Что такое червь морриса: Червь Морриса — Википедия – Morris worm — он был первым / Habr

Червь Морриса — Википедия

Червь Морриса (англ. Morris worm), или интернет-червь 2 ноября 1988 (англ. Internet worm of November 2, 1988) — один из первых сетевых червей, распространявшихся через Интернет. Написан аспирантом Корнеллского университета Робертом Таппаном Моррисом и запущен 2 ноября 1988 года в Массачусетском технологическом институте.

Это был первый вирус, получивший значительное внимание в средствах массовой информации. Он также привёл к первой судимости в США по Computer Fraud and Abuse Act 1986 года.

2 ноября 1988 года зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета вычислительной техники Корнеллского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём».

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в исходном коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но если учесть, что в конце 1980-x годов о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

По замыслу автора, червь должен был инфицировать только VAX-компьютеры с операционными системами 4BSD и SunOS 3. Однако, портируемый Си-код дал червю возможность запускаться и на других компьютерах.

Ущерб от червя Морриса был оценён примерно в 96,5 миллионов долларов.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный эксперт Агентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.

Червь Морриса | Programmers вики

2 ноября 1988 г. зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов вСША. Позднее в СМИ этот червь был назван Червём Морриса в честь его автора (аспиранта факультета Вычислительной техники Корнелльского университета Роберта Т. Морриса), а хакерами назван Великим Червём.

Из-за эпидемии, поразившей около шести тысяч узлов ARPANET, все схватились за голову. Винститут Берклисо всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действиявируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканированиикомпьютерачервь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённойсистемными администраторами. С определённой периодичностью программа так или иначе перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состоянияотказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости впочтовом сервереSendmail, сервисахFinger, rsh/rexec сподбором паролей по словарю. Словарь был небольшой— всего лишь около 400 ключевых слов , но если учесть, что в конце1980-x о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс вsh и каждые три минуты ветвился.

По замыслу автора, червь должен был инфицировать толькоVAX-компьютеры соперационными системами4BSD иSun 3. Однако портируемыйСи-код дал червю возможность запускаться и на других компьютерах.

Ущерб от червя Морриса был оценён примерно в 96 миллионовдолларов. И по сегодняшним меркам это немало, а уж в то время, когда число интернет-узлов измерялось даже не сотнями тысяч, это была очень высокая цифра.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный экспертАгентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кодапрограмм, администрирования сетевых узлов и выбора защищённых паролей.

История червя Морриса, который сломал интернет

Компьютерные вирусы можно сравнить с какой-нибудь не слишком значительной проблемой — они почти как случайная аллергия, от которой можно не сложно избавиться, но и подхватить легко. Гуляешь по городу, кто-то чихнул — и на тебе, простуда. Примерно так же обстоят дела в интернете: окажешься не в то время не в том месте, и почти наверняка на компьютере заведутся «неправильные килобайты».

Когда-то давно, когда компьютеры уже «шагали по стране» (в экономически развитых регионах), а интернет только начинался (в виде той же NSFNET), возможность подхватить «кремниевую заразу» через сеть особенно не рассматривалась. Конечно, вирусы (сегодня мы будем называть вирусами все вредоносное ПО) давно существовали, но их активность отчасти можно было контролировать, так как способов их распространения было относительно немного.

Когда появился червь Морриса и кто его автор

Все изменилось с появлением червя Морриса в ноябре 1988-го. Он не проектировался как сверхэффективный вирус, но стал таковым из-за ошибки его создателя, а также беспечности админов — они не были готовы к появлению подобного вредоноса. Итог — до $100 млн экономического ущерба. Правда, вокруг этой суммы ходит много споров.

Червь Морриса получил такое название по имени своего создателя — Роберта Морриса. Роберт родился в 1965 году, его отец был специалистом в области криптографии, работал в Bell Labs и помогал в разработке Multics и Unix. То есть будущему программисту было у кого поучиться.

Роберт показывал хорошие успехи в школе, поэтому постигать азы науки парня отправили в Гарвард, после чего он продолжил получать образование в Корнеллском университете. Будучи студентом первого курса этого учебного заведения, Моррис-младший и натворил дел. «Все в познавательных целях», — уверял позже Роберт.

Дополнительной драмы добавляло то, что его отец в то время уже являлся сотрудником Агентства национальной безопасности. Он занимал руководящий пост в подразделении, ответственном за IT-безопасность систем федерального правительства.

Червь Морриса нередко называют первым сетевым червем, однако он может считаться таковым лишь потому, что это первая подобная программа, расползшаяся чуть ли не по всему интернету. Интернет, напомним, тогда был совсем небольшим и имел мало общего с тем, что позже придумал Тим Бернерс-Ли.

Эксперимент по измерению интернета пошел не так

Роберт задумывал свое детище якобы как экспериментальный проект. Он должен был измерить тот самый интернет — об этом программист заявил позже. Оригинальный мотив в 1988 году мог быть иным. На это указывает и то, что парень тщательно пытался замести следы, отправляя червя в свободное плавание из кампуса MIT, а не из своей альма-матер.

Код писался для запуска на компьютерах VAX компании Digital Equipment Corporation и SUN под управлением BSD UNIX. Роберт использовал несколько уязвимостей, в том числе в программах sendmail (отвечает за работу с электронной почтой) и fingerd (получение некоторых данных о пользователе). Также эксплуатировались иные дыры, позволявшие узнать пароли локального пользователя.

В sendmail, например, после ряда исправлений имелся баг: в определенных условиях можно было запустить дебаг (внезапно: отправив команду debug). Тогда sendmail позволяла вместо адресов указывать дополнительные инструкции. На деле, конечно, все не так просто, но и особых изысков Роберту придумывать не пришлось.

Защиту продумал, выключатель не предусмотрел

Парень посчитал, что админы очень скоро заметят вторжение и предпримут шаги для защиты. Например, заставят червя думать, что его копия уже установлена. 23-летний программист учел и это. Его код действительно проверял наличие копии себя на чужом компьютере, однако в 14% случаев устанавливался, невзирая на полученный отклик. Есть фейк? Все равно установлюсь. Есть другая копия? Да кто ж поймет, все равно установлюсь.

Оказавшись на удаленном компьютере (первыми под удар попали знакомые ему скрытые университетские и исследовательские сети), червь сканировал окружение на наличие других компьютеров и копировался на них. Роберт не ожидал прыти, которую продемонстрировал его код. Ведь условие 14%, как несложно догадаться, хоть и выполнялось, но было бессмысленным: программа наматывала бесконечные «круги» по сети.

Серверы тем временем раз за разом выполняли бесконечные команды, подаваемые червем, полностью парализующим работу систем: программа Морриса работала исключительно в оперативной памяти. Данный факт также не позволял изучить файлы червя, которые удалялись в случае отключения. В дампах обнаружить проблему не удавалось, так как червь отключал сбор подобной информации. fork, в свою очередь, решал проблему с поиском вредного процесса, который регулярно менял название.

Заново включенный в сеть компьютер опять становился жертвой, и самым эффективным способом справиться с напастью в тот момент было полное отключение компьютера от сети. Только после этого администраторы могли убрать нагрузку и «вылечить» машину. Если знали, что и где искать.

Роберт Моррис испугался того, что натворил. Как следует из отчета по итогам расследования инцидента, он предпринял попытки остановить эпидемию («рубильник», самой собой, предусмотрен не был), но не слишком активные. Студент не стал во всеуслышание рассказывать о черве и информировать ответственных, однако позвонил приятелю с просьбой опубликовать анонимные извинения и руководство по «лечению».

Инженеры из Беркли активно работали над поиском и препарированием компонентов программы. Через 12 часов им удалось продумать все необходимые алгоритмы и подготовить заплатки, однако их распространению мешал… да, червь Морриса, из-за которого целые сети либо «лежали», либо были отключены от внешнего мира. Потребовалось несколько дней, чтобы успокоить бурю, поднятую начинающим программистом.

Наказание — общественное порицание и штраф

Для понимания масштабов «шухера», который натворил червь, перечислим агентства, организации и ведомства, привлеченные к решению проблемы. Это Центр национальной компьютерной безопасности, Национальный институт науки и технологий, Агентство военной связи, DARPA, Министерство энергетики США, Лаборатория баллистических исследований (?), Ливерморская национальная лаборатория имени Лоуренса, ЦРУ, Калифорнийский университет в Беркли, Массачусетский технологический институт, институт SRI International и ФБР.

Считается, что червь Морриса заразил около 6 тыс. компьютеров — примерно 10% от всех, что были подключены в то время к интернету. Ущерб в зависимости от важности владельцев компьютеров оценивали в диапазоне от $200 до $53 тыс. за систему (традиционно речь идет о «предполагаемом», то есть гипотетическом ущербе). Власти называли общую сумму ущерба в диапазоне от $100 тыс. до $10 млн, которая с годами превратилась в $95—100 млн и 60 тыс. зараженных компьютеров. Более вероятными представляются все же первоначально озвученные цифры.

На определение авторства ушло время. Есть версия, согласно которой отец 23-летнего парня рекомендовал ему самому рассказать о себе властям. Походит на правду, учитывая пост Морриса-старшего и его непосредственную связь с правительством и нацбезопасностью.

Как бы то ни было, в 1989 году Роберт предстал перед судом, став первым человеком, обвиненным по новой статье о компьютерных преступлениях — Computer Fraud and Abuse Act. Ему грозило до пяти лет тюрьмы и четверть миллиона долларов штрафа. Он отделался тремя годами условно, $10 тыс. штрафа и 400 часами общественных работ (такое наказание программист посчитал чрезмерным, но апелляцию отклонили).

Почему Моррис избежал реального срока, которого требовала общественность? Потому что у Роберта не было преступного замысла, он ничего не скрывал. Все выглядело так, будто человек, используя набор безобидных компонентов, собрал что-то смертельно опасное, но как бы случайно, не желая того. Примерно так действует бинарное оружие. В защиту парня выступил и разработчик sendmail (а также delivermail) Эрик Оллман. По его словам, «ловушка схлопнулась» из-за комбинации нескольких безобидных функций.

В материале The New York Times говорилось о том, что Моррис действовал под впечатлением от научно-фантастического романа Джона Браннера Shockwave Rider. В нем описывался «червь» — программа, призванная вывести из строя контролируемый авторитарным правительством компьютер, лишив его власти. Кстати, именно благодаря этому произведению и появился термин «компьютерный (сетевой) червь».

Считается, что история с червем Морриса подняла несколько не очевидных тогда моментов развития интернета и распространения компьютеров. Оказалось, что вирусы могут быть разными и очень заразными, а бороться с ними не так уж просто. Пользователи узнали о темной стороне сети, а власти поняли, что существующие системы безопасности могут выйти из строя в мгновение ока и поделать с этим ничего нельзя.

Роберт Моррис, в свою очередь, пережил свалившуюся на него популярность. Спустя шесть лет после инцидента он основал стартап Viaweb, который был продан Yahoo! за $49 млн. Моррис воспользовался случаем, взял перерыв, отучился и получил степень, сразу устроившись на работу в MIT.

В 2005 году он с давним партнером Полом Грэмом основал Y Combinator и продолжил академическую карьеру. Из последних его достижений можно отметить тот факт, что в 2019 году Моррис стал членом Национальной инженерной академии США. Хороший был старт, хотя несколько темных пятен в истории осталось.

Источники: People Pill, Mapcon, Business Insider, The New York Times, SciHi, Sentrian, Ryerson University.

Читайте также:

Библиотека Onliner: лучшие материалы и циклы статей

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. [email protected]

Червь Морриса — Lurkmore

A long time ago, in a galaxy far, far away…
События и явления, описанные в этой статье, были давно, и помнит о них разве что пара-другая олдфагов. Но Анонимус не забывает!
«

Три золотых правила для обеспечения компьютерной безопасности: не владейте компьютером, не включайте его и не используйте его.

»
— Роберт Моррис — старший, отец героя статьи

Wrar64.pngНесбыточная мечта любого кулхацкера — чтобы исходный код твоего вируса хранили в музее под стеклом

Червь Морриса (он же Великий Червь) — икона хакеров, первый в истории случай, когда маленькая, но очень активная программка парализовала все интернеты того времени.

1988 год. 2 ноября. США. Корнелльский университет. 22-летний аспирант Роберт Моррис — младший (его папаша был весьма уважаемым криптографом при АНБ) запускает в сеть ARPANET (прообраз интернета, изначально созданный для военных и учёных) написанного им накануне экспериментального червя.

Червь этот был устроен просто и изящно. Используя подбор паролей, а также известные на тот момент уязвимости в различных сетевых сервисах типа sendmail, он пересылал исходники себя на все доступные компьютеры, где компилировался и запускался. Что самое интересное, кроме этого червь не делал вообще ничего — просто распространялся по сети. И его бы, возможно, так никто и не заметил (тем более, что он успешно маскировался под приличные программы), но…

[править] Непредвиденные последствия

Wrar64.pngБобби как бы говорит нам: «Если бы мой червь был немного вреднее, интернетов бы сегодня не было»

В качестве одной из мер самозащиты вирус время от времени должен был создавать и запускать свою копию (на тот случай, если старую прибьют или заменят на подделку). Делал он это либо по расписанию, либо когда заново попадал по кругу на уже заражённый компьютер.

Неизвестно, действительно ли Моррис установил слишком низкий период размножения по ошибке (как он утверждал), или так и было задумано, но факт остаётся фактом: в первые же часы количество копий вируса на каждой машине стало расти лавинообразно. Чем больше экземпляров вируса бродило по ARPANET — тем чаще тот размножался.

Уже к вечеру того же дня админы по всей сети начали подозревать неладное. Подведомственные компьютеры дико тормозили (под DOS/Windows червь не работал, потому естественными причинами сие объяснить не удалось), память была переполнена, программы переставали запускаться. Список запущенных процессов пестрел экземплярами червя. Даже живительный ресет не помогал — более того, становилось только хуже, потому что червь пугался ресета и на всякий случай плодил ещё несколько копий.

В ближайшие пару дней паника продолжилась, а наиболее вменяемые специалисты анализировали работу червя, закрывая дыры в сетевых сервисах и рассылая заплатки. Червь начинает дохнуть, но пока держится. Сам Моррис потихоньку начинает понимать, что он натворил. В панике автор червя сообщает своему другу о ситуации и просит анонимно оповестить интернеты о механизме работы своего творения и методах защиты от него, но… червь восстаёт против создателя — из-за перегруженных им сетевых каналов письмо не может попасть в рассылки в течение суток.

На третий день, 5 ноября, червь активно выгоняется с оккупированной территории, а Роберт Моррис — младший во всём признаётся отцу. Тот, вероятно, втайне радуется таланту сынули, но рекомендует прийти с повинной. Сынуля покорно ковыляет в щупальца закона, и очень вовремя — ФБР уже начало понимать, кого брать на карандаш.

7247 зараженных узлов ARPANET (десятая часть всей сети). Блокировка сети как таковой за счёт переполненных сетевых каналов. Около $100 млн причинённого ущерба. Сообщения о черве в СМИ перебивали новости о победе на президентских выборах Джорджа Буша — старшего. Первый случай обвинения в «компьютерном мошенничестве». Моррису, впрочем, повезло — по причине молодости, пониженной вредоносности червя (тот ничего не стёр, а просто забивал собой ресурсы), а также явки с повинной его осудили всего лишь на условный срок, 10k баксов и 400 часов исправительных работ. Тот, впрочем, не постеснялся подать апелляцию, но не прокатило.

После успеха червя админы по всей территории США, сперва получив целебных, впервые всерьёз задумались о сетевой безопасности. И не зря: хакеров, желающих повторить успех Морриса, но с куда менее добрыми намерениями… ну, вы в курсе.

Сам Моррис, впрочем, с тех пор пришёл к успеху: закончил универ, получил докторскую степень, основывал и инвестировал в IT-компании, сочинил очередной диалект Лиспа и внёс поправку в десятое правило Гринспена. Ну и периодически вспоминает на конференциях о былой славе.

Червь Морриса — это не баг, это фича!
Червь Морриса — враг интернетов.

Червь Морриса — это… Что такое Червь Морриса?

2 ноября 1988 г. зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета Вычислительной техники Корнелльского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём».

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Действие червя

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа так или иначе перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но если учесть, что в конце 1980-x о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

По замыслу автора червь должен был инфицировать только VAX-компьютеры с операционными системами 4BSD и Sun 3. Однако портируемый Си-код дал червю возможность запускаться и на других компьютерах.

Последствия

Ущерб от червя Морриса был оценён примерно в 96.5 миллионов долларов.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный эксперт Агентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.

Ссылки

Краткая история вирусов: к 25-летию Червя Морриса

Если бы внезапно сгорели все компьютеры в мире и нам пришлось бы начинать с нуля, то самый первый вновь собранный компьютер при первой же загрузке, скорее всего, был бы поражён вирусом. Вирусы проникали даже на Международную космическую станцию, куда их в 2008 году принесли сами космонавты на USB-флешках. Эти виртуальные блаттоптеры, как и их насекомые сородичи, наверное, с лёгкостью переживут даже ядерную зиму.

Кажется, уже остался позади золотой век» классических компьютерных вирусов и червей: времена изменились. И если совсем недавно любой обладающий минимумом навыков программиста, скачав набор специального ПО, мог написать и быстро распространить вредоносный код, то сейчас с такими поделками легко справляются антивирусы. Для создания действительно эффективного вредоносного кода сегодня требуются ресурсы самых крупных корпораций и сверхсекретных спецслужб. Но чтобы понимать, что нас ждёт, нужно разбираться в прошлом, поэтому давайте проследим недавнюю историю самых известных компьютерных вирусов, тем более что для этого есть прекрасный повод: совсем недавно, в ноябре 2013 года, исполнилась четверть века с момента появления одного из самых опасных вирусов прошлого – Червя Морриса или просто Великого Червя.

1. Elk Cloner, 1982

На заре персональных компьютеров в начале восьмидесятых для многих уже не составляло труда представить программный аналог человеческих вирусов, которые могут поражать электронный организм и выводить его из строя. Сама концепция вируса как небольшой программы, распространяемой через дискеты, была описана в мартовском номере журнала Scientific American за 1985 год. Там же некий подросток Ричард Скрента-младший рассказывал, какой он видит программу, которая скрывалась бы среди системных файлов и вызывала необъяснимые сбои в работе компьютера. Однако Скрента почему-то не упомянул, что это не просто гипотетические рассуждения: за несколько лет до этого, в 1982-м, он собственноручно написал первый в мире широко известный компьютерный вирус-червь Elk Cloner. Зараза поражала машины Apple II и распространялась через дискеты.

Строго говоря, это был не вирус, а именно червь, поскольку Elk Cloner представлял собой независимую программу, не внедрявшуюся в какие-то другие файлы. Червь не причинял машине особого вреда, за исключением того, что при 50-й загрузке после заражения выводил на экран глупый стишок «Эрик Клонер – программа с личностью». Проблема была лишь в том, что поскольку тогда не существовало антивирусных пакетов, то Elk Cloner приходилось вручную удалять из загрузочного сектора винчестера. Сегодня Ричард Скрента известен как создатель поисковой системы Blekko.

2. Brain, 1986

Первым получившим заметное распространение вирусом для компьютеров на платформе IBM PC стал Brain, появившийся в 1986 году и представший собой рекламу пакистанской компьютерной мастерской, которая изъявляла готовность «излечить» от этого вируса. На экран выводилось соответствующее сообщение:

“(С) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES LAHORE-PAKISTAN
Beware of this VIRUS…. Contact us for vaccination”.

Трудно сказать, насколько прибавилось клиентуры у создателей Brain, но в западной прессе началась настоящая паника. У некоторых даже сложилось впечатление, что компьютеры способны заражать вирусами человека.

При этом сами вирусы становились всё менее безобидными: некоторые из них стали стирать начальные дорожки и первые сектора на жёстких дисках, разрушая загрузочные данные и важную информацию о файлах. «Лечение» было возможным, но чрезвычайно сложным процессом, поэтому в большинстве случаев пострадавшим приходилось заново форматировать диск, теряя все сохранившиеся данные.

3. Червь Морриса, 1988

Разрушительный потенциал зловредов, путешествующих по компьютерным сетям, первым продемонстрировал так называемый Червь Морриса, который был написан в ноябре 1988 года аспирантом американского Корнеллского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти $100 млн, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.

Моррис сделал успешную научную карьеру в Массачусетском технологическом институте и одно время даже занимал должность главного учёного в Национальном центре компьютерной безопасности США, секретном подразделении АНБ.

4. Макровирус Concept, 1995

С началом девяностых жёсткие диски значительно подешевели, а их ёмкость заметно увеличилась, поэтому дискеты использовались уже не так широко – и вирусописателям потребовались новые способы распространения. Одним из таких переносчиков стали файлы Microsoft Office как одного из самых популярных программных пакетов. Поскольку Office включал в себя встроенное средство автоматизации для создания макросов – язык Microsoft Visual Basic for Applications (VBA), – именно он и стал использоваться для написания нового типа зловредов – «макровирусов».

Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. И если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.

Первым макровирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил широчайшее распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО:

“Sub MAIN
REM That’s enough to prove my point
End Sub”.

Несмотря, однако, на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации; некоторые из них, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.

5. Melissa, 1999

Первый настоящий вирус времён интернета – это, конечно же, Melissa, хитроумный коктейль из макровируса, почтового спама и социальной инженерии. Melissa был написан Дэвидом Смитом, известном в Сети под ником Kwyjibo, и получил название в честь его любимой стриптизёрши.

Технически новый вирус был прост до безобразия: он приходил на компьютер в качестве электронного письма с простым сообщением: «Вот документ, который ты просил… никому не показывай :-)». Во вложении находился документ Word, заражённый макровирусом. Поскольку письма рассылали другие заражённые машины, многим казалось, что они действительно приходят от коллег, старых знакомых или друзей. В результате Melissa стал одним из самых быстрораспространяющихся вирусов за всю историю.

Встроенный в Melissa макровирус немедленно проникал в адресную книгу Outlook и всем рассылал свои копии, и на этом деструктивная функция оригинальной версии заканчивалась. Разве что когда дата совпадала со временем в минутах в системных часах, он начинал вставлять в любой редактируемый документ цитату из мультсериала «Симпсоны»:

«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here».

Однако, как вы догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.

Реклама на Компьютерре

6. ILOVEYOU, 2000

Известный вирус, «признававшийся в любви», был написан в 2000 году филиппинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере около $10–15 млрд, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филиппин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

В отличие от предшественников, ILOVEYOU не только рассылался по всем контактам Outlook, но и вёл себя как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

7. Code Red, 2001

В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, который поражал веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

«Красный код» действовал предельно просто: подключаясь к машине с запущенным IIS, он вызывал переполнение буфера и делал её неработоспособной. Кроме того, если в качестве языка такого сервера был установлен американский английский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами – которые на самом деле вряд ли имели отношение к Code Red.

Если системный администратор не принимал мер по удалению вируса в течение 10 часов, то это сообщение исчезало, но за истёкшее время вирус в поисках потенциальных жертв успевал отправить море запросов по случайным IP-адресам, замусоривая каналы бессмысленным трафиком и блокируя сетевую активность. Более того, если системная дата была больше 20-го числа месяца, то Code Red начинал «стучаться» в серверы, расположенные по адресу www.whitehouse.gov, организуя массированную DDoS-атаку на сайт президента США.

Однако, как и во многих вирусах, в самом Code Red скрывалась ошибка: на самом деле сканируемые IP-адреса не были случайными, и в результате некоторые машины, только что очищенные от вируса, в следующую же секунду могли быть вновь заражены.

8. Slammer, 2002

Достойный преемник Code Red – вирус Slammer, который также вошёл в число самых быстрораспространяемых в мире. Этому зловреду удалось заразить 75 тысяч компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Самое примечательное заключается в том, что Microsoft чуть ли не за шесть месяцев до появления Slammer выпустила патч, устраняющий уязвимость, которую эксплуатировал этот вирус. Тем не менее его не установило не только большинство сторонних компаний, но и даже и целые подразделения самой Microsoft!

Одна из крупнейших сетевых атак в результате деятельности Slammer произошла в начале 2003 года, когда вирус за считанные минуты так перегрузил каналы, что почти полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В США и Европе ситуация была не столь катастрофической, хотя замедление скорости передачи данных ощущалось почти в любой точке света.

В дальнейшем эпидемия быстро пошла на спад, поскольку после установки патча было достаточно перезагрузить сервер.

9. Blaster, 2003

Созданный группой китайских хакеров Xfocus червь Blaster (он же Lovesan или MSBlast) использовал ту же схему заражения со сканированием случайных IP-адресов, что и Slammer. И снова использовалась технология переполнения буфера, но уже множества клиентских машин. Целью китайских хакеров были серверы Microsoft: широкомасштабная DDoS-атака с заражённых компьютеров должна была начаться 16 августа 2003 года, но в Редмонде приняли меры – и ущерб от Blaster оказался сведён к минимуму.

Однако модифицированная версия Blaster B, в изготовлении которой уличили американского школьника Джеффри Ли Парсона, оказалась намного опасней и живучей: практически каждый пользователь Windows, не установивший антивирусного ПО, рано или поздно получал на экране окно, в котором говорилось о выключении системы, и запускался обратный отсчёт:

«Система завершает работу. Сохраните данные и выйдите из системы.
 Все несохранённые изменения будут потеряны.

Отключение системы вызвано NT AUTHORITYSYSTEM».

После перезагрузки начинался подбор случайных IP-адресов и попытки заразить другие доступные машины. Через произвольные отрезки времени перезагрузки происходили снова и снова – до тех пор пока вирус не удаляли с компьютера.

Впоследствии появилось ещё несколько модификаций Blaster, но они уже не нанесли такого ущерба, как первые две.

10. Что дальше?

Несмотря на то что периодически появляются сообщения о тех или иных компьютерных вирусах, вот уже несколько лет нет никаких громких эпидемий с катастрофическими последствиями. Сегодня главная угроза для домашних пользователей – это прежде всего «трояны», превращающие компьютер в «боевую единицу» бот-сетей и похищающие разного рода личные данные. Для веб-серверов – это всё те же DDoS-атаки, но организованные уже на принципиально ином уровне, с помощью управляемых сетей ботов.

Почему почти сошли на нет «обычные» вирусы? Во-первых, в Microsoft всерьёз озаботились безопасностью на уровне как серверного, так пользовательского ПО, так что даже Windows XP с Service Pack 3 можно считать довольно безопасной по сегодняшним меркам операционной системой.

Во-вторых, как ни странно, за последние годы выросла «сознательность пользователей», которые понимают, что для работы в интернете обязательно нужно установить антивирусный софт. Забавно, что этим начали пользоваться и сами вирусописатели, пытающиеся распространять своё творчество под видом антивирусов.

Наконец, есть и чисто техническая разница: если до самого начала двухтысячных большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые выступают в качестве брандмауэров и предотвращают в том числе и случайное заражение.

Тем не менее пользователи Windows, как и раньше, остаются самой атакуемой группой – просто потому, что эта операционная система занимает львиную долю рынка. Между тем участились атаки и на машины под управлением OS X, хотя их доля выросла несущественно. И ещё один объект пристального внимания вирусописателей – это мобильные ОС, которых просто не существовало десять лет назад. Речь прежде всего об Android и iOS, которые по числу активных пользователей уже легко поспорят с традиционными «настольными» операционками. И если пока число вирусов для Android не слишком велико, то в обозримом будущем их может оказаться намного больше, чем для той же Windows.

Первый компьютерный вирус в Интернете

 

Лишь спустя несколько дней специалистам удалось определить источник проблемы. Это бы первый в мире своего рода компьютерный червь, который в субботу отметил свое 25-летие.

Как выяснилось, создатель червя это вовсе не советский кибер-преступник. Им оказался 23-летний студент, который допустил несколько важных ошибок в кодировании. Его имя Роберт Тэппэн Моррис (Robert Tappan Morris). Начинающий гений запустил то, что он не смог контролировать, чем привлек к себе массу внимания.

«Ранним утром 3-го ноября — действительно рано — я попытался войти в сеть, чтобы проверь свою электронную почту, но мне это не удалось», — говорит Джин Спаффорд (Gene Spafford), профессор информатики в Университете Пердью и один из немногих экспертов, которые подошли к анализу и демонтированию червя в течение нескольких часов после его запуска. «Тогда я залез в систему, чтобы определить, что не так с сервером и при этом обнаружил проблемы с программным обеспечением«.

Возникшие неполадки были, конечно, последствиями вторжения червя Морриса. Его ничем не сдерживаемое самовоспроизведение привело к краху компьютерной системы. Все произошло быстро. Вирус проник в компьютеры лабораторий, школ и государственных учреждений, расположенных по всей стране.

В ответ на чрезвычайную ситуацию Spaf оперативно создал два отдельных списка с рассылкой: один местный (для администраторов и преподавателей), а другой, называемый Фаговым списком, для тех, кто занимался вопросами о взломе информацию. Список Фага стал жизненно важным ресурсом, через который пользователи Интернета могли понять червя, оставаться в курсе последних новостей и обсуждать более широкие проблемы безопасности.

Однажды пришло сообщение из анонимного источника. В послании говорилось «я сожалею». Здесь же перечислялись способы предотвращения дальнейшего распространения червя. Источником был друг Морриса в Гарвардском университете по имени Andy Sudduth, через которого решил обратиться сам «хакер».

Интернет в 1988 году

«Интернет в то время был очень свободным. Безопасность не вызывала серьезной озабоченности«, — рассказывает Микко Хиппонен (Mikko Hypponen), главный научный сотрудник финской антивирусной компании F-Secure.

В 1988 году общее число компьютеров, подключенных к сети Интернет, колебалось в районе от 65 000 до 70 000 машин. Хотя Интернету в то время было уже около 15 лет, он использовался в первую очередь в академических, военных и правительственных структурах.

«Я не скажу, что мы всем доверяли, но в целом никто не пакостничал и не наносил никакого вреда«, — сообщает Спаф. «Мы жили в районе, где было много людей, но вы могли оставлять свои двери открытыми, не боясь поджигателей«.

Администраторы считают, что недостатки методов обеспечения безопасности в значительной степени соответствовали характеру интернет-сообщества на тот момент времени. Работа Морриса стремительно воспользовалась этой уязвимостью.

Компьютерный червь

Экономические потери, вызванные эффектом червя, варьировали в зависимости от расположения и глубины заражения. По оценкам Калифорнийского университета в Беркли, для очистки учреждения от вируса потребовалось 20 дней работы. Во время слушанья против Морриса судья огласил, что: «Ориентировочная стоимость антивирусных работ на каждой установке колеблется в диапазоне от 200 до более 53 000 долларов».

По некоторым оценкам общая стоимость ущерба от червя Морриса составила от 250 000 до 96 миллионов долларов.

«Все люди знали в то время, что компьютеры выключались (закрывались)», — говорит Марк Раш (Mark Rasch), федеральный обвинитель на суде против Морриса в Соединенных Штатах. «Возникла определенная степень паники и неразберихи в связи с характером того, как распространяется червь«.

Не смотря на то, что вирус был сложным, широко распространяющимся и весьма разрушительным, он не был запрограммирован на уничтожение или удаление чего-либо, и он этого не делал. Вся его разрушительная сила связана с его стремительным самовоспроизведением. Из-за ошибки создателя он сам себя копировал и чем быстрее он это делал, тем медленнее и сложнее работала сеть, машина зависала. Менее чем через 90 минут с момента заражения червь делал зараженную систему непригодной для использования.

«Программное обеспечение было написано для распространения. Я не думаю, что он намеревался причинить ущерб. Это было, скорее всего, случайно либо непреднамеренно», — говорит Спаффорд.

По мнению большинства, Моррис не ожидал, что червь будет копироваться и распространяться так быстро. Из-за ошибки кодирования вирус заражал компьютеры намного быстрее и более публично, чем, скорее всего, было предназначено. Похоже, Моррис допустил «колоссальную» ошибку.

Morris-Worm
Изображение: Flickr, Intel Free Press

Министерство обороны заподозрило в атаке россиян.
«По правде говоря, реакция на это нападение варьировала от легкого раздражения до предположения о наступлении конца света», — говорит Раш. «Были и такие, кто думал, что это прелюдия к мировой войне, полагали, что это попытка со стороны Советского Союза завязать кибер-войну и запустить ядерное оружие«.

Мотивация вирусописателя 

Если червь не был направлен на повреждение или кражу, что побудило Морриса? Некоторые полагают, что он хотел привлечь внимание к недостаткам безопасности. Таково мнение и Спаффорда.

«Но недостатки, которые в этом были, он мог бы отметить и другими способами«, — говорит он. «Я бы никогда не купился на идею, что ты должен сжечь здание до фундамента, чтобы показать, что оно воспламеняющееся«.

Согласно Rasch, Министерство юстиции в то время не имело более согласованного мотива, чем «потому что это можно сделать».

«Это было частично вызвано любопытством и, возможно, определенным высокомерием», — говорит Спаф, который признает, что никогда нельзя быть уверенным в мотиве. «Он молчал обо всем этом в течение последних 25 лет. Кстати, он стал жить своей жизнью и сделал очень хорошую карьеру».

Моррис в конечном итоге признался в создании червя. Процесс по его делу стал первым федеральным случаем о компьютерном преступлении.

Суд

Морриса признали виновным в компьютерном мошенничестве и злоупотреблении. Его приговорили к 400 часам общественных работ, оштрафовали на 10 050 долларов и условно лишили свободы на три года. Многие, в том числе Спаффорд, посчитали, что его уголовное преступление осудили слишком сурово.

«Я никогда не был согласен с тем, что это преступление. Думаю, определение «проступок» было бы гораздо более уместным», — говорит он. «Многое из этого было непреднамеренным«.

Дебаты между тем, уголовное ли это преступление или административный проступок, были строгими. Моррис начал свои показания со слов: «Я сделал это и я сожалею».

Злодеяние, говорит Раш, четко подпадало под положение о преступлении. Но общее мнение всех сторон сводилось к тому, что Моррис не был преступником. Он был тем, кто совершил преступление.

Результат

Год спустя Спаффорд выхлопотал президентское помилование для Морриса. Поведение последнего и изменяющаяся природа компьютерного преступления убедила многих в том, что преступление Морриса не такое уж и тяжкое.

«Я не только поддерживаю его прощение, если бы он меня попросил, я бы представлял его интересы в поисках прощения», — говорит Раш. «Нужно ли ему уголовное преступление в его биографии? Нет. Нужно ли ему ограничение гражданских прав и свобод, связанных с уголовным преступлением? Нет. Он реабилитирован? Я думаю, он был реабилитирован в течение часа после запуска червя«.

«Я уверен, что Роберт Моррис не самый любимый человек в мире, но я не хочу, чтобы его чрезмерно преследовали«.

Случай с «червем Морриса» привел к созданию CERT и в корне изменил взгляды на безопасность для пользователей Интернета. В то время, когда широкая общественность в основном не имела представления об Интернете, его преступление подняло эту тему на передний план национальной дискуссии. Не многие оправдывают его действия, но никто не сомневается в том, что Моррис повлиял на онлайн эволюцию.

«Он не злой гений, потому что он и не злой, и не гений», — говорит Раш. «Он просто очень умный парень, написавший программу, которая сделала очень многое из того, что он хотел сделать, — за исключением одной ошибки».

 

Подготовлено по материалам: mashable.com

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *