Когда Мак-Магон закончил предварительный анализ червя, у него появились хорошие и плохие новости. Хорошей новостью был тот факт, что, вопреки тому что червь сообщал пользователям из NASA, он вовсе не стирал их файлы, а только делал вид, что стирает их. Просто шутка. Во всяком случае, для создателя червя. А для ученых NASA – головная и сердечная боль. А порой и сердечный приступ.
      Плохая новость заключалась в том, что когда червь сможет получить контроль над учетной записью пользователя с высоким уровнем доступа, он поможет кому-то – предположительно, своему создателю – совершить гораздо более серьезное вторжение в NASA. Червь нашел учетную запись FIELD, созданную производителем, и если ее отключить, он постарается вновь активировать ее и установить пароль FIELD. Червь был также запрограммирован на изменение пароля стандартной учетной записи DECNET случайным набором из по меньшей мере двенадцати символов. Короче говоря, червь старался вломиться в систему с черного хода.
      Информацию о тех учетных записях, которые он успешно взломал, червь посылал назад, в электронный почтовый ящик – учетная запись GEMPAK на узле 6.59 SPAN. Предположительно, хакер, создавший червя, должен был проверять его почтовый ящик, чтобы получить информацию, которую он мог бы использовать позже для проникновения в учетную запись NASA. Стоит ли удивляться, что почтовые ящики, к немалому удивлению их законных владельцев, были тайком «позаимствованы» хакером.
      Компьютерный хакер создавал массу дополнительных проблем. Хотя червь был способен взламывать новые учетные записи с гораздо большей скоростью и размахом, чем одинокий хакер, он был более предсказуем. Как только команды SPAN и Министерства энергетики разобрали червя на составляющие, они совершенно четко представили, что от него можно ожидать. А вот действия хакера было совершенно невозможно прогнозировать.
      Мак-Магон понял, что уничтожение червя не сможет решить проблему. Всем системным администраторам сетей NASA и Министерства энергетики придется поменять пароли учетных записей, захваченных червем. Им придется также проверить каждую систему, подвергшуюся нападению, чтобы убедиться, что червь не оставил в ней лазеек для хакера. Администраторам нужно найти и запереть на замки все черные ходы – адский труд.
      Но больше всего команду SPAN напугало то, что червь свирепствовал в системе NASA, используя примитивнейшую стратегию атаки: имя пользователя равняется паролю. Он получил контроль над компьютерами NASA, просто вводя пароль, идентичный названию учетной записи пользователя.
      Команда SPAN не могла поверить в это, но факты – упрямая вещь.
      Тодд Батлер ответил на звонок с одного из сайтов NASA. Новости были удручающие. Он повесил трубку.
      – Этот узел только что подвергся нападению, – сказал он остальным.
      – И насколько все плохо? – спросил Мак-Магон.
      – Привилегированная.
      – Черт!
      Мак-Магон бросился к одному из терминалов, набрал SET HOST, получив доступ к удаленному компьютеру сайта NASA. Готово.

      «Ваша система официально WANKирована».

      Мак-Магон повернулся к Батлеру.
      – В какую учетную запись он проник?
      – Они думают, что это SYSTEM.
      Специалисты ничем не могли помочь. Глупость ситуации напоминала черную комедию.
      Сайт NASA имел пароль SYSTEM для учетной записи высшего допуска SYSTEM. Это было просто невероятно. NASA, возможно, самое большое в мире сообщество специалистов, обладало такой расхлябанной системой компьютерной безопасности, что любой мало-мальски разбирающийся в компьютерах тинейджер мог без труда ее вскрыть. Этот колосс был сокрушен компьютерной программой, похожей на тарелку спагетти.
      Первое, что может узнать любой системный администратор из инструкции по компьютерной безопасности № 101, – никогда не использовать пароль, идентичный имени пользователя. Достаточно скверно, что наивные пользователи могли угодить в эту западню… но не администраторы же компьютерных систем с учетными записями высокого уровня допуска!
      Каковы были намерения хакера? Возможно, не такими уж злодейскими. Если бы он захотел, он мог бы запрограммировать WANK на уничтожение всех файлов NASA. Он мог бы снести их в один момент.
      На деле червь оказался гораздо менее заразен, чем хотелось его автору. WANK получил инструкции на выполнение нескольких задач, которым он не повиновался. Важные составляющие червя попросту не работали. Мак-Магон пришел к выводу, что это случайная неудача. Например, его анализ показал, что червь был запрограммирован взламывать учетные записи в тех случаях, когда пользователь оставил место пароля пустым. Когда он разобрался в черве, то обнаружил, что эта часть программы не работала должным образом.
      Несмотря ни на что, «неполноценный» червь устроил серьезный переполох в недрах нескольких правительственных агентств США. Мысль о том, что мог бы сделать из такого червя крутой программист на DCL с многолетним опытом работы с компьютерами VMS, всерьез волновала Джона. Такой человек мог бы нанести непоправимый ущерб. А что если червь WANK был только пробным шаром для чего-то более серьезного, что должно прийти по его следу? Такая перспектива пугала.
      Невзирая на то обстоятельство, что червь WANK вроде бы не питал особенно злобных намерений, команду SPAN ожидали трудные времена. Анализ Мак-Магона обнаружил намного более тревожные аспекты программы червя. Если ему удалось захватить учетную запись SYSTEM, он может заблокировать все электронные почтовые сообщения для системных администраторов. Офис SPAN не мог посылать электронные предупреждения или инструкции по поводу того, что делать с червем, в те системы, которыми тот уже овладел. Проблема усугублялась недостатком информации о том, какие системы были подключены к SPAN. Помочь в борьбе с этой заразой мог телефонный звонок, но зачастую главный офис SPAN не знал, кому звонить. Команда SPAN могла лишь надеяться, что те администраторы, у которых номер телефона штаб-квартиры сети был приколот рядом с компьютером, догадаются позвонить по нему, когда их машины подвергнутся нападению.
      Предварительный доклад Мак-Магона подчеркнул, что червь и сам по себе был способен нанести огромный ущерб. Но масштабы ущерба, причиненного по вине администраторов их собственным системам в борьбе с червем, были несравнимо выше.
      Один обезумевший компьютерный администратор, позвонивший в офис SPAN, отказался принять на веру слова Джона о том, что червь лишь делает вид, что стирает данные. Он заявил, что червь не только вторгся в его систему, но и уничтожил ее. «Он просто не поверил, когда мы сказали ему, что червь, в общем, представляет собой сборник острот, – рассказывал Джон Мак-Магон. – Он реинициализировал систему». «Реинициализировал», то есть начал с чистого листа. Все данные персонала NASA исчезли, словно стертые зараженным компьютером. Сотрудник агентства просто сделал то, на что червь лишь претендовал.
      Печальная ирония заключалась в том, что команда NASA так и не получила копии данных от системы администратора. Они даже не могли подтвердить, что его машина вообще была заражена.
      Весь остаток дня Мак-Магон метался между беспрерывно звонящими телефонами и анализом червя. Он передал по сети зашифрованное электронное послание о нападении червя, и Кевин Оберман прочел его. Послание должно было быть тщательно продуманным, так как никто не был уверен в том, что создатель червя WANK не притаился где-то в сети, наблюдая и выжидая. Через некоторое время Мак-Магон и Оберман связались по телефону, чтобы обменяться идеями и сверить выводы.
      Ситуация была обескураживающей. Даже если бы Мак-Магону и Оберману удалось создать работающую программу для уничтожения червя, команда NASA столкнулась бы с другой сложнейшей задачей. Ввести охотника на червя во все сайты NASA на поверку оказалось гораздо более сложным делом, чем можно было предположить, поскольку агентство не имело точной и свежей карты сети SPAN. Мак-Магон вспоминал, что почти сразу после нападения червя один менеджер попытался составить карту системы. Его усилия вызвали такой всплеск сообщений о тревоге, что его отвели в сторонку и попросили больше этого не делать.
      В результате, когда кто-то из членов команды звонил администраторам в поисках новых деталей, информация часто оказывалась устаревшей.
      – Нет, он раньше работал здесь, но ушел год назад.
      – У нас нет списка телефонов людей, которым можно позвонить, если что-то разладится в компьютерах. У нас тут куча народу в разных местах следит за компьютерами.
      Такие слова Джону приходилось слышать довольно часто.
      Сеть росла беспорядочно, представляя собой своего рода сборную солянку. Почти никакого центрального управления. Гораздо хуже был тот факт, что масса компьютеров по всей Америке подключались к SPAN, не ставя в известность головной офис в Годдарде. В специальный кризисный центр звонили люди из компьютерных узлов, у которых даже не было названия. Они исповедовали философию «безопасность через скрытность» (так это называли в кругах, профессионально занимавшихся компьютерной безопасностью). Им казалось, что если никто не будет знать о существовании их компьютерной системы, у нее не будет названия и она не будет внесена в список или карту сети SPAN, они будут застрахованы от хакеров и других компьютерных врагов.
      Мак-Магон получил множество звонков от системных менеджеров, говоривших: «Здесь творится что-то странное в компьютерной системе». Джон прежде всего спрашивал: «Где это „здесь"?» Само собой, если в офисе SPAN не знали о существовании этой системы, было гораздо труднее оказать помощь ее администраторам, дать им совет, как справиться самостоятельно, снабдить противоядием, когда оно будет готово, или помочь им залатать бреши в учетных записях, которые червь передал своему создателю.
      Путаница была невероятная. Время от времени Мак-Магон садился и начинал думать о том, кто мог создать этого червя, который выглядел так, словно его запустили раньше, чем закончили. Его автор (или авторы) производил впечатление человека, богатого плодотворными идеями о том, как решать проблемы, но не доводящего дело до ума. Червь содержал программу совершенствования стратегии штурма, но она не была завершена. Код червя не имел удовлетворительной процедуры отслеживания ошибок, чтобы обеспечить его выживание в течение длительного времени. Кроме того, червь не отправлял адреса успешно взломанных учетных записей в свой почтовый ящик вместе с их паролями и именами. Какой толк в пароле и названии учетной записи, если неизвестно, какая компьютерная система их использует?
      С другой стороны, возможно, что создатель червя сделал это умышленно. Например, чтобы показать всему миру, в какое количество компьютеров может успешно проникнуть его червь.
      Его программа, отсылавшая собранные данные, сделала это. А если бы она содержала адреса зараженных сайтов, это облегчило бы работу администраторов. Они смогли бы использовать коллекцию GEMPAK как список подлежащих дезинфекции сайтов. Впрочем, предположения можно было строить до бесконечности.
      Местами программа червя была просто блестящей, некоторые решения впечатляли, поскольку никогда не приходили в голову Мак-Магону с тех пор, как он стал интересоваться способами взлома компьютеров VMS. Это была серьезная творческая работа, но в ней отсутствовала какая-либо логика. После нападения червя некоторые эксперты по компьютерной безопасности решили, что он написан не одним человеком. Но Мак-Магон отстаивал свою точку зрения, по-прежнему считая, что это работа одного-единственного хакера.
      Было похоже на то, что создатель червя начинал развивать какую-то мысль, а затем отвлекался. Внезапно он просто переставал писать код, необходимый для того, чтобы закончить мысль, и направлялся по другой тропинке, снова не дойдя до конца. У его создания была шизофреническая структура. Все было не на своем месте.
      Мак-Магон подумал, не было ли это сделано намеренно, чтобы замаскировать то, на что способен червь. Возможно, подумал он, изначально код был упорядочен, последователен и все в нем имело смысл. Затем автор порубил его на куски, переместил середину в начало, начало в конец, перемешал остатки и связал их с набором команд передачи управления. Вполне вероятно, что хакер, написавший червя, был очень элегантным DCL-программистом, который решил сделать червя хаотичным, чтобы защитить его. Безопасность через скрытность.
      Оберман придерживался другого мнения. Он считал, что стиль программирования так варьируется в разных частях червя, потому что это продукт деятельности многих людей. Он знал, что когда программисты пишут код, они не делают так много мелких отклонений от стиля без особых на то причин.
      Кевин Оберман и Джон Мак-Магон перебрасывались идеями и продолжали собственные исследования червя. Оберман привлек к процессу перекрестной проверки Марка Калетку [Mark Kaletka], который управлял внутренними сетями в Лаборатории имени Ферми, одном из самых больших сайтов HEPNET. У червя было много уязвимых мест, но требовалось как можно скорее найти одно, которое могло быть использовано для его уничтожения с минимальными потерями для осажденных компьютеров. Как только машина VMS начинает процесс, она присваивает ему уникальное имя. Когда червь проползал на компьютерный сайт, он первым делом убеждался, что там нет его собственной копии. Он делал это, сличая названия процессов со своими, которые все именовались NETW_ плюс случайный набор из четырех цифр. Если червь-пришелец обнаруживал такое имя, он соображал, что другая его копия уже роется в компьютере, и самоуничтожался.
      Похоже, оставалось сделать ловушку – написать программу, которая сможет выдавать себя за червя, а затем установить ее на всех уязвимых компьютерах NASA. Первая анти-WANK программа работала именно так. Притаившись в компьютерах SPAN, она притворялась процессом NETW_ и тем самым уничтожала любую настоящую версию червя WANK, которая могла пробраться внутрь.
      Оберман первым закончил анти-WANK программу и поделился ею с Мак-Магоном. Она отлично работала, но Мак-Магон заметил одно серьезное упущение. Программа Обермана делала проверку на предмет наличия процессов с именем NETW_, но при этом предполагала, что червь действует в группе SYSTEM. В большинстве случаев так и было, но не всегда. Если червь находился в другой группе, программа Обермана становилась бесполезной. Когда Мак-Магон указал на ошибку, Оберман подумал: «Боже, как я мог такоепропустить?»
      Мак-Магон работал над своей версией анти-WANK программы на базе программы Обермана, готовясь запустить ее в NASA.
      В то же время Оберман пересмотрел свой вариант программы для Министерства энергетики. К вечеру понедельника (по восточному стандартному времени ) Оберман был готов разослать исправленную копию вакцины, созданную для защиты еще не зараженных компьютеров, и приложил к ней электронную инструкцию о том, как действовать против червя. Его первая электронная инструкция, распространенная CIAC, в частности, гласила:

      КОНСУЛЬТАТИВНАЯ СЛУЖБА ПО КОМПЬЮТЕРНЫМ ИНЦИДЕНТАМ (CIAC) ПРЕДУПРЕЖДЕНИЕ
      Червь W.COM Worm, поражающий системы VAX VMS
      16 октября 1989, 18:38 PST Номер А-2
      Этого червя трудно уничтожить, и он может причинить большие разрушения. С того момента, как он уведомляет (по почте) о каждом из успешных захватов и оставляет лазейку (учетная запись FIELD), его недостаточно просто убить. Вам нужно войти в систему и убедиться, что все учетные записи имеют пароли, и эти пароли отличны от названий учетных записей.
      Р. Кевин Оберман
       Предупреждение
      Червь атакует принадлежащую NASA сеть SPAN через системы VAX/VMS, подключенные к DECnet. He совсем понятно, ограничено ли распространение червя. Он может внедриться в другие системы, такие как HEPNET Министерства энергетики, в течение нескольких дней. Системные менеджеры VMS должны быть готовы к этому.
      Червь поражает машины VMS и может распространяться только посредством DECnet. Для воспроизведения самого себя червь использует два свойства машин DECnet/VMS. Во-первых, это учетная запись DECnet по умолчанию, которая дает возможность пользователям, не имеющим специальных идентификационных логинов для машин, добиться некоторого уровня анонимного доступа. Червь использует учетную запись DECnet по умолчанию для самокопирования в машине, а затем использует функцию «TASK О» DECnet для запуска удаленной копии. Он имеет несколько других функций, включая жесткую силовую атаку.
      Как только червь проникает в вашу систему, он заражает файлы. СОМ и создает новые уязвимые места в системе безопасности. Есть мнение, что он попытается переслать информацию об этих слабостях. Он может также разрушить файлы, преднамеренно или непреднамеренно.
      Анализ червя, представленный ниже, проведен Кевином Оберманом из Национальной лаборатории имени Лоренса Ливермора. К анализу приложена программа DCL, которая блокирует текущую версию червя. В настоящее время существуют не менее двух версий червя, но могут появиться и другие. Эта программа предоставит вам достаточно времени, чтобы залатать очевидные дыры в системе безопасности. Создается более совершенная программа DCL.
      Если ваш сайт подвергнется нападению, пожалуйста, обратитесь в CIAC для получения дальнейших инструкций…

 

       Сообщение о черве W.COM 
      Р. Кевин Оберман
      Технический отдел
      Национальная лаборатория имени Лоренса Ливермора
      16 октября 1989 года.
      Приводим описание работы червя W.COM, основанное на исследовании двух первых версий. Техника репликации предполагает небольшое изменение кода, на что указывает источник нападения и накапливаемая в результате самообучения червя информация.
      Весь анализ был сделан в большой спешке, но я считаю, что все факты достоверны. Для начала – описание программы:
      1. Программа удостоверяет, что работает в директории, к которой сам владелец имеет полный доступ (с правами чтения, записи, исполнения и удаления файлов).
      2. Программа проверяет, не работает ли уже другая копия червя, для чего она ищет процесс с первыми пятью знаками NETW_. В случае его обнаружения она самоуничтожается и прекращает работу. (ПРИМЕЧАНИЕ: Быструю проверку на зараженность можно провести, поискав процесс, начинающийся с NETW_. Это можно сделать с помощью команды SHOW PROCESS.
      3. Затем программа изменяет пароль по умолчанию учетной записи DECnet случайной последовательностью двенадцати или более знаков.
      4. Информация о пароле, использованном для доступа в систему, отправляется пользователю GEMTOP на узле SPAN 6.59. Некоторые версии могут иметь другие адреса.
      5. Процесс меняет свое имя на NETW_ плюс случайно выбранный набор цифр.
      6. Затем программа смотрит, имеет ли SYSNAM привилегию. Если да, то она замещает сообщение системы своим баннером.
 
      WORMS AGAINST NUCKLEAR KILLERS

      You talk of times of peace for all, and then prepare for war
 
      7. Если она имеет SYSPRV, то блокирует почту учетной записи SYSTEM.
      8. Если она имеет SYSPRV, то изменяет процедуру выполнения команд при входе в систему так, как если бы стирались все файлы пользователя (но в действительности не делает этого).
      9. Затем программа сканирует логическую таблицу учетных записей для командных процедур и стремится изменить учетную запись FIELD на известный пароль с логином из любого источника и всеми привилегиями. Это примитивный вирус, но он очень эффективен, если проникает в высокопривилегированную учетную запись.
      10. Программа приступает к попытке проникновения в другую систему путем случайного выбора номеров узлов. Кроме того, она использует функцию PHONE для получения списка активных пользователей удаленных систем. Она начинает беспокоить их, звоня им с помощью PHONE.
      11. Затем программа стремится получить доступ к файлу RIGHTLIST и пытается получить доступ к какой-либо удаленной системе с помощью найденных пользователей и списка «стандартных» пользователей, заложенного в червя. Она ищет пароли, идентичные названиям учетных записей или просто пустые, и регистрирует все такие учетные записи.
      12. Она ищет учетную запись, которая имеет доступ к SYSUAF.DAT.
      13. Если привилегированная учетная запись обнаружена, программа копируется в эту учетную запись и запускается. Если привилегированная учетная запись не найдена, программа копируется в другие учетные записи, выбранные случайным образом.
      14. Как только программа завершает работу в системе, она случайным образом выбирает другую, и все повторяется (и так до бесконечности).
      Ответные меры:
      1. Прилагаемая программа заблокирует червя. Воспользуйтесь приведенным ниже кодом и запустите ее (это потребует минимальных ресурсов). Она создаст процесс под названием NETW_BLOCK, который предупредит запуск червя.
      ПРИМЕЧАНИЕ: Настоящая версия программы будет работать только с этой версией червя.
      Видоизмененные черви потребуют модификации этого кода, тем не менее эта программа будет защищать от вторжения червя достаточно долго, чтобы обезопасить вашу систему от новых нападений червя.

 
      Программа Мак-Магона тоже была готова к запуску в понедельник, но он столкнулся с барьерами, существующими в NASA. Работа в агентстве требовала умения балансировать, представляя своего рода балет, требующий совершенной хореографии, чтобы выполнять свою работу, соблюдать формальные требования и не наступать на мозоль тому или иному начальнику. Поэтому анти-WANK-программа NASA была выпущена только несколько дней спустя.
      В Министерстве энергетики тоже не обошлось без проблем с запуском анти-WANK-программы и консультациями в HEPNET. 17 октября в 17 часов 04 минуты по тихоокеанскому времени, когда Оберман был готов закончить последний параграф своего окончательного сообщения о черве, пол у него под ногами вздрогнул. Здание затряслось. Кевин Оберман оказался в центре сан-францисского землетрясения 1989 года.
      Землетрясение в Лома-Приета силой в 7,1 балла по шкале Рихтера прокатилось по Сан-Франциско и окрестностям. В своей компьютерной лаборатории Оберман приготовился к худшему. Как только толчки закончились и он убедился, что компьютерный центр все еще стоит, он снова сел к терминалу. Под вопли динамиков внутренней радиосети, призывающих весь персонал немедленно покинуть здание, Оберман в спешке заканчивал последнее предложение доклада. Он на секунду задумался, а затем добавил постскриптум, в котором шла речь о том, что если абзац не слишком связан, так только потому, что его мысли смешались из-за толчков землетрясения, обрушившегося на Ливерморскую лабораторию. Он нажал клавишу, отправляя окончательный вариант сообщения о черве WANK, и выбежал из здания.
      На восточном побережье в офисе SPAN продолжалась работа по оказанию помощи тем, кто звонил с пораженных сайтов NASA. Список сайтов, сообщавших о нападении червя, неуклонно рос всю неделю. Официальные оценки масштабов атаки червя WANK были неопределенными, однако профессиональные издания, такие как Network Worldи Computer World,сообщали, что червь успешно проник всего лишь в 60 VMS-компьютеров космического агентства. Менеджер по безопасности SPAN Рон Тенкати насчитал в той части сети, которая относилась к NASA, только 20 успешных вторжений, но другая внутренняя оценка гораздо выше – 250–300 машин. Каждая из этих машин могла обслуживать 100 и более пользователей. Оценки сильно отличаются, в сущности же, от червя пострадали все 270 000 учетных записей в сети: либо из-за отключения части сети, либо из-за постоянных попыток червя войти в систему с уже зараженного сайта. К концу нападения червя офис SPAN составил список пораженных сайтов, который даже в две колонки занял площадь в несколько страниц дисплея. Каждый из них так или иначе пострадал от червя.
      Также к концу кризиса группа менеджеров компьютерной сети NASA и Министерства энергетики определилась с тем, какие требуются «вакцины», «противоядия» и «анализы крови». Мак-Магон выпустил свою программу ANTIWANK.COM, которая убивала червя и делала системе «прививку» против возможных атак в будущем, а также распространил WORM-INFO.TEXT, содержавший список признаков заражения червем. Программа Обермана, названная [.SECURITY]CHECK_SYSTEM.COM, латала все прорехи в системах безопасности, которые использовал червь для проникновения в компьютерную систему. У DEC также появилась возможность заделать дыру в системе безопасности учетной записи DECNET.
      Каково бы ни было реальное число зараженных машин, несомненно, что червь совершил кругосветное путешествие. Из компьютеров Годдардовского центра в Мэриленде и Лаборатории имени Ферми в Чикаго он добрался до европейских сайтов (например, до сайта ЦЕРНа – Европейского совета по ядерным исследованиям в Швейцарии) и перелетел Тихий океан, оказавшись в Японии (в Riken Accelerator Facility).
      Официальные лица NASA заявили прессе, что, по их мнению, червь был запущен около 4.30 утра в понедельник 16 октября. А также то, что червь пришел из Европы, возможно из Франции.

Среда, 18 октября 1989 года

Понедельник, 30 октября 1989 года