стр. 29

Сам Моррис дал следующую версию происшедшего.
2 ноября, набрав свой код доступа в сеть, он осуществил ввод
вируса с компьютера Корнеллского университета. Моррис рассчитывал,
что вирус будет пассивным - "спящим" - и приступит к активным
действиям только через несколько дней. Однако произошел неприятный
для автора сбой, и вирус принялся за дело мгновенно.
Когда Моррис попытался узнать ход атаки, он неожиданно обнаружил,
что сеть перегружена настолько, что он сам не в состоянии получить
доступ к терминалу. Моррис пытался остановить процесс, но все попытки
окончились неудачей. Более того, поскольку каналом распространения
вируса была электронная почта Sendmail, то именно она первая и вышла
из строя, в результате чего Моррис лишился связи с другими
компьютерами. Это, по его словам, "отрезало" его от сети и не
позволило известить коллег об угрозе.
Моррис тут же (около 2 часов ночи 3 ноября) по телефону связался
со своим другом в Гарвардском университете и попросил его послать в
Arpanet сигнал тревоги с подробными инструкциями о методе уничтожения
вируса. Этот знакомый в свою очередь послал краткое сообщение на
излишне техническом языке и к тому же разместил это сообщение на
малоизвестную EBB (Electronic Bulletin Board - "электронная доска
объявлений"). Все равно к этому моменту сеть была перегружена и
большинство абонентов просто не имели возможности прочитать это
сообщение.
Испугавшись ответственности, Моррис сбежал из университета к
родителям, где связался с адвокатом (с помощью которого, очевидно, и
была разработана соответствующая версия происшествия).
4 ноября, как известно, он явился с повинной в штаб-квартиру ФБР
в Вашингтоне.

E Что за этим последовало.
Воскресенье, 6 ноября 1988 года.
15:50 RISKS Высказаны предупреждения против раздувания шумихи
вокруг вируса большей, чем это сделано в прессе. Событие,
"происшедшее в действительности, не является сюрпризом ни
для читателей RISKS, ни для пользователей Internet или
UNIX."
19:01 RISKS Краткое обращение к пользователям с призывом
изучать вирус; отмечается, что "неэтичность и другие
злоупотребления не являются необычными." Компьютерные
системы должны перестать быть "относительно широко
открытыми."
Понедельник, 7 ноября 1988 года.
15:44 RISKS Обсуждение возможности провокации вирусом ядерной
войны. Вызвано воскресным сообщением (15:50), но впадает в
противоположную крайность, преувеличивая возможнось
"ядерного Армагеддона".
19:06 VIR Частная реакция на вирус Internet компьютерной
службы, которая "непосредственно даже не связана с Internet"
стр. 30

и лишь к этому моменту была оповещена из местных газет и
местных филиалов ABC и NBC.
8 ноября 1988 года в Вашингтоне была организована встреча группы
программистов и экспертов по компьютерной безопасности из различных
университетов с одной стороны и представителей федеральных властей с
другой - "Proceedings of the Virus Post-Mortem Meeting".
Целью встречи было обсуждение результатов вирусной атаки и
сложившейся в связи с этим ситуации и выработка предложений по поводу
того, как избежать повторения подобных атак в будущем. На встрече был
принят документ, состоящий из 11 рекомендаций участников совещания
(см. приложение B).
Одним из результатов встречи стал запрос NCSC к исследователям
университета в Пурду на удаление из компьютерной системы университета
всей информации, касающейся алгоритма работы вируса. Университет
удалил всю информацию, которая с точки зрения специалистов
представляла какую-либо опасность.
Согласно рекомендациям была создана так называемая "группа
ответа": в настоящее время Группа ответа на компьютерную опасность
(Computer Emergency Response Team) официально располагается в
университете Карнеги-Меллона, находясь на финансовом обеспечении
серьезно обеспокоенного инцидентом Пентагона.
ФБР наложило запрет на все материалы, имеющие отношение к вирусу
Морриса, а 11 ноября 1988 года в "Нью-Йорк Таймс" в статье Джона
Маркоффа было заявлено, что NCSC ищет способы, чтобы вообще остановить
распространение точной информации о "внутренней работе программ,
которые осложняют работу американских компьютеров."
Теперь, я думаю, вам стало понятно, почему получить подробные
материалы по вирусу Морриса (в частности) в настоящее время не так-то
просто.
Вирусная атака послужила причиной резко возросшего интереса к
средствам обеспечения безопасности как вычислительных систем, так и
объединяющих эти системы сетей.
Правительственные лаборатории и исследовательские центры,
занимающиеся проблемами защиты информации, интенсифицировали работы
над созданием сложных и, по возможности, универсальных антивирусных
программ, которые должны выявлять и блокировать вирус на самых ранних
стадиях его развития. Однако, по мнению экспертов, если такие
программы и удастся создать, они вряд ли станут достоянием гласности.
Предполагается, что в случае создания универсальных антивирусных
программ они будут рассматриваться как своего рода "стратегическое
оружие".
К работам по борьбе с вирусами и созданию "имунных" программ
подключились Национальный научный фонд США, биржа Уолл-стрита и др.
Беспокойство финансовых кругов США объясняется их сильной зависимостью
от вычислительной техники, на базе которой функционирует вся система
электронных безналичных расчетов [E1].
стр. 31

Поскольку вирус Морриса ощутимо ударил по репутации одного из
популярнейших семейства операционных систем - UNIX - неудивительно,
что разработчики стали прилагать лихорадочные усилия к тому, чтобы
вернуть UNIXу былой авторитет и, соответственно, не потерять рынок
сбыта.
Так, специалистов калифорнийского университета в Беркли - места
рождения UNIX Berkeley - вирусная атака побудила заново полностью
проанализировать свою систему, исправить обнаруженные червем дыры и
отключить в системе UNIX режим отладки. Они также переписали
программу Finger таким образом, чтобы она проверяла границы
размещаемой ею памяти с тем, чтобы любой проникший в систему вирус не
смог бы записать в эту память свои коды.
Как сообщил в феврале 1989 года вице-президент компании AT&T
Вильям О'Ши (William O'Shea) для системы UNIX 4.1 были разработаны
улучшенные средства обеспечения безопасности. Новые средства состоят
в усовершенствовании методологии доступа, обеспечении целостности
данных, отказе от утилит и ненавязчивой политике сдерживания.
Существовавший ранее статус суперпользователя заменен статусом
суперпользователя, который работает только на период установки
системы. Безопасность паролей улучшена за счет использования
"теневых" файлов паролей. Использованы механизмы ограничения доступа
к файлам в соответствии с текущей формой активности в системе.
Реализована более гибкая система авторизации, включающая групповые и
пользовательские идентификаторы, а также контроль команд и процедур
входа.
Не остались в стороне и владельцы национальных компьютерных
сетей, в частности - Internet. Internet Activities Board - комитет
Internet - в феврале 1989 года заявил о намерении ввести с целью
увеличения сохранности сообщений электронной почты Internet нового
стандарта безопасности. Пользователи получат возможность шифровать
свои сообщения, а также проверять идентичность отправленного и
полученного сообщений. Стандарт безопасности включает DES, систему
аутентификации из RSA Data Security и формат аутентификации
CCITT X.509.
Защищать сети гораздо сложнее, чем системы. Так, например,
защите в Internet подлежат три основных точки: индивидуальные
______________________________
[E1] Промышленная ассоциация по компьютерным вирусам только за
1988 год зафиксировала почти 90 тысяч вирусных атак на персональные
компьютеры, а по данным Национального центра информации по
компьютерной преступности (National Center for Computer Crime Data) за
этот же год компьютерная преступность нанесла американским фирмам
убытки в размере 500 млн. долларов В наибольшей степени от этого
страдают банки. По словам Ховарда Глассмана, который отвечает за
безопасность в Bank of America, компьютерная преступность может стать
причиной крушения экономической системы страны.
На самом деле, количество инцидентов, связанных с вирусами,
вероятно, превосходит опубликованные цифры, поскольку большинство фирм
умалчивает о вирусных атаках, опасаясь, что подобная антиреклама
повредит их репутации. Другие фирмы молчат, чтобы не привлекать
внимание хакеров. Как заметил администратор фирмы Amway, "лучший
способ избежать проблем с вирусами - не болтать о том, что вы
предпринимаете во избежание этих проблем."
стр. 32

терминалы, локальные сети и собственно Internet, которая может быть
поражена из любой из объединяемых ею сетей. Большое значение в связи
с этим, помимо аппаратно-программных средств, приобретают
организационные меры, предпринимаемые в целях обеспечения безопасности
сети вплоть до контроля за дисциплинированностью каждого пользователя.
Для защиты Internet специалистами, в частности, было предложено
следующее:
- должна быть сформирована политика безопасности сети, включая
вопросы уголовного преследования нарушителей;
- операторы Internet должны начинать уголовное преследование
всех лиц, замешанных в атаке сети;
- операторы Internet должны начать регулярные тренировки с
упором на обеспечение безопасности сети;
- Internet должна оплачивать информацию, помогающую обнаружить
и доказать виновность лиц, атаковавших сеть.

После атаки пользователи стали обвинять во всем случившемся не
только Морриса, но и транспортный протокол TCP/IP, утверждая, что сам
протокол не соответствует требованиям обеспечения безопасности.
Однако в ответ специалистами было заявлено, что вирус вызвал серьезные
последствия в силу недостатков безопасности систем, но не сети.
Вирус распространялся через программы, входящие в систему UNIX,
которые, как оказалось, были написаны недостаточно хорошо и имели дыры
в схеме безопасности. Пикантность ситуации состояла в том, что
существуют другие программы, работающие по тем же алгоритмам не хуже,
а то и лучше упомянутых злосчастных программ, но при этом не имеющие
дыр в безопасности. Системы в Internet, которые использовали эти
альтернативные программы, избежали поражения вирусом. Это доказывает,
что TCP/IP в состоянии поддерживать безопасный траффик.

F Как это судили.
"НЬЮ-ЙОРК, 9. (ТАСС) Пока Роберт Моррис
лишь смущенно улыбается перед объективами
репортеров - он уже стал героем дня в США, но
еще не ясно, смогут ли американские власти
показать, что он еще и преступник. "У нас
нет никакого опыта наказаний за такие дела",
- заявил представитель ФБР..."
Советская Россия, 10.11.88 N259(9810)
"Вся эта история выглядит и как
захватывающая драма отца, сына и колоссальной
электронной игры, и как наихудший результат
веселой проделки, в которой
непреднамеренность не может служить
оправданием. Разбор этого дела в суде
позволит выяснить соответствие нынешнего
законодательства, направленного против
"электронного саботажа", уровню развития
вычислительных систем и средств. Очень важно
доказать преступность подобных действий, хотя
стр. 33

в данном конкретном случае безусловно имеет
смысл смягчить наказание."
Х.Д.Хайланд.

Четверг, 10 ноября 1988 года.
19:03 VIR Утверждение, что "действия, предпринятые в отношении"
Морриса и подобных ему лиц будут "действиями общества в области
компьютерной безопасности."
20:40 RISKS Официальное сообщение о ситуации в Корнеллском
университете, где, по-видимому, был запущен вирус. Выводы
сопровождаются комментарием, какой Моррис хороший; высказывается
уверенность, что его наказание не будет "слишком суровым".
Представляет интерес юридическая сторона дела.
Долгое время ФБР не могло выдвинуть официального обвинения в
отношении автора вируса, несмотря на то, что по заказу этого
уважаемого ведомства Гарвардским и Корнеллским университетами были
подготовлены обзоры существующего законодательства, касающегося
"компьютерных" преступлений. Несмотря на наличие относительно новых
законодательных актов, таких как Акт о злоупотреблениях и
мошенничестве с помощью компьютеров от 1986 года (Computer Fraud and
Abuse Act of 1986), выдвинуть обвинение в отношении лица,
злоупотребившего многомашинной компьютерной системой, каковой является
любая компьютерная сеть, было нелегко.
В конце концов, поскольку пораженные вирусом системы входили в
состав компьютерной сети, контролируемой правительством США,
распространение вируса было признано действием, нарушившим закон. Но
и после этого оставался неясным вопрос о том, как квалифицировать
автора вируса - как преступника или как обычного хулигана. В
соответствии с уже упоминавшимся законом от 1986 года в случае
квалификации действий Морриса как "несанкционированного доступа к
правительственным компьютерам", ему грозил крупный штраф и тюремное
заключение сроком до 10 лет.
1 2 3 4 5 6 7 8 9 10 11