Žiurkėnai atšventė vieno gana nemalonaus įvykio metines – kirminui Morris sukako 20 metų, praneša.

Vertinant pirmosios didelės atakos internete pasekmes, reikia pažymėti, kad kirminas Morris buvo siaubingas įspėjimas interneto inžinierių bendruomenei. Jis aiškiai pademonstravo rimtus programinės įrangos klaidų pavojus ir tinklo saugumo problemas pavertė svarbia tyrimų ir praktinės plėtros sritimi.

„Įvyko tikrai didelis įvykis“, – sakė Ericas Allmanas. 1981 m., būdamas Kalifornijos universiteto Berklyje studentas, Allmanas sukūrė sendmail – atvirojo kodo programą, kuri kontroliuoja paštu Internetas. Šiuo metu jis eina „Sendmail“, parduodančios komercines šios programos versijas, mokslinio direktoriaus pareigas.

„Tuomet internetas buvo labai mažas ir buvo laikomas tam tikru interesų klubu“, - paaiškino Allmanas. – Po Morriso įvykdytos atakos tapo aišku, kad tam tikra dalis lankytojai gali ateiti į šį „klubą“ ne su geriausiais ketinimais. Supratome, kad turime skubiai galvoti apie saugumą“.

Nepaisant aiškaus kirmino veikimo mechanizmo ir aplink jį kylančio didžiulio triukšmo, kai kurie teigia, kad tuo metu jis nebuvo iš karto įvertintas.

„Įdomiausia pamoka, kurią mums išmokė kirminas Morris, buvo tai, kad radiniai buvo trumpalaikiai ir nereikšmingi“, – sakė Kolumbijos universiteto profesorius Steve'as Bellovinas, 1988 m. dirbęs „Bell Labs“ kurdamas pirmąją ugniasienę. „Žmonės galėjo įžvelgti programinės įrangos trūkumų keliamą grėsmę, tačiau po to niekas rimto dėmesio į tinklo saugumo problemas nekreipė. Tai tęsėsi iki 90-ųjų vidurio, vėliau sukeldama daug papildomų sunkumų.

Šį istorinį kirminą parašė Kornelio universiteto studentas Robertas Tappanas Morrisas, kuris dėl incidento buvo apkaltintas kompiuteriniu sukčiavimu. Šiandien Morrisas yra gerbiamas Masačusetso technologijos instituto profesorius.

1988 m. lapkričio 2 d., maždaug 18:00 val., kirminas užblokavo maždaug 10% sistemų, prijungtų prie interneto. Iš viso per internetą tuo metu buvo prijungta daugiau nei 60 000 kompiuterių.

„Morris“ kirminas buvo savaime besidauginanti programa, kuri išnaudojo žinomus daugelio populiarių paslaugų, įskaitant sendmail, kuris buvo atsakingas už el. pašto nukreipimą, ir Finger, kuris leido sužinoti, kurie vartotojai Šis momentas pradėjo interneto sesiją.

„Morris“ kirminas sugebėjo įsiskverbti į sistemas, kuriose veikia įvairūs „Unix“ skoniai. Sparčiai judėdamas internete, kirminas išplatino naujas kopijas, pakartotinai užkrėsdamas kompiuterius, dėl ko sutrinka daugelio sistemų veikimas.

„Iš pradžių net neįsivaizdavome, iš kur gali kilti grėsmė“, – prisiminė Allmanas. – Buvo visiškai aišku, kad tai buvo padaryta tyčia, bet mes negalėjome išsiaiškinti, kas ir kodėl tai padarė. Apėmė panika, o tai buvo suprantama, nepaisant nepalankios aplinkybės pobūdžio.

Ataka ilgą laiką blokavo normalų Darbas internetu, verčia visa linija organizacijos, įskaitant Pentagoną, uždarė savo interneto šliuzus, kad išvengtų tolesnės infekcijos.

"Žmonės atsijungė nuo interneto, nes bijojo galimų neigiamų pasekmių", - sakė Allmanas. – Tačiau atsijungus nuo Tinklo sutriko svarbiausių ryšio kanalų veikimas. Štai kodėl status quo atkūrimas užtruko ilgai.

Tuo metu, kai kirminas Morrisas buvo pakeliui, komercinio interneto srauto ir interneto svetainių dar nebuvo. Nukentėjo tik vyriausybės tyrimų departamentai, universitetai ir daugelis įmonių, kurios naudojo internetą failams perduoti ir keistis el. Nepaisant to, naujienos apie išpuolį pasirodė svarbiausiuose leidiniuose, ypač „The New York Times“.

„Morriso kirminas buvo priežastis, dėl kurios daugelis žmonių pirmą kartą išgirdo apie interneto egzistavimą“, – sakė Bellovinas. - Daugumai žiniatinklis asocijavosi su nauju, keistu ir svetimu pasauliu... ir staiga paaiškėjo, kad tik vienas įsibrovėlis gali padaryti galą šiam pasauliui. Pasikartosiu, niekas, išskyrus siaurus kompiuterių temų specialistus, praktiškai nieko nežinojo apie internetą.

Kai kuriems kirmino Morris pasirodymas buvo karjeros lūžis. Eugene'as Spaffordas tuo metu dirbo Purdue universiteto vyresniuoju dėstytoju. Šiandien Spafordas yra Švietimo ir tyrimų centro vykdomasis direktorius informacinė pagalba ir saugumas Purdue universitete. Jis yra pripažintas tarptautinis interneto saugumo autoritetas.

„Man buvo pasakyta, kad taikomieji kompiuterių saugumo tyrimai neturi ateities“, – sakė Spaffordas. – Ir po „Morris“ kirmino pasirodymo daugelis žmonių staiga suprato, kad kompiuterinės sistemos peržengė pagrindinio kompiuterio aplinką, kur viskas buvo kontroliuojama, o dabar reikia visiškai kitokio saugumo modelio. Būtina pasiūlyti pažangesnius inžinerinius sprendimus.“

Anksčiau mokslininkai kurdavo tik „naudingus“ kirminus, kurių dėka automatinis montavimas programinės įrangos atnaujinimai, tačiau niekas niekada nepaleido destruktyvios programos nekontroliuojamai į tinklą.

„Morris“ kirminas buvo kitų žymių atakų, įskaitant „Melissa“, „Code Red“ ir „Slammer“ kirminus, pirmtakas, kurie visi buvo nukreipti į sistemas, kuriose veikia „Microsoft“ programinė įranga. Pastaruoju metu kirminai tapo mažiau paplitę nei virusai ir el. laiškai, kurių tekste yra nuorodų į kenksmingas svetaines.

„Tiesą sakant, šiandien kirminai yra daug retesni nei virusai“, - sakė Allmanas. "Ir paprastam vartotojui sukčiavimas yra didžiausia grėsmė."

"AT pastaraisiais metais nematėme didelio masto kirminų atakų ir tam yra keletas priežasčių“, – aiškino Bellovinas. – Svarbų vaidmenį čia suvaidino plačiai paplitusi tinklo adresų vertimo technologija ir asmeninis ugniasienėsŠiuolaikiniams kirminams sunku prasiskverbti taip, kaip Morriso kirminas.

Kirminas Morris tikėjosi paskirstytų paslaugų atsisakymo atakų, kurias užpuolikai naudoja norėdami perkrauti ir prarasti sistemas iš interneto.

"Tokio didelio masto ir vienos stadijos infekcija dar niekada nebuvo užregistruota", - sakė Spaffordas. – Tiesą sakant, tai buvo pirmoji paslaugų atsisakymo ataka, kuri patraukė su kompiuterija susijusių žmonių dėmesį. Be to, tai buvo pirmasis įvykis, palietęs kelių gamintojų platformas vienu metu. Sun ir BSD Unix sistemos buvo užpultos vienu metu, o tai yra retenybė. Paprastai atakų taikinys yra tik viena platforma.

„Spafford“ palygino „Morris“ kirmino plitimą su šiandieniniais „botnetais“ – tinklais, kurie sujungia daugybę užkrėstų kompiuterių, naudoja juos šlamštui siųsti arba paskirstytoms DoS atakoms organizuoti.

„Programinė įranga paverčia sistemas zombiais, o tie lėtai plintantys kirminai užpildo robotų tinklų gretas“, – paaiškino Spaffordas. - Šios sistemos nesukelia paslaugų atsisakymo, o lėtai prasiskverbia toliau, automatiškai persiųsdamos savo kodą į kitus įrenginius. Botnetai jau valdo tiesiogine prasme milijonus mašinų: kai kuriais skaičiavimais, jų skaičius siekia 100 milijonų.

Kirminas Morris iš karto nutraukė gana didelį interneto segmentą. Jo pasirodymas buvo labai reikšmingas įvykis. Priešingai, šiandieninės atakos internete yra nukreiptos prieš atskiras sistemas, o jų autoriai stengiasi likti nepastebėti. Jei anksčiau smalsūs studentai įsilauždavo į sistemas, kad padidintų savo savigarbą, tai šiuolaikiniai virusai yra vis labiau nusikalstamo pobūdžio ir visais įmanomais būdais maskuoja savo buvimą.

„Šiandien atakomis prieš internetą siekiama pasipelnyti, o tam tikrų interneto segmentų uždarymas neduoda jokio pelno“, – aiškino Bellovinas. „Inicijuodami naujas atakas, sudėtingi užpuolikai yra labai atsargūs.

Kirminas Morris, nors ir padarė daug mažiau žalos, lyginant su savo pasekėjais, kompiuterių bendruomenės atmintyje išliko ilgam.

„Morris kirminas iš tikrųjų pažymėjo oficialios kompiuterių saugumo plėtros pradžią“, - sakė Allmanas. – Iki tol labai mažai specialistų sprendė saugumo klausimus, be to, juos daugiausia domino šifravimo tema. Kompiuterinio saugumo koncepcija kaip atskira tyrimų sritis buvo išskirta tik pasirodžius garsiajam kirminui.

Amerika buvo šokiruota, kai 1988 metų lapkričio 2 dieną beveik visi kompiuteriai, turintys prieigą prie interneto (Amerikoje), apie aštuntą valandą ryto, kaip sakoma, „užšalo“. Iš pradžių tai buvo siejama su elektros sistemos gedimais. Tačiau tada, kai kilo „Morris Worm“ sukelta epidemija, paaiškėjo, kad terminalus užpuolė tuo metu nežinoma programa, kurioje buvo turimomis priemonėmis neiššifruojamas kodas. Nenuostabu! Tuo metu kompiuterių, prijungtų prie interneto, buvo tik dešimtys tūkstančių (apie 65 000 terminalų) ir jie daugiausia buvo atstovaujami valdžios sluoksniuose ar savivaldos institucijose.

Morris kirminų virusas: kas tai?

Šio tipo virusas buvo pirmasis tokio tipo. Būtent jis tapo visų kitų tokio tipo programų, kurios šiandien gana stipriai skiriasi nuo pirmtakų, protėviu.

Robertas Morrisas sukūrė savo „kirminą“ net nesuvokdamas, koks jis išpopuliarės ir kiek žalos gali padaryti ekonomikai. Apskritai manoma, kad tai buvo, kaip dabar sakoma, grynai sportinis interesas. Bet iš tikrųjų APRANET įvedimas į tuometinį pasaulinį tinklą, prie kurio, beje, buvo prijungtos ir vyriausybinės, ir karinės organizacijos, sukėlė tokį šoką, nuo kurio Amerika ilgai negalėjo atsigauti. Autorius preliminarios sąmatos Kompiuterinis virusas Morris Worm padarė 96,5 mln. JAV dolerių žalos (ir tokia suma žinoma tik iš oficialių šaltinių). Aukščiau nurodyta suma yra oficiali. O į ką neatsižvelgta, tikriausiai, neatskleidžiama.

Kompiuterinio viruso „Morris Worm“ kūrėjas Robertas Morrisas: keli faktai iš biografijos

Iš karto kyla klausimas, kas buvo šis genialus programuotojas, kuriam pavyko paralyžiuoti kompiuterio sistemaŠiaurės Amerikos žemynas.

Tas pats gerbiamas šaltinis „Wikipedia“ nurodo, kad vienu metu Robertas buvo Kornelio universiteto R. T. Morriso (atsitikimas ar sutapimas?) Kompiuterių inžinerijos fakulteto magistrantas.

Viruso atsiradimo ir atsiradimo istorija

Manoma, kad iš pradžių virusas nekėlė jokios grėsmės. Fredas Cohenas studijavo „Morriso kirminą“, remdamasis savo skaičiavimais kenkėjiškų kodų ir atskleidė jame įdomią savybę. Paaiškėjo, kad tai visai ne kenkėjiška programa.

„Morris Worm“ (nors šiandien Pentagono siūlymu laikomas virusu) iš pradžių buvo sukurtas kaip „intraneto“ sistemų pažeidžiamumo testavimo įrankis (nenuostabu, kad pirmieji nukentėjo APRANET vartotojai). .

Kaip virusas veikia kompiuterio sistemą

Pats Robertas Morrisas (viruso kūrėjas) visais įmanomais būdais neigia jo „smegenų vaiko“ pasekmes JAV, teigdamas, kad klaida pačios programos kode išprovokavo plitimą tinkle. Turint omenyje, kad išsilavinimą jis įgijo universitete, ypač Informatikos fakultete, su tuo sunku sutikti.

Taigi, vadinamasis „Morris Worm“ iš pradžių buvo skirtas perimti ryšius tarp didelių organizacijų (įskaitant vyriausybę ir kariuomenę). Poveikio esmė buvo pakeisti tuo metu APRANET tinkle siųsto laiško pradinį tekstą, pašalinant antraštes ir pabaigas Sendmail derinimo režimu arba kai buvo perpildytas tinklo pirštų paslaugos buferis. Pirmoje naujojo laiško dalyje buvo kodas, sudarytas nuotoliniu terminalu, o trečiąją dalį sudarė tas pats dvejetainis kodas, tačiau pritaikytas skirtingoms kompiuterinėms sistemoms.

Be to, buvo naudojamas specializuotas įrankis, leidžiantis pasirinkti prisijungimo vardus ir slaptažodžius Nuotolinis prisijungimas programoms vykdyti (rexec), taip pat iškviesti nuotolinį interpretatorių (rsh), kuris komandų lygiu naudojo taip vadinamą „pasitikėjimo mechanizmą“ (dabar labiau siejamas su sertifikatais).

Paplitimo greitis

Pasirodo, viruso kūrėjas buvo visai ne kvailas žmogus. Jis iškart suprato, kad kuo ilgesnis kodas, tuo ilgiau virusas įsiskverbia į sistemą. Štai kodėl gerai žinomame „Morris Worm“ yra minimalus dvejetainis (bet sudarytas) derinys.

Dėl to kilo tas pats bumas, apie kurį dabar kažkodėl įprasta tylėti valstybės žvalgybos tarnybų lygmeniu, nors savaiminio kopijavimo grėsmė išplito beveik eksponentiškai (kiekviena viruso kopija galėjo sukurti du ar daugiau savo analogų).

Žala

Tačiau niekas nesusimąsto, kokią žalą galima padaryti tai pačiai apsaugos sistemai. Greičiau problema yra tai, kas yra pats Morris Worm kompiuterinis virusas. Faktas yra tas, kad iš pradžių, prasiskverbdamas į vartotojo terminalą, virusas turėjo nustatyti, ar sistemoje yra jo kopija. Jei toks buvo, virusas paliko mašiną ramybėje. Priešingu atveju jis buvo įtrauktas į sistemą ir sukūrė savo kloną visais naudojimo ir valdymo lygiais. Tai galiojo visiems Operacinė sistema apskritai, ir įdiegtas vartotojo programas, ir programas ar programėles.

Oficialus JAV departamento pateiktas skaičius (maždaug 96–98 mln. USD žalos atlyginimo) yra aiškiai neįvertintas. Jei pažvelgsite tik į pirmas tris dienas, tai jau buvo apie 94,6 mln.). Per kitas dienas suma ne tiek išaugo, tačiau nukentėjo paprasti vartotojai (oficiali spauda ir JAV departamentas apie tai tyli). Žinoma, tuo metu vien JAV prie pasaulinio žiniatinklio prijungtų kompiuterių buvo apie 65 000, tačiau nukentėjo beveik kas ketvirtas terminalas.

Efektai

Nesunku atspėti, kad poveikio esmė yra visiškai atimti sistemos efektyvumą išteklių vartojimo lygiu. Dažniausiai tai taikoma tinklo ryšiams.

Virusas yra paprastas atvejis sukuria savo kopijas ir inicijuoja procesų paleidimą, pridengtą sistemos paslaugomis (dabar net veikia kaip administratorius užduočių tvarkyklės procesų sąraše). Ir ne visada įmanoma pašalinti grėsmes iš šio sąrašo. Todėl pasibaigus procesams, susijusiems su sistema ir vartotoju, reikia elgtis labai atsargiai.

O Morrisas?

„Morris Worm“ ir jo kūrėjas šiuo metu jaučiasi labai gerai. Pats virusas buvo sėkmingai išskirtas tų pačių antivirusinių laboratorijų pastangomis, nes jos padarė šaltinis, ant kurio parašyta programėlė.

2008 m. Morrisas paskelbė apie Arc kalbos išleidimą, pagrįstą Lips, o 2010 m. tapo Weiser premijos nominantu ir laureatu.

Beje, dar vienas įdomus faktas Valstybės kaltintojas Markas Rushas pripažino, kad virusas išjungė daugelį kompiuterių priverstinai išjungdamas, bet vis tiek tyčia nepažeidė bet kokio lygio vartotojų duomenų, nes iš pradžių tai nebuvo destruktyvi programa, o bandymas išbandyti galimybę trukdo esamų sistemų vidinei struktūrai. Palyginus su tuo, kad iš pradžių užpuolikui (savo noru pasidavusiam valdžiai) grėsė įkalinimas iki penkerių metų ir 250 000 USD bauda, ​​jam buvo skirta trejų metų lygtinė bausmė, 10 000 USD bauda ir 400 valandų viešųjų darbų. Kaip manė daugelis to meto (beje, ir dabartinių) teisininkų, tai yra nesąmonė.

Kelios sumos

Žinoma, šiandien reikia būti atsargiems dėl tokios grėsmės, kuri ankstyvosiose jos gimimo stadijose Kompiuterinė technologija„Morriso virusas“, žinoma, nėra vertas.

Bet štai kas įdomu. Manoma, kad „Windows“ operacines sistemas daugiausia veikia kenkėjiški kodai. Ir tada staiga paaiškėja, kad viruso kūnas iš pradžių buvo sukurtas UNIX sistemoms. Ką tai reiškia? Taip, tik tiek, kad Linux ir Mac OS, kurios iš esmės remiasi UNIX platforma, savininkams laikas parengti apsaugos priemones (nors manoma, kad virusai šių operacinių sistemų visiškai neveikia ta prasme, jie nebuvo parašyti). Čia daugelis „aguonų“ ir „Linuksoidų“ vartotojų labai klysta.

1988 metų lapkričio 2 d Robertas Morrisas jaunesnysis, Kornelio universiteto Informatikos katedros magistrantas, užkrėtė daugybę kompiuterių savo parašytu virusu. Virusas iš pradžių buvo sukurtas kaip nekenksmingas ir turėjo tik slaptą prasiskverbimą į kompiuterių sistemas, sujungtas tinklu ARPANETAS (1989 m. ARPANET oficialiai pervadino internetą) ir likti ten nepastebėti. Morris virusas yra interneto kirminų virusų šeimos narys ir yra 60 kilobaitų programa, skirta užkrėsti UNIX Berkeley 4.3 operacines sistemas.

Tuo pačiu įdomu tai, kad tuo metu šias pareigas ėjo „viruso tėvo“ tėvas Robertas Morrisas. prižiūrėtojas Nacionalinis centras Kompiuterių sauga (NCSC – National Computer Apsaugos centras) yra kompiuterių saugumo ekspertas. Morrisas vyresnysis daug metų dirbo AT&T Bell laboratorijoje, kur septintajame dešimtmetyje dalyvavo kuriant Core Wars programas. Beje, incidentas su kirminų programa praktiškai neturėjo jokios įtakos Morriso vyresniojo karjerai. 1989 m. pradžioje jis buvo išrinktas į specialią Nacionalinio standartų instituto ir Komercijos departamento patariamąją tarybą. Šios tarybos uždavinys – parengti išvadas ir rekomendacijas dėl JAV vyriausybės kompiuterinių sistemų saugumo, taip pat spręsti klausimus, kylančius kuriant ir diegiant informacijos saugumo standartus.

Morris viruso incidentas davė impulsą visai kompiuterių saugumo šakai – kompiuterių virusologijai – atsirasti.

Konservatyviausiais skaičiavimais, Morris viruso incidentas kainavo daugiau nei 8 milijonus valandų, kai buvo prarasta prieiga ir daugiau nei milijonas valandų tiesioginių nuostolių siekiant atkurti sistemų veikimą. Apskaičiuota, kad bendra šių išlaidų kaina viršija 98 mln. Virusas užkrėtė daugiau nei 6200 kompiuterių. Dėl viruso atakos dauguma tinklų neveikė iki penkių dienų. Sugedo ir kompiuteriai, kurie atliko perjungimo funkcijas, dirbo kaip failų serveriai ar atliko kitas tinklo veiklą užtikrinančias funkcijas. Žala būtų buvusi daug didesnė, jei virusas iš pradžių būtų buvęs sukurtas destruktyviai.

Žymiausių laikraščių, tokių kaip „Chicago Tribune“, „New York Times“ ir „Boston Herald“, JAV vietiniuose pranešimuose buvo plačiai aprašyta viruso dinamika ir kovos su juo metodų kūrimas, taip pat buvo iškeltos bendros kompiuterių saugumo problemos. Vėliau šia proga analitiniuose straipsniuose buvo iškeltos neišspręstos problemos, susijusios su kompiuterinių sistemų saugumu, teisės aktų iniciatyvos, kuriomis siekiama užkirsti kelią tokiems atvejams ateityje. Visų pirma, Atstovų rūmuose buvo pateikti du įstatymo projektai, kuriais siekiama kriminalizuoti kompiuterinių virusų kūrimą ir platinimą.



Be to, buvo plačiai diskutuojamas klausimas, kaip kvalifikuoti Morriso poelgį: ar Morrisas yra didvyris įsilaužėlis, kuris, nepadarydamas tikrai rimtos žalos, nurodė nacionalinio kompiuterių tinklo silpnybes, ar jis yra nusikaltėlis, kuris turėtų būti griežtai nubaustas. Tuo pačiu jis jau iškrito iš Kornelio universiteto (su teise pateikti prašymą pakartotinai įstoti po metų). Taigi Morrisas gali pakartotinai kreiptis dėl priėmimo ne anksčiau kaip 1990 m. rudenį. Tokiu atveju jo priėmimo klausimą spręs administracija.

« Šiuolaikinė istorija» kompiuteriniai virusai.

- ARPANETAS oficialiai pervadintas į internetas.

Pasirodė Trojos arklio AIDS. Virusas padarė nepasiekiamą visą informaciją kietajame diske ir ekrane parodė tik vieną pranešimą: „Siųsk čekį už 189 USD tokiu ir tokiu adresu“. Laidos autorius buvo suimtas pinigų išgryninimo momentu ir nuteistas už turto prievartavimą.

Sukūrė virusą, skirtą kovoti su antivirusine programine įranga („Tamsus keršytojas“ – tamsus keršytojas). Tuo metu jis užkrėtė naujus failus antivirusinė programa patikrino kompiuterio standųjį diską.



Lawrence'o Berkeley nacionalinės laboratorijos darbuotojas Cliffas Stollas išleido knygą „Gegutės kiaušinis“, kurioje perspėjo, kad pasaulis kompiuterinis tinklas gali tarnauti ne tik gėrio tikslams, bet ir būti aktyviai naudojamas kariuomenės, nusikaltėlių ir chuliganų. Stoll rekomendavo iš anksto imtis priemonių, kad būtų užkirstas kelias tokiai įvykių raidai.

1990 m(gruodžio mėn.). Hamburge, Vokietijoje, buvo įkurtas Europos kompiuterių antivirusinių tyrimų institutas (EICAR). Šiandien tai viena iš labiausiai gerbiamų tarptautinių organizacijų, vienijanti beveik visas pagrindines antivirusines kompanijas.

1991 m Parašyta programa, skirta išskirtinai virusams kurti – VCSvl.0.

Virusas šėtonas pateko į šimtus kompiuterių JAV sostinėje Vašingtone. Net Baltųjų rūmų kompiuteriai kenčia. FTB suėmė autorių, kuris pasirodė esąs 12 metų paauglys.

Fiksuota išvaizda "laiko bomba"– virusai, kurie suaktyvėja po tam tikros datos.

1994 m JK, JAV, Norvegijoje buvo suimti keli virusų autoriai. Jie išeina su baudomis.

1995 m Išvaizda makro virusai, skirtas nugalėti MS Word programinės įrangos aplinką.

1999 m Pašto virusas Melisa sukėlė pasaulinio masto epidemiją, užklupo dešimtis tūkstančių kompiuterių ir padarė 80 milijonų dolerių žalos.Po šio incidento pasaulyje prasidėjo antivirusinių programų paklausos žlugimas. 2002 metais Melissos autorius, 33 metų programuotojas Davidas L. Smithas, buvo nuteistas kalėti 20 mėnesių.

2000 metų gegužės mėn Melissos rekordas sumuštas pašto virusas Aš tave myliu! kurie per kelias valandas pasiekė milijonus kompiuterių. Viruso ypatumas buvo tas, kad failas su viruso korpusu prie laiško buvo suaktyvintas automatiškai, kai vartotojas atidarė laišką skaitymui. Tyrimas parodė, kad virusą sukūrė Filipinų studentas, kuris nebuvo nuteistas dėl atitinkamų įstatymų trūkumo Filipinų teisėje. Tais pačiais metais buvo pasirašytas pirmasis tarptautinis susitarimas dėl kovos su kompiuteriniais virusais.

2001 metai. Internetą užklupo pašto virusas Anna Kurnikova. 20 metų olandas Janas De Witas buvo nuteistas 150 valandų sunkaus darbo už viruso sukūrimą. Teismas padarė išvadą, kad negali tiksliai nustatyti Annos Kurnikovos padarytos žalos Nyderlandų ekonomikai masto. De Wit taip pat buvo konfiskuota 7500 virusų kolekcija. De Witas teisme teigė nė nenumanantis, kad jo parašyta programa bus virusas ir kam nors pakenks.

2002 m 13 interneto pagrindinių DNS serverių, užtikrinančių pasaulinio žiniatinklio funkcionavimą, buvo surengta tinklo viruso pagalba organizuota DoS ataka. Analitikai perspėja, kad gerai parengta ir įvykdyta kompiuterinė ataka gali naikinti internetą ištisas savaites.

2003 m(liepos mėn.). Sumušti platinimo greičio rekordus "kirminas" Slemeris, kuri per 10 minučių užkrėtė 75 tūkstančius kompiuterių. Suaktyvinus „Slammer“ kirminą, tinklo greitis gerokai sulėtėjo, o kai kurie regionai, pavyzdžiui, Pietų Korėja, beveik nutrūko nuo interneto.

Viruso ataka prasidėjo 0:30 ryto Rytų pakrantės laiku arba 8:30 Maskvos laiku. Tiksli infekcijos šaltinio vieta vis dar nežinoma. Kai kurie kompiuterių saugumo ekspertai teigia, kad virusas išplito iš JAV, kiti mano, kad jo tėvynė yra kažkur Azijoje. Per kelias minutes kirminas išnaudoja DBVS pažeidžiamumą Microsoft SQL Serveris 2000 užtvindė internetą. Nepaisant mažo viruso dydžio ( 376 baitai), jis sugebėjo sukurti tikrus kamščius duomenų perdavimo kanaluose, nes užkrėsęs kompiuterį, jis begaliniu ciklu pradeda siųsti savo kodą atsitiktiniais IP adresais. Jei kuriame nors iš adresų buvo rasta pažeidžiamas kompiuteris, jis užsikrėtė ir taip pat pradėjo siųsti viruso kopijas.

Visa tai lėmė didelio masto eismo padidėjimą. Kirmino aktyvumo piko metu į vieną serverį galėjo patekti šimtai užklausų per minutę. Neatlaikę padidėjusios apkrovos kai kurie serveriai nustojo normaliai veikti. Šiuo metu vien JAV buvo prarasta iki 20 % IP paketų, o tai dešimt kartų viršija įprastą dažnį. Remiantis pranešimais, penki iš trylikos šakninių DNS serverių taip pat buvo paveikti atakos.

Apie klaidą programos kodas MS SQL Server 2000 tapo žinoma 2002 m. vasarą, o jos pataisa yra Microsoft išleistame pakeitimų pakete paslaugų paketas 3 . Nepaisant to, pataisų diegimo administratoriai ėmėsi tik po „Slammer“ atakos. Tačiau nedaugeliui pavyko: Microsoft svetainė, iš kurios buvo galima gauti pakeitimų paketą, buvo perkrauta.

2004 m. sausio 27 d. Didelio masto pašto kirminų epidemijos pradžia Novargas, taip pat žinomas kaip mano pražūtis. Visos antivirusinės įmonės šiam kirminui priskyrė didžiausią pavojaus lygį. Apskaičiuota, kad užkrėstų el. laiškų internete skaičius siekia kelis milijonus kopijų.

Kirminas plinta internete failų, pridedamų prie užkrėstų el. laiškų, pavidalu. Kirminas yra „Windows“ programa(PE EXE failas), 22 528 baitų dydžio, supakuotas su UPX. Išpakuoto failo dydis yra apie 40 KB. Kirminas suaktyvinamas tik tada, kai vartotojas pats atidaro archyvą ir paleidžia užkrėstą failą (kai dukart spustelėkite ant priedo). Tada kirminas įsijungia į sistemą ir pradeda plitimo procedūras. Kirminas turi "backdoor" funkciją, kuri atidaro TCP prievadus 3127 įjungta 3198 , todėl tai įmanoma nuotolinio valdymo pultas užkrėstą sistemą, ieško el. pašto adresų adresų knygoje „Outlook“ ir siunčia save šiais adresais naudodama savo SMTP klientą, taip pat yra užprogramuota vykdyti DoS atakas www.sco.com ir www.microsoft.com svetainėse.

MyDoom viruso (dar žinomo kaip Novarq) epidemija padaryta žala buvo didžiausia interneto epidemijų istorijoje: ji siekė 2,6 mlrd. Tokie vertinimai pateikti anglų ekspertų iš Mi2g ataskaitoje.

2004 m. gegužės 3 d Internete aptiktas naujas Sasser kirminas. Kirminui suteiktas aukščiausias pavojingumo įvertinimas. Analitikai skaičiuoja, kad paprastas kompiuteris, prijungtas prie interneto ir neaprūpintas apsaugos priemonėmis, kirminu užsikrečia per 10 minučių.

„Sasser“ platinamas išnaudojant buferio perpildymo klaidą lsass.exe procese Windows sistemos 2000, XP ir 2003 serveriai. Kai sistema yra užkrėsta, kirminas pradeda jį naudoti, kad atakuotų kitus kompiuterius per TCP 445 prievadą.

Kirminas aktyvuojamas be vartotojo įsikišimo ir gali užkrėsti bet kurį prie tinklo prijungtą kompiuterį, nepriklausomai nuo to, ar jis šiuo metu naudojamas, ar ne. Įvairūs pranešimai apie infekciją yra infekcijos požymiai. sistemos klaidų ir spontaniškas sistemos paleidimas iš naujo.

Tolesnė kompiuterinių virusų vystymosi istorija glaudžiai susipynusi su kenkėjiškos programinės įrangos kūrimo istorija apskritai. Unikalių kūrybinių radinių jame praktiškai nėra, tačiau vis dažniau atsekamas užpuolikų, naudojančių šią programinę įrangą, noras gauti lengvų pinigų.

Amerika buvo šokiruota, kai 1988 metų lapkričio 2 dieną beveik visi kompiuteriai, turintys prieigą prie interneto (Amerikoje), apie aštuntą valandą ryto, kaip sakoma, „užšalo“. Iš pradžių tai buvo siejama su elektros sistemos gedimais. Tačiau tada, kai kilo „Morris Worm“ sukelta epidemija, paaiškėjo, kad terminalus užpuolė tuo metu nežinoma programa, kurioje buvo turimomis priemonėmis neiššifruojamas kodas. Nenuostabu! Tuo metu kompiuterių, prijungtų prie interneto, buvo tik dešimtys tūkstančių (apie 65 000 terminalų) ir jie daugiausia buvo atstovaujami valdžios sluoksniuose ar savivaldos institucijose.

Morris kirminų virusas: kas tai?

Pats tipas buvo pirmasis tokio pobūdžio. Būtent jis tapo visų kitų tokio tipo programų, kurios šiandien gana stipriai skiriasi nuo pirmtakų, protėviu.

Robertas Morrisas sukūrė savo „kirminą“ net nesuvokdamas, koks jis išpopuliarės ir kiek žalos gali padaryti ekonomikai. Apskritai manoma, kad tai buvo, kaip dabar sakoma, grynai sportinis interesas. Bet iš tikrųjų APRANET įvedimas į tuometinį pasaulinį tinklą, prie kurio, beje, buvo prijungtos ir vyriausybinės, ir karinės organizacijos, sukėlė tokį šoką, nuo kurio Amerika ilgai negalėjo atsigauti. Preliminariais skaičiavimais, kompiuterinis virusas „Morris Worm“ padarė 96,5 mln. JAV dolerių žalos (ir tokia suma žinoma tik iš oficialių šaltinių). Aukščiau nurodyta suma yra oficiali. O į ką neatsižvelgta, tikriausiai, neatskleidžiama.

Kompiuterinio viruso „Morris Worm“ kūrėjas Robertas Morrisas: keli faktai iš biografijos

Iš karto kyla klausimas, kas buvo šis genialus programuotojas, sugebėjęs kelioms dienoms paralyžiuoti Šiaurės Amerikos žemyno kompiuterinę sistemą.

Tas pats gerbiamas šaltinis „Wikipedia“ nurodo, kad vienu metu Robertas buvo Kornelio universiteto R. T. Morriso (atsitikimas ar sutapimas?) Kompiuterių inžinerijos fakulteto magistrantas.

Viruso atsiradimo ir atsiradimo istorija

Manoma, kad iš pradžių virusas nekėlė jokios grėsmės. Fredas Cohenas tyrinėjo Morris Worm, remdamasis savo išvadomis apie kenkėjiškus kodus, ir rado jame įdomią savybę. Paaiškėjo, kad tai visai ne kenkėjiška programa.

„Morris Worm“ (nors šiandien Pentagono siūlymu laikomas virusu) iš pradžių buvo sukurtas kaip „intraneto“ sistemų pažeidžiamumo testavimo įrankis (nenuostabu, kad pirmieji nukentėjo APRANET vartotojai). .

Kaip virusas veikia kompiuterio sistemą

Pats Robertas Morrisas (viruso kūrėjas) visais įmanomais būdais neigia jo „smegenų vaiko“ pasekmes JAV, teigdamas, kad klaida pačios programos kode išprovokavo plitimą tinkle. Turint omenyje, kad išsilavinimą jis įgijo universitete, ypač Informatikos fakultete, su tuo sunku sutikti.

Taigi, vadinamasis „Morris Worm“ iš pradžių buvo skirtas perimti ryšius tarp didelių organizacijų (įskaitant vyriausybę ir kariuomenę). Poveikio esmė buvo pakeisti tuo metu APRANET tinkle siųsto laiško pradinį tekstą, pašalinant antraštes ir pabaigas Sendmail derinimo režimu arba kai buvo perpildytas tinklo pirštų paslaugos buferis. Pirmoje naujojo laiško dalyje buvo kodas, sudarytas nuotoliniu terminalu, o trečiąją dalį sudarė tas pats dvejetainis kodas, tačiau pritaikytas skirtingoms kompiuterinėms sistemoms.

Be to, buvo naudojamas specializuotas įrankis, leidžiantis atspėti prisijungimus ir slaptažodžius naudojant nuotolinę prieigą programoms vykdyti (rexec), taip pat iškviesti nuotolinį vertėją (rsh), kuris komandų lygiu naudojo vadinamąjį „pasitikėjimą“. mechanizmas“ (dabar tai labiau siejama su sertifikatais).

Paplitimo greitis

Pasirodo, viruso kūrėjas buvo visai ne kvailas žmogus. Jis iškart suprato, kad kuo ilgesnis kodas, tuo ilgiau virusas įsiskverbia į sistemą. Štai kodėl gerai žinomame „Morris Worm“ yra minimalus dvejetainis (bet sudarytas) derinys.

Dėl to kilo tas pats bumas, apie kurį dabar kažkodėl įprasta tylėti valstybės žvalgybos tarnybų lygmeniu, nors savaiminio kopijavimo grėsmė išplito beveik eksponentiškai (kiekviena viruso kopija galėjo sukurti du ar daugiau savo analogų).

Žala

Tačiau niekas nesusimąsto, kokią žalą galima padaryti tai pačiai apsaugos sistemai. Greičiau problema yra tai, kas yra pats Morris Worm kompiuterinis virusas. Faktas yra tas, kad iš pradžių, prasiskverbdamas į vartotojo terminalą, virusas turėjo nustatyti, ar sistemoje yra jo kopija. Jei toks buvo, virusas paliko mašiną ramybėje. Priešingu atveju jis buvo įtrauktas į sistemą ir sukūrė savo kloną visais naudojimo ir valdymo lygiais. Tai taikoma visai operacinei sistemai, įdiegtoms vartotojo programoms ir programoms ar programėlėms.

Oficialus JAV departamento pateiktas skaičius (maždaug 96–98 mln. USD žalos atlyginimo) yra aiškiai neįvertintas. Jei pažvelgsite tik į pirmas tris dienas, tai jau buvo apie 94,6 mln.). Per kitas dienas suma ne tiek išaugo, tačiau nukentėjo paprasti vartotojai (oficiali spauda ir JAV departamentas apie tai tyli). Žinoma, tuo metu vien JAV prie pasaulinio žiniatinklio prijungtų kompiuterių buvo apie 65 000, tačiau nukentėjo beveik kas ketvirtas terminalas.

Efektai

Nesunku atspėti, kad poveikio esmė yra visiškai atimti sistemos efektyvumą išteklių vartojimo lygiu. Dažniausiai tai taikoma tinklo ryšiams.

Paprasčiausiu atveju virusas sukuria savo kopijas ir inicijuoja procesų paleidimą, prisidengiančius sistemos paslaugomis (dabar net veikia kaip administratorius Task Manager procesų sąraše). Ir ne visada įmanoma pašalinti grėsmes iš šio sąrašo. Todėl pasibaigus procesams, susijusiems su sistema ir vartotoju, reikia elgtis labai atsargiai.

O Morrisas?

„Morris Worm“ ir jo kūrėjas šiuo metu jaučiasi labai gerai. Pats virusas buvo sėkmingai išskirtas tų pačių antivirusinių laboratorijų pastangomis, nes jos turi šaltinio kodą, ant kurio parašyta programėlė.

2008 m. Morrisas paskelbė apie Arc kalbos išleidimą, pagrįstą Lips, o 2010 m. tapo Weiser premijos nominantu ir laureatu.

Beje, dar vienas įdomus faktas yra tai, kad prokuroras Markas Rushas pripažino, kad virusas išjungė daugybę kompiuterių priverstinai išjungdamas, bet vis tiek tyčia nesugadino jokio lygio vartotojų duomenų, nes iš pradžių tai nebuvo destruktyvi programa, o bandymas patikrinti galimą trukdžių esamų sistemų vidinę struktūrą. Palyginus su tuo, kad iš pradžių užpuolikui (savo noru pasidavusiam valdžiai) grėsė įkalinimas iki penkerių metų ir 250 000 USD bauda, ​​jam buvo skirta trejų metų lygtinė bausmė, 10 000 USD bauda ir 400 valandų viešųjų darbų. Kaip manė daugelis to meto (beje, ir dabartinių) teisininkų, tai yra nesąmonė.

Kelios sumos

Žinoma, šiandien neverta bijoti tokios grėsmės, kuriai „Morris Virus“ atstovavo ankstyvose kompiuterinių technologijų atsiradimo stadijose, žinoma, neverta.

Bet štai kas įdomu. Manoma, kad „Windows“ operacines sistemas daugiausia veikia kenkėjiški kodai. Ir tada staiga paaiškėja, kad viruso kūnas iš pradžių buvo sukurtas UNIX sistemoms. Ką tai reiškia? Taip, tik tiek, kad Linux ir Mac OS, kurios iš esmės remiasi UNIX platforma, savininkams laikas parengti apsaugos priemones (nors manoma, kad virusai šių operacinių sistemų visiškai neveikia ta prasme, jie nebuvo parašyti). Čia daugelis „aguonų“ ir „Linuksoidų“ vartotojų labai klysta.

Kaip paaiškėja, net mobiliosios platformos pagal iOS valdymas kai kurios grėsmės (tarp jų ir „Morriso kirminas“) pradėjo rodyti savo aktyvumą. Pirmiausia tai reklama, paskui – nereikalinga programinė įranga, paskui... – sistemos gedimas. Čia nevalingai pagalvosi. Tačiau viso to priežastis buvo kai kurie magistrantūros studentai, kurie padarė klaidą savo testuotojų programoje, dėl kurios atsirado tai, kas šiandien paprastai vadinama kompiuterių kirmėlėmis. Ir jie, kaip žinote, turi šiek tiek kitokius veikimo principus sistemoms.

Tam tikra prasme tokie virusai tampa šnipais (šnipinėjimo programomis), kurie ne tik apkrauna sistemą, bet, be viso kito, vagia slaptažodžius patekti į svetaines, prisijungimus, kredito ar debeto kortelių PIN kodus ir Dievas žino ką, apie ką eilinis vartotojas gali net neatspėti. Apskritai, šio ir panašių virusų poveikis šiame vystymosi etape Kompiuterinė technologija kupinas gana rimtų pasekmių, nepaisant net labiausiai moderniais būdais apsauga. Ir tai susiję su kompiuterių kirminai turėtų būti kiek įmanoma budresnis.

Štai tokia linksma ir nepaprasta istorija, kuri nebus pamiršta dar ilgai. Įdomiai ir saugiai praleiskite laiką tinkle – be duomenų vagysčių, sistemos perkrovos ir jokių šnipų, tokių kaip „Morriso kirminas“!

1988 m. Robertas Morrisas jaunesnysis sukūrė pirmąjį masinės gamybos tinklo kirminą. 60 000 baitų programa buvo sukurta nugalėti Berkeley 4.3 UNIX operacines sistemas. Virusas iš pradžių buvo sukurtas kaip nekenksmingas ir buvo skirtas tik slaptai įsiskverbti į kompiuterių sistemas, sujungtas ARPANET tinklu, ir likti jose nepastebėtas. Viruso programoje buvo komponentų, kurie leido atskleisti užkrėstoje sistemoje saugomus slaptažodžius, o tai savo ruožtu leido programai užmaskuoti save kaip teisėtų sistemos vartotojų užduotį, faktiškai dauginti ir platinti kopijas. Virusas neišliko paslėptas ir visiškai saugus, kaip ir ketino autorius, dėl kūrimo metu padarytų smulkių klaidų, kurios lėmė greitą nekontroliuojamą viruso savaiminį dauginimąsi.

Konservatyviausiais skaičiavimais, Morris kirmino incidentas kainavo daugiau nei 8 milijonus valandų, kai buvo prarasta prieiga ir daugiau nei milijonas valandų tiesioginių nuostolių siekiant atkurti sistemų veikimą. Apskaičiuota, kad bendra šių išlaidų kaina yra 96 ​​milijonai USD (į šią sumą, kuri nėra visiškai pagrįsta, taip pat įeina operacinės sistemos užbaigimo išlaidos). Žala būtų buvusi daug didesnė, jei virusas iš pradžių būtų buvęs sukurtas destruktyviai.

Kirminas Morris užkrėtė daugiau nei 6200 kompiuterių. Dėl viruso atakos dauguma tinklų neveikė iki penkių dienų. Sugedo ir kompiuteriai, kurie atliko perjungimo funkcijas, dirbo kaip failų serveriai ar atliko kitas tinklo veiklą užtikrinančias funkcijas.

1990 m. gegužės 4 d. prisiekusiųjų teismas Morrisą pripažino kaltu. Jam skirta dvejų metų lygtinė bausmė, 400 valandų viešųjų darbų ir 10 000 USD bauda.

DATACRIME ir AIDS

1989 metais išplito DATACRIME virusai, kurie nuo spalio 12 dienos sunaikino failų sistemą, o iki tos datos tiesiog daugėjo. Ši kompiuterinių virusų serija pradėjo plisti Nyderlanduose, JAV ir Japonijoje 1989 m. pradžioje ir iki rugsėjo mėnesio vien Nyderlanduose užkrėtė apie 100 000 kompiuterių (tai sudarė apie 10% viso jų skaičiaus šalyje). Net IBM reagavo į šią grėsmę, išleisdama savo VIRSCAN detektorių, leidžiantį ieškoti konkrečiam virusui būdingų eilučių (parašų). Failų sistema. Parašų rinkinį vartotojas galėjo papildyti ir keisti.

1989 m. pasirodė pirmasis AIDS Trojos arklys. Virusas padarė nepasiekiamą visą informaciją kietajame diske ir ekrane parodė tik vieną pranešimą: „Siųsk čekį už 189 USD tokiu ir tokiu adresu“. Išgryninant čekį laidos autorius buvo sulaikytas ir nuteistas už turto prievartavimą.

Taip pat buvo sukurtas pirmasis virusas, neutralizuojantis antivirusinę programinė įranga-- Tamsusis keršytojas. Ji užkrėtė naujus failus, kol antivirusinė programa tikrino HDD kompiuteris.