Яйцо кукушки. История разоблачения легендарного хакера - Клиффорд Столл

вирус располагал встроенным отгадыванием пароля. Он пытался войти в компьютеры, используя несколько сотен общеупотребительных паролей. Если он угадывал действующий пароль, он копировал себя в этот компьютер и стартовал снова.

Оба-на! Любой из этих способов мог бы оплодотворить множество компьютеров. Взятые вместе, они формировали дьявольски эффективный вирус. Как гидра: одну голову отрубишь, сто новых вырастают!

Я сказал, вирус?

— Ты знаешь, Клифф, когда работает вирус, он изменяет другие программы. Эта штука другие программы не меняет; она только копирует себя, — объяснял Даррен. — Фактически, это не вирус, это — сетевой червь.

Вирус копирует себя в другие программы, изменяя сами эти программы. Червь копирует себя из одного компьютера в другой, ничего не меняя. Оба они заразны. Вирусы обычно заражают персональные компьютеры, распространяясь через гибкие диски и скопированные программы. Черви проникают по сетям, распространяясь через любые соединения, используемые для электронной почты и переговорных взаимодействий.

Был то червь или вирус, но тот, кто его создал, нарочно понаставил капканы, чтобы помешать понять его. Он уничтожает любую улику. Снова кукушкины яйца…

В 6 часов утра, в четверг, я размышляю об отложениях червя: бедствие назревает, и надо предупредить. Я позвонил в Операционный Центр сети Арпанет. Даже если они отключат всю сеть, червь будет размножаться по локальным сетям. Лучше позвонить в Национальный Центр компьютерной безопасности. Кого я там знаю? Боба Морриса, их главного ученого. Я знал, что Боб Моррис был за своим компьютером в 6.30 утра в четверг. Я мог видеть, что он подключился к главному компьютеру Агентства Национальной Безопасности. Послав сообщение этой машине, я позвонил ему по телефону.

— Привет, Боб. У нас трудности. По сети Арпанет распространяется вирус, и он заражает ЮНИКС-компьютеры.

— Когда он стартовал?

— Около полуночи, мне кажется. Может быть, раньше, точно не знаю. Я всю ночь пытаюсь с ним разобраться.

— Как он распространяется?

— Через дыру в почтовой программе системы ЮНИКС.

— SendMail? Проклятье! Я знаю про нее несколько лет.

— Тот, кто написал этот вирус, должно быть, веселится, но для всех нас это суровый день.

— Есть какие-нибудь мысли о том, кто его запустил?

— Нет.

— Не беспокойся. Я посмотрю, что могу сделать.

Ладно, я предупредил официальных специалистов. Будучи главным ученым Национального Центра компьютерной безопасности, Боб мог разбудить свои войска и начать выяснять подноготную вируса. Я еще какое-то время пялился на экран, но потом, запахнув купальный халат, заснул прямо на клавиатуре. Через два часа зазвонил телефон. На проводе Дон Альварец из Массачусеттского Технологического Института.

— Эй, Клифф, — сказал он, — творится что-то странное. На нашем компьютере идет сотня заданий. Попахивает вирусом.

— Что, вы тоже его подцепили?

Мы сравнили наши наблюдения и быстро поняли, что заражены системы ЮНИКС по всей стране. Придется ставить заплаты на ошибки в системах.

— Есть только два способа понять этот вирус, — сказал Дон. — Первый — диассемблировать его. Идти по машинному коду шаг за шагом и выяснять, что он делает.

— Отлично, — сказал я. — Это я уже пробовал, и это не так просто. Какой другой способ?

— Считать его черным ящиком. Смотреть, как он посылает сигналы и пытаться понять, что внутри.

— Есть еще третий способ, Дон.

— Какой?

— Найти, кто его написал.

Я просмотрел новости: Питер Ай и Кейт Бостик из Калифорнийского университета в Беркли описали дыры в системе ЮНИКС и даже опубликовали способ исправления программного обеспечения. Неплохо!

Джон Рохлис, Стен Занаротти, Тед Дзо и Марк Эйчин из МТИ разбирали программу на части, переводя биты и байты в идеи. К вечеру четверга группы из МТИ и Беркли диассемблировали код и были в состоянии его понять.

Майк Муусс тоже здорово продвинулся. Он построил тестовую оболочку вируса и использовал программный инструмент для анализа. Из экспериментов он понял, как вирус распространяется и через какие дыры заражает другие компьютеры.

Около одиннадцати часов утра мне позвонили из Национального Центра Компьютерной Безопасности АНБ.

— Клифф, это ты написал вирус? — спросил незнакомый голос.

Совсем с ума посходили?!

— Нет, черт побери! Я всю прошлую ночь пытался его уничтожить!

— Тебя считают наиболее вероятным автором. Я проверяю.

Их звонок заставил меня задуматься. Кто написал вирус? Почему? Вдруг вирус не напишешь. Его надо создавать неделями.

Во второй половине дня я позвонил Бобу Моррису.

— Какие новости? — спросил я его.

— В порядке исключения скажу тебе правду, — ответил Боб. — Я знаю, кто написал этот вирус.

— И ты собираешься сказать это мне?

— Нет.

Вот это — профессионально. Через десять часов после того, как я им позвонил, Национальный Центр компьютерной безопасности нашел виновника. Но я-то не нашел. Придется снова рыскать по сетям. Если бы я только мог найти компьютер, зараженный первым. Нет, это не годится. Их тут тысячи.

Позвонил Джон Маркофф, репортер Нью-Йорк Таймс.

— До меня дошел слух, что тот, кто написал этот вирус, имеет инициалы РТМ. Это может как-то помочь?

— Не слишком, но я проверю.

Я подключаюсь к Информационному Центру Сети и ищу кого-нибудь с инициалами РТМ. Выскакивает один парень: Роберт Т. Моррис. Адрес: Гарвардский университет, Айкеновская лаборатория. Это за три квартала от моего дома. Пожалуй, надо прогуляться. Айкеновская компьютерная лаборатория — уродливое современное здание из железобетона, окруженное старыми викторианскими шедеврами. Я подошел к секретарше.

— Привет. Я ищу Роберта Морриса.

— Первый раз слышу, — сказала она. — Но проверю.

Она печатает на своем терминале:

Finger Morris

Ее компьютер отвечает:

Login name: РТМ in reallife: Robert T.Morris

Phone: 617/498-2247

Last login Thu Nov 3 00:25 on ttyp2 from 128.84.254.126

Регистрационное имя:… Настоящее имя:…

Телефон:…

Последнее подключение Четверг 3 ноября 0 ч.25 мин от…

Ну вот, последний раз Роберт Моррис использовал Гарвардский компьютер в 25 минут пополуночи, и утром после этого появился вирус. Но это не здесь, в Массачусеттсе. Этот адрес, 128.84.254.126, в Корнелльском университете. Он вошел в Гарвардскую систему с компьютера Корнелльского университета. Странно.

Секретарша смотрит на сообщение, потом в потолок и говорит: «О, он, наверно, когда-то был здесь студентом. Этот номер телефона в комнате 111.»

Отыскиваю комнату 111, стучу в дверь. Выглядывает студент в ковбойке. Я спрашиваю: «Слышал о Роберте Моррисе?» Он побледнел. «Да. Его здесь больше нет». И захлопнул дверь перед моим носом. Я отхожу, задумываюсь, потом возвращаюсь. «Ты слышал что-нибудь про вирус?» — спрашиваю парня через закрытую дверь.

— О, РТМ никогда не сделал бы этого, я уверен.

Минуточку. Я еще не обвинил, а парень уже отрицает.

— Когда Моррис последний раз пользовался гарвардскими компьютерами?

— В прошлом году, когда был студентом. Теперь он в Корнелле и больше не подключается к нашему компьютеру.

Рассказ парня не