Морриса вирус: Morris worm — он был первым / Хабр

история появления вируса, принцип действия и интересные факты

Америка была в шоке, когда второго ноября 1988 года практически все компьютеры, имевшие доступ к интернету (в Америке), около восьми часов утра, что называется, «зависли». Сначала это отнесли к сбоям в энергосистеме. Но потом, когда случилась эпидемия, вызванная «Червем Морриса», стало ясно, что терминалы были атакованы неизвестной на тот момент программой, содержавшей код, не поддающийся имеющимися средствами расшифровке. Неудивительно! В то время компьютеры, подключенные к интернету, исчислялись всего лишь десятками тысяч (примерно 65 000 терминалов) и большей частью были представлены в правительственных кругах или органах самоуправления.

Содержание

Вирус «Червь Морриса»: что это такое?

Сам вирус этого типа явился первым в своем роде. Именно он стал родоначальником всех остальных программ такого типа, которые сегодня отличаются от прародителя достаточно сильно.

червь морриса

Роберт Моррис «червь» свой создал, даже не догадываясь о том, какую популярность он завоюет и какой вред сможет нанести экономике. Вообще, как считается, это был, как сейчас говорят, чисто спортивный интерес. Но на самом деле внедрение в тогдашнюю глобальную сеть APRANET, к которой, кстати, были подключены и правительственные, и военные организации, вызвало такой шок, от которого Америка не могла оправиться в течение долгого времени. По предварительным оценкам компьютерный вирус «Червь Морриса» нанес ущерб порядка 96,5 миллиона долларов США (и это только сумма, известная из официальных источников). Сумма, приведенная выше, является официальной. А то, что не учтено, наверное, и разглашению не подлежит.

Создатель компьютерного вируса «Червь Морриса» Роберт Моррис: немного фактов из биографии

Сразу же возникает вопрос о том, кем же был этот гений-программист, сумевший на несколько дней парализовать компьютерную систему североамериканского континента.

вирус червь морриса

Тот же уважаемый ресурс «Википедия» свидетельствует о том, что во свое время Роберт являлся аспирантом Корнеллского университета Р. Т. Морриса (случайность или совпадение?), на факультете вычислительной техники.

История создания и появления вируса

Как считается, изначально в вирусе не содержалось никакой угрозы. Фред Коэн изучал «Червя Морриса» на основе своих выкладок о вредоносных кодах и выявил в нем интересную особенность. Оказалось, что это вовсе и не вредоносная программа.

компьютерный вирус червь морриса

«Червь Морриса» (хотя его сегодня и принято считать вирусом с подачи Пентагона) изначально был создан как средство тестирования уязвимостей систем на основе «интранет» (неудивительно, что пострадали в первую очередь пользователи APRANET).

Как вирус воздействует на компьютерную систему

Сам Роберт Моррис (создатель вируса) всячески открещивается от последствий, нанесенных его «детищем» Соединенным Штатам, утверждая, что распространение по сети спровоцировала ошибка в коде самой программы. Учитывая то, что образование он получал в университете, тем более на факультете информатики, с этим трудно согласиться.

роберт моррис червь

Итак, так называемый «Червь Морриса» изначально был ориентирован на перехват сообщений между крупными организациями (включая правительственные и военные). Суть воздействия сводилась к тому, чтобы подменить исходный текст письма, отправляемого тогда еще в сети APRANET, с удалением заголовков и окончаний в отладочном режиме Sendmail или при переполнении буфера сетевого fingerd-сервиса. Первая часть в новом письме содержала код, компилированный на удаленном терминале, а третья состояла из такого же бинарного кода, но адаптированного под разные компьютерные системы.

компьютерный вирус червь морриса нанес ущерб порядка

Кроме того, был использован специализированный инструмент, позволявший подбирать логины и пароли при помощи удаленного доступа для выполнения программ (rexec), а также вызова удаленного интерпретатора (rsh), который на командном уровне использовал так называемый «механизм доверия» (сейчас это больше ассоциируется с сертификатами).

Скорость распространения

Как оказывается, создатель вируса был вовсе не глупым человеком. Он сразу сообразил, что чем длиннее код, тем дольше вирус внедряется в систему. Именно поэтому всем известный «Червь Морриса» содержит минимальную двоичную (но компилированную) комбинацию.

создатель компьютерного вируса червь морриса роберт моррис

За счет этого и произошел тот самый бум, о котором теперь на уровне государственных разведывательных служб почему-то принято умалчивать, хотя угроза при самокопировании распространялась практически в геометрической прогрессии (каждая копия вируса способна была создавать от двух и более собственных аналогов).

Ущерб

Никто, однако, не думает о том, какой урон может быть нанесен той же системе безопасности. Тут проблема, скорее, в том, каков сам по себе компьютерный вирус «Червь Морриса». Дело в том, что изначально при проникновении на пользовательский терминал вирус должен был определять, содержится ли в системе его копия. Если таковая имелась, вирус оставлял машину в покое. В противном случае – внедрялся в систему и создавал свой клон на всех уровнях использования и управления. Это касалось и всей операционной системы в целом, и установленных пользовательских программ, и приложений или апплетов.

Официальная цифра, называемая департаментом США (примерно 96-98 миллионов долларов ущерба), явно занижена. Если посмотреть только на первые три дня, это уже было порядка 94,6 миллиона). За последующие дни сумма выросла не так сильно, но вот рядовые пользователи пострадали (об этом официальная пресса и департамент США молчат). Конечно, в то время число компьютеров, подключенных к глобальной паутине, составляло примерно 65 тысяч только в США, но и из них пострадал чуть ли не каждый четвертый терминал.

Последствия

Нетрудно догадаться, что суть воздействия сводится к тому, чтобы полностью лишить систему работоспособности на уровне потребления ресурсов. Большей частью это относится к сетевым подключениям.

когда случилась эпидемия вызванная червем морриса

Вирус в самом простом случае создает собственные копии и инициирует запуск процессов, маскирующихся под системные службы (теперь даже запущенные от имени администратора в списке процессов «Диспетчера задач»). И удалить угрозы именно из этого списка не всегда представляется возможным. Поэтому при завершении процессов, связанных с системой и пользователем, действовать нужно крайне осторожно.

А что Моррис?

«Червь Морриса» и его создатель на данный момент чувствуют себя очень даже неплохо. Сам вирус успешно изолирован усилиями тех же антивирусных лабораторий, поскольку они имеют исходный код, на котором апплет и написан.

Моррис в 2008 году анонсировал выход языка Arc, основанного на «Липс», а в 2010 году стал номинантом и обладателем премии имени Вейзера.

Кстати, еще один интересный факт состоит в том, что государственный обвинитель Марк Раш признал, что вирус вывел из строя множество компьютеров путем принудительного завершения работы, но все равно не нанес умышленного повреждения данных пользователей любого уровня, поскольку изначально был не деструктивной программой, а попыткой проверки возможности вмешательства во внутреннюю структуру имеющихся систем. По сравнению с тем, что изначально злоумышленнику (добровольно сдавшемуся властям) грозило тюремное заключение сроком до пяти лет и 250 тысяч долларов штрафа, он отделался тремя годами условно, штрафом в 10 тысяч долларов и 400 часами общественных работ. Как посчитали многие юристы того (кстати, и нынешнего) времени, это нонсенс.

Несколько итогов

Конечно, сегодня опасаться такой угрозы, которую собой на ранних порах зарождения компьютерной техники представлял «Вирус Морриса», естественно, не стоит.

Но вот что интересно. Как считается, воздействию вредоносных кодов подвержены в основном ОС Windows. А тут вдруг выясняется, что тело вируса изначально было разработано для UNIX-систем. Что это означает? Да только то, что обладателям Linux и Mac OS, которые принципиально основаны на платформе UNIX, пора приготовить средства защиты (хотя и считается, что вирусы именно на эти ОС не воздействуют вообще, в смысле того, что они не были написаны). Вот тут многие пользователи «маков» и «линуксоиды» глубоко заблуждаются.

Как оказывается, даже на мобильных платформах под управлением iOS некоторые угрозы (в том числе и «Червь Морриса») начали проявлять свою деятельность. Сначала это реклама, затем – ненужный софт, потом… — краш системы. Тут невольно и задумаешься. А ведь у истоков этого всего стоял какой-то аспирант, допустивший ошибку в собственной программе-тестере, которая и привела к появлению того, что сегодня принято называть компьютерными червями. А у них, как известно, и принципы воздействия на системы несколько отличаются.

В некотором смысле такие вирусы становятся шпионами (spyware), которые не только грузят систему, но и еще в дополнение ко всему крадут пароли доступа к сайтам, логины, PIN-коды кредитных или дебетных карт и еще бог знает что, о чем обычный пользователь может даже не догадываться. В общем, воздействие этого вируса и ему подобных на данном этапе развития компьютерных технологий чревато достаточно серьезными последствиями, несмотря даже на самые современные способы защиты. И именно в отношении компьютерных червей следует быть максимально бдительным.

Вот такая занимательная и неординарная история, которая еще долго не забудется. Интересного и безопасного вам времяпровождения в сети — без хищения данных, перегруза системы и любых шпионов вроде «червя Морриса»!

Червь Морриса, компьютерный вирус

Вирус Червь Морриса

Именно так назвали самый первый сетевой вирус, который вызвал настоящую эпидемию. Написал его, в то время 22-летний аспирант Корнельского университета, Роберт Моррис. Червь Морриса по другому называют еще Великим червем. Он был первым, он был показательным. Именно поэтому дискета с исходным кодом данного вируса хранится под стеклом в Музее Науки в Бостоне.

Моррис, являясь в тот момент анспирантом ВУЗа, видимо решил провести маленький эксперимент. В то время, в 1988 году, когда Интернета как такового не было, Всемирная сеть была представлена сетью Arpanet. Arpanet, прототип Интернета, был создан правительством США и использовался в основном военными и учеными. Откуда в сеть, которую использовал очень маленький и привилегированный процент населения, влез этот студент? Видимо, как всегда, по блату. Отцом одаренного ребенка был компьютерный эксперт Агенства Национальной Безопасности.

Так вот, этот самый студент и запустил в эту сеть плоды своих экспериментов — червь Морриса. Хотя на тот момент он не был червем Морриса, известность пришла через несколько дней. Что делал данный вирус? Ответить на данный вопрос можно от двух лиц: от лица автора и от лица остального цифрового мира.

Червь Морриса со стороны автора вируса

Роберт Моррис создал червь, который используя ранее известные ошибки в системе безопасности разных систем копировал тело своего вируса на всё новые компьютеры. Он просто должен был распространялся по компьютерам подключенным к сети Arpanet. Перед заражением он должен был проверить наличие этого вируса на компьютере, и заражать только если его там не было. Если же вирус уже имелся на компьютере, то вирус перезаписывался только в какой-то периодичности, которая была довольно большим. То есть если даже тело вируса уже имеется на компьютере, он может его перезаписать в некотором случае. Так же вирус использовал подбор паролей из алфавита, который содержал всего лишь 481(!) вариант.

Червь Морриса со стороны общественности

Общественность будет описывать вирус точно так же как и Роберт Моррис. Отличие только в том, что периодичность, с которой червь Морриса перезаписывал себя была очень и очень маленькой. Позже Роберт скажет, что это получилось случайно и по его ошибке периодичность оказалась весьма маленькой.

Что наделал червь Морриса?

«Благодаря» маленькой периодичности перезаписывания вируса, вирус очень быстро распространялся в сети.  Червь Морриса перезаписывал себя из-за каждого шороха, количество процессов в компьютере быстро росло. Чем больше копий вируса, тем быстрее вирус распространялся — приблизительно как геометрическая прогрессия. Вот таким способом данный эксперимент, который всего лишь должен был проверить свою работоспособность, просто забил всю вычислительную мощность зараженных компьютеров и самой сети. Как только Роберт Моррис понял свою ошибку, он попробовал через друга анонимно описать и предложить защиту от вируса. Как говорится, по иронии судьбы, а если быть точнее, благодаря своему же вирусу, его письмо просто не дошло до адресата, так как вся сеть просто-напросто стояла. Если хотите на своём опыте узнать каково это, создайте простой вирус, который забьет оперативную память Вашего компьютера.

Червь Морриса: итоги

Учитывая все смягчающие обстоятельства, Морриса серьезно не наказали: условный срок, штраф и общественные работы.

Но что полезного дал нам червь Морриса? Во-первых, червь показал то, что Unix-системы тоже уязвимы к подбору паролей. Во-вторых, Моррис использовал давно известные проблемы в безопасности системы. А это хороший толчок к тому, чтобы все заплатки выходили вовремя и все компьютеры должны вовремя обновлять ПО. Именно поэтому опасно использование Windows XP после окончания его поддержки. В-третьих, Моррис использовал алфавит всего лишь с 481(!) вариантом паролей. Почему так мало? Потому что в то время, не было рекомендаций по сложности и длине пароля, или иными словами политики паролей. Основная масса использовала самые распространенные пароли, либо свои имена. А для таких целей подойдет и с полтысячи вариантов.

Так что будьте внимательны. Вовремя устанавливайте последние обновления и используйте только сложные пароли.

25 лет червю Морриса | Блог Касперского

На этих выходных стукнуло двадцать пять первой компьютерной заразе, которая была достаточно массовой, чтобы попасть в телевизионные новости. Знаменитый червь Морриса, написанный студентом Корнелльского университета, поразил примерно 10% компьютеров, подключенных к Интернету, то есть  6 из 60 тысяч. Цифры выглядят смешными, но в этом доисторическом по меркам компьютерной индустрии случае на самом деле собралась квинтэссенция зловредства: эксплойты, стелс-технологии, перебор паролей, DDoS, а венцом всему стало судебное преследование и приговор.

Дискета с исходным кодом червя Морриса хранится в Бостонском музее науки. Фото: Intel Free press

О том, как рассказывали о черве в теленовостях, можно посмотреть видео на YouTube.  А мы немного расскажем о технической стороне дела.

Итак, студент Корнелльского университета Роберт Таппан Моррис решил, по его словам, оценить размер Интернета. Подошел он к этому основательно — написал сложную программу, которая способна самостоятельно распространяться по Сети и препятствовать попыткам ее остановить. Легко заметить, что эта функциональность четко попадает под определение червя. Червь Морриса не причинял какого-либо вреда системе, но ошибка в программе приводила к тому, что многие компьютеры запускали червя десятки раз, что перегружало сервер, делая его, по сути, неработоспособным. Похоже на DDoS, не правда ли?

Как же червь распространялся по Интернету? Ничего не изменилось за прошедшие 25 лет — для этого использовались уязвимости. В случае червя Морриса — целых три. Во-первых, уязвимости реализации Finger и Sendmail в популярных UNIX-системах того времени позволяли запустить на удаленном компьютере произвольный код. Во-вторых, если эти варианты не проходили, червь пытался подключиться к rsh — консоли удаленного администрирования. Правда, для этого требуется пароль, но червь его подбирал. Весьма впечатляет, что большой процент успешно подобранных паролей был достигнут при помощи словаря всего в 400 слов, плюс несколько очевидных вариантов, таких как пароль, совпадающий с именем пользователя или составленный из тех же букв в обратном порядке. О необходимости выбирать надежные пароли и сегодня задумываются немногие, а уж 25 лет назад даже системные администраторы об этом не особо заботились.

Червь не был запрограммирован на вредоносные действия, но из-за ошибки перегружал компьютеры работой.

Проникнув на компьютер, червь менял имя своего процесса, удалял временные файлы и принимал еще ряд мер, препятствующих своему обнаружению, в частности шифровал свои данные в памяти. Запускаясь на новом компьютере, червь проверял, не является ли компьютер уже зараженным. При обнаружении двух копий на компьютере они «играли в кости», и одна самоуничтожалась. То ли из-за ошибки Морриса, то ли для страховки от создания простой «вакцины», основанной на этом эффекте, в одном случае из семи новая копия переставала играть «в выживание» и продолжала работать при любых условиях. Именно это решение привело к DDoS-эффекту, коэффициент 1/7 оказался слишком большим, и многие компьютеры повторно заражались десятки раз.

Несмотря на то что сама концепция сетевого червя оказалась совершенно новой для системных администраторов и для разбирательства с угрозой пришлось спешно создавать рабочие группы программистов и администраторов в МТИ и Беркли,  буквально за два дня были определены и заблокированы «лазейки», через которые червь проникал в систему, а код заразы был целиком дизассемблирован. В общем, с червем было покончено. Несмотря на это, на устранение последствий заражения, по разным оценкам, было потрачено от 100 тысяч до 10 млн долларов.

Интересно, что принятые Моррисом меры конспирации могли бы помочь ему остаться анонимным. Но в дело вступил отец, тоже Роберт Моррис. Соавтор операционной системы UNIX и директор по исследованиям Национального центра компьютерной безопасности при АНБ убедил сына во всем признаться. Суд, состоявшийся в 1991 году, учел этот факт и вынес Моррису довольно мягкий приговор: 3 года условно, штраф 10 тысяч долларов и 400 часов общественных работ. Урок, кстати, пошел Моррису-младшему на пользу — он стал весьма уважаемым членом компьютерного сообщества. Среди его успехов создание одной из первых платформ интернет-коммерции Viaweb (в дальнейшем продана Yahoo! и переименована в Yahoo Store), создание стартап-фермы Y Combinator, работа над новыми языками программирования и профессорская степень в МТИ.

Червь Морриса — Википедия Переиздание // WIKI 2

Дискета с исходным кодом червя Морриса, хранящаяся в Музее компьютерной истории

Червь Морриса (англ. Morris worm), или интернет-червь 2 ноября 1988 (англ. Internet worm of November 2, 1988) — один из первых сетевых червей, распространявшихся через Интернет. Написан аспирантом Корнеллского университета Робертом Таппаном Моррисом и запущен 2 ноября 1988 года в Массачусетском технологическом институте.

Это был первый вирус, получивший значительное внимание в средствах массовой информации. Он также привёл к первой судимости в США по Computer Fraud and Abuse Act 1986 года.

История появления

2 ноября 1988 года зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета вычислительной техники Корнеллского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём».

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Действие червя

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в исходном коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но если учесть, что в конце 1980-x годов о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

По замыслу автора, червь должен был инфицировать только VAX-компьютеры с операционными системами 4BSD и SunOS 3. Однако, портируемый Си-код дал червю возможность запускаться и на других компьютерах.

Последствия

Ущерб от червя Морриса был оценён примерно в 96,5 миллионов долларов.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный эксперт Агентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.

Ссылки

Дискета с исходным кодом червя Морриса, хранящаяся в Музее компьютерной истории
Эта страница в последний раз была отредактирована 28 января 2020 в 19:30.

Червь Морриса — Википедия

Червь Морриса (англ. Morris worm) или интернет-червь 2 ноября 1988 (англ. Internet worm of November 2, 1988) — один из первых сетевых червей, распространяемых через Интернет. Написан аспирантом Корнеллского университета Робертом Таппаном Моррисом, и запущен 2 ноября 1988 года в Массачусетском технологическом институте.

Это был первый вирус, получивший значительное внимание в средствах массовой информации. Он также привёл к первой судимости в США по Computer Fraud and Abuse Act 1986 года.

История появления

2 ноября 1988 года зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета Вычислительной техники Корнеллского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём».

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Действие червя

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но если учесть, что в конце 1980-x годов о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

По замыслу автора червь должен был инфицировать только VAX-компьютеры с операционными системами 4BSD и Sun 3. Однако портируемый Си-код дал червю возможность запускаться и на других компьютерах.

Последствия

Ущерб от червя Морриса был оценён примерно в 96,5 миллионов долларов.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный эксперт Агентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.

Ссылки

Червь Морриса — Википедия

Червь Морриса (англ. Morris worm) или интернет-червь 2 ноября 1988 (англ. Internet worm of November 2, 1988) — один из первых сетевых червей, распространяемых через Интернет. Написан аспирантом Корнеллского университета Робертом Таппаном Моррисом, и запущен 2 ноября 1988 года в Массачусетском технологическом институте.

Это был первый вирус, получивший значительное внимание в средствах массовой информации. Он также привёл к первой судимости в США по Computer Fraud and Abuse Act 1986 года.

История появления

2 ноября 1988 года зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета Вычислительной техники Корнеллского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём».

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций.

Действие червя

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но если учесть, что в конце 1980-x годов о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

По замыслу автора червь должен был инфицировать только VAX-компьютеры с операционными системами 4BSD и Sun 3. Однако портируемый Си-код дал червю возможность запускаться и на других компьютерах.

Последствия

Ущерб от червя Морриса был оценён примерно в 96,5 миллионов долларов.

Сам Моррис хорошо законспирировал код программы, и вряд ли кто мог доказать его причастность. Однако его отец, компьютерный эксперт Агентства национальной безопасности, посчитал, что сыну лучше во всём сознаться.

На суде Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.

Ссылки

Розыгрыш на $100 млн. Как чуть не посадили создателя первого вируса-червя

Два дня, которые потрясли компьютерный мир

Системным администраторам не привыкать работать, когда все спят. Ночь со второго на третье ноября 1988 года выдалась тяжелой для администраторов ARPANET — прообраза современного интернета. Она была создана под эгидой Министерства обороны США и соединяла в основном компьютеры, установленные в научных институтах. Вечером 2 ноября исследователи, работавшие на подключенных к сети компьютерах, заметили неладное.

Машины тормозили, зависали и отказывались работать, память была переполнена, а список процессов забит копиями одной и той же программы.

Работа за компьютером, 1988 год. Фото: Paleofuture

Перезагрузки компьютерам не помогали — при повторном запуске копий вредоносной программы становилось еще больше. К утру зараженными оказались 7000 компьютеров — десятая часть сети ARPANET на тот момент. Компьютерные специалисты были в шоке: систему пытались взломать уже не в первый раз, да и само понятие компьютерного вируса к тому моменту уже прочно закрепилось в лексиконе. Но атаки подобных масштабов сеть еще не испытывала.

В это время 22-летний аспирант Корнеллского университета Роберт Моррис пытался при помощи друга разослать ученым анонимное письмо с описанием механизма работы вируса и рекомендациями, как от него защищаться. Именно Моррис был создателем вируса, и явно мог бы его «усмирить». Но вот какая ирония — простая программа не позволила своему творцу этого сделать.

Из-за перегруженных программой сетей данные отправить не получилось

Научное любопытство

Сам Моррис так и не смог позже внятно объяснить, зачем он это сделал. Скорее всего, сыном известного криптографа и компьютерного специалиста двигало научное любопытство. «Червь Морриса», как потом назвали программу, не должен был «подвешивать» ARPANET. Вирус задумывался как безобидный компьютерный эксперимент, proof-of-concept, способ указать специалистам, что их сеть не так уж и хорошо защищена.

Роберт Моррис. Фото: Telegram

Компьютерный червь не содержал в себе никакой смысловой нагрузки и не должен был влиять на работу сети. Все, на что был рассчитан вирус, — копировать самого себя и передавать на другие машины. Почти как вирус простого герпеса: есть у многих, но люди с нормальным иммунитетом его вовсе не замечают.

Что же пошло не так?

Как это работало

Для распространения своей программы Моррис решил использовать уязвимости в Sandmail и Fingerd. Первый — агент для передачи почтовых сообщений, вторая —  программа, запускаемая операционной системой UNIX и отвечающая на запросы о действиях пользователя (например, когда тот последний раз регистрировался в сети). Также вирус передавался при помощи методов rexec и rsh, позволяющих управлять удаленным компьютером. В этом случае для получения доступа к другой машине червь использовал простой, но изящный метод перебора паролей.

Благодаря тому, что многие пользователи имели одинаковые имена и пароли на всех машинах в сети, сложности в этом не было.

Карта сети ARPANET в 1988 году. Фото: МТИ

Кроме того программа пользовалась определенными трюками, которые должны были затруднить специалистам по компьютерной безопасности обнаружение и обезвреживание вируса. Например, после запуска она удаляла свой исполняемый файл и отключала сообщения об ошибках. Также родительский поток выполнения «Червя Морриса» раз в несколько минут создавал дочерний поток, а сам отключался — благодаря этому в списке процессов регулярно обнулялось время работы программы. Ну и вдобавок ко всему червь умел маскироваться под другие, «здоровые» процессы.

Что пошло не так

Поскольку Моррис предполагал, что его программу все же будут обнаруживать и обезвреживать, то снабдил ее простым методом самозащиты. Червь с определенной периодичностью перезаписывал себя, создавая копию. Делал он это каждый раз, когда попадал на новый компьютер, а затем по определенному расписанию.

Обнаружение и удаление активной копии программы никак не гарантировало, что компьютер будет очищен.

Именно в этом механизме и крылась допущенная Моррисом ошибка. Установленный период размножения был слишком коротким, и в результате программа начала создавать избыточное количество копий. Распространение программы приобрело лавинообразный характер, и эксперимент вышел из-под контроля.

Упрощенная схема работы червя. Фото: Apanados

Создатель червя хотел рассказать о нем миру, как только узнал о последствиях собственного эксперимента.

Сперва он сообщил о нем нескольким друзьям, затем (как мы уже упоминали выше) пытался с их помощью сделать рассылку, чтобы помочь усмирить вирус. Когда распространение превратилось в самую настоящую пандемию, Роберт во всем признался отцу и решился на явку с повинной.

Первый киберзлодей

Эпидемия, вызванная «Червем Морриса», была не первым масштабным нашествием компьютерного вируса. Незадолго до этого по миру прокатились вирусы Brain и Jerusalem. Но несмотря на то, что количество зараженных ими компьютеров было куда больше, чем у Morris Worm, они не нанесли подобного ущерба.

Убыток, нанесенный Моррисом, оценили в 96,5 миллиона долларов.

Общее количество часов потери доступа к сети составило 8 миллионов часов — и еще примерно миллион пришлось потратить на восстановление последствий. И это при том, что программа была в целом безвредной!

Суд над Моррисом продолжался до января 1990 года. Изначально парню грозило пять лет лишения свободы и штраф в 25 тысяч долларов. Но учитывая чистосердечное признание и отсутствие в коде вредоносного предназначения, горе-программист отделался условным сроком. К нему добавили 10 тысяч долларов штрафа и 400 часов обязательных общественных работ.

Моррис во время судебного процесса. Фото: Fifth Domain

Роберт Моррис стал первым осужденным по Закону о мошенничестве и злоупотреблениях с применением компьютера — первым киберпреступником в истории США.

Как червь Морриса изменил мир

Morris Worm был далеко не первым компьютерным вирусом — но именно он заставил инженеров и ученых по всему миру задуматься о вопросах безопасности. Именно после эпидемии 1988 года для повышения безопасности системы стало внедряться использование пауз после неправильного ввода пароля и хранение паролей в закрытом файле /etc/shadow вместо доступного для чтения всем пользователям файла /etc/passwd.

Еще одним важным итогом случившегося стало создание в университете Карнеги-Меллона Компьютерной группы реагирования на чрезвычайные ситуации (Computer Emergency Response Team, CERT) — экспертного сообщества, занимающегося проблемами компьютерной безопасности.

Дискета с исходным кодом червя. Фото: This Day in Tech History

Как раз в это время распространение компьютерных сетей начало набирать обороты, и инцидент, случившийся с ARPANET, на какое-то время стал главной темой во всех СМИ, оттеснив на задний план новости о выборах президента США.

Именно после этого обычные юзеры запомнили слово «червь» и начали хоть немного думать перед тем, как вводить пароли из нескольких единиц.

Сам Моррис больше героем новостных сюжетов не становился. Роберт закончил университет, получил докторскую степень, основал свой стартап и написал один из диалектов языка Lisp. И больше нигде так не ошибался — видимо, после 1988 года всегда тщательно проверял свой код.

Это тоже интересно:

«Бояться искусственного интеллекта нормально, но мы далеки от «Скайнета»

10 способов сделать свой компьютер быстрее

Дмитрий Медведев считает, что скоро часть профессий отдадут роботам. Как это будет

Моррис — Вирусная энциклопедия

Моррис
Тип Интернет-червь
Создатель Роберт Таппан Моррис
Дата обнаружения 1988.11.02
Место происхождения Корнелл, MIT
Исходный язык С
Платформа BSD-производный Unix
Тип файла (ов)
Длина инфекции
Заявленные расходы $ 1 миллион

Червь Morris , также известный как Интернет-червь или Великий червь, иногда считается первым червем Intenet.Кроме того, это был первый червь, привлекший значительное внимание средств массовой информации, а также первый червь, который подчеркнул необходимость повышения безопасности сети и привлек внимание многих уязвимостей в некоторых системах на основе Unix. Червь заражает системы Sun Microsystems Sun 3 и компьютеры VAX, использующие варианты 4 BSD Unix, используя дыры в режиме отладки программы sendmail Операционных систем. Это было сделано в Корнелле, но выпущено в Массачусетском технологическом институте, чтобы скрыть его происхождение.

Червь попадает в систему, используя одну из трех уязвимостей, существующих в Unix-системах того времени (включая Solaris) в BSD, в rsh, fingerd и sendmail.Если червь определит, что новый компьютер заражен, он отправит файлы на новый компьютер, которые загрузят на него основного червя.

Инициализация

Когда червь запускается в системе, он выполняет несколько действий для предотвращения обнаружения. Сначала он устанавливает собственный аргумент sh, то есть имя процесса, совпадающее с именем Bourne Shell. Это обычная командная оболочка в системах на основе Unix, поэтому, если бы пользователь открыл список запущенных процессов, пользователь не увидел бы ничего необычного. Размер дампа ядра червя до 0 байт (дамп ядра происходит, когда происходит сбой программы и копия процесса ЦП помещается в память для проверки), так что червь никогда не может быть найден и исследован в случае сбоя или вынужденного сбоя ,Затем червь считывает текущее время и сохраняет его для будущего использования с генератором случайных чисел.
Затем червь пытается загрузить объектные файлы, необходимые для полной работы. Червь может запускаться с аргументом командной строки -p, который заставляет червя удалять эти файлы после загрузки, а затем удаляет копию диска самого работающего червя. Он также пытается удалить файл /tmp/.dumb, который так или иначе никогда не будет использоваться червем. Если не удается загрузить какой-либо из файлов, червь перестает работать.Червь также прекращает работу, если в его командной строке нет хотя бы одного объектного файла или если он не загрузил файл l1.c, который он использует для распространения в других системах. Червь стирает текст массива аргументов, чтобы снова скрыть свое присутствие.

Червь сканирует сетевые интерфейсы, а также их флаги и адреса. Он остановится, если ничего не найдено. Он загрузит маску сети, которая позволяет определить, какие адреса используются локальной сетью. Затем он убивает процесс из опции -p, изменяя текущую группу процессов, чтобы избежать самоубийства.Это действие завершает инициализацию, и червь вызывает свою центральную процедуру.

Основная рутина

После успешного заражения системы червь запускает процедуру под названием Cracksome , которая ищет потенциальные хосты для заражения. Затем червь запускает другую процедуру под названием other_sleep в течение тридцати секунд. Червь снова запустит Cracksome, а затем разделится на два дочерних процесса и уничтожит родительский процесс. Ребенок имеет всю информацию, которую имел родитель; Кроме того, у ребенка есть новый номер процесса, что затрудняет поиск червя.Затем червь проходит процесс заражения. Затем червь снова запускает other_sleep в течение 120 секунд. Червь также попытается отправить один байт на порт 11357 по адресу 128.32.137.13 (ernie.berkeley.edu), но это не удалось, так как червь использовал TCP-команду sendto, а не дейтаграмму UDP. Это была попытка создателя следить за распространением червя в Интернете. Если червь работал более 12 часов, он очистит некоторые записи своего списка хостов. Червь проверяет свою переменную pleasequit и прекращает работу, если для паролей он использовал более 10 слов из своих словарных файлов.

Cracksome

Затем червь Morris запускает подпрограмму Cracksome (для него и используется ее реальное имя), которая ищет другие системы для заражения и пытается взломать слабые пароли. Червь считывает файл /etc/hosts.equiv для одного списка заражаемых компьютеров. Машины, найденные с этим файлом, специально помечены червем. Он может найти второй список в файле /.rhosts для заражения позже. Червь также использует большую дыру в безопасности, читая файл / etc / passwd, который содержит список всех пользователей компьютера и их пароли, которые зашифрованы.Затем червь будет использовать файл / etc / passwd для поиска личных файлов .forward, используемых для пересылки почты на другие машины, для определения местоположения дополнительных машин для атаки.
Затем червь начинает атаковать системы, найденные в отсканированных файлах. Он начинается с того, что пробует несколько очень слабых паролей, и это успешно примерно тридцать процентов времени. Червь будет использовать собственный алгоритм шифрования, чтобы выбрать возможный пароль, зашифровать его и сравнить с зашифрованными паролями, найденными в файле / etc / passwd.Таким образом, червь может использовать пароль бесконечное количество раз, не отключая никаких сигналов тревоги при неудачном входе в систему. Возможные пароли — это не пароль вообще, имя пользователя, некоторые вариации имени пользователя (записанные в обратном порядке или добавленные к себе), второе значение в строке GECOS, найденное в / etc / passwd, остаток от полного имени после имени в строке GECOS (если первая буква написана заглавными буквами, она будет повторена в нижнем регистре) или ранее упомянутое имя в строке GECOS.Червь атакует 50 учетных записей каждый раз, когда злоумышленник вызывается, и останавливается, когда прошел список учетных записей. Каждые 10 раз, когда вызывается Cracksome, червь будет вызывать функцию other-sleep с аргументом 0.

После того, как червь Морриса прошел весь список учетных записей, он превращается во встроенный словарь. Слова словаря зашифрованы, чтобы запутать людей, пытающихся декомпилировать программу. Червь расшифровывает словарь, а затем проверяет расшифровку на зашифрованный пароль в файле / etc / passwd.Словарь в основном содержит псевдонимы, имена символов и другие имена и слова, которые вряд ли можно найти в стандартном словаре, но являются разумным выбором для паролей. Червь может заполнить весь словарь за 9 часов.

Наконец, червь будет искать слова в файле / usr / dict / words, который представляет собой огромный файл, заполненный словами, которые, вероятно, будут найдены в стандартном словаре. Он попытается использовать строчные версии слов с заглавными буквами в файле.Предполагалось, что просмотр всего файла займет у червя 4 недели, чего не произошло, поскольку червь был удален через четыре дня.

другое_спальное

Функция other_sleep пытается найти других червей в системе. Вероятность того, что червь выполнит эту функцию, составляет 1 к 7, и если это так, то он запускается в течение 30 секунд в первый раз и 120 в секунду. Функция other_sleep вызывается с целым числом в качестве аргумента. Затем он проверяет глобальную переменную other_fd.Если бы эта переменная была отрицательной, она просто подождала бы количество времени, указанное ее аргументом, а затем выбрала, где она остановилась.

Если переменная не отрицательна, червь будет прослушивать сигналы от других червей в сети. Если червь обнаружит сигнал, который может быть другим червем, черви обменяются двумя предварительно определенными номерами, чтобы убедиться, что он подключен к другому червю. Если это так, прослушивающий червь передает случайное число другому червю. Если полученное случайное число было нечетным, в слушающем черве была установлена ​​глобальная переменная pleasequit (которая, очевидно, сообщает червю о прекращении работы).В противном случае была установлена ​​переменная pleasequit другого червя.

Сбой функции other_sleep привел червя к такой катастрофе. Червь должен был продолжить сбор имен пользователей и систем для атаки, а также пройти тестирование как минимум 10 слов из своего внутреннего словаря, чтобы остановить работу. Кроме того, когда несколько червей заразили компьютер одновременно, они все попытались бы найти червей для прослушивания, что никому из них не удалось бы. Они также будут пытаться стать слушателями, и только один из них преуспеет в этом.Если несколько червей запускаются одновременно в присутствии работающего червя, а работающий червь не принимает решения о том, какой процесс завершается, все новые черви по умолчанию выигрывают и продолжают выполнять свои задачи. Если бы машина была сильно загружена (не редкость, когда червь делал обходы), было бы слишком много времени задержки, когда черви пытались прослушивать или отправлять числа и предполагали, что они получили ложные сигналы и продолжают работать. Кроме того, только 1 из 7 червей выполняет необходимую проверку для функции other_sleep, которую даже следует рассмотреть для использования.

Инфекция

Сначала процедура заражения червя определяет, может ли целевая система быть заражена. Это включает в себя, есть ли уже запущенный червь в целевой системе, если червь делал предыдущие неудачные попытки заразить его, и если он вообще существует.
После того, как законная цель найдена, червь вызывает функцию other_sleep с аргументом 1, а затем начинает свою процедуру атаки. Первая называется try_rsh .

Этот метод атаки работает путем создания дублирующего процесса, который пытается удаленно выполнить на целевой машине.Если этот дочерний процесс успешно справляется со своей задачей, он возвращает файловые дескрипторы открытого канала обратно главному червю, чтобы получить новый процесс червя. Если это не удается, дескрипторы файлов закрываются, дочерний процесс завершается и пытается метод try_fingerd .

Метод атаки try_fingerd использует уязвимость в функции Unix fingerd, которая позволяет перезаписать буфер, в котором программа fingerd читает строку аргумента. Червь не будет использовать это в системе SunOS, только в BSD, но это было бы возможно.Червь Моррис использует это, вызывая fingerd с аргументом в 536 символов. Это перезаписывает 512-символьный буфер функции fingerd. Дополнительные 24 символа в конечном итоге перезаписывают системный стек, который контролирует, какие функции называются следующим открывающим интерпретатором команд, который затем используется червем для отправки себя в целевую систему. Это был один из наиболее впечатляющих аспектов червя, поскольку программа Finger очень проста, и никто не думал проверять уязвимость в программе до появления червя.

Если любой из двух методов, описанных выше, завершается успешно, вызывается подпрограмма sendWorm, которая отправляет набор целевых файлов на целевую машину, включая программу l1.c, которая затем открывает соединение с исходным червем, позволяя червю создать дубликат процесса в новой машине.

В случае сбоя двух других методов заражения червь прибегает к своей процедуре try_sendmail . Эта процедура использует уязвимость в сетях TCP систем BSD, которая позволяет кому-то отправлять почту процессу, а не учетной записи пользователя (эта уязвимость фактически использовалась создателями программы для ее тестирования, но уязвимость никогда не устранялась).Червь использует это, отправляя почтовое сообщение с тщательно составленной строкой получателя. Эта строка устанавливает команду, которая удаляет заголовок отправляемого сообщения и передает тело сообщения интерпретатору команд, заставляя его впоследствии скомпилировать копию кода, которая затем открывает соединение и вытягивает копию червя на новый компьютер. Если эта атака не удалась, элемент управления возвращается к своей функции заражения, которая помечает хост как иммунного.

Ошибка в коде червя заставила червя распространяться быстрее, чем ожидал его создатель.Компьютеры на всей территории Соединенных Штатов, подключенные к Интернету, зависали, зависали или полностью тормозили. Ориентировочная стоимость работы с червем на каждой установке составляла от 200 до 53 000 долларов. Команды программистов из университетов Беркли и Пердью работали всю ночь, чтобы остановить червя, и предложили два отдельных решения, поскольку у них было мало возможностей для общения друг с другом. Потребовалось несколько дней, чтобы Интернет вернулся в нормальное состояние, так как многие сайты просто отключились.

Общие убытки неизвестны. По оценкам Джона Макафи, ущерб составил около 96 миллионов долларов, но некоторые обвинили его в создании корыстной оценки. По другим оценкам, ущерб достигает 186 миллионов долларов. Более надежные оценки приводят к потере всего лишь 1 млн. Долл. США, в основном из-за простоя при очистке компьютеров от червя. Число зараженных компьютеров первоначально было установлено на уровне 6200 (10% Интернета в то время), но позже снизилось примерно до 2000.

Несмотря на то, что червь мог выполнять свои процедуры заражения, некоторые исследователи отмечали, что качество кодирования червя в лучшем случае посредственное.Один исследователь приводит, среди прочего, примеры неиспользуемых переменных, неиспользуемых подпрограмм, переменных, вызываемых перед их инициализацией, несвязанных подпрограмм и ошибок. Во многих случаях вызовы системных подпрограмм не проверяются на успех. Вместо того, чтобы использовать хэш-блоки или отсортированные списки, которые могут быть реализованы опытным студентом-информатиком, червь выполняет поиск по линейным спискам, которые используют больше системных ресурсов и требуют меньше знаний в области программирования. Создатель также заставил червя воспользоваться небольшим преимуществом взломанного пароля root.Создатель также, очевидно, не имел большого опыта работы с кодировкой оболочки UNIX, поскольку в одном из сценариев оболочки, используемых червем, используется тестовая строка if [-f sh] для поиска наличия файла с именем sh. Это позволило пользователям предотвратить заражение, разместив каталог с именем sh, что приводит к сбою теста.

Чарльз Шмидт, Том Дарби. «Тур червя»

Евгений Х. Спаффорд, факультет компьютерных наук Университета Пердью. «Программа Internet Worm: анализ», Технический отчет Purdue CSD-TR-823.1988.11.29, новая редакция 12.08

Проект MAC («Швейцария») Проект MIT по математике и вычислениям, «Интернет-червь Роберта Морриса».

Vmyths, Morris Интернет-червь 2001.01.18

,

Morris Worm Turns 25 | Kaspersky официальный блог

В эти выходные у нас была памятная дата. Прошло 25 лет с момента публикации первого компьютерного вредоносного ПО, которое было достаточно широко распространено для включения в новости. Знаменитый Morris Worm, написанный студентом Корнельского университета, заразил около 10% компьютеров, подключенных к Интернету. Точнее говоря, он заразил около 6 из каждых 60 тысяч компьютеров, что сегодня может показаться нелепо маленьким, но этот «доисторический» случай на самом деле очень важен, поскольку объединяет DDoS, эксплойты, стелс-технологии, взлом паролей и другие методы, которые широко используется в современных вредоносных программах в настоящее время.Более того, он закончился первым осуждением в США в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях 1986 года.

Фото предоставлено Intel Free Press
. Дискета с исходным кодом червя Морриса хранится в Бостонском музее науки.

Благодаря Youtube мы можем смотреть, как телевидение рассказало эту историю еще в 1986 году…

… И теперь мы можем рассказать эту историю с точки зрения безопасности.

Студент из Корнелльского университета по имени Роберт Таппан Моррис решил «измерить размер интернета».Для выполнения этой задачи он написал довольно сложную программу, которая смогла воспроизвести себя по сети и предотвратить попытки сторонних разработчиков остановить ее. Эта функциональность точно соответствует определению Computer Worm, то есть его имени. Morris Worm не был разработан, чтобы причинить какой-либо вред, однако ошибка в программировании привела к множественным заражениям одного компьютера, в результате чего сервер стал перегруженным и не отвечал на запросы. Похоже на DDoS, не так ли?

Чтобы распространиться через Интернет, червь использовал ту же технологию, что и его современные правнуки, используя уязвимости.В случае червя Морриса использовались три различные уязвимости. Реализация ошибок Finger и Sendmail в популярных системах на основе Unix позволила удаленно выполнять код. Если тактика не удалась, Worm попытался использовать rsh (удаленную оболочку), обычно используемую для удаленного администрирования. Для использования rsh требуются логин и пароль, поэтому Morris Worm их взбесил. Впечатляюще высокий показатель успеха был достигнут при использовании всего лишь небольшого словаря из 400 слов, плюс некоторые очевидные варианты, такие как пароли, идентичные именам пользователей, или состоящие из одинаковых букв в обратном порядке.Сегодня многим еще не очевидно, что надежные пароли необходимы, поэтому 25 лет назад об этом даже не знали системные администраторы.

После успешного проникновения на компьютер червь изменил имя своего процесса, удалил временные файлы и предпринял некоторые другие меры для предотвращения его обнаружения, например шифрование его данных в памяти. Одним из первых действий при запуске было проверить и убедиться, что компьютер уже заражен. Когда была обнаружена другая копия, две копии «бросили кубик», чтобы решить, какой из них должен самоуничтожиться.Возможно, это была ошибка Морриса, или, возможно, это была мера противодействия легкой «вакцинации», тем не менее одна из семи копий в конечном итоге перестала играть в «игру на выживание» и продолжила свою работу независимо от других копий. Именно это решение привело к эффекту DDoS. Коэффициент 1/7 оказался чрезмерно высоким, и многие компьютеры заражались десятки раз.

Несмотря на то, что системные и концептуальные разработчики не были готовы к червю, они действовали быстро в США.Две рабочие группы были созданы в Массачусетском технологическом институте и Калифорнийском университете в Беркли, и потребовалось всего два дня, чтобы найти и исправить уязвимости, используемые червем и разобранным самим червем. В общем, это был конец червя. Однако стоимость удаления инфекции оценивалась в пределах от 100 до 10 миллионов долларов.

Интересно, что попытка Морриса сохранить анонимность была успешной. Человек, который изменил это, на самом деле был его отец, Роберт Моррис, соавтор ОС UNIX и главный научный сотрудник Национального центра компьютерной безопасности АНБ.Он убедил своего сына признаться. Суд принял это во внимание, и приговор Моррису младшему был назначен на три года условно, штраф в размере 10 тысяч долларов и 400 часов общественных работ. Этот урок оказался полезным для Морриса. Он стал уважаемым членом компьютерного общества. Среди его достижений — создание одной из первых платформ электронной коммерции, Viaweb (позже проданной Yahoo и переименованной в Yahoo Store), создание стартап-фонда Y Combinator, участие в разработке новых языков программирования, и он заработал доктор философии в Массачусетском технологическом институте.

,

вредоносных программ 1980-х годов: оглядываясь назад на вирус мозга и червя Морриса

В этом выпуске нашей серии статей, посвященных Дню защиты от вредоносных программ, рассказывается о двух творениях, характерных для 1980-х годов: вирус, рассматриваемый как первый в мире компьютерный вирус, и червь, нанесший наибольший урон, нанесенный вредоносным ПО. до этого момента

Как и было обещано в пятницу, когда мы представили нашу серию статей, посвященных Дню защиты от вредоносных программ, давайте вспомним первые дни появления вредоносного кода, акцентируя внимание на вирусе мозга и черве Морриса.

Мозг

Обнаруженный в 1986 году, Brain был первым вирусом, нацеленным на платформы IBM PC (и, соответственно, операционную систему MS-DOS). Используя методы, чтобы скрыть его существование, это был также первый вирус-невидимка. Созданный двумя братьями из Пакистана, Баситом Фаруком Алви и Амджадом Фаруком Алви, Мозг заразил загрузочный сектор дискеты.

Но , почему было написано? Братья Альви управляли компьютерным магазином в пакистанском городе Лахор, когда они обнаружили пиратские копии написанной ими компьютерной программы, распространяемой их клиентами.Это заставило их задуматься о том, как они могли бы преподать своим клиентам урок: войти в мозг, также известный как пакистанский мозг.

Как объяснили в интервью с экспертом по безопасности Микко Хиппонен в 2011 году, вирус был создан исключительно для борьбы с нелегальными копиями их программ. В дополнение к сообщению, предупреждающему пользователей о том, что они запускают загрузочное программное обеспечение, код вируса также включает имена братьев, номера телефонов и адреса их магазинов. По словам братьев, вирус «не был создан для уничтожения каких-либо данных».Скорее, оно предназначалось для того, чтобы пользователи, чьи компьютеры были заражены из-за использования пиратского программного обеспечения, могли связаться с ними для «вакцинации».

Тем не менее, они никогда не ожидали, что первый телефонный звонок придет из Соединенных Штатов, или что вирус распространится в различных частях мира.

Вот интервью полностью:

Моррис

Червь Моррис, иногда называемый также Интернет-червем, вошел в учебники истории как первый компьютерный червь, который был распространен через Интернет и скомпрометировал тысячи компьютеров, привлекая к себе внимание масс-медиа.Он был написан и выпущен в 1988 году Робертом Таппаном Моррисом, 23-летним докторантом в Корнелльском университете и сыном Роберта Морриса-старшего, известного криптографа и бывшего главного ученого в Национальном центре компьютерной безопасности АНБ.

В то время Интернет состоял примерно из 60 000 компьютеров, около 6000 из которых были заражены червем. После того, как код был выпущен с компьютера в Массачусетском технологическом институте (MIT) в ноябре 1988 года, большая часть тогдашнего Интернета была парализована.В конечном итоге это привело к созданию первой группы реагирования на компьютерные инциденты (CERT).

Червь использовал уязвимости в Unix sendmail, fingerd и rsh / rexec, а также использовал слабые пароли. Он содержал 99 строк кода и, конечно, имел способность к самовоспроизведению и распространению. Это стало опасной угрозой из-за изъяна в его механизме распространения, который в конечном итоге заразил тысячи компьютеров в университетах, в государственных лабораториях, а также в компаниях.

Помимо нанесенного ущерба, червь также выявил множество слабых мест безопасности, выявив, среди прочего, необходимость пересмотра процедур защиты паролем.

Согласно заявлениям Роберта Морриса, червь никогда не предназначался для того, чтобы быть злым или распространяться так быстро. Не ясно, почему именно он был создан и запущен, хотя часто думают, что Моррис «только» стремился выяснить, насколько велик был Интернет. В любом случае, когда Моррис понял, что червь распространяется так бурно, он попросил друга отправить электронное письмо с извинениями за его создание и дать инструкции о том, как его убить.Однако, учитывая хаос, который вызвало вредоносное ПО, его сообщение осталось незамеченным.

Создатель червя стал первым, кто был осужден в соответствии с недавно принятым Законом о компьютерном мошенничестве и злоупотреблениях. Он был приговорен к трем годам испытательного срока и приказал уплатить штраф в размере 10 050 долларов и выполнить 400 часов общественных работ.

Следите за вторым выпуском нашей серии, чтобы отметить День защиты от вредоносных программ в следующий понедельник. А пока вот несколько хороших прочтений, чтобы занять вас:

Двадцать лет до мыши (Белая книга от ESET Уважаемый Исследователь Арье Горецкий)

Воспоминание о среде: пакистанский мозг

Воспоминание Вторник: Моррис Червь

Пять интересных фактов о черве Морриса (к 25-летию со дня рождения)

Когда вредоносное ПО выходит из строя: исторический образец

,

morris virus Wikipedia

Интернет-червь Morris или от 9 ноября 1988 года был одним из первых компьютерных червей, распространенных через Интернет, и первым, получившим значительное внимание средств массовой информации. Это также привело к первому обвинительному приговору в США по Закону о компьютерном мошенничестве и злоупотреблениях 1986 года. [1] Он был написан аспирантом Корнелльского университета Робертом Таппаном Моррисом и выпущен 2 ноября 1988 года из компьютерных систем Массачусетского технологического института.

Архитектура []

По словам его создателя, Роберта Таппана Морриса, червь Морриса был написан не для того, чтобы наносить ущерб, а чтобы подчеркнуть недостатки безопасности. Червь был выпущен из Массачусетского технологического института в надежде предположить, что его создатель учился там, [ цитирования нужно ] , что не сделал Моррис (хотя Моррис стал штатным профессором в Массачусетском технологическом институте в 2006 году). [2] Он работал, используя известные уязвимости в Unix sendmail, finger и rsh / rexec, а также слабые пароли. [3] Из-за использования rsh (обычно отключенного в ненадежных сетях), исправлений в sendmail, finger, широкого использования сетевой фильтрации и повышения осведомленности об опасностях слабых паролей, он не должен преуспевать в современных, должным образом настроенная система.

Якобы непреднамеренное следствие кода, однако, привело к тому, что он стал более вредоносным: компьютер мог быть заражен несколько раз, и каждый дополнительный процесс замедлял работу компьютера, в конечном итоге вплоть до невозможности его использования.Это будет иметь тот же эффект, что и бомба-вилка, и несколько раз приведет к поломке компьютера. Основная часть червя могла заразить только машины DEC VAX с системами 4BSD и Sun-3. Переносной C-компонент «захватного крюка» червя был использован для перетаскивания (загрузки) основных частей тела, и захватный крюк мог работать в других системах, загружая их и делая их периферийными жертвами. [4]

Ошибка []

Критическая ошибка, которая превратила червя из потенциально безвредного интеллектуального упражнения в яростную атаку типа «отказ в обслуживании», заключалась в механизме распространения.Червь мог определить, проникнуть ли на новый компьютер, спросив, запущена ли уже копия. Но просто сделать это было бы легко остановить, так как администраторы могли просто запустить процесс, который отвечал бы «да», когда его спросили, существует ли уже копия, и червь остался бы в стороне. Защита от этого была вдохновлена ​​мантрой Майкла Рабина «Рандомизация». Чтобы компенсировать эту возможность, Моррис приказал червю скопировать себя, даже если ответ «да», 1 из 7 раз. [5] Этот уровень репликации оказался чрезмерным, и червь быстро распространялся, заражая некоторые компьютеры несколько раз. Рабин сказал, что Моррис «должен был сначала попробовать это на тренажере». [6]

Воздействие червя []

Государственное управление по подотчетности правительства США оценило ущерб в 100 000–10 000 000 долл. США. [7] Клиффорд Столл, который помогал бороться с червем, писал в 1989 году: «Я обследовал сеть и обнаружил, что две тысячи компьютеров были заражены в течение пятнадцати часов.Эти машины были мертвы в воде — бесполезны до дезинфекции. А удаление вируса часто занимало два дня ». Он сказал, что червь показал опасность монокультуры, поскольку« если бы все системы на Arpanet работали под управлением Berkeley Unix, вирус отключил бы все пятьдесят тысяч из них ». [8]

Обычно сообщается, что около 6000 основных машин UNIX были заражены червем Morris; однако, коллега Морриса Пол Грэм заявил: «Я был там, когда эта статистика была составлена, и это был рецепт: кто-то догадался, что к Интернету подключено около 60 000 компьютеров, и что червь мог заразить десять процентов из них». ,« [9] Столл писал:« Ходят слухи, что [Моррис] работал с другом или двумя в вычислительном отделе Гарварда (студент Гарварда Пол Грэм послал ему письмо с просьбой «Любые новости о блестящем проекте») ». [ 8]

Интернет был разделен на несколько дней, так как региональные сети отключались от магистрали NSFNet и друг от друга, чтобы предотвратить повторное заражение, так как они очищали свои собственные сети.

Червь Морриса побудил DARPA профинансировать создание CERT / CC в Университете Карнеги-Меллона, чтобы дать экспертам центральный пункт для координации действий в чрезвычайных ситуациях в сети. [10] Джин Спаффорд также создал список рассылки Phage для координации действий в чрезвычайной ситуации.

Роберт Моррис предстал перед судом и был осужден за нарушение Кодекса Соединенных Штатов: Раздел 18 (18 США, § 1030), Закон о компьютерном мошенничестве и злоупотреблениях [11] по делу США против Морриса . После апелляции он был приговорен к трем годам условно, 400 часам общественных работ и штрафу в размере 10 050 долларов плюс расходы на его надзор. [12]

Червя Морриса иногда называли «Великим червем» из-за разрушительного воздействия, которое он оказывал на Интернет в то время, как на общее время простоя системы, так и на психологическое воздействие на восприятие безопасности и надежности Интернета. ,Название произошло от «Великих червей» Толкина: Скат и Глаурунг. [13]

Примечание []

Роберт Таппан Моррис, создатель червя, является сыном Роберта Морриса, криптографа, который в то время работал на АНБ. [14]

В популярной культуре []

  • В фильме 1995 года « Хакеры » изображен главный герой, который выпускает вирусную атаку, имеющую несколько сходств с червем Морриса: событие происходит в 1988 году, заражает более тысячи компьютеров, приводит к серьезным экономическим сбоям и приводит к тому, что его пропагандист становится оштрафован и назначен на испытательный срок.
  • В визуальном романе Digital: A Love Story червь Моррис изображается в качестве прикрытия для крупномасштабной атаки на ARPANET и несколько систем досок объявлений.
  • В эпилоге своей книги Яйцо кукушки Столл подробно описывает свои усилия по борьбе с червем Морриса.
  • В Halt and Catch Fire , вирус, который работает аналогично червю Морриса, создан для измерения размера сети.
  • В веб-комиксе «Internet Explorer» Червь Моррис изображается как персонаж женского пола, который просто хочет узнать размер тогда еще зарождающегося Интернета, но непреднамеренно и основательно сеет хаос, куда бы он ни шел. Merryweatherey (w), принцесса Хинхой (a). {{{title}}} Эп. 51: нет ({{{date}}}), получено в 2019-12-18
  • Внешние ссылки []

    ,

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *