Это был умный метод атаки, поскольку создатель червя знал, что аккаунты с высшими привилегиями имели обыкновение быть со стандартными именами, повторяющимися для разных машин. Аккаунты с именами «SYSTEM», «DECNET» и «FIELD» и стандартными паролями, такими как «SYSTEM» и «DECNET», часто встраивались в компьютер перед его отправкой с завода. Если админ не менял предустановленный аккаунт и пароль, то это была здоровенная дыра в безопасности, только и ожидающая, чтобы ее использовали.
Создатель червя мог предположить некоторые из этих заводских аккаунтов, но не все из них. Обеспечивая червю способность к обучению, он давал ему дальнобойное оружие. По мере распространения червь становился все более умным. Его потомство было еще более приспособлено для взлома систем.
Когда МакМахон занимался препарированием одного из червей он был впечатлен тем, что увидел. Изучая внутренности червя, он обнаружил огромный потомственный список привилегированных аккаунтов со всей сети SPAN. Червь пробовал не только стандартные привилегированные аккаунты VMS, он запоминал аккаунты обычные для НАСА, но не необходимые для других компьютеров VMS. Например, многие области НАСА используют TCP/IP мэйлеры, для которых необходимы аккаунты POSTMASTER или MAILER. Джон видел, что эти имена появились в списках потомков червя.
Даже проникая в непривилегированный аккаунт, червь использовал его как инкубатор. Червь размножался и атаковал другие компьютеры в сети. Продолжая разгребать код червя, надеясь обнаружить, что он делал в полностью привилегированном аккаунте, МакМахон нашёл другие подтверждения черного чувства юмора автора. Часть червя, подпрограмма, была озаглавлена «find fucked».
Команда SPAN пыталась передавать звонившим админам всю информацию, которую они узавали о черве. Это был лучший способ помочь компьютерным админам восстановить ощущение контроля над кризисом.
МакМахон тоже пытался успокоить звонивших и посредством специально составленных вопросов определить степень контроля червя над их системами. Сначала он спрашивал о симптомах, проявляемых системой. В конце концов, в критической ситуации когда вы держите молоток, все вокруг выглядит как гвоздь. МакМахон хотел быть уверенным, что проблемы в системе вызваны червем, а не чем-то еще.
Если вся проблема заключалась в мистических комментариях, загорающихся посреди экрана, МакМахон заключал, что, возможно, червь беспокоил компьютерных пользователей из соседней захваченной системы. Это означало, что атакуемый аккаунт не взломан червем. Пока.
Машины VAX/VMS имеют сервис под названием телефон, который используют для онлайн коммуникаций. Например, ученый НАСА мог ‘позвонить’ своим коллегам на других компьютерах для дружеской онлайн беседы. Разговор этот живой, но производится он посредством экрана и клавиатуры. При помощи VMS-телефона червь и посылал пользователям сообщения. Он просто звонил им по протоколу телефона. Но вместо начала сессии чата червь посылал сообщения из файла Fortune Cookie file – коллекции из 60-и специально приготовленных комментариев.
В некоторых случаях, когда червь действительно подслушивал пользователей, МакМахон предлагал админам отключить функцию компьютерного телефона. Некоторые админы сопротивлялись, но МакМахон выдвигал ультиматум: жизнь или телефон. Большинство выбирало жизнь.
Когда МакМахон закончил предварительный анализ у него были хорошие и плохие новости. Хорошими новостями было то, что вопреки сообщениям червя, он не удалял файлы пользователей НАСА. Червь только притворялся. Это была только шутка, чтобы причинить ученым НАСА головную боль и страдания. Иногда сердечный приступ.
|
8th Май 2011
|
Теги:
|