МакМахон получал огромное число звонков от системных администраторов со словами: «Что-то странное происходит в моей системе». Наиболее простой вопос Джона был: «Откуда вы?». И конечно, если офис SPAN не знал о существовании системы, то было намного сложнее предупредить администраторов о черве. Или сказать им как обезопасить себя. Или сразу дать им антивирусную программу, когда ее разработают. Или помочь изолировать аккаунты, которые червь отсылал своему создателю.
Это был такой промах. Время от времени МакМахон садился и размышлял о том, кто создал этого червя. Казалось, что червь был запущен до того как был закончен. Его автор или авторы, похоже, имели хорошую коллекцию интересных идей, но они не были реализованы должным образом. Червь содержал процедуру для модификации стратегии атаки, но она не была полностью разработана. В коде вируса имелись ошибки, гарантирующие ему невозмажность выжить втечение долгого периода времени. И вместе с паролями червь забывал отсылать в почтовый ящик хакера адреса взломанных машин. Что было по-настоящему сверхестественно. Что можно было делать с паролями и именами аккаунтов, не зная в какой системе они используются?
С другой стороны, возможно, создатель сделал это преднамеренно. Возможно, он только хотел показать миру как много компьютеров червь смог захватить. И почтовая программа червя служила для этой цели. Однако включение адресов инфицированных компьютеров сделало бы работу админов проще. Они могли бы просто использовать коллекцию адресов из ящика GEMPAK, чтобы узнать какие компьютеры нужно обезвредить. Таких теорий было бесчисленное множество.
В черве было несколько блестящих моментов, некоторые вещи, которые МакМахон никогда не смог раскрыть. Они были внушительны, червь знал огромное количество способов проникновения в компьютеры VMS. В черве был заложен значительный творческий потенциал, но не было никакой последовательности. После инцидента с червем различные эксперты по компьютерной безопасности предположили, что червь WANK был написан более, чем одним человеком. Но МакМахон придерживался взгляда, что это была работа одного хакера.
Похоже, что создатель червя последовательно разрабатывал одну идею, но время от времени отвлекался на посторонние вопросы и прерывал работу. Внезапно он останавливался в написании кода и продолжал новую идею по другому пути, никогда не доводя ее до конца. Получалась шизофреничная структура программы. И это было повсеместно.
МакМахон задавался вопросом: делал ли автор это специально, чтобы усложнить понимание действий червя? Может быть он думал, что код был слишком понятен и прямолинеен.
Оберман придерживался другого взгляда. Он думал, что изменчивый стиль программирования в разных частях программы был оттого, что разработкой червя занималось несколько человек. Он знал, что когда программист пишет код, он не делает множество мелких изменений в стиле программы без всякой причины.
Кевин Оберман и Джон МакМахон срывали идеи друг у друга. Оба разрабатывали свой собственный анализ. Оберман подключил к процессу Марка Калетку, администратора внутренней сети лаборатории Ферми, одного из крупнейших сайтов в HEPNET. Червь содержал большое число уязвимых мест, но проблема стояла в нахождении одного, которое могло быть использовано для защиты компьютеров, и побыстрее.
Всякий раз, когда машины VMS запускают какой-нибудь процесс, компьютер даёт ему имя. Когда червь пролезал в компьютер то первое, что он делал – проверял, работала ли на компьютере какая-нибудь другая его копия. Процесс червя всегда был под именем NETW_ с последовательностью 4-х случайных цифр. Если пришедший червь обнаруживал это имя процесса, то предполагал, что другая копия червя уже запущена и самоуничтожался.
|
8th Май 2011
|
Теги:
|