Червь морриса вирус кратко

Обновлено: 05.07.2024

Два дня, которые потрясли компьютерный мир

Системным администраторам не привыкать работать, когда все спят. Ночь со второго на третье ноября 1988 года выдалась тяжелой для администраторов ARPANET — прообраза современного интернета. Она была создана под эгидой Министерства обороны США и соединяла в основном компьютеры, установленные в научных институтах. Вечером 2 ноября исследователи, работавшие на подключенных к сети компьютерах, заметили неладное.

Машины тормозили, зависали и отказывались работать, память была переполнена, а список процессов забит копиями одной и той же программы.

Перезагрузки компьютерам не помогали — при повторном запуске копий вредоносной программы становилось еще больше. К утру зараженными оказались 7000 компьютеров — десятая часть сети ARPANET на тот момент. Компьютерные специалисты были в шоке: систему пытались взломать уже не в первый раз, да и само понятие компьютерного вируса к тому моменту уже прочно закрепилось в лексиконе. Но атаки подобных масштабов сеть еще не испытывала.

Научное любопытство

Компьютерный червь не содержал в себе никакой смысловой нагрузки и не должен был влиять на работу сети. Все, на что был рассчитан вирус, — копировать самого себя и передавать на другие машины. Почти как вирус простого герпеса: есть у многих, но люди с нормальным иммунитетом его вовсе не замечают.

Что же пошло не так?

Как это работало

Благодаря тому, что многие пользователи имели одинаковые имена и пароли на всех машинах в сети, сложности в этом не было.

Что пошло не так

Поскольку Моррис предполагал, что его программу все же будут обнаруживать и обезвреживать, то снабдил ее простым методом самозащиты. Червь с определенной периодичностью перезаписывал себя, создавая копию. Делал он это каждый раз, когда попадал на новый компьютер, а затем по определенному расписанию.

Именно в этом механизме и крылась допущенная Моррисом ошибка. Установленный период размножения был слишком коротким, и в результате программа начала создавать избыточное количество копий. Распространение программы приобрело лавинообразный характер, и эксперимент вышел из-под контроля.

Создатель червя хотел рассказать о нем миру, как только узнал о последствиях собственного эксперимента.

Сперва он сообщил о нем нескольким друзьям, затем (как мы уже упоминали выше) пытался с их помощью сделать рассылку, чтобы помочь усмирить вирус. Когда распространение превратилось в самую настоящую пандемию, Роберт во всем признался отцу и решился на явку с повинной.

Первый киберзлодей

Общее количество часов потери доступа к сети составило 8 миллионов часов — и еще примерно миллион пришлось потратить на восстановление последствий. И это при том, что программа была в целом безвредной!

Суд над Моррисом продолжался до января 1990 года. Изначально парню грозило пять лет лишения свободы и штраф в 25 тысяч долларов. Но учитывая чистосердечное признание и отсутствие в коде вредоносного предназначения, горе-программист отделался условным сроком. К нему добавили 10 тысяч долларов штрафа и 400 часов обязательных общественных работ.

Роберт Моррис стал первым осужденным по Закону о мошенничестве и злоупотреблениях с применением компьютера — первым киберпреступником в истории США.

Как червь Морриса изменил мир

Morris Worm был далеко не первым компьютерным вирусом — но именно он заставил инженеров и ученых по всему миру задуматься о вопросах безопасности. Именно после эпидемии 1988 года для повышения безопасности системы стало внедряться использование пауз после неправильного ввода пароля и хранение паролей в закрытом файле /etc/shadow вместо доступного для чтения всем пользователям файла /etc/passwd.

Еще одним важным итогом случившегося стало создание в университете Карнеги-Меллона Компьютерной группы реагирования на чрезвычайные ситуации (Computer Emergency Response Team, CERT) — экспертного сообщества, занимающегося проблемами компьютерной безопасности.

Сам Моррис больше героем новостных сюжетов не становился. Роберт закончил университет, получил докторскую степень, основал свой стартап и написал один из диалектов языка Lisp. И больше нигде так не ошибался — видимо, после 1988 года всегда тщательно проверял свой код.

Если бы внезапно сгорели все компьютеры в мире и нам пришлось бы начинать с нуля, то самый первый вновь собранный компьютер при первой же загрузке, скорее всего, был бы поражён вирусом. Вирусы проникали даже на Международную космическую станцию, куда их в 2008 году принесли сами космонавты на USB-флешках. Эти виртуальные блаттоптеры, как и их насекомые сородичи, наверное, с лёгкостью переживут даже ядерную зиму.

1. Elk Cloner, 1982

На заре персональных компьютеров в начале восьмидесятых для многих уже не составляло труда представить программный аналог человеческих вирусов, которые могут поражать электронный организм и выводить его из строя. Сама концепция вируса как небольшой программы, распространяемой через дискеты, была описана в мартовском номере журнала Scientific American за 1985 год. Там же некий подросток Ричард Скрента-младший рассказывал, какой он видит программу, которая скрывалась бы среди системных файлов и вызывала необъяснимые сбои в работе компьютера. Однако Скрента почему-то не упомянул, что это не просто гипотетические рассуждения: за несколько лет до этого, в 1982-м, он собственноручно написал первый в мире широко известный компьютерный вирус-червь Elk Cloner. Зараза поражала машины Apple II и распространялась через дискеты.

2. Brain, 1986

Трудно сказать, насколько прибавилось клиентуры у создателей Brain, но в западной прессе началась настоящая паника. У некоторых даже сложилось впечатление, что компьютеры способны заражать вирусами человека.

3. Червь Морриса, 1988

Разрушительный потенциал зловредов, путешествующих по компьютерным сетям, первым продемонстрировал так называемый Червь Морриса, который был написан в ноябре 1988 года аспирантом американского Корнеллского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти $100 млн, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.

Моррис сделал успешную научную карьеру в Массачусетском технологическом институте и одно время даже занимал должность главного учёного в Национальном центре компьютерной безопасности США, секретном подразделении АНБ.

4. Макровирус Concept, 1995

Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. И если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.

Первым макровирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил широчайшее распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО:

Несмотря, однако, на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации; некоторые из них, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.

5. Melissa, 1999

Первый настоящий вирус времён интернета — это, конечно же, Melissa, хитроумный коктейль из макровируса, почтового спама и социальной инженерии. Melissa был написан Дэвидом Смитом, известном в Сети под ником Kwyjibo, и получил название в честь его любимой стриптизёрши.

Однако, как вы догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.

6. ILOVEYOU, 2000

В отличие от предшественников, ILOVEYOU не только рассылался по всем контактам Outlook, но и вёл себя как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

7. Code Red, 2001

В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, который поражал веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

Однако, как и во многих вирусах, в самом Code Red скрывалась ошибка: на самом деле сканируемые IP-адреса не были случайными, и в результате некоторые машины, только что очищенные от вируса, в следующую же секунду могли быть вновь заражены.

8. Slammer, 2002

Достойный преемник Code Red — вирус Slammer, который также вошёл в число самых быстрораспространяемых в мире. Этому зловреду удалось заразить 75 тысяч компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Самое примечательное заключается в том, что Microsoft чуть ли не за шесть месяцев до появления Slammer выпустила патч, устраняющий уязвимость, которую эксплуатировал этот вирус. Тем не менее его не установило не только большинство сторонних компаний, но и даже и целые подразделения самой Microsoft!

Одна из крупнейших сетевых атак в результате деятельности Slammer произошла в начале 2003 года, когда вирус за считанные минуты так перегрузил каналы, что почти полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В США и Европе ситуация была не столь катастрофической, хотя замедление скорости передачи данных ощущалось почти в любой точке света.

В дальнейшем эпидемия быстро пошла на спад, поскольку после установки патча было достаточно перезагрузить сервер.

9. Blaster, 2003

Созданный группой китайских хакеров Xfocus червь Blaster (он же Lovesan или MSBlast) использовал ту же схему заражения со сканированием случайных IP-адресов, что и Slammer. И снова использовалась технология переполнения буфера, но уже множества клиентских машин. Целью китайских хакеров были серверы Microsoft: широкомасштабная DDoS-атака с заражённых компьютеров должна была начаться 16 августа 2003 года, но в Редмонде приняли меры — и ущерб от Blaster оказался сведён к минимуму.

Однако модифицированная версия Blaster B, в изготовлении которой уличили американского школьника Джеффри Ли Парсона, оказалась намного опасней и живучей: практически каждый пользователь Windows, не установивший антивирусного ПО, рано или поздно получал на экране окно, в котором говорилось о выключении системы, и запускался обратный отсчёт:

«Система завершает работу. Сохраните данные и выйдите из системы. Все несохранённые изменения будут потеряны.

После перезагрузки начинался подбор случайных IP-адресов и попытки заразить другие доступные машины. Через произвольные отрезки времени перезагрузки происходили снова и снова — до тех пор пока вирус не удаляли с компьютера.

Впоследствии появилось ещё несколько модификаций Blaster, но они уже не нанесли такого ущерба, как первые две.

10. Что дальше?

Наконец, есть и чисто техническая разница: если до самого начала двухтысячных большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые выступают в качестве брандмауэров и предотвращают в том числе и случайное заражение.

Первым подвергся заражению компьютер MIT. Это произошло 2 ноября 1988 года около 8 часов вечера. В течение нескольких часов и в следующее утро, по оценкам экспертов, 10% всех машин, подключенных к сети Интернет, зависли, оказавшись зараженными несколькими копиями таинственной программы.

Лишь спустя несколько дней специалистам удалось определить источник проблемы. Это бы первый в мире своего рода компьютерный червь, который в субботу отметил свое 25-летие.

Как выяснилось, создатель червя это вовсе не советский кибер-преступник. Им оказался 23-летний студент, который допустил несколько важных ошибок в кодировании. Его имя Роберт Тэппэн Моррис (Robert Tappan Morris). Начинающий гений запустил то, что он не смог контролировать, чем привлек к себе массу внимания.

"Ранним утром 3-го ноября - действительно рано - я попытался войти в сеть, чтобы проверь свою электронную почту, но мне это не удалось", - говорит Джин Спаффорд (Gene Spafford), профессор информатики в Университете Пердью и один из немногих экспертов, которые подошли к анализу и демонтированию червя в течение нескольких часов после его запуска. "Тогда я залез в систему, чтобы определить, что не так с сервером и при этом обнаружил проблемы с программным обеспечением".

Возникшие неполадки были, конечно, последствиями вторжения червя Морриса. Его ничем не сдерживаемое самовоспроизведение привело к краху компьютерной системы. Все произошло быстро. Вирус проник в компьютеры лабораторий, школ и государственных учреждений, расположенных по всей стране.

В ответ на чрезвычайную ситуацию Spaf оперативно создал два отдельных списка с рассылкой: один местный (для администраторов и преподавателей), а другой, называемый Фаговым списком, для тех, кто занимался вопросами о взломе информацию. Список Фага стал жизненно важным ресурсом, через который пользователи Интернета могли понять червя, оставаться в курсе последних новостей и обсуждать более широкие проблемы безопасности.

Интернет в 1988 году

"Интернет в то время был очень свободным. Безопасность не вызывала серьезной озабоченности", - рассказывает Микко Хиппонен (Mikko Hypponen), главный научный сотрудник финской антивирусной компании F-Secure.

В 1988 году общее число компьютеров, подключенных к сети Интернет, колебалось в районе от 65 000 до 70 000 машин. Хотя Интернету в то время было уже около 15 лет, он использовался в первую очередь в академических, военных и правительственных структурах.

"Я не скажу, что мы всем доверяли, но в целом никто не пакостничал и не наносил никакого вреда", - сообщает Спаф. "Мы жили в районе, где было много людей, но вы могли оставлять свои двери открытыми, не боясь поджигателей".

Администраторы считают, что недостатки методов обеспечения безопасности в значительной степени соответствовали характеру интернет-сообщества на тот момент времени. Работа Морриса стремительно воспользовалась этой уязвимостью.

Компьютерный червь

Экономические потери, вызванные эффектом червя, варьировали в зависимости от расположения и глубины заражения. По оценкам Калифорнийского университета в Беркли, для очистки учреждения от вируса потребовалось 20 дней работы. Во время слушанья против Морриса судья огласил, что: "Ориентировочная стоимость антивирусных работ на каждой установке колеблется в диапазоне от 200 до более 53 000 долларов".

По некоторым оценкам общая стоимость ущерба от червя Морриса составила от 250 000 до 96 миллионов долларов.

"Все люди знали в то время, что компьютеры выключались (закрывались)", - говорит Марк Раш (Mark Rasch), федеральный обвинитель на суде против Морриса в Соединенных Штатах. "Возникла определенная степень паники и неразберихи в связи с характером того, как распространяется червь".

Не смотря на то, что вирус был сложным, широко распространяющимся и весьма разрушительным, он не был запрограммирован на уничтожение или удаление чего-либо, и он этого не делал. Вся его разрушительная сила связана с его стремительным самовоспроизведением. Из-за ошибки создателя он сам себя копировал и чем быстрее он это делал, тем медленнее и сложнее работала сеть, машина зависала. Менее чем через 90 минут с момента заражения червь делал зараженную систему непригодной для использования.

"Программное обеспечение было написано для распространения. Я не думаю, что он намеревался причинить ущерб. Это было, скорее всего, случайно либо непреднамеренно", - говорит Спаффорд.

По мнению большинства, Моррис не ожидал, что червь будет копироваться и распространяться так быстро. Из-за ошибки кодирования вирус заражал компьютеры намного быстрее и более публично, чем, скорее всего, было предназначено. Похоже, Моррис допустил "колоссальную" ошибку.

Изображение: Flickr, Intel Free Press

Министерство обороны заподозрило в атаке россиян.
"По правде говоря, реакция на это нападение варьировала от легкого раздражения до предположения о наступлении конца света", - говорит Раш. "Были и такие, кто думал, что это прелюдия к мировой войне, полагали, что это попытка со стороны Советского Союза завязать кибер-войну и запустить ядерное оружие".

Мотивация вирусописателя

Если червь не был направлен на повреждение или кражу, что побудило Морриса? Некоторые полагают, что он хотел привлечь внимание к недостаткам безопасности. Таково мнение и Спаффорда.

"Но недостатки, которые в этом были, он мог бы отметить и другими способами", - говорит он. "Я бы никогда не купился на идею, что ты должен сжечь здание до фундамента, чтобы показать, что оно воспламеняющееся".

Согласно Rasch, Министерство юстиции в то время не имело более согласованного мотива, чем "потому что это можно сделать".

"Это было частично вызвано любопытством и, возможно, определенным высокомерием", - говорит Спаф, который признает, что никогда нельзя быть уверенным в мотиве. "Он молчал обо всем этом в течение последних 25 лет. Кстати, он стал жить своей жизнью и сделал очень хорошую карьеру".

Моррис в конечном итоге признался в создании червя. Процесс по его делу стал первым федеральным случаем о компьютерном преступлении.

Морриса признали виновным в компьютерном мошенничестве и злоупотреблении. Его приговорили к 400 часам общественных работ, оштрафовали на 10 050 долларов и условно лишили свободы на три года. Многие, в том числе Спаффорд, посчитали, что его уголовное преступление осудили слишком сурово.

Дебаты между тем, уголовное ли это преступление или административный проступок, были строгими. Моррис начал свои показания со слов: "Я сделал это и я сожалею".

Злодеяние, говорит Раш, четко подпадало под положение о преступлении. Но общее мнение всех сторон сводилось к тому, что Моррис не был преступником. Он был тем, кто совершил преступление.

Результат

Год спустя Спаффорд выхлопотал президентское помилование для Морриса. Поведение последнего и изменяющаяся природа компьютерного преступления убедила многих в том, что преступление Морриса не такое уж и тяжкое.

"Я не только поддерживаю его прощение, если бы он меня попросил, я бы представлял его интересы в поисках прощения", - говорит Раш. "Нужно ли ему уголовное преступление в его биографии? Нет. Нужно ли ему ограничение гражданских прав и свобод, связанных с уголовным преступлением? Нет. Он реабилитирован? Я думаю, он был реабилитирован в течение часа после запуска червя".

"Я уверен, что Роберт Моррис не самый любимый человек в мире, но я не хочу, чтобы его чрезмерно преследовали".

"Он не злой гений, потому что он и не злой, и не гений", - говорит Раш. "Он просто очень умный парень, написавший программу, которая сделала очень многое из того, что он хотел сделать, - за исключением одной ошибки".

Когда появился червь Морриса и кто его автор

Червь Морриса получил такое название по имени своего создателя — Роберта Морриса. Роберт родился в 1965 году, его отец был специалистом в области криптографии, работал в Bell Labs и помогал в разработке Multics и Unix. То есть будущему программисту было у кого поучиться.

15.6" 1920 x 1080 TN+Film, Intel Core i3 8145U 2100 МГц, 8 ГБ, SSD 256 ГБ, граф. адаптер: встроенный, Linux, цвет крышки синий

15.6" 1920 x 1080 IPS, AMD Ryzen 5 2500U 2000 МГц, 6 ГБ, SSD 256 ГБ, граф. адаптер: NVIDIA GeForce GTX 1050 2 ГБ, Linux, цвет крышки черный

15.6" 1920 x 1080 IPS, Intel Core i5 7300HQ 2500 МГц, 16 ГБ, HDD+SSD 1000+128 ГБ, граф. адаптер: NVIDIA GeForce GTX 1060 6 ГБ, Linux, цвет крышки черный

Дополнительной драмы добавляло то, что его отец в то время уже являлся сотрудником Агентства национальной безопасности. Он занимал руководящий пост в подразделении, ответственном за IT-безопасность систем федерального правительства.

Червь Морриса нередко называют первым сетевым червем, однако он может считаться таковым лишь потому, что это первая подобная программа, расползшаяся чуть ли не по всему интернету. Интернет, напомним, тогда был совсем небольшим и имел мало общего с тем, что позже придумал Тим Бернерс-Ли.

Эксперимент по измерению интернета пошел не так

Роберт задумывал свое детище якобы как экспериментальный проект. Он должен был измерить тот самый интернет — об этом программист заявил позже. Оригинальный мотив в 1988 году мог быть иным. На это указывает и то, что парень тщательно пытался замести следы, отправляя червя в свободное плавание из кампуса MIT, а не из своей альма-матер.

Код писался для запуска на компьютерах VAX компании Digital Equipment Corporation и SUN под управлением BSD UNIX. Роберт использовал несколько уязвимостей, в том числе в программах sendmail (отвечает за работу с электронной почтой) и fingerd (получение некоторых данных о пользователе). Также эксплуатировались иные дыры, позволявшие узнать пароли локального пользователя.

В sendmail, например, после ряда исправлений имелся баг: в определенных условиях можно было запустить дебаг (внезапно: отправив команду debug). Тогда sendmail позволяла вместо адресов указывать дополнительные инструкции. На деле, конечно, все не так просто, но и особых изысков Роберту придумывать не пришлось.

Защиту продумал, выключатель не предусмотрел

Парень посчитал, что админы очень скоро заметят вторжение и предпримут шаги для защиты. Например, заставят червя думать, что его копия уже установлена. 23-летний программист учел и это. Его код действительно проверял наличие копии себя на чужом компьютере, однако в 14% случаев устанавливался, невзирая на полученный отклик. Есть фейк? Все равно установлюсь. Есть другая копия? Да кто ж поймет, все равно установлюсь.

Серверы тем временем раз за разом выполняли бесконечные команды, подаваемые червем, полностью парализующим работу систем: программа Морриса работала исключительно в оперативной памяти. Данный факт также не позволял изучить файлы червя, которые удалялись в случае отключения. В дампах обнаружить проблему не удавалось, так как червь отключал сбор подобной информации. fork, в свою очередь, решал проблему с поиском вредного процесса, который регулярно менял название.

Наказание — общественное порицание и штраф

На определение авторства ушло время. Есть версия, согласно которой отец 23-летнего парня рекомендовал ему самому рассказать о себе властям. Походит на правду, учитывая пост Морриса-старшего и его непосредственную связь с правительством и нацбезопасностью.

Как бы то ни было, в 1989 году Роберт предстал перед судом, став первым человеком, обвиненным по новой статье о компьютерных преступлениях — Computer Fraud and Abuse Act. Ему грозило до пяти лет тюрьмы и четверть миллиона долларов штрафа. Он отделался тремя годами условно, $10 тыс. штрафа и 400 часами общественных работ (такое наказание программист посчитал чрезмерным, но апелляцию отклонили).

Считается, что история с червем Морриса подняла несколько не очевидных тогда моментов развития интернета и распространения компьютеров. Оказалось, что вирусы могут быть разными и очень заразными, а бороться с ними не так уж просто. Пользователи узнали о темной стороне сети, а власти поняли, что существующие системы безопасности могут выйти из строя в мгновение ока и поделать с этим ничего нельзя.

Роберт Моррис, в свою очередь, пережил свалившуюся на него популярность. Спустя шесть лет после инцидента он основал стартап Viaweb, который был продан Yahoo! за $49 млн. Моррис воспользовался случаем, взял перерыв, отучился и получил степень, сразу устроившись на работу в MIT.

В 2005 году он с давним партнером Полом Грэмом основал Y Combinator и продолжил академическую карьеру. Из последних его достижений можно отметить тот факт, что в 2019 году Моррис стал членом Национальной инженерной академии США. Хороший был старт, хотя несколько темных пятен в истории осталось.

Читайте также:

  
• Таллинская операция 17 26 сентября 1944 года кратко
  
• Миланский эдикт 313 кратко
  
• Особенности и результаты приватизации в республике башкортостан кратко
  
• Значение водяной мельницы в средневековье кратко
  
• Итоги судебной реформы александра 2 кратко таблица