— и на том, что закон не отражает специфику функционирования компьютеров в 1990-х годах: в законе речь идет о несанкционированных действиях в отношении отдельного компьютера, а в рассматриваемом случае была поражена многомашинная система — компьютерная сеть.
Прежде чем признать Морриса виновным, суд достаточно быстро установил несколько признаков преступления. Самым большим мошенничеством во всей этой истории является то, что Моррис вошел в сеть для запуска вируса без авторизации.
Суд определил, что вирус Морриса причинил ущерб не менее чем на 1 000 долларов, хотя власти представили более 40 свидетельств, которые в совокупности утверждают, что за счет потери производительности вирус Морриса обошелся не менее чем в 150 000 долларов, а промышленная ассоциация по компьютерным вирусам оценила стоимость потерянного времени и людских ресурсов, а также сверхурочных затрат на удаление вируса из тысяч компьютеров примерно в 100 000 000 долларов.
Защита особенно настаивала на том, что вирус не поразил системы, связанные с обработкой денег; власти вынуждены были признать, что все трудности заключались в выключении машины, отсоединении ее от сети, повторном включении и проверке.
Далее, защита подчеркивала факт, что ресурсы в основном были затрачены на приведение нарушенной системы безопасности в состояние, предшествовавшее атаке, и на дизассемблирование обнаруженного вируса с целью выяснения его опасности. При этом, поскольку электронная почта сети во время вирусной атаки не работала, многие абоненты часами пытались дизассемблировать вирус, не подозревая, что это уже сделано другими абонентами.
Другим доводом защиты был тезис о том, что доказанные разрушения не обязательно являются прямым следствием работы вируса, то есть затраты ресурсов могли быть вызваны чем-либо помимо вируса. Например, имелись показания о том, что значительное время пользователями было затрачено на проверку отсутствия в вирусе «троянских коней», «часовых бомб» или каких-либо иных разрушительных программных средств. В действительности вирус не содержал подобных элементов, поэтому защита объявила неправомочными попытки возложить на Морриса ответственность за длительные усилия, направленные на то, чтобы разрушить собственные необоснованные подозрения.
Защита подчеркнула также тот факт, что электронную почту мог использовать кто угодно для связи с кем угодно, причем без согласия на то адресата, тогда как обе эти программы в процессе работы занимают мощности и память получателя. На основании этого Гидобони высказал утверждение, что все, кто авторизован в Internet, имеют привилегии, достаточные для использования Sendmail и Finger для связи с другими пользователями, и, более того, невозможно установить, кто именно обратился к данному абоненту, поскольку для обращения к любому абоненту никакой авторизации не требуется вообще. При этом Гидобони справедливо заметил, что подразумеваемая эффективность авторизации состоит в обязательной уникальной идентификации каждого пользователя при каждом вхождении в систему, в частности в Internet.
Небольшое препирательство на суде между защитой и обвинением произошло по поводу того, имело ли бы место нарушение закона, если бы Моррис не допустил программной ошибки. Эксперт Департамента Юстиции Марк Раш заявил, что если бы вирус работал точно так, как было задумано автором, администраторы узлов сети потеряли бы время на локализацию и удаление вируса; следовательно, существенный ущерб был бы нанесен даже в том случае, если бы ошибка не была допущена.
Хотя защитник не стал оспаривать этот вывод сразу, вне зала заседаний он заявил, что если бы программа работала так, как задумывал его клиент, никакого ущерба не было бы вообще; и прояви некоторые администраторы немного любознательности в отношении появившегося вируса, они вполне смогли бы проанализировать его на основании достаточного количества сообщений о вирусе, поступавших от других пользователей.
Сколько стоил вирус Морриса
По самым скромным оценкам, инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 98 миллионов долларов. Ущерб был бы гораздо большим, если бы вирус изначально создавался с разрушительными целями.
Столь необычайно большая сумма ущерба объясняется гигантскими масштабами пораженных сетей (в основном — Internet) и значительным количеством пораженных систем. Internet объединяет 1200 отдельных сетей, состоящих в целом из 85 000 узловых компьютеров. Вирус поразил свыше 6 200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Пользователи, чья деятельность зависит от доступа к сети, оказались полностью изолированы, то есть продуктивность их работы резко снизилась. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. Потеря доступа и вынужденный простой машин являются косвенными потерями, связанными с инцидентом, и оцениваются в сумму примерно 65 миллионов долларов.
Прямой ущерб состоит прежде всего в затратах времени специалистов на определение пораженных систем, дезинфицирование этих систем и восстановление их нормальной работоспособности. В первые часы атаки мало кто знал алгоритм работы вируса, поэтому большинству систем работоспособность была возвращена только после дезинфекции. Процесс дезинфекции потребовал десятки тысяч человеко-часов. После дезассемблирования вируса сотни программистов по всей стране занялись разработкой ловушек для вируса и созданием «заплат» на месте обнаруженных вирусом «дыр» в подсистеме безопасности своих систем. Эти затраты также оцениваются в десятки тысяч человекочасов рабочего времени. Перечисленные здесь и другие виды деятельности, связанные с вирусом и продолжавшиеся иногда на протяжении недель, оцениваются в 796 000 человеко-часов, что при принятой в США средней стоимости часа работы программиста в 22 доллара составляет свыше 17 миллионов долларов.
Время, затраченное администраторами и операторами, несколько меньше времени, затраченного программистами, и составляет свыше 300 000 часов. При средней стоимости часа работы персонала этого уровня в 42 доллара, общая стоимость потерь составляет свыше 15 миллионов долларов.
«…По свидетельству „Нью-Йорк Таймс“, представители Пентагона, стремясь умерить опасения, что ключевые военные компьютеры уязвимы для подобных диверсий, заявили, что такой вирус не может проникнуть в секретные компьютерные сети, управляющие системами ядерного оружия и хранящие в памяти военные планы». Однако эксперты указывают, что происшедший случай свидетельствует о том, сколь уязвима компьютерная сеть.
В январе 1981 года с целью определения пригодности предлагаемых различными разработчиками компьютерных систем для нужд DoD был создан Центр компьютерной безопасности Министерства обороны США. Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности (National Computer Security Center; NCSC) и перешел под ласковое крылышко Агентства национальной безопасности (national Security Agency; NSA).
Таким образом, NCSC обязан рождением Пентагону. Но на деле все обстоит гораздо интереснее: Роберт Таппан Моррис является сыном одного из наиболее известных правительственных экспертов по компьютерной безопасности — научного руководителя NCSC! Каково!
Эффект будет более поразительным, если учесть, что во время доклада Конгрессу в 1983 году именно Моррис-старший говорил о возможности обмана технически образованными новичками специалистов по безопасности как о «совершенном нонсенсе».
Но и это еще не все! Оказывается, баловство с компьютерными вирусами для Моррисов чуть ли не семейная традиция: Моррис-старший, работая в 60-х годах в Bell Laboratories, принимал участие в создании игры, основанной на компьютерном вирусе. Ядром этой игры, которая называлась Core Wars, была программа, которая могла размножаться и пыталась разрушить программы других игроков.