Червь Морриса: как в интернете появился первый компьютерный вирус

2 ноября 1988 года — день, когда Интернет мог «умереть». И это не в переносном смысле, а буквальном. Любопытный студент желал измерить масштабы Сети, а вместо этого нанес ущерб на сумму в $100 млн.

В то время Интернет был более локальным, не настолько распространен, как в современности. Он объединял американские научные центры и отдельные компании. Вот и задумал аспирант Корнелльского университета Роберт Моррис узнать, насколько же «большой» была Сеть. Позднее его разработку назвали «Червём Морриса».

Хаос в «лице» одного «червя»

Моррис предполагал, что его «детище» будет перебегать между разными узлами, просто измеряя расстояние, без вреда для них. «Червь» пользовался уязвимостями в серверных программах и простейшим словарем, содержащим распространенные пароли.

И этого оказалось достаточно, чтобы к вечеру дня запуска устроить настоящий компьютерный апокалипсис. Системные администраторы даже не предполагали, что может быть совершена атака извне, поэтому серверы были лишены «заплаток». Защита имела столько дыр, что буквально приглашала «червя» внутрь. Немалую роль сыграла и простота паролей: большинство из них современные хакеры смогли бы подобрать, не глядя на экран.

Уже через 6-10 часов с момента запуска под контроль программы попало свыше 6 000 узлов. Это 10-я часть от всех вычислительных мощностей того времени. Пострадали университеты, научные лаборатории, крупные компании и даже военные, подсоединенные к общей сети. Отдельным организациям потребовалось «покинуть интернет» на пару дней, чтобы полностью очистить следы вредоносного ПО.

Как работал «Червь»

Структура первого в мире компьютерного вируса была очень простой — это «голова» и два «хвоста». «Голова» — исходный текст на языке C (99 строк), собранная на удаленной машине. «Хвосты» одинаковые, но сделаны под разную архитектуру.

«Голова» могла быть заброшена разными способами. Например, в самом старом сетевом сервисе Sendmail использовался отладочный режим или же вирус «переполнял буфера» в finder. Разумеется, был и более примитивный способ — это подбор логина и пароля для авторизации.

Сервис Sendmail стал роковой слабостью всей системы. По ошибке в нем оставили возможность, о которой не распространялись. Разработчики сохранили открытым отладочный режим. Одна из его возможностей состояла в том, что пришедшее сообщение обрабатывал не сам сервис, а сторонняя программа, чем и воспользовался червь.

В сообщении, посылаемом вирусом, не было заголовков, а при его прочтении сохранялся файл исходного кода «головы». После процессор запускал сборку кода «головы», а временные файлы стирались. Червь проникал в систему, не оставляя за собой следов.

Не менее интересным является способ с подбором паролей и логинов. Система автоматически формировала перечень пользователей локальной машины. Список помогал подобрать самые встречаемые комбинации. На удивление, у большинства пользователей были одинаковые пароли.

Червь пробовал разные простейшие комбинации, включая:

• без пароля (просто «ввод»);
• имя юзера;
• пользовательское имя наоборот;
• инициалы и пр.

Этот подход и привел к массовому распространению компьютерного вируса в Сети. Червь искал удаленные компьютеры через сканирование, используя данные из таблицы маршрутов и собственного IP-адреса зараженной системы.

При этом вирус нельзя назвать примитивным. Он пользовался уловками, чтобы затруднить своё обнаружение. Например, вирус удалял загрузочный файл после инсталляции, отключал сообщения о сбоях, а изначальный файл сохранялся под тем же именем, что и командные процессы и пр. Программа мастерски маскировала себя, не оставляя следов пребывания в сети.

От измерения размеров к разрушению

Творение Морриса было грандиозным, но имело недоработки и на стадии проектирования, и после реализации. Главная ошибка состояла в неправильно выстроенном алгоритме проверки, который и спровоцировал массовое заражение техники.

Планировалось, что червь будет просто сканировать Интернет, отыскивая устройства, на которых он ещё не бывал. Если находился новый компьютер, червь тут же оставлял на нем свою копию. Но одна ошибка привела к фатальным последствиям.

Вирус начал создавать свои копии на уже зараженных устройствах. Один компьютер мог содержать до нескольких сотен «червей». Копии начинали конкурировать за свободные ресурсы, тем самым полностью исчерпывая их. Пользователи не могли запустить выполнение даже простейшей задачи, так как все вычислительные мощности были заняты червем.

Конец «червивого дела»

Любопытство, тяга к исследованиям и элементарная ошибка — всё это привело к суммарному ущербу в $100 млн. Но программист смог замести следы, поэтому у пострадавших не было шансов обвинить его в произошедшем.

Впрочем, отец горе-хакера так не считал. Он был уважаемым экспертом по компьютерам Агентства национальной безопасности, поэтому решил, что сыну не стоить таиться, а следует признать свою вину. В результате Моррис по доброй воле сдался властям, тем самым заслужив почетное звание первого осужденного по закону о компьютерном мошенничестве.

Изначально аспиранта хотели посадить на 5 лет и обязать выплатить штраф в размере $250 000. Но присяжные обратили внимание на чистосердечное признание и раскаяние молодого человека. Юноша не имел злых намерений, а руководствовался исключительно научным интересом. Итоговое наказание — это признание виновным в непреднамеренном нанесении ущерба, 3 года условно, штраф в размере $10 тысяч и 400 часов общественных работ. Можно сказать, что это малая плата за случайность, которая могла «убить Интернет».

Даже вирус может принести пользу

В 1988 году, когда произошел инцидент с червем, программист Питер Нортон резко раскритиковал даже сам факт существования вирусов. Он приравнял случай к «байкам об аллигаторе в нью-йоркских канализациях». Но уже через 2 года вышла первая в мире версия антивируса Norton Antivirus. Видимо, столкнувшись с реальностью, программист изменил своё мнение.

С того момента системные администраторы стали ответственно относится к защите серверов. Устранялись даже малейшие заплатки, которые могли использоваться как лазейки в систему, а программисты по всему миру начали презентовать свои версии антивирусов.