Dopiero kilka dni później eksperci byli w stanie określić źródło problemu. Byłby to pierwszy tego typu robak komputerowy na świecie, który w sobotę obchodził 25-lecie swojego istnienia.

Jak się okazało, twórca robaka wcale nie jest sowiecki cyberprzestępca. Okazało się, że to 23-letni uczeń, który popełnił kilka ważnych błędów w kodowaniu. Jego imię Robert Tappan Morris. Geniusz początkujący uruchomił coś, nad czym nie mógł zapanować, co przyciągnęło do niego wiele uwagi.

„Wczesnym rankiem 3 listopada – bardzo wcześnie – próbowałem się zalogować, aby sprawdzić pocztę, ale nie mogłem”, mówi Gene Spafford, profesor informatyki na Purdue University i jeden z niewielu ekspertów, którzy byli blisko analizy i demontażu robaka w ciągu kilku godzin od jego uruchomienia. " Następnie wszedłem do systemu, aby ustalić, co jest nie tak z serwerem i przy okazji znalazłem problemy z oprogramowaniem".

Problemy, które się pojawiły, były oczywiście konsekwencjami inwazji robak morris. Jego niepohamowana samoreprodukcja spowodowała awarię systemu komputerowego. Wszystko wydarzyło się szybko. Wirus przeniknął do komputerów laboratoriów, szkół i agencji rządowych zlokalizowanych w całym kraju.

W odpowiedzi na nagły wypadek Spaf szybko utworzył dwie oddzielne listy mailingowe: jedną lokalną (dla administratorów i nauczycieli) i drugą, zwaną Listą Phage, dla osób zaangażowanych w hakowanie informacji. Lista Phage stała się ważnym źródłem, dzięki któremu internauci mogli zrozumieć robaka, być na bieżąco z najnowszymi wiadomościami i omawiać szersze kwestie dotyczące bezpieczeństwa.

Pewnego dnia nadeszła wiadomość z anonimowego źródła. Wiadomość brzmiała „Przepraszam”. Wymieniono również sposoby zapobiegania dalszemu rozprzestrzenianiu się robaka. Źródłem był przyjaciel Morrisa z Uniwersytetu Harvarda o imieniu Andy Sudduth, przez którego postanowił się zastosować ” haker».

Internet w 1988 roku

„Internet w tym czasie był bardzo darmowy. Bezpieczeństwo nie było głównym problemem"- mówi Mikko Hypponen (Mikko Hypponen), główny naukowiec fińskiej firmy antywirusowej F-Secure.

W 1988 roku łączna liczba komputerów podłączonych do Internetu wahała się od 65 000 do 70 000 maszyn. Chociaż Internet miał wtedy około 15 lat, był używany głównie w środowisku akademickim, wojskowym i rządowym.

„Nie powiem, że ufaliśmy wszystkim, ale generalnie nikt nie robił brudnych sztuczek i nie robił krzywdy”, mówi Spaf. „Mieszkaliśmy w okolicy, w której było dużo ludzi, ale można było zostawić drzwi otwarte bez obawy przed podpalaczami.".

Administratorzy uważają, że słabości w praktykach bezpieczeństwa były w dużej mierze zgodne z ówczesnym charakterem społeczności internetowej. Praca Morrisa szybko wykorzystała tę lukę.

robak komputerowy

Straty gospodarcze spowodowane efektem robaka różniły się w zależności od miejsca i głębokości porażenia. Uniwersytet Kalifornijski w Berkeley szacuje, że oczyszczenie obiektu z wirusa zajęło 20 dni pracy. Podczas przesłuchania przeciwko Morrisowi sędzia odczytał, że: „ Szacunkowy koszt prac antywirusowych przy każdej instalacji waha się od 200 do ponad 53 000 USD”.

Według niektórych szacunków całkowity koszt uszkodzeń spowodowanych przez robaka Morris wynosi od 250 000 do 96 milionów dolarów.

"Wszyscy wiedzieli w tym czasie, że komputery się wyłączają (wyłączają się)", mówi Mark Rasch, prokurator federalny na procesie Morrisa w Stanach Zjednoczonych. " Wystąpił pewien stopień paniki i zamieszania ze względu na sposób rozprzestrzeniania się robaka.".

Mimo że wirus był złożony, wszechobecny i wysoce destrukcyjny, nie został zaprogramowany do niszczenia lub usuwania czegokolwiek, i tak się nie stało. Cała jego niszczycielska moc związana jest z szybką samoreprodukcją. Przez błąd twórcy sam się kopiował i im szybciej to robił, tym wolniej i trudniej działała sieć, maszyna się zawieszała. W czasie krótszym niż 90 minut od momentu infekcji robak uniemożliwił korzystanie z zainfekowanego systemu.

"Oprogramowanie zostało napisane do dystrybucji. Nie sądzę, że zamierzał wyrządzić szkody. Najprawdopodobniej było to przypadkowe lub niezamierzone. mówi Spafford.

Według większości Morris nie spodziewał się, że robak będzie się tak szybko replikował i rozprzestrzeniał. Z powodu błędu w kodowaniu wirus infekował komputery znacznie szybciej i publicznie, niż najprawdopodobniej było to zamierzone. Wygląda na to, że Morris popełnił „kolosalny” błąd.

Zdjęcie: Flickr, Intel Free Press

Ministerstwo Obrony podejrzewało o atak Rosjan.
„Prawdę mówiąc, reakcje na ten atak wahały się od lekkiej irytacji do spekulacji, że świat się kończy”. Mówi Rush. " Byli tacy, którzy myśleli, że to preludium do wojny światowej, wierzyli, że była to próba Związku Radzieckiego rozpoczęcia cyberwojny i wystrzelenia broni jądrowej.".

Motywacja autora wirusów

Jeśli robak nie miał na celu zniszczenia lub kradzieży, co motywowało Morrisa? Niektórzy uważają, że chciał zwrócić uwagę na luki w zabezpieczeniach. Taka jest również opinia Spafforda.

"Ale niedociągnięcia, które w tym tkwiły, mógł zauważyć w inny sposób.", on mówi. „Nigdy nie uwierzyłbym w pomysł, że trzeba spalić budynek, aby pokazać, że jest łatwopalny.".

Według Rascha ówczesny Departament Sprawiedliwości nie miał bardziej spójnego motywu niż "bo da się to zrobić".

„Powodowało to po części ciekawość i być może pewna doza arogancji” – mówi Spaf, który przyznaje, że nigdy nie można być pewnym motywu. " Milczał o tym wszystkim przez ostatnie 25 lat. Swoją drogą zaczął żyć swoim życiem i zrobił bardzo dobrą karierę”.

Morris w końcu przyznał się do stworzenia robaka. Jego proces był pierwszą federalną sprawą przestępstwa komputerowego.

Sąd

Morris został uznany za winnego oszustwa komputerowego i nadużyć. Został skazany na 400 godzin prac społecznych, ukarany grzywną w wysokości 10 050 USD i trzyletnim wyrokiem w zawieszeniu. Wielu, w tym Spafford, uważało, że jego przestępstwo zostało ocenione zbyt surowo.

„Nigdy nie zgodziłem się, że to przestępstwo. Myślę, że definicja „wykroczenia” byłaby o wiele bardziej odpowiednia” on mówi. " Wiele z tego było niezamierzone.".

Dyskusja między tym, czy było to przestępstwo, czy wykroczenie administracyjne, była poważna. Morris rozpoczął swoje zeznanie, mówiąc: "Zrobiłem to i przepraszam".

Okrucieństwo, mówi Rush, wyraźnie podlegało klauzuli kryminalnej. Ale ogólna zgoda ze wszystkich stron była taka, że ​​Morris nie był przestępcą. To on popełnił zbrodnię.

Wynik

Rok później Spafford zapewnił Morrisowi prezydenckie ułaskawienie. Zachowanie tego ostatniego i zmieniający się charakter przestępczości komputerowej przekonały wielu, że zbrodnia Morrisa nie była aż tak poważna.

„Nie tylko popieram jego przebaczenie, gdyby mnie poprosił, reprezentowałbym jego interesy w szukaniu przebaczenia” – mówi Rush. " Czy w swojej biografii potrzebuje przestępstwa? Nie. Czy potrzebuje ograniczenia praw i wolności obywatelskich związanych z przestępstwem? Nie. Czy jest zrehabilitowany? Myślę, że został zrehabilitowany w ciągu godziny od wystrzelenia robaka.".

Chomiki świętowały rocznicę jednego dość nieprzyjemnego wydarzenia - robak Morris skończył 20 lat.

Oceniając konsekwencje pierwszego poważnego ataku na sieć, należy zauważyć, że robak Morris był poważnym ostrzeżeniem dla społeczności inżynierów internetowych. Wyraźnie zademonstrował poważne niebezpieczeństwo stwarzane przez błędy oprogramowania i przekształcił bezpieczeństwo sieci w ważny obszar badań i praktycznego rozwoju.

„Naprawdę wydarzyło się wielkie wydarzenie” — powiedział Eric Allman. W 1981 roku, jako student Uniwersytetu Kalifornijskiego w Berkeley, Allman opracował sendmail, program open source, który e-mail Internet. Obecnie pełni funkcję dyrektora naukowego firmy Sendmail, która sprzedaje komercyjne wersje tego programu.

„Internet był wtedy bardzo mały i był uważany za rodzaj klubu zainteresowań” – wyjaśnił Allman. - Po ataku przeprowadzonym przez Morrisa stało się jasne, że pewna część gości może nie przychodzić do tego „klubu” z najlepszymi intencjami. Zdaliśmy sobie sprawę, że musimy pilnie pomyśleć o bezpieczeństwie”.

Pomimo wyraźnego mechanizmu działania robaka i ogromnego hałasu, który powstał wokół niego, niektórzy twierdzą, że nie został on wówczas od razu doceniony.

„Najbardziej interesującą lekcją, jakiej nauczył nas robak Morris, jest to, jak krótkotrwałe i nieistotne były odkrycia” – powiedział profesor Uniwersytetu Columbia, Steve Bellovin, który pracował w Bell Labs w 1988 r. nad zbudowaniem pierwszego firewalla. -- Ludzie byli w stanie dostrzec zagrożenie stwarzane przez wady oprogramowanie, ale potem nikt nie zwracał większej uwagi na kwestie bezpieczeństwa sieci. Trwało to do połowy lat 90., powodując wiele dodatkowych trudności.

Ten historyczny robak został napisany przez studenta Cornell University Roberta Tappana Morrisa, który został oskarżony o oszustwo komputerowe w wyniku tego incydentu. Dziś Morris jest szanowanym adiunktem w Massachusetts Institute of Technology.

Robak, który został uruchomiony około godziny 18:00 2 listopada 1988 r., zablokował około 10% systemów podłączonych do Internetu. Łącznie w tym czasie przez Internet podłączonych było ponad 60 000 komputerów.

Robak Morris był samorozmnażającym się programem, który wykorzystywał znane słabe punkty szereg popularnych narzędzi, w tym sendmail, który był odpowiedzialny za kierowanie poczty i Finger, który pozwalał dowiedzieć się, którzy użytkownicy ten moment zainicjował sesję internetową.

Robak Morris zdołał przeniknąć do działających systemów różne opcje Uniksa. Szybko poruszając się po sieci, robak rozprzestrzeniał swoje nowe kopie, wielokrotnie infekując komputery, powodując awarie w działaniu wielu systemów.

„Na początku nie mieliśmy pojęcia, skąd może pochodzić zagrożenie” – wspomina Allman. - Było całkiem jasne, że zrobiono to celowo, ale nie mogliśmy ustalić, kto i dlaczego to zrobił. Wybuchła panika, co było zrozumiałe, pomimo niefortunnych okoliczności”.

Atak na długi czas zablokował normalne funkcjonowanie Internetu, zmuszając szereg organizacji, w tym Pentagon, do zamknięcia swoich bram internetowych w celu uniknięcia dalszej infekcji.

„Ludzie odłączyli się od Internetu, ponieważ bali się możliwych negatywnych konsekwencji” – powiedział Allman. - Jednak odłączenie od Sieci zakłóciło działanie najważniejszych kanałów komunikacyjnych. Dlatego przywrócenie status quo zajęło dużo czasu”.

W czasie, gdy pojawił się robak Morris, komercyjny ruch internetowy i witryny sieci Web jeszcze nie istniały. Ofiary ograniczały się do rządowych wydziałów badawczych, uniwersytetów i wielu firm, które wykorzystywały Internet do przesyłania plików i wymiany poczty elektronicznej. Niemniej jednak informacje o ataku pojawiły się w czołowych publikacjach, w szczególności w The New York Times.

„Rower Morris był powodem, dla którego wiele osób po raz pierwszy usłyszało o istnieniu Internetu” – powiedział Bellovin. - Dla większości sieć kojarzyła się z nowym, dziwnym i dziwacznym światem... i nagle okazało się, że tylko jeden intruz może położyć temu światu kres. Powtarzam, nikt poza wąskimi specjalistami od tematów komputerowych nie wiedział praktycznie nic o Internecie.

Dla niektórych pojawienie się robaka Morris było punktem zwrotnym w karierze. Eugene Spafford w tym czasie pracował jako starszy wykładowca na Uniwersytecie Purdue. Dzisiaj Spafford jest w biurze dyrektor wykonawczy Centrum Edukacji i Badań Informacji i Bezpieczeństwa na Purdue University. Jest uznanym międzynarodowym autorytetem w dziedzinie bezpieczeństwa w Internecie.

„Powiedziano mi, że badania stosowane bezpieczeństwo komputera nie ma przyszłości, podkreślił Spafford. „A po pojawieniu się robaka Morris wiele osób nagle zorientowało się, że systemy komputerowe wyszły poza środowisko mainframe, gdzie wszystko było pod kontrolą, a teraz potrzebujemy zupełnie innego modelu bezpieczeństwa. Niezbędne jest oferowanie bardziej zaawansowanych rozwiązań inżynierskich.”

Wcześniej badacze opracowywali tylko „użyteczne” robaki, dzięki którym przeprowadzano automatyczną instalację. aktualizacje oprogramowania, ale nikt nigdy nie uruchomił destrukcyjnego programu w niekontrolowany sposób w sieci.

Robak Morris był prekursorem innych znaczących ataków, w tym robaków Melissa, Code Red i Slammer, z których wszystkie były skierowane przeciwko systemom, na których działa oprogramowanie. Oprogramowanie Microsoft. Ostatnio robaki stały się mniej powszechne niż wirusy i e-maile, którego tekst zawiera odsyłacze do złośliwych witryn.

„W rzeczywistości robaki są dziś znacznie rzadsze niż wirusy” – powiedział Allman. - A dla przeciętnego użytkownika największe niebezpieczeństwo stanowi problem związany z phishingiem”.

„W ostatnich latach nie widzieliśmy ataków robaków na dużą skalę i jest kilka powodów takiego stanu rzeczy” – wyjaśnił Bellovin. - Istotną rolę odegrało tu szerokie zastosowanie technologii nadawczych adresy sieciowe i osobisty zapory ogniowe utrudniając penetrację współczesnych robaków w sposób, w jaki robił to robak Morris”.

Robak Morris przewidywał rozproszone ataki typu „odmowa usługi”, które są wykorzystywane przez osoby atakujące do przeciążania i utraty systemów z Internetu.

„Tak duża i jednoetapowa infekcja nigdy wcześniej nie została odnotowana” – powiedział Spafford. - W rzeczywistości był to pierwszy atak typu „odmowa usługi”, który przyciągnął uwagę osób związanych z informatyką. Ponadto było to pierwsze wydarzenie, które wpłynęło na platformy kilku producentów jednocześnie. Systemy Sun i BSD Unix zostały zaatakowane w tym samym czasie, co jest rzadkością. Z reguły tylko jedna platforma jest celem ataków.”

Spafford porównał rozprzestrzenianie się robaka Morris do dzisiejszych botnetów — sieci, które łączą się duża liczba zainfekowane komputery, wykorzystując je do wysyłania spamu lub organizowania rozproszonych ataków DoS.

„Oprogramowanie zamienia systemy w zombie, a te powoli rozprzestrzeniające się robaki wypełniają szeregi botnetów” – wyjaśnił Spafford. - Systemy te nie powodują odmowy usługi, ale powoli przenikają dalej, automatycznie przesyłając swój kod na inne maszyny. Botnety kontrolują już dosłownie miliony maszyn: według niektórych szacunków ich liczba sięga 100 milionów”.

Robak Morris natychmiast odciął dość duży segment Internetu. Jego pojawienie się było bardzo ważnym wydarzeniem. Natomiast dzisiejsze ataki na Internet są skierowane przeciwko pojedynczym systemom, a ich autorzy starają się pozostać niezauważeni. Jeśli wcześniej ciekawscy studenci włamywali się do systemów, aby zwiększyć swoją samoocenę, współczesne wirusy mają coraz bardziej przestępczy charakter, maskując swoją obecność w każdy możliwy sposób.

„Dzisiaj ataki na Internet mają na celu osiągnięcie zysku, a zamykanie niektórych segmentów sieci nie przynosi żadnego zysku” – wyjaśnił Bellovin. „Inicjując nowe ataki, wyrafinowani napastnicy są bardzo ostrożni”.

Robak Morris, choć powodował znacznie mniejsze szkody w porównaniu do swoich naśladowców, długo pozostawał w pamięci społeczności komputerowej.

„Worm Morris faktycznie zapoczątkował oficjalny rozwój bezpieczeństwa komputerowego” – powiedział Allman. - Wcześniej bardzo niewielu specjalistów zajmowało się kwestiami bezpieczeństwa, poza tym głównie interesował ich temat szyfrowania. Pojęcie bezpieczeństwa komputerowego nie zostało tak naprawdę wyodrębnione jako osobny obszar badań dopiero po pojawieniu się słynnego robaka.”

Ameryka była zszokowana, gdy 2 listopada 1988 r. prawie wszystkie komputery, które miały dostęp do Internetu (w Ameryce), około ósmej rano, jak to mówią, „zamarły”. Początkowo przypisywano to awariom w systemie elektroenergetycznym. Ale potem, gdy wybuchła epidemia wywołana przez „robaka Morrisa”, stało się jasne, że terminale zostały zaatakowane przez nieznany wówczas program, który zawierał kod, którego nie można było odszyfrować dostępnymi środkami. Nie zaskakujący! W tym czasie komputery podłączone do Internetu liczyły tylko dziesiątki tysięcy (około 65 000 terminali) i były w większości reprezentowane w kręgach rządowych lub samorządowych.

Wirus robaka Morris: co to jest?

Sam typ był pierwszym w swoim rodzaju. To on stał się przodkiem wszystkich innych programów tego typu, które dziś dość mocno różnią się od protoplastów.

Robert Morris stworzył swojego „robaka”, nie zdając sobie nawet sprawy, jak bardzo się stanie i jak wiele szkód może wyrządzić gospodarce. Ogólnie uważa się, że było to, jak mówią teraz, zainteresowanie czysto sportowe. Ale w rzeczywistości wprowadzenie do ówczesnego sieć globalna APRANET, z którym notabene były związane zarówno organizacje rządowe, jak i wojskowe, wywołał taki szok, z którego Ameryka długo nie mogła się podnieść. Według wstępnych szacunków wirus komputerowy Morris Worm spowodował szkody rzędu 96,5 mln USD (i jest to tylko kwota znana z oficjalnych źródeł). Powyższa kwota jest oficjalna. A to, co nie jest brane pod uwagę, prawdopodobnie nie podlega ujawnieniu.

Twórca wirusa komputerowego „Morris Worm” Robert Morris: kilka faktów z biografii

Od razu nasuwa się pytanie, kim był ten genialny programista, któremu udało się sparaliżować system komputerowy Kontynent północnoamerykański.

Ten sam szanowany zasób „Wikipedia” wskazuje, że kiedyś Robert był absolwentem Uniwersytetu Cornell R.T. Morris (przypadek czy zbieg okoliczności?), na Wydziale Inżynierii Komputerowej.

Historia powstania i pojawienia się wirusa

Uważa się, że początkowo wirus nie zawierał żadnego zagrożenia. Fred Cohen zbadał robaka Morris w oparciu o swoje odkrycia dotyczące złośliwych kodów i znalazł w nim interesującą funkcję. Okazało się, że to wcale nie jest złośliwy program.

Robak Morris (choć dziś na sugestię Pentagonu uważany jest za wirusa) został pierwotnie stworzony jako narzędzie do testowania podatności systemów opartych na „intranecie” (nic dziwnego, że pierwsi ucierpieli użytkownicy APRANETu) .

Jak wirus wpływa na system komputerowy?

Sam Robert Morris (twórca wirusa) w każdy możliwy sposób zaprzecza konsekwencjom, jakie jego „pomysł” wyrządził w Stanach Zjednoczonych, argumentując, że błąd w kodzie samego programu sprowokował rozprzestrzenienie się w sieci. Biorąc pod uwagę, że zdobył wykształcenie na uniwersytecie, zwłaszcza na Wydziale Informatyki, trudno się z tym zgodzić.

Tak zwany „Morris Worm” początkowo był skoncentrowany na przechwytywaniu komunikacji między dużymi organizacjami (w tym rządowymi i wojskowymi). Istotą wpływu było zastąpienie tekstu źródłowego listu wysyłanego wówczas w sieci APRANET, usunięciem nagłówków i zakończeń w trybie debugowania Sendmaila lub w przypadku przepełnienia bufora usługi network fingerd. Pierwsza część nowego listu zawierała kod skompilowany na zdalnym terminalu, a trzecia część składała się z tego samego kodu binarnego, ale przystosowanego do różnych systemów komputerowych.

Dodatkowo wykorzystano specjalistyczne narzędzie, które umożliwiało odgadywanie loginów i haseł za pomocą zdalnego dostępu do wykonywania programów (rexec), a także wywoływanie zdalnego interpretera (rsh), który na poziomie poleceń wykorzystywał tzw. mechanizm” (teraz jest to bardziej związane z certyfikatami).

Prędkość propagacji

Jak się okazuje, twórca wirusa wcale nie był głupią osobą. Od razu zdał sobie sprawę, że im dłuższy kod, tym dłużej wirusowi infiltruje system. Dlatego dobrze znany "Morris Worm" zawiera minimalną kombinację binarną (ale skompilowaną).

W związku z tym nastąpił ten sam boom, o którym obecnie z jakiegoś powodu zwyczajowo milczy się na poziomie państwowych służb wywiadowczych, choć groźba samokopiowania rozprzestrzeniła się niemal wykładniczo (każda kopia wirusa była w stanie stworzyć dwie lub więcej własnych analogów).

Szkoda

Nikt jednak nie zastanawia się, jakie szkody można wyrządzić temu samemu systemowi bezpieczeństwa. Tutaj problemem jest raczej to, czym jest sam wirus komputerowy Morris Worm. Faktem jest, że początkowo podczas penetracji terminala użytkownika wirus musiał ustalić, czy jego kopia jest zawarta w systemie. Jeśli taki był, wirus zostawił maszynę w spokoju. W przeciwnym razie został wprowadzony do systemu i stworzył własnego klona na wszystkich poziomach użytkowania i zarządzania. Dotyczyło to całego systemu operacyjnego jako całości i zainstalowanych programów użytkownika oraz aplikacji lub apletów.

Oficjalna liczba podana przez Departament Stanów Zjednoczonych (około 96-98 milionów dolarów odszkodowania) jest wyraźnie zaniżona. Jeśli spojrzeć tylko na pierwsze trzy dni, było to już około 94,6 miliona). W kolejnych dniach kwota nie wzrosła tak bardzo, ale ucierpieli zwykli użytkownicy (oficjalna prasa i Departament USA milczą na ten temat). Oczywiście w tym czasie liczba komputerów podłączonych do globalnej sieci wynosiła w samych Stanach Zjednoczonych około 65 tysięcy, ale dotyczyło to prawie co czwartego terminala.

Efekty

Łatwo się domyślić, że istotą oddziaływania jest całkowite pozbawienie systemu wydajności na poziomie zużycia zasobów. W większości dotyczy to połączeń sieciowych.

Wirus jest w prosty przypadek tworzy swoje kopie i inicjuje uruchamianie procesów podszywających się pod usługi systemowe(teraz nawet uruchomiony jako administrator na liście procesów „Menedżera zadań”). I nie zawsze można usunąć zagrożenia z tej listy. Dlatego pod koniec procesów związanych z systemem i użytkownikiem trzeba działać bardzo ostrożnie.

A co z Morrisem?

„Morris Worm” i jego twórca w tej chwili czują się bardzo dobrze. Sam wirus został skutecznie wyizolowany dzięki wysiłkom tego samego laboratoria antywirusowe ponieważ oni mają źródło, na którym napisany jest aplet.

Morris w 2008 roku ogłosił wydanie języka Arc opartego na Lips, aw 2010 roku został nominowanym i zdobywcą nagrody Weisera.

Nawiasem mówiąc, kolejnym ciekawym faktem jest to, że prokurator Mark Rush przyznał, że wirus wyłączył wiele komputerów przez przymusowe zakończenie działa, ale nadal nie uszkadzał celowo danych użytkowników na żadnym poziomie, ponieważ początkowo nie był to program destrukcyjny, ale próba sprawdzenia możliwości ingerencji w wewnętrzną strukturę istniejących systemów. W porównaniu z tym, że początkowo napastnikowi (który dobrowolnie poddał się władzom) groziła kara pozbawienia wolności do pięciu lat i grzywna w wysokości 250 000 USD, uciekł z trzyletnim okresem próbnym, grzywną w wysokości 10 000 USD i 400 godzinami prac społecznych. Jak wielu prawników tamtych czasów (tak przy okazji i obecnych) uważało, że jest to nonsens.

Wiele sum

Oczywiście dzisiaj trzeba uważać na takie zagrożenie, które we wczesnych stadiach jego narodzin technologia komputerowa wyobrażałem sobie, że "Wirus Morrisa" oczywiście nie jest tego wart.

Ale oto, co jest interesujące. Uważa się, że na systemy operacyjne Windows wpływają głównie złośliwe kody. A potem nagle okazuje się, że ciało wirusa zostało pierwotnie opracowane dla systemów UNIX. Co to znaczy? Tak, tylko że nadszedł czas, aby właściciele Linuksa i Mac OS, które są zasadniczo oparte na platformie UNIX, przygotowali środki ochrony (choć uważa się, że wirusy w ogóle nie wpływają na te systemy operacyjne, w tym sensie, że nie zostały napisane). W tym miejscu wielu użytkowników „maków” i „Linuksoidów” głęboko się myli.

Jak się okazuje, nawet platformy mobilne pod Kontrola iOS niektóre zagrożenia (m.in. „Morris Worm”) zaczęły wykazywać swoją aktywność. Najpierw reklama, potem - niepotrzebne oprogramowanie, potem... - awaria systemu. Tutaj mimowolnie pomyślisz. Ale u źródeł tego wszystkiego był jakiś doktorant, który popełnił błąd we własnym programie testowym, co doprowadziło do pojawienia się tego, co obecnie powszechnie nazywa się robakami komputerowymi. A oni, jak wiecie, mają nieco inne zasady wpływania na systemy.

W pewnym sensie takie wirusy stają się szpiegami (spyware), które nie tylko ładują system, ale także, poza wszystkim innym, kradną hasła dostępu do stron, loginy, kody PIN do kart kredytowych lub debetowych i Bóg wie co jeszcze. zwykły użytkownik może rozmawiać o. nawet nie zgadywać. Ogólnie rzecz biorąc, wpływ tego wirusa i innych mu podobnych na tym etapie rozwoju technologii komputerowej jest obarczony dość poważnymi konsekwencjami, pomimo nawet najnowocześniejszych metod ochrony. I to w odniesieniu do robaków komputerowych należy zachować jak największą czujność.

Oto taka zabawna i niezwykła historia, która na długo nie zostanie zapomniana. Życzymy ciekawego i bezpiecznego czasu w sieci - bez kradzieży danych, przeciążenia systemu i wszelkich szpiegów, takich jak "robak Morrisa"!

21 lat temu miało miejsce wydarzenie, które na zawsze zapisało się w historii Internetu.

2 listopada 1988 roku 99 linii kodu spowodowało dwudniowy paraliż szokowy, gdy był jeszcze młody i niedoświadczony w kwestiach bezpieczeństwa w Internecie.

Około 6000 maszyn VAX z systemami operacyjnymi SUN i BSD UNIX zostało zainfekowanych niespotykaną wcześniej infekcją. Wielu administratorów zostało zmuszonych do wyłączenia swoich wardów, aby jakoś powstrzymać przeciążenie komputerów i rozprzestrzenianie się infekcji.
Był to Morris Worm, aw zwykłych ludziach po prostu Great Worm. Ze względu na niszczycielski wpływ, jaki wywarł na Internet, zarówno pod względem ogólnego przestoju systemu, jak i psychologicznego wpływu na postrzeganie bezpieczeństwa i niezawodności w Internecie (podobnie jak w przypadku wielkich robaków Tolkiena). Niespodziewany atak i niektóre mechanizmy wbudowane w robaka doprowadziły wielu ówczesnych administratorów do granicznych stanów emocjonalnych. Odpowiedź wahała się od „wyłącz wszystko!” do paniki „jesteśmy atakowani!”

Twórca i inicjator robaka, w tym czasie student Uniwersytetu Cornell, Robert Morris Jr. Centrum Bezpieczeństwa)) uruchomił swojego potwora z komputera MIT (prep.ai.mit.edu to maszyna z otwarty dostęp), aby nie zwracać uwagi na jego uczelnię. Dlaczego to zrobił, na zawsze pozostanie tajemnicą. Według jego własnych oświadczeń był to tylko eksperyment, który wymknął się spod kontroli. Jednak ściśle rzecz biorąc, Robak nie wyrządził żadnych bezpośrednich szkód.

Mała lista zaatakowanych komputerów

MIT, University of Minnesota, North Carolina, University of Pittsburgh, RAND Corporation machines, Stanford, Berkeley, Carnegie Mellon University, University of Maryland, University of Pennsylvania, ponownie MIT, Ballistics Research Lab machines, Colorado State University i Purdue University i wiele innych .

Wektory ataku robaków

Do rozprzestrzeniania się robak wykorzystywał kilka różnych sposobów, które sprowadzały się do wykorzystywania luk w zabezpieczeniach oraz najprostszego wyboru haseł dostępu.

Robak składał się z dwóch części: programu ładującego (99 linii w języku C) oraz jądra składającego się z dwóch modułów binarnych - kodu skompilowanego dla BSD i tego samego kodu tylko dla architektury Sun. Nazwy wszystkich wewnętrznych procedur miały znaczące nazwy (na przykład doit lub cracksome), co znacznie ułatwiło deasemblację binariów w przyszłości.

Robak wstrzyknął swoją kopię na zdalne komputery i uruchomił ją. Każdy zainfekowany komputer próbował zainfekować wszystkie inne powiązane z nim maszyny. Robak został zaostrzony do użytku w systemach BSD UNIX i SUN-3. Po odkryciu, że takie maszyny były podłączone do zainfekowanej, robak skopiował do komputer zdalny, pobiegł tam, próbując uzyskać maksymalny dostęp do informacji (używając go tylko do dalszego hakowania) i zainfekował sąsiednie maszyny. jak lawina rozprzestrzeniająca się niezabezpieczona sieć robak rozmnażał swoje kopie w pełnej zgodności z teorią mechanizmów samoreprodukujących się, której podwaliny położył John von Neumann.

Początkowo nikt nic nie rozumiał, ale po kilku godzinach najbardziej zaawansowani admini zaczęli działać najlepiej, jak potrafili, ktoś odłączył ich wardy od sieci i próbował je zrestartować w nadziei na usunięcie przeciążenia (co było całkowicie w na próżno, ponieważ po ponownym uruchomieniu systemu robak utworzył kilka dodatkowych kopii samego siebie i obciążenie systemu tylko wzrosło), ktoś wpadł w panikę, wysyłając wiadomości na listy dyskusyjne – „Jesteśmy atakowani!” (co również poszło na marne, ponieważ listy nie działały od kilku godzin z powodu działania robaka), a ktoś szukał przyczyn natychmiastowego rozprzestrzeniania się robaka.

W Berkeley wieczorem tego samego dnia dowiadują się, że atak jest przeprowadzany przez rsh i sendmail. W ramach środków ostrożności usługi sieciowe są blokowane.

Po chwili, zdając sobie sprawę ze skali problemu, Morris informuje swoich przyjaciół o eksperymencie, który wymknął się spod kontroli. Jakiś czas później na liście dyskusyjnej TCP-IP pojawił się anonimowy wpis, w którym krótko opisano, jak powstrzymać robaka. Autor postu (Andy Sudduth) wysłał tę wiadomość po rozmowa telefoniczna z Morrisem, ale z powodu przeciążenia sieci i komputerów list nie został wysłany przez około jeden dzień.

Wkrótce, niezależnie od siebie, różne osoby zaczęły odkrywać wektory ataku robaka.

Demon sendmaila został wypatroszony jako pierwszy. Keith Bostick wysyła ostrzeżenia o robakach i łatki sendmail na listę dyskusyjną TCP-IP, grupę dyskusyjną 4bsd-ucb-fixes i kilku administratorów systemu.

Robak wykorzystywał funkcję "debugowania" demona sendmail, która ustawiała tryb debugowania na obecna sesja znajomości. Dodatkowa funkcja tryb debugowania polega na wysyłaniu komunikatów dostarczonych z programem odbiorczym, który działa na zdalnym komputerze i odbiera komunikat. Ta funkcja, nie zapewniana przez protokół SMTP, została wykorzystana przez programistów do debugowania programu i wersja robocza pozostawione przez pomyłkę.

Za pośrednictwem sendmaila robak zainfekował dwa typy komputerów - VAX i Sun, więc wysyłane były kody binarne dla każdej architektury, oba zostały uruchomione, ale tylko jeden mógł zostać uruchomiony. W komputerach o innych architekturach programy nie mogły działać, chociaż zostały wchłonięte zasoby systemowe w momencie kompilacji.

Kilka godzin później okazało się, że łatki sendmaila nie pomogły, komputery zostały zainfekowane w inny sposób. Ze względu na działanie robaka MILNET i ARPANET są rozłączone.

Po kilku kolejnych godzinach różni ludzie w różnych laboratoriach niezależnie odkryli lukę w zabezpieczeniach i przygotowali łatki dla demona fingerd.

Fragment kodu z palca:

{
włochaty:
...
pobiera(buf);
}

Istnieje klasyczna sytuacja przepełnienia bufora (wtedy najwyraźniej nie była to jeszcze klasyka). Robak przekazał specjalnie przygotowany ciąg 536 bajtów, który ostatecznie wywołał funkcję execve („/bin/sh”, 0, 0). Tylko maszyny VAX z system operacyjny 4.3 BSD, takie ataki nie powiodły się na maszynach Sun.

Ale to nie wszystko. W nix, zarówno wtedy, jak i teraz, istnieje zestaw usług do zdalnego wykonywania programów, dziś do takich celów służy ssh, a jego miejsce zajęły tak zwane r-programy. Najbardziej wrażliwym punktem w nich była idea „zaufania” – użytkownicy komputerów znajdujący się na liście „zaufanych węzłów” mieli prawo uruchamiać swoje programy na „ufającej” maszynie bez dodatkowej weryfikacji. Ponadto relacja zaufania była często wzajemna. Robak próbował użyć zdalnego programu uruchamiającego interpreter rsh, aby zaatakować inne komputery przy użyciu bieżącej nazwy użytkownika i hasła lub w ogóle nie uwierzytelniać, jeśli atakowana maszyna „ufała” tej maszynie.

Tak więc robak przeniknął do zainfekowanych maszyn, wykorzystując dziurę w sendmailu, dziurę w fingerd lub „trust” i rsh. Podczas infiltracji zaatakowanego komputera został wyrzucony bootloader, polecenie skompilowania i wykonania bootloadera oraz usunięcie wszystkich plików tymczasowych. Następnie program ładujący ściągnął wszystkie trzy pliki i próbował uruchomić najpierw jeden, a potem drugie ciało. Jeśli żaden z tych dwóch ciał się nie uruchomił, bootloader po prostu usunął zarówno je, jak i siebie, i przestał działać.

Po uruchomieniu robak ukrywał się w każdy możliwy sposób - wykasował swój plik wykonywalny, zaszyfrował oba ciała, wczytał je do pamięci, a także wymazał z dysku i, w miarę możliwości, zmodyfikował informacje o sobie w tabeli procesów .

Następnie zebrano informacje o interfejsach sieciowych zainfekowanego komputera oraz o komputerach sąsiednich, a niektórzy z sąsiadów zostali poddani próbom infekcji. Ci, którym udało się zarazić, zostali oznaczeni jako zarażeni; te, które nie mogły zostać zarażone - jako „odporne”. Chociaż eksperci są skłonni dostrzec tutaj błąd w kodzie robaka, ponieważ sekcja kodu odpowiedzialna za zapobieganie ponownej infekcji maszyn zawierała wiele błędów.

Miało to kluczowe znaczenie dla żywotności robaka: wiele maszyn zostało ponownie zainfekowanych, obciążenie systemów i sieci wzrosło i stało się bardzo zauważalne, co często prowadziło do odmowy usługi, w wyniku której wykryto samego robaka i zneutralizowane znacznie szybciej, niż gdyby nie było ponownej infekcji, chociaż wielokrotnie zainfekowane maszyny rozprzestrzeniały robaka szybciej, prawdopodobnie proporcjonalnie do liczby kopii robaka na maszynie, co wpłynęło na błyskawiczną prędkość dystrybucji i odmowy usługa doprowadziła do paniki i awarii niektórych kluczowych węzłów, w wyniku czego sieć na chwilę rozpadła się na podsieci.

Dobór haseł został przeprowadzony dość prosto, ale jednocześnie efektywny sposób: użyto czterech odmian motywu logowania użytkownika, a także listy około 200-400 słów. Według niektórych informacji pojedyncze komputery ponad połowa haseł została złamana w ten sposób.

Do wieczora 5 listopada większość zainfekowanych węzłów została wyleczona, nałożono łatki, a w Berkeley specjaliści z mocą i głównymi dokonali sekcji martwej zwłok robaka.

Zanim FBI zorientowało się, kto jest odpowiedzialny za to, co się stało, Morris był już na dobrej drodze do poddania się.

Zaznacz w historii

Dla społeczności komputerowej był to szok. Zmieniono podstawy bezpieczeństwa komputerowego. Szkody wyrządzone przez Morris Worm oszacowano na około 100 milionów dolarów (do takich szacunków należy podchodzić bardzo, bardzo ostrożnie, bo nie wiadomo, jakie metody ich oceny, jakie parametry są brane pod uwagę, a które nie).

Według niektórych raportów Robak jest jedynym w historii program komputerowy, który wypychał na pierwsze strony materiały o wyborach prezydenckich w USA. Wiele instytucji i organizacji zostało odłączonych od Internetu na kilka tygodni, a nawet miesięcy. Administratorzy, nie zdając sobie sprawy z rzeczywistego rozmiaru niebezpieczeństwa, postanowili zachować ostrożność.

Najbardziej rozsądnym sposobem przeciwdziałania hakowaniu wywołanemu przez Robaka była formacja

podsumowanie pozostałych prezentacji

„Złośliwe oprogramowanie i programy antywirusowe” — oznaki infekcji komputerowej. Co zrobić, jeśli komputer wykazuje oznaki infekcji. Wirusy komputerowe. trojany. Programy antywirusowe. Cel lekcji. Wirusy plików. Ochrona przed wirusami komputerowymi. Rodzaje złośliwego oprogramowania. Złośliwe oprogramowanie i programy antywirusowe. Złośliwe oprogramowanie to oprogramowanie, które uszkadza dane. wirusy rozruchowe. Klasyfikacja wirusów. Pierwsze złośliwe oprogramowanie i programy antywirusowe.

"Antivirus" - Doctor web eset NOD 32 kaspersky antivirus (dawny zestaw narzędzi antywirusowych pro) sieć zrzesza mcafee virusscan symantec norton antivirus trend micro pc-cillin. Aladdin Knowledge Systems eSafe Command AntiVirus Computer Associates InoculatelT Doctor Web Eset NOD 32 F-Secure Kaspersky Anti-Virus Antivirus Network Associates McAfee VirusScan Norman Virus Control Panda Antivirus Platinum Symantec Norton AntiVirus.

"Ochrona antywirusowa" - Bezpieczna przeglądarka. Co należy zrobić, aby chronić. Blokery rozruchu. Uruchom blokery dla klientów IM. Zasady. Co potrafią wirusy? Nieuczciwe antywirusy. Transfer multimediów. Wzbogacenie. Blokery Windows. Rachunek. Ochrona pamięci flash. Ustawienie hasła. Przekierowania. Ostrzeżenie. Główne metody ochrony. Sytuacja jest standardowa. Typ rachunek„wstęp zastrzeżony”. Wprowadź nazwę konta (literami łacińskimi).

„Wirusy i ochrona antywirusowa” - Oznaki pojawienia się wirusów. Jak właściwie leczyć. Co to jest wirus komputerowy. Wirus. Pochodzenie wirusów komputerowych. Sposoby przenikania wirusów do komputera. Wirus komputerowy. Antywirusy. Metody ochrony przed wirusami komputerowymi. Działania w przypadku infekcji wirusowej.

„Walka z wirusami komputerowymi” - Podstawy antywirusowe. Wirusy makro. Programy antywirusowe. Wyłudzanie informacji. Lekarze i szczepionki. Spam. narzędzia hakerskie. Programy - lekarze. Środki ostrożności. Wirusy komputerowe. wirusy rozruchowe. Wirusy skryptowe. Wirusy plików. Oznaki manifestacji wirusów. Wirus komputerowy. Załączniki. Programy trojańskie. Programy. Monitor antywirusowy. Wirusy to robaki. Ciasteczka.

"Microsoft Forefront" - Rozwiązania różnych producentów. Możliwości. Kontrola i raportowanie. Jądra zawarte w Forefront. Maksymalna niezawodność. Model ochrony przed potencjalnym intruzem. Rodzaje zagrożeń wirusowych. MS na czele. Microsoft na czele. Wydajność. 4 poziomy zagrożenia. Rozwiązanie jednego producenta. Testy MSE. Interfejs. Zarządzanie składem silników antywirusowych Forefront. Microsoft Podstawy bezpieczeństwa. Opcje skanowania.