Джон Маркоф - Хакеры (takedown)

Как оказалось, сообщение Энди застряло на первом же этапе своего путешествия. В Брауне хозяйничал вирус. Хуже того, Энди не заполнил subject в заголовке сообщения, из-за чего письмо, попав наконец в SM, получило низкий приоритет. Энди попытался сделать несколько звонков в Беркли, чтобы сообщить о вирусе людям, имевшим отношение к UNIX, но не знал, кому именно звонить и где найти их номера телефонов. Справочная в Беркли не отвечала, и Энди решил, что вся история, вероятно, не стоит того, чтобы вытаскивать из постели людей в Калифорнии, где была уже полночь. Энди знал, что любой программист, даже такой одаренный, как Роберт, может ошибиться. Однажды Энди сам нечаянно вывел из строя 200 гарвардских компьютеров из-за маленькой ошибки в команде адресации в компьютерной сети. Несмотря на то что были нарушены университетские правила пользования компьютерами, администрация признала действия Энди «добросовестным заблуждением» и не наказала его. Вирус казался не таким грозным, как твердили Роберт и Пол. Если из-за Роберта на самом деле накрылись корнеллские компьютеры, то, пожалуй, некоторым будет не до смеха. Однако не такой уж это ужас. И наконец, удовлетворенный тем, что сделал для друга все, что мог, Энди в 4.00 отправился домой.

То что Роберт совершил серьезное правонарушение, не пришло в голову ни Роберту, ни Энди, ни Полу. Роберт больше всего боялся. что компьютерщики будут вне себя от гнева. Он надеялся, что у него не будет неприятностей в Корнелле. Очень угнетало то, что он уже натворил в Internet, а его маленькая программа все еще рикошетила. Оставалось только надеяться, что сообщение Энди поможет справиться с проблемой.

Однако к тому моменту, когда в четверг утром Энди пришел на работу, вирус, слопавший Internet, стал главной темой для разговоров во всем Эйкене, и похоже, имя Роберта Морриса у многих вертелось на кончике языка. Ведь Роберт в Гарварде пользовался репутацией специалиста по защите, завсегдатая Internet и любителя время от времени отколоть номер. Единственное, что не вязалось с Робертом – несомненный злой умысел. Энди не мог понять, дошло ли его сообщение. Из Беркли и MIT просачивались бюллетени с информацией о том, как избавиться от вируса. Никто не упоминал анонимное сообщение, но инструкции были в точности те, что Роберт диктовал Энди. Энди не без внутреннего затруднения отвечал эйкеновским профессорам, что ничего не знает о случившемся. Полу покривить душой особого труда не составляло. Когда один аспирант спросил его, не имеет ли Роберт какое-нибудь отношение к вирусу, о котором только и слышно вокруг, Пол честно посмотрел тому в глаза и ответил «нет». Днем деморализованный Роберт позвонил Энди узнать, послал ли тот сообщение. Энди заверил его, что послал.

В 6 часов утра, когда Кейт Бостик, поспав 3 часа, пришел на работу, телефон уже разрывался. Звонили разгневанные администраторы сети со всей страны, спрашивая, что делать с программой, которая заразила их системы. Бостик уже ожидал чего-то в этом духе. Знал ли он об этих дырах в берклийской версии UNIX? Нет, отвечал Бостик, не знал. Особо злобствовал Пентагон, один из крупнейших пользователей этой версии UNIX. Знает ли Бостик, кто учинил эту мерзость? Было ли ему известно о дефектах UNIX? Может ли он гарантировать, что в этой программе нет «троянских коней»? Собираются ли в Беркли дизассемблировать код вируса?

Первым делом Бостик разослал «Vims Posting #2», поправку к его первой заплате на дырку в sendmail, обеспечивающую более совершенную защиту от вируса. Это сообщение было отправлено в 8:00. Вопрос дизассемблирования вируса уже обсуждался. Предстояла долгая и тяжелая работа, но это был единственный способ окончательно определить, не скрывается ли где-нибудь в программе разрушительный код. Работу Беркли дублировала в Кембридже группа программистов из МГГ, которые также всю ночь не смыкали глаз. В середине дня в Беркли поступило сообщение из МГГ, что у вируса есть еще один способ атаки. Используя дыру в маленькой программе finger, входившей в пакет UNIX, вирус получил возможность выводить finger из строя, посылая больше символов, чем она могла обработать. Как только происходило переполнение буфера ввода, захватчик получал возможность стартовать небольшую программу, переносившую все тело вируса целиком на атакуемый компьютер.

Бостик скептически отнесся к информации из МГГ, ведь finger была такой мелкой, банальней утилитой. Он представить не мог, что в программе всего в 15 строк длиной могут содержаться серьезные дыры. Чтобы доказать свою правоту, команда из МГГ прислала ему образец программы, демонстрировавший дефект в finger. В тот же день Бостик разослал «Virus Posting #3» – заплату на finger. Это стало последней каплей, убедившей Бостика, что единственный способ узнать, остается ли еще опасность, это разобрать вирус строка за строкой. Программу нужно декомпилировать.

Декомпиляция программы чем-то сродни искусству алхимика. Это преобразование программы, состоящей из единиц и нулей, которые компьютер читает как команды «да» – «нет» в нечто, что человек-программист мог бы прочесть и понять. Декомпилировать программу – все равно, что взять книгу, уже переведенную с английского на, скажем, французский, и перевести снова на английский, не заглядывая при этом в оригинал. В новой английской версии слова могут оказаться другими, но хорошие переводчики умеют сохранить суть книги. Когда программа декомпилирована, сам язык может слегка отличаться, но программа действует аналогично оргиналу. Обычно программу компилируют, а не наоборот, ибо после того как программу из исходного текста переводят в выполняемый код, редко возникает необходимость обратного перевода. Собственно, многие лицензии на коммерческое ПО именно потому запрещают дизассемблирование программ, что те, кто это может сделать, могут также захотеть сломать защиту копии или модифицировать ПО. Но иметь оригинальный исходный текст программы – бесценное преимущество, поскольку оно позволяет узнать намерения ее автора. И хотя создатель вируса явно из кожи вон лез, чтобы спрятать свою программу, не оставалось ничего другого, как декомпилировать ее – трудная задача, которая под силу очень немногим программистам.

Как оказалось, Беркли идеально подходил для этой работы, и не только потому, что берклийскую версию UNIX создали и по-прежнему сопровождали здесь – на этой неделе в университетском городке Беркли проходила ежегодная встреча экспертов UNIX со всего мира. Во время прошлогодней конференции по UNIX рухнула фондовая биржа. В этом году – Internet Крис Торек, один из ведущих экспертов по UNIX, остановился как раз в доме у Бостика. Приехал на конференцию и специалист по компиляции из университета штата Юта Дон Сили. Хватило бы одного его, чтобы справиться с программой, но Фил Лэпслй и Питер Йе знали еще одного аса.