В компьютерах Департамента была строго классифицированная информация. Очень специализированная. В DOE были две группы исследователей: люди, которые занимались исследованиями гражданских энергетических проектов, и люди, которые занимались разработкой атомных бомб. Организация безопасности в DOE была серьезной и соответствовала уровню «национальной безопасности». Хотя HEPNET не передавала по своим проводам информацию подобного класса, реакция на червя была по-военному незамедлительной. Они заполучили себе одного парня, Кевина Обермана, который много знал о безопасности систем VMS.
Подобно МакМахону, формально он не был из штата компьютерной безопасности. Он просто интересовался компьютерной безопасностью и знал о VMS системах больше, чем кто-нибудь ещё. Его официальной работой было управление сетью технического отдела в Лоуренс-Ливерморской Национальной Лаборатории (LLNL) около Сан-Франциско.
Главным образом LLNL проводила военные исследования, многие из которых были для СОИ. Многие ученые LLNL тратили свое время на разработку ядерного и лучевого оружия для программы Звездных Войн. В DOE всегда была своя группа безопасности, известная как CIAC, Консультанты по Компьютерным Инцидентам. У CIAC была тенденция быть хорошими экспертами в области UNIX, а не в области безопасности компьютеров и сетей, основанных на VMS. Оберман говорил: «У них никогда не было людей, достаточно разбирающихся VMS, а сейчас они особенно нуждались в таких людях».
Червь разрушил всемирную секретность VMS. Когда червь WANK проник в НАСА, он запустил агрессивную атаку на Национальную Лабораторию Ускорителей Ферми в DOE вблизи Чикаго. Он проник в огромное число компьютеров Лаборатории. Те вызвали CIAC, которые ранним утром 16 октября связались с Оберманом. В CIAC хотели, чтобы он проанализировал червя. Они хотели знать насколько червь опасен. В конечном счете, они хотели знать что делать.
Люди DOE проследили первый контакт с червем 14 октября. Далее они выдвинули гипотезу, что червь был запущен в предыдущий день, в пятницу 13-го, что сочеталось с черным юмором создателя или создателей червя.
Оберман начал свое собственное исследование червя, забывая, что в 3200 километрах на другом конце континента его коллега и знакомый Джон МакМахон занимался тем же самым.
Все это время МакМахон получал звонки от сердитых системных администраторов НАСА. Он пытался заполучить копии червя с их зараженных машин. Он также требовал все компьютерные журналы записей о работе их систем. Из какого компьютера червь пришёл? Какую систему он атаковал с инфицированной машины? По идее, журналы записей позволят команде НАСА составить карту следов червя. Это может помочь предупредить людей с других систем, которые могут стать стартовой площадкой для новых атак червя.
Это не всегда было возможно. Если червь захватывал управление системой и был активен, то администратор мог только проследить откуда червь пришел, но не мог знать куда он собирается проникнуть. Хуже всего то, что многие системные администраторы не хранили старые файлы логов.
МакМахон знал как важно было собрать как можно больше информации. На своей старой работе он настроил свои компьютеры так, чтобы они хранили как можно больше информации о безопасности соединений с другими компьютерами.
Системы оповещения многих компьютеров VMS были настроены по умолчанию, но МакМахон не думал что этого было достаточно. Система оповещения имела тенденцию посылать компьютерным администраторам сообщение типа «Привет, к вам только что поступило соединение оттуда-то». Измененная система оповещения говорила «К вам подсоединились оттуда-то. Человек на другом конце пересылает такой-то файл» и другую информацию относительно компьютера на другом конце соединения. К сожалению, другие сисадмины не испытывали такого энтузиазма по отношению к своим логам. Многие вообще не хранили записей о соединениях и это делало задачу по нейтрализации червя более сложной.
8th Май 2011
|
Теги:
|