27 лет назад компьютерный червь впервые захватил Интернет. В то время глобальная Сеть еще не была такой глобальной и соединяла, основном, научные центры США. Написал его аспирант Корнелльского университета Роберт Моррис (иногда его разработку называют «Червём Морриса).
По задумке, червь должен был распространяться от узла к узлу, не принося им вреда и не нарушая их работу — так автор хотел узнать размеры интернета. Для этого «Червь Морриса» использовал давно известные на тот момент уязвимости в серверных программах (например, в sendmail, которая заведует электронной почтой), а также словарь из нескольких сотен довольно простых паролей. Системные администраторы «не подвели»: оказалось, что многие не устанавливали на сервера «заплатки» для дыр в защите, а примитивность из паролей удивила бы любого современного начинающего пользователя.
К вечеру того же дня червь захватил уже 6000 узлов — значительную часть интернета 88-го года. Но из-за ошибки в программе, это нашествие стало отнюдь не безобидным. Вирус вновь и вновь заражал уже «поверженные» сервера, у них стремительно «забивалась» память и перегружался процессор, и компьютеры просто переставали отвечать на запросы. Исследование превратилось в самую масштабную атаку на весь Интернет.
Дискета с «Червём Морриса» в музееСразу несколько команд смогли «поймать» червя и тут же начали изучать его устройство, на это им потребовалось несколько часов. Учёные из Беркли изучили код, нашли в нём ошибки и даже выпустили для вируса патч. Одновременно их коллеги из других университетов нашли решение для обезвреживания вируса, назвав его просто —«презерватив» («the condom»).
Ущерб от действий червя составил больше 96 миллионов долларов (примерно $193 млн в современных деньгах), однако Моррис был уверен в том, что власти не смогут найти его. Но его отец, работавший на Агенство национальной безопасности, уговорил сына во всём сознатья.
«Ставки» на суде начинались с пяти лет тюрьмы и четверти миллиона долларов штрафа, но Моррису сильно повезло, и его приговорили к трём годам условно, $10 тысячам штрафа и 400 часам общественных работ. Компьютерный гений даже попытался подать апелляцию, но проиграл.
Атака «Червя Морриса» заставила разработчиков и системных администраторов всерьёз задуматься о безопасности. Например, после этого в операционных системах появилась паузы после ввода неправильного пароля для защиты от перебора, а даже зашифрованные пароли стали хранить в отдельном файле, доступном только администратору.
В последующие годы Роберт Моррис отнюдь не стал затворником. В середине 90-х он с Полом Грэмом основали сервис Viaweb, который позволял пользователям создавать собственные интернет-магазины. Позже Yahoo заплатила за стартап 49 млн долларов. Уже в новом веке Моррис с тем же Грэмом и еще несколькими предпринимателями и программистами создали венчурный фонд Y Combinator. Даже если читателю это название ничего не говорит, то наверняка ему знакомы компании, «взлетевшие» во многом благодаря фонду: Dropbox, Airbnb, reddit.
И еще одна интересная деталь: работая в Корнелльском университете, Моррис запустил червя через сеть Массачусетского технологического института (MIT) — для конспирации. В 1999 году он стал профессором MIT, а в 2006 году вовсе получил там пожизненный контракт.
Илья Рубцов
Journal information