Понедельник, 30 октября 1989 года

Понедельник, 30 октября 1989 года

НАСА, Годдардовский центр космических полетов, Гринбелт, штат Мэриленд

Неделя, начавшаяся 16 октября, показалась невероятно долгой членам команды SPAN. Они работали по двенадцать часов в день и постоянно контактировали с людьми, находившимися на грани истерики. Все же им удалось создать анти-WANK-программы, несмотря на устаревшие данные о SPAN и недостаток нормальных лог-файлов, которые позволили бы проследить, откуда пришел червь. «За эту неделю мы поняли, сколь многими данными не располагаем», – заметил Мак-Магон.

К пятнице, 20 октября, не поступило ни одного нового сообщения о нападениях червя. Все говорило о том, что кризис миновал. Привести дела в порядок могли и без него, так что Мак-Магон вернулся к своей непосредственной работе.

Прошла неделя. Все это время Мак-Магона не покидало беспокойство. Он подозревал, что тот, кто ввязался во всю эту историю с червем, не позволит так быстро уничтожить свое создание. Стратегия ловушки сохраняла эффективность только до тех пор, пока червь сохранял неизменным имя процесса и был запрограммирован не активироваться в уже зараженных системах. Стоило изменить имя процесса или разучить червя самоуничтожаться, и команда SPAN столкнулась бы с новой, еще более серьезной проблемой. У Джона Мак-Магона было предчувствие, что червь в любой момент может вернуться.

Он как в воду глядел.

В следующий понедельник Мак-Магону позвонили из офиса проекта SPAN. Закончив разговор, он заглянул в кабинет своего начальника. Джером Беннетт вопросительно посмотрел на него из-за своего стола.

«Он вернулся, – сказал ему Мак-Магон, и не было нужды объяснять, о ком идет речь. – Я иду в офис SPAN».

Рон Тенкати и Тодд Батлер уже приготовили для Мак-Магона новую копию червя WANK. Эта версия оказалась гораздо опаснее. Она копировала себя намного эффективнее и, следовательно, продвигалась по сети несравненно быстрее. Скорость проникновения обновленного червя была в четыре с лишним раза выше, чем у первоначальной версии WANK. Снова затрезвонили телефоны. Джон принял звонок одного разъяренного администратора, который обрушил на него целую тираду: «Я запустил вашу анти-WANK-программу, в точности выполнил все инструкции, и посмотрите, что случилось!»

Червь изменил имя процесса. Он также получил новое указание – преследовать программу-приманку и уничтожать ее. Теперь сеть SPAN могла быть втянута в настоящую кровавую битву. Этот червь уничтожал не только приманку, но и любую другую копию червя WANK. Даже если бы Мак-Магон изменил имя процесса для своей программы, эта стратегия все равно бы не сработала.

В новой версии червя были и другие усовершенствования. Ранее было известно, что он меняет пароль любой учетной записи, в которую проникает. Уже это было проблемой, но теперь червь менял лишь те пароли, которые предназначались для учетных записей с высоким уровнем доступа. Новый червь был способен не пускать администраторов в их собственные системы.

Обнаружив, что он не может использовать свою учетную запись, администратор мог попытаться одолжить учетную запись обычного пользователя, назовем его Эдвин. К сожалению, учетная запись Эдвина могла иметь более низкий уровень допуска. Даже в опытных руках возможности учетной записи Эдвина оказывались слишком ограничены для того, чтобы уничтожить червя в его новообретенном высоком статусе администратора. Компьютерщик мог убить бог знает сколько времени, меряясь силами с червем с невыгодной позиции учетной записи обычного пользователя. В какой-то момент ему не оставалось ничего, кроме вынужденного решения отключить всю компьютерную систему.

Администратор был вынужден произвести перезагрузку машины. Освободить ее для новой загрузки (с восстановлением исходного состояния), затем запустить ее вновь в минимальной конфигурации. Снова прервать запуск. Зафиксировать пароль, который изменил червь. Выйти из системы. Восстановить некоторые настройки. Снова перезагрузить машину. Закрыть любую возможную щель в системе безопасности, которую червь мог оставить после себя. Изменить все пароли, соответствующие именам пользователей. Холостой запуск большой VMS машины требует времени, в течение которого астрономы, физики и инженеры этого офиса NASA не смогут работать за своими терминалами.

По крайней мере, на этот раз команда SPAN была более подготовлена к встрече с червем. Ее члены были психологически готовы к возможному повторению нападения. Контактная информация по администраторам сети была обновлена. Все сообщество DECNET получило предупреждение о черве с просьбой оказать посильную помощь.

Она пришла из Франции, страны, к которой, кажется, проявлял особенный интерес автор червя. Системный администратор из Института ядерной физики в Орсэ Бернар Перро [Bernard Perrot] получил копию червя, внимательно изучил ее и подметил слабую способность червя контролировать ошибки. Это была его настоящая ахиллесова пята.

Червь был натаскан на базу данных RIGHTLIST, представляющую собой список всех, кто имеет учетные записи в этом компьютере. Что если кто-нибудь переименует и переместит базу данных и поставит на ее место фикцию? Теоретически червь должен последовать за куклой, в которую будет встроена скрытая бомба. Когда червь обнаружит приманку и проглотит ее, она взорвется и он издохнет. Если это произойдет, команде SPAN не придется зависеть от самоубийств червя, как это было во время первого вторжения. Они получат удовлетворение от «собственноручного» уничтожения этого создания.

Рон Тенкати получил копию программы-убийцы французского администратора и передал ее Мак-Магону, который устроил нечто вроде лабораторного мини-эксперимента. Он рассек червя на части и извлек из него необходимые биты, что позволило ему испытать французскую программу почти без риска, что червь сбежит и примется бушевать в системе. Программа работала чудесно. Что ж, вперед! Вторая версия червя была гораздо опаснее, и ее удаление из SPAN заняло куда больше времени, чем в первый раз – почти две недели.

По оценке Мак-Магона червь нанес ущерб примерно в полмиллиона долларов. В основном он состоял в том, что людям приходилось тратить время и средства в погоне за червем, вместо выполнения обычной работы. Это, на его взгляд, была кража. «Впустую потрачены человеческие ресурсы и время, – говорил он, – и произошло это не случайно. Кто-то намеренно заварил эту кашу. В общем, я поддерживаю уголовное преследование тех, кто считает, что взламывать машины забавно. Эти люди, по-моему, не понимают, какие последствия могут иметь их забавы. Они думают, что если вломиться в машину и ничего не тронуть, то ничего страшного не произойдет. Это не так. Вы тратите чужое время. Людям приходится тащиться в офис в неурочный час. Они вынуждены писать информационные сообщения. Масса криков и воплей. За это надо отвечать перед законом. Таково побочное действие чьей-то веселой прогулки по чужой системе, даже если он не причинил вреда. Кто-то должен за это платить».

Мак-Магон так никогда и не узнал, кто создал червя WANK. Он также не понял, что автор хотел сказать этой демонстрацией. Мотивы создателя остались неясны, и даже если в них и был политический смысл, он не вызывал уважения.

Сойдя со сцены, червь WANK оставил массу вопросов, массу запутанных концов, которые все еще пытался распутать Джон Мак-Магон. Может быть, хакер, создавший червя, был против запуска NASA космического аппарата «Галилей» на плутониевом топливе? Что означало совершенно неамериканское слово WANK, – что автор не американец? Почему автор возродил червя и запустил его снова? Почему ни одна политическая или какая-либо иная группа не взяла на себя ответственность за червя WANK?

Одна из загадок заключалась во второй версии червя. Его создатель изменил исходное имя процесса NETW_, по-видимому, для того, чтобы помешать выполнению анти-WANK-программы. Мак-Магон решил, что исходное имя означало NETWANK – логичная догадка, принимая во внимание намерения хакера. Но новое имя процесса поставило в тупик каждого члена в команде SPAN: оно, по-видимому, не означало ничего. Набор букв вряд ли мог составлять инициалы чьего-либо имени. Никто не признал в этом акроним поговорки или аббревиатуру названия организации. И уж, конечно, такого слова не существовало в английском языке. Осталось совершенно непонятно, почему создатель червя WANK, хакер, устроивший вторжение в сотни компьютеров NASA и Министерства энергетики, мог выбрать такое непонятное слово?

Это слово было OILZ.