Понедельник 16 октября 1989
Космический Центр Кеннеди, Флорида
НАСА гудел в предвкушении запуска. Наконец Галилео собирается улететь в направлении Юпитера.
Администраторы и ученые в самом престижном космическом агентстве в мире потратили годы на попытку создать беспилотный корабль для исследования космоса. Сейчас, во вторник 17 октября, если все пойдет хорошо, пять астронавтов на космическом шаттле Атлантис стартуют из Космического Центра Кеннеди на мысе Канаверал во Флориде, буксируя Галилео. На пятой групповой орбите, поднявшись на 295 километров над Мексиканским заливом, команда освободит трехтонный космический корабль.
Часом позже, когда Галилео мягко сйдет с шаттла, 32500 пудовый двигатель корабля запустится и весь штат НАСА увидит этот изящный плод человеческой изобретательности в попытке предпринять шестилетнюю миссию на самую большую планету солнечной системы. Галилео совершит необходимый виток к Венере и дважды к Земле, подобно гравитационной рогатке он наберет необходимый импульс, чтобы достичь Юпитера.
Лучшие умы НАСА несколько лет бились над проблемой получения оптимальной траектории через всю солнечную систему. Юпитер был далеко от Земли, он был даже дальше чем Солнце - точнее в 778,3 миллионах километров. Галилео должен был обладать смехотворно большими солнечными батареями, чтобы на таком расстоянии от Солнца выработать достаточно энергии для своих инструментов. В конце концов, инженеры НАСА решили использовать земной источник энергии: ядерную энергию.
Ядерная энергия была совершенной для космоса. Беспилотный гигант понесет радиоактивный диоксид плутония 238 в достаточном количестве, чтобы питать главный компьютер. Плутоний компактен для того количества энергии, которое он выделяет в течении долгого периода. Это выглядело достаточно логично. Всего 24 килограмма плутония в главном реакторе, разогреваемом от его распада, выделяли бы энергию для приборов корабля! Галилео был бы способен на исследовательское путешествие к Юпитеру.
Американские антиядерные активисты не видели в этом выход. Они изображали что бы произошло, если бы Галилео рухнул на Землю. И им не очень нравилась идея плутониевого дождя. НАСА уверяло, что энергоблок Галилео имеет достаточную защиту. Агентство потратило около $50 миллионов на тесты, которые доказывали, что генераторы корабля были очень защищены. Они выдержали бы любое число ужасных взрывов, неудач и несчастных случаев. НАСА рассказывало журналистам, что шанс выброса плутония под воздействием падения был один из 2700. А возвращение его на Землю из космоса под действием гравитации - 1 из 2 000 000.
Активистам этого было недостаточно. В традициях современных американских конфликтов они взяли на вооружение суды. Коалиция антиядерщиков и других групп верила, что НАСА и администрация недооценили опасности плутония, и они хотели, чтобы Окружной суд США в Вашингтоне остановил запуск. Пока шло судебное следствие ставки росли. Судебное слушание намечалось несколькими днями ранее запуска, запланированного на 12 октября.
Неделями протестанты продолжали демонстрации, привлекая внимание СМИ. Ситуация накалялась. В субботу 7 октября активисты в противогазах в знак протеста прошли по улицам около мыса Канаверал. В 8 утра в понедельник 9 октября НАСА начал обратный отсчет для запуска в четверг. Но как только часы Атлантиса начали обратный отсчет, активисты из Флоридской Коалиции "За Мир и Правосудие" начали демонстрации в центре туристического комплекса.
То, что эти протесты уже затенили блеск космической миссии НАСА было последним беспокойством агентства. Реальная головная боль была в том, что Флоридская коалиция рассказала СМИ, что собирается выйти на полощадку запуска в ненасильственном протесте. Глава коалиции Брюс Гагнон выразил угрозу в простых терминах, изображая протестантов как маленьких людей, восставших против большого плохого правительственного агентства. Президент "Основ Экономических Тенденций" Джереми Ривкин также вбил клин между обычными людьми и людьми НАСА. Он сказал ЮПИ: "Астронавты для этой миссии волонтеры, но люди во всем мире, которые могут стать жертвами радиации, в волонтеров не нанимались".
Но протестанты были не единственными, кто обращался к медиа. В НАСА знали как взаимодействовать с прессой. Они просто рассказывали о суперзвездах-астронавтах. Мужчинах и женщинах - героях, которые отважились на путешествие в холодный и темный космос на защиту всего человеческого. Командир Атлантиса Дональд Вильямс не воздействовал на протестантов тупым образом, он просто проклинал их про себя. "Всегда есть люди, у которых имеется вольное мнение относительно тех или иных вещей, и это не должно быть существенным", сказал он в интервью. "Так просто нести в руках транспаранты, гораздо сложнее делать что-либо, заслуживающее внимания".
У НАСА был другой козырь. Второй пилот Атлантиса Майкл МакКулли сказал, что использование радиоизотопных термических генераторов - кусков плутония в главном реакторе - не проблема. Он планировал, чтобы его любимая семья наблюдала за стартом Атлантиса из космического центра.
Возможно астронавты были рисковаными психами, как думали протестанты, но они никогда бы не подвергли опасности свои семьи. Между тем вице-президент США Дэн Куэйли также планировал посмотреть на запуск из комнаты управления Космического Центра Кеннеди в семи километрах от стартовой площадки.
Пока НАСА выглядело спокойным, контролирующим ситуацию, оно усиливало свои службы безопасности. Около 200 секретных агентов наблюдали за местом старта. НАСА не хотело потерять шанс. Ученые агентства потратили слишком много времени. И горстка миротворцев не могли помешать параду Галилео.
Запуск готовился уже семь лет - слишком долго. В 1977 Конгресс одобрил исследование, которое стоило бюджету $400 миллионов, а старт планировался на 1982. Однако, как только дела доходили до старта начинались всякие проблемы.
В 1979 НАСА отложило запуск на 1984 из-за проблем в разработке шаттла. Галилео планировали запустить в два приема. Это означало, что два разных шаттла доставят и соберут в космосе корабль. В 1981, учтя основные затраты, НАСА сделало изменения в основах проекта. Они остановили работу над трехступенчатым двигателем Галилео в пользу другого выгодного предложения - это отложило запуск до 1985. После того как в 1981 федеральный бюджет настоял на продолжении разработки програмы первоначального двигателя Галилео, НАСА опять отложило запуск на май 1986. В 1986, из-за падения Челенджера, НАСА решило изменить двигательную систему из соображений безопасности. Это вытекало в еще большие задержки.
Лучшим вариантом выглядела двухступенчатая твердотопливная система ИЮС. Но была только одна проблема. Эта система годилась, чтобы запустить Галилео на Марс или Венеру, но топливо закончится задолго до его подлета к Юпитеру. Тогда Роджер Дайхил из лаборатории реактивного движения НАСА выдвинул хорошую идею. Полет Галилео вокруг ближайших планет в небольшое время даст ему достаточный гравитационный импульс для полета на Юпитер. Траектория Галилео Венера-Земля-Земля займет дополнительных три года, но в конечном счете он достигнет Юпитера.
Антиядерные активисты спорили, что полет рядом с Землей повышает риск ядерной катастрофы. Но НАСА видело в этом цену успеха.
У Галилео были и другие задержки на земле. В понедельник 9 октября НАСА сообщило, что обнаружило проблемму в компьютере, который управляет двигателем шаттла. На фоне судебной драмы с антиядерными активистами это уже не выглядело как обычная техническая проблема с компьютером двигателя.
Инженеры НАСА обсуждали компьютерную проблему на телеконференциях через всю страну. Это заняло всего лишь день. Но у Галилео их было не так много. Из-за расположения орбит планет он должен был быть в космосе не позднее 21 ноября. Если Атлантис не стартует к этой дате, ему придется ждать 19 месяцев до следующего запуска. Проект уже стоил бюджету более $1 миллиарда из запланированных 400 миллионов. Еще полтора лишних года добавят к нему еще 130 миллионов, так что это был неплохой шанс быть пересмотренным всему проекту.
Несмотря на ливни, которые выбросили 100 мм осадков на стартовую площадку и 150 мм в соседнем Мельбурне, все шло хорошо. До сих пор. НАСА приняло решение. Запуск задержится на близжайшие пять дней до 17 октября, так что компьютерная проблема может быть решена.
Те из ученых и инженеров, кто был с Галилео с самого начала должны были заподозрить, что в этот момент сама судьба была против Галилео. Как-будто все силы вселенной и особенно на Земле противились тому, чтобы человечество взглянуло на Юпитер вблизи. Так быстро, как только можно, на месте одного барьера, решенного НАСА, появлялся новый.
Понедельник 16 октября 1989
Центр космических полетов НАСА. Гринбелт, Мэриленд.
Во всей империи НАСА, простирающейся от Мериленда до Калифорнии, от Европы до Японии, работники НАСА приветствовали друг друга, проверяли свою почту, выпивали чашечку кофе, и, удобно размещаясь в креслах, пытались войти в свои компьютеры, чтобы решить в этот день комплексную физмческую задачу. Но многие компьютеры вели себя странно.
Как только они входили внутрь, то обнаруживали, что компьютеры были пусты, как-будто что-то или кто-то стер абсолютно все. Вместо обычного запроса и приглашения войти в систему они обнаруживали следующее сообщение:
W O R M S A G A I N S T N U C L E A R K I L L E R S _______________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \___________________________________________________/ \ / \ Your System Has Been Officically WANKed / \_____________________________________________/ You talk of times of peace for all, and then prepare for war.
WANKed? Большинство американских системных администраторов, читающих это сообщение, никогда не слышали подобного слова раньше.
Кто хотел вторгнуться в компьютерные системы НАСА? И кто это такие: "черви против ядерных убийц"? Кто организовал это? Была ли это террористическая группа, которая организовала новый вид нападения на НАСА? И почему червь? Червяк был странным животным для талисмана революционной группы. Кто выбрал его как символ саморазмножающегося компьютерного вируса?
Что касается "ядерных убийц", это было также странно. И девиз на знамени "Вы говорите о мире, а сами готовитесь к войне" как-то не стыковался с НАСА. Агентство не производило атомных бомб - оно посылало людей на Луну. И в его проектах не было военных угроз, но на шкале "ядерных убийц" НАСА стояло не слишком далеко от других агентств, подобных Департаменту Обороны. Итак следовал вопрос: почему НАСА?
И это слово WANKED. Оно не несло определенного смысла. Что значит система WANKED?
Это значит, что НАСА потеряло контроль над своими компьютерными системами.
В этот понедельник ученый НАСА заходил в зараженный компьютер
и получал следующие сообщения:
deleted file <filename1>
deleted file <filename2>
deleted file <filename3>
deleted file <filename4>
deleted file <filename5>
deleted file <filename6>
Все файлы удалены.
После этих строк компьютер говорил ученому: "Я удалил все твои файлы".
Как будто ученый набрал в командной строке:
delete/log *.*
- словно все это сделал сам ученый.
Ученый НАСА видел как имена файлов бегут вверх по экрану на пути к забвению. Произошло нечто определенно плохое. Он пытался остановить процесс, пробуя нажимать ctrl+c. Это должно было сразу же остановить выполнение команды.
Но действия совершал захватчик, не ученый НАСА, он контролировал компьютер в этот момент. И вторгшийся говорил компьютеру: "Эта команда ничего не означает. Игнорировать" ('That command means nothing. Ignore it')
Ученый нажимал на последовательность клавиш снова, уже более настойчиво. И снова ничего. Он все более расстраивался от нелогичного поведения компьютера. Недели, возможно месяцы, были потрачены на раскрытие тайн вселенной. Все это проходило перед его глазами, все это беспощадно пожирал компьютер. Все было неподвласно его контролю. Файлы исчезали. Еще. И еще. Все.
Люди обычно не очень хорошо реагируют на потерю управления над их компьютерами. Обычно они закрывают руками искривленный от ужаса рот, молят о помощи и ужастно вопят от бесполезности своих действий.
Представьте, что вы прибыли на работу как администратор одной из локальных компьютерных систем НАСА. В этот понедельник вы заходите в офис и обнаруживаете, что все телефоны непрерывно звонят. Каждый звонящий - это обезумевший и обескураженный работник НАСА. Каждый звонящий уверяет, что его или ее файл учетной записи в разрабатываемом проекте кем-то удален. И это полная правда.
В этом случае проблема усиливается тем фактом, что исследовательские центры НАСА часто конкурировали друг с другом в разработке своих проектов. Когда начинается какой-нибудь специфический полетный проект, два или три центра с сотнями разработчиков начинают соперничать за него. Потеря управления над компьютерами и всех данных из проектных разработок была хорошей возможностью потерять весь проект, и часто - сократить себе финансирование.
Похоже этот день не собрался быть хорошим для парней из SPAN - офиса компьютерных сетей НАСА.
И этот день не собирался быть хорошим для Джона МакМахона (John McMahon).
Как ассистент администратора ветви DECNET в Центре Космических Полетов Годдарда в Мериленде, Джон МакМахон обычно тратил день на управление частью компьютерной сети SPAN, которая проходила между 15 или 20 зданиями Центра.
МакМахон работал в Здании 28 под кодом 630.4, иначе известном как Офис Прогрессивных Технологий Обмена Данными. Ученые Годдарда звонили ему с просьбой помочь с их компьютерами. Две из наиболее типичных фраз, которые он слышал были: "Похоже компьютер не работает" и "Я не могу связаться с этой частью сети".
SPAN - это Сеть Космических Физических Исследований, которая соединяет около 100 000 компьютерных терминалов по всему земному шару. В отличие от Интернета, который сейчас широко доступен основной массе, SPAN соединена только с разработчиками и учеными НАСА, Департаментом Энергии США и исследовательскими институтами и университетами. От наиболее типичных компьютеров в Интернете компьютеры SPAN отличаются в главном: они отличаются операционными системами. Большинство компьютеров в Интернет используют операционную систему Unix, в то время как SPAN состоит прежде всего из компьютеров VAX с операционной системой VMS. Во многом сеть работает подобно Интернету, но компьютеры разговаривают на разных языках. Интернет на языке TCP/IP, SPAN - на языке DECNET.
Действительно, сеть SPAN известна как интернет DECNET. Большинство компьютеров были произведены в Корпорации Цифрового Оборудования в Массачусетсе (DEC), потому и название DECNET. DEC производит мощные компьютеры. Каждый из них может работать с 40 терминалами. Некоторые компьютеры SPAN работают с большим количеством. Не было необычным для одного компьютера DEC обслуживать более 400 человек. Более четверти миллиона ученых, инженеров и других работников, использовали компьютеры, соединенные в сеть.
Инженер-электронщик по образованию, МакМахон пришел из фонового космического исследовательского проекта НАСА, где он управлял компьютерами, использовавшимися несколькими сотнями разработчиков. Здание 7 Годдарда, где он работал над этим проектом, известно как дом интересных разработок. Проектная группа пыталась сделать карту вселенной в длинах волн, незаметных для человеческого глаза. НАСА запустила их спутник в ноябре 1989. Миссия называлась "измерение диффузии инфракрасного и микроволнового излучения от ранней вселенной в пределах, позволяемых нашим астрономическим оборудованием". Для случайного наблюдателя проект почти всегда звучал как часть современного искусства, которое можно было озаглавить чем-то вроде "Карта вселенной в инфракрасном".
16 октября МакМахон прибыл в офис и погрузился в работу, когда его удивил телефонный звонок из офиса SPAN. Тод Батлер и Рон Тенкати из центра космических научных данных, управлявшие половиной сети SPAN НАСА, обнаружили кое-что странное и определенно распространявшееся по компьютерной сети. Это было похоже на компьютерного червя.
Компьютерный червь - это маленький компьютерный вирус. Он проникает в компьютерные системы, вмешиваясь в их нормальную работу. Он путешествует через благоприятные ему компьютерные сети и останавливается постучать в дверь компьютерной системы, привлекшей его внимание в данный момент. И если имелась дыра в безопасности компьютерной системы, он заползал через вход в систему. Когда он делал это, то открывал для себя возможность делать любое число разных вещей: от посылки сообщения компьютерным пользователям до попытки стереть систему. Кое-что, что делает червь, отличается от других компьютерных программ, таких как вирусы - он саморазмножается. Он проникает в новые системы и размножается оттуда, пролезая в новые места. В отличие от вируса он не приклеивается к программе или файлу данных. Он автономен.
Термин "червь" пришел в компьютеры из научной фантастики Джона Бруннера "Shockwave Rider" 1975 г. Новелла описывает как восставший программист создает программу, названную червем, которая проникает во всемогучую компьютерную сеть, используемую технократическим правительтвом для контроля за людьми. Правительство было вынуждено выключить сеть, теряя свой контроль, чтобы уничтожить червя.
Книга Бруннера была близка многим администраторам сетей компьютеров VMS, в которые когда-либо проникал настоящий червь. До 1980 черви были неясной вещью, более связанной с разработками в компьютерных лабораториях. Для примера, несколько дружественных червей были разработаны исследователями Xerox, которые хотели более эффективно использовать компьютерные возможности. Они разработали червя "town crier", который продвигаясь по сети, посылал важные замечания. Их диагностический червь также перемещался по сети, но этот червь был предназначен для того чтобы выявлять проблемы с машинами. Для некоторых программистов создание червя родственно созданию жизни. Создать что-то, достаточно разумное, чтобы идти и всилу закона природы саморазмножаться. Создание червя, захватившего компьютерные системы НАСА, должно быть выглядело как производство какого-то бессмертного существа, способного к самораспространению через компьютеры, которые отправляют людей на Луну.
К моменту, когда WANK-сообщение светилось на экранах по всему НАСА, во всех записях упоминались только два рельных червя. Один из них - червь RTM, заражал UNIX-машины в Интернет менее, чем 20 месяцами ранее. Другой червь, Further Christmas, был первым червем для VMS.
Further Christmas был простым маленьким червем, который не наносил никакого умышленного вреда компьютерным сетям - он путешествовал по ним. Запущенный только что перед Рождеством 1988, он пытался прокрасться в сотни VMS машин в ожидании большого дня. Утром в Рождество он просыпался и с необыкновенным энтузиазмом начинал работу. Подобно разорвавшемуся конфетти, он посылал рождественские поздравления пользователям всех систем, в которые он проник. Никто не оставался без рождественской открытки. После этого червь испарялся. Джон МакМахон был в составе основной группы, отражавшей нападения червя Further Christmas.
Около 4 после полудня, только за несколько дней до Рождества 1988, программа-сторож МакМахона начала валиться. Мак попытался отследить дюжину входящих соединений, по которым приходили тревожные звонки. Он быстро обнаружил, что на другом конце провода был не человек. После дальнейшего исследования своей системы он нашел чужеродную программу по имени HI.COM. Как только он прочитал страницу из кода HI.COM, распечатанную на его принтере, его глаза широко раскрылись. Как он и думал, ЭТО был червь! Он никогда не видел червя раньше.
Он помчался назад к своей консоли и так быстро как мог начал отключать систему от сети. Может, он не следовал инструкцям, но он подумал, что люди могут потом покричать на него, если сочтут нужным. После отключения части сети он вернулся назад к локальной сети офиса. С распечаткой в руках он поехал через всю базу в головной офис, где он и несколько других администраторов разработали решение как остановить червя. В конечном счете они проследили систему в Швейцарии, откуда мог быть запущен червь Further Christmas. Но они не смогли обнаружить того, кто его создал.
Further Christmas был только простым червем и он не рассматривался как опасный, поскольку не оставался в системах навсегда. Это был червь активировавшийся на промежуток времени.
В отличие от него офис SPAN не знал, что мог сделать WANK. Они не знали кто его написал и запустил. Но у них была копия программы. Не мог ли МакМахон взглянуть на нее?
Приветливый программист по кличке Fuzzface, Джон МакМахон любил хорошие вызовы. Он запросил офис SPAN, превратившийся в это время в Кризисный Центр, выслать ему копию странного захватчика. Он начал изучать семь печатных страниц кода, пытаясь выяснить, что червяк мог делать.
Два предыдущих червя работали на специфичных компьютерных системах и сетях. Похоже червь WANK атаковал только компьютерные системы VMS. Исходный код червя не походил ни на что из того, что МакМахон когда-либо видел ранее. "Это похоже на кучу спагетти", сказал он. Когда он выбирал одну часть и пытался выяснить что она делает, то не мог разобрать остальное, перемешанное в один клубок.
Программа была написана без всякой организации. И это было на всем ее протяжении. Джон разбирал десять-птнадцать строк кода и вынужден был вернуться к началу программы, чтобы выяснить, что пыталась делать следующая секция программы. Медленно и терпеливо он делал пометки и приходил к выводу что этот червь был способен сделать в сети НАСА.
Это был великий день для антиядерных групп в Космическом Центре НАСА. Они могли проиграть в Окружном суде США, но они отказывались опускать транспаранты и обратились в Апелляционный Суд США. 16 октября пришла новость. Аппеляционный суд одобрил НАСА.
Протестанты с новой силой стали осаждать главные ворота Космического Центра Кеннеди. По меньшей мере 8 из них были арестованы. Агентство Франс Пресс получило фотографии как полиция арестовывала 80-летнюю женщину за нарушение границ. Джэйн Браун из Флоридской коалиции "За мир и порядок" объявила: "Только что начался план правительства по использованию в космосе ядерной энергии и оружия, включая программу Звездных Войн".
Внутри Центра Кеннеди не всё шло гладко. В прошлый понедельник технические эксперты НАСА обнаружили еще одну проблему. Черный ящик, который записывал скорость и другие важные данные для системы навигации шаттла, был неисправен. Техники заменили устройство и пресс-секретарь НАСА уверил СМИ, что для запуска во вторник НАСА больше не ожидает задержек. Обратный отсчет продолжался непрерывно. У НАСА все было под контролем.
Все кроме погоды.
Под воздействием катастрофы с Челенджером рекомендации НАСА о решении на запуск стали особенно жесткими. Плохая погода была ненужным риском, но НАСА не ожидало плохой погоды. Во время запуска во вторник метеорологи предсказывали 80 процентный шанс благоприятной погоды. Но шаттлу лучше взлететь к этому времени, потому что прогноз на более длинный срок был мрачным.
Утром во вторник охранники Галилео затаили дыхание. Обратный отсчет уже приближался к 12:57. Похоже антиядерные протестанты затихли. Все выглядело обнадеживающе хорошо. Наконец Галилео мог отправляться в путь.
Затем, примерно за 10 минут до запуска, прозвучала тревога службы безопасности. Кто-то проник на площадку запуска. Команды охранников приступили к действиям и быстро обнаружили нарушителя ... дикого кабана.
После безопасного удаления кабана отсчет возобновился. Около ВПП шаттла, прмерно в 6 километрах от стартовой площадки, начали сгущаться дождевые тучи. Директор НАСА по запускам, Роберт Сайек, продлил запланированную задержку на 9 минут. Для запуска у Атлантиса был 26-минутный коридор. После этого периода корабль вынуждены будут задержать до пятницы.
Погода не собиралась угомонться.
В 13:18 часы Атлантиса показывали 5 минут до запуска. Сайек отложил его на пятницу.
Возвратимся назад в центр SPAN, где обстановка становилась беспокойной. Червь пролезал во все больше и больше систем и телефоны начинали звонить каждые несколько минут. Компьютеры НАСА начали подвергаться атакам повсеместно.
Сотрудникам SPAN требовалось больше рабочих рук. Они одновременно пытались успокоить звонивших и сконцентрироваться на анализе чужой программы. Была ли это чья-то практическая шутка или бомба замедленного действия? Кто стоял за всем этим?
После пришествия WANK НАСА работало в информационном вакууме. Некоторые сотрудники знали об акциях протестующих около Космческого Центра, но это не могло подготовить их к нашествию. Должностные лица НАСА были настолько уверены в связи между протестантами против Галилео и атакой на компьютеры НАСА, что стали размышлять об их взаимосвязи публично. Это казалось вполне разумно, но оставалось еще так много вопросов.
Звонившие в офис SPAN были обеспокоены. Люди на другом конце провода были испуганы. Многие звонящие были администраторами специфичных областей сети SPAN, таких как Центр Космических Полетов Маршалла. Некоторые были в панике; другие говорили монотонно от утренних звонков 25 истеричных системных администраторов. Сисадмины могли потерять работу за свое поведение.
Большинство звонивших в главный офис SPAN жаждали информации. Как этот червь проник в их компьютеры? Было ли это злонамеренно? Уничтожил ли червь все научные данные? Как его можно обезвредить?
В своих компьютерах НАСА держало огромное количество информации. Данные в них были чрезвычайно ценными. Миллионы человеко-часов собранной и проанализированной информации. Кризисная Команда, сформированная в офисе SPAN, была поднята по тревоге, когда поступило сообщение об уничтожении большого массива данных. Люди, звонившие по телефону говорили, что червь уничтожает файлы.
Это был самый ужасный кошмар каждого компьютерного администратора, похоже самые мрачные опасения кризисной команды подтверждались.
Все же червь вел себя нелогично. На некоторых компьютерах он только посылал анонимные сообщения, некоторые из которых были смешными, некоторые причудливыми, другие невежливыми или непристойными. Как только пользователь входил в систему поперек экрана вспыхивало сообщение:
Возможно, в них содержался черный юмор:
Другим пользователям приходило анонимное сообщение параноика:
или
Но на этих системах червь не делал попыток стереть файлы. Возможно, некоторые действия активировались в определенное время, например в полночь. Возможно, необычное сочетание клавиш пользователей этих систем могли вызвать активацию червя. И какая-нибудь строка могла вызвать необратимые команды по стиранию системных файлов.
Компьютерная команда SPAN была в погоне за червем. Каждую минуту, которую они тратили, чтобы зафиксировать что он делал, червь проникал все глубже в сеть НАСА. Каждый час, что НАСА тратило на поиск лекарства, червь тратил на поиск, исследования, взлом и проникновение. День задержки в получении лекарства означал заражение все больших и больших систем, в которых червь мог делать все, что ему вздумается. Команда SPAN должна была найти его и как можно быстрее.
Некоторые администраторы компьютерных сетей были ужасно обеспокоены. Офис SPAN получил звонок из Лабораторий Реактивного Движения НАСА в Калифорнии (JPL). Очень важный центр НАСА с 6500 работниками потерял связь с Калифорнийским Технологическим Институтом.
JPL отключилась от сети.
Этот червь нес столько риска. Единственным выходом было изолировать свои компьютеры. Пока кризис не будет под контролем, SPAN будет использовать коммуникации, основанные не на DEC. Это вызывало новые трудности; пересылка программы, уничтожающей червя, в JPL и другие места, отключившиеся от сети, стала намного сложнее. Это можно было сделать только по телефону.
Хуже того, JPL был одним из пяти центров маршрутизации компьютерных сетей SPAN НАСА. Он был подобно колесу с осями, соединяющими дюжину других узлов сети SPAN. Подключение этих узлов, называемых хостами, к сети SPAN зависело от главного узла JPL. С отключением JPL остальные хосты также отрубились.
Для работников SPAN в Вирджинии это было серьезной проблемой. Глава службы безопасности SPAN Рон Тенкати создал главную проблему, переведя центр маршрутизации в оффлайн. Но его руки были связаны. Офис SPAN управлял большой частью сети, но он не мог воздействовать на отдельные центры. Команда SPAN могла только давать советы и работать над проблемой остановки червя.
Джону МакМахону снова позвонили из офиса SPAN уже с более срочным запросом. Не мог бы он принять управление кризисом?
Центр SPAN был всего в 800 метрах от офиса МакМахона. Его босс, администратор протокола DECNET Джером Беннет, дал добро. Пока кризис не окажется под контролем, МакМахон был в их распоряжении.
Прибыв в Здание 26, штаб офиса SPAN НАСА, МакМахон включился в команду с Тодом Батлером, Роном Тенкати и Пэтом Сиссоном. Другие ключевые люди НАСА, такие как Дэйв Петерс и Дэйв Стерн, подключались по мере необходимости. Джим Грин, глава Национального Центра Научных Данных в Годдарде и генеральный директор SPAN, требовал ежечасного отчета по кризису. Первоначально кризисная команда состояла из людей НАСА, преимущественно из Годдарда. Но спустя день там появились новые люди из различных областей правительства США.
Червь распространялся за пределы НАСА.
Он атаковал Департамент Энергии США (DOE) и его компьютеры из сети Физики Высоких Энергий. Известная как HEPNET, это была другая часть полной сети SPAN, включающая Евро-HEPNET и Евро-SPAN. Компьютерные сети НАСА и DOE пересекались в нескольких местах. Например, исследовательской лаборатории требовался одновременный доступ к компьютерам SPAN НАСА и HEPNET. Для удобства лаборатория соединялась с обоими сетями. Успехи червя объяснялись тем, что SPAN НАСА и HEPNET DOE фактически были одной большой сетью.
В компьютерах Департамента была строго классифицированная информация. Очень специализированная. В DOE были две группы исследователей: люди, которые занимались исследованиями гражданских энергетических проектов, и люди, которые занимались разработкой атомных бомб. Организация безопасности в DOE была серьезной и соответствовала уровню "национальной безопасности". Хотя HEPNET не передавала по своим проводам информацию подобного класса, реакция на червя была по-военному незамедлительной. Они заполучили себе одного парня, Кевина Обермана, который много знал о безопасности систем VMS.
Подобно МакМахону, формально он не был из штата компьютерной безопасности. Он просто интересовался компьютерной безопасностью и знал о VMS системах больше, чем кто-нибудь ещё. Его официальной работой было управление сетью технического отдела в Лоуренс-Ливерморской Национальной Лаборатории (LLNL) около Сан-Франциско.
Главным образом LLNL проводила военные исследования, многие из которых были для СОИ. Многие ученые LLNL тратили свое время на разработку ядерного и лучевого оружия для программы Звездных Войн. В DOE всегда была своя группа безопасности, известная как CIAC, Консультанты по Компьютерным Инцидентам. У CIAC была тенденция быть хорошими экспертами в области UNIX, а не в области безопасности компьютеров и сетей, основанных на VMS. Оберман говорил: "У них никогда не было людей, достаточно разбирающихся VMS, а сейчас они особенно нуждались в таких людях".
Червь разрушил всемирную секретность VMS. Когда червь WANK проник в НАСА, он запустил агрессивную атаку на Национальную Лабораторию Ускорителей Ферми в DOE вблизи Чикаго. Он проник в огромное число компьютеров Лаборатории. Те вызвали CIAC, которые ранним утром 16 октября связались с Оберманом. В CIAC хотели, чтобы он проанализировал червя. Они хотели знать насколько червь опасен. В конечном счете, они хотели знать что делать.
Люди DOE проследили первый контакт с червем 14 октября. Далее они выдвинули гипотезу, что червь был запущен в предыдущий день, в пятницу 13-го, что сочеталось с черным юмором создателя или создателей червя.
Оберман начал свое собственное исследование червя, забывая, что в 3200 километрах на другом конце континента его коллега и знакомый Джон МакМахон занимался тем же самым.
Все это время МакМахон получал звонки от сердитых системных администраторов НАСА. Он пытался заполучить копии червя с их зараженных машин. Он также требовал все компьютерные журналы записей о работе их систем. Из какого компьютера червь пришёл? Какую систему он атаковал с инфицированной машины? По идее, журналы записей позволят команде НАСА составить карту следов червя. Это может помочь предупредить людей с других систем, которые могут стать стартовой площадкой для новых атак червя.
Это не всегда было возможно. Если червь захватывал управление системой и был активен, то администратор мог только проследить откуда червь пришел, но не мог знать куда он собирается проникнуть. Хуже всего то, что многие системные администраторы не хранили старые файлы логов.
МакМахон знал как важно было собрать как можно больше информации. На своей старой работе он настроил свои компьютеры так, чтобы они хранили как можно больше информации о безопасности соединений с другими компьютерами.
Системы оповещения многих компьютеров VMS были настроены по умолчанию, но МакМахон не думал что этого было достаточно. Система оповещения имела тенденцию посылать компьютерным администраторам сообщение типа "Привет, к вам только что поступило соединение оттуда-то". Измененная система оповещения говорила "К вам подсоединились оттуда-то. Человек на другом конце пересылает такой-то файл" и другую информацию относительно компьютера на другом конце соединения. К сожалению, другие сисадмины не испытывали такого энтузиазма по отношению к своим логам. Многие вообще не хранили записей о соединениях и это делало задачу по нейтрализации червя более сложной.
Однако, в офисе SPAN сохраняли очень обширные логи. Каждый час администраторы НАСА звонили, чтобы сообщить о действиях червя, а один из людей в кризисной команде протоколировал всё на бумаге. Записи, содержащие адреса атакованных машин и подробные сведения об уровне заражения, велись и на компьютере. Но листки бумаги обладали очень хорошей защитой. Червь просто не мог их уничтожить :-)
Когда МакМахон узнал, что DOE тоже атакована, он стал обмениваться новостями примерно каждые 3 часа. Они обменивались сообщениями по телефону, так как это, как и листки бумаги, было безопасно от червя. "Мы действовали архаично, но с другой стороны мы не зависели от сети", говорил МакМахон. "Нам нужны были каналы связи, которые не могли быть атакованы, подобно сети".
У многих членов группы SPAN в НАСА были знакомства с различными частями DEC через "Общество пользователей DEC (DECUS)". Эти контакты оказались очень полезными. Можно было легко заблудиться в огромной бюрократии DEC с более чем 125000 работниками и прибылью в $12 млрд. за 1989. Такая огромная и престижная компания не хотела оказаться лицом в грязи из-за кризиса с червем, особенно с такой видной организацией как НАСА. Так или иначе то, что червь успешно продвигается по вине программного обеспечения DEC ещё спорный вопрос. Этот кризис был очень нежелателен для компании. Ввязывание в драку было равноценно провалу.
Обстановка была двоякой, но если кто-то имеет связи с техническими экспертами внутри компании все меняется. Вместо того, чтобы админ из НАСА звонил и холодным голосом говорил с парнем из DEC, продавшей им машины стоимостью в миллионы долларов, парень из НАСА звонил парню из DEC, с которым они были на конференции в прошлом месяце. Они разговаривали как коллеги.
Джон МакМахон пришел к выводу, что имелось три версии червя WANK. Эти версии были очень похожи, но каждая содержала несколько тонких отличий. По-мнению МакМахона эти изменения не могли быть приобретены по мере саморазмножения червя. Но почему создатель червя сделал несколько версий? Почему бы не сделать одного червя и бросить его в атаку? Червь не был одной ракетой на поражение, он предназначался для бешенной атаки. Он двигался по всем направлениям, по всем видам компьютеров разных уровней.
МакМахон подозревал, что разработчик червя запустил разные версии червя в разное время. Возможно, создатель запустил червя, а затем нашел в нем ошибку. Он поиграл с червем немного, чтобы решить проблемму, и запустил его снова. Возможно, ему не понравился метод решения ошибки в первый раз, поэтому он изменил программу еще немного и запустил червя в третий раз.
В Северной Калифорнии Кевин Оберман пришел к другому заключению. Он считал, что была только одна версия червя, распространявшегося через HEPNET и SPAN. Небольшие изменения в разных копиях были результатом способности червя изучать и изменяться в процессе распространения.
МакМахон и Оберман не были единственными исследователями, пытавшимися расшифровать действия червя. DEC тоже изучала червя по своей причине. Червь WANK проник в их собственную корпоративную сеть. Его обнаружили когда он продвигался через собственную частную сеть DEC - EaseNET, соединяющую заводы DEC, офисы по продажам и другие области компании по всему миру. DEC воздержалась от обсуждения этого публично, но версия червя в EasyNET определенно была другой. Она содержала странную строку кода - строку, пропущенную в других версиях. В черве были инструкции проникать в как можно большее число компьютеров с одним исключением. Не проникать в компьютеры внутри области 48 сети DEC. Команда НАСА проверила эту информацию. Это была Новая Зеландия.
Новая Зеландия?
Команда НАСА недоумевала. С каждой минутой атака становилась все более странной. Только что казалось, что команда SPAN была на правильном пути к ответу в лабиринте антивирусных средств, но вот они повернули за угол и поняли, что снова безнадежно его потеряли. Кто-то заметил, что Новая Зеландия известна во всем мире своими требованиями против ядерного оружия.
В 1986-ом Новая Зеландия заявила, что будет отказывать в заходе в свои порты любому кораблю из США, вооруженному атомным оружием или работающему на ядерной энергии. В ответ США приостановили свои обязательства по безопасности наций южного региона Тихого Океана. Если враждебная страна вторгнется в Новую Зеландию, США будет сидеть сложа руки. США также приостановили совместное использование разведовательных средств и проведение совметных учений.
Многие люди в Австралии и Новой Зеландии считали, что США погорячились. Новая Зеландия не высылала американцев - она просто ограждала свое население от возможной угрозы ядерного оружия или энергии. Новая Зеландия даже не запретила американцам использовать шпионскую базу на Вайгопай. Эта страна не была против США, просто против ядерной энергии.
И у Новой Зеландии была хорошая причина быть против атомной энергии. За год до этого она вместе с Францией проводила ядерные испытания в Тихом океане. Затем, в июле 1985, в гавани Ауклэнд французы взорвали корабль антиядерных протестантов Гринпис. Австралийский корабль Rainbow Warrior случайно заплыл на ремонт в атолл Маруроя, в область испытаний, как раз когда французские секретные агенты бомбили корабль активиста Гринпис Фернандо Петрейра.
Неделями Франция все отрицала. Но когда правда вышла наружу - то, что президент Митеран знал о бомбардировщике - Франция оказалась лицом в грязи. Полетели головы. Министр обороны Франции Чарльз Герню ушел в отставку. Адмирал Пьер Лякостье - директор французской разведки и Бюро Тайого Действия, был уволен. Франция извинилась и заплатила 13 млн. зеландских долларов компенсации в обмен на двух саботажников, приговоренных в Новой Зеландии к 10 годам заключения в тюрме Ауклэнда.
По договору Франция обещала держать агентов в трёхлетнем заключении на французской военной базе на атолле Гао. Оба агента вышли на свободу в мае 1988, отсидев менее 2-х лет. После возвращения во Францию один из агентов, капитан Доминик Прийё, был повышен в звании.
МакМахон задумался. Кое-что имело смысл. Исключение Новой Зеландии из пути размножения придавало большее значение политическому заявлению червя.
Когда червь WANK проникал в компьютерную систему, он начинал рассылать свои копии на другие машины. Он двигался по сети. Войдя в компьютер, червь осматривался вокруг в поисках путей распространения. Его интересовало число компьютерных учетных записей (аккаунтов) с привилегиями. Нужен был аккаунт по крайней мере уровня пользователя.
Система VMS имеет аккаунты с различными уровнями привилегий. Владелец высокопривилегированного аккаунта мог, например, читать электронные письма других компьютерных пользователей или удалять файлы из директорий пользователей. Ему позволено создавать новые учетные записи или восстанавливать заблокированные аккаунты. Привилегированный пользователь мог также сменить чей-нибудь пароль доступа. Люди, следящие за работой компьютерных систем, должны обладать аккаунтами наивысшего уровня привилегий. Червь специально искал подобные учетные записи, потому что его создатель знал какую власть они содержат.
Червь был шикарный, он обучался по мере распространения. Червь создавал список часто используемых имен учетных записей. Сначала он пытался скопировать список компьютерных пользователей системы, которую он намеревался захватить. Не всегда это было возможно, но часто компьютерная безопасность была настолько слабой, чтобы это можно было сделать без проблем. Червь сравнивал этот список со списком пользователей на текущем хосте. Когда червь находил соответствие - одинаковые имена аккаунтов в обоих списках, он добавлял имя к главному списку общеупотребительных имен, с пометкой попытатся подключиться к этому аккаунту в будущем.
Это был умный метод атаки, поскольку создатель червя знал, что аккаунты с высшими привилегиями имели обыкновение быть со стандартными именами, повторяющимися для разных машин. Аккаунты с именами "SYSTEM", "DECNET" и "FIELD" и стандартными паролями, такими как "SYSTEM" и "DECNET", часто встраивались в компьютер перед его отправкой с завода. Если админ не менял предустановленный аккаунт и пароль, то это была здоровенная дыра в безопасности, только и ожидающая, чтобы ее использовали.
Создатель червя мог предположить некоторые из этих заводских аккаунтов, но не все из них. Обеспечивая червю способность к обучению, он давал ему дальнобойное оружие. По мере распространения червь становился все более умным. Его потомство было еще более приспособлено для взлома систем.
Когда МакМахон занимался препарированием одного из червей он был впечатлен тем, что увидел. Изучая внутренности червя, он обнаружил огромный потомственный список привилегированных аккаунтов со всей сети SPAN. Червь пробовал не только стандартные привилегированные аккаунты VMS, он запоминал аккаунты обычные для НАСА, но не необходимые для других компьютеров VMS. Например, многие области НАСА используют TCP/IP мэйлеры, для которых необходимы аккаунты POSTMASTER или MAILER. Джон видел, что эти имена появились в списках потомков червя.
Даже проникая в непривилегированный аккаунт, червь использовал его как инкубатор. Червь размножался и атаковал другие компьютеры в сети. Продолжая разгребать код червя, надеясь обнаружить, что он делал в полностью привилегированном аккаунте, МакМахон нашёл другие подтверждения черного чувства юмора автора. Часть червя, подпрограмма, была озаглавлена "find fucked".
Команда SPAN пыталась передавать звонившим админам всю информацию, которую они узавали о черве. Это был лучший способ помочь компьютерным админам восстановить ощущение контроля над кризисом.
МакМахон тоже пытался успокоить звонивших и посредством специально составленных вопросов определить степень контроля червя над их системами. Сначала он спрашивал о симптомах, проявляемых системой. В конце концов, в критической ситуации когда вы держите молоток, все вокруг выглядит как гвоздь. МакМахон хотел быть уверенным, что проблемы в системе вызваны червем, а не чем-то еще.
Если вся проблема заключалась в мистических комментариях, загорающихся посреди экрана, МакМахон заключал, что, возможно, червь беспокоил компьютерных пользователей из соседней захваченной системы. Это означало, что атакуемый аккаунт не взломан червем. Пока.
Машины VAX/VMS имеют сервис под названием телефон, который используют для онлайн коммуникаций. Например, ученый НАСА мог 'позвонить' своим коллегам на других компьютерах для дружеской онлайн беседы. Разговор этот живой, но производится он посредством экрана и клавиатуры. При помощи VMS-телефона червь и посылал пользователям сообщения. Он просто звонил им по протоколу телефона. Но вместо начала сессии чата червь посылал сообщения из файла Fortune Cookie file - коллекции из 60-и специально приготовленных комментариев.
В некоторых случаях, когда червь действительно подслушивал пользователей, МакМахон предлагал админам отключить функцию компьютерного телефона. Некоторые админы сопротивлялись, но МакМахон выдвигал ультиматум: жизнь или телефон. Большинство выбирало жизнь.
Когда МакМахон закончил предварительный анализ у него были хорошие и плохие новости. Хорошими новостями было то, что вопреки сообщениям червя, он не удалял файлы пользователей НАСА. Червь только притворялся. Это была только шутка, чтобы причинить ученым НАСА головную боль и страдания. Иногда сердечный приступ.
Плохой новостью было то, что когда червь получал контроль над привилегированным аккаунтом, он помогал своему создателю совершить еще более серьезный взлом НАСА. Червь искал аккаунт FIELD, созданный заводскими работниками, и, если он был отключен, включал аккаунт и устанавливал пароль FIELD. Червь также был запрограммирован на изменение пароля от стандартного аккаунта DECNET на случайным образом взятую строку из по меньшей мере 12 символов. Короче говоря, червь пытался открыть черный ход в систему.
Червь посылал информацию о взломанных аккаунтах на подобие электронного почтового ящика - аккаунт GEMPAK на узле 6.59 сети SPAN. Возможно хакер, создавший червя, собирал с этого почтового ящика информацию, которая могла быть использована для взлома аккаунтов НАСА в будущем. Неудивительно, что ящик был "позаимствован" хакером к большому удивлению настоящего владельца.
Хакер создавал новый набор проблем. Хотя червь мог взломать новые аккаунты с гораздо большей скоростью, чем один хакер, он был более предсказуем. Как только команда SPAN исследует червя, они будут знать что червь собирается сделать. Но хакер был крайне непредсказуем.
МакМахон осознавал, что уничтожение червя не решит проблему. Все сисадмины НАСА и DOE вынуждены будут изменить все пароли аккаунтов, использованых червем. Они также должны будут проверить каждую систему на предмет черных ходов, оставленных для хакера. Админ должен будет закрыть все черные ходы - немалый подвиг.
Команду SPAN действительно испугало, что червь так стремительно прорывался сквозь сеть НАСА, просто использовав примитивнейшую из атак: имя пользователя эквивалентно паролю. Он получал полный контроль над компьютерами НАСА, просто набирая в запросе пароля то же, что и в имени пользователя аккаунта.
Команда SPAN не могла поверить в это, но свидетельства были подавляющими.
Тод Батлер отвечал на звонок из одного отдела НАСА. Это был мрачный звонок. Он повесил трубку.
"Этот узел только что подвергся удару", сказал он команде.
"Насколько плохо?", спросил МакМахон.
"Привилегированный аккаунт."
"Ох", МакМахон прыгнул за один из терминалов и набал SET HOST, входя в удаленную машину НАСА. Неудачно. Назад пришло сообщение. "Ваша система официально WANKed"
МакМахон повернулся к Батлеру. "В какой аккаунт он проник?"
"Они думают что в SYSTEM"
Напряжение сводилось к черному юмору. Команда ничем не могла помочь. Глупость ситуации была очевидна и она походила на черную комедию.
Этот сайт НАСА имел пароль SYSTEM для их полностью привилегированного аккаунта SYSTEM. Это было так незабываемо. НАСА, самая большая коллекция технических штучек на Земле, имело такую слабую компьютерную защиту, что какой-то компьютерно-грамотный тинейджер смог взломать так много.
Первое, чему учили системных администраторов в "101 совете по компьютерной безопасности" - никогда не использовать имя пользователя в качестве пароля. Это было настолько наивно, что мог попасться компьютерный пользователь, ... но не системный администратор с полностью привилегированным доступом.
Был ли хакер злобным? Вероятно нет. Иначе он запрограммировал бы червя на уничтожение файлов НАСА.
Червь был менее инфекционен, чем того желал его автор. Червь WANK имел инструкции на выполнение нескольких задач, которые почему-то не выполнялись. Важные части червя просто не работали. МакМахон верил, что это было случайно. Например, его анализ показал, что червь был запрограммирован на взлом аккаунтов не защищенных паролем. Когда он дизассемблировал червя, то обнаружил, что эта часть программы работала некорректно.
Тем не менее фрагментированный и частично дисфункциональный червь WANK был главной причиной кризиса внутри нескольких правительственных агентств США. Джона беспокоила мысль: что мог сделать с таким вирусом закаленный программист DHL с многолетним опытом экспериментов с VMS. Кто-нибудь вроде него мог сделать множество злонамеренных повреждений. А что если червь был только проверкой чего-то более серьезного? Страшно было подумать.
Даже если червь WANK не был преднамеренно злым, команда SPAN стояла лицом к лицу перед жесткими переменами. Анализ МакМахона открывал еще более волнующие аспекты червя. Если он проникал в привилегированный аккаунт SYSTEM, он блокировал все электронные послания администратору. Офис SPAN не мог послать захваченным системам электронное предупреждение или совет как вести себя. Эта проблема усиливалась недостатком информации в офисе SPAN о присоединеных к SPAN системах. Единственный путь помочь людям в борьбе - позвонить им, но во многих случаях в главном офисе SPAN не знали куда звонить. Команда SPAN могла только надеяться, что администраторы, у которых был телефон офиса SPAN, сами позвонят, когда их системы будут атакованы.
Предварительное заключение МакМахона об ущербе, нанесенном червем, строилось на интуиции. Но невозможно было измерить сколько ущерба могут нанести своим системам сами администраторы.
Один ужасный компьютерный администратор отказался верить Джону, что червь только симулировал стирание данных. Он говорил, что червь не только атаковал его систему, он стер ее. "Он не поверил нам, когда мы сказали что червь был только практической шуткой", сказал МакМахон. "Он переустановил систему". Переустанавливая систему, он удалил с инфицированной машины все данные НАСА. Он сам сделал то, что червь только замышлял.
Печальной иронией было то, что команда SPAN никогда не получит копию данных с его системы. И никогда не сможет подтвердить, что его машина была заражена.
Весь вечер МакМахон бегал взад-вперед между ответами на бесконечно звонящие телефоны SPAN и разработкой анализа червя. Он послал Кевину Оберману зашифрованное электронное сообщение об атаке. Сообщение было зашифровано, потому что никто не мог сказать был ли создатель червя в сети, высматривая и выжидая. Некоторое время спустя МакМахон и Оберман разговаривали по телефону, обсуждая идеи и сверяя результаты анализов червя.
Ситуация была обескураживающей. Даже если МакМахон и Оберман могли разработать программу для уничтожения червя, команда SPAN НАСА стояла перед более серьёзной задачей. Передать программу-киллера на все атакованные узлы оказалось намного сложнее, чем предполагалось, т.к. не существовало карты сети. Многие люди в НАСА не любили идею централизованной карты систем SPAN. Незадолго до нападения один администратор пытался составить карту сети, но это вызвало столько тревоги, что его уволили.
Поиски этого администратора были затруднены отсутствием информации о его новой работе.
"Нет, он работал здесь, но уволился около года назад".
"Нет, у нас нет телефонов людей, которым нужно звонить, если что-нибудь произойдет с компьютерами."
Это то, что Джон услышал на другом конце провода.
Сеть превратилась в хаотичную мешанину с небольшим координационным центром. Хуже того, большое число компьютеров в разных центрах по всем США были подключены к SPAN без сообщения об этом в главный офис в Годдарде. Люди звонили в кризисный центр из узлов, у которых даже не было названия. Эти люди занимались тем, что в кругах компьютерной безопасности известно как "защита через мрак". Они считали, что если никто не знал о существовании их сети, то она защищена от хакеров и тому подобных компьютерных злодеев.
МакМахон получал огромное число звонков от системных администраторов со словами: "Что-то странное происходит в моей системе". Наиболее простой вопос Джона был: "Откуда вы?". И конечно, если офис SPAN не знал о существовании системы, то было намного сложнее предупредить администраторов о черве. Или сказать им как обезопасить себя. Или сразу дать им антивирусную программу, когда ее разработают. Или помочь изолировать аккаунты, которые червь отсылал своему создателю.
Это был такой промах. Время от времени МакМахон садился и размышлял о том, кто создал этого червя. Казалось, что червь был запущен до того как был закончен. Его автор или авторы, похоже, имели хорошую коллекцию интересных идей, но они не были реализованы должным образом. Червь содержал процедуру для модификации стратегии атаки, но она не была полностью разработана. В коде вируса имелись ошибки, гарантирующие ему невозмажность выжить втечение долгого периода времени. И вместе с паролями червь забывал отсылать в почтовый ящик хакера адреса взломанных машин. Что было по-настоящему сверхестественно. Что можно было делать с паролями и именами аккаунтов, не зная в какой системе они используются?
С другой стороны, возможно, создатель сделал это преднамеренно. Возможно, он только хотел показать миру как много компьютеров червь смог захватить. И почтовая программа червя служила для этой цели. Однако включение адресов инфицированных компьютеров сделало бы работу админов проще. Они могли бы просто использовать коллекцию адресов из ящика GEMPAK, чтобы узнать какие компьютеры нужно обезвредить. Таких теорий было бесчисленное множество.
В черве было несколько блестящих моментов, некоторые вещи, которые МакМахон никогда не смог раскрыть. Они были внушительны, червь знал огромное количество способов проникновения в компьютеры VMS. В черве был заложен значительный творческий потенциал, но не было никакой последовательности. После инцидента с червем различные эксперты по компьютерной безопасности предположили, что червь WANK был написан более, чем одним человеком. Но МакМахон придерживался взгляда, что это была работа одного хакера.
Похоже, что создатель червя последовательно разрабатывал одну идею, но время от времени отвлекался на посторонние вопросы и прерывал работу. Внезапно он останавливался в написании кода и продолжал новую идею по другому пути, никогда не доводя ее до конца. Получалась шизофреничная структура программы. И это было повсеместно.
МакМахон задавался вопросом: делал ли автор это специально, чтобы усложнить понимание действий червя? Может быть он думал, что код был слишком понятен и прямолинеен.
Оберман придерживался другого взгляда. Он думал, что изменчивый стиль программирования в разных частях программы был оттого, что разработкой червя занималось несколько человек. Он знал, что когда программист пишет код, он не делает множество мелких изменений в стиле программы без всякой причины.
Кевин Оберман и Джон МакМахон срывали идеи друг у друга. Оба разрабатывали свой собственный анализ. Оберман подключил к процессу Марка Калетку, администратора внутренней сети лаборатории Ферми, одного из крупнейших сайтов в HEPNET. Червь содержал большое число уязвимых мест, но проблема стояла в нахождении одного, которое могло быть использовано для защиты компьютеров, и побыстрее.
Всякий раз, когда машины VMS запускают какой-нибудь процесс, компьютер даёт ему имя. Когда червь пролезал в компьютер то первое, что он делал - проверял, работала ли на компьютере какая-нибудь другая его копия. Процесс червя всегда был под именем NETW_ с последовательностью 4-х случайных цифр. Если пришедший червь обнаруживал это имя процесса, то предполагал, что другая копия червя уже запущена и самоуничтожался.
Антивирус, наверное, был похож на утку для приманки. Оставалось только написать программу, которая будет маскироваться под червя, и запустить ее на всех компьютерах НАСА. Первая анти-WANK программа так и делала. Она тихо сидела целый день на компьютерах SPAN под именем процесса NETW_XXXX, фальсифицируя реального червя.
Оберман первым сделал анти-WANK программу и отослал её МакМахону. Она работала хорошо, но МакМахон заметил один большой недостаток. Программа Обермана проверяла процессы на имя NETW_, но предполагалось, что червь работал в группе SYSTEM. Во многих случаях это было так, но не всегда. Если червь действовал в другой группе, программа Обермана была бесполезна. Когда МакМахон указал на промах, Оберман подумал: "Бог мой, как я это пропустил?"
МакМахон работал над своей версией программы анти_WANK, основанной на обермановской программе, готовя ее для запуска в НАСА.
В это же время Оберман пересматривал свою анти-WANK программу для DOE. Ночью в понедельник Оберман уже был готов разослать первую копию вакцины вместе с электронным предупреждением о черве. Часть первого электронного предупреждения CIAC содержала следующее:
/////////////////////////////////////////////////////////////////////////
Консультанты по компьютерным инцидентам CIAC
Замечания
Червь W.COM атакует VAX VMS системы
16 октября 1989 18:37
Имеется ошибка, способная привести к большим повреждениям.
После уведомления (по электронной почте) о каждом
успешном проникновении и образовании черного хода (аккаунта FIELD),
уже недостаточно исправления этой ошибки. Вы должны быть уверены,
что все аккаунты имеют пароли, отличные от их имен.
Кевин Оберман.
Замечания
Червь атакует сеть НАСА SPAN через системы VAX/VMS, подключенные к DECNET. Пути распространения червя не проверены. Он может распространиться в другие системы, такие как HEPNET DOE, в течении нескольких дней. Администраторы систем VMS должны быть начеку.
Цель червя - машины VMS. Для распространения чеврь использует две особенности DECNET/VMS. Первая - дефолтовый аккаунт DECNET, который используется для анонимных пользователей, не имеющих своего логина и ID. Он использует аккаунт DECNET для копирования на машину, и затем использует особенность DECnet 'TASK 0' для удаленного запуска копии. Червь содержит другие средства, включая атаку brute-force.
Как только червь проникает в систему, он заражает .com файлы и создает дырки в безопасности. Похоже он передает информацию о дырках во внешний мир. Он может повредить файлы неумышленно или иначе.
Анализ червя, представленный ниже, принадлежит Кевину Оберману из Лоуренс Ливерморской национальной лаборатории. Включен анализ программы DCL, которая блокирует настоящую версию червя. Существует по крайней мере 2 версии червя и могут появиться новые. Эта программа должна дать вам достаточно времени, чтобы закрыть очевидные прорехи в безопасности. Написана более полная программа DCL.
Если ваша машина была атакована, просьба позвонить в CIAC для подробностей...
Сообщение о черве W.COM.
Кевин Оберман
Технический отдел
Лоуренс Ливерморская национальная лаборатория
16 октября 1989
Дальше описаны действия червя W.COM (основано на исследовании первых двух версий червя). Потомство слегка модифицируется и содержит имена атакованных аккаунтов и другую информацию.
Весь анализ проведен в большой поспешности, но я уверен, что все начальные факты верны. Сначала описание программы:
1. Программа предполагает, что она имеет полный доступ к рабочей директории (чтение, запись, выполнение и удаление).
2. Программа проверяет активность другой копии. Она работает как процесс NETW_XXXX. Если такой процесс найден, программа удаляет все свои файлы и завершает свой процесс.
Замечания
Для быстрой проверки на инфекцию поищите процесс, начинающийся с 'NETW_'. Это можно сделать командой SHOW PROCESS.
3. Затем программа изменяет пароль дефолтового аккаунта DECNET на строку из по меньшей мере 12 случайных символов.
4. Информация о пароле для доступа в систему отсылается пользователю GEMTOP на узле 6.59 SPAN. Некоторые версии могут содержать другой адрес.
5. Процесс изменяет название на NETW_XXXX.
6. Червь проверяет привилегию SYSNAM. Если она имеется, то червь изменяет системное приглашение на баннер из программы:
W O R M S A G A I N S T N U C L E A R K I L L E R S _______________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \___________________________________________________/ \ / \ Your System Has Been Officically WANKed / \_____________________________________________/ You talk of times of peace for all, and then prepare for war.
7. Если имеется привилегия SYSPRV, он отключает почту аккаунту SYSTEM.
8. Если имеется привилегия SYSPRV, червь заменяет команду login на процедуру имитации удаления всех файлов пользователя. (По-настоящему он ничего не делает).
9. Программа сканирует доступные команды аккаунта и пытается изменить пароль аккаунта FIELD и его привилегии. Это примитивный вирус, но очень эффективный, если получит привилегированный аккаунт.
10. Он пытается продолжить распространение на другие узлы, взятые случайным образом. Затем используется PHONE (телефон) для получения списка активных пользователей на удаленной системе. И начинает беспокоить их, используя PHONE.
11. Затем программа пытается получить доступ к файлу RIGHTLIST и пытается проникнуть на удаленную систему, используя имена пользователей из этого файла и имена из списка "стандартных" пользователей в файле червя.
12. Червь ищет аккаунт, имеющий доступ к SYSUAF.DAT.
13. Если найден привилегированный аккаунт, программа копируется в него и запускается. Если найден непривилегированный аккаунт, червь копируется с него в другие аккаунты, найденные на системе, взятой случайным образом.
14. Завершив эти действия червь пытается проникнуть на другую систему, взятую случайным образом (и так до бесконечности).
Ответ:
1. Следующая программа блокирует червя. Распакуйте следующий код и запустите. Она использует минимум ресурсов. Создается процесс с именем NETW_BLOCK, который предотвратит распространение червя.
Замечание: Она работает только для текущей версии червя.
Мутированные черви требуют модификации кода. Однако, эта программа
тормозит распространение червя на достаточное время, чтобы можно было
успеть обезопасить вашу систему.
///////////////////////////////////////////////////////////////////////
Программа анти-WANK МакМахона также была готова в этот понедельник, но образовались задержки в передаче ее из НАСА. Работа в НАСА была тонкой, подобно балету. Требовалось осторожно преодолеть официальные процедуры, остерегаясь как бы бюрократы не отдавили вам пальцы. Прошло несколько дней, прежде чем вышел официальный релиз программы анти-WANK.
В DOE не обошлось без подобных проволочек. В 17:04 17 октября Кевин Оберман заканчивал последний параграф своего отчета по червю, когда под ногами задрожал пол. Все здание сотрясалось. Кевин Оберман находился в эпицентре землетрясения в Сан-Франциско 1989 г.
Измеряемое в 7.1 балла по шкале Лома Прайета, землетрясение с дикой скоростью распространилось по великой Сан-Франциской равнине. В компьютерной лаборатории Оберман готовился к худшему. Как только толчки пректратились, он убедился, что здание устояло и сел обратно за терминал. Под рев сирены и голос, требовавший всему неосновному персоналу покинуть помещение, Оберман дописал последнее предложение отчета. Он остановился и добавил постскриптум, в котором написал, что если предыдущий параграф не содержит осмысленных слов, то это от большого землетрясения, прошедшего в Лоуренс Ливерморской Лаборатории. Он нажал на клавишу, отсылая финальный отчет по анти-WANK программе, и выбежал из здания.
Возвратимся назад в офис SPAN на побережье, в котором продолжалась помощь админам инфицированных узлов. Втечение недели список атакованных узлов неуклонно увеличивался. Официальные оценки масштабов атаки червя WANK были неопределенными, но журналы вроде "Network World" и "Computerworld" сообщали, что в космическом агентстве пострадало только небольшое число машин - около 60 машин VMS. Администратор безопасности SPAN Рон Тенкати подтвердил только 20 успешных проникновений червя, но другие источники называли другие цифры: от 250 до 300 машин. Каждый из этих компьютеров обслуживал 100 или больше пользователей. Числа были неполными, но возможно червь атаковал все 270000 аккаунтов, т.к. некоторые части сети были отключены в оффлайн, потому что снова и снова червь пытался зайти на их машины с инфицированных компьютеров. Под конец атаки офис SPAN собрал список атакованных машин, который в два столбца превысил два компьютерных экрана.
Также под конец кризиса компьютерные администраторы НАСА и DOE получили на выбор разные вакцины, антидоты и тестеры червя WANK. МакМахон разработал программу ANTIWANK.COM, которая уничтожала червя и вакцинировала систему от будущих атак, и WORM-INFO.TEXT, в котором содержался список симптомов заражения червем. Программа Обермана CHECK_SYSTEM.COM проверяла дыры в безопасности, используемые червем. У DEC также был патч от лазейки в аккаунте DECNET.
Независимо от конкретного числа инфицированных машин, конечно, червь облетел весь земной шар. Из компьютеров Годдарда в Мэриленде и Лаборатории Ферми в Чикаго он достиг европейских сайтов, таких как CERN - Европейский Центр Ядерных Исследований в Швейцарии, и перешел через Тихий Океан в Японию.
НАСА официально сообщило медиа, что червь был запущен около 4:30 в понедельник 16 октября. Они были уверены, что атака была организована в Европе, возможно во Франции.
Среда 18 октября 1989
Космический центр Кеннеди, Флорида
Утром в среду у 5-местного Атлантиса были плохие новости. Синоптики давали 40% вероятности благоприятной для запуска погоды. В основном прогнозе были дождь и облака. И предвещалось землетрясение в Калифорнии.
Космический центр был не единственным местом, в котором перед запуском шла работа в максимальном напряжении. Запуск зависел от многих других мест вне Флориды. Туда входили База ВВС Эдвардс в Калифорнии, куда должен будет приземлиться шаттл. Другие военные базы, необходимые для слежения за шаттлом и других целей миссии. Одним из таких мест был центр слежения на базе ВВС Онизука в Саннивале, Калифорния. Землетрясение, прошедшее через залив, повредило станцию слежения и должностные лица НАСА планировали встретиться утром в среду, чтобы обсудить ситуацию на станции в Саннивале. До этого момента космическое агентство сохраняло внешнее спокойствие. Не смотря на технические проблемы, судебные вызовы и протестантов, причудливую погоду, стихийные бедствия и червь WANK, НАСА держало ситуацию под контролем.
"Было несколько повреждений, но мы не знаем насколько они значительны. Первые данные позитивны", говорил спикер НАСА ЮПИ. "Но у нас есть несколько проблем". В Пентагоне спикер Рик Оборн также уверял публику: "Они готовы отслеживать шаттл и обеспечивать поддержку миссии... Они готовы делать свою работу."
Готовый к отправке Атлантис ждал на площадке запуска 39В. Техники заправили шаттл ракетным топливом и казалось, что погода могла ещё продержаться. Была небольшая облачность, но метеоусловия соответствовали требованиям НАСА.
Астронавты вошли в шаттл. Все были на местах.
Но пока погода благоприятствовала Флориде, имелись некоторые проблемы на полосе для аварийной посадки в Африке. И не одна проблема, были и другие. НАСА объявило 4-хминутную задержку.
Наконец в 12:54 Атлантис стартовал. Поднимаясь над Центром Кеннеди, выбрасывая следы пламени из гигантских твердотопливных бустеров, шаттл достиг верхних слоев атмосферы и вылетел в космос.
В 19:15, ровно через 6 часов 21 минуту после запуска, Галилео начал свое одиночное путешествие в космосе. И в 20:15 бустеры Галилео зажглись.
Внутри рубки управления миссией спикер НАСА Брайан Велч объявил: "Космический корабль Галилео... достиг второй космической скорости".
Понедельник 30 октября 1989
Центр космических полетов Годдарда НАСА. Гринбелт, Мэриленд.
Неделя с 16 октября была одной из самых длинных для команды SPAN. 24 часа, весь день напролет, они имели дело с истеричными людьми. До сих пор они управляли рассылкой копий анти-WANK'а, несмотря на ограничения в записях SPAN и недостаток логов для восстановления траектории червя. "За эту неделю мы поняли, как много информации не собрано", заключил МакМахон.
В пятницу 20 октября уже не было сообщений об атаке червя. Похоже кризис миновал. Команде SPAN можно было отдохнуть и МакМахон мог вернуться к своей работе.
Неделя прошла. Тем не менее, все это время МакМахон был на готове. Он сомневался, что кто-то, преодолевший столько трудностей в создании червя, позволит своему детищу быть уничтоженным так быстро. Стратегия подсадной утки будет работать, пока червь будет сохранять имя процесса NETW_, пока он будет запрограммирован не активироваться на уже инфицированной машине. Стоит изменить имя процесса или отучить червя от самоуничтожения и команда SPAN окажется перед еще большей проблемой. Джон МакМахон чувствовал, что червь должен вернуться.
Его предчувствия подтвердились.
В следующий понедельник МакМахон получил звонок из офиса SPAN. Он заглянул в офис своего босса - Джерома Беннета.
"Все повторяется", сказал ему МакМахон. "И нет необходимости спрашивать о чем я. Я отправляюсь в офис SPAN".
У Рона Тенкати и Тода Батлера уже была приготовлена новая копия червя WANK. Эта версия червя была более ядовитой. Он копировал себя намного эффективнее, поэтому распространение по сети шло намного быстрее. Защита червя была более высокой, намного выше чем в первой реализации червя. Телефоны зазвонили снова. Джону позвонил один сердитый админ и выдал тираду: "Я запустил вашу программу анти-WANK, следуя вашим инструкциям, и посмотрите что произошло!"
Червь изменил имя своего процесса. Он также был сконструирован на выслеживание и уничтожение программы анти-WANK. Сеть SPAN превращалась в более кровавое поле сражений. Червь не только уничтожал анти-прогу, он также уничтожал другие копии червя WANK. Даже если МакМахон изменит имя процесса своей программы, стратегия подсадной утки не cработает.
В новой версии червя имелись другие тревожные усовершенствования. По предварительной информации он изменял пароли всех аккаунтов, в которые входил. Это была проблема. Но он не только изменял пароли привилегированных аккаунтов. Новый червь мог блокировать системных администраторов в своих системах.
Администратор, которому было отказано в собственном доступе, мог попытаться подключиться к аккаунту среднего пользователя, скажем Эдвина. Но аккаунт Эдвина скорее всего имеет низкие привилегии. Даже в руках квалифицированного системного администратора возможностей аккаунта Эдвина будет недостаточно, чтобы уничтожить червя с его новым администраторским статусом. Администратор мог потратить целое утро, соревнуясь с червем в остроумии с неравных позиций обычного пользователя. В конце он прийдет к неизбежному решению: выключить всю систему.
Администратор должен перезагрузить машину. Восстановить начальную конфигурацию. Восстановить пароль, измененный червем. Выйти из системы. Восстановить некоторые переменные. Снова перезагрузить машину. Закрыть дыры в безопасности, оставленные червем. Изменить пароли, одинаковые с именами пользователей. Холодный пуск большой машины VMS займет много времени. Все это время астрономы, физики и инженеры, работающие в офисах НАСА, останутся без возможности использовать свои компьютеры.
В этот раз команда SPAN была больше подготовлена к червю. Они ожидали повторения атаки. Информация о сети была обновлена. Сообщество DECNET знало о черве и было во всеоружии, насколько это было возможно.
Помощь пришла от системного администратора во Франции. Из страны, которая проявляла особенный интерес к автору червя. Администратор Бернард Перрот из Института Физики Ядра в Орсее обнаружил копию червя, исследовал ее и обнаружил существенную ошибку. Это была ахилесова пята червя.
Червь был запрограмирован на использование базы имен RIGHTLIST, списка имен аккаунтов на компьютере. А что, если кто-нибудь переименует базу данных и оставит под этим именем файл-куклу? По теории, червь должен будет идти по этому файлу, который может быть сконструирован так, чтобы содержать в себе скрытую бомбу. Когда червь стащит куклу и пойдет вслед за ней, то попадет в ловушку, взорвется и умрет. Если это сработает, команда SPAN не будет зависеть от самоуничтожения червя, как в первой реализации антивируса. Они уничтожили бы его самостоятельно.
Рон Тенкати получил копию анти-WANK программы французского администратора и дал ее МакМахону, который устроил нечто вроде лабораторного мини-эксперимента. Он вырезал отделные части червя. Это даст ему возможность протестировать французскую программу с маленьким риском повреждений. Программа работала убедительно. Новая версия червя была более живучей и борьба с ней заняла больше времени, чем в первый раз. Наконец, почти через 2 недели после второй атаки червь WANK был полностью уничтожен в SPAN.
По оценке МакМахона червь WANK принес пол миллиона долларов убытков. Большинство из них - затраты времени и ресурсов на поимку червя вместо выполнения обычной работы. Червь, по его мнению, был преступлением вроде воровства. "Время людей и ресурсы были потрачены впустую", сказал он. "Это не было результатом несчастного случая. Кто-то преднамеренно решил нанести ущерб."
"Вообще, я поддерживаю судебное преследование людей, врывающихся в чужие машины ради забавы. Люди похоже не понимают побочных эффектов этого и имеют всякого рода заблуждения. Они думают, что ворвавшись в чужую машину и ничего не трогая, они ничего не совершают. Это не так. Вы бесцельно тратите время людей. Люди вынуждены сидеть в офисах допоздна, вынуждены писать отчеты. Поднимается много крика и шума. И вам приходится иметь дело с силами правопорядка. Это побочные эффекты чьего-то желания повеселиться, ворвавшись в чужую систему, даже если не было умысла навредить. Кто-то должен будет платить по счетам."
МакМахон так и не нашел того, кто создал червя WANK. Он даже не узнал с какой целью червь был запущен. Мотивы создателя не были чисты и, если они были вдохновлены политически, никто не взял на себя ответственность.
Червь WANK оставил множество вопросов без ответов и множество ниточек, которые озадачивают МакМахона. Действительно ли хакер протестовал против запуска Галилео на плутониевой энергии? Означало ли использование слова WANK, скорее всего не американского слова, что создатель не был американцем? Почему создатель изменил червя и запустил его во второй раз? Почему ни одна политическая или другая группа не взяла на себя ответственность за червя WANK?
Одна из многих загадочных деталей содержалась в версии червя для второй атаки. Создатель изменил имя процесса червя на новый, чтобы обезоружить анти-WANK программу. МакМахон думал, что первоначальное имя процесса "netwank" раскрывало первоначальное назначение червя. Новое имя процесса ставило в тупик: оно не было ни на что похоже. Символы были как-будто инициалами чьего-то имени. Никто не распознал в нем акроним какого-либо высказывания или организации. И, конечно, оно не было надлежащим словом в английском языке. Было загадочной тайной почему хакер, вторгшийся в сотни компьютеров НАСА, выбрал это слово.
Слово было 'OILZ'.
[22213]
|
|