NFsec Logo

Robert Tappan Morris

22/04/2012 w Hackultura Brak komentarzy.  (artykuł nr 344, ilość słów: 947)

R

obert Tappan Morris to amerykański informatyk, znany z napisania pierwszego robaka komputerowego. Jest on synem szefa informatyków w National Security Agency. W 1988 był doktorantem na wydziale informatyki Uniwersytetu Cornell. Prowadził w tym czasie badania nad błędami z systemami 4 BSD Unix. Korzystając z wykrytych błędów napisał program nazywany dzisiaj robakiem Morrisa, który potrafił mnożyć się na tych systemach. Robak został uruchomiony 2 listopada 1988 r. Miał on mnożyć się w ograniczony sposób jednak na wskutek błędu programisty nie zadziałało wbudowane ograniczenie i robak w krótkim czasie praktycznie sparaliżował działanie ówczesnego bardzo jeszcze skromnego Internetu zarażając ponad 6 tysięcy maszyn.

Robert miał wówczas 23 lata. Uczęszczał na studia doktoranckie na wydziale informatyki Uniwersytetu Cornell. Spokojny, sympatyczny młody człowiek ze stopniem magistra Uniwersytetu Harward nigdy nie miał nic wspólnego z przestępstwami czy hackingiem. Miał jednak słabość – lubił wykrywać błędy w systemach operacyjnych. Na jesieni 1988 roku Morris zaczął prace nad programem mającym na celu ukazanie wykrytych błędów w zabezpieczeniach systemu 4 BSD Unix. Program, po „wpuszczeniu” w sieć miał wykazać możliwość uzyskania dostępu do dowolnego innego komputera w sieci i np. zainfekowania go innym wirusem. „Czerw” (ang. worm), jak nazywano później program Morrisa. Miał mniej niż 100 linii kodu, a jednak Robert pisząc ten program popełnił drobny błąd, który kosztował go bardzo wiele. Czerw po uruchomieniu zajmował bardzo mało czasu procesora. Miał on pozostać w ukryciu, być niezauważalny nawet dla administratora (rootkit) i nie powodować w żadnych problemów. Morrisowi chodziło jedynie o udowodnienie, że może on się przenosić z komputera na komputer. Rozmnażanie czerwia było możliwe poprzez skorzystanie z błędów w kilku elementach systemu UNIX oraz poprzez odkrywanie łatwych do odgadnięcia haseł użytkowników. Główna część robaka mogła tylko infekować maszyny Digital Equipment Corporation klasy VAX, na których był uruchomiony system 4BSD oraz Sun-3. Cześć przenośna napisana w języku „C” – była hakiem abordażowym, czyli komponentem czerwia, który używany był do zaciągania głównej części kodu na innych systemach czyniąc z nich drugoplanowe ofiary. Morris przewidział, że nieskończone rozmnażanie się czerwia spowoduje zablokowanie komputerów. Dlatego też czerw „pytał się”, czy infekowany serwer zawiera już kopię programu, czy nie. To jednak mogłoby ułatwić administratorom pozbycie się programu, więc Robert zdecydował się, że mimo odpowiedzi „tak” w jednym na siedem przypadków czerw i tak uruchamiał się na komputerze jako nowy proces. Miało to ograniczyć prędkość rozmnażania się programu i uniknąć blokady systemu. Obliczenia Morrisa okazały się jednak błędne. Niecierpliwy Robert zdecydował się wprowadzić program do Internetu 2 listopada 1988 r. ok. godziny 20:00, mimo iż wymagał on jeszcze kilku poprawek. W celu ukrycia faktu, że program jest jego autorstwa – uruchomił go z jednego z serwerów uniwersytetu Harvard, do którego miał jeszcze dostęp. Czerw rozmnażał się powoli, ale sukcesywnie. Już w kilkanaście minut po uruchomieniu czerwia wiele komputerów zaczęło dotkliwie odczuwać jego obecność.

3 listopada o godzinie 00:34 obecność wirusopodobnego programu odkrył Andy Suddyth z Harvardu. W około dwie godziny od uruchomienia programu do większości maszyn nie mogli się dostać nawet administratorzy. Nie pomagało ich ponowne uruchomienie – czerw znów infekował system i powodował jego zawieszenie. Kiedy Morris zorientował się, co się dzieje, przy pomocy kolegi przygotował rozwiązanie problemu i rozesłać anonimowo po Sieci. Niestety, było już za późno. Czerw uniemożliwił w większości przypadków odebranie i przeczytanie listu. Nad zwalczeniem złośliwego programu pracowali specjaliści z tysięcy placówek w USA. Już w 12 godzin od infekcji informatycy z Uniwersytetu Kalifornijskiego w Berkeley i z Massachussetts Institute of Technology odkryli metodę likwidacji czerwia. Ze względu na odłączenie wielu komputerów od sieci dopiero 10 listopada udało się całkowicie przywrócić normalną pracę Internetu. Zainfekowanych zostało ponad 6000 komputerów klasy Sun 3 i VAX. Straty w każdej lokalizacji sięgały nierzadko od 200 do 50 tys. USA, a łączenie oceniono je na ok. 10 mln USD. Robert przyznał się do popełnionego błędu. W grudniu 1990 roku skazano go na 3 lata obserwacji sądowej, 400 godzin prac społecznych i grzywnę w wysokości 10 tyś. USD. Jego apelacja została odrzucona w marcu następnego roku. Algorytm działania czerwia był następujący:

1. Utworzenie listy wszystkich „sąsiednich komputerów” za pomocą mechanizmu „trusted hosts” w UNIXie.
2. Próba znalezienia haseł dostępu użytkowników sąsiednich komputerów poprzez permutacje nazwy użytkownika korzystającego z protokołu rexec / rsh bez wymogu podania hasła; porównanie z listą 432 haseł dostarczonych przez i sprawdzenie w słowniku typowych haseł.
3. Próba zainfekowania komputera poprzez:

– skorzystanie z znalezionego w kroku 2 dostępu,
– błędu typu buffer overrun w daemonie fingerd,
– wykorzystanie „tylnego wejścia” pozostawionego w programie sendmail w trybie debug.

4. Sprawdzenie czy sąsiednie komputery są już zainfekowane – w jednym na siedem przypadków jeśli odpowiedź była pozytywna – ponowne zainfekowanie maszyny.
5. Przesłanie krótkiego kodu startowego do zainfekowanego komputera oraz jego automatyczna kompilacja i uruchomienie.
6. Po 120 sekundach – pobranie z komputera źródłowego pełnego kodu czerwia i jego automatyczna kompilacja, a następnie uruchomienie – powrót do kroku 1.

Obecnie Robert pracuje jako profesor w Massachusetts Institute of Technology, ale nie zajmuje się już kwestią bezpieczeństwa systemów. Wpadka kosztowała go zbyt wiele. Jego wyrok był pierwszym jaki wydano na podstawie Ustawy z 1984 r. o Przestępstwach i Nadużyciach Komputerowych. Morris jest również bardzo dobrym przyjacielem Paula Graham’a. Graham zadedykował mu swoją książkę „ANSI Common Lisp” oraz nazwał język programowania, który generuje strony web sklepów online – RTML – ku jego czci. Graham również wypowiada się o nim jako osobistym bohaterze, który „nigdy się nie myli”. Razem z Graham’em w 1995 roku założyli firmę „Viaweb„, która zajmowała się tworzeniem sklepów online. W 1998 roku firma ta została kupiona przez Yahoo za 48 milionów dolarów.

Więcej informacji: Strona domowa RTM

Kategorie K a t e g o r i e : Hackultura

Tagi T a g i : , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.