Червь Морриса. Заключение

Опубликовано 23.07.2008 - В рубриках: Безопасность

Продолжим повествование о первой эпидемии сетевого червя, пожалуй, самой разруши­тельной ввиду ее неожиданности. Сегодня подробнее на уроках, которые извлекло из этого инцидента мировое ИТ-сообщество, рассмотрим всю историю по часам.

Каждый свидетель этой эпидемии имеет свою историю на тему «кто это сделал-, самая популярная версия гласит, что червя создал и выпустил на волю студент первого курса, компьютерный гений, так сказать, юное дарование. Действительно, Роберт Моррис младший был человеком неглупым и на самом деле учился на первом курсе. Отец его, Роберт Моррис-старший, в период на­писания Червя был известным програм­мистом, специалистом по безопасности операционных систем, сотрудничавший с NSA. Безусловно, информацией, при­надлежавшей отцу, мог воспользоваться и сын.

Зачем он это сделал, навсегда останется загадкой. По его собственным утвержде­ниям, это был всего лишь эксперимент, вышедший из-под контроля. Впрочем Червь и не нанес прямого ущерба. Да. двое суток работы системного адми­нистратора стоят дорого - сотни, а то и тысячи долларов, а работал их не один десяток. Да, компьютеры простаивали, но ни один файл не был уничтожен; хра­нящаяся в машинах конфиденциальная информация не была разослана куда бы то ни было. С этой точки зрения вполне можно допустить, что Червь был действи­тельно безобидным, вышедшим из-под контроля экспериментом. Впрочем, существует и другая гипоте­за, столь же обоснованная. Изначально Червь действительно был безвреден, но на более поздней стадии к нему могли и должны были быть добавлены агрессив­ные модули, например, переправляющие списки раскрытых паролей или уничтожа­ющие файлы. В пользу этой версии сви­детельствует тот факт, что Червь оказался куда более жизнестойким, чем мог бы быть обычный опыт с сетью, а некоторые куски Червя производили впечатление недописанных.

Червь использовал некоторые весьма нетривиальные технологии, включающие аутентификацию при пересылке (Червь пытался «убедиться», что пересылает фай­лы именно копии Червя, он шифровал свои, хранящиеся на диске, файлы), и в то же время атака на fingerd работала только на Vax, а определение типа маши­ны делалось попытками последовательно запустить два выполняемых файла. Похо­же, Моррис действительно упустил свою программу на раннем этапе тестирова­ния…

Сам Моррис с вполне понятной твер­достью уверял суд в том, что никому не желал зла и лишь хотел поэксперименти­ровать.

Кстати, к моменту, когда в ФБР поняли, кто виновен в произошедшем, Моррис уже шел сдаваться. Он. похоже, сам не ожидал такого эффекта: по некоторым данным, он пытался предупредить ком­пьютерное сообщество, потом обсуждал происшествие с несколькими друзьями, даже говорил (анонимно) по телефону с корреспондентом… Наконец, посовето­вавшись с адвокатом, он явился с повин­ной.

Вот такая история, которая была совсем не смешной в то время. Многому ли она научила всех вокруг? Нет, пожалуй, уроки извлекли только некоторые люди, которые действительно знали, какую угрозу это таит. Прошли годы, выросли новые поколения, история забылась, и теперь все специа­листы по информационной безопасности трубят бесконечно о важности и серьез­ности защиты данных, однако «пока гром не грянет, мужик не перекрестится»…

Давайте рассмотрим эту историю, привя­зывая факты к датам и времени.

2 ноября

примерно 17:00 Червь запущен, примерно 18:00 Машина prep.ai.mit.edu, машина с открытым доступом, заражена. 18:30 Зараженная машина Питтсбургско-го Университета заражает машины корпо­рации RAND.

21:00 Червь в Стэнфорде. 21:30 Первая машина в Университете штата Миннесота заражена. 22:04 Калифорнийский Университет, Бер­кли. Майк Кареле и Фил Аапсли вскоре обнаружили Червя по необычно высокой загрузке машины.

22:40-23:40 Северная Каролина, SRI, Университет Карнеги-Меллона, Уни­верситет Мэрилэнда, Университет Пен­сильвании, Массачусетский Технологи­ческий… Червь победоносно шагает по Сети.

23:40 В Беркли понимают, что атака ведется через rsh и sendmail. В качест­ве меры предосторожности начинается блокирование сетевых сервисов. 23:45 Машины Лаборатории Баллисти­ческих Исследований заражены. 23:49 Заражена машина Университета штата Юта, в течение следующего часа загрузка возросла до 100.

3 ноября

до 2:00 Продолжается заражение… 2:38 Peter Yee посылает в список рас­сылки TCP-IP сообщение «Нас атакуют».

3:34 Анонимный постинг в TCP-IP. вкрат­це описывающий, как остановить Червя. Автор постинга (Andy Sudduth) послал это сообщение после телефонного раз­говора с Моррисом, но из-за перегрузки сетей и компьютеров письмо не было отослано в течение примерно суток, примерно 4:00 Университет штата Коло­радо и Университет Пурдью атакованы. 5:54 Кейт Бостик отправляет предуп­реждение о Черве и заплаты к sendmail в список рассылки TCP-IP, ньюсгруппу 4bsd-ucb-fixes и нескольким системным администраторам.

6:45 Клиффорд Столл сообщает о Черве в Национальный Центр Компьютерной Безопасности.

7:30 Юджин Спаффорд обнаруживает необычную загрузку компьютеров. Счи­тая, что дело в неисправности, он пере­загружает машины.

8:07 Эдвард Ванг в Беркли разбирается с атакой через fingerd, но его письмо ос­тается неотправленным в течение более чем полусуток.

8:18 Юджин Спаффорд читает письмо Кейта и отправляет его в ньюсгруппу news.announce.portant, в список рас­сылки nntp-managers и более чем 30 системным администраторам. 10:36 Юджин Спаффорд делает первое описание атаки Червя (атака через fingerd еще неизвестна). 11:30 Арпанет и Милнет разъединены. 14:50 Машины в Пурдью с исправлен­ным sendmail‘OM вновь инфицированы. 18:00 Майк Спицер и Майк Рован (Пур­дью) обнаруживают ошибку в fingerd. Из-за сбоя почтовой системы их письмо не отправляется.

19:00 Билл Соммерфилд из Массачусет-ского Технологического Института зво­нит в Беркли и сообщает об атаке через fingerd. Однако никаких писем и постин-гов не следует.

19:19 Кейт Бостик публикует повые пат-чи к sendmail и fingerd. Письмо портится при передаче, а многие узлы получают его лишь на следующий день. 19:37 Тим Бекер из Рочестерского Уни­верситета рассылает описание атаки через fingerd.

23:10 В Беркли начинается работа по декомпиляции Червя. К утру 4 ноября в Беркли и в Массачу­сетсе работы по декомпиляции были завершены. К 11 часам связь между Арпанет и Милнет была восстановлена. К 8 ноября Интернет работал уже в обычном режиме.

Евгений КУЧУК, SASecurity gr., q@sa-sec.org

---

Комментарии

• Поиск

• Рубрики

  • HardОбзоры
  • Аналитические статьи
  • Безопасность
  • Кодинг
  • Новости
  • Обзоры софта
  • Хакинг

• Aрхив

  • Октябрь 2008
  • Сентябрь 2008
  • Август 2008
  • Июль 2008
  • Июнь 2008
  • Май 2008
  • Апрель 2008
  • Март 2008
  • Февраль 2008
  • Январь 2008
  • Декабрь 2007
  • Ноябрь 2007
  • Сентябрь 2007
  • Август 2007
  • Июль 2007
  • Июнь 2007
  • Май 2007
  • Апрель 2007

Все права защищены © 2007 SASecurity group | info@sa-sec.org Разработано на WordPress | Дизайн: YGoSearch & Spider Agent