2 ноября 1988 года Роберт Моррис – Младший, аспирант Факультета информатики Корнельского Университета инфицировал с помощью написанного им вируса большое количество компьютеров. Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью ARPANET (ARPANET в 1989 году официально переименован в Интернет) , и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей (Internet worm), и представляет собой 60 килобайтную программу, разработанную с расчётом на поражение операционных систем UNIX Berkeley 4.3.
При этом, интересен тот факт, что отец «отца вируса» – Роберт Моррис – Старший в это время занимал должность научного руководителя Национального Центра Компьютерной Безопасности (NCSC – National Computer Security Center) – эксперта по компьютерной безопасности. Моррис - Старший много лет проработал в лаборатории AT&T Bell, где в 60-х годах принимал участие в разработке программ Core Wars. Кстати, инцидент с программой-червем практически никак не сказался на карьере Морриса – Старшего. В начале 1989 года он был избран в специальный консультативный совет при Национальном институте стандартов и министерстве торговли. В задачу этого совета входит выработка заключений и рекомендаций по вопросам безопасности вычислительных систем правительственных органов США, а также решение вопросов, возникающих при разработке и внедрении стандартов защиты информации.
Инцидент с «вирусом Морриса» дал толчок к появлению целой отрасли компьютерной безопасности – компьютерной вирусологии.
По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается более чем в 98 миллионов долларов. Вирус поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.
В американских репортажах с места события, опубликованных такими ведущими газетами как Chicago Tribune, New York Times и Boston Herald, широко освещалась динамика распространения вируса и разработки методов борьбы с ним, а также поднимались общие проблемы обеспечения безопасности компьютерных систем. Позднее, в аналитических статьях по этому повод поднимались нерешенные проблемы, относящиеся к вопросам безопасности компьютерных систем, и законодательные инициативы, направленные на предотвращение подобных случаев в дальнейшем. В частности, в палате представителей внесены два проекта законов, предусматривающих уголовное наказание за создание и распространение компьютерных вирусов.
Кроме того, широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли Моррис героем-хакером, который без нанесения по-настоящему серьезного ущерба указал на слабые места в национальной компьютерной сети, или он является преступником, который должен быть сурово наказан. В то же время, он уже отчислен из Корнельского университета (с правом подачи заявления на повторное вступление через год). Таким образом, Моррис может вновь подать заявление о поступлении не ранее осени 1990 г. В этом случае вопрос о его поступлении будет решаться администрацией.
«Современная история» компьютерных вирусов.
- ARPANET официально переименован в Интернет .
Появился «троянский конь» AIDS . Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.
Создан вирус для противодействия антивирусному ПО («Темный Мститель» - The Dark Avenger ). Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.
Клифф Столл (Cliff Stoll), сотрудник Lawrence Berkeley National Laboratory опубликовал книгу «Кукушкины яйца» (The Cuckoo"s Egg), в которой предостерегал, что всемирная компьютерная сеть может служить не только целям добра, но и активно использоваться военными, преступниками и хулиганами. Столл рекомендовал заблаговременно принять меры для недопущения подобного развития событий.
1990 год (декабрь). В Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR). На сегодняшний день он является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.
1991 год. Написана программа, предназначенная исключительно для создания вирусов – VCSvl.0.
Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, им оказался 12-летний подросток.
Зафиксировано появление «бомб замедленного действия» – вирусов, которые активизируются по достижении определенной даты.
1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.
1995 год. Появление макровирусов , рассчитанных на поражение программной среды MS Word.
1999 год. Почтовый вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa – 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения.
2000 год, май. Рекорд Melissa побил почтовый вирус I Love You! , поразивший миллионы компьютеров в течение нескольких часов. Особенность вируса заключалась в том, что прикрепленный к письму файл с телом вируса активизировался автоматически при открытии пользователем письма для прочтения. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.
2001 год. Интернет поразил почтовый вирус Anna Kournikova . 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание этого вируса. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанесла «Анна Курникова» экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.
2002 год. 13 узловых DNS-серверов Интернета, обеспечивающих функционирование Всемирной Сети, подверглись DoS-атаке, организованной при помощи сетевого вируса. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.
2003 год (июль). Рекорды быстроты распространения побил «червь» Slammer , заразивший 75. тыс. компьютеров за 10 минут. В результате активизации вируса-червя Slammer скорость работы сети значительно замедлилась, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.
Вирусная атака началась в 0:30 по времени Восточного побережья США или в 8:30 по московскому времени. Где находился источник заражения, до сих пор точно не известно. Некоторые специалисты по компьютерной безопасности предполагают, что вирус распространялся с территории США, другие же считают, что его родина находится где-то в Азии. За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводнил Интернет. Несмотря на малый размер вируса (376 байт ), он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера он начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса.
Все это привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы переставали нормально работать. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.
Об ошибке программного кода в MS SQL Server 2000 стало известно еще летом 2002 г., а исправление к ней содержится в выпущенном Microsoft пакете обновлений Service Pack 3 . Тем не менее за установку патчей администраторы взялись лишь после атаки Slammer. Однако удалось это немногим: сайт Microsoft, откуда только и можно было взять Service Pack, оказался перегружен.
27 января 2004 года. Начало крупномасштабной эпидемии почтового червя Novarg , также известного как Mydoom . Всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.
Червь распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, открывающую ТСР порты с 3127 по 3198 , что делает возможным удаленное управление зараженной системой, отыскивает почтовые адреса в адресной книге, Outlook, и рассылает себя на эти адреса с помощью собственного SMTP клиента, а также запрограммирован на проведение DoS-атак на сайты www.sco.com и www.microsoft.com.
Ущерб от эпидемии вируса MyDoom (он же Novarq) стал самым большим в истории интернет-эпидемий: он составил 2,6 млрд долларов. Такие оценки содержатся в отчете английских экспертов из компании Mi2g.
3 Мая 2004 года. В Интернет обнаружен новый червь Sasser. Червю был присвоен наивысший рейтинг опасности. По оценкам аналитиков, обычный компьютер, подключенный к Интернет и не обеспеченный средствами защиты, подвергается заражению червем в течении 10 минут.
Sasser распространяется путем использования ошибки переполнения буфера в процессе lsass.exe на системах Windows 2000, XP и 2003 Server. После заражения системы червь начинает использовать ее для атак на другие компьютеры через TCP порт 445.
Червь активизируется без вмешательства пользователя и способен поражать любой компьютер, подключенный к сети, вне зависимости от того, используется он в данный момент или нет. Признаком заражения служат различные сообщения о системных ошибках и самопроизвольная перезагрузка системы.
Дальнейшая история развития компьютерных вирусов тесно переплетается с историей развития вредоносного программного обеспечения в целом. В ней практически отсутствуют какие-либо уникальные творческие находки, зато всё более прослеживается желание лёгкой наживы злоумышленников, использующих данное ПО.
Лишь спустя несколько дней специалистам удалось определить источник проблемы. Это бы первый в мире своего рода компьютерный червь, который в субботу отметил свое 25-летие.
Как выяснилось, создатель червя это вовсе не советский кибер-преступник . Им оказался 23-летний студент, который допустил несколько важных ошибок в кодировании. Его имя Роберт Тэппэн Моррис (Robert Tappan Morris) . Начинающий гений запустил то, что он не смог контролировать, чем привлек к себе массу внимания.
"Ранним утром 3-го ноября - действительно рано - я попытался войти в сеть, чтобы проверь свою электронную почту, но мне это не удалось" , - говорит Джин Спаффорд (Gene Spafford), профессор информатики в Университете Пердью и один из немногих экспертов, которые подошли к анализу и демонтированию червя в течение нескольких часов после его запуска. "Тогда я залез в систему, чтобы определить, что не так с сервером и при этом обнаружил проблемы с программным обеспечением ".
Возникшие неполадки были, конечно, последствиями вторжения червя Морриса . Его ничем не сдерживаемое самовоспроизведение привело к краху компьютерной системы. Все произошло быстро. Вирус проник в компьютеры лабораторий, школ и государственных учреждений, расположенных по всей стране.
В ответ на чрезвычайную ситуацию Spaf оперативно создал два отдельных списка с рассылкой: один местный (для администраторов и преподавателей), а другой, называемый Фаговым списком, для тех, кто занимался вопросами о взломе информацию. Список Фага стал жизненно важным ресурсом, через который пользователи Интернета могли понять червя, оставаться в курсе последних новостей и обсуждать более широкие проблемы безопасности.
Однажды пришло сообщение из анонимного источника. В послании говорилось "я сожалею". Здесь же перечислялись способы предотвращения дальнейшего распространения червя. Источником был друг Морриса в Гарвардском университете по имени Andy Sudduth, через которого решил обратиться сам «хакер ».
Интернет в 1988 году
"Интернет в то время был очень свободным. Безопасность не вызывала серьезной озабоченности ", - рассказывает Микко Хиппонен (Mikko Hypponen), главный научный сотрудник финской антивирусной компании F-Secure.
В 1988 году общее число компьютеров, подключенных к сети Интернет, колебалось в районе от 65 000 до 70 000 машин. Хотя Интернету в то время было уже около 15 лет, он использовался в первую очередь в академических, военных и правительственных структурах.
"Я не скажу, что мы всем доверяли, но в целом никто не пакостничал и не наносил никакого вреда ", - сообщает Спаф. "Мы жили в районе, где было много людей, но вы могли оставлять свои двери открытыми, не боясь поджигателей ".
Администраторы считают, что недостатки методов обеспечения безопасности в значительной степени соответствовали характеру интернет-сообщества на тот момент времени. Работа Морриса стремительно воспользовалась этой уязвимостью.
Компьютерный червь
Экономические потери, вызванные эффектом червя, варьировали в зависимости от расположения и глубины заражения. По оценкам Калифорнийского университета в Беркли, для очистки учреждения от вируса потребовалось 20 дней работы. Во время слушанья против Морриса судья огласил, что: "Ориентировочная стоимость антивирусных работ на каждой установке колеблется в диапазоне от 200 до более 53 000 долларов".
По некоторым оценкам общая стоимость ущерба от червя Морриса составила от 250 000 до 96 миллионов долларов.
"Все люди знали в то время, что компьютеры выключались (закрывались)" , - говорит Марк Раш (Mark Rasch), федеральный обвинитель на суде против Морриса в Соединенных Штатах. "Возникла определенная степень паники и неразберихи в связи с характером того, как распространяется червь ".
Не смотря на то, что вирус был сложным, широко распространяющимся и весьма разрушительным, он не был запрограммирован на уничтожение или удаление чего-либо, и он этого не делал. Вся его разрушительная сила связана с его стремительным самовоспроизведением. Из-за ошибки создателя он сам себя копировал и чем быстрее он это делал, тем медленнее и сложнее работала сеть, машина зависала. Менее чем через 90 минут с момента заражения червь делал зараженную систему непригодной для использования.
"Программное обеспечение было написано для распространения. Я не думаю, что он намеревался причинить ущерб. Это было, скорее всего, случайно либо непреднамеренно", - говорит Спаффорд.
По мнению большинства, Моррис не ожидал, что червь будет копироваться и распространяться так быстро. Из-за ошибки кодирования вирус заражал компьютеры намного быстрее и более публично, чем, скорее всего, было предназначено. Похоже, Моррис допустил "колоссальную" ошибку.
Изображение: Flickr, Intel Free Press
Министерство обороны заподозрило в атаке россиян.
"По правде говоря, реакция на это нападение варьировала от легкого раздражения до предположения о наступлении конца света"
, - говорит Раш. "Были и такие, кто думал, что это прелюдия к мировой войне, полагали, что это попытка со стороны Советского Союза завязать кибер-войну и запустить ядерное оружие
".
Мотивация вирусописателя
Если червь не был направлен на повреждение или кражу, что побудило Морриса? Некоторые полагают, что он хотел привлечь внимание к недостаткам безопасности. Таково мнение и Спаффорда.
"Но недостатки, которые в этом были, он мог бы отметить и другими способами ", - говорит он. "Я бы никогда не купился на идею, что ты должен сжечь здание до фундамента, чтобы показать, что оно воспламеняющееся ".
Согласно Rasch, Министерство юстиции в то время не имело более согласованного мотива, чем "потому что это можно сделать" .
"Это было частично вызвано любопытством и, возможно, определенным высокомерием", - говорит Спаф, который признает, что никогда нельзя быть уверенным в мотиве. "Он молчал обо всем этом в течение последних 25 лет. Кстати, он стал жить своей жизнью и сделал очень хорошую карьеру" .
Моррис в конечном итоге признался в создании червя. Процесс по его делу стал первым федеральным случаем о компьютерном преступлении.
Суд
Морриса признали виновным в компьютерном мошенничестве и злоупотреблении. Его приговорили к 400 часам общественных работ, оштрафовали на 10 050 долларов и условно лишили свободы на три года. Многие, в том числе Спаффорд, посчитали, что его уголовное преступление осудили слишком сурово.
"Я никогда не был согласен с тем, что это преступление. Думаю, определение «проступок» было бы гораздо более уместным" , - говорит он. "Многое из этого было непреднамеренным ".
Дебаты между тем, уголовное ли это преступление или административный проступок, были строгими. Моррис начал свои показания со слов: "Я сделал это и я сожалею" .
Злодеяние, говорит Раш, четко подпадало под положение о преступлении. Но общее мнение всех сторон сводилось к тому, что Моррис не был преступником. Он был тем, кто совершил преступление.
Результат
Год спустя Спаффорд выхлопотал президентское помилование для Морриса. Поведение последнего и изменяющаяся природа компьютерного преступления убедила многих в том, что преступление Морриса не такое уж и тяжкое.
Именно так назвали самый первый сетевой вирус, который вызвал настоящую эпидемию. Написал его, в то время 22-летний аспирант Корнельского университета, Роберт Моррис. Червь Морриса по другому называют еще Великим червем. Он был первым, он был показательным. Именно поэтому дискета с исходным кодом данного вируса хранится под стеклом в Музее Науки в Бостоне.
Моррис, являясь в тот момент анспирантом ВУЗа, видимо решил провести маленький эксперимент. В то время, в 1988 году, когда Интернета как такового не было, Всемирная сеть была представлена сетью Arpanet. Arpanet, прототип Интернета, был создан правительством США и использовался в основном военными и учеными. Откуда в сеть, которую использовал очень маленький и привилегированный процент населения, влез этот студент? Видимо, как всегда, по блату. Отцом одаренного ребенка был компьютерный эксперт Агенства Национальной Безопасности.
Так вот, этот самый студент и запустил в эту сеть плоды своих экспериментов — червь Морриса. Хотя на тот момент он не был червем Морриса, известность пришла через несколько дней. Что делал данный вирус? Ответить на данный вопрос можно от двух лиц: от лица автора и от лица остального цифрового мира.
Червь Морриса со стороны автора вируса
Роберт Моррис создал червь, который используя ранее известные ошибки в системе безопасности разных систем копировал тело своего вируса на всё новые компьютеры. Он просто должен был распространялся по компьютерам подключенным к сети Arpanet. Перед заражением он должен был проверить наличие этого вируса на компьютере, и заражать только если его там не было. Если же вирус уже имелся на компьютере, то вирус перезаписывался только в какой-то периодичности, которая была довольно большим. То есть если даже тело вируса уже имеется на компьютере, он может его перезаписать в некотором случае. Так же вирус использовал подбор паролей из алфавита, который содержал всего лишь 481(!) вариант.
Червь Морриса со стороны общественности
Общественность будет описывать вирус точно так же как и Роберт Моррис. Отличие только в том, что периодичность, с которой червь Морриса перезаписывал себя была очень и очень маленькой. Позже Роберт скажет, что это получилось случайно и по его ошибке периодичность оказалась весьма маленькой.
Что наделал червь Морриса?
«Благодаря» маленькой периодичности перезаписывания вируса, вирус очень быстро распространялся в сети. Червь Морриса перезаписывал себя из-за каждого шороха, количество процессов в компьютере быстро росло. Чем больше копий вируса, тем быстрее вирус распространялся — приблизительно как геометрическая прогрессия. Вот таким способом данный эксперимент, который всего лишь должен был проверить свою работоспособность, просто забил всю вычислительную мощность зараженных компьютеров и самой сети. Как только Роберт Моррис понял свою ошибку, он попробовал через друга анонимно описать и предложить защиту от вируса. Как говорится, по иронии судьбы, а если быть точнее, благодаря своему же вирусу, его письмо просто не дошло до адресата, так как вся сеть просто-напросто стояла. Если хотите на своём опыте узнать каково это, который забьет оперативную память Вашего компьютера.
Червь Морриса: итоги
Учитывая все смягчающие обстоятельства, Морриса серьезно не наказали: условный срок, штраф и общественные работы.
Но что полезного дал нам червь Морриса? Во-первых, червь показал то, что Unix-системы тоже уязвимы к . Во-вторых, Моррис использовал давно известные проблемы в безопасности системы. А это хороший толчок к тому, чтобы все заплатки выходили вовремя и все компьютеры должны вовремя обновлять ПО. Именно поэтому опасно использование В-третьих, Моррис использовал алфавит всего лишь с 481(!) вариантом паролей. Почему так мало? Потому что в то время, не было рекомендаций по сложности и длине пароля, или иными словами . Основная масса использовала самые распространенные пароли, либо свои имена. А для таких целей подойдет и с полтысячи вариантов.
Так что будьте внимательны. Вовремя устанавливайте последние обновления и используйте только сложные пароли.
В 1988 году Робертом Моррисом-младшим был создан первый массовый сетевой червь. 60 000-байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET, и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, имеющиеся в инфицированной системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.
По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.
Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.
4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.
DATACRIME и AIDS
В 1989 году широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.
В 1989 году появился первый «троянский конь» AIDS. Вирус делал недоступными всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания чека и осуждён за вымогательство.
Также был создан первый вирус, противодействующий антивирусному программному обеспечению -- The Dark Avenger. Он заражал новые файлы, пока антивирусная программа проверяла жёсткий диск компьютера.
Хомячки отметили юбилей одного довольно неприятного события - червю Морриса исполнилось 20 лет, сообщает .
Оценивая последствия первой крупной атаки на Сеть, следует отметить, что червь Морриса послужил грозным предупреждением инженерному сообществу Internet. Он наглядно продемонстрировал, какую серьезную опасность таят в себе ошибки в программах, и превратил вопросы сетевой безопасности в важную область исследований и практических разработок.
«Произошло действительно очень весомое событие», - заметил Эрик Оллман. В 1981 году студентом Калифорнийского университета в Беркли Оллман разработал sendmail, программу с открытым кодом, управлявшую электронной почтой Internet. В настоящее время он занимает пост научного директора компании Sendmail, занимающейся продажей коммерческих версий этой программы.
«Сеть Internet была тогда очень маленькой и считалась неким клубом по интересам, - пояснил Оллман. - После проведенной Моррисом атаки стало ясно, что определенная часть посетителей может приходить в этот "клуб" не с самыми лучшими намерениями. Мы поняли, что нужно срочно задуматься о безопасности».
Несмотря на ясный механизм действия червя и поднявшийся вокруг него грандиозный шум, некоторые утверждают, что в то время его не сразу оценили по достоинству.
«Самый интересный урок, который преподал нам червь Морриса, состоит в том, насколько краткосрочными и незначительными оказались сделанные выводы, - отметил профессор Колумбийского университета Стив Белловин, в 1988 году работавший в Bell Labs над созданием первого межсетевого экрана. -- Люди смогли увидеть, какую угрозу несут в себе недоработки программного обеспечения, но никто после этого так и не уделил вопросам сетевой безопасности серьезного внимания. Так продолжалось до середины 90-х годов, породив впоследствии массу дополнительных трудностей».
Этот исторический червь был написан студентом Корнеллского университета Робертом Таппаном Моррисом, которого по итогам произошедшего обвинили в компьютерном мошенничестве. Сегодня Моррис является респектабельным адъюнкт-профессором в Массачусетском технологическом институте.
Запущенный приблизительно в шесть часов вечера 2 ноября 1988 года, червь блокировал работу примерно 10% систем, подключенных к Internet. В общей сложности посредством Internet тогда были объединены более 60 тысяч компьютеров.
Червь Морриса представлял собой самораспространяющуюся программу, использовавшую известные слабые места ряда популярных утилит, в том числе программ sendmail, отвечавшей за маршрутизацию электронной почты, и Finger, позволявшей узнать, кто из пользователей в данный момент инициировал сеанс работы в Сети.
Червь Морриса сумел проникнуть в системы, работавшие под управлением различных вариантов Unix. Стремительно продвигаясь по Сети, червь распространял все новые свои копии, многократно заражая компьютеры, в результате чего в работе многих систем начались сбои.
«Поначалу мы не догадывались, откуда могла появиться угроза, - вспоминал Оллман. - Было совершенно ясно, что это сделано намеренно, но разгадать, кто и зачем так поступил, нам не удавалось. Началась паника, что было вполне объяснимо несмотря на всю прискорбность данного обстоятельства».
Атака на длительный срок блокировала нормальную работу Internet, заставив целый ряд организаций, в том числе и Пентагон, перекрыть свои шлюзы Internet, с тем чтобы избежать дальнейшего заражения.
«Люди отключились от Internet, потому что боялись возможных отрицательных последствий, - заметил Оллман. - Однако, отключение от Сети нарушило работу и важнейших коммуникационных каналов. Вот почему восстановления статус-кво пришлось ждать довольно долго».
В тот момент, когда червь Морриса отправился в свой путь, коммерческого трафика Internet и Web-сайтов еще не существовало. Круг пострадавших оказался ограничен исследовательскими подразделениями государственных ведомств, университетами и рядом компаний, которые использовали Сеть для передачи файлов и обмена электронной почтой. Тем не менее новости об атаке появились в ведущих изданиях, в частности в The New York Times.
«Именно благодаря червю Морриса многие люди впервые услышали о существовании Internet, - заметил Белловин. - Для большинства Сеть ассоциировалась с новым, странным и диковинным миром... и вдруг выяснилось, что всего один злоумышленник может положить этому миру конец. Повторяю, никто, за исключением узких специалистов по компьютерной тематике, практически ничего не знал об Internet».
Для некоторых появление червя Морриса стало поворотным моментом в карьере. Юджин Спаффорд в это время работал старшим преподавателем в Университете Пердью. Сегодня Спаффорд занимает должность исполнительного директора Центра образования и исследований в области информационного обеспечения и безопасности при Университете Пердью. Он является признанным международным авторитетом в области безопасности Internet.
«Мне говорили, что исследование вопросов прикладной компьютерной безопасности не имеет будущего, - подчеркнул Спаффорд. - А после появления червя Морриса многие люди вдруг поняли, что компьютерные системы вышли за рамки среды мэйнфреймов, где все держалось под контролем, и теперь нам нужна совсем другая модель безопасности. Необходимо предлагать более совершенные инженерные решения».
Ранее исследователи занимались разработкой только «полезных» червей, благодаря которым осуществлялась автоматическая установка программных обновлений, но никто ни разу не запускал бесконтрольно в Сеть деструктивную программу.
Червь Морриса стал предшественником других известных атак, в том числе распространения червей Melissa, Code Red и Slammer - все они были направлены против систем, работавших под управлением программного обеспечения Microsoft. В последнее время черви получили меньшее распространение по сравнению с вирусами и электронными письмами, в тексте которых содержатся ссылки на вредоносные сайты.
«На самом деле, черви сегодня встречаются гораздо реже вирусов, - подчеркнул Оллман. - А для среднего пользователя наибольшую опасность представляет проблема фишинга».
«В последние годы мы не видели масштабных атак червей, и тому есть сразу несколько причин, - пояснил Белловин. - Немаловажную роль здесь сыграло широкое распространение технологии трансляции сетевых адресов и персональных межсетевых экранов, затрудняющих современным червям проникновение тем способом, которым проделал это червь Морриса».
Червь Морриса предвосхитил появление распределенных атак, направленных на отказ в обслуживании, которые применяются злоумышленниками для создания перегрузки и потери системами связи с Internet.
«Столь крупномасштабного и одномоментного заражения ранее еще не регистрировалось, - подчеркнул Спаффорд. - По сути, это была первая атака, направленная на отказ в обслуживании, которая привлекла внимание людей, связанных с вычислительной техникой. Кроме того, это стало первым событием, затронувшим платформы сразу нескольких производителей. Одновременно были атакованы системы Sun и BSD Unix, что является большой редкостью. Как правило, целью атак является лишь какая-то одна платформа».
Спаффорд сравнил распространение червя Морриса с действиями сегодняшних ботнетов - сетей, которые объединяют большое количество зараженных компьютеров, используя их для рассылки спама или организации распределенных DoS-атак.
«Программное обеспечение превращает системы в зомби, и те, словно медленно расползающиеся черви, пополняют ряды ботнетов, - пояснил Спаффорд. - Эти системы не вызывают отказа в обслуживании, но потихоньку просачиваются дальше, автоматически пересылая свой код на другие машины. Ботнеты держат под контролем уже в буквальном смысле миллионы машин: по некоторым оценкам, их число достигает 100 млн».
Червь Морриса разом отсек довольно крупный сегмент Internet. Его появление стало весьма заметным событием. В отличие от этого, сегодняшние атаки в Internet направлены против отдельных систем, а их авторы стараются остаться незамеченными. Если раньше любопытные студенты взламывали системы для повышения собственной самооценки, то современные вирусы носят все более криминальный характер, всячески маскируя свое присутствие.
«Сегодня атаки в Internet направлены на извлечение прибыли, а отключение отдельных сегментов Сети никакой прибыли не приносит, - пояснил Белловин. - Инициируя новые атаки, искушенные злоумышленники ведут себя очень осторожно».
Червь Морриса, хотя и нанес гораздо меньший ущерб по сравнению со своими последователями, надолго остался в памяти компьютерного сообщества.
«Червь Морриса фактически положил начало официальному развитию направления компьютерной безопасности, - подчеркнул Оллман. - До этого вопросами безопасности занимались очень немногие специалисты, к тому же их в основном интересовала тема шифрования. По-настоящему концепция компьютерной безопасности была выделена в отдельную область исследований лишь после появления знаменитого червя».