Суєта навколо Роберта або Морріс-син і все, все, все …, Різне, Security & Hack, статті

І. Е. Моісеєнко

Якщо кому-небудь, навіть не пов&#8217;язаного з дивовижним світом<br /> обчислювальної техніки, задати питання про те, яка з країн світу<br /> досягла найбільших успіхів у цій галузі, то в 99% вам назвуть<br /> Сполучені Штати Америки. І це, звичайно ж, правда. США на<br /> сьогоднішній день залишаються цитаделлю комп&#8217;ютерного світу, його потужної<br /> основою. Незважаючи на значні зусилля інших країн, більшість<br /> пріоритетів в комп&#8217;ютерній області належить американським<br /> корпораціям, американським університетам і взагалі &#8211; щоб не<br /> перераховувати всіх інших американських організацій та осіб &#8211; усього<br /> американському суспільству &#8211; суспільству, найближче стоїть до того<br /> якісному порогу розвитку, за яким це суспільство зможе з повною<br /> упевненістю назвати себе суспільством інформаційним.<br /> Однак за все в цьому світі доводиться платити і особливо багато<br /> платити доводиться тому, хто йде першим. Тому США разом з<br /> лаврами лідера придбали масу серйозних і складних проблем, причому не<br /> тільки наукових чи технічних, а й соціальних. За прикладами ходити<br /> далеко не треба: феномени комп&#8217;ютерної злочинності, комп&#8217;ютерних<br /> вірусів, комп&#8217;ютерної субкультури хакерів, що підсилюється залежність<br /> життєво-важливих державних і громадських структур від надійності<br /> апаратних засобів та правильної роботи програм &#8211; все це реалії<br /> сьогоднішнього дня розвинених в комп&#8217;ютерному відношенні держав і перш<br /> всього &#8211; США. Так що лідерство будь-якого суспільства (або, якщо<br /> хочете, держави) у будь-якій області на увазі в чималому<br /> ступеня здатність цього суспільства швидко реагувати на неминуче<br /> виникають труднощі і проблеми, аналогів вирішення яких у світі<br /> просто не існує.<br /> Ті, хто йде слідом за лідером, вчаться на його досвіді, намагаються<br /> уникнути його помилок, використовують успішно використані ним методи. Це<br /> вобщем-то й зрозуміло &#8211; рано чи пізно все йдуть в одному напрямку<br /> стикаються приблизно з тими самими проблемами, якщо, звичайно,<br /> хто-небудь з йдуть не починає претендувати на власний &#8211;<br /> &#8220;Унікальний&#8221; &#8211; шлях, що загрожує, природно, власними &#8220;унікальними&#8221;<br /> синцями та шишками. Право, має сенс гарненько подумати, чи варто<br /> винаходити велосипед, якщо потім доведеться їздити на велосипеді сусіда.</p> <p>A Що було до цього.</p> <p> &#8220;I remember the good old days, when<br /> computers were mainframes, analysts were<br /> magicians, and programmers punced<br /> cards&#8230;&#8221; [A1]<br /> Philip Fites, Peter Johnston, Martin Kratz<br /> &#8220;Computer viruses crysis&#8221;</p> <p>&#8220;Вражає байдужість, з яким люди до<br /> досі сприймають факти атак систем<br /> безпеки (будь то несанкціонований<br /> доступ, використання недозволених<br /> привілеїв, &#8220;троянські коні&#8221;, або<br /> загальновідомі віруси) поки відносно<br /> нешкідливі, чим і виправдовують відсутність<br /> інтересу. Я думаю, що повинно статися<br /> щось по наслідком порівнянне з Чорнобилем<br /> або Тримайл Айлендом, щоб прокинулось<br /> більшість нашого суспільства. &#8221;<br /> Петер Ньюман, дайджест RISKS_FORUM.</p> <p>В принципі, до того, що відбулося в листопаді 1988 року, вела вся<br /> історія розвитку обчислювальної техніки, проте висловлювати її цілком<br /> сенсу не має, оскільки справа ця вельми довгий, хоча і дуже<br /> цікаве. Тому ми зупинимося лише на окремих фактах,<br /> мають безпосереднє відношення до описуваних далі подіям.<br /> Отже &#8230;</p> <p>&#8230; 1969 рік. За ініціативою Управління перспективних досліджень<br /> Міністерства Оборони США &#8211; Defense Advanced Research Projects Agency;<br /> DARPA &#8211; в США створюється локальна обчислювальна мережа, що одержала<br /> назва Advanced Research Projects Agency NETwork &#8211; Arpanet. [A2] Ця<br /> мережа створювалася в інтересах дослідників в галузі обчислювальної<br /> техніки і технології для обміну повідомленнями, а також програмами і<br /> масивами даних між найбільшими дослідницькими центрами,<br /> лабораторіями, університетами, державними організаціями та<br /> приватними фірмами, які виконують роботи в інтересах Міністерства Оборони<br /> США (Department of Defence of USA; DoD).</p> <p>Arpanet швидко завоювала симпатії вчених і інженерів, оскільки<br /> важко переоцінити можливість швидкого обміну даними при веденні<br /> спільних робіт підрядниками Пентагону, віддаленими одне від одного на<br /> досить пристойні відстані аж до ситуації, коли абоненти мережі<br /> розташовувалися в протилежних кінцях країни: наприклад,</p> <p> ______________________________<br /> [A1] &#8220;Я пам&#8217;ятаю добрі старі часи, коли комп&#8217;ютери були<br /> великими, аналітики вважалися чарівниками, а програмісти<br /> перфорувати карти &#8230; &#8221;<br /> Філіп Файтс, Петер Джонстон, Мартін Кратц<br /> &#8220;Криза комп&#8217;ютерних вірусів&#8221;</p> <p>[A2] Мережа управління перспективних досліджень.</p> <p>Массачусетський технологічний інститут (Massachusets Institute of<br /> Technology, або просто MIT), що знаходиться в Каліфорнії і Корнеллський<br /> університет, розташований в штаті Нью-Йорк (запам&#8217;ятайте ці назви!).<br /> Швидка і якісний зв&#8217;язок, що базується, звичайно, на прекрасно<br /> розвиненої мережі телефонних ліній зв&#8217;язку США, вельми істотно впливала на<br /> хід розробок, підвищуючи їхню ефективність і скорочуючи витрачається<br /> час. Якщо врахувати легкість доступу користувачів до мережі через<br /> відносно просту систему паролів, а також те, що робота з мережею<br /> велася на основі зрозумілих навіть непосвяченим у таїнства комп&#8217;ютерних<br /> систем операційних команд, стане зрозумілою та популярність, яку<br /> Arpanet придбала серед учених.<br /> Фінансування цієї мережі здійснює Пентагон, але навряд чи<br /> слід вважати Arpanet мілітаристської системою типу СОІ; в кінці<br /> решт, цю мережу використовували &#8211; і використовують &#8211; звичайні вчені та<br /> дослідники для обміну науковою і технічною інформацією, звичайно, в<br /> певною мірою важливою, але навіть не секретною.<br /> Проте наївно було б припускати, що Пентагон через яких-небудь<br /> міркувань стане займатися благодійністю і за просто так<br /> стане викладати відвойовані у Конгресу грошики на фінансування<br /> переговорів між університетами, фірмами і т.д. Військові не залишилися<br /> програші, оскільки мережа Arpanet за допомогою спеціальних команд могла<br /> бути логічно &#8220;розділена&#8221; на підмережі. Саме таким чином в<br /> 1983 році в інтересах військового зв&#8217;язку (але для обміну несекретними<br /> повідомленнями) зі складу мережі Arpanet була виділена подсеть, що отримала<br /> назва Military Network &#8211; &#8220;військова мережа&#8221; &#8211; Milnet.</p> <p>Процес об&#8217;єднання окремих обчислювальних систем в мережі став<br /> одним з магістральних напрямків розвитку обчислювальної техніки.<br /> Крім Arpanet в США в даний час працює маса інших мереж:<br /> фірми &#8211; розробники обчислювальної техніки та програмних засобів<br /> мають власні внутрішні локальні обчислювальні мережі;<br /> обчислювальні системи банків активно об&#8217;єднуються в мережі &#8211;<br /> використовувати в роботі обчислювальну мережу стало для американців<br /> ознакою хорошого тону. Мережі стали використовуватися для зв&#8217;язку<br /> обчислювальних систем, що знаходяться в різних країнах світу (!):<br /> наприклад, американська мережа Національного Наукового Фонду NSFnet,<br /> об&#8217;єднує близько 2000 систем по всьому світу.<br /> Набирає силу процес інтеграції обчислювальних потужностей<br /> цілком послідовно привів до ідеї об&#8217;єднання різних мереж друг<br /> з одним в свого роду суперсет &#8211; такий &#8220;мережею мереж&#8221; в Америці стала<br /> мережа Science Internet або просто Internet, нині об&#8217;єднує 1200<br /> мереж (!) по всій Америці і що має вихід на європейські<br /> обчислювальні мережі через систему Лондонського університету! В<br /> сукупності під егідою Internet працюють близько 500 000 обчислювальних<br /> систем. Таке важко навіть уявити! Ще більш складно уявити,<br /> що всі ЦЕ успішно працює на благо цивілізованого людства.</p> <p>Осмислення інтеграційних процесів у комп&#8217;ютерному світі вилилося<br /> у створення моделі &#8220;взаємодії відкритих систем&#8221; &#8211; OSI; Open Systems<br /> Interconnection, &#8211; реалізація якої дозволила б обмінюватися<br /> інформацією обчислювальним системам різних виробників, і,<br /> відповідно, різної архітектури. Модель OSI була запропонована<br /> Міжнародною організацією стандартизації [A3] в 1970 році і<br /> являє собою семиуровневой набір протоколів, повністю<br /> визначають і стандартизує процес передачі даних. Концепція OSI</p> <p>гарантує, що локальна мережа, що використовує один із стандартних<br /> протоколів для кожного з семи рівнів моделі, працюватиме<br /> спільно з іншими мережами даного стандарту.<br /> Природно, в реалізації такої моделі вельми зацікавлені всі,<br /> хто використовує обчислювальну техніку &#8211; а на &#8220;дикому&#8221; Заході її<br /> використовують практично скрізь. Загальна реалізація моделі &#8220;відкритих<br /> систем &#8220;стало б основою формування інформаційного суспільства.<br /> Модель OSI підтримується більшістю основних фірм-виробників<br /> комп&#8217;ютерів і мереж, а також багатьма великими споживачами мереж, в<br /> тому числі і урядом США.<br /> В стороні від цих проблем не міг залишитися і Пентагон, чуйно<br /> ловитиме тенденції у світі науки і техніки завдяки своїм вельми<br /> компетентним консультантам. Прозорливість, з якою американське<br /> військове відомство підминає під себе перспективні розробки,<br /> вкладаючи в них чималі сили і кошти, викликає повагу. Так саме<br /> на замовлення DoD був розроблений один з трьох найбільш поширених<br /> протоколів транспортного рівня моделі OSI, який отримав назву<br /> TCP / IP [A4], реалізований на практиці в мережах Arpanet і Internet.</p> <p>Однак блискучі перспективи інформаційного суспільства дещо<br /> зблякли в останні роки у зв&#8217;язку з появою комп&#8217;ютерних вірусів,<br /> названих &#8220;чумою інформаційної ери&#8221;. Оскільки інтеграція<br /> обчислювальних систем підвищує їх вразливість для вірусів, деякі<br /> експерти вважають, що &#8220;століття інформатики&#8221; може закінчитися крахом<br /> концепції &#8220;відкритих систем&#8221;.</p> <p>Комп&#8217;ютерні віруси &#8211; тема для окремого дуже цікавого і<br /> дуже довгої розмови. Торкаючись цієї теми, постійно ловиш себе на<br /> непереборному бажанні пофілософствувати щодо впливу вірусів на<br /> розвиток обчислювальних систем.<br /> Останнім часом комп&#8217;ютерні віруси придбали надзвичайну<br /> популярність в самих різних верствах суспільства: фахівці серйозно<br /> вивчають цю проблему; розробники ламають голову над створенням все<br /> більш витончених засобів захисту; програмісти і адміністратори систем,<br /> моторошно лаючись, відловлюють віруси в своїх системах; більшість<br /> користувачів знаходяться в стані побожного жаху перед одним<br /> згадкою вірусів вголос, а вся інша маса простих смертних,<br /> непосвячених у таїнства комп&#8217;ютерного світу, з повним нерозумінням, але<br /> проте з великим інтересом типу &#8220;Ну треба ж!&#8221;, періодично<br /> читають в газетах маленькі замітки про &#8220;кровожерливих&#8221; комп&#8217;ютерних<br /> віруси, невідомо звідки нападають на ЕОМ.</p> <p>Взагалі феномен комп&#8217;ютерних вірусів стоїть перед комп&#8217;ютерним<br /> суспільством давно, в усякому разі перше офіційне повідомлення про це<br /> явище відноситься до 1978 року, хоча і цю дату можна вважати днем<br /> народження проблеми.</p> <p> ______________________________<br /> [A3] ISO &#8211; International Standards Organization &#8211; офіційно<br /> розміщується в Женеві. Представником ISO в США є Національний<br /> інститут стандартизації &#8211; American National Standards Institute &#8211;<br /> ANSI.</p> <p>[A4] Transmission Control Protocol / Internet Protocol &#8211; протокол<br /> управління передачею та взаємодії між мережами.</p> <p>Сам термін &#8220;вірус&#8221; відносно певного виду комп&#8217;ютерних<br /> програм вперше вжив Фред Кохен в 1984 році на конференції по<br /> питань безпеки комп&#8217;ютерних систем в доповіді про свої<br /> дослідженнях. Своєю назвою комп&#8217;ютерні віруси зобов&#8217;язані<br /> певному подібності з вірусами природними: здатності до<br /> саморозмноження; високій швидкості розповсюдження; вибірковості<br /> слабости систем (кожний вірус вражає тільки певні системи<br /> або однорідні групи систем); здібності &#8220;заражати&#8221; ще незаражені<br /> системи; труднощі в боротьбі з вірусами і т.д. Останнім часом до<br /> цих особливостей, характерним для вірусів комп&#8217;ютерних та<br /> природних, можна додати ще й постійно збільшується швидкість<br /> появи модифікацій і нових поколінь вірусів. Тільки якщо у випадку<br /> вірусів природних цю швидкість можна пояснити могутністю і<br /> винахідливістю природи, то віруси комп&#8217;ютерні зобов&#8217;язані швидкістю<br /> виникнення нових штамів виключно недогляд або маревних<br /> ідеям людей певного складу.<br /> Однак серйозного ставлення комп&#8217;ютерні віруси зажадали до<br /> собі відносно недавно; настільки недавно, що американський<br /> інститут стандартів до цих пір не дав чіткого визначення<br /> комп&#8217;ютерного вірусу, завдяки чому в працях і роботах<br /> фахівців-комп&#8217;ютерників панує цілковитий плюралізм у трактуванні<br /> цього терміна. Особисто я дотримуюся визначення, даного в книзі<br /> &#8220;Криза комп&#8217;ютерних вірусів&#8221;:</p> <p>Комп&#8217;ютерний вірус &#8211; програма, що виконує у вашій<br /> комп&#8217;ютерній системі дії, в яких ви не потребуєте і про<br /> яких не підозрюєте.</p> <p>Потрапляючи тим чи іншим способом в комп&#8217;ютерну систему, вірус в<br /> загальному випадку самокопіює в різні місця системи, а потім &#8211; або<br /> одночасно з цим &#8211; виробляє в системі зміни, в кращому випадку<br /> не призводять до катастрофічних наслідків &#8211; начебто висвічування на<br /> екрані терміналу деякого повідомлення, &#8211; а в гіршому роблять вашу<br /> систему непрацездатною.<br /> У широкому потоці літератури з проблеми вірусів, що хлинули в<br /> Останнім часом на нас, наводиться маса класифікацій та описів<br /> вирусов, так що цікавляться цією проблемою всерйоз я з почуттям<br /> глибокого полегшення відсилаю до спеціальних публікацій, більшої<br /> частиною, правда, далеких від досконалості та завершеності. Однак з<br /> цього моменту вважаю, що маю справу з людьми, досить добре<br /> представляють, що таке комп&#8217;ютерний вірус, щоб не домішувати до<br /> цієї проблеми будь-які потойбічні сили. Комп&#8217;ютерні віруси &#8211; в<br /> відміну від вірусів природних &#8211; цілком справа розуму і рук<br /> людських, тому їх можна &#8211; і треба! &#8211; Вивчати, аналізувати і<br /> успішно боротися з ними.</p> <p>Фахівці класифікують віруси по самим різними ознаками,<br /> що вносить певну плутанину: за ступенем небезпеки<br /> вироблених вірусом дій; за способом проникнення вірусу в<br /> системи; по довжині; по місцях розміщення вірусу в системі і т.д.</p> <p>Маючи на увазі подальший виклад, я зупинюся лише на одній<br /> характеристиці вірусів, що дозволяє розбити всі їх безліч на дві<br /> поки нерівноцінні за потужністю групи &#8211; на автономності вірусів.</p> <p>Більшість вірусів паразитує на конкретних програмах або<br /> файлах &#8211; &#8220;своїх&#8221; для кожного вірусу, &#8211; приєднуючи своє тіло до тіла<br /> програми або до певних файлів, гарантовано присутніх в<br /> інфіковані системі. Аналогічно, більшість вірусів має<br /> власні &#8220;улюблені&#8221; місця в інфіковані системі, в яких<br /> вірус розміщується відразу після проникнення в систему. Знання цих<br /> особливостей, унікальних для кожного сімейства вірусів, значно<br /> полегшує виявлення вірусів в системі і боротьбу з ними. Власне<br /> це &#8220;більшість&#8221; вірусів і називається вірусами в загальноприйнятому<br /> розумінні цього терміна. Цілком зрозуміло, що відсутність в системі<br /> користувача будь-якого програмного продукту на 100% гарантує,<br /> що система не буде вражена вірусом, що паразитує саме на цій<br /> програмі. Гірше йде справа з вірусами, націленими на системні<br /> програми та файли, однак саме ця націленість полегшує боротьбу з<br /> заразою.</p> <p>Але є відносно невелика &#8211; поки що, і далі я поясню чому &#8211;<br /> група програм, які з повною впевненістю можна віднести до вірусів<br /> відповідно до наведеного вище визначенням, що відрізняються<br /> підвищеним ступенем автономності у своїй роботі &#8211; так звані<br /> &#8220;Черв&#8217;яки&#8221;.<br /> Якщо звичайний вірус активізується при запуску користувачем<br /> програми, на якій паразитує вірус або при відпрацюванні системою<br /> конкретних подій &#8211; наприклад, переривань, &#8211; то хробак самостійно<br /> управляє запуском своїх копій.<br /> Якщо звичайний вірус розміщується в більш-менш визначених місцях<br /> системи, то місце розміщення в системі хробака передбачити вкрай<br /> складно, оскільки йому все одно, де розміщуватимуться &#8211; було б достатньо<br /> місця.<br /> Черви націлені не на конкретні програми або файли, а на системи<br /> конкретної архітектури. Черви набагато небезпечніше вірусів саме в силу<br /> своєї автономності, тобто незалежності від наявності в слабости<br /> системах деяких унікальних умов, наприклад, наявності певних<br /> файлів.<br /> Платою за підвищену автономність є підвищена складність<br /> хробака як програми і, як наслідок, значно більший, ніж у<br /> звичайних вірусів, розмір. Зазвичай черв&#8217;яки складаються з декількох модулів &#8211;<br /> сегментів &#8211; коду, занадто великих, щоб бути захованими в файлах<br /> операційної системи. Проте цей &#8220;маленький&#8221; недолік з лишком<br /> окупається розміром збитку, який може заподіяти черв&#8217;як, оскільки<br /> здогадатися про наявність в системі саме хробака, локалізувати його і<br /> боротися з ним, у порівнянні зі звичайними вірусами, складніше.</p> <p>Поява, розвиток і швидке поширення обчислювальних<br /> мереж викликало до життя підвид черв&#8217;яків &#8211; так званих &#8220;мережевих черв&#8217;яків&#8221;.<br /> Мережеві черв&#8217;яки &#8211; ще більш складне утворення. Вони характерні тим,<br /> що поширюються по мережі, використовуючи для розповсюдження мережеві<br /> засобу комунікації &#8211; &#8220;електронні пошти&#8221; всіляких видів,<br /> спеціальні мережеві утиліти і т.д &#8211; і використовують атакували вузли в<br /> власних інтересах (для саморозмноження і подальшого<br /> розповсюдження по мережі). При цьому дуже швидко настає повна</p> <p>блокування мережі.<br /> Перші дослідження і експерименти з мережними хробаками були<br /> проведені на мережі Ethernet в дослідницькому центрі фірми Xerox в<br /> Пало Алто. Черв&#8217;як в цих експериментах існував у вигляді сегментів,<br /> виконувалися на різних вузлах мережі під управлінням головного сегмента.<br /> При цьому чітко проявилася небезпеку цього виду хробаків, оскільки в<br /> процесі роботи черв&#8217;як міг затирати своєю інформацією сторінки пам&#8217;яті<br /> інфіковані систем, що неминуче вело до зупинки останніх.</p> <p>Фахівці, мабуть, уже зрозуміли, що мережеві черв&#8217;яки є<br /> побічним &#8211; і навряд чи очікуваним &#8211; дітищем досліджень в області<br /> розподіленої обробки інформації.</p> <p>Але чому ж все-таки проблема вірусів &#8211; в основному в плані<br /> боротьби з ними &#8211; набула останнім часом таке значення? Наскільки<br /> і чим виправдані зусилля нашої комп&#8217;ютерної братії від користувачів до<br /> професіоналів, що витрачаються на вивчення і боротьбу з комп&#8217;ютерною<br /> заразою?<br /> Причин такого стану справ досить багато, але головних,<br /> мабуть, дві:</p> <p>&#8211; По-перше, діяльність більшості вірусів спочатку<br /> образливі: більшість вірусів або свідомо розраховане<br /> на пошкодження або спотворення використовуються в обчислювальній<br /> системі даних і програм (у тому числі і системних), або<br /> допускає подібні ефекти внаслідок своєї роботи;</p> <p>&#8211; По-друге, масштаби поширення вірусів самим<br /> безпосереднім і найтіснішим чином пов&#8217;язані з масштабами<br /> розповсюдження технічного дива останнього десятиліття &#8211;<br /> персональних комп&#8217;ютерів.</p> <p>Трохи поясню.<br /> Перше твердження очевидно: навряд чи хто-небудь з нормальних<br /> людей добровільно погодиться на те, щоб продукт його праці &#8211; іноді<br /> дуже тривалого, &#8211; був знищений або безнадійно зіпсований буквально<br /> в одну мить. Враховуючи все зростаючу залежність ділових,<br /> фінансових, урядових та військових кіл від надаваних<br /> комп&#8217;ютерами послуг, стає зрозумілим жах і ненависть, які відчувають<br /> цими колами по відношенню до комп&#8217;ютерних вірусів.</p> <p>Ситуація підігрівається також тим, що впровадження вірусів в системи<br /> відбувається найчастіше через &#8220;дірки&#8221; в підсистемах безпеки, а це не<br /> може не хвилювати різноманітні органи, які у нас називають<br /> компетентними. Оскільки ці органи дуже піклуються про збереження<br /> своєї інформації, вони справедливо вважають, що якщо вірус проліз в<br /> &#8220;Діру&#8221;, то чому б у цю ж &#8220;діру&#8221; не пролізти кому-небудь з племені<br /> цікавих довгоносих варвар. Взяти той же вірус: чому б йому не<br /> бути запрограмованим на те, щоб, пробравшись непоміченим в<br /> систему компетентного органу, розміститися в самому далекому і затишному<br /> куточку і, продовжуючи залишатися непоміченим для господарів, не руйнувати<br /> хазяйські дані, а періодично посилати їх своєму розробнику.</p> <p>Відчуваєте чудо! Само собою зрозуміло, наскільки така<br /> перспектива бажана компетентним органам одного боку, настільки<br /> вона ненависна компетентним органам сторони іншій.</p> <p>Друга причина популярності комп&#8217;ютерних вірусів менш очевидна,<br /> але від цього нітрохи не стає менш істинним той факт, що<br /> спостережуване останнім роками глобального поширення вірусів &#8211; і<br /> супутніх їм проблем &#8211; багато в чому визначається масовим випуском і<br /> поширенням мікрокомп&#8217;ютерів, які найбільш беззахисні для<br /> вірусів в силу стандарного своєї архітектури та архітектури<br /> математичного забезпечення.<br /> Великі системи практично не мають проблем з вірусами в силу<br /> своєї унікальності, забезпечується тим, що, по-перше, кожна велика<br /> система проходить стадію генерації, під час якої численні<br /> системні параметри утворюють унікальне поєднання, по-друге, великі<br /> системи мають добре розвинені підсистеми розділення доступу і захисту,<br /> що є серйозною перешкодою для вірусів і дозволяє легко<br /> виявляти джерело зараження.<br /> Легко помітити, що мікросистеми в більшості своїй позбавлені<br /> унікальності. Саме стандартність є і перевагою<br /> мікросистем, який зумовив їх широке поширення, і їх прокляттям,<br /> оскільки вірус, що виник в одній системі, без праці вражає<br /> сусідню, так як з архітектури обидві системи схожі як дві краплі<br /> води.<br /> Тепер розумієте яке значення для посилення проблеми<br /> комп&#8217;ютерних вірусів мало розпочате в серпні 1981 року фірмою IBM<br /> серійне виробництво персональних комп&#8217;ютерів &#8211; знаменитих IBM PC!<br /> Адже легкість серйіного виробництва і відносна дешевизна<br /> персоналок &#8211; прямий наслідок їх стандартності! Хоча з іншого<br /> боку, доступність та зрозумілість персоналок для<br /> користувачів-непрофесіоналів &#8211; теж наслідок стандартності.</p> <p>Але цього мало. Незрозуміло чому, але люди завжди прагнули<br /> полегшити вірусам &#8211; і природним, і комп&#8217;ютерним &#8211; їх чорну справу.<br /> Наприклад, звичайна чума: чи не тим пояснюється її масовість і<br /> швидкість поширення, що люди здавна прагнули жити якомога<br /> ближче один до одного, внаслідок чого з&#8217;являлися стоянки, поселення,<br /> села, міста і т.д.О СНІД я вже не кажу: спробуйте, умовте<br /> людей утриматися від загальновідомого способу його розповсюдження!<br /> Аналогічно і з &#8220;електронної чумою&#8221;, як називають віруси.<br /> Отже одвічне прагнення людське поспілкуватися з собі подібними<br /> призвело до появи багатомашинних систем &#8211; комп&#8217;ютерних мереж. Крім<br /> того, люди багато в чому схожі, тому нічого немає дивного в тому,<br /> що в різних кінцях світу користувачі працюють з одними і тими ж<br /> вдало створеними програмами і системами. Прикладом цьому може<br /> служити переможний хід по світу операційної системи UNIX (і її<br /> аналогів) і компіляторів мови C.</p> <p>Операційна система UNIX, що з&#8217;явилася на світ в 1969 році,<br /> є дітищем двох талановитих &#8211; судячи по самій UNIX &#8211; програмістів<br /> К. Томпсона і Д. Річі [A6], які працювали в Bell Laboratories &#8211; філії<br /> всемогутньою American Telephon &#038; Telegraph (AT &#038; T), до речі довгий час<br /> тримала монополію на мережі зв&#8217;язку в США. UNIX замишлялася як<br /> операційна система для внутрішніх потреб, яка повинна була бути<br /> досить проста у використанні, дружня по відношенню до</p> <p>користувачам і якомога менше залежить від типу машин, на яких<br /> вона буде працювати. Крім того, UNIX розроблялася як<br /> багатокористувацька система і тому мала непогану систему<br /> розділення доступу, що базується на парольного захисту.<br /> Успіх системи перевершив всі очікування. UNIX миттєво завоювала<br /> симпатії користувачів, що дозволило AT &#038; T значно посилити свої<br /> позиції на ринку. UNIX для AT &#038; T став справжнім Клондайком,<br /> комп&#8217;ютерним Ельдорадо. Швидко стали з&#8217;являтися вдосконалені<br /> версії системи: 1975 рік &#8211; UNIX V6, 1976 рік &#8211; UNIX V7 (перша<br /> &#8220;Базова&#8221; версія), 1982 рік &#8211; UNIX System III, 1984-85 рік &#8211; UNIX<br /> System V. З&#8217;являються аналоги UNIXа &#8211; GENIX, XENIX, Ultrics, VENIX,<br /> PC-IX. Лаври розробника пожинав також і каліфорнійський університет<br /> в Берклі, який розробив UNIX 4.0, 4.1, 4.2 і т.д. Ах, якби вони<br /> знали, який жарт підготував їм 1988!</p> <p>Таким чином, тенденція до об&#8217;єднання різнотипних систем в<br /> поєднанні з появою на ринку і широким поширенням системи<br /> UNIX і компіляторів мови C (в силу їх комфортабельності для<br /> користувача) ще більше ускладнили &#8220;епідеміологічну&#8221; обстановку в<br /> комп&#8217;ютерному світі, створивши буквально живильне середовище для вірусів всіх<br /> мастей. Як завжди, всю небезпеку становища усвідомлювала лише<br /> незначна частина фахівців, привселюдно попереджали,<br /> що нехтування користувачів питаннями забезпечення хоча б<br /> власної безпеки даром не пройде. Але, як відомо, поки<br /> грім не вдарить &#8230;</p> <p>&#8230; Так! Мало не забув: влітку 1988 року в AT &#038; T Bell Laboratories<br /> працював студент останнього курсу одного з американських університетів.<br /> І займався він не чим іншим як &#8220;листуванням програм системи<br /> безпеки для більшості комп&#8217;ютерів, що працюють під управлінням<br /> операційної системи UNIX &#8220;. В принципі нічого особливого &#8211; для<br /> Америки і взагалі цивілізованих країн &#8211; у цьому не було: хіба мало<br /> студентів працюють у солідних корпораціях, лабораторіях та установах,<br /> набуваючи практичний досвід і забезпечуючи собі робочі місця в цих<br /> організаціях, &#8211; якби цей факт не був через кілька місяців<br /> згаданий в &#8220;Нью-Йорк Таймс&#8221; у зв&#8217;язку з подіями, що потрясли всю<br /> Америку (принаймні, ту її частину, яка має відношення до<br /> комп&#8217;ютерів). [A8]</p> <p> ______________________________<br /> [A6] Кен Томпсон очолював групу розробників, які створили в<br /> 1969 асемблерний варіант UNIX. При цьому ставилася мета<br /> створення зручної операційної обстановки для проведення<br /> дослідних робіт в області програмування, а сама система<br /> призначалася для машини PDP-7 фірми DEC &#8211; представника сімейства<br /> машин, широко поширених в наукових і дослідницьких центрах<br /> країни, що підготувало грунт для переможної ходи UNIXа по Штатах.<br /> Денніс Річі підключився до проекту пізніше, проте багато в чому йому<br /> зобов&#8217;язана народженням в 1972 році комерційна версія системи, написана<br /> на високорівневої мовою C.<br /> До речі, мова C теж з&#8217;явився в AT &#038; T і теж як розробка для<br /> внутрішніх потреб. Ядро системи UNIX складається приблизно з 10000 рядків на<br /> C і ще 1000 рядків на мові асемблера.</p> <p>B Як це було.</p> <p>&#8220;Зараз 3:45 AM, середа (sic) 3 листопада<br /> 1988 року. Мені все набридло, я не можу<br /> повірити в те, що сталося &#8230; &#8221;<br /> З повідомлення Кліффа Столла,<br /> переданого електронною поштою<br /> Dockmaster.ARPA.</p> <p>&#8230; Грім &#8211; вірусна атака, названа комп&#8217;ютерними експертами<br /> найбільшим нападом на національні комп&#8217;ютери з коли-небудь<br /> траплялися &#8211; гримнув 2 листопада 1988.</p> <p>Абсолютно точну послідовність подій в даний час<br /> відновити практично неможливо, оскільки, по-перше, під час<br /> самої атаки всі були зацікавлені насамперед у швидкій локалізації<br /> і видалення вірусу, а ніяк не в докладної реєстрації фактів [B1], і,<br /> по-друге, тому, що вірус швидко заблокував атакуються<br /> обчислювальні мережі, у результаті чого перервався зв&#8217;язок між<br /> користувачами.<br /> Але можна спробувати уявити приблизну картину розповсюдження<br /> вірусу на підставі повідомлень, що проходили в комп&#8217;ютерних мережах, не<br /> які зазнали нападу, і численних публікацій у пресі. В<br /> Зокрема, становлять інтерес повідомлення, що проходили під час атаки<br /> по електронна пошта VIRUS_L (далі VIR) і RISKS_FORUM (далі<br /> RISKS) [B2].<br /> Фахівці старшого покоління стверджують, що повідомлення,<br /> проходили в мережах під час вірусної атаки, дуже нагадують<br /> повідомлення про ворожих бойових діях, що надходили по зв&#8217;язку під час<br /> Другої світової війни. В усякому разі, ці повідомлення дозволяють<br /> відчути повну безпорадність, що панувала під час вірусної атаки в<br /> різних вузлах мережі, приблизно оцінити можливість користувачів<br /> зрозуміти, що ж відбувається і зробити висновки щодо вимог до<br /> системі надання допомоги у подібних ситуаціях.</p> <p>Отже, 2 листопада 1988 року, середа.</p> <p>17:00 Вірус виявлений в Корнеллського університету (Нью-Йорк).</p> <p>21:00 Вірус виявлений в системах Стенфордського університету та фірми</p> <p> ______________________________<br /> [A8] 5.11.1988, стаття Джона Маркоффа &#8220;Author of Computer &#8216;Virus&#8217;<br /> is son of USA Electronic Security Expert&#8221;.</p> <p> ______________________________<br /> [B1] Що, до речі, сильно утруднило потім роботу слідства.</p> <p>[B2] Повна назва &#8211; &#8220;Forum on Risks to the Public in Computers<br /> and Related States: ACM Committee and Public Policy &#8220;. Організовано<br /> Петером Ньюманом.<br /> Огляди цих повідомлень, які використовуються, зокрема, і в цій<br /> статті, були опубліковані в кількох номерах журналу<br /> &#8220;Computer &#038; Security&#8221; на початку 1989 року.</p> <p>Rand Corporation (Каліфорнія).</p> <p>22:00 Вірусом вражена система університету в Берклі (Каліфорнія).</p> <p>23:00 Вірус виявлений фахівцями відділення математики<br /> Прінстонського університету (Нью-Джерсі).</p> <p>Спочатку все виявили вірус подумали, що це черговий<br /> інцидент, що стосується тільки їх системи. Ніхто природно представити<br /> собі не міг, які масштаби візьме епідемія через кілька годин.<br /> Проте адміністратори атакованих систем послали повідомлення про<br /> сталося.</p> <p>23:28 В електронній пошті VIRUS_L пройшло перше повідомлення про<br /> вірус. Повідомляється, що атаковані університети в Девіс і<br /> Сан-Дієго, Ливерморская лабораторія імені Лоуренса і<br /> дослідний центр НАСА [B3] (все в Каліфорнії). Вхід<br /> вірусу ідентифікується як SMTP. Атакуються всі системи 4.3 BSD<br /> і Sun 3.x. Відзначається, що вірус поширюється по каналах<br /> TELNETD, FTPD, FINGER, RSHD і SMTP [B4].</p> <p>23:45 Вірус виявлений у дослідницькій лабораторії<br /> балістики. [B5]</p> <p>Поступово стало прояснюватися, що одні й ті ж ознаки ураження<br /> вірусом спостерігають користувачі, що знаходяться в різних кінцях країни.<br /> Враховуючи збіг подій за часом, був зроблений висновок, що<br /> національні комп&#8217;ютерні системи атаковані одним і тим же вірусом,<br /> розповсюджується через мережі, оскільки іншим способом розповсюдження<br /> не можна було пояснити швидкість, з якою вірус з&#8217;являвся в різних<br /> кінцях США, якщо, звичайно, не припустити, що все що відбувається &#8211;<br /> результат заздалегідь спланованою і добре підготовленої акції якоїсь<br /> злочинної групи, що має доступ до всіх національних систем.<br /> Життя адміністраторів американських систем після встановлення цього<br /> факту, як кажуть, переставала бути безінтересной!<br /> Для користувачів та системних адміністраторів атакованих сайтів<br /> мереж поведінку вірусу було незбагненним. У деяких системах в<br /> директорії / usr / tmp з&#8217;являлися незвичайні файли; в журнальних файлах<br /> ряду утиліт з&#8217;являлися дивні повідомлення. Найбільш примітним,<br /> однак, було те, що все більше і більше підвищувалася завантаження систем,<br /> приводила в кінці кінців або до вичерпання вільного місця,<br /> виділеного під свопінг, або до переповнення системної таблиці<br /> процесів &#8211; в будь-якому випадку це означало блокування системи.</p> <p>Виходячи з назви мереж, в яких вірус був виявлений, його тут<br /> ж охрестили вірусом Milnet / Arpanet. Незабаром, однак, з&#8217;ясувалося, що<br /> вірус з Arpanet благополучно перекочував в мережу Science Internet &#8211; і<br /> він тут же отримує назву &#8220;вірус Internet&#8221;. Але після того, як<br /> Корнеллський університет висловив побічно доведене припущення,<br /> що вірус, ймовірно, розроблений в його стінах, вірус отримує нарешті<br /> одне з найбільш поширилися, завдяки старанням преси,<br /> назва &#8211; вірус Cornell / Arpanet. Ця назва вірусу з&#8217;явилося в<br /> двох передових статтях і подальшої серії заміток Джона Маркофа,<br /> Лоренца М. Фішера, Мішеля Вайнеса, Джеффа Герса і Калвіна Сімса [B6],<br /> опублікованих в &#8220;Нью-Йорк Таймс&#8221; з 4 по 17 листопада 1988 року.</p> <p>Взагалі для фахівців виявилося приємним сюрпризом те,<br /> наскільки докладно і грамотно преса коментувала події. Філіп<br /> Гарднер &#8211; полковника у відставці, спеціаліст з безпеки комп&#8217;ютерів<br /> &#8211; Написав з цього приводу: &#8220;Здавалося, репортери точно знали, у кого<br /> можна отримати достовірну інформацію, і, крім того, вони робили<br /> хороші висновки з того, що ці особи говорили. Це тим більш приємно<br /> в умовах, коли ми стаємо, до нещастя, свідками ненормальною<br /> тенденції до зростання числа &#8216;експертів&#8217; в середовищі самих журналістів. &#8221;</p> <p>Настав 3 листопада, четвер.</p> <p>1:00 Повідомлення про зараження 15-ти вузлів мережі Arpanet.</p> <p>2:00 Вражена вірусом система Гарвардського університету<br /> (Массачусетс).</p> <p>3:30 Вірус виявлений у Центрі Массачусетського технологічного<br /> інституту (Massachusets Institute of Technologies; MIT).</p> <p>3:46 У повідомленні, що пройшов в електронній пошті RISKS, уточнюється,<br /> що атакуються системи UNIX &#8211; 4.3 BSD &#8211; і аналогічні їй Sun,<br /> працюють на комп&#8217;ютерах VAX фірми DEC і комп&#8217;ютерах Sun фірми<br /> Sun Microsystems Inc. Повідомляється також, що вірус<br /> поширюється через дірки в системі безпеки утиліти<br /> електронної пошти Sendmail, наявної в складі зазначених систем.</p> <p>4:00 Оскільки мережа перевантажена, розповсюдження вірусу<br /> сповільнюється; до цього моменту заражені вже більше 1000 вузлів мережі.</p> <p>5:15 В університеті Карнегі-Меллона в Піттсбурзі (Пенсільванія) з<br /> 100 комп&#8217;ютерів, підключених до Arpanet, вийшло з ладу 80.</p> <p>8:00 Повідомлення про вірус з астрофізичного центру Smithonian.</p> <p>Згодом виникло кілька версій щодо того, як<br /> саме і ким був виявлений вірус.</p> <p>Згідно з першою, вірус був виявлений в ніч з 2 на 3 листопада<br /> 1988 одним з наукових співробітників Ліверморської лабораторії<br /> ім.Лоуренса. Звертаючись зі свого домашнього терміналу до обчислювальної</p> <p> ______________________________<br /> [B3] Відповідно, Lawrence Livermore Laboratory і NASA&#8217;s Aimes<br /> Research Center.</p> <p>[B4] SMTP розшифровується як простий протокол передачі пошти &#8211;<br /> Simple Mail Transfer Protocol; FTP &#8211; як протокол передачі файлів &#8211;<br /> File Transfer Protocol; а TELNET є назвою протоколу емуляції<br /> терміналу. Ці протоколи є подпротоколамі TCP / IP, створеними<br /> для реалізації відповідних функцій.</p> <p> [B5] Army Ballistic Research Laboratory.</p> <p> [B6] John Markoff, Lawrence M. Fisher, Michael Wines, Jeff Gerth,<br /> Calvin Sims.</p> <p>системі лабораторії, він зауважив незвичайне підвищення інтенсивності її<br /> завантаження. Запідозривши недобре, співробітник повідомив про це черговому<br /> операторові і той (очевидно керуючись інструкцією) відразу ж<br /> відключив систему від мережі Science Internet, за якою поширювався<br /> вірус.<br /> Фахівці Ліверморської лабораторії дійсно могли одними<br /> з перших виявити вірус. Справа в тому, що ця лабораторія,<br /> проводила дослідження за програмою СОІ і розробку нових видів<br /> ядерної зброї, в травні 1988 року вже стикалася з вірусом, після<br /> чого, як видно, були вжиті додаткові заходи<br /> обережності і підвищена пильність.<br /> Негайно про інцидент було повідомлено Управлінню зв&#8217;язку МО США<br /> (Defence Communication Agency; DCA), у віданні якого знаходиться мережа<br /> Arpanet. О третій годині ночі про вірусній атаці дізналося керівництво DoD.<br /> Однак, незважаючи на оперативність повідомлення, локалізувати вірус в мережі<br /> було вже неможливо.</p> <p>За другою версією повідомлення про появу вірусу було надіслано<br /> невідомою особою з комп&#8217;ютерної мережі разом з інструкцією з його<br /> знищенню. Але мережа була перевантажена і дуже багато обчислювальні<br /> центри не відразу прийняли сигнал. Коли ж, нарешті, на повідомлення<br /> звернули увагу, було вже пізно.</p> <p>Відповідно до третьої версії першими виявили неполадки в<br /> обчислювальної системі фахівці MIT. Увага відповідального за<br /> безпека вичіслітельноо центру привернуло незвичайне поведінка<br /> комп&#8217;ютера. Машина інтенсивно функціонувала, хоча в даний час на<br /> ній ніхто не працював, на дисплей ніякі дані не виводилися. Через<br /> кілька хвилин вся пам&#8217;ять системи була забита, і система вийшла з<br /> ладу.</p> <p>Неполадки в роботі систем зареєстрували не тільки люди, а й<br /> процесори обчислювальних систем. Вони почали передавати в мережу<br /> повідомлення про те, що не в змозі приймати нові дані внаслідок<br /> переповнення пам&#8217;яті. Завдяки цьому центри деяких<br /> науково-дослідних інститутів вчасно відключилися і зуміли<br /> уникнути зараження.<br /> Так, один з навчальних закладів шт.Нью-Джерсі &#8211; Stevens Institute<br /> of Technology, яка отримала попередження, встигло ізолювати свою ЕОМ<br /> і блокувати доступ вірусу.</p> <p>Незабаром з&#8217;ясувалося наскільки серйозний удар був нанесений.<br /> По-перше, вірус розповсюджувався через комп&#8217;ютерну мережу з<br /> жахливої ​​швидкістю &#8211; наслідок швидкодії вузлових систем і<br /> хорошого стану ліній зв&#8217;язку в США.<br /> По-друге, в результаті роботи вірусу блокувалася як мережу, так<br /> і атаковані системи, зупинялися внаслідок переповнення<br /> пам&#8217;яті та / або перевищення допустимої межі завантаження. Весь жах<br /> полягав у тому, що поки до адміністраторів систем доходило, що їх<br /> системи зазнали нападу, вони начисто позбавлялися можливості<br /> що-небудь зробити, оскільки втрачали доступ до перевантаженій системі.</p> <p>По-третє, інфікувати операційна система UNIX Berkeley 4.3<br /> &#8211; Одна з найпопулярніших версій UNIX, через наявність у ній<br /> електронної пошти та зручних налагоджувальних засобів. Це було тим більше<br /> незрозуміло, якщо врахувати, що UNIX &#8211; система розрахована на багато користувачів і до<br /> того ж має систему захисту, засновану на ідентифікації кожного<br /> користувача за допомогою паролів. З цим стикалися вперше.</p> <p>Атака йшла по найбільш популярним серед користувачів країни<br /> мереж, включаючи мережу Пентагону, й розраховувати на поразку однієї з<br /> самих популярних операційних систем &#8211; яке!.</p> <p>Не дивно, що серед адміністраторів систем почалася<br /> справжня паніка. Багато хто з них не зуміли або не приклали &#8211; іноді в<br /> Протягом кількох днів &#8211; належних зусиль до того, щоб зв&#8217;язатися з<br /> іншими потерпілими, а просто позбавили користувачів можливості<br /> працювати з їх машинами. У результаті за кілька хвилин вони позбулися<br /> не тільки своїх машин, до яких заборонили доступ, але й інших машин<br /> Internet, з якими вони не могли працювати до кінця відновлення.<br /> Стало зрозуміло, що якщо вірус не зупинити, то наслідки можуть<br /> бути самі небажані. По всій країні користувачі затамували<br /> подих, боячись подумати, що станеться, якщо вірус запрограмований<br /> на знищення або пошкодження даних (а це було досить імовірно).</p> <p>Через 5 годин вірус інфікував від 435 до 800 систем, а всього в<br /> протягом півтора-двох діб (2-3 листопада) вразив близько 6000<br /> комп&#8217;ютерів. Серед постраждалих &#8211; крім уже згаданих &#8211; виявилися<br /> системи Агентства національної безпеки та Стратегічного<br /> авіаційного командування США; лабораторій NASA (зокрема Jet<br /> Propulsion Laboratory; а в обчислювальному центрі NASA у Х&#8217;юстоні<br /> комп&#8217;ютерний вірус мало не торкнувся систему управління запусками<br /> кораблів багаторазового використання Shuttle, але її вдалося вчасно<br /> відключити) і Лос-Аламоської національної лабораторії;<br /> дослідних центрів ВМС США (Naval Research Laboratory, Naval<br /> Ocean Systems Command) і Каліфорнійського технологічного інституту;<br /> найбільших університетів країни (в Вісконсіна з 300<br /> систем було &#8220;вибито&#8221; 200) і безприбуткового &#8220;мозкового центру&#8221; SRI<br /> International; а також ряду військових баз, клінік і приватних компаній.<br /> Аналіз, проведений фахівцями, показав, що схема<br /> розповсюдження комп&#8217;ютерного вірусу була приблизно такою: мережа<br /> Arpanet &#8211; Milnet &#8211; Science Internet &#8211; NSF net. В результаті вірус<br /> практично вивів ці мережі з ладу. Мінімум на два дні припинилися<br /> всі науково-дослідні роботи.<br /> При цьому, зважте, не було відомо, &#8220;пішов&#8221; чи вірус через Лондон<br /> в Західну Європу [B8]</p> <p>C Як з цим боролися.</p> <p>Наскільки неможливо зараз відновити хронологію вірусної<br /> атаки, настільки ж неможливо точно встановити, скільки часу</p> <p> ______________________________<br /> [B8] Як повідомила згодом газета &#8220;Уолл-стріт джорнел&#8221;, вірус<br /> все-таки зумів по Internet досягти Європи та Австралії, де також були<br /> зареєстровані випадки блокування комп&#8217;ютерів.</p> <p>потрібно на локалізацію вірусу і скільки людей в цьому<br /> брали участь. Але представляється правомочним припущення, що обидві ці<br /> цифри вельми і вельми значні. Судіть самі &#8230;</p> <p>&#8230; Триває 3 листопада.</p> <p>15:00 Перші повідомлення про те, що інфікованим вузлів і іншим<br /> користувачам спрямований антидот.</p> <p>21:00 Перше інтерв&#8217;ю в MIT, присвячене вірусу.</p> <p>21:20 RISKS розісланий &#8220;worm condom&#8221; &#8211; &#8220;презерватив від хробака&#8221;.</p> <p>22:04 RISKS розіслано повідомлення про спосіб боротьби з вірусом,<br /> складається в розміщенні в бібліотеці C зовнішньої змінної з ім&#8217;ям<br /> &#8220;Pleasequit&#8221;, встановленої в ненульове значення.</p> <p>Як тільки DCA дізналося про вірус, воно відразу ж поставило в<br /> відома про це ФБР [C1], яке розцінило інцидент як &#8220;справа<br /> найвищого пріоритету &#8220;і початок розслідування. Одночасно з ФБР<br /> самостійні розслідування почали саме DCA і NCSC [C2].<br /> Фахівці останнього центру, дезассембліровав вірус, заявили, що він<br /> створений з великим мистецтвом і вміло використовує ряд вразливих місць мережі<br /> Arpanet.<br /> Багато фахівців у галузі безпеки комп&#8217;ютерів відзначають<br /> оперативність, з якою відреагували на появу в своїх системах<br /> вірусу користувачі. Вже 3 листопада практично у всіх відомствах і<br /> установах, обчислювальні системи яких були вражені вірусом,<br /> почали формуватися спеціальні групи для ліквідації наслідків<br /> інциденту.</p> <p>Після першого шоку, викликаного блискавичної вірусною атакою,<br /> фахівці стали аналізувати ситуацію, в результаті чого з&#8217;ясувалися<br /> деякі цікаві факти.<br /> По-перше, вірус вразив не всі системи &#8211; ряд систем залишилися<br /> недоторканими в силу того, що працюючі на них системні програмісти<br /> переписали програми, що входять в систему безпеки з урахуванням<br /> виявлених недоліків у промислових версіях цих програм [C3].<br /> По-друге, вірус використовував в процесі свого поширення<br /> підсистему налагодження &#8211; народився навіть термін &#8220;налагоджувальний хук&#8221;.<br /> По-третє, вірус, очевидно, був мережним хробаком,<br /> оскільки жодна з існуючих до атаки програм не була в ході</p> <p> ______________________________<br /> [C1] Federal Bureau of Investigation; FBI.</p> <p>[C2] National Computer Security Center &#8211; Національний центр<br /> комп&#8217;ютерної безпеки.<br /> Трохи пізніше ми поговоримо про це центрі трохи докладніше.</p> <p>[C3] Іншими словами, недоліки системи безпеки, що дозволили<br /> вірусу блокувати тисячі комп&#8217;ютерів, були відомі раніше (!), але<br /> лінь або халатність розробників і системників спровокували<br /> звалилися напасти.<br /> Ех, знати б, де впадеш &#8211; соломки постелили б!</p> <p>атаки спотворена.<br /> Це, так би мовити, непрямі здогадки.<br /> Але з самого початку потужні комп&#8217;ютерні центри почали<br /> дезассемблірованіе вірусу. Саме дезассемблірованіе могло дати відповідь<br /> на три головних питання: що це таке, чим це загрожує і як із цим<br /> боротися.<br /> Втім, слідчі органи цікавили й інші питання:<br /> звідки саме став поширюватися вірус, який &#8220;жартівник&#8221; його запустив<br /> і хто є автором такого &#8220;вдалої&#8221; програми. По ряду причин<br /> отримати відповідь на це питання виявилося вкрай непросто.</p> <p>Зокрема, в каліфорнійському університеті в Берклі рано вранці<br /> 3 листопада фахівцям вдалося &#8220;виловити&#8221; копію вірусної програми і<br /> приступити до її аналізу. Вже о 5 годині ранку того ж дня фахівцями<br /> цього університету був розроблений &#8220;тимчасовий набір кроків&#8221;, які<br /> рекомендувалося вжити для зупинення розповсюдження<br /> вірусу: наприклад, рекомендувалося &#8220;залатати&#8221; запропонованим чином<br /> виявлені промахи в роботі утиліти Sendmail.<br /> Близько 9 години ранку фахівці університету в Берклі розробили<br /> і розіслали програмні &#8220;латки&#8221; для ВСІХ промахів в системному<br /> програмному забезпеченні, які давали можливість вірусу поширюватися; а<br /> фахівцями іншого університету &#8211; в Пурдю &#8211; приблизно в цей же час<br /> було розіслано опис методу боротьби з програмою-загарбником, не<br /> вимагає модифікації системних утиліт.</p> <p>П&#8217;ятницю, 4 листопада 1988.</p> <p>RISKS 00:27 Повідомлення з університету в Пурдю, що містить досить<br /> повний опис вірусу, хоча як і раніше невідомо, що саме<br /> &#8220;Вірус передбачає робити остаточно&#8221;.</p> <p>14:22 RISKS Коротке повідомлення про дезассемблірованіі вірусу.<br /> Зазначено, що вірус містить кілька помилок, які &#8220;можуть<br /> привести до неприємностей і, безсумнівно, непередбачуваного<br /> поведінці програми &#8220;. Зазначається, що якби&#8221; автор тестував<br /> програму більш ретельно &#8220;, він все одно не зміг би виявити<br /> ці помилки взагалі або, у всякому разі, досить довго.</p> <p>Ряд користувачів мережі Arpanet, зокрема MIT, де була<br /> сформована своя група, приступили до термінової модифікації сервісних<br /> підпрограм, чищенні файлів даних і програмного забезпечення.<br /> У Ліверморської лабораторії, незважаючи на чіткі дії<br /> фахівців, вірус вдалося блокувати тільки через п&#8217;ять годин після<br /> виявлення [C4].<br /> Як повідомив Джей Блумбекер, директор Національного центру<br /> інформації про комп&#8217;ютерну злочинність (г.Лос-Анджелес), ліквідація<br /> наслідків поширення вірусу коштувала Лос-Аламоської Національної<br /> лабораторії $ 250000.<br /> Дослідницькому центру NASA в г.Маунтін В&#8217;ю (Каліфорнія)<br /> довелося на два дні закрити свою мережу для відновлення нормального<br /> обслуговування 52000 користувачів.</p> <p>21:52 RISKS Повідомлення групи MIT про вірус Internet. Заявлено, що<br /> у вірусі не виявлено коду, який передбачає псування файлів.<br /> Розповідається про роботу вірусу; підтверджено, що &#8220;вірус містить</p> <p>кілька помилок &#8220;. Відзначається, що програма передбачала<br /> &#8220;Приховане розповсюдження, що становить певний інтерес&#8221;.</p> <p>Того ж дня, газета &#8220;Нью-Йорк Таймс&#8221;. У замітці Джона Маркоффа<br /> &#8220;&#8216;Virus&#8217; in Military Computers Disrupts Systems Nationwide&#8221; дан<br /> дуже акуратний огляд сталося і повідомлено, що не назвав<br /> себе студент зателефонував до редакції і заявив, що інцидент є<br /> всього лише &#8220;експериментом, який зіпсувався внаслідок<br /> невеликий програмної помилки. &#8221;</p> <p>В університеті штату Делавер черв&#8217;як був виявлений у великому<br /> комп&#8217;ютері VAX, ласкаво іменованому в межах університету Деві<br /> (Dewey), 3 листопада приблизно о 8:15 ранку. Ось як описує боротьбу з<br /> вірусом учасник подій [C5]:</p> <p>&#8220;Черв&#8217;як вразив систему університету у вівторок вранці, майже<br /> відразу ж після того, як прийшов на роботу адміністративний і<br /> технічний персонал. Першим ділом, яким зайнялося більшість<br /> адміністраторів, було щодня виконується ознайомлення з<br /> надійшли повідомленнями електронної пошти. Адміністратори<br /> виявили попередження про вірус, інформацію про дивні<br /> файлах, виявлення яких свідчить про наявність одного або<br /> декількох хробаків та ідеї щодо виявлення і знищення<br /> програми-хробака. Адміністратори швидко виявили працюючу<br /> оболонку UNIX, не пов&#8217;язану з яким-небудь терміналом і, використовуючи<br /> команду KILL, знищили першого черв&#8217;яка в Деві.<br /> Через кілька годин на термінали адміністраторів стали<br /> надходити нові повідомлення і попередження про другий черв&#8217;яка. В<br /> цей час Arpanet була в паніці, і системні адміністратори</p> <p> ______________________________<br /> [C4] Ви думаєте, цієї багатостраждальної лабораторії вдалося<br /> перепочити від вірусів? Глибоко помиляєтеся! Відкриваємо газету<br /> &#8220;Правда&#8221; від 20 грудня 1988 року (N 355) і читаємо:<br /> &#8220;Зроблено ще одна спроба &#8211; друга за останній місяць &#8211;<br /> вивести з ладу комп&#8217;ютерну систему Ліверморської лабораторії<br /> радіації в Каліфорнії. Вісім разів протягом тижня у комп&#8217;ютерну<br /> систему найбільшої в США ядерної лабораторії проникав<br /> сильнодіючий &#8216;вірус&#8217; і &#8216;забивав&#8217; всі канали інформації.<br /> Завдяки зусиллям завідувача центром комп&#8217;ютерної безпеки<br /> Т. Абрахамсона, який просто не йшов додому і цілодобово сидів над<br /> електронними головоломками, щоразу вдавалося &#8216;нейтралізувати<br /> вірус &#8216;і запобігти небезпечному&#8217; зараження пам&#8217;яті &#8216;ЕОМ.<br /> Член керівництва лабораторії Р. Борчерс вважає, що проникнути в<br /> комп&#8217;ютерну систему міг тільки висококваліфікований фахівець,<br /> володіє секретною інформацією про деталі програми, про коди, паролі<br /> і слабких місцях &#8216;захисного кордону&#8217; ЕОМ. &#8221;<br /> Залишається тільки поспівчувала фахівцям лабораторії та<br /> позаздрити їх кваліфікації та самовідданості, що проявляється в боротьбі<br /> за живучість своєї обчислювальної системи.</p> <p> ______________________________<br /> [C5] Ці відомості почерпнуті із статті Clinton E. White &#8220;Viruses<br /> and worms: attac on campus &#8220;, опублікованій в журналі<br /> Computer &#038; Security N 8 (1989 р.).</p> <p>радили зупинити роботу утиліти Sendmail та / або<br /> від&#8217;єднатися від мережі. На щастя, адміністратори продовжували<br /> контролювати свої системи і не єднувалися. Через деякий<br /> час вони отримали програму блокування хробака, написану<br /> системним програмістом з університету в Пурдю (Purdue). Ця<br /> програма ініціювала виклик черв&#8217;яка і запис всіх сегментів в<br /> порожній файл, що дозволило виявити код черв&#8217;яка і припинити його<br /> поширення по системам.</p> <p>За щасливим нагоди обидва хробака UNIX були виявлені, по<br /> Як видно, лише через кілька хвилин після їх<br /> надходження в систему з Arpanet. Завдяки ранковим повідомленнями<br /> електронної пошти адміністратори були в курсі подій, в<br /> результаті чого черв&#8217;яки були зафіксовані до того, як події<br /> придбали драматичний характер. Збиток складався у втраті<br /> часу системними адміністраторами на виявлення черв&#8217;яків, їх<br /> знищення і чистку системи від супутніх черв&#8217;якам файлів<br /> (Близько одного дня роботи системних адміністраторів, що<br /> оцінюється в суму понад 120 $). &#8221;</p> <p>Думаю, всім зрозуміло, що під ім&#8217;ям хробака UNIX тут згадується<br /> описуваний вірус.<br /> Питання викликає, мабуть, згадка про двох хробаків, адже ми-то все<br /> час говоримо про одне. На це є дві причини.<br /> Перша &#8211; це те, що на комп&#8217;ютер було скоєно два &#8220;нападу&#8221;,<br /> не збігаються за часом.<br /> Друге &#8211; те, що, як згодом з&#8217;ясувалося, вірус використовував<br /> для розповсюдження два різних механізму, в результаті чого<br /> здавалося, що працюють два &#8211; правда дуже схожих &#8211; хробака. Але про це<br /> &#8211; Трохи нижче.</p> <p>Тим часом ФБР вперто робило свою справу. Хід розслідування<br /> тримався в таємниці, проте відомо, що вже 4 листопада ФБР звернулося до<br /> Корнельського університету з проханням дозволити співробітникам Бюро<br /> ретельно перевірити робочі файли всіх наукових працівників. Всі<br /> магнітні носії в університеті були заарештовані, після чого<br /> співробітниками ФБР були ретельно переглянуті файли підозрюваних осіб, в<br /> результаті чого був виявлений файл, що містив набір слів,<br /> випробуваних вірусом як паролі. [C6]<br /> Власником цього файлу був 23-річний студент випускного курсу<br /> Корнеллського університету Роберт Таппан Морріс.</p> <p>Втім, цього ж дня &#8220;винуватець торжества&#8221; &#8211; зниклий раніше<br /> з рідного університету &#8211; сам з&#8217;явився з повинною в штаб-квартиру ФБР у<br /> Вашингтоні.<br /> Ось коли у ФБР і Пентагоні зітхнули з полегшенням! Ще б:<br /> вірус виявився не витвором рук невідомих зловмисників або &#8211;<br /> свят-свят! &#8211; Спецслужб, а всього лише &#8220;безневинною витівкою<br /> доморощеного генія &#8220;, як висловився адвокат, розсудливо запрошений<br /> з собою &#8220;експериментатором&#8221;.</p> <p> ______________________________<br /> [C6] Те, що саме ці слова були випробувані вірусом, було<br /> встановлено в результаті дезассемблірованія вірусу.</p> <p>Природно, Морріса одразу притягли до робіт з ліквідації його<br /> милою витівки: хто ж краще за автора знає, як зупинити вірус.<br /> Хоча саме до цього моменту в результаті дезассемблірованія<br /> виловленого в мережі тіла вірусу багато фахівців з великих наукових<br /> та інженерних центрів країни могли розповісти про вірус дуже багато,<br /> якщо не все.</p> <p>Пора і нам познайомитися з цим твором програміста<br /> мистецтва ближче.</p> <p>D Що це було.</p> <p>&#8220;Я не маю бажання підігрівати<br /> поширюються чутки, але цей вірус &#8211;<br /> відмінна штука. Якщо він не знищить нас, він<br /> зробить нас сильнішими.<br /> Брайан Булковскі, університет Браун.</p> <p>Найбільш повний і детальний розбір вірусної атаки, включаючи<br /> алгоритм роботи хробака, був зроблений в двох роботах: &#8220;The Internet Worm<br /> Programm: An Analysis &#8220;CSD-TR-823 &#8211; технічному звіті Юджина<br /> Спаффорда (Eugene H. Spafford) &#8211; і в &#8220;With Microscope and Tweezers: An<br /> Analysis of the Internet Virus of November 1988 &#8220;Марка Ейчіна (Mark<br /> W. Eichin) і Джона Рохліса (Jon A. Rochlis). Права на обидві ці роботи<br /> придбав MIT, так що всі охочі &#8211; і мають можливість! &#8211; Можуть<br /> запросити требующуюся інформацію у її нинішнього власника.<br /> Можу відразу сказати, що зробити це буде не так-то просто, а<br /> чому &#8211; ви дізнаєтеся трохи нижче.</p> <p>Отже, що ж являв собою вірус Морріса [D1].</p> <p>Вірус Морріса &#8211; високоскладних 60000-байтним програма,<br /> розроблена з розрахунком на поразку операційних систем<br /> UNIX Berkeley 4.3 (або 4.3 BSD) та аналогічних їй Sun, що працюють<br /> на комп&#8217;ютерах фірм Sun Microsystems Inc. (Sun) та Digital<br /> Equipment Corp. (DEC) [D2].<br /> Вірус спочатку розроблявся як нешкідливий і мав на меті<br /> лише таємно проникнути в обчислювальні системи, пов&#8217;язані<br /> мережею Arpanet, і залишитися там невиявленими.<br /> Оскільки вірус розповсюджувався в середовищі мережі з<br /> використанням відповідних мережевих засобів і повністю<br /> забезпечував свою роботу сам, то безперечним є твердження,<br /> що вірус Морріса є повноправним представником вкрай<br /> рідко зустрічається вірусного сімейства мережевих черв&#8217;яків.</p> <p> ______________________________<br /> [D1] Мені здається більш правильним називати цей вірус по імені<br /> його автора, хоч, як я вже говорив, вірус має масу інших<br /> назв. Проте в нашій країні, що має вельми віддалене<br /> уявлення про Arpanet, Milnet, Internet, Корнеллського університету і<br /> т.д. прижилося і набуло певного поширення саме це<br /> назва &#8211; &#8220;вірус Морріса&#8221;. Надалі будемо так називати його і ми.</p> <p>Комп&#8217;ютерні експерти, дезассембліровавшіе вірус, одностайно<br /> відзначили, що програма була написана з видатним майстерністю і<br /> розрахунком на три недоліки в системі безпеки слабости<br /> операційних систем.<br /> Вірусна програма включала компоненти, що дозволяли розкривати<br /> паролі, що існують в інфіковані системі, що в свою чергу<br /> дозволяло програмі маскуватися під завдання легальних користувачів<br /> системи, насправді займаючись розмноженням і розсилкою власних<br /> копій. Вірус не залишився прихованим і повністю безпечним, як задумував<br /> автор, в силу незначних помилок, допущених при розробці,<br /> які привели до стрімкого некерованому саморозмноження<br /> вірусу.</p> <p>Тепер давайте розглянемо вірус трохи докладніше, наскільки,<br /> звичайно, дозволяє наявна в нас інформація про нього.<br /> Перш за все цікаве питання, яким чином поширювався<br /> вірус?</p> <p>Субота, 5 листопада 1988.</p> <p>18:31 RISKS Попередження проти посилань на &#8220;помилки в операційній<br /> системі UNIX &#8220;. Вказується, що&#8221; вірус не використовує будь-яких<br /> помилок в UNIX &#8220;, помилки містить&#8221; програма пересилання Sendmail &#8220;.</p> <p>Першою лазівкою була утиліта електронної пошти Sendmail,<br /> входила до складу інфіковані систем. Недолік утиліти Sendmail,<br /> дозволив Морісу обходити підсистему безпеки обчислювальної<br /> системи атакується вузла мережі, має, якщо можна так висловитися,<br /> класичний характер і відноситься до такого досить часто<br /> зустрічається явищу в програмуванні як &#8220;люки&#8221;.<br /> За великим рахунком люк &#8211; це не описана в документації на<br /> програмний продукт можливість роботи з цим програмним продуктом.<br /> Люки найчастіше є результатом забудькуватості розробників: в<br /> процесі розробки програми розробники створюють тимчасові часто<br /> механізми, що полегшують ведення налагодження за рахунок прямого доступу до<br /> відладжуваної частинам продукту. Наприклад, для початку роботи з продуктом<br /> потрібно виконати певну послідовність дій,<br /> передбачених алгоритмом &#8211; ввести пароль, встановити значення<br /> деяких змінних і т.п. При нормальній роботі продукту ці<br /> дії мають певний сенс, але під час налагодження, коли<br /> розробнику необхідно тестувати деякі внутрішні частини<br /> програми і волею-неволею доводиться виконувати ту ж операцію входу<br /> добрий десяток &#8211; а то і більше &#8211; раз на дню, нешкідливі загалом<br /> правила, що ускладнюють проте доступ до відладжуваної частинах,<br /> починають не на жарт дратувати. Що робить програміст? Правильно:<br /> протягом півгодини він програмує певний додатковий механізм,<br /> не передбачений початковим алгоритмом програми, але дозволяє не<br /> виконувати обридлих дій або виконувати їх автоматично &#8211;<br /> наприклад, при натисканні певної клавіші (групи клавіш) або при<br /> введенні певної послідовності символів. Все &#8211; люк готовий!</p> <p>[D2] Така вибірковість вірусу послужила причиною того, що<br /> ряд експертів висловили думку, що інцидент, пов&#8217;язаний з вірусом<br /> Морріса, цілком міг бути ретельно підготовленою акцією корпорації<br /> IBM по підриву позицій своїх конкурентів.</p> <p>Якщо порівнювати з промисловим виробництвом, то люк &#8211; це<br /> технологічний отвір, що не має ніякого відношення до основного<br /> призначенню виготовленого вироби, але значно полегшує<br /> процес виробництва.<br /> Після закінчення налагодження більшість люків забирається з програми; але<br /> люди є люди &#8211; часто вони забувають про існування якихось дрібних<br /> &#8220;Лючков&#8221;.<br /> Автор програми Sendmail, Ерік Олмен (Eric Allman) теж створив у<br /> своїй програмі &#8220;чорний хід&#8221;. [D5] Взагалі програма Sendmail була<br /> досить складною і могла працювати в декількох режимах, що дозволяло<br /> вирішувати дуже складні завдання розподіленого опрацювання даних. Один з<br /> режимів припускав роботу утиліти у вигляді демона &#8211; фонового процесу:<br /> при цьому програма постійно опитувала порт TCP на предмет<br /> виявлення спроб передачі повідомлень з використанням подпротокола<br /> SMTP. При виявленні такої спроби демон встановлював зв&#8217;язок з<br /> віддаленим абонентом і брав адресу відправника, адресу одержувача,<br /> інструкції з обробки повідомлення і власне повідомлення. Так от,<br /> хробак в якості інструкцій обробки посилав команду DEBUG, а замість<br /> адреси отримувача передавав набір команд. При нормальній роботі<br /> такого робити не можна, проте така можливість у режимі налагодження<br /> існувала, оскільки при цьому можна було впевнитися в<br /> спрацьовуванні пошти, не вказуючи подальшу програму обробки, що,<br /> як ви розумієте, значно полегшило Олмену налагодження Sendmail.<br /> Однак ця можливість продовжувала досить активно використовуватися і<br /> іншими користувачами, оскільки цей метод дозволяв уникнути складної<br /> процедури конфігурації утиліти Sendmail для виконання окремих завдань.<br /> Тепер буде зрозумілий перший механізм поширення вірусу<br /> Морріса: влаштувавшись на інфікованому сайті, вірус розсилав з<br /> допомогою Sendmail по виявленим в ураженій системі адресами сусідніх<br /> вузлів &#8220;безневинне&#8221; повідомлення, що складається з 99 рядків тексту мовою C.<br /> Передане повідомлення &#8211; текст програми &#8211; компілювався на<br /> вузлі-одержувачі і отриманий модуль починав працювати, уникнувши<br /> виконання необхідної процедури входу в систему. Робота цього модуля<br /> полягала у встановленні контакту з сервером хробака (тобто атакуючої<br /> програмою-хробаком, що працює на вже інфікованому сайті) та<br /> копіюванні з атакуючого вузла трьох файлів: двох файлів об&#8217;єктного<br /> коду (окремо для VAX і для Sun) і файлу із згадуваним 99-рядковим<br /> вихідним текстом.<br /> Уже згадуваний користувач з університету Делавер описав це<br /> наступним чином:</p> <p>&#8220;Черв&#8217;як проник через Sendmail. Припускаючи отримання<br /> звичайного повідомлення, Деві відкрив порт електронної пошти та<br /> дозволив розміститися в ньому повідомленням, що був насправді<br /> першим сегментом хробака. Цей сегмент вимагає у Деві запуску<br /> програми (так званої оболонки) в налагоджувальному режимі, як<br /> якби законний користувач налагоджував звичайну програму. &#8221;</p> <p>При цьому, по-перше, копіювання виконувалося тільки в разі<br /> передачі серверу випадкового числа, яке було раніше надіслане цим же</p> <p> ______________________________<br /> [D5] Згодом він сказав, що створив цей &#8220;чорний хід&#8221; з метою<br /> полегшення роботи в системі, доступ до якої закривав йому надмірно<br /> старанний адміністратор.</p> <p>сервером в ході спроби зараження. Якщо сервер не отримував такого<br /> числа, він від&#8217;єднується від модуля захоплення, а сам модуль захоплення<br /> самознищується. Це повинно було запобігти &#8220;упіймання&#8221; будь-ким<br /> файлів хробака.<br /> По-друге, якщо копіювання в результаті чого-небудь було<br /> невдалим, то сервер також від&#8217;єднується, а модуль захоплення знищував<br /> всі вже передані файли і самого себе.<br /> І, нарешті, по-третє, модуль захоплення у разі вдалого<br /> копіювання черзі намагався запустити отримані файли. Якщо ні<br /> один з файлів запустити не вдавалося, сервер від&#8217;єднується, а все<br /> файли і сам модуль захоплення знищувалися, якщо ж який-небудь файл<br /> починав працювати (тобто спроба зараження увінчалася успіхом!), вже<br /> ця копія хробака розривала зв&#8217;язок з сервером і знищувала всі сліди<br /> атаки (тобто всі створені файли) на диску.<br /> Чималі підозри викликав той факт, що в тілі програми були<br /> виявлені структури даних, що забезпечують передачу 20 файлів, тоді<br /> як насправді передавалися лише три. Це послужило джерелом<br /> тверджень, що Морріс задумував поширювати таким чином<br /> деякі небезпечні для систем підпрограми. Однак довести ці<br /> наміри не вдалося, втім, як не вдалося з&#8217;ясувати і істинне<br /> призначення виявлених структур.</p> <p>Іншим &#8211; другим! &#8211; Недоліком, використаним вірусом Морріса<br /> для власного розповсюдження, була непродуманість роботи іншої<br /> утиліти, що також входить до складу атакованих систем &#8211; Finger.<br /> Програма Finger також працювала в режимі фонового процесу &#8211;<br /> демона &#8211; і надавала користувачам можливість опитувати<br /> віддалений вузол про поточний стан системи або активності конкретного<br /> користувача. У разі виявлення спроби встановити зв&#8217;язок із<br /> боку віддаленого демона, демон Finger даного вузла встановлював<br /> зв&#8217;язок, зчитував один рядок запиту і посилав у відповідь інформацію,<br /> визначається отриманим запитом. Вся біда полягала в тому, що для<br /> зчитування рядка введення у свій внутрішній буфер програма Finger<br /> використовувала програму gets мови C, а ця програма &#8211; як, втім, і<br /> цілий ряд інших програм введення / виводу в C &#8211; в процесі розміщення<br /> інформації не перевіряла кордону буфера введення, що робило можливим<br /> переповнення буфера і, відповідно, затирання даних, розміщених<br /> слідом за буфером.<br /> Хробак передавав демону Finger точно розраховану рядок введення<br /> довжиною 536 байтів, яка переповнювала буфер введення і затирала верхній<br /> кадр системного стека таким чином, що в цьому кадрі виявлялися<br /> команди, які здійснювали встановлення зв&#8217;язку з атакуючим сервером хробака<br /> через порт TCP. Після встановлення зв&#8217;язку відбувалася передача на<br /> атакується вузол і запуск програми захоплення і відбувався процес,<br /> описаний трохи вище.<br /> В даному випадку цікаво те, що цей метод спрацьовував тільки<br /> для систем, що працюють на машинах VAX, хоча, як стверджують<br /> фахівці, розробити необхідну рядок введення для машин Sun було<br /> справою однієї години.<br /> Працюючий вірус відкривав зв&#8217;язок TCP і в директорії / tmp створював<br /> файл з ім&#8217;ям $ $, 11.c, де $ $ замінювалося ідентифікатором поточного<br /> процесу, куди копіювався код для розширення програми listener або<br /> helper. По завершенню роботи Finger вірусна програма, що міститься<br /> в переданих даних (все той же перший сегмент хробака), надходила на<br /> виконання.</p> <p>Більш зрозуміло про цю лазівці розповість очевидець подій:</p> <p>&#8220;Другий черв&#8217;як UNIX, що належить тому ж автору, також<br /> надійшов через електронну пошту, але використовував іншу схему<br /> атаки. У більшості систем електронної пошти UNIX є утиліта<br /> Finger, яка дозволяє отримати інформацію про користувачів<br /> іншого вузла.<br /> Черв&#8217;як за допомогою утиліти Finger запитував інформацію про<br /> користувачів, які працювали в UNIX. При виконанні запиту Finger<br /> розміщувала в пам&#8217;яті опитуваного вузла свої дані. Але черв&#8217;як<br /> зраджував цю пам&#8217;ять таким чином, що виклик адресувався на його<br /> точку входу, в результаті чого він починав роботу. &#8221;</p> <p>Тепер вам зрозуміло, чому користувачам здалося, що працюють<br /> два хробака? Вся справа в тому, що вірус Морріса використовував для<br /> поширення своїх копій два незалежних один від одного шляху &#8211; через<br /> Sendmail і через Finger.</p> <p>Отже, черв&#8217;як благополучно потрапив в систему і приступив до роботи.<br /> Що ж він робить?<br /> Слово &#8211; нашому знайомому делаверцу.</p> <p>&#8220;За логікою першого сегменту, виконується як звичайна<br /> програма, через той же самий порт електронної пошти в систему<br /> Деві надійшла друга частина хробака. Ця частина складалася із серії<br /> повідомлень, що містять об&#8217;єктний код, що додавалися до працюючої<br /> оболонці хробака.<br /> Першою групою команд вироблялося звернення до списку<br /> адрес інших машин, з якими був пов&#8217;язаний Деві, з наступною<br /> посилкою за цими адресами через мережу копій першого сегменту<br /> хробака &#8230;<br /> &#8230; При нормальній роботі кожен вузол мережі має список<br /> адрес інших комп&#8217;ютерів (зазвичай близько десятка), з якими<br /> даний вузол безпосередньо пов&#8217;язаний лініями зв&#8217;язку. За допомогою<br /> таких списків адрес хробак став поширюватися по мережі від<br /> одного вузла до іншого; зараження при цьому росло по експоненті. &#8221;</p> <p>Логічно? Цілком: заразився сам &#8211; допоможи товаришу. І ще &#8211;<br /> вірус прагнув розмножитися і розіслати свої копії по виявленим<br /> адресами суміжних вузлів раніше, ніж його встигнуть знайти й<br /> зупинити. Це логіка доброї половини всіх відомих вірусів [D2].<br /> Виявлення адрес доступних вузлів вироблялося вірусом за рахунок<br /> виконання програм Ioctl і Netstat з різними аргументами, а також<br /> за рахунок зчитування та аналізу низки спеціальних системних і<br /> користувальницьких файлів, що використовуються для забезпечення роботи в мережі.<br /> Виділятимуться таким чином інформація заносилася в створюваний хробаком<br /> внутрішній список доступних вузлів. Після закінчення формування списку</p> <p> ______________________________<br /> [D2] Друга половина дотримується іншої тактики &#8211; зачаїтися,<br /> почекати деякий час, а вже потім почати розмножуватися і пакостити.<br /> Але для всіх вірусів характерна крайня стурбованість долею своїх<br /> копій: існують віруси, які не починають пакостити всерйоз до<br /> тих пір, поки не створять заздалегідь визначену кількість копій, що<br /> гарантує користувачам набагато більше цікаве життя.</p> <p>хробак починав процес розсилки копій за виявленими адресами. При цьому<br /> описані вище способи починали відпрацьовуватися тільки в тому випадку,<br /> коли черв&#8217;як встановлював досяжність конкретного вузла в даний момент<br /> за рахунок спроб встановлення зв&#8217;язку з цим вузлом через порт telnet.</p> <p>Після розсилки копій по виявлених адресами черв&#8217;як зчитував<br /> системні файли / etc / hosts.equiv і /. rhosts з метою виявлення так<br /> званих &#8220;еквівалентних&#8221; або &#8220;довірених&#8221; вузлів, а також<br /> користувача файли. forward, використовувані для автоматичної<br /> розсилання повідомлень &#8220;електронної пошти&#8221;.<br /> Термін &#8220;довірених&#8221; вузлів пов&#8217;язаний з механізмом &#8220;довіреної<br /> доступу &#8220;. Сенс його в тому, що для полегшення виконання операцій на<br /> віддаленому вузлі користувач має можливість створити файл з<br /> певним ім&#8217;ям, куди він може занести пари <Імяузла / імявхода>.<br /> При роботі з віддаленим вузлом система перевіряє наявність у користувача<br /> такого файлу і, якщо робота ведеться з вузлом, зазначеним в одній з пар,<br /> з використанням зазначеного в тій же парі імені входу, система<br /> автоматично дозволяє доступ без запиту пароля. Саме в<br /> відсутності запиту пароля і полягає &#8220;довіра&#8221;.<br /> Зчитавши вказані файли, черв&#8217;як робив спробу атаки &#8220;в лоб&#8221;,<br /> т.е намагався, використовуючи механізм довіреної доступу, створити шляхом<br /> виклику програми Rsh на віддаленому вузлі працює оболонку, маскуючись<br /> під користувача.</p> <p>Якщо спроба лобової атаки не вдавалася, черв&#8217;як зчитував в пам&#8217;ять<br /> системний обліковий файл / etc / passwd і робив ряд не позбавлених<br /> дотепності спроб розкрити користувача паролі.<br /> Треба сказати, що в системі UNIX користувача паролі зберігаються<br /> в зашифрованому вигляді, але в загальнодоступному для читання файлі, де зберігається<br /> і інша нешифрованому інформація. Великим недоліком &#8211; крім<br /> загальнодоступності облікового файлу &#8211; було також те, що використовуваний для<br /> шифрування паролів DES-алгоритм [D4] був значно ослаблений за рахунок<br /> використання при шифруванні як ключ послідовності<br /> нульових бітів. Крім цього, Морріс вміло зіграв на людській<br /> слабкості багатьох користувачів, які, не надаючи серйозного<br /> значення питанням безпеки своїх даних, використовували як<br /> паролів загальновживані смислові слова, що при серйозному підході до<br /> справі просто неприпустимо.<br /> Для початку черв&#8217;як намагався випробувати як паролі облікові<br /> імена користувачів. Робилося це шляхом шифрування облікових імен</p> <p> ______________________________<br /> [D4] DES &#8211; Data Encryption Standart &#8211; стандарт шифрування даних,<br /> визначає алгоритм, який реалізується у вигляді електронних пристроїв і<br /> використовується для криптографічного захисту даних в ЕОМ.<br /> Описаний в стандарті алгоритм визначає операції перетворення<br /> даних у незрозумілу безпосередньо форму &#8211; шифрування, і навпаки &#8211;<br /> розшифрування. Обидві операції спираються на деякий двійкове число,<br /> зване ключем. Ключ складається з 64 двійкових цифр, з яких 56 бітів<br /> використовуються самим алгоритмом, а решту 8 бітів служать<br /> для<br /> виявлення помилок.<br /> Сам алгоритм відомий всім його користувачам.<br /> Унікальність<br /> алгоритму додає використання в кожній програмі унікального ключа.<br /> Той, хто не знає ключа, знаючи сам алгоритм, не зможе отримати приховані<br /> таким чином дані.</p> <p>користувачів, знайдених в обліковому файлі, і порівняння отриманого<br /> шаблону з шифрованим паролем даного користувача &#8211; у разі<br /> збігу черв&#8217;як виробляв спробу запуску оболонки на всіх віддалених<br /> вузлах, де даний користувач міг працювати (що встановлювалося за<br /> рахунок перегляду внутрішнього списку доступних вузлів та аналізу згаданих<br /> вище файлів).<br /> Якщо користувач був трохи більше обізнаний, і пароль не співпадав з<br /> обліковим ім&#8217;ям в чистому вигляді, то проводилася аналогічна спроба з<br /> використанням облікового імені, перетвореного самим тривіальним<br /> чином: наприклад, випробувати облікове ім&#8217;я, написане в зворотному<br /> порядку.<br /> Якщо і це не давало результату, як шаблони випробувалися<br /> зашифровані 432 загальновідомих слова (типу &#8220;cretin&#8221;, &#8220;batman&#8221; і<br /> т.д.), які становлять внутрішній словник хробака. Цей варіант дав,<br /> до речі, найбільший відсоток розкриття паролів.<br /> Після всіх цих кроків як паролі випробувалися слова з<br /> наявного в системі словника.</p> <p>Як бачите, нічого особливого в застосованому методі розтину<br /> паролів немає, як немає і виправдання халатності користувачі<br /> послужила причиною того, що черв&#8217;якові в окремих системах вдавалося<br /> розкрити паролі більше половини користувачів. Адже кожен новий<br /> пароль черв&#8217;як використовував для атаки нових жертв!</p> <p>&#8220;Наступна група команд містила список общеіспользуемих<br /> як паролі слів, зашифрованих по DES-алгоритму [D4],<br /> які порівнювалися в такому вигляді з системним файлом паролів<br /> Деві, також зашифрованим по DES-алгоритму. Кожен<br /> зашифрований пароль-шаблон порівнювався з паролями всіх законних<br /> користувачів Деві, і кожне повний збіг запам&#8217;ятовувалося<br /> вірусом. У Деві черв&#8217;як таким чином зміг отримати близько 20 з<br /> 300 паролів, причому один з розкритих паролів забезпечував<br /> отримання привілеїв системного користувача.<br /> Системний користувач в UNIX має можливість працювати з<br /> системними файлами і таблицями безпеки, звертатися до інших<br /> системам, а також читати, писати і чистити файли по всій<br /> системі.<br /> У цей момент хробак став поширювати свої копії по<br /> інших систем університету, але не виробляв серйозних<br /> руйнувань файлів або програм, хоча й міг це робити, &#8211; черв&#8217;як,<br /> безсумнівно, не був запрограмований на руйнування; єдиним<br /> збитком, нанесеним хробаком Деві, було істотне уповільнення<br /> роботи інших програм. &#8221;</p> <p>На щастя для американських користувачів, Морріс був у<br /> певному сенсі добропорядним фахівцем, не ставили собі<br /> метою нашкодити всім оточуючим, унаслідок чого створений ним вірус<br /> не спотворював і не знищував даних. Саме тому вірус Морріса був<br /> віднесений фахівцями до категорії так званих &#8220;мирних&#8221; вірусів, не<br /> приносять користувачам непоправних бід.</p> <p>Якби Морріс додав до своєї програми ще кілька рядків, то,<br /> на думку фахівців, збиток був би непоправною.</p> <p>Як показав аналіз хробака, що мало в дійсності місце<br /> некероване розмноження вірусу в плани Морріса не входило. В<br /> процесі роботи черв&#8217;як намагався зв&#8217;язатися з іншого копією, яка працює в<br /> цій же системі, через завідомо певне гніздо TCP. Якщо спроба<br /> була успішною, тобто в системі працювала ще одна копія хробака,<br /> атакуючий черв&#8217;як встановлював в 1 змінну pleasequit, що викликало<br /> саморуйнування хробака, але після виконання ним етапу розтину паролів.<br /> Така затримка саморуйнування привела до того, що в одній системі<br /> могли одночасно працювати кілька копій хробака. Більше того,<br /> поєднання умов в тілі хробака робила можливою ситуацію, коли сильно<br /> завантажена система відмовляла нової копії хробака у встановленні зв&#8217;язку,<br /> що розцінювалося хробаком як відсутність в системі інших копій і,<br /> отже, приводила до початку роботи нової копії.<br /> Морріс побоювався, що системні програмісти рано чи пізно<br /> зроблять спроби запустити імітатор хробака, який відповідав би на спроби<br /> встановлення зв&#8217;язку через порт TCP з метою знищення справжніх копій<br /> хробака. Щоб блокувати такі спроби, черв&#8217;як на основі аналізу<br /> випадково генеруемого числа (приблизно в одному випадку з семи)<br /> встановлював внутрішні прапорці таким чином, що опинявся<br /> незалежним від результатів перевірки наявності інших копій хробака в<br /> системі. Ці &#8220;безсмертні&#8221; копії вносили значну лепту в<br /> перевантаження інфіковані систем.<br /> Таким чином, недостатньо коректне програмування механізму<br /> розмноження незалежно від відповіді машини було помилкою, що призвела до<br /> виходу вірусу з-під контролю. З іншого боку, ця помилка в<br /> програмі зумовила і раннє виявлення вірусу. [D3]</p> <p>І це ще не все! Очевидно припускаючи, що поява нового<br /> вірусу не викличе у більшості користувачів захоплення, Морріс<br /> зробив певні заходи з тим, щоб приховати дійсне джерело<br /> зараження і це йому вдалося набагато краще. За словами Пітера Йі &#8211;<br /> фахівця з комп&#8217;ютерної техніки з університету в Берклі: &#8220;Ми<br /> виявили, що програма-вірус досить складна і її автор прекрасно<br /> впорався із завданням ускладнити її виявлення. &#8221;<br /> По-перше, досить складною була схема запуску вірусу:<br /> програма-вірус була запущена в комп&#8217;ютері MIT (Нова Англія), у той<br /> Тоді як автор, використовуючи можливості теледоступу, працював за<br /> комп&#8217;ютером у Корнеллського університету в Ithica (Нью-Йорк).<br /> По-друге, як повідав Пітер Йі: &#8220;Потрапивши в пам&#8217;ять першого<br /> комп&#8217;ютера, програма стерла інформацію, що стосується часу її введення,<br /> місця, звідки вона була спрямована, а також того, в які ЕОМ вона<br /> повинна потрапити. &#8221;<br /> По-третє, на основі аналізу випадково генерується числа, хробак<br /> намагався надіслати повідомлення на вузол університету в Берклі. Це</p> <p> ______________________________<br /> [D3] Цікаво відзначити, що автор вірусу, відомого під<br /> назвою &#8220;Єрусалим&#8221; &#8211; першого, як прийнято вважати на Заході,<br /> вірусу, використаного в терористичних цілях, допустив аналогічну<br /> помилку. Через це вірус, який повинен був у травні 1987 року &#8211;<br /> напередодні 40-річчя утворення держави Ізраїль &#8211; вивести з ладу<br /> його комп&#8217;ютерні мережі, був виявлений в кінці 1986 року і ліквідовано.</p> <p>відбувалося приблизно один раз на 15 спроб інфікування. Однак<br /> цей механізм був запрограмований не досить коректно, внаслідок<br /> чого ніякої реальної пересилання даних не відбувалося. Чи було це<br /> спочатку продуманої хитрістю чи дійсно задумувалася<br /> пересилання інформації &#8211; так і залишилося невідомим. Відомо тільки,<br /> що пересилатися повинен був один байт з невстановленим значенням.<br /> Це дозволяє припустити, що автор задумував створити<br /> програму-монітор, яка отримувала і обробляла б пересилаються<br /> байти, що містять ідентифікацію уражених хробаком вузлів. Однак<br /> будь-яких доказів наявності такої програми не було виявлено, і<br /> тому рівноймовірної є версія, що при створенні цього<br /> механізму автор припускав помилково вказати на джерело зараження.<br /> По-четверте, черв&#8217;як періодично &#8220;гілки&#8221; (створював підпроцес)<br /> за допомогою команди Fork з подальшим знищенням командою Kill<br /> процесу-батька. Перш за все це дозволяло змінити<br /> ідентифікаційний номер процесу з тим, щоб у файлі системної<br /> статистики не було підозрілих даних про занадто великий споживанні<br /> ресурсу процесора яким-небудь одним процесом. Далі, занадто довго<br /> працює процесу система починає зменшувати диспетчерський<br /> пріоритет, а при &#8220;резветвленіі&#8221; новому процесу присвоювався початковий<br /> пріоритет. Правда і цей механізм працював не завжди чітко, оскільки<br /> в ряді випадків черв&#8217;як в сукупності споживав до 600 секунд часу<br /> процесора.</p> <p>І, нарешті, на випадок, коли черв&#8217;як працював би в системі протягом<br /> 12 годин, був передбачений механізм повторного інфікування<br /> суміжних вузлів: черв&#8217;як стирав у своєму внутрішньому списку вузлів<br /> позначки про зараження, або &#8220;імунної&#8221; вузлів і таким чином<br /> повторював процес зараження з самого початку.</p> <p>І до цього дня залишається нез&#8217;ясованим питання про істинні мотиви,<br /> якими керувався Морріс, створюючи свій вірус?<br /> Сам автор з цього приводу розсудливо зберігав мовчання, що<br /> послужило причиною появи безлічі найрізноманітніших версій.<br /> Є навіть романтичний варіант цієї історії, згідно з яким черв&#8217;як<br /> був створений і запущений з єдиною метою &#8211; завоювати серце якоїсь<br /> Джуді Фостер (Jodie Foster).<br /> Проте найбільш поширена думка, що Морріс створив свою<br /> програму в експериментальних цілях, а до настільки серйозних наслідків<br /> привів вихід вірусу з-під контролю в силу невеликих програмних<br /> помилок. Найімовірніше сенс експерименту полягав у сховищі<br /> поширенні вірусної програми по мережі, минувши засоби забезпечення<br /> безпеки, з подальшим переданням цього факту розголосу. Що й<br /> говорити, шум був би великий, хоча, можливо, дещо менший<br /> відбувся в дійсності. З цієї точки зору вірус повністю<br /> досяг своєї мети &#8211; багатомільйонна армія користувачів була<br /> поставлена ​​перед фактом &#8220;гнітючого стану програмного<br /> забезпечення і системи безпеки у світі UNIX &#8220;(Матт Бішоп,<br /> університет Дортмуса).</p> <p>Сам Морріс дав наступну версію події.<br /> 2 листопада, набравши свій код доступу в мережу, він здійснив введення<br /> вірусу з комп&#8217;ютера Корнеллського університету. Морріс розраховував,<br /> що вірус буде пасивним &#8211; &#8220;сплячим&#8221; &#8211; і приступить до активних<br /> дій тільки через кілька днів. Однак стався неприємний<br /> для автора збій, і вірус взявся за справу миттєво.<br /> Коли Морріс спробував дізнатися хід атаки, він несподівано виявив,<br /> що мережа перевантажена настільки, що він сам не в змозі отримати<br /> доступ до терміналу. Морріс намагався зупинити процес, але всі спроби<br /> закінчилися невдачею. Більше того, оскільки каналом розповсюдження<br /> вірусу була електронна пошта Sendmail, то саме вона перша і вийшла<br /> з ладу, внаслідок чого Морріс позбувся зв&#8217;язку з іншими<br /> комп&#8217;ютерами. Це, за його словами, &#8220;відрізало&#8221; його від мережі і не<br /> дозволило сповістити колег про загрозу.<br /> Морріс тут же (близько 2 години ночі 3 листопада) по телефону зв&#8217;язався<br /> зі своїм другом в Гарвардському університеті і попросив його послати в<br /> Arpanet сигнал тривоги з докладними інструкціями про метод знищення<br /> вірусу. Цей знайомий в свою чергу послав коротке повідомлення на<br /> зайво технічній мові і до того ж розмістив це повідомлення на<br /> маловідому EBB (Electronic Bulletin Board &#8211; &#8220;електронна дошка<br /> оголошень &#8220;). Однаково до цього моменту мережа була перевантажена і<br /> більшість абонентів просто не мали можливості прочитати це<br /> повідомлення.<br /> Злякавшись відповідальності, Морріс втік з університету до<br /> батькам, де зв&#8217;язався з адвокатом (за допомогою якого, очевидно, і<br /> була розроблена відповідна версія події).<br /> 4 листопада, як відомо, він з&#8217;явився з повинною в штаб-квартиру ФБР<br /> у Вашингтоні.</p> <p>E Що за цим послідувало.</p> <p>Неділя, 6 листопаду 1988.</p> <p>15:50 RISKS Висловлено попередження проти роздмухування галасу<br /> навколо вірусу більшою, ніж це зроблено в пресі. Подія,<br /> &#8220;Сталося насправді, не є сюрпризом ні<br /> для читачів RISKS, ні для користувачів Internet або<br /> UNIX.&#8221;</p> <p>19:01 RISKS Короткий звернення до користувачів із закликом<br /> вивчати вірус; наголошується, що &#8220;неетичність та інші<br /> зловживання не є незвичайними. &#8220;Комп&#8217;ютерні<br /> системи повинні перестати бути &#8220;щодо широко<br /> відкритими. &#8221;</p> <p>Понеділок, 7 листопаді 1988.</p> <p>15:44 RISKS Обговорення можливості провокації вірусом ядерної<br /> війни. Викликано недільним повідомленням (15:50), але впадає в<br /> протилежну крайність, перебільшуючи возможнось<br /> &#8220;Ядерного Армагедону&#8221;.</p> <p>19:06 VIR Приватна реакція на вірус Internet комп&#8217;ютерної<br /> служби, яка &#8220;безпосередньо навіть не пов&#8217;язана з Internet&#8221;</p> <p>і лише до цього моменту була повідомлена з місцевих газет і<br /> місцевих філій ABC і NBC.</p> <p>8 листопада 1988 у Вашингтоні була організована зустріч групи<br /> програмістів та експертів з комп&#8217;ютерної безпеки з різних<br /> університетів з одного боку та представників федеральної влади з<br /> другий &#8211; &#8220;Proceedings of the Virus Post-Mortem Meeting&#8221;.<br /> Метою зустрічі було обговорення результатів вірусної атаки і<br /> що склалася у зв&#8217;язку з цим ситуації і вироблення пропозицій з приводу<br /> того, як уникнути повторення подібних атак в майбутньому. На зустрічі був<br /> прийнятий документ, що складається з 11 рекомендацій учасників наради<br /> (Див. додаток B).</p> <p>Одним з результатів зустрічі став запит NCSC до дослідників<br /> університету в Пурдю на видалення з комп&#8217;ютерної системи університету<br /> всієї інформації, що стосується алгоритму роботи вірусу. Університет<br /> видалив всю інформацію, яка з точки зору фахівців<br /> представляла якусь небезпеку.<br /> Відповідно до рекомендацій була створена так звана &#8220;група<br /> відповіді &#8220;: в даний час Група відповіді на комп&#8217;ютерну небезпеку<br /> (Computer Emergency Response Team) офіційно розташовується в<br /> університеті Карнегі-Меллона, перебуваючи на фінансовому забезпеченні<br /> серйозно стурбованого інцидентом Пентагону.</p> <p>ФБР наклало заборону на всі матеріали, що мають відношення до вірусу<br /> Морріса, а 11 листопада 1988 року в &#8220;Нью-Йорк Таймс&#8221; у статті Джона<br /> Маркоффа було заявлено, що NCSC шукає способи, щоб взагалі зупинити<br /> поширення точної інформації про &#8220;внутрішній роботі програм,<br /> які ускладнюють роботу американських комп&#8217;ютерів. &#8221;<br /> Тепер, я думаю, вам стало зрозуміло, чому отримати докладні<br /> матеріали по вірусу Морріса (зокрема) в даний час не так-то<br /> просто.<br /> Вірусна атака послужила причиною різко збільшеного інтересу до<br /> засобів забезпечення безпеки як обчислювальних систем, так і<br /> об&#8217;єднують ці системи мереж.<br /> Урядові лабораторії та дослідні центри,<br /> займаються проблемами захисту інформації, інтенсифікували роботи<br /> над створенням складних і, по можливості, універсальних антивірусних<br /> програм, які повинні виявляти і блокувати вірус на самих ранніх<br /> стадіях його розвитку. Однак, на думку експертів, якщо такі<br /> програми і вдасться створити, вони навряд чи стануть надбанням гласності.<br /> Передбачається, що в разі створення універсальних антивірусних<br /> програм вони будуть розглядатися як свого роду &#8220;стратегічне<br /> зброю &#8220;.<br /> До робіт по боротьбі з вірусами і створення &#8220;імунних&#8221; програм<br /> підключилися Національний науковий фонд США, біржа Уолл-стріта і ін<br /> Занепокоєння фінансових кіл США пояснюється їх сильною залежністю<br /> від обчислювальної техніки, на базі якої функціонує вся система<br /> електронних безготівкових розрахунків [E1].</p> <p>Оскільки вірус Морріса відчутно вдарила по репутації одного з<br /> найпопулярніших сімейства операційних систем &#8211; UNIX &#8211; не дивно,<br /> що розробники стали докладати гарячкові зусилля до того, щоб<br /> повернути UNIXу колишній авторитет і, відповідно, не втратити ринок<br /> збуту.<br /> Так, фахівців каліфорнійського університету в Берклі &#8211; місця<br /> народження UNIX Berkeley &#8211; вірусна атака спонукала заново повністю<br /> проаналізувати свою систему, виправити виявлені хробаком дірки і<br /> відключити в системі UNIX режим відладки. Вони також переписали<br /> програму Finger таким чином, щоб вона перевіряла кордону<br /> розміщуваної нею пам&#8217;яті з тим, щоб будь проник в систему вірус не<br /> зміг би записати в цю пам&#8217;ять свої коди.<br /> Як повідомив в лютому 1989 року віце-президент компанії AT &#038; T<br /> Вільям О&#8217;Ши (William O&#8217;Shea) для системи UNIX 4.1 були розроблені<br /> поліпшені засоби забезпечення безпеки. Нові засоби складаються<br /> в удосконаленні методології доступу, забезпеченні цілісності<br /> даних, відмову від утиліт і ненав&#8217;язливою політиці стримування.<br /> Існуючий раніше статус суперкористувача замінений статусом<br /> суперкористувача, який працює тільки на період установки<br /> системи. Безпека паролів покращена за рахунок використання<br /> &#8220;Тіньових&#8221; файлів паролів. Використано механізми обмеження доступу<br /> до файлів відповідно до поточної формою активності в системі.<br /> Реалізована більш гнучка система авторизації, що включає групові та<br /> користувальницькі ідентифікатори, а також контроль команд і процедур<br /> входу.<br />

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*