Червь был толков и обучался в процессе передвижения. По мере перемещения по сети он создавал список обычно используемых названий учетных записей. Сначала он старался скопировать список компьютерных пользователей той системы, до которой еще не добрался. Ему не всегда это удавалось, но зачастую система безопасности оказывалась достаточно слаба и червь добивался успеха. Затем он сравнивал этот список со списком пользователей в нынешнем месте обитания. Когда он находил пару (учетную запись, общую для обоих списков), то добавлял эту запись к основному списку, который переносил с собой из системы в систему, и помечал, что эту учетную запись можно будет применить при вторжении в новую систему.
Это был ловкий метод атаки, так как создатель червя знал, что некоторые учетные записи с высоким уровнем допуска вполне могли иметь стандартные названия, общие для разных машин. Учетные записи с такими названиями, как SYSTEM, DECNET или FIELD, и стандартными паролями, вроде DECNET или SYSTEM, зачастую записывались в компьютеры еще до того, как производитель отгружал их покупателю. Если администратор, получивший компьютер, не менял запрограммированные учетную запись и пароль, его машина имела серьезную дыру в системе безопасности, которая так и ждала, пока ею кто-нибудь не воспользуется.
Автор червя мог угадать некоторые названия учетных записей, использованных производителем, но не всех. Наделив червя способностью к обучению, он дал ему мощнейшее оружие. По мере распространения червь становился все умнее и умнее. Он размножался, и его потомство эволюционировало, все успешнее вторгаясь в новые системы.
Когда Мак-Магон вскрыл одного из потомков червя, он пришел в ужас от того, что он обнаружил. Изучив его внутренности, программист обнаружил обширную коллекцию групповых учетных записей с высоким допуском, собранную со всей сети SPAN. На деле червь не только собирал стандартные привилегированные учетные записи VMS, но также уделял внимание учетным записям, обычным для NASA, но вовсе не обязательным для других компьютеров VMS. Например, многие сайты NASA работали с почтовой программой по протоколу TCP/IP, который нуждался в учетной записи POSTMASTER или MAILER. Джон обнаружил эти названия в потомке червя.
Даже если червю удавалось захватить только учетную запись непривилегированного уровня, он использовал ее, как инкубатор. Червь копировался, а затем атаковал другие компьютеры в сети. Когда Мак-Магон и остальные члены команды продолжили разбор кода червя, чтобы понять, что может сделать чудовище, если доберется до учетной записи с самым высоким уровнем допуска, они обнаружили новое доказательство черного чувства юмора хакера, скрывающегося за червем. Одна из его подпрограмм называлась find fucked.[p19]
Команда SPAN постаралась дать сотрудникам NASA максимум сведений о черве. Это был лучший способ помочь компьютерным администраторам, изолированным в своих офисах по всей стране, обрести чувство, что кризис остается управляемым.
Как и все в команде SPAN, Мак-Магон старался успокоить звонивших, после чего подвергал их опросу, с помощью которого рассчитывал определить степень контроля червя над их системами. Сначала он спрашивал, какие симптомы обнаруживали их системы. В кризисной ситуации, когда молоток занесен, все кажется гвоздем, поэтому Мак-Магон хотел убедиться, что сбой в системе действительно спровоцирован червем и ничем иным.
Если бы проблема заключалась только в странных комментариях, появляющихся на экране, Мак-Магон сделал бы вывод, что червь, возможно, лишь пугает пользователя этого компьютера из соседней системы, которую он уже успешно захватил. Послания наводили на мысль, что учетные записи принимающих их машин еще не захвачены червем. Во всяком случае, пока.
Машины VAX/VMS обладают функцией, называемой Phone, использующейся для онлайновой связи. Например, ученый NASA может «позвонить» одному из своих коллег на другой компьютер и по-дружески побеседовать с ним в режиме реального времени. Это живое общение, но происходит оно посредством клавиатуры и монитора, а не голоса. Функция Phone в VMS позволила червю отправлять послания пользователям. Он просто «звонил» им, используя этот протокол. Но вместо начала сеанса связи он посылал им сообщения из той своей части, которая, как выяснилось впоследствии, носила вполне подходящее название Fortune Cookie[p20] и представляла собой собрание приблизительно шестидесяти запрограммированных высказываний.
В некоторых случаях, когда червь сильно досаждал персоналу, Мак-Магон советовал менеджеру на другом конце провода отключить в компьютере функцию Phone. Некоторые менеджеры жаловались, и тогда Мак-Магон ставил перед ними ультиматум: Phone или спокойствие. Почти все предпочли спокойствие.
Когда Мак-Магон закончил предварительный анализ червя, у него появились хорошие и плохие новости. Хорошей новостью был тот факт, что, вопреки тому, что червь сообщал пользователям из NASA, он вовсе не стирал их файлы, а только делал вид, что стирает их. Просто шутка. Во всяком случае, для создателя червя. А для ученых NASA – головная и сердечная боль. А порой и сердечный приступ.
Плохая новость заключалась в том, что когда червь сможет получить контроль над учетной записью пользователя с высоким уровнем доступа, он поможет кому-то – предположительно, своему создателю – совершить гораздо более серьезное вторжение в NASA. Червь нашел учетную запись FIELD, созданную производителем, и если ее отключить, он постарается вновь активировать ее и установить пароль FIELD. Червь был также запрограммирован на изменение пароля стандартной учетной записи DECNET случайным набором из по меньшей мере двенадцати символов. Короче говоря, червь старался вломиться в систему с черного хода.
Информацию о тех учетных записях, которые он успешно взломал, червь посылал назад, в электронный почтовый ящик – учетная запись GEMPAK на узле 6.59 SPAN. Предположительно, хакер, создавший червя, должен был проверять его почтовый ящик, чтобы получить информацию, которую он мог бы использовать позже для проникновения в учетную запись NASA. Стоит ли удивляться, что почтовые ящики, к немалому удивлению их законных владельцев, были тайком «позаимствованы» хакером.
Компьютерный хакер создавал массу дополнительных проблем. Хотя червь был способен взламывать новые учетные записи с гораздо большей скоростью и размахом, чем одинокий хакер, он был более предсказуем. Как только команды SPAN и Министерства энергетики разобрали червя на составляющие, они совершенно четко представили, что от него можно ожидать. А вот действия хакера было совершенно невозможно прогнозировать.
Мак-Магон понял, что уничтожение червя не сможет решить проблему. Всем системным администраторам сетей NASA и Министерства энергетики придется поменять пароли учетных записей, захваченных червем. Им придется также проверить каждую систему, подвергшуюся нападению, чтобы убедиться, что червь не оставил в ней лазеек для хакера. Администраторам нужно найти и запереть на замки все черные ходы – адский труд.
Но больше всего команду SPAN напугало то, что червь свирепствовал в системе NASA, используя примитивнейшую стратегию атаки: имя пользователя равняется паролю. Он получил контроль над компьютерами NASA, просто вводя пароль, идентичный названию учетной записи пользователя.
Команда SPAN не могла поверить в это, но факты – упрямая вещь.
Тодд Батлер ответил на звонок с одного из сайтов NASA. Новости были удручающие. Он повесил трубку.
– Этот узел только что подвергся нападению, – сказал он остальным.
p20
«Печенье-гаданье», в котором запечена записка с предсказанием (подается в китайских ресторанах). В компьютерной среде так называют сообщения, выводимые на экран в процессе загрузки.