You talk of times of peace for all, and then prepare for war
7. Если она имеет SYSPRV, то блокирует почту учетной записи SYSTEM.
8. Если она имеет SYSPRV, то изменяет процедуру выполнения команд при входе в систему так, как если бы стирались все файлы пользователя (но в действительности не делает этого).
9. Затем программа сканирует логическую таблицу учетных записей для командных процедур и стремится изменить учетную запись FIELD на известный пароль с логином из любого источника и всеми привилегиями. Это примитивный вирус, но он очень эффективен, если проникает в высокопривилегированную учетную запись.
10. Программа приступает к попытке проникновения в другую систему путем случайного выбора номеров узлов. Кроме того, она использует функцию PHONE для получения списка активных пользователей удаленных систем. Она начинает беспокоить их, звоня им с помощью PHONE.
11. Затем программа стремится получить доступ к файлу RIGHTLIST и пытается получить доступ к какой-либо удаленной системе с помощью найденных пользователей и списка «стандартных» пользователей, заложенного в червя. Она ищет пароли, идентичные названиям учетных записей или просто пустые, и регистрирует все такие учетные записи.
12. Она ищет учетную запись, которая имеет доступ к SYSUAF.DAT.
13. Если привилегированная учетная запись обнаружена, программа копируется в эту учетную запись и запускается. Если привилегированная учетная запись не найдена, программа копируется в другие учетные записи, выбранные случайным образом.
14. Как только программа завершает работу в системе, она случайным образом выбирает другую, и все повторяется (и так до бесконечности).
Ответные меры:
1. Прилагаемая программа заблокирует червя. Воспользуйтесь приведенным ниже кодом и запустите ее (это потребует минимальных ресурсов). Она создаст процесс под названием NETW_BLOCK, который предупредит запуск червя.
ПРИМЕЧАНИЕ: Настоящая версия программы будет работать только с этой версией червя.
Видоизмененные черви потребуют модификации этого кода, тем не менее эта программа будет защищать от вторжения червя достаточно долго, чтобы обезопасить вашу систему от новых нападений червя.[12]
Программа Мак-Магона тоже была готова к запуску в понедельник, но он столкнулся с барьерами, существующими в NASA. Работа в агентстве требовала умения балансировать, представляя своего рода балет, требующий совершенной хореографии, чтобы выполнять свою работу, соблюдать формальные требования и не наступать на мозоль тому или иному начальнику. Поэтому анти-WANK-программа NASA была выпущена только несколько дней спустя.
В Министерстве энергетики тоже не обошлось без проблем с запуском анти-WANK-программы и консультациями в HEPNET. 17 октября в 17 часов 04 минуты по тихоокеанскому времени, когда Оберман был готов закончить последний параграф своего окончательного сообщения о черве, пол у него под ногами вздрогнул. Здание затряслось. Кевин Оберман оказался в центре сан-францисского землетрясения 1989 года.
Землетрясение в Лома-Приета силой в 7,1 балла по шкале Рихтера прокатилось по Сан-Франциско и окрестностям. В своей компьютерной лаборатории Оберман приготовился к худшему. Как только толчки закончились и он убедился, что компьютерный центр все еще стоит, он снова сел к терминалу. Под вопли динамиков внутренней радиосети, призывающих весь персонал немедленно покинуть здание, Оберман в спешке заканчивал последнее предложение доклада. Он на секунду задумался, а затем добавил постскриптум, в котором шла речь о том, что если абзац не слишком связан, так только потому, что его мысли смешались из-за толчков землетрясения, обрушившегося на Ливерморскую лабораторию. Он нажал клавишу, отправляя окончательный вариант сообщения о черве WANK, и выбежал из здания.
На восточном побережье в офисе SPAN продолжалась работа по оказанию помощи тем, кто звонил с пораженных сайтов NASA. Список сайтов, сообщавших о нападении червя, неуклонно рос всю неделю. Официальные оценки масштабов атаки червя WANK были неопределенными, однако профессиональные издания, такие как Network World и Computer World, сообщали, что червь успешно проник всего лишь в 60 VMS-компьютеров космического агентства. Менеджер по безопасности SPAN Рон Тенкати насчитал в той части сети, которая относилась к NASA, только 20 успешных вторжений, но другая внутренняя оценка гораздо выше – 250–300 машин. Каждая из этих машин могла обслуживать 100 и более пользователей. Оценки сильно отличаются, в сущности же, от червя пострадали все 270 000 учетных записей в сети: либо из-за отключения части сети, либо из-за постоянных попыток червя войти в систему с уже зараженного сайта. К концу нападения червя офис SPAN составил список пораженных сайтов, который даже в две колонки занял площадь в несколько страниц дисплея. Каждый из них так или иначе пострадал от червя.
Также к концу кризиса группа менеджеров компьютерной сети NASA и Министерства энергетики определилась с тем, какие требуются «вакцины», «противоядия» и «анализы крови». Мак-Магон выпустил свою программу ANTIWANK.COM, которая убивала червя и делала системе «прививку» против возможных атак в будущем, а также распространил WORM-INFO.TEXT, содержавший список признаков заражения червем. Программа Обермана, названная [.SECURITY]CHECK_SYSTEM.COM, латала все прорехи в системах безопасности, которые использовал червь для проникновения в компьютерную систему. У DEC также появилась возможность заделать дыру в системе безопасности учетной записи DECNET.
Каково бы ни было реальное число зараженных машин, несомненно, что червь совершил кругосветное путешествие. Из компьютеров Годдардовского центра в Мэриленде и Лаборатории имени Ферми в Чикаго он добрался до европейских сайтов (например, до сайта ЦЕРНа – Европейского совета по ядерным исследованиям в Швейцарии) и перелетел Тихий океан, оказавшись в Японии (в Riken Accelerator Facility).[13]
Официальные лица NASA заявили прессе, что, по их мнению, червь был запущен около 4.30 утра в понедельник 16 октября.[14] А также то, что червь пришел из Европы, возможно из Франции.
Среда, 18 октября 1989 года
Космический центр имени Кеннеди, Флорида
Пять членов экипажа «Атлантиса» получили в среду утром не слишком приятные известия. Метеорологи с сорокапроцентной вероятностью предсказывали дождливую и облачную погоду в районе стартовой площадки. А затем произошло землетрясение в Калифорнии.
Космический центр имени Кеннеди был не единственным местом, от чьей безукоризненной работы зависел успех запуска. Таковые были во множестве и за пределами Флориды. Среди них была база ВВС Эдвардс (Калифорния), где челнок должен был совершить посадку в понедельник. Были и другие места, в основном военные базы, необходимые как для слежения за шаттлом, так и для другой технической поддержки экспедиции. Одним из них была станция слежения на базе ВВС Онизука в Саннивэйл, Калифорния. Толчки, встряхнувшие район залива, повредили станцию, и чиновники NASA, ответственные за принятие решений, решили встретиться в среду утром для оценки ситуации в Саннивэйл. Несмотря на все это, агентство сохраняло спокойствие и невозмутимость. Вопреки техническим проблемам, судебному преследованию, демонстрантам, капризам погоды, стихийным бедствиям и червю WANK, NASA по-прежнему контролировало ситуацию.
«Там нанесен некоторый ущерб, но мы не знаем, насколько он серьезен. Тем не менее я считаю, что в целом все неплохо, – заявил пресс-атташе NASA агентству ЮПИ. – Но все же проблемы есть».[15] В Вашингтоне пресс-секретарь Пентагона тоже успокаивал общественность. «Они смогут осуществлять слежение за челноком и поддерживать полет… Они сделают свое дело».[16]
12
Это предупреждение опубликовано с разрешения CIAC и Кевина Обермана. CIAC настояла на публикации следующего заявления:
«Этот документ был подготовлен в результате работы агентства Правительства Соединенных Штатов. Ни Правительство США, ни университет Калифорнии, ни один из служащих этих институтов не несет никаких гарантий, специальных или предполагаемых, и не принимает на себя никаких законных обязательств и никакой ответственности за точность, полноту или пригодность любой информации, приборов, продукта или описания процесса, и не гарантирует, что их использование не станет нарушением закона о частной собственности. Имеющиеся ссылки на любые специальные коммерческие продукты, процессы или услуги, обозначенные торговым именем, торговой маркой, названием производителя или как-либо иначе, не обязательно являются или требуют их подтверждения, рекомендации или предпочтения Правительством Соединенных Штатов или университета Калифорнии. Точка зрения и мнение авторов не обязательно являются или выражают точку зрения или мнение Правительства Соединенных Штатов или университета Калифорнии, и не могут быть использованы в целях рекламы или поддержки какой-либо продукции».
13
Michael Alexander and Maryfran Johnson, «Worm Eats Holes in NASA’s Decnet», Computer World, 23 October 1989, p. 4.
14
Ibid.
15
William Harwood, «Shuttle Launch Rained Out», UPI, 17 October 1989.
16
Vincent Del Guidice, «Atlantis Set for Another Launch Try», UPI, 18 October 1989.