Джон Маркоф - Хакеры (takedown)

В 6 часов утра, когда Кейт Бостик, поспав 3 часа, пришел на работу, телефон уже разрывался. Звонили разгневанные администраторы сети со всей страны, спрашивая, что делать с программой, которая заразила их системы. Бостик уже ожидал чего-то в этом духе. Знал ли он об этих дырах в берклийской версии UNIX? Нет, отвечал Бостик, не знал. Особо злобствовал Пентагон, один из крупнейших пользователей этой версии UNIX. Знает ли Бостик, кто учинил эту мерзость? Было ли ему известно о дефектах UNIX? Может ли он гарантировать, что в этой программе нет «троянских коней»? Собираются ли в Беркли дизассемблировать код вируса?

Первым делом Бостик разослал «Vims Posting #2», поправку к его первой заплате на дырку в sendmail, обеспечивающую более совершенную защиту от вируса. Это сообщение было отправлено в 8:00. Вопрос дизассемблирования вируса уже обсуждался. Предстояла долгая и тяжелая работа, но это был единственный способ окончательно определить, не скрывается ли где-нибудь в программе разрушительный код. Работу Беркли дублировала в Кембридже группа программистов из МГГ, которые также всю ночь не смыкали глаз. В середине дня в Беркли поступило сообщение из МГГ, что у вируса есть еще один способ атаки. Используя дыру в маленькой программе finger, входившей в пакет UNIX, вирус получил возможность выводить finger из строя, посылая больше символов, чем она могла обработать. Как только происходило переполнение буфера ввода, захватчик получал возможность стартовать небольшую программу, переносившую все тело вируса целиком на атакуемый компьютер.

Бостик скептически отнесся к информации из МГГ, ведь finger была такой мелкой, банальней утилитой. Он представить не мог, что в программе всего в 15 строк длиной могут содержаться серьезные дыры. Чтобы доказать свою правоту, команда из МГГ прислала ему образец программы, демонстрировавший дефект в finger. В тот же день Бостик разослал «Virus Posting #3» – заплату на finger. Это стало последней каплей, убедившей Бостика, что единственный способ узнать, остается ли еще опасность, это разобрать вирус строка за строкой. Программу нужно декомпилировать.

Декомпиляция программы чем-то сродни искусству алхимика. Это преобразование программы, состоящей из единиц и нулей, которые компьютер читает как команды «да» – «нет» в нечто, что человек-программист мог бы прочесть и понять. Декомпилировать программу – все равно, что взять книгу, уже переведенную с английского на, скажем, французский, и перевести снова на английский, не заглядывая при этом в оригинал. В новой английской версии слова могут оказаться другими, но хорошие переводчики умеют сохранить суть книги. Когда программа декомпилирована, сам язык может слегка отличаться, но программа действует аналогично оргиналу. Обычно программу компилируют, а не наоборот, ибо после того как программу из исходного текста переводят в выполняемый код, редко возникает необходимость обратного перевода. Собственно, многие лицензии на коммерческое ПО именно потому запрещают дизассемблирование программ, что те, кто это может сделать, могут также захотеть сломать защиту копии или модифицировать ПО. Но иметь оригинальный исходный текст программы – бесценное преимущество, поскольку оно позволяет узнать намерения ее автора. И хотя создатель вируса явно из кожи вон лез, чтобы спрятать свою программу, не оставалось ничего другого, как декомпилировать ее – трудная задача, которая под силу очень немногим программистам.

Как оказалось, Беркли идеально подходил для этой работы, и не только потому, что берклийскую версию UNIX создали и по-прежнему сопровождали здесь – на этой неделе в университетском городке Беркли проходила ежегодная встреча экспертов UNIX со всего мира. Во время прошлогодней конференции по UNIX рухнула фондовая биржа. В этом году – Internet Крис Торек, один из ведущих экспертов по UNIX, остановился как раз в доме у Бостика. Приехал на конференцию и специалист по компиляции из университета штата Юта Дон Сили. Хватило бы одного его, чтобы справиться с программой, но Фил Лэпслй и Питер Йе знали еще одного аса.

Дейв Паре стал экспертом по декомпиляции программ еще когда был аспирантом Калифорнийского университета в Сан-Диего. В 1985 году его вывел из себя автор компьютерной игры Empire, который отказался распространять исходный текст. 22-летний Паре поставил себе целью декомпилировать Empire полностью На это ушло без малого два года. Теперь он жил в Кремниевой долине, в 50 милях к югу от Беркли. Паре не только был специалистом по декомпиляции, но и написал собственный дизассемблер – программу, которая существенно облегчала этот процесс, автоматизировав часть самых рутинных этапов. Поэтому в четверг утром Питер Йе позвонил ему и сказал, что требуется помощь. Паре в первый раз услышал о вирусе.