(c) И.Э.Моисеенков Skiped by Werewolves Абсолютно точную последовательность событий в настоящее время восстановить практически невозможно, поскольку, во-первых, во время самой атаки все были заинтересованы прежде всего в быстрой локализации и удалении вируса, а никак не в подробной регистра- ции фактов [B1]; и, во-вторых, потому, что вирус быстро забло- кировал атакуемые вычислительные сети, в результате чего прер- валась связь между пользователями. Специалисты старшего поколения утверждают, что сообщения, про- ходившие в сетях во время вирусной атаки, очень напоминают сообщения о вражеских боевых действиях, поступавших по связи во время Второй мировой войны. Во всяком случае, эти сообщения поз- воляют ощутить полную беспомощность, царившую во время вирусной атаки в различных узлах сети, примерно оценить возможность пользователей понять, что же происходит и сделать выводы относи- тельно требований к системе оказания помощи в подобных ситуа- циях. Итак,2 ноября 1988 года, среда. 17:00 Вирус обнаружен в Корнел- лском университете (Нью-Йорк). 21:00 Вирус обнаружен в системах Стэнфордского университета и фирмы Rand Corporation (Калифорния) 22:00 Вирусом поражена система университета в Беркли. 23:00 Ви- рус обнаружен специалистами отделения математики Принстонского университета (Нью-Джерси). Сначала все обнаружившие вирус подумали, что это очередной ин- цидент, касающийся только их системы. Никто естественно предста- вить себе не мог, какие масштабы примет эпидемия через несколько часов. Тем не менее администраторы атакованных систем послали сообщения о происшедшем. 23:28 В электронной почте VIRUS_L прошло первое сообщение о ви- русе. Сообщается, что атакованы университеты в Дэвис и Сан-Диего Ливерморская лаборатория имени Лоуренса и исследовательский цен- тр НАСА (все в Калифорнии) Вход вируса идентифицируется как SMTP Атакуются все системы 4.3 BSD и Sun 3.X. Отмечается, что вирус распространяется по каналам TELNETD, FTPD, FINGER, RSHD и SMTP. 23:45 Вирус обнаружен в исследовательской лаборатории баллисти- ки. Постепенно стало проясняться, что одни и те же признаки пораже- ния вирусом наблюдают пользователи, находящиеся в разных концах страны. Учитывая совпадение событий по времени, был сделан вы- вод, что национальные компьютерные системы атакованы одним и тем же вирусом, распространяющимся через сети, поскольку иным спосо- бом распространения нельзя было объяснить скорость, с которой вирус появлялся в различных концах США, если, конечно, не пред- положить, что все происходящее результат заранее спланированной и хорошо подготовленной акции некой преступной группы, имеющей доступ ко всем национальным системам. Жизнь администраторов американских систем после установления этого факта, как говорит- ся, переставала быть безинтересной! Для пользователей и системных администраторов атакованных узлов сетей поведение вируса было непостижимым. В некоторых системах в директории /usr/tmp появлялись необычные файлы; в журнальных файлах ряда утилит появлялись странные сообщения. Наиболее при- мечательным, однако, было то, что все более и более повышалась загрузка систем, приводившая в конце концов либо к исчерпанию свободного места, выделенного под свопинг, либо к переполнению системной таблицы процессов - в любом случае это означало блоки- ровку системы. Исходя из названия сетей, в которых вирус был обнаружен, его тут же окрестили вирусом Milnet/Arpanet. Вскоре, однако, выясни- лось, что вирус из Arpanet благополучно перекочевал в сеть Science Internet - и он тут же получает название "вирус Internet". Но после того, как Корнеллский университет высказал косвенно доказанное предположение, что вирус, вероятно, разрабо- тан в его стенах, вирус получает наконец одно из наиболее расп- ространившихся, благодаря стараниям прессы, название - вирус Cornell/Arpanet. Наступило 3 ноября, четверг... 01:00 Сообщения о заражении 15-ти узлов сети Arpanet. 02:00 По- ражена вирусом система Гарвардского университета (Массачусетс). 03:30 Вирус обнаружен в Центре Массачусетского технологического института. 03:46 В сообщении,прошедшем в электронной почте RISKS уточняется, что атакуются системы UNIX - 4.3 BSD - и аналогичные ей Sun, работающие на компьютерах VAX фирмы DEC и компьютерах Sun. Сообщается также, что вирус распространяется через дыры в системе безопасности утилиты электронной почты Sendmail имеющей- ся в составе указанных систем. 04: 00 Поскольку сеть перегружена, распространение вируса заме- дляется; к этому моменту заражены уже более 1000 узлов сети. 05: 15 В университете Карнеги-Меллона в Питтсбурге (Пенсильва- ния) из 100 компьютеров, подключенных к Arpanet, вышло из строя 80. 08:00 Сообщение о вирусе из астрофизического центра Smitho- nian. Впоследствии возникло несколько версий относительно того, как именно и кем был обнаружен вирус. Согласно первой, вирус был обнаружен в ночь со 2 на 3 ноября 1988 года одним из научных со- трудников Ливерморской лаборатории Им. Лоуренса. Обращаясь со своего домашнего терминала к вычислительной системе лаборатории, он заметил необычное повышение интенсивности ее загрузки. Запо- дозрив неладное, сотрудник сообщил об этом дежурному оператору и тот (очевидно руководствуясь инструкцией) сразу же отключил сис- тему от сети Science Internet, по которой распространялся вирус. Специалисты Ливерморской лаборатории действительно могли одними из первых обнаружить вирус. Дело в том, что эта лаборатория, проводившая исследования по программе СОИ и разработку новых видов ядерного оружия, в мае 1988 года уже сталкивалась с виру- сом, после чего, по всей видимости, были приняты дополнительные меры предосторожности и повышена бдительность. Немедленно об инциденте было сообщено Управлению связи МО США (Defence Communication Agency; DCA), в ведении которого находит- ся сеть Arpanet. В три часа ночи о вирусной атаке узнало руко- водство DoD. Однако, несмотря на оперативность извещения, лока- лизовать вирус в сети было уже невозможно. По второй версии извещение о появлении вируса было отправлено неизвестным лицом по компьютерной сети вместе с инструкцией по его уничтожению. Но сеть была перегружена и очень многие вычис- лительные центры не сразу приняли сигнал. Когда же, наконец, на сообщение обратили внимание, было уже поздно. Продолжение следует...