Читаем Яйцо кукушки. История разоблачения легендарного хакера полностью

Phone: 617/498-2247

Last login Thu Nov 3 00:25 on ttyp2 from 128.84.254.126

Регистрационное имя:… Настоящее имя:…

Телефон:…

Последнее подключение Четверг 3 ноября 0 ч.25 мин от…

Ну вот, последний раз Роберт Моррис использовал Гарвардский компьютер в 25 минут пополуночи, и утром после этого появился вирус. Но это не здесь, в Массачусеттсе. Этот адрес, 128.84.254.126, в Корнелльском университете. Он вошел в Гарвардскую систему с компьютера Корнелльского университета. Странно.

Секретарша смотрит на сообщение, потом в потолок и говорит: «О, он, наверно, когда-то был здесь студентом. Этот номер телефона в комнате 111.»

Отыскиваю комнату 111, стучу в дверь. Выглядывает студент в ковбойке. Я спрашиваю: «Слышал о Роберте Моррисе?» Он побледнел. «Да. Его здесь больше нет». И захлопнул дверь перед моим носом. Я отхожу, задумываюсь, потом возвращаюсь. «Ты слышал что-нибудь про вирус?» — спрашиваю парня через закрытую дверь.

— О, РТМ никогда не сделал бы этого, я уверен.

Минуточку. Я еще не обвинил, а парень уже отрицает.

— Когда Моррис последний раз пользовался гарвардскими компьютерами?

— В прошлом году, когда был студентом. Теперь он в Корнелле и больше не подключается к нашему компьютеру.

Рассказ парня не соответствует записям компьютера. Правду говорит кто-то один. Я склонен больше доверять компьютеру.

Мы поговорили минут пять, и этот парень рассказал мне, что он — хороший приятель Морриса, что они работали вместе в одной комнате и что РТМ никогда не стал бы писать компьютерный вирус.

Моррис наверняка общается с этим парнем, и оба они напуганы. Я бы тоже испугался. Пол страны ищет создателя вируса.

Откуда вирус стартовал? Я проверил другие компьютеры в Кембридже, выискивая подключения к Корнеллу. Одна машина, находящаяся в лаборатории искусственного интеллекта МТИ, показала подключения от компьютера Роберта Морриса в Корнелле поздно ночью.

Так. Вирус был разработан в Корнелле. Затем его создатель использовал сеть Арпанет для подключения к МТИ и выпустил вирус там. Чуть позже запаниковал, когда понял, что создание вышло из-под контроля. Тогда он подключился к гарвардскому компьютеру либо чтобы проверить, как развивается вирус, либо чтобы попросить помощи.

Оба-на! Роберт Т. Моррис-младший был сыном Боба… то есть, Роберта Морриса-старшего. Да, того самого, который вчера сказал, что давно знал о дыре в программе SendMail. Того, который пытал меня по астрофизике, а потом едва не удушил сигаретным дымом.

Итак, сын Боба Морриса заразил две тысячи компьютеров. Почему? Чтобы произвести впечатление на папу? В качестве шутки ко Дню Всех Святых? Чтобы пофорсить перед парой тысяч программистов?

Какова бы ни была его цель, я не верю, что он был в сговоре с отцом. Сомневаюсь, что Боб потворствовал бы кому-нибудь в написании вируса. Как он говорил, «это нехороший знак для карьеры в АНБ».

После исследования кода Джон Рохлис из МТИ охарактеризовал вирус как «не очень хорошо написанную программу». Уникальность его была в том, что он атаковал компьютеры по четырем направлениям: ошибки в программах SendMail и Finger системы ЮНИКС, угадывание паролей и использование в своих целях путей доверия между компьютерами. Кроме того, Моррис несколькими способами закамуфлировал программу, чтобы затруднить ее выявление. Однако, он сделал несколько программных ошибок — например, выставил неверную скорость размножения, — и такую программу-червь, пожалуй, могли написать многие студенты или программисты. Все, что требуется, — это знание изъянов системы ЮНИКС и отсутствие всякого понятия об ответственности.

После того, как стало ясно, как этот вирус-червь заражает компьютеры, стало очевидным лечение: починить программы Sendmail и Finger, сменить пароли и уничтожить копии вируса. Очевидно — да. Легко — нет. Реализовать это непросто, когда каждый отрубает свою систему электронной почты. Помимо всего прочего, не забудьте, как невероятно активно этот червь разбрасывает повсюду своих потомков. Медленно, но дело пошло. За пару дней червь Морриса был благополучно задавлен.

Но как защититься от других вирусов? Положение вещей не сильно обнадеживает. Поскольку вирусы маскируются под секции законных программ, их трудно выявить. Программист должен декомпилировать код; это долгая, скучная работа. К счастью, вирусы редки. Как правило, они бьют по тем, кто обменивается программным обеспечением. Обычно такие люди достаточно грамотны и делают запасные копии своих дисков.

Компьютерные вирусы специализируются: вирус, который работает на ИБМ, ничего не может сделать Макинтошу или ЮНИКС-компьютеру. Аналогично, вирус сети Арпанет мог бы ударить только по системам, работающим под операционной системой ЮНИКС из Беркли. Разнообразие работает против вирусов. Биологические вирусы специализируются точно так же: мы не можем подцепить грипп от собаки. Бюрократы и менеджеры всегда будут агитировать нас за стандартизацию: «Давайте использовать только рабочие станции Сан» или «Покупайте только системы ИБМ». Нет. Мы можем процветать только через многообразие.