A hörcsögök egy meglehetősen kellemetlen esemény évfordulóját ünnepelték - a Morris féreg 20 éves lett.
A web elleni első nagy támadás következményeit értékelve meg kell jegyezni, hogy a Morris féreg súlyos figyelmeztetésként szolgált az internetes mérnöki közösség számára. Világosan bemutatta a szoftverhibák súlyos veszélyeit, és a hálózatbiztonsági kérdéseket a kutatás és a gyakorlati fejlesztés fontos területévé tette.
„Igazán nagy esemény történt” – mondta Eric Allman. 1981-ben, a Kaliforniai Egyetem Berkeley-i hallgatójaként Allman kifejlesztette a sendmailt, egy nyílt forráskódú programot, amely email Internet. Jelenleg a program kereskedelmi verzióit árusító Sendmail tudományos igazgatói posztját tölti be.
„Az internet akkoriban nagyon kicsi volt, és egyfajta érdeklődési klubnak számított” – magyarázta Allman. - A Morris által végrehajtott támadás után világossá vált, hogy bizonyos részét a látogatók nem biztos, hogy a legjobb szándékkal jönnek ebbe a "klubba". Rájöttünk, hogy sürgősen gondolkodnunk kell a biztonságon.”
A féreg egyértelmű hatásmechanizmusa és a körülötte feltámadt hatalmas zaj ellenére egyesek azzal érvelnek, hogy abban az időben nem értékelték azonnal.
"A legérdekesebb lecke, amit a Morris féreg tanított nekünk, az volt, hogy a leletek milyen rövid életűek és jelentéktelenek voltak" - mondta Steve Bellovin, a Columbia Egyetem professzora, aki 1988-ban a Bell Labs-nál dolgozott az első tűzfal megépítésén. „Az emberek láthatták a szoftverhibák jelentette veszélyt, de ezt követően senki sem fordított komoly figyelmet a hálózatbiztonsági kérdésekre. Ez a 90-es évek közepéig folytatódott, és ezt követően számos további nehézséget okozott.
Ezt a történelmi férget a Cornell Egyetem hallgatója, Robert Tappan Morris írta, akit az eset következtében számítógépes csalással vádoltak meg. Ma Morris a Massachusetts Institute of Technology elismert adjunktusa.
1988. november 2-án körülbelül 18:00 órakor indult el, és a féreg blokkolta az internethez kapcsolódó rendszerek körülbelül 10%-át. Összesen több mint 60 000 számítógép csatlakozott ekkor az interneten keresztül.
A Morris féreg egy önszaporító program volt, amely kihasználta számos népszerű segédprogram ismert gyengeségeit, beleértve a sendmailt, amely az e-mailek továbbításáért volt felelős, és a Fingert, amely lehetővé tette, hogy megtudja, mely felhasználók Ebben a pillanatban internetes munkamenetet kezdeményezett.
A Morris féreg képes volt beszivárogni a Unix különféle ízeit futtató rendszerekbe. Az interneten gyorsan haladva a féreg elterjesztette új példányait, ismételten megfertőzve a számítógépeket, ami számos rendszer működési meghibásodásához vezetett.
„Először fogalmunk sem volt, honnan származhat a fenyegetés” – emlékezett vissza Allman. - Teljesen egyértelmű volt, hogy ezt szándékosan csinálták, de nem tudtuk kideríteni, ki és miért tette ezt. Pánik tört ki, ami a körülmény sajnálatos természete ellenére érthető volt.”
A támadás hosszú ideig blokkolta a normális Internetes munka, kényszerítve egész sor szervezetek, köztük a Pentagon, a további fertőzések elkerülése érdekében lezárták internetes átjáróikat.
"Az emberek azért szakadtak le az internetről, mert féltek a lehetséges negatív következményektől" - mondta Allman. - A Hálózatról való lekapcsolás azonban megzavarta a legfontosabb kommunikációs csatornák működését. Ezért tartott sokáig a status quo helyreállítása.”
Abban az időben, amikor a Morris féreg úton volt, még nem léteztek kereskedelmi internetes forgalom és webhelyek. Az áldozatok a kormányzati kutatási részlegekre, egyetemekre és számos olyan vállalatra korlátozódtak, amelyek az internetet használták fájlátvitelre és e-mailek cseréjére. Ennek ellenére a támadásról hírek jelentek meg vezető kiadványokban, különösen a The New York Times-ban.
"A Morris féreg volt az oka annak, hogy sokan először hallottak az internet létezéséről" - mondta Bellovin. - A legtöbb számára a web egy új, furcsa és idegen világgal társult... és hirtelen kiderült, hogy egyetlen betolakodó is véget vethet ennek a világnak. Ismétlem, a számítógépes témák szűk szakemberei kivételével senki sem tudott gyakorlatilag semmit az internetről.
Egyesek számára a Morris féreg megjelenése fordulópontot jelentett a karrierjében. Eugene Spafford ebben az időben a Purdue Egyetem vezető oktatójaként dolgozott. Ma Spafford az Oktatási és Kutatási Központ ügyvezető igazgatója információs támogatásés biztonság a Purdue Egyetemen. Az internetbiztonság elismert nemzetközi szaktekintélye.
"Azt mondták nekem, hogy az alkalmazott számítógépes biztonsági kutatásoknak nincs jövője" - mondta Spafford. - A Morris féreg megjelenése után pedig sokan hirtelen rájöttek, hogy a számítógépes rendszerek túlléptek a mainframe környezeten, ahol mindent ellenőrzés alatt tartottak, és most egy teljesen más biztonsági modellre van szükség. Korszerűbb mérnöki megoldásokat kell kínálni.”
Korábban a kutatók csak "hasznos" férgeket fejlesztettek ki, aminek köszönhetően automatikus telepítés szoftver frissítések, de még soha senki nem indított pusztító programot ellenőrizhetetlenül a Hálózatba.
A Morris féreg más figyelemre méltó támadások előfutára volt, köztük a Melissa, a Code Red és a Slammer férgek, amelyek mindegyike a Microsoft szoftvert futtató rendszereket célozta meg. Az utóbbi időben a férgek kevésbé gyakoriak, mint a vírusok és az e-mailek, amelyek rosszindulatú webhelyekre mutató hivatkozásokat tartalmaznak a szövegben.
"Valójában a férgek sokkal ritkábbak, mint a vírusok manapság" - mondta Allman. "És az átlagos felhasználó számára az adathalászat jelenti a legnagyobb veszélyt."
"NÁL NÉL utóbbi évek nem láttunk nagyarányú férgek támadásait, és ennek több oka is van” – magyarázta Bellovin. - Itt fontos szerepet játszott a hálózati címfordítási technológia és a személyes elterjedtsége tűzfalak megnehezítve a modern férgek behatolását, ahogyan a Morris féreg.
A Morris féreg elosztott szolgáltatásmegtagadási támadásokra számított, amelyeket a támadók arra használnak, hogy túlterheljék és elveszítsék a rendszereket az internetről.
"Ilyen nagy léptékű és egystádiumú fertőzést még soha nem regisztráltak" - mondta Spafford. - Valójában ez volt az első szolgáltatásmegtagadási támadás, amely felkeltette a számítástechnikával kapcsolatban álló emberek figyelmét. Ráadásul ez volt az első olyan esemény, amely egyszerre több gyártó platformját érintette. A Sun és a BSD Unix rendszereket egyszerre támadták meg, ami ritkaság. Általában csak egy platform a támadások célpontja."
Spafford a Morris féreg terjedését a mai botnetekkel hasonlította össze – olyan hálózatokkal, amelyek nagyszámú fertőzött számítógépet egyesítenek, és spam küldésére vagy elosztott DoS támadások szervezésére használják őket.
„A szoftver zombikká változtatja a rendszereket, és ezek a lassan terjedő férgek betöltik a botnetek sorát” – magyarázta Spafford. - Ezek a rendszerek nem okoznak szolgáltatásmegtagadást, hanem lassan továbbszivárognak, automatikusan továbbítják a kódjukat más gépekre. A botnetek már szó szerint több millió gépet irányítanak: egyes becslések szerint számuk eléri a 100 milliót.”
A Morris féreg azonnal levágta az internet meglehetősen nagy részét. Megjelenése igen figyelemre méltó esemény volt. Ezzel szemben napjaink internetes támadásai az egyes rendszerek ellen irányulnak, és szerzőik igyekeznek észrevétlenül maradni. Ha korábban a kíváncsi diákok saját önbecsülésük növelése érdekében törtek be rendszerekbe, akkor a modern vírusok egyre inkább bűnöző jellegűek, minden lehetséges módon elfedik jelenlétüket.
"Ma az internet elleni támadások célja a profitszerzés, és a web bizonyos szegmenseinek leállítása nem hoz semmilyen nyereséget" - magyarázta Bellovin. "Az új támadások kezdeményezése, a kifinomult támadók nagyon óvatosak."
A Morris féreg, bár követőihez képest jóval kevesebb kárt okozott, sokáig megmaradt a számítógépes közösség emlékezetében.
"A Morris féreg valójában a számítógépes biztonság hivatalos fejlődésének kezdetét jelentette" - mondta Allman. - Ezt megelőzően nagyon kevés szakember foglalkozott biztonsági kérdésekkel, emellett elsősorban a titkosítás témaköre érdekelte őket. A számítógépes biztonság fogalma csak a híres féreg megjelenése után került igazán külön kutatási területként.
Amerika megdöbbent, amikor 1988. november 2-án (Amerikában) szinte minden számítógép, amely hozzáfért az internethez, reggel nyolc óra körül, ahogy mondani szokás, "lefagyott". Eleinte az energiarendszer hibáinak tulajdonították. De aztán, amikor kitört a "Morris Worm" okozta járvány, világossá vált, hogy a terminálokat egy akkor még ismeretlen program támadta meg, amely a rendelkezésre álló eszközökkel nem dekódolható kódot tartalmazott. Nem meglepo! Az internetre kapcsolt számítógépek akkoriban még csak tízezres nagyságrendűek voltak (kb. 65 ezer terminál), és többnyire kormányzati körökben vagy önkormányzati szervekben voltak képviselve.
Morris féregvírus: mi ez?
Az ilyen típusú vírus az első volt a maga nemében. Ő lett az őse az összes többi ilyen típusú programnak, amelyek ma elég erősen különböznek az elődtől.
Robert Morris úgy hozta létre a „férgét”, hogy észre sem vette, milyen népszerű lesz, és mennyi kárt okozhat a gazdaságban. Általában úgy tartják, hogy ez, ahogy most mondják, pusztán sportérdek volt. De valójában az APRANET bevezetése az akkori globális hálózatba, amelyhez egyébként kormányzati és katonai szervezetek is kapcsolódtak, olyan sokkot okozott, amiből Amerika sokáig nem tudott kilábalni. Által előzetes becslések A Morris Worm számítógépes vírus 96,5 millió dollár kárt okozott (és ez csak a hivatalos forrásokból ismert összeg). A fenti összeg hivatalos. És amit nem vesznek figyelembe, az valószínűleg nem tartozik nyilvánosságra.
A "Morris Worm" számítógépes vírus megalkotója, Robert Morris: néhány tény az életrajzból
Rögtön felmerül a kérdés, hogy ki volt ez a zseniális programozó, akit sikerült megbénítani számítógépes rendszerÉszak-amerikai kontinens.
Ugyanez a tekintélyes "Wikipedia" forrás jelzi, hogy egy időben Robert a Cornell Egyetem R. T. Morris végzős hallgatója volt (véletlen vagy véletlen?), a Számítógép-mérnöki Karon.
A vírus keletkezésének és megjelenésének története
Úgy gondolják, hogy a vírus kezdetben semmilyen veszélyt nem tartalmazott. Fred Cohen a "Morris Worm"-ot tanulmányozta kb rosszindulatú kódokés egy érdekes tulajdonságot tárt fel benne. Kiderült, hogy ez egyáltalán nem rosszindulatú program.
A Morris Worm (bár ma a Pentagon javaslatára vírusnak számít) eredetileg az „intranet” alapú rendszerek sebezhetőségeinek tesztelésére készült (nem meglepő, hogy az APRANET felhasználók voltak az elsők, akik szenvedtek) .
Hogyan hat a vírus a számítógépes rendszerre
Maga Robert Morris (a vírus megalkotója) minden lehetséges módon tagadja az "agygyermeke" által az Egyesült Államokra gyakorolt következményeket, azzal érvelve, hogy magának a programnak a kódjában lévő hiba provokálta a hálózaton való terjedést. Tekintettel arra, hogy az egyetemen, azon belül is az Informatikai Karon szerezte tanulmányait, nehéz ezzel egyetérteni.
Tehát az úgynevezett "Morris Worm" eredetileg a nagy szervezetek (beleértve a kormányt és a hadsereget) közötti kommunikáció lehallgatására összpontosított. A hatás lényege az volt, hogy az APRANET hálózaton akkoriban küldött levél forrásszövegét lecserélték a fejlécek és a végződések eltávolítására Sendmail hibakeresési módban, vagy amikor a hálózati fingerd szolgáltatás puffere túlcsordult. Az új levél első része egy távoli terminálon összeállított kódot tartalmazott, a harmadik része pedig ugyanabból a bináris kódból állt, de különböző számítógépes rendszerekhez adaptálva.
Ezenkívül egy speciális eszközt használtak, amely lehetővé tette a bejelentkezési adatok és jelszavak kiválasztását távoli hozzáférés programok végrehajtására (rexec), valamint távoli értelmező (rsh) meghívására, amely parancs szinten az úgynevezett "bizalmi mechanizmust" használta (ma már inkább a tanúsítványokhoz kapcsolódik).
Terjedési sebesség
Mint kiderült, a vírus létrehozója egyáltalán nem volt hülye ember. Azonnal rájött, hogy minél hosszabb a kód, annál hosszabb ideig tart a vírus behatolása a rendszerbe. Éppen ezért a jól ismert "Morris Worm" tartalmazza a minimális bináris (de összeállított) kombinációt.
Emiatt ugyanaz a fellendülés következett be, amelyről ma már valamiért hallgatni szokás az állami titkosszolgálatok szintjén, bár az önmásolás veszélye szinte exponenciálisan terjedt (a vírus minden példánya kettő vagy több létrehozására is képes volt) saját analógjai).
Kár
Arra viszont senki sem gondol, hogy ugyanaz a biztonsági rendszer milyen károkat okozhat. Itt a probléma inkább az, hogy mi maga a Morris Worm számítógépes vírus. A helyzet az, hogy kezdetben a felhasználói terminálba való behatoláskor a vírusnak meg kellett határoznia, hogy a rendszer tartalmaz-e másolatot. Ha volt is, a vírus magára hagyta a gépet. Ellenkező esetben bekerült a rendszerbe, és létrehozta a saját klónját a felhasználás és a kezelés minden szintjén. Ez mindenkire vonatkozott operációs rendszeráltalában, és telepített felhasználói programokat, és alkalmazásokat vagy kisalkalmazásokat.
Az amerikai minisztérium által közölt hivatalos adat (körülbelül 96-98 millió dolláros kártérítés) egyértelműen alulbecslés. Ha csak az első három napot nézzük, akkor már körülbelül 94,6 millió volt). A következő napokban az összeg nem nőtt annyira, de a hétköznapi felhasználók szenvedtek (erről a hivatalos sajtó és az amerikai minisztérium hallgat). Természetesen akkoriban csak az Egyesült Államokban megközelítőleg 65 000 volt a globális webre kapcsolt számítógépek száma, de majdnem minden negyedik terminál érintett.
Hatások
Könnyen kitalálható, hogy a hatás lényege a rendszer teljes megfosztása a hatékonyságtól az erőforrás-felhasználás szintjén. Ez többnyire a hálózati kapcsolatokra vonatkozik.
Benne van a vírus egyszerű eset másolatokat hoz létre önmagáról, és elindítja a rendszerszolgáltatásoknak álcázott folyamatokat (most még rendszergazdaként is fut a Feladatkezelő folyamatlistájában). És nem mindig lehet eltávolítani a fenyegetéseket ebből a listából. Ezért a rendszerrel és a felhasználóval kapcsolatos folyamatok végén nagyon óvatosan kell eljárnia.
Mi van Morrisszal?
A "Morris Worm" és alkotója jelenleg nagyon jól érzi magát. Magát a vírust sikeresen izolálták ugyanazon víruskereső laboratóriumok erőfeszítéseivel, hiszen ők is forrás, amelyre az applet fel van írva.
Morris 2008-ban bejelentette az Lips alapú Arc nyelv kiadását, 2010-ben pedig a Weiser-díj jelöltje és nyertese lett.
Mellesleg még egy Érdekes tény Mark Rush ügyész elismerte, hogy a vírus sok számítógépet letiltott kényszerleállással, de szándékosan mégsem károsította semmilyen szintű felhasználók adatait, mivel eredetileg nem pusztító programról volt szó, hanem kísérletet tettek annak lehetőségére, zavarja a meglévő rendszerek belső szerkezetét. Ahhoz képest, hogy kezdetben a támadót (aki önként adta fel magát a hatóságoknak) öt évig terjedő szabadságvesztés és 250 ezer dolláros pénzbírság fenyegette, három év próbaidővel, 10 ezer dollár pénzbírsággal és 400 óra közmunkával kapott ki. Amint azt sok akkori (mellesleg és jelenkori) jogász úgy gondolja, ez nonszensz.
Több összeg
Természetesen ma, hogy legyen óvatos egy ilyen fenyegetés, amely a korai szakaszában a születés számítógépes technológia elképzeltem a "Morris vírust", természetesen nem éri meg.
De itt van az érdekes. Úgy gondolják, hogy a Windows operációs rendszereket elsősorban a rosszindulatú kódok érintik. Aztán hirtelen kiderül, hogy a vírus testét eredetileg UNIX rendszerekre fejlesztették ki. Mit is jelent ez? Igen, csak itt az ideje, hogy az alapvetően UNIX platformra épülő Linux és Mac OS tulajdonosai felkészüljenek a védelmi eszközökre (bár úgy gondolják, hogy a vírusok egyáltalán nem érintik ezeket az operációs rendszereket, abban az értelemben, hogy nem voltak megírva). Ez az a pont, ahol a "pipacsok" és a "Linuxoidok" sok felhasználója mélyen téved.
1988. november 2 Robert Morris, Jr., a Cornell Egyetem Számítástechnikai Tanszékének végzős hallgatója nagyszámú számítógépet fertőzött meg egy általa írt vírussal. A vírust eredetileg ártalmatlannak fejlesztették ki, és csak az volt a célja, hogy titokban behatoljon a hálózattal összekapcsolt számítógépes rendszerekbe ARPANET (Az ARPANET hivatalosan 1989-ben nevezte át az internetet), és észrevétlenül maradjon ott. A Morris vírus az internetes féregvírus család tagja, és egy 60 kilobájtos program, amelyet a UNIX Berkeley 4.3 operációs rendszerek megfertőzésére terveztek.
Ugyanakkor érdekes, hogy a "vírus atyjának" - Robert Morris - Senior apja akkoriban töltötte be a pozíciót. felügyelő Nemzeti Központ Számítógép-biztonság (NCSC – National Computer Biztonsági Központ) számítógépes biztonsági szakértő. Morris Sr. évekig dolgozott az AT&T Bell laboratóriumában, ahol a 60-as években részt vett a Core Wars programok fejlesztésében. A féregprogrammal történt incidens egyébként gyakorlatilag semmilyen hatással nem volt Morris Senior karrierjére. 1989 elején beválasztották a National Standards Institute és a Department of Commerce speciális tanácsadó testületébe. Ennek a tanácsnak az a feladata, hogy következtetéseket és ajánlásokat dolgozzon ki az Egyesült Államok kormányzati számítástechnikai rendszereinek biztonságáról, valamint megoldja az információbiztonsági szabványok kidolgozása és végrehajtása során felmerülő kérdéseket.
A Morris-vírus-incidens lendületet adott a számítógépes biztonság egy egész ágának, a számítógépes virológiának a megjelenéséhez.
A legóvatosabb becslések szerint a Morris-vírus-incidens több mint 8 millió órányi hozzáférés-kiesésbe, és több mint egymillió órányi közvetlen veszteségbe került a rendszerek működőképességének helyreállításához. E költségek teljes költségét több mint 98 millió dollárra becsülik. A vírus több mint 6200 számítógépet fertőzött meg. A vírustámadás következtében a legtöbb hálózat akár öt napig is üzemen kívül volt. Meghibásodtak azok a számítógépek is, amelyek kapcsolási funkciókat láttak el, fájlszerverként működtek, vagy más, a hálózat működését biztosító funkciókat végeztek. A kár sokkal nagyobb lett volna, ha a vírust eleve pusztító szándékkal hozták volna létre.
A vezető újságok, például a Chicago Tribune, a New York Times és a Boston Herald egyesült államokbeli helyszíni jelentései kiterjedten foglalkoztak a vírus dinamikájával és a leküzdési módszerek kidolgozásával, valamint általános számítógép-biztonsági problémákat is felvetettek. Később az ez alkalomból megjelent elemző cikkekben felvetődött a számítógépes rendszerek biztonságával kapcsolatos megoldatlan problémák, illetve az ilyen esetek jövőbeni megelőzését célzó jogalkotási kezdeményezések. Konkrétan két törvényjavaslatot nyújtottak be a képviselőházban a számítógépes vírusok létrehozásának és terjesztésének kriminalizálására.
Emellett széles körben vitatták a Morris tettének minősítésének kérdését is: vajon Morris hős hacker-e, aki anélkül, hogy igazán komoly károkat okozott volna, rámutatott a nemzeti számítógépes hálózat gyengeségeire, vagy bűnöző, akit szigorúan meg kell büntetni. Ugyanakkor már kimaradt a Cornell Egyetemről (egy év múlva újrafelvételi joggal). Így Morris legkorábban 1990 őszén kérheti újra felvételét. Ebben az esetben felvételének kérdéséről az adminisztráció dönt.
« Modern történelem» számítógépes vírusok.
- ARPANET hivatalosan átnevezték erre Internet.
Megjelent Trójai faló AIDS. A vírus elérhetetlenné tette a merevlemezen található összes információt, és csak egy üzenetet jelentetett meg a képernyőn: "Küldj egy csekket 189 dollárért ilyen és ilyen címre." A műsor szerzőjét a pénzkiváltás pillanatában letartóztatták és zsarolásért elítélték.
Létrehozott egy vírust a vírusirtó szoftver ellen ("Sötét bosszúálló" - The Dark Avenger). Új fájlokat fertőzött meg közben víruskereső program ellenőrizte a számítógép merevlemezét.
Cliff Stoll, a Lawrence Berkeley National Laboratory munkatársa kiadta A kakukktojás című könyvet, amelyben figyelmeztetett, hogy a világ számítógép hálózat nemcsak a jó célját szolgálhatja, hanem a katonaság, a bűnözők és a huligánok is aktívan használhatják. Stoll azt javasolta, hogy előzetesen tegyenek intézkedéseket az események ilyen fejlődésének megakadályozására.
1990(December). Az Európai Számítógépes Víruskereső Kutatóintézetet (EICAR) a németországi Hamburgban hozták létre. Ma az egyik legelismertebb nemzetközi szervezet, amely szinte az összes jelentős vírusirtó céget egyesíti.
1991 Kizárólag vírusok létrehozására készült program – VCSvl.0.
Vírus sátánbogár számítógépek százait éri az Egyesült Államok fővárosában, Washingtonban. Még a Fehér Ház számítógépei is szenvednek. Az FBI letartóztatta a szerzőt, akiről kiderült, hogy egy 12 éves tinédzser.
Fix megjelenés "időbomba"– vírusok, amelyek egy bizonyos időpont elérése után válnak aktívvá.
1994 Több vírusszerzőt letartóztattak az Egyesült Királyságban, az Egyesült Államokban és Norvégiában. Bírsággal búcsúznak.
1995 Kinézet makrovírusok, amelyet az MS Word szoftverkörnyezet legyőzésére terveztek.
1999 Mail vírus Méhfű világméretű járványt okozott, számítógépek tízezreit sújtotta és 80 millió dolláros kárt okozott, majd az incidens után elkezdődött a vírusirtó programok iránti kereslet összeomlása a világon. 2002-ben Melissa szerzőjét, a 33 éves programozót, David L. Smith-t 20 hónap börtönbüntetésre ítélték.
2000. május Melissa rekordja megdőlt mail vírus Szeretlek! amely órákon belül több millió számítógépet ért el. A vírus sajátossága, hogy a levélhez csatolt fájl a vírus törzsével automatikusan aktiválódott, amikor a felhasználó elolvasásra megnyitotta a levelet. A vizsgálat kimutatta, hogy a vírust egy filippínó diák hozta létre, akit nem ítéltek el a Fülöp-szigeteki törvények vonatkozó törvényeinek hiánya miatt. Ugyanebben az évben írták alá az első nemzetközi megállapodást a számítógépes vírusok elleni küzdelemről.
2001-es év. Az internetet levélvírus érte el Anna Kurnikova. A 20 éves holland Jan De Wit 150 óra kemény munkára ítélték a vírus létrehozása miatt. A bíróság arra a következtetésre jutott, hogy nem tudja pontosan meghatározni az Anna Kournikova által a holland gazdaságnak okozott kár mértékét. De Wittől 7500 vírusból álló gyűjteményt is elkoboztak. De Wit azt mondta a bíróságon, hogy fogalma sem volt arról, hogy az általa írt program vírus lenne, és bárkinek is kárt okozna.
2002 Az Internet 13, a világháló működését biztosító hoszt DNS szervere hálózati vírus segítségével szervezett DoS támadásnak volt kitéve. Elemzők arra figyelmeztetnek, hogy egy jól előkészített és végrehajtott számítógépes támadás hetekre tönkreteheti az internetet.
2003(Július). A terjesztési sebesség rekordjainak megdöntése "féreg" Slammer, amely 10 perc alatt 75 ezer számítógépet fertőzött meg. A Slammer féreg aktiválása következtében a hálózat sebessége jelentősen lelassult, egyes régiók, például Dél-Korea szinte elszakadt az internettől.
A vírustámadás keleti parti idő szerint 0:30-kor vagy moszkvai idő szerint 8:30-kor kezdődött. A fertőzés forrásának pontos helye még nem ismert. Egyes számítógép-biztonsági szakértők szerint a vírus az Egyesült Államokból terjedt, míg mások úgy vélik, hogy hazája valahol Ázsiában található. Néhány percen belül egy féreg, amely kihasználja a DBMS biztonsági rését Microsoft SQL A Server 2000 elárasztotta az internetet. A vírus kis mérete ellenére ( 376 bájt), valódi forgalmi dugókat tudott létrehozni az adatátviteli csatornákban, mivel a számítógép megfertőzése után az egy végtelen hurokban véletlenszerű IP-címekre kezdi el küldeni a kódját. Ha valamelyik címen megtalálták sebezhető számítógép, megfertőződött, és elkezdte kiküldeni a vírus másolatait.
Mindez a forgalom nagyarányú növekedéséhez vezetett. A féreg aktivitásának csúcspontján percenként több száz kérés érkezhet egy szerverhez. A megnövekedett terhelést nem tudták elviselni, ezért néhány szerver leállt a normális működésről. Ebben az időben az IP-csomagok akár 20%-a is elveszett csak az Egyesült Államokban, ami tízszerese a normál aránynak. A jelentések szerint a tizenhárom gyökér DNS-kiszolgáló közül ötöt is érintett a támadás.
A hibáról programkód az MS SQL Server 2000-ben 2002 nyarán vált ismertté, és a javítást a Microsoft által kiadott szervizcsomag tartalmazza. szervízcsomag 3 . Ennek ellenére az adminisztrátorok csak a Slammer támadás után kezdték meg a javítások telepítését. Ez azonban keveseknek sikerült: túlterhelt volt a Microsoft oldal, ahonnan be lehetett szerezni a Service Pack-et.
2004. január 27. Nagyszabású postai féregjárvány kezdete Novarg, más néven végzetem. Minden vírusirtó cég ehhez a férghez a maximális veszélyszintet rendelte. Az interneten található fertőzött e-mailek számát több millió példányra becsülik.
A féreg a fertőzött e-mailekhez csatolt fájlok formájában terjed az interneten. A féreg az Windows alkalmazás(PE EXE fájl), 22 528 bájt méretű, UPX-szel csomagolva. A kicsomagolt fájl mérete körülbelül 40 KB. A féreg csak akkor aktiválódik, ha a felhasználó maga nyitja meg az archívumot és futtatja a fertőzött fájlt (amikor dupla kattintás mellékleten). A féreg ezután telepíti magát a rendszerbe, és elindítja terjedési eljárásait. A féreg tartalmaz egy "backdoor" funkciót, amely megnyitja a TCP portokat 3127 tovább 3198 , ami lehetővé teszi távirányító fertőzött rendszer, megkeresi az e-mail címeket a címjegyzékben, az Outlookban, és ezekre a címekre küldi el magát a saját SMTP-kliensével, és arra is van programozva, hogy DoS-támadásokat hajtson végre a www.sco.com és a www.microsoft.com webhelyeken.
A MyDoom vírus (más néven Novarq) járvány okozta kár a legnagyobb volt az internetes járványok történetében: 2,6 milliárd dollárt tett ki. Az ilyen értékeléseket a Mi2g angol szakértőinek jelentése tartalmazza.
2004. május 3Új Sasser férget fedeztek fel az interneten. A féreg a legmagasabb veszélyességi besorolást kapta. Elemzők becslése szerint az internetre csatlakoztatott, védelmi eszközökkel nem ellátott közönséges számítógép 10 percen belül megfertőződik egy féreggel.
A Sasser terjesztése az lsass.exe folyamat puffertúlcsordulási hibájának kihasználásával történik Windows rendszerek 2000, XP és 2003 szerver. Miután a rendszer megfertőződött, a féreg más számítógépek megtámadására kezd a 445-ös TCP-porton keresztül.
A féreg felhasználói beavatkozás nélkül aktiválódik, és képes megfertőzni bármely hálózatra csatlakozó számítógépet, függetlenül attól, hogy éppen használatban van-e vagy sem. A fertőzésekről szóló különféle jelentések a fertőzés jelei. rendszerhibákés a rendszer spontán újraindítása.
A számítógépes vírusok fejlődésének további története szorosan összefonódik a rosszindulatú szoftverek fejlődésének történetével általában. Gyakorlatilag nincsenek benne egyedi kreatív leletek, de egyre inkább nyomon követik az ezt a szoftvert használó támadók könnyű pénz utáni vágyát.
Amerika megdöbbent, amikor 1988. november 2-án (Amerikában) szinte minden számítógép, amely hozzáfért az internethez, reggel nyolc óra körül, ahogy mondani szokás, "lefagyott". Eleinte az energiarendszer hibáinak tulajdonították. De aztán, amikor kitört a "Morris Worm" okozta járvány, világossá vált, hogy a terminálokat egy akkor még ismeretlen program támadta meg, amely a rendelkezésre álló eszközökkel nem dekódolható kódot tartalmazott. Nem meglepo! Az internetre kapcsolt számítógépek akkoriban még csak tízezres nagyságrendűek voltak (kb. 65 ezer terminál), és többnyire kormányzati körökben vagy önkormányzati szervekben voltak képviselve.
Morris féregvírus: mi ez?
Maga a típus volt az első a maga nemében. Ő lett az őse az összes többi ilyen típusú programnak, amelyek ma elég erősen különböznek az elődtől.
Robert Morris úgy hozta létre a „férgét”, hogy észre sem vette, milyen népszerű lesz, és mennyi kárt okozhat a gazdaságban. Általában úgy tartják, hogy ez, ahogy most mondják, pusztán sportérdek volt. De valójában az APRANET bevezetése az akkori globális hálózatba, amelyhez egyébként kormányzati és katonai szervezetek is kapcsolódtak, olyan sokkot okozott, amiből Amerika sokáig nem tudott kilábalni. Az előzetes becslések szerint a Morris Worm számítógépes vírus 96,5 millió dollár nagyságrendű kárt okozott (és ez csak a hivatalos forrásokból ismert összeg). A fenti összeg hivatalos. És amit nem vesznek figyelembe, az valószínűleg nem tartozik nyilvánosságra.
A "Morris Worm" számítógépes vírus megalkotója, Robert Morris: néhány tény az életrajzból
Rögtön felmerül a kérdés, hogy ki volt ez a zseniális programozó, akinek sikerült több napra megbénítania az észak-amerikai kontinens számítógépes rendszerét.
Ugyanez a tekintélyes "Wikipedia" forrás jelzi, hogy egy időben Robert a Cornell Egyetem R. T. Morris végzős hallgatója volt (véletlen vagy véletlen?), a Számítógép-mérnöki Karon.
A vírus keletkezésének és megjelenésének története
Úgy gondolják, hogy a vírus kezdetben semmilyen veszélyt nem tartalmazott. Fred Cohen a rosszindulatú kódokkal kapcsolatos megállapításai alapján tanulmányozta a Morris Wormot, és érdekes tulajdonságot talált benne. Kiderült, hogy ez egyáltalán nem rosszindulatú program.
A Morris Worm (bár ma a Pentagon javaslatára vírusnak számít) eredetileg az „intranet” alapú rendszerek sebezhetőségeinek tesztelésére készült (nem meglepő, hogy az APRANET felhasználók voltak az elsők, akik szenvedtek) .
Hogyan hat a vírus a számítógépes rendszerre
Maga Robert Morris (a vírus megalkotója) minden lehetséges módon tagadja az "agygyermeke" által az Egyesült Államokra gyakorolt következményeket, azzal érvelve, hogy magának a programnak a kódjában lévő hiba provokálta a hálózaton való terjedést. Tekintettel arra, hogy az egyetemen, azon belül is az Informatikai Karon szerezte tanulmányait, nehéz ezzel egyetérteni.
Tehát az úgynevezett "Morris Worm" eredetileg a nagy szervezetek (beleértve a kormányt és a hadsereget) közötti kommunikáció lehallgatására összpontosított. A hatás lényege az volt, hogy az APRANET hálózaton akkoriban küldött levél forrásszövegét lecserélték a fejlécek és a végződések eltávolítására Sendmail hibakeresési módban, vagy amikor a hálózati fingerd szolgáltatás puffere túlcsordult. Az új levél első része egy távoli terminálon összeállított kódot tartalmazott, a harmadik része pedig ugyanabból a bináris kódból állt, de különböző számítógépes rendszerekhez adaptálva.
Ezenkívül egy speciális eszközt használtak, amely lehetővé tette a bejelentkezési adatok és jelszavak kitalálását távoli hozzáféréssel a programok végrehajtásához (rexec), valamint távoli tolmács (rsh) hívását, amely parancsszinten az ún. mechanizmus" (most ez inkább a tanúsítványokhoz kapcsolódik).
Terjedési sebesség
Mint kiderült, a vírus létrehozója egyáltalán nem volt hülye ember. Azonnal rájött, hogy minél hosszabb a kód, annál hosszabb ideig tart a vírus behatolása a rendszerbe. Éppen ezért a jól ismert "Morris Worm" tartalmazza a minimális bináris (de összeállított) kombinációt.
Emiatt ugyanaz a fellendülés következett be, amelyről ma már valamiért hallgatni szokás az állami titkosszolgálatok szintjén, bár az önmásolás veszélye szinte exponenciálisan terjedt (a vírus minden példánya kettő vagy több létrehozására is képes volt) saját analógjai).
Kár
Arra viszont senki sem gondol, hogy ugyanaz a biztonsági rendszer milyen károkat okozhat. Itt a probléma inkább az, hogy mi maga a Morris Worm számítógépes vírus. A helyzet az, hogy kezdetben a felhasználói terminálba való behatoláskor a vírusnak meg kellett határoznia, hogy a rendszer tartalmaz-e másolatot. Ha volt is, a vírus magára hagyta a gépet. Ellenkező esetben bekerült a rendszerbe, és létrehozta a saját klónját a felhasználás és a kezelés minden szintjén. Ez a teljes operációs rendszer egészére, a telepített felhasználói programokra és alkalmazásokra vagy kisalkalmazásokra vonatkozott.
Az amerikai minisztérium által közölt hivatalos adat (körülbelül 96-98 millió dolláros kártérítés) egyértelműen alulbecslés. Ha csak az első három napot nézzük, akkor már körülbelül 94,6 millió volt). A következő napokban az összeg nem nőtt annyira, de a hétköznapi felhasználók szenvedtek (erről a hivatalos sajtó és az amerikai minisztérium hallgat). Természetesen akkoriban csak az Egyesült Államokban megközelítőleg 65 000 volt a globális webre kapcsolt számítógépek száma, de majdnem minden negyedik terminál érintett.
Hatások
Könnyen kitalálható, hogy a hatás lényege a rendszer teljes megfosztása a hatékonyságtól az erőforrás-felhasználás szintjén. Ez többnyire a hálózati kapcsolatokra vonatkozik.
A vírus a legegyszerűbb esetben másolatokat készít magáról, és elindítja a rendszerszolgáltatásnak álcázott folyamatok elindítását (ma már rendszergazdaként is fut a Feladatkezelő folyamatlistájában). És nem mindig lehet eltávolítani a fenyegetéseket ebből a listából. Ezért a rendszerrel és a felhasználóval kapcsolatos folyamatok végén nagyon óvatosan kell eljárnia.
Mi van Morrisszal?
A "Morris Worm" és alkotója jelenleg nagyon jól érzi magát. Magát a vírust sikeresen izolálták ugyanazon víruskereső laboratóriumok erőfeszítéseivel, mivel náluk van a forráskód, amelyre az applet íródott.
Morris 2008-ban bejelentette az Lips alapú Arc nyelv kiadását, 2010-ben pedig a Weiser-díj jelöltje és nyertese lett.
A másik érdekesség egyébként, hogy Mark Rush ügyész elismerte, hogy a vírus sok számítógépet letiltott kényszerleállással, de szándékosan mégsem károsította semmilyen szintű felhasználók adatait, hiszen eredetileg nem pusztító programról volt szó, hanem kísérlet a meglévő rendszerek belső szerkezetébe való beavatkozás lehetőségének ellenőrzésére. Ahhoz képest, hogy kezdetben a támadót (aki önként adta fel magát a hatóságoknak) öt évig terjedő szabadságvesztés és 250 ezer dolláros pénzbírság fenyegette, három év próbaidővel, 10 ezer dollár pénzbírsággal és 400 óra közmunkával kapott ki. Amint azt sok akkori (mellesleg és jelenkori) jogász úgy gondolja, ez nonszensz.
Több összeg
Természetesen ma már nem érdemes tartani egy ilyen fenyegetéstől, amelyet a "Morris vírus" képviselt a számítástechnika megjelenésének korai szakaszában, természetesen nem éri meg.
De itt van az érdekes. Úgy gondolják, hogy a Windows operációs rendszereket elsősorban a rosszindulatú kódok érintik. Aztán hirtelen kiderül, hogy a vírus testét eredetileg UNIX rendszerekre fejlesztették ki. Mit is jelent ez? Igen, csak itt az ideje, hogy az alapvetően UNIX platformra épülő Linux és Mac OS tulajdonosai felkészüljenek a védelmi eszközökre (bár úgy gondolják, hogy a vírusok egyáltalán nem érintik ezeket az operációs rendszereket, abban az értelemben, hogy nem voltak megírva). Ez az a pont, ahol a "pipacsok" és a "Linuxoidok" sok felhasználója mélyen téved.
Mint kiderült, méghozzá mobil platformok alatt iOS vezérlés néhány fenyegetés (köztük a "Morris Worm") megmutatta tevékenységét. Először reklám, aztán - felesleges szoftver, aztán... - rendszerösszeomlás. Itt önkéntelenül gondolkodni fog. De mindezek kiindulópontjában néhány végzős diák volt, aki hibát követett el a saját tesztelő programjában, ami a manapság általában számítógépes férgek megjelenéséhez vezetett. És mint tudod, némileg eltérő elveik vannak a rendszerek befolyásolására.
Az ilyen vírusokból bizonyos értelemben kémek (spyware) válnak, amelyek nemcsak a rendszert terhelik, hanem minden más mellett ellopják az oldalak eléréséhez szükséges jelszavakat, bejelentkezéseket, hitel- vagy betéti kártyák PIN kódjait, és isten tudja mit, kb. mit rendszeres felhasználó talán nem is sejti. Általánosságban elmondható, hogy ennek a vírusnak és hasonlóknak a hatása a fejlődés ezen szakaszában számítógépes technológia még a legtöbb ellenére is meglehetősen súlyos következményekkel teli modern módokon védelem. És ez tekintettel van számítógépes férgek lehetőleg ébernek kell lenni.
Itt van egy olyan szórakoztató és rendkívüli történet, amelyet sokáig nem felejtünk el. Kellemes és biztonságos időtöltést a neten – adatlopás, rendszertúlterhelés és olyan kémek nélkül, mint a "Morris féreg"!
1988-ban Robert Morris Jr. hozta létre az első sorozatgyártású hálózati férget. A 60 000 bájtos programot a Berkeley 4.3 UNIX operációs rendszerek legyőzésére tervezték. A vírust eredetileg ártalmatlannak fejlesztették ki, és csak az ARPANET hálózaton keresztül összekapcsolt számítógépes rendszerekbe való rejtett behatolást szolgálta, és ott észrevétlen marad. A vírusprogram olyan komponenseket tartalmazott, amelyek lehetővé tették a fertőzött rendszerben tárolt jelszavak felfedését, ami viszont lehetővé tette, hogy a program a rendszer legális felhasználóinak feladatának álcázza magát, valójában sokszorosítsa és terjeszthesse a másolatokat. A vírus a fejlesztés során elkövetett kisebb hibák miatt nem maradt rejtett és teljesen biztonságos, ahogy a szerző szándéka volt, ami a vírus gyors ellenőrizetlen önreplikációjához vezetett.
A legóvatosabb becslések szerint a Morris féreg okozta incidens több mint 8 millió órányi hozzáférés-kiesésbe, és több mint egymillió órányi közvetlen veszteségbe került a rendszerek működőképességének helyreállításához. E költségek teljes költségét 96 millió dollárra becsülik (ez az összeg – nem teljesen indokolt – tartalmazza az operációs rendszer véglegesítésének költségeit is). A kár sokkal nagyobb lett volna, ha a vírust eleve pusztító szándékkal hozták volna létre.
A Morris féreg több mint 6200 számítógépet fertőzött meg. A vírustámadás következtében a legtöbb hálózat akár öt napig is üzemen kívül volt. Meghibásodtak azok a számítógépek is, amelyek kapcsolási funkciókat láttak el, fájlszerverként működtek, vagy más, a hálózat működését biztosító funkciókat végeztek.
1990. május 4-én az esküdtszék bűnösnek találta Morrist. Két év felfüggesztett börtönbüntetésre, 400 óra közmunkára és 10 000 dollár pénzbüntetésre ítélték.
ADATBŰNÖZÉS és AIDS
1989-ben a DATACRIME vírusok széles körben elterjedtek, amelyek október 12-től tönkretették a fájlrendszert, és ezt megelőzően egyszerűen megszaporodtak. A számítógépes vírusok e sorozata 1989 elején kezdett el terjedni Hollandiában, az Egyesült Államokban és Japánban, és szeptemberre csak Hollandiában mintegy 100 000 PC-t fertőzött meg (ami az országban lévő teljes számuk körülbelül 10%-a). Erre a fenyegetésre még az IBM is úgy reagált, hogy kiadta VIRSCAN detektorát, amely lehetővé teszi egy adott vírusra jellemző karakterláncok (aláírások) keresését. fájlrendszer. Az aláíráskészletet a felhasználó kiegészítheti és módosíthatja.
1989-ben jelent meg az első AIDS trójai faló. A vírus elérhetetlenné tette a merevlemezen található összes információt, és csak egy üzenetet jelenített meg a képernyőn: "Küldj egy csekket 189 dollárért ilyen és ilyen címre." A műsor szerzőjét a csekk beváltása közben letartóztatták és zsarolásért elítélték.
Ezenkívül létrejött az első vírus, amely ellensúlyozza az antivírust szoftver-- A sötét bosszúálló. A víruskereső program ellenőrzése közben új fájlokat fertőzött meg HDD számítógép.