Читаем Суета вокруг Роберта полностью

вирусе. Сообщается, что атакованы университеты в Дэвис и

Сан-Диего, Ливерморская лаборатория имени Лоуренса и

исследовательский центр НАСА [B3] (все в Калифорнии). Вход

вируса идентифицируется как SMTP. Атакуются все системы 4.3 BSD

и Sun 3.x. Отмечается, что вирус распространяется по каналам

TELNETD, FTPD, FINGER, RSHD и SMTP [B4].

23:45 Вирус обнаружен в исследовательской лаборатории

баллистики. [B5]

Постепенно стало проясняться, что одни и те же признаки поражения вирусом наблюдают пользователи, находящиеся в разных концах страны. Учитывая совпадение событий по времени, был сделан вывод, что национальные компьютерные системы атакованы одним и тем же вирусом, распространяющимся через сети, поскольку иным способом распространения нельзя было объяснить скорость, с которой вирус появлялся в различных концах США, если, конечно, не предположить, что все происходящее результат заранее спланированной и хорошо подготовленной акции некой преступной группы, имеющей доступ ко всем национальным системам. Жизнь администраторов американских систем после установления этого факта, как говорится, переставала быть безинтересной!

Для пользователей и системных администраторов атакованных узлов сетей поведение вируса было непостижимым. В некоторых системах в директории /usr/tmp появлялись необычные файлы; в журнальных файлах ряда утилит появлялись странные сообщения. Наиболее примечательным, однако, было то, что все более и более повышалась загрузка систем, приводившая в конце концов либо к исчерпанию свободного места, выделенного под свопинг, либо к переполнению системной таблицы процессов - в любом случае это означало блокировку системы.

Исходя из названия сетей, в которых вирус был обнаружен, его тут же окрестили вирусом Milnet/Arpanet. Вскоре, однако, выяснилось, что вирус из Arpanet благополучно перекочевал в сеть Science Internet - и он тут же получает название "вирус Internet". Но после того, как Корнеллский университет высказал косвенно доказанное предположение, что вирус, вероятно, разработан в его стенах, вирус получает наконец одно из наиболее распространившихся, благодаря стараниям прессы, название - вирус Cornell/Arpanet. Это название вируса появилось в двух передовых статьях и последующей серии заметок Джона Маркофа, Лоренца М. Фишера, Мишеля Вайнеса, Джеффа Герса и Калвина Симса [B6], опубликованных в "Нью-Йорк Таймс" с 4 по 17 ноября 1988 года.

стр. 13

Вообще для специалистов оказалось приятным сюрпризом то, насколько подробно и грамотно пресса комментировала события. Филипп Гарднер - полковник в отставке, специалист по безопасности компьютеров - написал по этому поводу: "Казалось, репортеры точно знали, у кого можно получить достоверную информацию, и, кроме того, они делали хорошие выводы из того, что эти лица говорили. Это тем более приятно в условиях, когда мы становимся, к несчастью, свидетелями ненормальной тенденции к росту числа 'экспертов' в среде самих журналистов."

Наступило 3 ноября, четверг.

01:00 Сообщения о заражении 15-ти узлов сети Arpanet.

02:00 Поражена вирусом система Гарвардского университета

(Массачусетс).

03:30 Вирус обнаружен в Центре Массачусетского технологического

института (Massachusets Institute of Technologies; MIT).

03:46 В сообщении, прошедшем в электронной почте RISKS, уточняется,

что атакуются системы UNIX - 4.3 BSD - и аналогичные ей Sun,

работающие на компьютерах VAX фирмы DEC и компьютерах Sun фирмы

Sun Microsystems Inc. Сообщается также, что вирус

распространяется через дыры в системе безопасности утилиты

электронной почты Sendmail, имеющейся в составе указанных систем.

04:00 Поскольку сеть перегружена, распространение вируса

замедляется; к этому моменту заражены уже более 1000 узлов сети.

05:15 В университете Карнеги-Меллона в Питтсбурге (Пенсильвания) из

100 компьютеров, подключенных к Arpanet, вышло из строя 80.

08:00 Сообщение о вирусе из астрофизического центра Smithonian.

Впоследствии возникло несколько версий относительно того, как именно и кем был обнаружен вирус.

Согласно первой, вирус был обнаружен в ночь со 2 на 3 ноября 1988 года одним из научных сотрудников Ливерморской лаборатории им.Лоуренса. Обращаясь со своего домашнего терминала к вычислительной

______________________________

[B3] Соответственно, Lawrence Livermore Laboratory и NASA's Aimes Research Center.

[B4] SMTP расшифровывается как простой протокол передачи почты Simple Mail Transfer Protocol; FTP - как протокол передачи файлов File Transfer Protocol; а TELNET является названием протокола эмуляции терминала. Эти протоколы являются подпротоколами TCP/IP, созданными для реализации соответствующих функций.

[B5] Army Ballistic Research Laboratory.

[B6] John Markoff, Lawrence M. Fisher, Michael Wines, Jeff Gerth, Calvin Sims.

стр. 14

системе лаборатории, он заметил необычное повышение интенсивности ее загрузки. Заподозрив неладное, сотрудник сообщил об этом дежурному оператору и тот (очевидно руководствуясь инструкцией) сразу же отключил систему от сети Science Internet, по которой распространялся вирус.