Джон Маркоф - Хакеры (takedown)

Люди, которые занимались компьютерными сетями, установленными в университетах и научно-исследовательских центрах, потратили много лет на то, чтобы подготовиться ко всякого рода случайностям. Не один год компьютерщики обсуждали теоретическую возможность создания программы, свободно перемещающейся по сети. Но никто не был готов к массированной атаке 2 ноября 1988 года.

По всей Америке компьютеры один за другим ощутили присутствие программы-шатуна. Около 18:30 администраторы машин Rand Corporation в Санта-Монике, знаменитом мозговом центре, где Дэниэл Элсбсрг когда-то снимал копии с пентагоновских документов, заметили, что их машины необычно медлительны. Оказалось, что в сети идет прогон программы, который пожирает время процессоров и замедляет компьютеры почти до полной остановки. Спустя 45 минут на другом конце страны, в Кэмбридже, Массачусетс, подверглись нападению компьютеры Лаборатории искусственного интеллекта MIT. Почти сразу же после вторжения в MIT вирус поразил Национальную Ливерморскую лабораторию и компьютер Массачусетского университета. Затем он вклинился в Стэнфорд, Принстои и Национальную лабораторию в Лос-Аламосе, Нью-Мексико. Как только программа проникала в компьютер, она тут же распространялась на другие компьютеры, очень напоминая настоящий вирус На некоторых машинах были сотни одновременно работающих копий, замедлявших их вплоть до остановки. И если вирусу не удавалось проникнуть в новый компьютер, он так ломился в электронные двери, что одного этого часто оказывалось достаточно, чтобы парализовать машину. И даже после того, как вирус уничтожали, он почти немедленно возникал вновь. Более того, вирус, стоило ему попасть на рабочую станцию, таинственным образом находил новые компьютеры для атаки. Всю ночь вирус скакал по сети взад-вперед, сея хаос везде, где приземлялся. По всей стране в два, в три, в четыре часа ночи системные администраторы в ответ на отчаянные звонки дежурных операторов мчались в свои офисы, чтобы вернуть контроль над машинами. Другие обнаруживали неладное, пытаясь из дому подключиться к сети. Однако многие не подозревали о вирусе до тех пер, пока, придя в четверг утром на работу, не обнаруживали компьютеры заблокированными. Программисты Иллинойского университета были уверены, что им придется с нуля восстанавливать программное обеспечение для всего университетского комплекса.

Самым скверным было то, что это вполне мог оказаться «троянский конь» – программа внешне невинная, но содержащая код, изменяющий или уничтожающий информацию. Системные администраторы в одной аэрокосмической лаборатории в Сан-Диего были так напуганы такой перспективой, что стерли все данные со своих компьютеров и восстановили систему с последних резервных копий.

Когда незадолго до полуночи программа появилась на компьютерах военной лаборатории баллистических исследований в Мэриленде, системные администраторы решили, что это вторжение противникаю. И поскольку программа пришла по сети, они испугались, что она может снять секретную информацию по всей сети. Предположив самое худшее, Майк Муус, главный программист лаборатории, сделал то, что уже сделали десятки других администраторов по всей Internet, – отключил свои компьютеры от сети. Лаборатория оставалась отрезанной от сети почти неделю.

Такие меры, как отключение от сети, не давали программе ни войти, ни выйти, но, к несчастью, их побочным следствием стало разъединение людей, привыкших пользоваться услугами электронной связи. Мало кому пришло в голову хвататься за телефон, да и те, кто это сделал, были в замешательстве: электронная сеть оказалась единственным средством коммуникации для большинства компьютерных экспертов, которые редко беспокоились о том, чтобы сообщать свои телефоны.

Пожалуй, единственным местом, где могли попытаться справиться с такой необычной и тревожной ситуацией, был Беркли. В стенах этого университета родилась та самая версия операционной системы UNIX, куда метила бродячая программа, когда вломилась в сеть. За вечер стало ясно, что таинственный чужак нацелен на компьютеры фирм Sun Microsystems и Digital Equipment Corporation, два наиболее распространенных компьютера в Internet.

Через 15 минут после того, как Лэпсли впервые заметил программу, она прорвалась уже как минимум на 30 рабочих станций Беркли. Из ее действий явствовало, что это разборчивая бестия, цель которой – машины, имеющие связь с как можно большим количеством других систем. Она использовала простые, быстрые и сильнодействующие способы взлома. Два из компьютеров Беркли были особенно лакомыми кусочками. Один CSGW, который был шлюзом в локальную сеть университетского городка, – накрылся после появления десятков копий вируса. Второй – UCBVAX, который был главным шлюзом в Internet, сделал то же самое. Похоже, что заражение такого жизненно важного органа имело стратегическую ценность для программы, во много раз увеличивавшей таким образом число компьютеров, которые теперь могла достать просто за одну пересылку. Так что атаки на UCBVAX не прекращались. Все же команда защитников Беркли высказалась против отключения компьютера от сети. Они не хотели признавать поражение. Принять вызов, решили они, значит оставаться подключенными к сети и уничтожить вирус.

Первым делом надо было зафиксировать мгновенное состояние программы во время прогона, то есть поймать ее в стоп-кадр и затем исследовать. Тогда можно было бы изучить ее и попытаться понять, что же эта программа делает. Однако большая часть программы была закодирована, как будто тот, кто ее писал, знал, что такие попытки будут предприняты. Тем не менее схема кодирования, использованная в качестве дымовой завесы, была очень проста и напоминала детскую игру в «тарабарщину». Программисты быстро прочли команды. Кроме того, моментальный снимок показал, что программа пытается взломать пароли, с помощью «атаки со словарем», сравнивая закодированные пароли с содержимым словаря в режиме on-line, и использует расколотые пароли, чтобы войти в систему и оттуда попасть в другие компьютеры. На ее стороне было то преимущество, что пароль, подходящий для одного компьютера, часто дает доступ к другим машинам в сети.

Быстро выяснилось, что программа пользовалась крохотным изъяном в программе связи sendmail, использовавшейся для посылки сообщений и обмена данными между компьютерами в сети. Слабое место в sendmail возникло в результате неудачного сочетания двух особенностей программы, подобно тому как бинарный отравляющий газ становится смертоносным, когда соединяются два инертных газа. Первая позволила вставить программу в сообщение, и вместо того, чтобы быть обработанной как электронное письмо, сообщение ошибочно воспринималось компьютером, и тот начинал выполнять программу.