Яйцо кукушки. История разоблачения легендарного хакера - Клиффорд Столл
Шрифт:
Интервал:
Закладка:
Оба-на! Любой из этих способов мог бы оплодотворить множество компьютеров. Взятые вместе, они формировали дьявольски эффективный вирус. Как гидра: одну голову отрубишь, сто новых вырастают!
Я сказал, вирус?
— Ты знаешь, Клифф, когда работает вирус, он изменяет другие программы. Эта штука другие программы не меняет; она только копирует себя, — объяснял Даррен. — Фактически, это не вирус, это — сетевой червь.
Вирус копирует себя в другие программы, изменяя сами эти программы. Червь копирует себя из одного компьютера в другой, ничего не меняя. Оба они заразны. Вирусы обычно заражают персональные компьютеры, распространяясь через гибкие диски и скопированные программы. Черви проникают по сетям, распространяясь через любые соединения, используемые для электронной почты и переговорных взаимодействий.
Был то червь или вирус, но тот, кто его создал, нарочно понаставил капканы, чтобы помешать понять его. Он уничтожает любую улику. Снова кукушкины яйца…
В 6 часов утра, в четверг, я размышляю об отложениях червя: бедствие назревает, и надо предупредить. Я позвонил в Операционный Центр сети Арпанет. Даже если они отключат всю сеть, червь будет размножаться по локальным сетям. Лучше позвонить в Национальный Центр компьютерной безопасности. Кого я там знаю? Боба Морриса, их главного ученого. Я знал, что Боб Моррис был за своим компьютером в 6.30 утра в четверг. Я мог видеть, что он подключился к главному компьютеру Агентства Национальной Безопасности. Послав сообщение этой машине, я позвонил ему по телефону.
— Привет, Боб. У нас трудности. По сети Арпанет распространяется вирус, и он заражает ЮНИКС-компьютеры.
— Когда он стартовал?
— Около полуночи, мне кажется. Может быть, раньше, точно не знаю. Я всю ночь пытаюсь с ним разобраться.
— Как он распространяется?
— Через дыру в почтовой программе системы ЮНИКС.
— SendMail? Проклятье! Я знаю про нее несколько лет.
— Тот, кто написал этот вирус, должно быть, веселится, но для всех нас это суровый день.
— Есть какие-нибудь мысли о том, кто его запустил?
— Нет.
— Не беспокойся. Я посмотрю, что могу сделать.
Ладно, я предупредил официальных специалистов. Будучи главным ученым Национального Центра компьютерной безопасности, Боб мог разбудить свои войска и начать выяснять подноготную вируса. Я еще какое-то время пялился на экран, но потом, запахнув купальный халат, заснул прямо на клавиатуре. Через два часа зазвонил телефон. На проводе Дон Альварец из Массачусеттского Технологического Института.
— Эй, Клифф, — сказал он, — творится что-то странное. На нашем компьютере идет сотня заданий. Попахивает вирусом.
— Что, вы тоже его подцепили?
Мы сравнили наши наблюдения и быстро поняли, что заражены системы ЮНИКС по всей стране. Придется ставить заплаты на ошибки в системах.
— Есть только два способа понять этот вирус, — сказал Дон. — Первый — диассемблировать его. Идти по машинному коду шаг за шагом и выяснять, что он делает.
— Отлично, — сказал я. — Это я уже пробовал, и это не так просто. Какой другой способ?
— Считать его черным ящиком. Смотреть, как он посылает сигналы и пытаться понять, что внутри.
— Есть еще третий способ, Дон.
— Какой?
— Найти, кто его написал.
Я просмотрел новости: Питер Ай и Кейт Бостик из Калифорнийского университета в Беркли описали дыры в системе ЮНИКС и даже опубликовали способ исправления программного обеспечения. Неплохо!
Джон Рохлис, Стен Занаротти, Тед Дзо и Марк Эйчин из МТИ разбирали программу на части, переводя биты и байты в идеи. К вечеру четверга группы из МТИ и Беркли диассемблировали код и были в состоянии его понять.
Майк Муусс тоже здорово продвинулся. Он построил тестовую оболочку вируса и использовал программный инструмент для анализа. Из экспериментов он понял, как вирус распространяется и через какие дыры заражает другие компьютеры.
Около одиннадцати часов утра мне позвонили из Национального Центра Компьютерной Безопасности АНБ.
— Клифф, это ты написал вирус? — спросил незнакомый голос.
Совсем с ума посходили?!
— Нет, черт побери! Я всю прошлую ночь пытался его уничтожить!
— Тебя считают наиболее вероятным автором. Я проверяю.
Их звонок заставил меня задуматься. Кто написал вирус? Почему? Вдруг вирус не напишешь. Его надо создавать неделями.
Во второй половине дня я позвонил Бобу Моррису.
— Какие новости? — спросил я его.
— В порядке исключения скажу тебе правду, — ответил Боб. — Я знаю, кто написал этот вирус.
— И ты собираешься сказать это мне?
— Нет.
Вот это — профессионально. Через десять часов после того, как я им позвонил, Национальный Центр компьютерной безопасности нашел виновника. Но я-то не нашел. Придется снова рыскать по сетям. Если бы я только мог найти компьютер, зараженный первым. Нет, это не годится. Их тут тысячи.
Позвонил Джон Маркофф, репортер Нью-Йорк Таймс.
— До меня дошел слух, что тот, кто написал этот вирус, имеет инициалы РТМ. Это может как-то помочь?
— Не слишком, но я проверю.
Я подключаюсь к Информационному Центру Сети и ищу кого-нибудь с инициалами РТМ. Выскакивает один парень: Роберт Т. Моррис. Адрес: Гарвардский университет, Айкеновская лаборатория. Это за три квартала от моего дома. Пожалуй, надо прогуляться. Айкеновская компьютерная лаборатория — уродливое современное здание из железобетона, окруженное старыми викторианскими шедеврами. Я подошел к секретарше.
— Привет. Я ищу Роберта Морриса.
— Первый раз слышу, — сказала она. — Но проверю.
Она печатает на своем терминале:
Finger Morris
Ее компьютер отвечает:
Login name: РТМ in reallife: Robert T.Morris
Phone: 617/498-2247
Last login Thu Nov 3 00:25 on ttyp2 from 128.84.254.126
Регистрационное имя:… Настоящее имя:…
Телефон:…
Последнее подключение Четверг 3 ноября 0 ч.25 мин от…
Ну вот, последний раз Роберт Моррис использовал Гарвардский компьютер в 25 минут пополуночи, и утром после этого появился вирус. Но это не здесь, в Массачусеттсе. Этот адрес, 128.84.254.126, в Корнелльском университете. Он вошел в Гарвардскую систему с компьютера Корнелльского университета. Странно.
Секретарша смотрит на сообщение, потом в потолок и говорит: «О, он, наверно, когда-то был здесь студентом. Этот номер телефона в комнате 111.»
Отыскиваю комнату 111, стучу в дверь. Выглядывает студент в ковбойке. Я спрашиваю: «Слышал о Роберте Моррисе?» Он побледнел. «Да. Его здесь больше нет». И захлопнул дверь перед моим носом. Я отхожу, задумываюсь, потом возвращаюсь. «Ты слышал что-нибудь про вирус?» — спрашиваю парня через закрытую дверь.
— О, РТМ никогда не сделал бы этого, я уверен.
Минуточку. Я еще не обвинил, а парень уже отрицает.
— Когда Моррис последний раз пользовался гарвардскими компьютерами?
— В прошлом году, когда был студентом. Теперь он в Корнелле и больше не подключается к нашему компьютеру.
Рассказ парня не