Ameryka była w szoku, gdy 2 listopada 1988 r. prawie wszystkie komputery, które miały dostęp do Internetu (w Ameryce), około ósmej rano, jak to mówią, „zamarły”. Początkowo przypisywano to awariom w systemie elektroenergetycznym. Ale potem, gdy wybuchła epidemia wywołana przez „robaka Morrisa”, stało się jasne, że terminale zostały zaatakowane przez nieznany wówczas program, który zawierał kod, którego nie można było odszyfrować dostępnymi środkami. Nie zaskakujący! W tym czasie komputery podłączone do Internetu liczyły tylko dziesiątki tysięcy (około 65 000 terminali) i były w większości reprezentowane w kręgach rządowych lub samorządowych.

Wirus robaka Morris: co to jest?

Sam typ był pierwszym w swoim rodzaju. To on stał się przodkiem wszystkich innych programów tego typu, które dziś dość mocno różnią się od protoplastów.

Robert Morris stworzył swojego „robaka”, nie zdając sobie nawet sprawy, jak bardzo się stanie i jak wiele szkód może wyrządzić gospodarce. Ogólnie uważa się, że było to, jak mówią teraz, zainteresowanie czysto sportowe. Ale w rzeczywistości wprowadzenie do ówczesnego sieć globalna APRANET, z którym notabene były związane zarówno organizacje rządowe, jak i wojskowe, wywołał taki szok, z którego Ameryka długo nie mogła się podnieść. Według wstępnych szacunków wirus komputerowy Morris Worm spowodował szkody rzędu 96,5 mln USD (i jest to tylko kwota znana z oficjalnych źródeł). Powyższa kwota jest oficjalna. A to, co nie jest brane pod uwagę, prawdopodobnie nie podlega ujawnieniu.

Twórca wirusa komputerowego „Morris Worm” Robert Morris: kilka faktów z biografii

Natychmiast pojawia się pytanie, kim był ten genialny programista, któremu udało się na kilka dni sparaliżować system komputerowy kontynentu północnoamerykańskiego.

Ten sam szanowany zasób „Wikipedia” wskazuje, że kiedyś Robert był absolwentem Uniwersytetu Cornell R.T. Morris (przypadek czy zbieg okoliczności?), na Wydziale Inżynierii Komputerowej.

Historia powstania i pojawienia się wirusa

Uważa się, że początkowo wirus nie zawierał żadnego zagrożenia. Fred Cohen zbadał robaka Morris w oparciu o swoje odkrycia dotyczące złośliwych kodów i znalazł w nim interesującą funkcję. Okazało się, że to wcale nie jest złośliwy program.

Robak Morris (choć dziś powszechnie uważany za wirusa na sugestię Pentagonu) został pierwotnie stworzony jako narzędzie do testowania podatności systemów opartych na „intranecie” (nic dziwnego, że pierwsi ucierpieli użytkownicy APRANETu). ).

Jak wirus wpływa na system komputerowy?

Sam Robert Morris (twórca wirusa) w każdy możliwy sposób zaprzecza konsekwencjom, jakie jego „pomysł” wyrządził w Stanach Zjednoczonych, argumentując, że błąd w kodzie samego programu sprowokował rozprzestrzenienie się w sieci. Biorąc pod uwagę, że zdobył wykształcenie na uniwersytecie, zwłaszcza na Wydziale Informatyki, trudno się z tym zgodzić.

Tak zwany „Morris Worm” początkowo był skoncentrowany na przechwytywaniu komunikacji między dużymi organizacjami (w tym rządowymi i wojskowymi). Istotą wpływu było zastąpienie tekstu źródłowego listu wysyłanego wówczas w sieci APRANET, usunięciem nagłówków i zakończeń w trybie debugowania Sendmaila lub w przypadku przepełnienia bufora usługi network fingerd. Pierwsza część nowego listu zawierała kod skompilowany na zdalnym terminalu, a trzecia część składała się z tego samego kodu binarnego, ale przystosowanego do różnych systemów komputerowych.

Dodatkowo wykorzystano specjalistyczne narzędzie, które umożliwiło wybór loginów i haseł za pomocą zdalny dostęp do wykonywania programów (rexec), a także do wywoływania zdalnego interpretera (rsh), który na poziomie poleceń wykorzystywał tzw. „mechanizm zaufania” (obecnie bardziej związany z certyfikatami).

Prędkość propagacji

Jak się okazuje, twórca wirusa wcale nie był głupią osobą. Od razu zdał sobie sprawę, że im dłuższy kod, tym dłużej wirusowi infiltruje system. Dlatego dobrze znany "Morris Worm" zawiera minimalną kombinację binarną (ale skompilowaną).

W związku z tym nastąpił ten sam boom, o którym obecnie z jakiegoś powodu zwyczajowo milczy się na poziomie państwowych służb wywiadowczych, choć groźba samokopiowania rozprzestrzeniła się niemal wykładniczo (każda kopia wirusa była w stanie stworzyć dwie lub więcej własnych analogów).

Szkoda

Nikt jednak nie zastanawia się, jakie szkody można wyrządzić temu samemu systemowi bezpieczeństwa. Tutaj problemem jest raczej to, czym jest sam wirus komputerowy Morris Worm. Faktem jest, że początkowo podczas penetracji terminala użytkownika wirus musiał ustalić, czy jego kopia jest zawarta w systemie. Jeśli taki był, wirus zostawił maszynę w spokoju. W przeciwnym razie został wprowadzony do systemu i stworzył własnego klona na wszystkich poziomach użytkowania i zarządzania. Dotyczyło to całego systemu operacyjnego jako całości i zainstalowanych programów użytkownika oraz aplikacji lub apletów.

Oficjalna liczba podana przez Departament Stanów Zjednoczonych (około 96-98 milionów dolarów odszkodowania) jest wyraźnie zaniżona. Jeśli spojrzeć tylko na pierwsze trzy dni, było to już około 94,6 miliona). W kolejnych dniach kwota nie wzrosła tak bardzo, ale ucierpieli zwykli użytkownicy (oficjalna prasa i Departament USA milczą na ten temat). Oczywiście w tym czasie liczba komputerów podłączonych do globalnej sieci wynosiła w samych Stanach Zjednoczonych około 65 tysięcy, ale dotyczyło to prawie co czwartego terminala.

Konsekwencje

Łatwo się domyślić, że istotą oddziaływania jest całkowite pozbawienie systemu wydajności na poziomie zużycia zasobów. W większości dotyczy to połączeń sieciowych.

Wirus jest w prosty przypadek tworzy swoje kopie i inicjuje uruchamianie procesów podszywających się pod usługi systemowe(teraz nawet uruchomiony jako administrator na liście procesów „Menedżera zadań”). I nie zawsze można usunąć zagrożenia z tej listy. Dlatego pod koniec procesów związanych z systemem i użytkownikiem trzeba działać bardzo ostrożnie.

A co z Morrisem?

"Morris Worm" i jego twórca dalej ten moment czuję się całkiem dobrze. Sam wirus został skutecznie wyizolowany dzięki wysiłkom tego samego laboratoria antywirusowe ponieważ oni mają źródło, na którym napisany jest aplet.

Morris w 2008 roku ogłosił wydanie języka Arc opartego na Lips, aw 2010 roku został nominowanym i zdobywcą nagrody Weisera.

Nawiasem mówiąc, kolejnym ciekawym faktem jest to, że prokurator Mark Rush przyznał, że wirus wyłączył wiele komputerów przez przymusowe zakończenie działa, ale nadal nie uszkadzał celowo danych użytkowników na żadnym poziomie, ponieważ początkowo nie był to program destrukcyjny, ale próba sprawdzenia możliwości ingerencji w wewnętrzną strukturę istniejących systemów. W porównaniu z tym, że początkowo napastnikowi (który dobrowolnie poddał się władzom) groziła kara pozbawienia wolności do pięciu lat i grzywna w wysokości 250 000 USD, uciekł z trzyletnim okresem próbnym, grzywną w wysokości 10 000 USD i 400 godzinami prac społecznych. Jak wielu prawników tamtych czasów (tak przy okazji i obecnych) uważało, że jest to nonsens.

Wiele sum

Oczywiście dzisiaj trzeba uważać na takie zagrożenie, które we wczesnych stadiach jego narodzin technologia komputerowa wyobrażałem sobie, że "Wirus Morrisa" oczywiście nie jest tego wart.

Ale oto, co jest interesujące. Uważa się, że na systemy operacyjne Windows wpływają głównie złośliwe kody. A potem nagle okazuje się, że ciało wirusa zostało pierwotnie opracowane dla systemów UNIX. Co to znaczy? Tak, tylko że nadszedł czas, aby właściciele Linuksa i Mac OS, które są zasadniczo oparte na platformie UNIX, przygotowali środki ochrony (choć uważa się, że wirusy w ogóle nie wpływają na te systemy operacyjne, w tym sensie, że nie zostały napisane). W tym miejscu wielu użytkowników „maków” i „Linuksoidów” głęboko się myli.

Jak się okazuje, nawet platformy mobilne pod Kontrola iOS niektóre zagrożenia (m.in. „Morris Worm”) zaczęły wykazywać swoją aktywność. Najpierw reklama, potem - niepotrzebne oprogramowanie, potem... - awaria systemu. Tutaj mimowolnie pomyślisz. Ale u źródeł tego wszystkiego był jakiś doktorant, który popełnił błąd we własnym programie testowym, co doprowadziło do pojawienia się tego, co obecnie powszechnie nazywa się robakami komputerowymi. A oni, jak wiecie, mają nieco inne zasady wpływania na systemy.

W pewnym sensie takie wirusy stają się szpiegami (spyware), które nie tylko ładują system, ale także, poza wszystkim innym, kradną hasła dostępu do stron, loginy, kody PIN do kart kredytowych lub debetowych i Bóg wie co jeszcze. zwykły użytkownik może rozmawiać o. nawet nie zgadywać. Ogólnie rzecz biorąc, wpływ tego wirusa i innych mu podobnych na tym etapie rozwoju technologii komputerowej jest obarczony dość poważnymi konsekwencjami, pomimo nawet najnowocześniejszych metod ochrony. I to w odniesieniu do robaków komputerowych należy zachować jak największą czujność.

Oto taka zabawna i niezwykła historia, która na długo nie zostanie zapomniana. Życzymy ciekawego i bezpiecznego czasu w sieci - bez kradzieży danych, przeciążenia systemu i wszelkich szpiegów, takich jak "robak Morrisa"!

21 lat temu miało miejsce wydarzenie, które na zawsze zapisało się w historii Internetu.

2 listopada 1988 roku 99 linii kodu spowodowało dwudniowy paraliż szokowy, gdy był jeszcze młody i niedoświadczony w kwestiach bezpieczeństwa w Internecie.

Około 6000 maszyn VAX z systemami operacyjnymi SUN i BSD UNIX zostało zainfekowanych niespotykaną wcześniej infekcją. Wielu administratorów zostało zmuszonych do wyłączenia swoich wardów, aby jakoś powstrzymać przeciążenie komputerów i rozprzestrzenianie się infekcji.
To był Morris Worm, lub po prostu u zwykłych ludzi Wielki robak. Ze względu na niszczycielski wpływ, jaki wywarł na Internet, zarówno pod względem ogólnego przestoju systemu, jak i psychologicznego wpływu na postrzeganie bezpieczeństwa i niezawodności w Internecie (podobnie jak w przypadku wielkich robaków Tolkiena). Niespodziewany atak i niektóre mechanizmy wbudowane w robaka doprowadziły wielu ówczesnych administratorów do granicznych stanów emocjonalnych. Odpowiedź wahała się od „wyłącz wszystko!” do paniki „jesteśmy atakowani!”

Twórca i inicjator robaka, w tym czasie student Uniwersytetu Cornell, Robert Morris Jr. Centrum Bezpieczeństwa)) uruchomił swojego potwora z komputera MIT (prep.ai.mit.edu to maszyna o otwartym dostępie), aby nie zwracać uwagi na swoją uczelnię. Dlaczego to zrobił, na zawsze pozostanie tajemnicą. Według jego własnych wypowiedzi był to tylko eksperyment, który wymknął się spod kontroli. Jednak ściśle rzecz biorąc, Robak nie wyrządził żadnych bezpośrednich szkód.

Mała lista zaatakowanych komputerów

MIT, University of Minnesota, North Carolina, University of Pittsburgh, RAND Corporation machines, Stanford, Berkeley, Carnegie Mellon University, University of Maryland, University of Pennsylvania, ponownie MIT, Ballistics Research Lab machines, Colorado State University i Purdue University i wiele innych .

Wektory ataku robaków

Do rozprzestrzeniania się robak wykorzystywał kilka różnych sposobów, które sprowadzały się do wykorzystywania luk w zabezpieczeniach oraz najprostszego wyboru haseł dostępu.

Robak składał się z dwóch części: programu ładującego (99 linii w języku C) oraz jądra składającego się z dwóch modułów binarnych - kodu skompilowanego dla BSD i tego samego kodu tylko dla architektury Sun. Nazwy wszystkich wewnętrznych procedur miały znaczące nazwy (na przykład doit lub cracksome), co znacznie ułatwiło deasemblację binariów w przyszłości.

Robak wstrzyknął swoją kopię na zdalne komputery i uruchomił ją. Każdy zainfekowany komputer próbował zainfekować wszystkie inne powiązane z nim maszyny. Robak został zaostrzony do użytku w systemach BSD UNIX i SUN-3. Po odkryciu, że takie maszyny były podłączone do zainfekowanego, robak kopiował na zdalny komputer, tam się uruchamiał, próbując uzyskać maksymalny dostęp do informacji (używając go tylko do dalszego hakowania) i infekując sąsiednie maszyny. jak lawina rozprzestrzeniająca się niezabezpieczona sieć robak rozmnażał swoje kopie w pełnej zgodności z teorią mechanizmów samoreprodukujących się, której podwaliny położył John von Neumann.

Początkowo nikt nic nie rozumiał, ale po kilku godzinach najbardziej zaawansowani admini zaczęli działać najlepiej, jak potrafili, ktoś odłączył ich wardy od sieci i próbował je zrestartować w nadziei na usunięcie przeciążenia (co było całkowicie w na próżno, ponieważ po ponownym uruchomieniu systemu robak utworzył kilka dodatkowych kopii samego siebie i obciążenie systemu tylko wzrosło), ktoś wpadł w panikę, wysyłając wiadomości na listy dyskusyjne – „Jesteśmy atakowani!” (co również poszło na marne, ponieważ listy nie działały od kilku godzin z powodu działania robaka), a ktoś szukał przyczyn natychmiastowego rozprzestrzeniania się robaka.

W Berkeley wieczorem tego samego dnia dowiadują się, że atak jest przeprowadzany przez rsh i sendmail. W ramach środków ostrożności usługi sieciowe są blokowane.

Po chwili, zdając sobie sprawę ze skali problemu, Morris informuje swoich przyjaciół o eksperymencie, który wymknął się spod kontroli. Jakiś czas później na liście dyskusyjnej TCP-IP pojawił się anonimowy wpis, w którym krótko opisano, jak powstrzymać robaka. Autor postu (Andy Sudduth) wysłał tę wiadomość po rozmowie telefonicznej z Morrisem, ale z powodu przeciążenia sieci i komputera list nie został wysłany przez około jeden dzień.

Wkrótce, niezależnie od siebie, różne osoby zaczęły odkrywać wektory ataku robaka.

Demon sendmaila został wypatroszony jako pierwszy. Keith Bostick wysyła ostrzeżenia o robakach i łatki sendmail na listę dyskusyjną TCP-IP, grupę dyskusyjną 4bsd-ucb-fixes i kilku administratorów systemu.

Robak wykorzystywał funkcję "debugowania" demona sendmail, która ustawiała tryb debugowania na obecna sesja znajomości. Dodatkowa funkcja tryb debugowania polega na wysyłaniu komunikatów dostarczonych z programem odbiorczym, który działa na zdalnym komputerze i odbiera komunikat. Ta funkcja, nie zapewniana przez protokół SMTP, została wykorzystana przez programistów do debugowania programu i wersja robocza pozostawione przez pomyłkę.

Za pośrednictwem sendmaila robak zainfekował dwa typy komputerów - VAX i Sun, więc wysyłane były kody binarne dla każdej architektury, oba zostały uruchomione, ale tylko jeden mógł zostać uruchomiony. W komputerach o innych architekturach programy nie mogły działać, chociaż zostały wchłonięte zasoby systemowe w momencie kompilacji.

Kilka godzin później okazało się, że łatki sendmaila nie pomogły, komputery zostały zainfekowane w inny sposób. Ze względu na działanie robaka MILNET i ARPANET są rozłączone.

Po kilku kolejnych godzinach różni ludzie w różnych laboratoriach niezależnie odkryli lukę w zabezpieczeniach i przygotowali łatki dla demona fingerd.

Fragment kodu z palca:

{
włochaty:
...
pobiera(buf);
}

Istnieje klasyczna sytuacja przepełnienia bufora (wtedy najwyraźniej nie była to jeszcze klasyka). Robak przekazał specjalnie przygotowany ciąg 536 bajtów, który ostatecznie wywołał funkcję execve („/bin/sh”, 0, 0). Tylko maszyny VAX z system operacyjny 4.3 BSD, takie ataki nie powiodły się na maszynach Sun.

Ale to nie wszystko. W nix, zarówno wtedy, jak i teraz, istnieje zestaw usług do zdalnego wykonywania programów, dziś do takich celów służy ssh, a jego miejsce zajęły tak zwane r-programy. Najbardziej wrażliwym punktem w nich była idea „zaufania” – użytkownicy komputerów znajdujący się na liście „zaufanych węzłów” mieli prawo uruchamiać swoje programy na „ufającej” maszynie bez dodatkowej weryfikacji. Ponadto relacja zaufania była często wzajemna. Robak próbował użyć zdalnego programu uruchamiającego interpreter rsh, aby zaatakować inne komputery przy użyciu bieżącej nazwy użytkownika i hasła lub w ogóle nie uwierzytelniać, jeśli atakowana maszyna „ufała” tej maszynie.

Tak więc robak przeniknął do zainfekowanych maszyn, wykorzystując dziurę w sendmailu, dziurę w fingerd lub „trust” i rsh. Podczas infiltracji zaatakowanego komputera został wyrzucony bootloader, polecenie skompilowania i wykonania bootloadera oraz usunięcie wszystkich plików tymczasowych. Następnie program ładujący ściągnął wszystkie trzy pliki i próbował uruchomić najpierw jeden, a potem drugie ciało. Jeśli żaden z tych dwóch ciał się nie uruchomił, bootloader po prostu usunął zarówno je, jak i siebie, i przestał działać.

Po uruchomieniu robak ukrywał się w każdy możliwy sposób - wykasował swój plik wykonywalny, zaszyfrował oba ciała, wczytał je do pamięci, a także wymazał z dysku i, w miarę możliwości, zmodyfikował informacje o sobie w tabeli procesów .

Następnie zebrano informacje o interfejsach sieciowych zainfekowanego komputera oraz o komputerach sąsiednich, a niektórzy z sąsiadów zostali poddani próbom infekcji. Ci, którym udało się zarazić, zostali oznaczeni jako zarażeni; te, które nie mogły zostać zarażone - jako „odporne”. Chociaż eksperci są skłonni dostrzec tutaj błąd w kodzie robaka, ponieważ sekcja kodu odpowiedzialna za zapobieganie ponownej infekcji maszyn zawierała wiele błędów.

Miało to kluczowe znaczenie dla żywotności robaka: wiele maszyn zostało ponownie zainfekowanych, obciążenie systemów i sieci wzrosło i stało się bardzo zauważalne, co często prowadziło do odmowy usługi, w wyniku której wykryto samego robaka i zneutralizowane znacznie szybciej, niż gdyby nie było ponownej infekcji, chociaż wielokrotnie zainfekowane maszyny rozprzestrzeniały robaka szybciej, prawdopodobnie proporcjonalnie do liczby kopii robaka na maszynie, co wpłynęło na błyskawiczną prędkość dystrybucji i odmowy usługa doprowadziła do paniki i awarii niektórych kluczowych węzłów, w wyniku czego sieć na chwilę rozpadła się na podsieci.

Dobór haseł został przeprowadzony dość prosto, ale jednocześnie efektywny sposób: użyto czterech odmian motywu logowania użytkownika, a także listy około 200-400 słów. Według niektórych informacji pojedyncze komputery ponad połowa haseł została złamana w ten sposób.

Do wieczora 5 listopada większość zainfekowanych węzłów została wyleczona, nałożono łatki, a w Berkeley specjaliści z mocą i głównymi dokonali sekcji martwej zwłok robaka.

Zanim FBI zorientowało się, kto jest odpowiedzialny za to, co się stało, Morris był już na dobrej drodze do poddania się.

Zaznacz w historii

Dla społeczności komputerowej był to szok. Zmieniono podstawy bezpieczeństwa komputerowego. Szkody wyrządzone przez Morris Worm oszacowano na około 100 milionów dolarów (do takich szacunków należy podchodzić bardzo, bardzo ostrożnie, bo nie wiadomo, jakie metody ich oceny, jakie parametry są brane pod uwagę, a które nie).

Według niektórych raportów Robak jest jedynym w historii program komputerowy, który wypychał na pierwsze strony materiały o wyborach prezydenckich w USA. Wiele instytucji i organizacji zostało odłączonych od Internetu na kilka tygodni, a nawet miesięcy. Administratorzy, nie zdając sobie sprawy z rzeczywistego rozmiaru niebezpieczeństwa, postanowili zachować ostrożność.

Najbardziej rozsądnym sposobem przeciwdziałania hakowaniu wywołanemu przez Robaka była formacja

podsumowanie pozostałych prezentacji

„Złośliwe oprogramowanie i programy antywirusowe” — oznaki infekcji komputerowej. Co zrobić, jeśli komputer wykazuje oznaki infekcji. Wirusy komputerowe. trojany. Programy antywirusowe. Cel lekcji. Wirusy plików. Ochrona przed wirusami komputerowymi. Rodzaje złośliwego oprogramowania. Złośliwe oprogramowanie i programy antywirusowe. Złośliwe oprogramowanie to oprogramowanie, które uszkadza dane. wirusy rozruchowe. Klasyfikacja wirusów. Pierwsze złośliwe oprogramowanie i programy antywirusowe.

"Antivirus" - Doctor web eset NOD 32 kaspersky antivirus (dawny zestaw narzędzi antywirusowych pro) sieć zrzesza mcafee virusscan symantec norton antivirus trend micro pc-cillin. Aladdin Knowledge Systems eSafe Command AntiVirus Computer Associates InoculatelT Doctor Web Eset NOD 32 F-Secure Kaspersky Anti-Virus Antivirus Network Associates McAfee VirusScan Norman Virus Control Panda Antivirus Platinum Symantec Norton AntiVirus.

"Ochrona antywirusowa" - Bezpieczna przeglądarka. Co należy zrobić, aby chronić. Blokery rozruchu. Uruchom blokery dla klientów IM. Zasady. Co potrafią wirusy? Nieuczciwe antywirusy. Transfer multimediów. Wzbogacenie. Blokery Windows. Rachunek. Ochrona pamięci flash. Ustawienie hasła. Przekierowania. Ostrzeżenie. Główne metody ochrony. Sytuacja jest standardowa. Rodzaj rachunek„wstęp zastrzeżony”. Wprowadź nazwę konta (literami łacińskimi).

„Wirusy i ochrona antywirusowa” - Oznaki pojawienia się wirusów. Jak właściwie leczyć. Co to jest wirus komputerowy. Wirus. Pochodzenie wirusów komputerowych. Sposoby przenikania wirusów do komputera. Wirus komputerowy. Antywirusy. Metody ochrony przed wirusami komputerowymi. Działania w przypadku infekcji wirusowej.

„Walka z wirusami komputerowymi” - Podstawy antywirusowe. Wirusy makro. Programy antywirusowe. Wyłudzanie informacji. Lekarze i szczepionki. Spam. narzędzia hakerskie. Programy - lekarze. Środki ostrożności. Wirusy komputerowe. wirusy rozruchowe. Wirusy skryptowe. Wirusy plików. Oznaki manifestacji wirusów. Wirus komputerowy. Inwestycje. Programy trojańskie. Programy. Monitor antywirusowy. Wirusy to robaki. Ciasteczka.

"Microsoft Forefront" - Rozwiązania różnych producentów. Możliwości. Kontrola i raportowanie. Jądra zawarte w Forefront. Maksymalna niezawodność. Model ochrony przed potencjalnym intruzem. Rodzaje zagrożeń wirusowych. MS na czele. Microsoft na czele. Występ. 4 poziomy zagrożenia. Rozwiązanie jednego producenta. Testy MSE. Berło. Zarządzanie składem silników antywirusowych Forefront. Zabezpieczenia Microsoft niezbędniki. Opcje skanowania.

Chomiki świętowały rocznicę jednego dość nieprzyjemnego wydarzenia - robak Morris skończył 20 lat.

Oceniając konsekwencje pierwszego poważnego ataku na sieć, należy zauważyć, że robak Morris był poważnym ostrzeżeniem dla społeczności inżynierów internetowych. Wyraźnie zademonstrował poważne niebezpieczeństwo stwarzane przez błędy oprogramowania i przekształcił bezpieczeństwo sieci w ważny obszar badań i praktycznego rozwoju.

„Naprawdę wydarzyło się wielkie wydarzenie” — powiedział Eric Allman. W 1981 roku, jako student Uniwersytetu Kalifornijskiego w Berkeley, Allman opracował sendmail, program open source, który kontroluje pocztę internetową. Obecnie pełni funkcję dyrektora naukowego firmy Sendmail, która sprzedaje komercyjne wersje tego programu.

„Internet był wtedy bardzo mały i był uważany za rodzaj klubu zainteresowań” – wyjaśnił Allman. - Po ataku przeprowadzonym przez Morrisa stało się jasne, że pewna część gości może nie przychodzić do tego „klubu” z najlepszymi intencjami. Zdaliśmy sobie sprawę, że musimy pilnie pomyśleć o bezpieczeństwie”.

Pomimo wyraźnego mechanizmu działania robaka i ogromnego hałasu, jaki powstał wokół niego, niektórzy twierdzą, że w tamtych czasach nie został on od razu doceniony.

„Najbardziej interesującą lekcją, jakiej nauczył nas robak Morris, jest to, jak krótkotrwałe i nieistotne były odkrycia” – powiedział profesor Columbia University Steve Bellovin, który pracował w Bell Labs w 1988 r. nad zbudowaniem pierwszego firewalla. -- Ludzie byli w stanie dostrzec zagrożenie stwarzane przez wady oprogramowanie, ale potem nikt nie zwracał większej uwagi na kwestie bezpieczeństwa sieci. Trwało to do połowy lat 90., powodując wiele dodatkowych trudności.

Ten historyczny robak został napisany przez studenta Cornell University Roberta Tappana Morrisa, który został oskarżony o oszustwo komputerowe w wyniku tego incydentu. Dziś Morris jest szanowanym adiunktem w Massachusetts Institute of Technology.

Robak, który został uruchomiony około godziny 18:00 2 listopada 1988 r., zablokował około 10% systemów podłączonych do Internetu. Łącznie w tym czasie przez Internet podłączonych było ponad 60 000 komputerów.

Robak Morris był samorozmnażającym się programem, który wykorzystywał znane słabe punkty szereg popularnych narzędzi, w tym program sendmail odpowiedzialny za routing E-mail, oraz Finger, który pozwala dowiedzieć się, który użytkownik aktualnie inicjuje sesję w sieci.

Robak Morris zdołał przeniknąć do działających systemów różne opcje Uniksa. Szybko poruszając się po sieci, robak rozprzestrzeniał swoje nowe kopie, wielokrotnie infekując komputery, powodując awarie w działaniu wielu systemów.

„Na początku nie mieliśmy pojęcia, skąd może pochodzić zagrożenie” – wspomina Allman. - Było całkiem jasne, że zrobiono to celowo, ale nie mogliśmy ustalić, kto i dlaczego to zrobił. Wybuchła panika, co było zrozumiałe, pomimo niefortunnych okoliczności”.

Atak na długi czas zablokował normalne funkcjonowanie Internetu, zmuszając szereg organizacji, w tym Pentagon, do zamknięcia swoich bram internetowych w celu uniknięcia dalszej infekcji.

„Ludzie odłączyli się od Internetu, ponieważ bali się możliwych negatywnych konsekwencji” – powiedział Allman. - Jednak odłączenie od Sieci zakłóciło działanie najważniejszych kanałów komunikacyjnych. Dlatego przywrócenie status quo zajęło dużo czasu”.

W czasie, gdy pojawił się robak Morris, komercyjny ruch internetowy i witryny sieci Web jeszcze nie istniały. Ofiary ograniczały się do rządowych wydziałów badawczych, uniwersytetów i wielu firm, które wykorzystywały Internet do przesyłania plików i wymiany poczty elektronicznej. Niemniej jednak informacje o ataku pojawiły się w czołowych publikacjach, w szczególności w The New York Times.

„Rower Morris był powodem, dla którego wiele osób po raz pierwszy usłyszało o istnieniu Internetu” – powiedział Bellovin. - Dla większości sieć kojarzyła się z nowym, dziwnym i dziwacznym światem... i nagle okazało się, że tylko jeden intruz może położyć kres temu światu. Powtarzam, nikt poza wąskimi specjalistami od tematów komputerowych nie wiedział praktycznie nic o Internecie.

Dla niektórych pojawienie się robaka Morris było punktem zwrotnym w karierze. Eugene Spafford w tym czasie pracował jako starszy wykładowca na Uniwersytecie Purdue. Spafford jest obecnie dyrektorem wykonawczym Centrum Edukacji i Badań Informacji i Bezpieczeństwa na Purdue University. Jest uznanym międzynarodowym autorytetem w dziedzinie bezpieczeństwa w Internecie.

„Powiedziano mi, że stosowane badania bezpieczeństwa komputerowego nie mają przyszłości” – powiedział Spafford. „A po pojawieniu się robaka Morris wiele osób nagle zorientowało się, że systemy komputerowe wyszły poza środowisko mainframe, gdzie wszystko było pod kontrolą, a teraz potrzebujemy zupełnie innego modelu bezpieczeństwa. Niezbędne jest oferowanie bardziej zaawansowanych rozwiązań inżynierskich.”

Wcześniej badacze opracowywali tylko „użyteczne” robaki, dzięki którym przeprowadzano automatyczną instalację. aktualizacje oprogramowania, ale nikt nigdy nie uruchomił destrukcyjnego programu w niekontrolowany sposób w sieci.

Robak Morris był prekursorem innych znaczących ataków, w tym robaków Melissa, Code Red i Slammer, z których wszystkie były skierowane przeciwko systemom, na których działa oprogramowanie. Oprogramowanie Microsoft. Ostatnio robaki stały się mniej powszechne niż wirusy i e-maile, którego tekst zawiera odsyłacze do złośliwych witryn.

„W rzeczywistości robaki są dziś znacznie rzadsze niż wirusy” – powiedział Allman. - A dla przeciętnego użytkownika największe niebezpieczeństwo stanowi problem związany z phishingiem”.

„W ostatnich latach nie widzieliśmy ataków robaków na dużą skalę i jest kilka powodów takiego stanu rzeczy” – wyjaśnił Bellovin. - Istotną rolę odegrało tu szerokie zastosowanie technologii nadawczych adresy sieciowe i osobisty zapory ogniowe utrudniając penetrację współczesnych robaków w sposób, w jaki robił to robak Morris”.

Robak Morris przewidywał rozproszone ataki typu „odmowa usługi”, które są wykorzystywane przez osoby atakujące do przeciążania i utraty systemów z Internetu.

„Tak duża i jednoetapowa infekcja nigdy wcześniej nie została odnotowana” – powiedział Spafford. - W rzeczywistości był to pierwszy atak typu „odmowa usługi”, który przyciągnął uwagę osób związanych z informatyką. Ponadto było to pierwsze wydarzenie, które wpłynęło na platformy kilku producentów jednocześnie. Systemy Sun i BSD Unix zostały zaatakowane w tym samym czasie, co jest rzadkością. Z reguły tylko jedna platforma jest celem ataków.”

Spafford porównał rozprzestrzenianie się robaka Morris do dzisiejszych botnetów — sieci, które łączą się duża liczba zainfekowane komputery, wykorzystując je do wysyłania spamu lub organizowania rozproszonych ataków DoS.

„Oprogramowanie zamienia systemy w zombie, a te powoli rozprzestrzeniające się robaki wypełniają szeregi botnetów” – wyjaśnił Spafford. - Systemy te nie powodują odmowy usługi, ale powoli przenikają dalej, automatycznie przesyłając swój kod na inne maszyny. Botnety kontrolują już dosłownie miliony maszyn: według niektórych szacunków ich liczba sięga 100 milionów”.

Robak Morris natychmiast odciął dość duży segment Internetu. Jego pojawienie się było bardzo ważnym wydarzeniem. Natomiast dzisiejsze ataki na Internet są skierowane przeciwko pojedynczym systemom, a ich autorzy starają się pozostać niezauważeni. Jeśli wcześniej ciekawscy studenci włamywali się do systemów, aby zwiększyć swoją samoocenę, współczesne wirusy mają coraz bardziej przestępczy charakter, maskując swoją obecność w każdy możliwy sposób.

„Dzisiaj ataki na Internet mają na celu osiągnięcie zysku, a zamykanie poszczególnych segmentów sieci nie przynosi żadnego zysku” – wyjaśnił Bellovin. „Inicjując nowe ataki, wyrafinowani napastnicy są bardzo ostrożni”.

Robak Morris, choć powodował znacznie mniejsze szkody w porównaniu do swoich naśladowców, długo pozostawał w pamięci społeczności komputerowej.

„Worm Morris faktycznie zapoczątkował oficjalny rozwój bezpieczeństwa komputerowego” – powiedział Allman. - Wcześniej bardzo niewielu specjalistów zajmowało się kwestiami bezpieczeństwa, poza tym głównie interesował ich temat szyfrowania. Pojęcie bezpieczeństwa komputerowego nie zostało tak naprawdę wyodrębnione jako osobny obszar badań dopiero po pojawieniu się słynnego robaka.”

Im bardziej polegamy na technologii, tym więcej potencjalnych hakerów ma nad nami. Nie ma znaczenia, czy ich celem jest pomoc, czy krzywda – ci faceci mają zdolność zmieniania świata według własnego uznania. Mogą pozostać nieuchwytni i zawsze w cieniu, a wielu hakerów woli takie życie, ale jest kilku naprawdę błyskotliwych hakerów, których nazwiska są znane opinii publicznej.

1. Robert Tappan Morris

Nawet jeśli niewiele o tym wiesz wirusy komputerowe w każdym razie prawdopodobnie słyszałeś o tak zwanych „robakach”. Pierwszym, który uruchomił takiego wirusa w sieci, był Robert Tappan Morris.

Morris, absolwent Cornell University, stworzył swojego „robaka” i udostępnił go w sieci 2 listopada 1988 r., co sparaliżowało pracę sześciu tysięcy komputerów w Stanach Zjednoczonych. Następnie twierdził, że po prostu chciał zobaczyć, jak bardzo rozwinął się Internet i co się stało, to konsekwencje eksperymentu, który wymknął się spod kontroli. Jednak robak okazał się czymś znacznie więcej niż tylko testem: odczytał /etc/passwd, próbując odgadnąć hasła dla rachunki. Morris został ostatecznie ukarany grzywną i trzyletnim wyrokiem w zawieszeniu.

Później Morris został profesorem na Uniwersytecie Harvarda i autorem ogromnej liczby osiągnięć w dziedzinie oprogramowania. Dziś jest profesorem informatyki w Massachusetts Institute of Technology. Niezła kariera dla hakera.

2. Kevin Mitnick

Wszystko zaczęło się, gdy Kevin Mitnick nagle zapragnął skorzystać z transportu publicznego za darmo.

Mitnick włamał się do systemu autobusowego Los Angeles za pomocą sfałszowanego dokumentu podróży. Później, w wieku 12 lat, został oszustem telefonicznym - początkowo zabawiał się przekierowywaniem sygnału telefon domowy na automat i słuchanie, jak właściciele telefonów domowych są proszeni o obniżenie ani grosza przed rozmową. Potem po prostu zaczął dzwonić za darmo, gdziekolwiek chciał. Kilka lat później Mitnick był poszukiwany w całym kraju za włamanie się do sieci Digital Equipment Corporation i kradzież ich oprogramowania. Być może był to jego pierwszy godny uwagi hack, ale później facet dostał się także do sieci telefonicznych gigantów Nokii i Motoroli.

FBI złapało go w 1995 roku po zhakowaniu czołowego amerykańskiego eksperta ds. bezpieczeństwa komputerowego, Tsutomu Shimomura. Mitnick został skazany na pięć lat więzienia, a po wyjściu z więzienia zaangażował się w sprawy obronne. systemy komputerowe i założył Defensive Thinking Inc., firmę zajmującą się bezpieczeństwem komputerowym. Napisał też kilka książek o hakerach.

3. Adrian Lamo

Tak, firmy czasami zatrudniają hakerów do testowania słabych stron swoich systemów, ale nikt nigdy nie zatrudnił Adriana Lamo.

W latach 2002 i 2003 Lamo włamywał się do systemów kilku dużych firm dla zabawy, a następnie informował je o błędach w ich systemach bezpieczeństwa. Wśród obiektów zaatakowanych przez hakera znalazły się Microsoft, Yahoo i New York Times, gdzie dodał swoje dane kontaktowe do bazy ekspertów.

Znany jako „bezdomny haker”, Lamo najczęściej pracował logując się do sieci w kafejkach internetowych i bibliotekach publicznych. Wielu wierzy, że kierował nim pragnienie sławy. Wtargnięcie Lamo do sieci NY Times w 2003 roku zwróciło na niego uwagę przeciwników cyberprzestępczości, został złapany i skazany na sześć miesięcy aresztu domowego i dwa lata w zawieszeniu. Lamo pracuje teraz jako znany wykładowca i dziennikarz oraz jako niezależny konsultant ds. bezpieczeństwa, unikając jednocześnie płatnej pracy biurowej.

4. Gary McKinnon (aka Solo)

Urodzony w Szkocji londyński haker Gary McKinnon działał nie tyle dla przyjemności, ile realizował cele polityczne.

W 2002 roku McKinnon włamał się do komputerów Departamentu Obrony USA, armii, marynarki wojennej, sił powietrznych i NASA. Następnie stwierdził, że szuka dowodów na ukrywanie informacji o UFO, ukrywanie informacji o alternatywnych źródłach energii i innych technologiach, które są potencjalnie przydatne dla społeczeństwa.

Nie żartuję. McKinnon powiedział, że ma powody, by sądzić, że rząd USA ukrywa obcą technologię, która może rozwiązać globalny kryzys energetyczny. Jednak haker samouk przyznaje, że mógł „przypadkowo” usunąć całą masę innych plików i prawdopodobnie uszkodzić niektóre dyski twarde kiedy próbował zatrzeć ślady. Jednak nadal upiera się, że nie wydarzyło się nic szczególnego.

Z kolei rząd USA twierdzi, że atak McKinnona kosztował 800 000 dolarów, a także poddaje w wątpliwość, czy haker rzeczywiście szukał informacji o UFO. Brytyjscy prawnicy, którzy wzięli Gary'ego pod ochronę, twierdzą, że ich klient, cierpiący na zespół Aspergera, zasługuje na specjalne traktowanie ze względu na niestabilne zdrowie psychiczne.

5. (aka Curador)

Raphael Gray nazywał siebie prawym człowiekiem i upierał się, że próbował pomóc witrynom handlu elektronicznego tylko wtedy, gdy włamał się do ich baz danych, aby ukraść liczby. karty kredytowe oraz dane osobowe 26 000 klientów ze Stanów Zjednoczonych, Wielkiej Brytanii i Kanady w 2000 roku.

18-letni walijski nastolatek twierdził wtedy, że po prostu próbował zwrócić uwagę na luki w zabezpieczeniach. To prawda, że ​​nie jest do końca jasne, dlaczego w tym przypadku umieścił skradzione numery kart w otwarty dostęp online, ale to inna sprawa.

W 2001 roku Gray został skazany na trzy lata przymusowego leczenia psychiatrycznego.

6.

Drapera można bez przesady nazwać dziadkiem hakerów. Na początku lat 70. uważany był za „króla” telefonicznych chuliganów – to znaczy, że się popełnił darmowe połączenia. W tamtym czasie Internet nie był jeszcze rozpowszechniony i niewiele osób miało komputery osobiste, więc Draper był w telefonach.

Haker zorientował się, że gwizdek-zabawka z pudełka płatków kukurydzianych wydaje dźwięk podobny do elektrycznego sygnału dostępu do sieci telefonicznej, i wymyślił sposób, aby zadzwonić za darmo: wybrany numer numer międzynarodowy i zadął w gwizdek. Sygnał gwizdka pasował do sygnału sieci telefonicznej i informował system, że Draper się rozłączył. W związku z tym linia została uznana za darmową, a wszystkie dalsze działania abonenta nie zostały zarejestrowane.

Po kilku eksperymentach John wraz ze swoimi przyjaciółmi Steve'em Wozniakiem i Steve'em Jobsem (nazwiska znajome, prawda?) stworzyli urządzenie o nazwie "Blue Box", które pozwala naśladować dźwięki sieci telefonicznej i wykonywać darmowe rozmowy. Draper później napisał pierwszy na świecie Edytor tekstu dla IBM PC "EasyWriter". Obecnie prowadzi własną firmę zajmującą się bezpieczeństwem komputerowym.

7. (aka Mroczny Dante)

W latach 80., kiedy phreaking przez telefon stał się bardzo popularny w pewnych kręgach, Poulsen spłatał dowcipnego figla w radiu KIIS w Los Angeles, sfingując kilka telefonów, które pozwoliły mu wygrać główną nagrodę - wycieczkę na Hawaje i samochód Porsche. .

Nieco później haker włamał się do bazy danych FBI i uzyskał dostęp do tajnych informacji dotyczących podsłuchów. rozmowy telefoniczne, po czym FBI zaczęło na niego polować. W rezultacie Poulsen został złapany i skazany na pięć lat.

Obecnie jest redaktorem naczelnym gazety Wired News.

8.

W 2007 roku dostęp do Internetu nagle zniknął w całej Estonii. Ten „mały, ale bardzo zaawansowany technologicznie” kraj oskarżył o wszystko rosyjski rząd. Właśnie wtedy w Estonii często dochodziło do zamieszek z powodu demontażu sowieckich pomników, więc całkiem logiczne było podejrzenie Rosji.

Hakerzy odpowiedzialni za ten cyberterror uzyskali dostęp do wszystkich komputerów w kraju i wykorzystali je, przeciążając wszystkie serwery. Nie działały bankomaty, nie otwierały się strony internetowe, systemy rządowe musiał zamknąć.

Kilka tygodni zajęło estońskim urzędnikom znalezienie winowajców. Okazało się, że pewien Dmitrij Galuszkiewicz, 20-letni Rosjanin mieszkający w Estonii, wywołał poruszenie. Sam zrobił to zamieszanie lub z grupą podobnie myślących ludzi, nie można było się tego dowiedzieć. Sam Galuszkiewicz został ukarany grzywną w wysokości 17 500 koron (około 45 000 rubli).

9. (alias przyjaciel)

Na liście systemów komputerowych, które muszą być niewiarygodnie bezpieczne, aby żaden geniusz komputerowy nie mógł się przebić, system Departamentu Obrony USA bez wątpienia zajmuje zaszczytne miejsce. Jednak amerykański haker Jonathan James włamał się do tego systemu i przeniknął do ich serwera. Facet w tym czasie miał 15 lat.

29 i 30 czerwca 1999 r. James zaatakował NASA. Był w stanie swobodnie poruszać się po całej sieci i ukraść kilka plików, w tym kod źródłowy Międzynarodowej Stacji Orbitalnej. Oczywiście NASA rozpoczęła ogromną operację schwytania hakera i wkrótce James został złapany. NASA oszacowała szkody na 1,7 miliona dolarów.

Z uwagi na fakt, że James nie był dorosły, został skazany na zaledwie sześć miesięcy więzienia, a także został zmuszony do zobowiązania się do zaprzestania korzystania z komputerów.

Niestety James już nie żyje. Zmarł 18 maja 2008 r. w tajemniczych okolicznościach. Oficjalną przyczyną śmierci jest samobójstwo, ale krążą pogłoski, że nieustępliwy haker został „usunięty” przez agencje rządowe.

10.

W 2002 roku Deceptive Duo (grupa dwóch osób - 20-letniego Benjamina Starka i 18-letniego Roberta Little) przeprowadziło serię głośnych włamań do sieci rządowych, w tym US Navy, NASA, FAA i Departament Obrony.

Podobnie jak wielu innych hakerów, Stark i Little twierdzili, że po prostu chcieli wskazać luki w zabezpieczeniach, a tym samym pomóc swojemu krajowi. Dwóch hakerów pozostawiło wiadomości w tych systemach i umieściło publicznie znane adresy e-mail urzędników oraz sklasyfikowane rządowe strony internetowe, próbując zwrócić uwagę rządu. I przyciąga.

W 2006 roku obaj hakerzy przyznali się do winy. Stark otrzymał dwuletni okres próbny, Mały czteromiesięczny okres próbny z trzyletnim okresem próbnym i obaj musieli zapłacić dziesiątki tysięcy dolarów odszkodowania.