые места, поэтому его сын якобы сыграл "конструктивную роль"и содействовал совершенствованию методов организации компьютерныхсетей и управления ими. стр. 41 собственных успехах, но зато отлично учимся на собственных промахах." Генри Петровски. Пятница, 11 ноября 1988 года. 09:27 RISKS Обсуждение непригодности UNIX для использования в системах с более-менее серьезными требованиями к безопасности (медицинские, коммерческие и государственные). 19:55 VIR Призыв компьютерных профессионалов наказать злоумышленника за неэтичное поведение. Импульсивный сомнительный комментарий Тэда Коппеля из NightLine, что Роберт Моррис имеет будущее в области компьютерной безопасности. Научная и компьютерная общественность разделилась в оценке виныМорриса. Администраторы систем, проведшие дни в борьбе с вирусом, готовыбыли линчевать Морриса, если бы он попал в их руки. Немудрено:во-первых, обнаружение неизвестного вируса вызвало у многих нешуточныйиспуг за свои системы, а во-вторых, атака стала причиной внеплановойработы многих ученых и исследователей, а также лишила еще болееширокий круг пользователей возможности работать с сетями,объединяющими научные центры страны. Естественно это замедлило ходнаучных и инженерных исследований и разработок. Результатом вирусной атаки можно считать также отмеченное многимиочевидное сокращение обмена информацией между университетами,лабораториями и т.д. посредством компьютерных сетей. Тем не менее многие эксперты по компьютерной безопасностизаявили, что вирус стал важной демонстрацией потенциальной уязвимостикомпьютерных систем и последствия этой атаки являются безусловноположительными в том смысле, что атака вызвала всеобщую тревогупользователей и их заинтересованность в разработке и внедрении средствзащиты от возможных атак такого рода в будущем. На это оппоненты ответили доводом, что усиление средствкомпьютерной безопасности повредит экономике страны. Существует мнение, что данный вирус в действительности являетсяпредставителем полезного вида сетевого программного обеспечения. Этоткласс программ может быть с успехом использован для обеспечения связимежду системами и синхронизации их совместной работы. Эти жепрограммы могут быть использованы и для выявления некорректной работысети, выполнения задач с большим объемом вычислений, распараллеленныхпо нескольким системам так как если бы все эти системы представлялисобой единое целое,, а также в качестве скоростной электронной почты. Инцидент подтвердил высказанную ранее мысль, что, если ЭВМсвязана с "внешним миром", т.е. подключена к сети, то не может быть иречи о гарантированной защите информации. стр. 42 Большинство причисляет Морриса к многочисленному племени хакеров.Этот термин первоначально использовался в отношении компьютернойсубкультуры, однако в настоящее время рассматривается в основном каксиноним компьютерных взломщиков. В более широком — и, думается, болееправильном — понимании, хакером называется человек, овладевшийзначительными вершинами в области компьютерных наук и фанатичнопреданый своему компьютерному призванию. Хакеры получают настоящеенаслаждение от удачно написанной программы (не важно, своей иличужой); коллекционируют всевозможного рода ухищрения и неожиданныерешения в программировании. Именно хакеры обычно первыми осваивают дотонкостей новые программные пакеты и системы, равно как именно хакерыстремятся выжать из новой техники все, на что она способна. Если понимать термин "хакер" в предложенном смысле, то я согласенсчитать Морриса хакером, поскольку он не стремился напакостить, ахотел разобраться с обнаруженными им возможностями. Кстати, профессорКорнеллского университета — специалист в области компьютерной техники- признал, что Моррис вполне усвоил учебную программу и поэтому "можетсчитаться хакером с Гарвардским образованием". Что же касается электронных взломщиков, то они в последнее времясерьезно заинтересовались компьютерными вирусами как одним из наиболееэффективных и безуликих способов внедрения в системы. В рядепубликаций даже появились рекомендации и инструкции, подробнообъясняющие как составить программу-вирус. Как вы уже знаете, АНБ и ФБР пытаются ограничить распространениенебезопасной информации. Однако несмотря на все усилия АНБ и ФБР,копии вируса Морриса стали для хакеров эталонами искусствапрограммирования. Они учатся на ней, пытаются ее усовершенствовать.Предполагается, что остатки вируса Морриса по-прежнему существуют вотдельных узлах сети Internet. Кроме того, считается, что около 1000человек в США владеют исходным кодом вируса Морриса. Так что, есликто-нибудь из обладателей исходного кода держит его не только дляколлекции, мы скоро сможем снова наблюдать нашествие этого вируса, нона этот раз он будет работать лучше, в том смысле, что принесетгораздо больше вреда. В развитие мысли о благотворном влиянии хакерства можно привестисуществующее среди специалистов мнение, что США удерживают мировоелидерство в вычислительной технике и программном обеспечении благодарятаким людям, как Моррис. Пытаются даже обосновать такую зависимость:все успехи США в развитии вычислительной техники связаны содиночками-индивидуалистами. В качестве доказательства приводится факт, что удачные программы,получившие широкое распространение, — Wordstar, Lotus 1-2-3, Visicalc- разработали одиночки или небольшие группы. Полезно вспомнить также,что два друга — бывшие "взломщики" — Возняк и Джобс изобрелиперсональный компьютер, изменивший лицо Америки и всего мира. Зато программы, созданные большими коллективами программистов(Visi-On, Jazz), оказались неудачными и привели к банкротствуфирм-разработчиков. стр. 43 До недавнего времени социологи рассматривали хакеров — восновном, конечно, из ультралевого крыла хакерства — как своего роданеудачников, пытались им помочь, трудоустроить в области информатики,являющейся предметом их интереса. Однако из это затеи ничего невышло. Нелегальное проникновение стало для многих представителейсубкультуры своего рода наркотиком. У некоторых из них удивительныесудьбы. Так, талантливый программист Дж.Дрепер в 70-е годы провел шестьмесяцев в тюрьме за "нелегальное использование телефонной сети".После выхода из заключения он написал программу Easy Writer — весьмапопулярную в США программу обработки текстов, одну из первых, котораябыла использована в персональных компьютерах корпорации IBM. Несмотряна финансовый успех программы, он не так давно был снова осужден засовершение очередного "компьютерного преступления". Что же касается вопроса о вреде, наносимом хакерством, тодумается, что гораздо большую опасность для компьютерного мирапредставляют собой миллионы пользователей-непрофессионалов, получившихв свои руки мощную микро-технику. Именно некомпетентностьюпользователей во многом объясняется столь широкое распространениекомпьютерных вирусов. Ведь вирусы создавались и раньше, но раньше невозникало "компьютерных эпидемий". Например, Чейсик из лаборатории JPL, который теперь тоже боретсяс компьютерными вирусами, еще в 70-ых писал вирусные программы вколледже. По его словам, это был своеобразный тест на зрелость,который должен был пройти каждый программист. В этом не было никакогозлого умысла. Такие программы могли мешать компьютерным пользователямв реализации их замыслов, но ничего на разрушали. Когда Моррис-старший и Чейсик создавали свои вирусные программы,компьютерный мир был сплоченным и высокодисциплинированнымсообществом. В современном мире PC большинство пользователей неявляются компьютерными профессионалами. Это гораздо более хаотичноеобразование, являющееся привлекательной мишенью для создателейвирусов. Еще одной интересной теорией является мысль, что современная (исамая совершенная) технология развития аппаратных и программныхсредств такова: хакеры отыскивают уязвимые места систем и сетей -затем специалисты заделывают эти дыры. Примером такой "технологии"опять же является дело Морриса. В силу всего сказанного не покажется крамольной мысль,высказанная Джозефом Хайландом, что компьютерные хакеры являютсядостоянием нации и национальной головной болью. Как ожидается, одним из наиболее важных последствий инцидента свирусом Морриса будет резкое изменение отношения к проблемекомпьютерной безопасности. Ряд экспертов, например, изконсультативной фирмы Ernst & Whinney, настаивали на пересмотре всегоиспользуемого в стране программного обеспечения. Другие отвергают этуидею, полагая, что она обойдется слишком дорого, займет много времении ограничит право законных пользователей на совершенствование,исправление и адаптацию программного обеспечения, негативно повлияетна формирование "информационного общества". стр. 44 Наиболее осторожные эксперты считают, что решение этой проблемыдолжно осуществляться на основе анализа соотношения"стоимость/эффективность", поскольку существует определенный предел,за которым дальнейшее повышение уровня безопасности оказывается нетолько неэкономичным, но и неэффективным. По образному выражениюодного из них, "мы можем уподобиться жильцу, который, постоянносовершенствуя и усложняя систему защиты своего жилища, в итоге несможет в него попасть." стр. 45 Итак, почему же я предлагаю запомнить 2 ноября 1988 года. Прежде всего потому, что начавшийся в этот день инцидент связан скомпьютерным вирусом, считающимся в настоящее время наиболее опасным. Следующим, весьма спорным, моим утверждением будет то, что вирусМорриса стал концом целого периода в существовании такого явления каккомпьютерные вирусы. Компьютерные вирусы становятся все изощреннее изащищаться от них — как и бороться с ними — становится все сложнее. Сдругой стороны, появляется все более мощные средства защиты откомпьютерных вирусов. Все это позволяет предполагать, что в будущемвирусы будут создаваться хорошо подготовленными специалистами, ипреследоваться при этом будут вполне определенные цели. Как сказалСтивен Росс, старший администратор фирмы бухгалтерских услуг иконсультаций Delloitte, Haskins & Sells: "Эпоха вирусов-шутих, неимеющих каких-либо определенных задач или целей, кончается, перед нами- эпоха ориентированных вирусов." Инцидент с вирусом Морриса затронул также столь многие проблемы,связанные с компьютерами, что на примере этого дела стоит внимательнои долго учиться, чтобы избежать повторения выявленных инцидентомнедостатков в родных пределах. Что касается самого Морриса-младшего, то окончательно он былприговорен к трем месяцам тюрьмы и денежному штрафу в 270 тысячдолларов, а вдобавок был исключен из Корнеллского университета. Думается однако, что не стоит слишком сильно печалиться о егодальнейшей судьбе: уже в январе 1989 года президент Alliant ComputerSystems Corp. Рон Грюнер (Ron Gruner) в ответ на вопрос журналаComputerworld по поводу намерений компании нанять на работуР.Т.Морриса, ответил: "Некоторые очень известные в (компьютерной)промышленности люди начинали с хакерских проделок в самых изощренныхформах."Приложение A стр. 46______________________________________________________________________ Пароли, опробованные вирусом Морриса. aaa academia aerobics airplane albany albert alex alexander algebra aliases alphabet ama amorphous analog anchor andromache animals answer anthropogenic anvils anything aria ariadne arrow arthur athena atmosphere azure bacchus bailey banana bananas bandit banks barber baritone bass bassoon batman beater beauty beethoven beloved benz beowolf berkeley berliner beryl beverly bicameral bob brenda brian bridget broadway bumbling burgess cager campanile cantor cardinal carmen caroline castle cascades cat cayuga celtics cerulean change charming charles charon chester cigar classis coffee computer condo cookie cornelius couscous creation creosote cretin daemon dancer daniel danny dave december defoe deluge desperate develop dieter digital discovery disney dog drought duncan eager easier edges edinburgh edges edwin edwina egghead eiderdown eileen einstein elephant elizabeth ellen emerald engine engineer enterprise enzyme ersatz establish estate euclid evelyn extension fairway felicia fender fermat fidelity finite fishers flakes float flower flowers foolproof football foresight format forsythe fourier fred friend frighten fun fungible gabriel gardner garfield gauss george gertrude ginger glacier gnu golfer gouge graham guest guitar guntis hacker hamlet handily happening harmony harold harvey hebrides heinlein hello help herbert hiawatha hibernia honey horse horus hutchins imbroglio imperial include ingres inna innocuous irishman isis japan jessica jester jixian johnny joseph joshua judith juggle julia kathleen kermit kernel kirkland knight ladle lambda lamination larkin larry lazarus lebesque lee leland leroy lewis light lisa louis lynne macintosh mack maggot magic malcolm mark markus marty marvin marty master maurice mellon merlin mets michael michelle mike minimum minsky moguls moose morley mozart napoleon ness network newton next noxious nutrition nyquist oceanography ocelotПриложение A стр.1 2 3 4 5 6 7 8 9

47 olivetti olivia oracle orca orwell osiris outlaw oxford pacific painless pakistan pam papers password patricia peoria penguin percolate persimmon persona pete peter philip phoenix pierre pizza plover plymouth polynomial pondering pork poster praise precious prelude prince princeton protect protozoa pumpkin puneet puppet rabbit rachmaninoff rainbow raindrop raleigh random rascal really rebecca remote rick ripple robotics rochester rolex romano ronald rosebud rosemary roses ruben rules ruth sal saxon scamper scheme scott scotty secret sharks shuttle signature simon simple singer single smile smiles smooch smother snatch snoopy soap socrates sossina sparrows spit spring springer squires strangle statford stuttgart subway success summer super superstage support supported surfer suzanne swearer symmetry tangerine tape target tarragon taylor telephone temptation thailand tiger toggle tomato topography tortoise toyota trails trombone trivial tubas tuttle umesh unhappy unicorn unknown urchin utility vasant vertigo vicky village virginia warren water weenie whatnot whiting whitney will william williamsburg willie winston wisconsin wizard wombat yellowstone yosemite zap______________________________________________________________________ ТОВАРИЩ! При выборе своего пароля избегай использования имен жены илилюбовницы и вообще человеческих имен, не используй названия городов,стран и вообще всех названий! Для тех, кто не в состоянии придуматьсам какую-нибудь абракадабру, советую при выборе пароля хотя бысверяться с приведенным списком, чтобы не соответствоватьвосемнадцатому слову первого столбца таблицы.Приложение B стр. 48______________________________________________________________________ Рекомендации совещания, состоявшегося 8 ноября 1988 годаI. Образовать единый координационный центр на случай подобных атак. Центр должен работать совместно с NIST и NSA, выполняя функцииобобщения данных и определения ущерба.II. Образовать сеть аварийного оповещения. Такой аварийной сетью связи может служить совокупностьспециальных телефонных линий, которая сможет заменить компьютернуюсеть в случае выхода последней из строя по каким-либо причинам.III. Создать группу ответа. Члены группы должны иметь целью быстрое дезассемблированиевируса, создание антивируса и выработку плана восстановления сети.IV. Образовать физическую связь с "сетью стариков" — признанных авторитетов в области информатики ивычислительной техники. Это является косвенным признанием того, что вирус Морриса былдезассемблирован и уничтожен не правительственными чиновниками, аспециалистами-компьютерщиками.V. Централизованно управлять предоставлением информации прессе. Связь с прессой — единственная обязанность правительственныхорганов национального уровня.VI. Определить стандартную процедуру реакции на "промышленныепромахи." Данная атака выявила целый ряд ошибок в системном программномобеспечении, однако на данный момент не существует общепризнанногометода доказательства "промышленного" характера этих ошибок.VII. Определить центральное место размещения сообщений о вирусныхатаках. Эти функции может выполнять EBB Dockmaster правительственнойкомпьютерной сети.VIII. Подключать следственные органы уже на этапе планирования ипроведения мероприятий борьбы с вирусной атакой. Это позволит следственным органам своевременно фиксироватьинформацию, которые впоследствии будут служить основой длярасследования и формулировки обвинений.IX. Постоянно тренировать операторов систем. Вирусная атака показала, что многие операторы не имеютдостаточных технических знаний и практических навыков даже дляпонимания, что их система атакована; они также с трудом обращаются сантивирусными средствами.Приложение B стр. 49X. Установить стандартную методологию backup-копирования. Существующая система "зеркального" копирования потерпела крах прииспытании вирусной атакой, поэтому должны быть разработаны новыестандарты и критерии копирования, информация о которых должнараспространяться NIST и NCSC.XI. Развивать набор общих антивирусных средств, включая средствадезассемблирования и анализа. Этот набор общих средств необходимо постоянно пополнять иподдерживать в работоспособном состоянии, а также необходимообеспечить надежный и быстрый доступ к этому набору членов группыответа.______________________________________________________________________Приложение C стр. 50______________________________________________________________________ Сколько стоил вирус Морриса. Internet: 1200 сетей, охватывающих около 85200 узловых компьютеров Инфицировано: 6200 машин (7,3% компьютеров сети).====================================================================== КОСВЕННЫЕ ПОТЕРИ Потери машинного Потеря доступа времени——————————————————————Машины часамине имели доступак сети 2.076.880——————Пользователичасами не имелидоступа к сети 8.307.520——————Накладные расходыза час $20 $3——————————————————————СТОИМОСТЬ $41.537.600 $24.922.560—————————————————————— ПРЯМЫЕ ПОТЕРИ Время работы Время работы программистов администраторов——————————————————————Остановка, тестированиеи перезагрузка 42.700 машин 64.050 часов 1.000 часов—————————-Начальный анализ проблемына 12.400 машинах 49.600 часов 11.000 часов—————————-Идентификация, изоляция,удаление, чистка,восстановлениеработоспособности(6200 машин) 74.400 часов 2.000 часов—————————-Реинфекция,удаление из сети,остановка, анализ,тестирование 62.000 часов 12.000 часов—————————-Создание заплат, отладка,установка, тестирование,контроль и сопровождение 62.000 часов 18.000 часов—————————-Анализ вируса,Приложение C стр. 51дезассемблирование,документирование(в каждой из 1200 сетей) 192.000 часов 22.000 часов—————————-Исправление всех системUNIX, тестирование,контроль 105.000 часов 6.000 часов—————————-Другие проверки,технические совещания,другие связанные синцидентом события 187.000 часов 264.000 часов——————————————————————ОБЩЕЕ ЧИСЛО ЧАСОВ 796.050 часов 336.000 часовСредняя стоимость часа $22 $42,50——————————————————————ПРЯМЫЕ ЗАТРАТЫ $17.513.100 $14.280.000==================================================================********************************************************************** ОБЩИЕ ЗАТРАТЫ: $98.253.260********************************************************************** По самым скромным оценкам инцидент с вирусом Морриса стоил свыше8 миллионов часов потери доступа и свыше миллиона часов прямых потерьна восстановление работоспособности систем. Общая стоимость этихзатрат оценивается в $98 миллионов. Ущерб был бы гораздо больше, еслибы вирус изначально создавался с разрушительными целями. Столь необычно большая сумма ущерба объясняется гигантскимимасштабами пораженных сетей (в основном — Internet) и значительнымколичеством пораженных систем. Internet объединяет 1200 отдельныхсетей, состоящих в целом из 85000 узловых компьютеров. Вирус поразилсвыше 6200 компьютеров. В результате вирусной атаки большинство сетейвышло из строя на срок до пяти суток. Пользователи, чья деятельностьзависит от доступа к сети, оказались полностью изолированы, т.е.продуктивность их работы резко снизилась. Компьютеры, выполнявшиекоммутационные функции, работавшие в качестве файл-серверов иливыполнявшие другие функции обеспечения работы сети, также вышли изстроя. Потеря доступа и вынужденный простой машин являются косвеннымипотерями, связанными с инцидентом, и оцениваются в сумму примерно $65миллионов. Прямой ущерб состоит прежде всего в затратах времени специалистовна определение пораженных систем, дезинфицирование этих систем ивосстановление их нормальной работоспособности. В первые часы атакимало кто знал алгоритм работы вируса, поэтому большинству систем былавозвращена работоспособность только после дезинфекции. Процессдезинфекции потребовал десятки тысяч человеко-часов. После дезассемблирования вируса сотни программистов по всейстране занялись разработкой ловушек для вируса и созданием "заплат" наместе обнаруженных вирусом "дыр" в подсистеме безопасности своихсистем. Эти затраты также оцениваются в десятки тысяч человеко-часоврабочего времени. Указанные и другие виды деятельности, так или иначесвязанной с вирусом и продолжавшейся иногда на протяжении недель,оцениваются в 796.000 человеко-часов, что, при принятой в США среднейПриложение C стр. 52стоимости часа работы программиста в $22, составляет свыше $17миллионов. Время, затраченное администраторами и операторами, несколькоменее времени, затраченному программистами и составляет свыше 300.000часов. При средней стоимости часа работы персонала этого уровня в$42, общая стоимость потерь составляет свыше $15 миллионов.1 2 3 4 5 6 7 8 9