Суета вокруг Роберта
Шрифт:
Пятница, 4 ноября 1988 года.
00:27 RISKS Сообщение из университета в Пурду, содержащее довольно
полное описание вируса, хотя по-прежнему неизвестно, что именно
"вирус предполагает делать окончательно".
14:22 RISKS Краткое сообщение о дезассемблировании вируса.
Указано, что вирус содержит несколько ошибок, которые "могут
привести к неприятностям и, несомненно, непредсказуемому
поведению программы". Отмечается, что если бы "автор тестировал
программу более тщательно", он все равно не смог бы обнаружить
эти ошибки
Ряд пользователей сети Arpanet, в частности MIT, где была сформирована своя группа, приступили к срочной модификации сервисных подпрограмм, чистке файлов данных и программного обеспечения.
В Ливерморской лаборатории, несмотря на четкие действия специалистов, вирус удалось блокировать только через пять часов после обнаружения [C4].
Как сообщил Джей Блумбекер, директор Национального центра информации о компьютерной преступности (г.Лос-Анджелес), ликвидация последствий распространения вируса стоила Лос-Аламосской Национальной лаборатории $250000.
Исследовательскому центру NASA в г.Маунтин Вью (Калифорния) пришлось на два дня закрыть свою сеть для восстановления нормального обслуживания 52000 пользователей.
21:52 RISKS Сообщение группы MIT о вирусе Internet. Заявлено, что
в вирусе не обнаружено кода, предполагающего порчу файлов.
Рассказывается о работе вируса; подтверждено, что "вирус содержит
стр. 18
несколько ошибок". Отмечается, что программа предполагала
"скрытое распространение, что представляет определенный интерес".
Тот же день, газета "Нью-Йорк Таймс". В заметке Джона Маркоффа
"'Virus' in Military Computers Disrupts Systems Nationwide" дан
весьма аккуратный обзор происшедшего и сообщено, что не назвавший
себя студент позвонил в редакцию и заявил, что инцидент является
всего лишь "экспериментом, который испортился в результате
небольшой программной ошибки."
В университете штата Делавэр червь был обнаружен в большом компьютере VAX, ласково именуемом в пределах университета Дэви (Dewey), 3 ноября примерно в 8:15 утра. Вот как описывает борьбу с вирусом участник событий [C5]:
"Червь поразил систему университета во вторник утром, почти
сразу же после того, как пришел на работу административный и
технический персонал. Первым делом, каким занялось большинство
администраторов, было ежедневно выполняемое ознакомление с
поступившими сообщениями электронной почты. Администраторы
обнаружили предупреждения о вирусе, информацию о странных
файлах, обнаружение которых свидетельствует о наличии одного или
нескольких червей и идеи относительно обнаружения и уничтожения
программы-червя. Администраторы быстро обнаружили работающую
оболочку UNIX, не связанную с каким-либо терминалом и, используя
команду KILL, уничтожили первый червь в Дэви.
Спустя несколько часов на терминалы администраторов стали
поступать новые сообщения и предупреждения о втором черве. В
это время Arpanet была в панике, и системные администраторы
______________________________
[C4]
Вы думаете, этой многострадальной лаборатории удалось передохнуть от вирусов? Глубоко заблуждаетесь! Открываем газету "Правда" от 20 декабря 1988 года (N 355) и читаем:"Предпринята еще одна попытка - вторая за последний месяц вывести из строя компьютерную систему Ливерморской лаборатории радиации в Калифорнии. Восемь раз в течение недели в компьютерную систему крупнейшей в США ядерной лаборатории проникал сильнодействующий 'вирус' и 'забивал' все каналы информации. Благодаря усилиям заведующего центром компьютерной безопасности Т.Абрахамсона, который попросту не уходил домой и сутками корпел над электронными головоломками, каждый раз удавалось 'нейтрализовать вирус' и предотвратить опасное 'заражение памяти' ЭВМ.
Член руководства лаборатории Р.Борчерс считает, что проникнуть в компьютерную систему мог только высококвалифицированный специалист, обладающий секретной информацией о деталях программы, о кодах, паролях и слабых местах 'защитного кордона' ЭВМ."
Остается только пособолезновать специалистам лаборатории и позавидовать их квалификации и самоотверженности, проявляемой в борьбе за живучесть своей вычислительной системы.
______________________________
[C5] Эти сведения почерпнуты из статьи Clinton E. White "Viruses and worms: attac on campus", опубликованной в журнале Computer & Security N 8(1989 г.).
стр. 19
советовали остановить работу утилиты Sendmail и/или
отсоединиться от сети. К счастью, администраторы продолжали
контролировать свои системы и не отсоединялись. Через некоторое
время они получили программу блокировки червя, написанную
системным программистом из университета в Пурду (Purdue). Эта
программа инициировала вызов червя и запись всех сегментов в
пустой файл, что позволило обнаружить код червя и прекратить его
распространение по системам.
По счастливому случаю оба червя UNIX были обнаружены, по
всей видимости, спустя всего лишь несколько минут после их
поступления в систему из Arpanet. Благодаря утренним сообщениям
электронной почты администраторы были в курсе событий, в
результате чего черви были зафиксированы до того, как события
приобрели драматический характер. Ущерб состоял в потере
времени системными администраторами на обнаружение червей, их
уничтожение и чистку системы от сопутствующих червям файлов
(около одного дня работы системных администраторов, что
оценивается в сумму свыше 120$)."
Думаю, всем понятно, что под именем червя UNIX здесь упоминается описываемый вирус.
Вопрос вызовет, пожалуй, упоминание о двух червях, ведь мы-то все время говорим об одном. На это есть две причины.
Первая - это то, что на компьютер было совершено два "нападения", не совпадавшие по времени.
Второе - то, что, как впоследствии выяснилось, вирус использовал для распространения два различных механизма, в результате чего казалось, что работают два - правда очень похожих - червя. Но об этом - несколько ниже.