Securitatea reelelor.

Viermele Internetului

Internet este o structur deschis, la care se poate conecta un

numr mare de calculatoare fiind deci greu de controlat. De aceea
putem vorbi de vulnerabilitatea reelelor manifestat pe variate
planuri. Un aspect crucial al reelelor de calculatoare, n special al
comunicaiilor prin Internet l constituie securitatea informaiilor.
Categorii de atacuri asupra reelelor
Ameninrile la adresa securitii unei reele de calculatoare
pot avea urmtoarele origini: dezastre sau calamiti naturale,
defectri ale echipamentelor, greeli umane de operare sau
manipulare, fraude. Primele trei tipuri de ameninri sunt
accidentale, n timp ce ultima este intenionat. Cteva studii de
securitate a calculatoarelor estimeaz c jumtate din costurile
implicate de incidente sunt datorate aciunilor voit distructive, un
sfert dezastrelor accidentale i un sfert greelilor umane. Acestea
din urm pot fi evitate sau, n cele din urm, reparate printr-o mai
bun aplicare a regulilor de securitate (salvri regulate de date,
discuri oglindite, limitarea drepturilor de acces).
n ameninrile datorate aciunilor voite, se disting dou categorii
principale de atacuri: pasive i active.
1) Atacuri pasive - sunt acelea n cadrul crora intrusul observ
informaia ce trece -prin "canal", fr s interfereze cu fluxul sau
coninutul mesajelor. Ca urmare, se face doar analiza traficului,
prin citirea identitii prilor care comunic i "nvnd"
lungimea i frecvena mesajelor vehiculate pe un anumit canal
logic, chiar dac coninutul acestora este neinteligibil. Atacurile
pasive au urmtoarele caracteristici comune:
Nu cauzeaz pagube (nu se terg sau se modific date);
ncalc regulile de confidenialitate;
Obiectivul este de a "asculta" datele schimbate prin reea; .

 Pot fi realizate printr-o varietate de metode, cum ar fi

supravegherea legturilor telefonice sau radio, exploatarea
radiaiilor electromagnetice emise, rutarea datelor prin noduri
adiionale mai puin protejate.
2) Atacuri active - sunt acelea n care intrusul se angajeaz fie n
furtul mesajelor, fie -in modificarea, reluarea sau inserarea de
mesaje false. Aceasta nseamn c el _ poate terge, ntrzia sau
modifica mesaje, poate s fac inserarea unor mesaje false sau
vechi, poate schimba ordinea mesajelor, fie pe o anumit direcie,
fie pe -ambele direcii ale unui canal logic. Aceste atacuri sunt
serioase deoarece modific starea sistemelor de calcul, a datelor
sau a sistemelor de comunicaii. Exist . urmtoarele tipuri de
ameninri active:
Mascarada - este un tip de atac n care o entitate pretinde a fi o
alt entitate. De exemplu, un utilizator ncearc s se substitue
altuia sau un serviciu pretinde a fi un alt serviciu, n intenia de
a lua date secrete (numrul crii de credit, parola sau cheia
algoritmului de criptare). O "mascarad" este nsoit, de
regul, de o alt ameninare activ, cum ar fi nlocuirea sau
modificarea mesajelor;
Reluarea - se produce atunci cnd un mesaj sau o parte a
acestuia este reluat (repetat), n intenia de a produce un efect
neautorizat. De exemplu, este posibil reutilizarea informaiei
de autentificare a unui mesaj anterior. n conturile bancare,
reluarea unitilor de date implic dublri i/sau alte.
modificri nereale ale valorii conturilor;
Modificarea mesajelor - face ca datele mesajului s fie alterate
prin modificare, inserare sau tergere. Poate fi folosit pentru a
se schimba beneficiarul unui credit n transferul electronic de
fonduri sau pentru a modifica valoarea acelui credit. O alt
utilizare poate fi modificarea cmpului destinatar/expeditor al
potei electronice;
Refuzul serviciului - se produce cnd o entitate nu izbutete s
ndeplineasc propria funcie sau cnd face aciuni care
mpiedic o alt entitate de la ndeplinirea propriei funcii;
Repudierea serviciului - se produce cnd o entitate refuz s
recunoasc un serviciu executat. Este evident c n aplicaiile de

transfer electronic de fonduri este important s se evite

repudierea serviciului att de ctre emitor, ct i de ctre
destinatar.
n cazul atacurilor active se nscriu i unele programe create
cu scop distructiv i care afecteaz, uneori esenial, securitatea
calculatoarelor. Exist o terminologie care poate fi folosit pentru
a prezenta diferitele posibiliti de atac asupra unui sistem. Acest
vocabular este bine popularizat de "povetile" despre "hackeri".
Atacurile presupun, n general, fie citirea informaiilor
neautorizate, fie (n cel mai frecvent caz) distrugerea parial sau
total a datelor sau chiar a calculatoarelor. Ce este mai grav este
posibilitatea potenial de infestare, prin reea sau copieri de
dischete, a unui mare numr de maini. Dintre aceste programe
distructive amintim urmtoarele:
Viruii - reprezint programe inserate n aplicaii, care se
multiplic singure n alte programe din spaiul rezident de
memorie sau de pe discuri; apoi, fie satureaz complet spaiul
de memorie/disc i blocheaz sistemul, fie, dup un numr fixat
de multiplicri, devin activi i intr ntr-o faz distructiv (care
este de regul exponenial);
Bomba software - este o procedur sau parte de cod inclus
intr-o aplicaie "normal", care este activat de un eveniment
predefinit. Autorul bombei anun evenimentul, lsnd-o s
"explodeze", adic s fac aciunile distructive programate;
Viermii - au efecte similare cu cele ale bombelor i viruilor.
Principala diferen este aceea c nu rezid la o locaie fix sau
nu se duplic singuri. Se mut n permanen, ceea ce i face
dificil de detectat. Cel mai renumit exemplu este Viermele
INTERNET ului, care a scos din funciune o parte din
INTERNET n noiembrie 1988;
Trapele - reprezint accese speciale la sistem, care sunt
rezervate n mod normal pentru proceduri de ncrcare de la
distan, ntreinere sau pentru dezvoltatorii unor aplicaii. Ele
permit ns accesul la sistem, eludnd procedurile de
identificare uzuale;

 Calul Troian - este o aplicaie care are o funcie de utilizare

foarte cunoscut i care, intr-un mod ascuns, ndeplinete i o
alt funcie. Nu creeaz copii. De exemplu, un hacker poate
nlocui codul unui program normal de control "login" prin alt
cod, care face acelai lucru, dar, adiional, copiaz ntr-un fiier
numele i parola pe care utilizatorul le tasteaz n procesul de
autentificare. Ulterior, folosind acest fiier, hacker-ul va penetra
foarte uor sistemul.
Modelul de securitate n reele
Modelul de securitate pentru un calculator seamn cu o ceap.
Niveluri de securitate nconjoar subiectul ce trebuie protejat.
Fiecare nivel izoleaz subiectul i l face mai greu de accesat n alt
mod dect n cel n care a fost planificat.
1) Securitatea fizic reprezint nivelul exterior al modelului de
securitate i const, n general, n ncuierea echipamentelor
informatice ntr-un birou sau ntr-o alt incint. Securitatea
fizic merit o consideraie special. Problema cea mai mare o
constituie salvrile pentru copii de rezerv ale datelor i
programelor i sigurana pstrrii suporilor de salvare. n
aceste situaii, reelele locale sunt de mare ajutor: dac toate
fiierele schimbate frecvent rezid pe un server, aceleai
persoane (sigure i de ncredere), care lanseaz salvrile pentru
mainframe-uri, pot face acelai lucru i la server. Calculatorul,
ca orice pies costisitoare, ar trebui s fie protejat i. de
pericolul furtului. Pstrarea n afara zonelor publice este una
dintre cele mai bune forme de protecie. Simpla ncuiere a
echipamentelor va preveni mutrile ascunse precum i furtul.
ntr-un sistem n care prelucrarea este distribuit, prima
msur de securitate fizic care trebuie avut n vedere este
prevenirea accesului la echipamente. Pentru a nvinge orice alte
msuri de securitate, trebuie s se dispun de acces fizic la
echipamente. Acest lucru este comun tuturor sistemelor de
calcul, distribuite sau nu.
2) Securitatea logic const din acele metode care asigur
controlul accesului Ia resursele i serviciile sistemului. Ea are,
la rndul ei, mai multe niveluri, mprite n dou grupe mari:

niveluri de securitate a accesului (SA) i niveluri de securitate a

serviciilor (SS).
3)
Securitatea accesului (SA) cuprinde:
accesul la sistem (AS), care este rspunztor de a determina
dac i cnd reeaua este accesibil utilizatorilor. EI poate fi,
de asemenea, rspunztor pentru decuplarea unei staii, ca i
de gestiunea evidenei accesului. AS execut, de asemenea,
deconectarea forat, dictat de supervizor. AS poate, de
exemplu, s previn conectarea n afara orelor de serviciu i
s ntrerup toate sesiunile, dup un anumit timp;
accesul la cont (AC), care verific dac utilizatorul care se
conecteaz cu un anumit nume i cu o parol exist i are un
profil utilizator valid;
drepturile de acces (DA), care determin ce privilegii de
conectare are utilizatorul (de exemplu, contul poate avea
sesiuni care totalizeaz 4 ore pe zi sau contul poate utiliza
doar staia 27).
Securitatea serviciilor (SS), care se afl sub SA, controleaz
accesul la serviciile sistem, cum ar fi fire de ateptare, I/O la
disc i gestiunea server ului. Din acest nivel fac parte:
controlul serviciilor (CS), care este responsabil cu funciile
de avertizare i de raportare a strii serviciilor; de
asemenea, el activeaz i dezactiveaz diferitele servicii;
drepturile la servicii (DS), care determin exact cum
folosete un anumit cont un serviciu dat; de exemplu, un cont
poate avea numai dreptul de a aduga fiiere la spooler-ul
unei imprimante, dar are drepturi depline, de a aduga i
terge fiiere, pentru o alt imprimant.
O dat stabilit conexiunea, SA valideaz i definete contul.
Operaiile ce trebuie executate sunt controlate de SS, care
mpiedic cererile ce nu sunt specificate n profilul utilizatorului.
Accesul intr-un sistem de securitate perfect trebuie s se fac prin
aceste niveluri de securitate, de sus n jos. Orice sistem care v

las s evitai unul sau mai multe niveluri ale modelului de

securitate implic riscul de a fi nesigur.
Viermele Internet-ului
Introducere
n seara zilei de 2 noiembrie 1988, dup ora 17, un program
ciudat era executat pe mai multe dintre calculatoarele Internet.
Acest program aduna informaii despre host-uri, reele i
utilizatori i folosea aceste informaii pentru a stabili conexiuni
reea i pentru a ptrunde pe alte maini. El folosea anumite
defecte sau slbiciuni prezente n anumite programe. Dup
aceast ptrundere, programul se multiplica, iar copia sa ncerca
infectarea altor sisteme, n aceeai manier. Chiar dac programul
nu a infectat dect sistemele Sun Microsystems Sun 3 i
calculatoarele VAX pe care rulau variante ale lui 4 BSD UNIX, el
s-a extins rapid, crend confuzie i consternare n rndul
administratorilor de sistem i al utilizatorilor, atunci cnd acetia
au descoperit invazia produs n sistemele lor. Dei se cunotea c
UNIX-ul are cteva slbiciuni de securitate, n special n modul
obinuit de operare n medii deschise, totui scopul i modul n
care acestea au fost folosite a constituit o surpriz mare pentru
toat lumea.
Programul era ciudat pentru utilizatori, n special din
punctul de vedere al punctelor de apariie. Au fost introduse fiiere
neobinuite n directoarele lusrltmp, iar unele mesaje stranii au
aprut n fiierele unor utilitare, cum ar fi sendmail. Totui, cel
mai notabil efect a fost faptul c sistemele au devenit din ce n ce
mai ncrcate cu procese datorit infectrii multiple. Cu trecerea
timpului, unele dintre maini au devenit att de ncrcate, nct nu
au mai fost capabile s lucreze; unele maini au fost blocate
complet, atunci cnd spaiul de evacuare (swaping) sau tabela de
procese au fost saturate.
n dimineaa zilei de 3 noiembrie, personalul de la
Universitatea Berkeley din California i de la Institutul de
Tehnologie Massachusetts au "capturat' copii ale programului i
au nceput s le analizeze. Utilizatori din alte locuri au nceput, de

asemenea, s studieze programul i au fost dezvoltate metode de

eradicare a acestuia. O caracteristic a programului a ieit n
eviden: modifica resursele sistemului ntr-un fel care nu putea fi
detectat rapid. Au fost alterate fiiere i distruse informaiile, ceea
ce a impus cutarea unei soluii. Dup ora 5 am la mai puin de 13
ore de la prima descoperire a programului, Computer Systems
Research Group de la Berkeley a stabilit un set provizoriu de
msuri, n vederea opririi extinderii. Printre acestea se afla i o
modificare la serviciul sendmail i sugestia de a redenumi
compilatoarele C i ncrctorul, pentru a preveni utilizarea lor.
Aceste sugestii au fost publicate n listele de pot electronic i
prin sistemul de tiri din reeaua Usenet, cu toate c extinderea
viermelui a fost mpiedicat, cel mai adesea prin deconetarea
sistemelor de la INTERNET, n ncercarea de a le dezinfecta
ulterior.
Pe la orele 9 pm, n aceeai zi, a fost descoperit i publicat
la Purdue University o alt metod simpl pentru stoparea
invaziei acestui program. mbuntiri soft au fost anunate i de
ctre grupul Berkeley, pentru a "astupa" fisurile ce permiteau
programului s invadeze sistemele. Tot ceea ce rmnea de fcut
era de a se analiza codul care a generat aceste probleme i de a
descoperi cine i de ce lansat viermele.
Cronologia evenimentelor
Este foarte interesant de remarcat viteza i profunzimea cu
care Viermele s-a extins i este semnificativ de urmrit rapiditatea
cu care a fost identificat i-a oprit utilizndu-se aceeai reea
pentru comunicarea ntre specialiti a rezultatelor. Este, credem
noi, foarte interesant i instructiv de urmrit desfurarea n timp
a rspndirii Viermelui, cel mai important eveniment de
securitate din istoria INTERNET-ului, dar -este la fel de util de a
vedea rapiditatea cu care s-a cristalizat riposta specialitilor.
2 Noiembrie 1988
17.00. Viermele este executat pe o main la Cornell University;

 18.00. Maina prep.ai.mit.edu a lui MIT a fost infectat. Prep

era o main cu acces public, utilizat pentru stocarea i
distribuirea soft-ului prin proiectul GNU. Maina a fost
configurat cu cteva vulnerabiliti de securitate de
notorietate, care permiteau . utilizatorilor de la distan s
introduc fiiere n sistem;
18.30. Maina infectat de la Pittsburgh Univerity a infectat o
main a corporaiei RAND;
21.00. Viermele este descoperit pe mainile de la Stanford
University; 21.30. Este invadat o prim main la Minnesota
University;
21.34. Maina gateway a Universitii Berkeley din California
este invadat. Se descoper o neobinuit incrcare a mainii cu
procese de pot;
22.34. Este infectat maina gateway a Universitii Princeton;
22.40. Maini de la Universitatea Norih Carolina sunt infectate
i sunt ncercri de a invada alte maini;
22.48. Sunt infectate maini ale SRI via sendmail (pot);
22.52. Viemele incearc s invadeze maina andrew.cmu.edu de
la Universitatea Carnegie-Mellon (pot);
22.54. Calculatoarele gateway de la Universitatea din
MaryJand sunt atacate prin . . procesul din fundal
corespunztor programului fingerd;
22.59. Mainile de la Universitatea din Pennsylvania sunt
atacate, dar sunt "insen-sibile". Vor fi depistate 210 ncercri
de infectare n urmtoarele 13 ore, prin pot; 23.48.
Calculatorul mimsy.umd.edu de la Universitatea din Maryland
este infectat via sendmail (pot);
23.40. Cercettorii de la Berkeley descoper intele de atac ca
fiind sendmail i rsh. Ei incep s nchid serviciile pentru alte
reele, ca msur de precauie;
23.45. Mainile de la Dartmouth i Laboratorul de Cercetri
Balistice al Armatei (BRL) sunt atacate i infectate (pot,
NCSC);

 23.49. Gateway-urile de la Universitatea din Utah sunt

infectate. n urmtoarea or numrul ncercrilor va ajunge la
100;
3 Noiembrie 1988
00.07. Este infectat maina Univesitii din Arizona, prin
pot;
00.21. Este infectat maina principal a Universitii
Princeton (un VAX 8650). Numrul ncercrilor ajunge la 68 i
maina clacheaz;
00.33. Este infectat maina dewey.udel.edu a Universitii din
Delaware;
01.30. Mainile de la UCLA sunt infectate;
02.00. Viermele este identificat pe mainile de la Universitatea
Harvard;
02.38. De la Berkeley se transmite un mesaj prin pot cu
coninutul: "Suntem atacai". Domeniile menionate ca fiind
infectate sunt: U.C.Berkeley, U.C.San Diego, LLL, Stanford i
NASA Ames;
03.15. Sunt infectate mainiie de la Universitatea din Chicago.
Una dintre mainile de la Departamentuf de fizic sufer 225
de ncercri de infectare, via fingerd, de la maini din Cornell;
03.39. Avertismentul despre Vierme este transmis de la
foo@bar.arpa sub forma: "Este probabil un virus pierdut prin
INTERNET.". Urmau trei scurte fraze despre cum s fie oprit
Viermele, urmate de "Sper c acestea ajut, dar mai mult, sper
c este vorba de o fars.". Cel ce transmitea s-a dovedit a fi
Andy Sudduth de fG Narvard, care a fost sunat prin telefon de
presupusul autor al Viermelui, Robert T Morris. Datorit
ncrcrii reelei i mainilor, avertismentul nu este propagat ir
urmtoarele 24 de ore;
04.00. Universitatea Colorado este i ea supus atacului; 04.00.
Mainile de la Universitatea Purdue sunt infectate;
05.54. Se transmite prin pot un avertisment cu privire la
Virme i, n plus, c msur de protecie minimal referitoare la

programul sendmail. Mesajul su este preluat de grupul de tiri

Usenix;
06.45. Se sun la National Computer Security Center i se
informeaz despre Vierme;
07.00. Maini ale Institutului de Tehnologie din Georgia sunt
infectate. Maina gateway (un VAX 780) sufer peste 30 de
ncercri;
07.30. Se descoper infectarea mainilor de la Universitatea
Purdue. Mainile sun att de ncrcate, nct nu se puteau citi
mesajele primite prin pot, inclusiv mesajul despre Vierme;
08.07. La Berkeley se identific atacul Viermelui prin
intermediul programului fingerd, dar mesajul trimis prin pot
nu poate fi citit mai bine de 13 ore;
08.18. Se retransmite avertismentul despre Vierme grupului de
tiri Usene news.announce.important i altor 30 de site-uri.
Acestea au fost primele informaii despre Vierme, aflate de cei
vizai n cursul ntregii zile, acest grup a schimb de mesaje prin
pot cu privire la progresul i comportarea Viermelui;
10.36. Se transmite prima descriere cu privire la modul de
lucru al Viermelui cele din lista nntp-managers. Atacul prin
programul fingerd la aceast or nc nu est cunoscut;
11.30. Defense Communications Agency inhib bridge-urile de
pot ntre Arpane i Milnei;
13.00. Sunt blocate peste 130 de maini ale SRI;'
14.50. Personalul de la Purdue descoper maini infectate cu
variante noi de programe sendmail instalate. Se transmite un
mesaj prin pot referitor la faptul c noua versiune de sendmail
nu constituie o msur de protecie suficient. Acel lucru era
cunoscut deja n multe locuri, inclusiv la Berkeley i MIT de
mai bine cte ore, dar nu se publicase nc nimic;
16.00. Administratorii de sisteme de la Purdue se ntlnesc
pentru a stabili strateg local. Versiunile de Vierme capturate
au furnizat o variant de prevenire a infecie prin crearea unui
director cu numele sh n directorul lusr tmp;
18.00. La Purdue s-a descoperit cum lucreaz Virmele, cu
defeciunea din program finger,

 19.00. La MIT, s-a reconstituit atacul Viermelui prin

intermediul programului fingerd' i s-a telefonat la Berkeley
pentru a se anuna aceasta. Nu a fost transmis nimic prin pot
despre acest mod de atac;
19.19. S-au transmis noile mbuntiri aduse programelor
sendmail i fingerd, dar aceste mesaje au fost recepionate abia
a doua zi;
19.37. De la Universitatea din Rochester a fost trimis prin
pot o descriere a atacului prin intermediul programului
fingerd;
21.30. Grupul de la Berkeley ncepe decompilarea Viermelui,
pentru a determina sursa n C.
4 Noiembrie 1988
00.50. Se trimite prin pot o descriere a atacului prin
intermediul fingerd. Se fac i primele comentarii referitoare la
stilul de cod al autorului Viermelui;
05.00. Grupul MiT ncheie decompilarea codului;
09.00. Grupul de la Berkeley ncheie decompilarea codului;
11.00. Sunt reinstalate bridge-urile de pot ntre MilnetArpanet;
14.20. Se retransmit prin pot modificrile aduse la programul
fingerd;
15.36. De la MIT, se transmit clarificri asupra modului de
operare a Viermelui; 17.2d. Se transmite un set final de
mbuntiri pentru sendmail i fingerd;
21.30. Autorul Viermelui este identificat din dou surse
independente ca fiind Robert T Morris, fiut directorului
tiinific al Centrului Naional de Securitate a Calcutatoarelor
(GNSC), Robert Morris.
Pn pe 8 noiembrie, marea majoritate a mainilor au fost
reconectate la INTERNET i traficul a revenit la normal. n
aceeai diminea, aproximativ 50 de cercettori s-au intlnit cu
oficialitti din Centru! National de Securitate. Cu aceast
ocazie, au fost identificate direciiile ulterioare de aciune n

acest domeniu. Analizatorii de trafic al reelei au continuat s

identifice ncercri de infectare nc existente pe mainile
INTERNET-ului. O ultim ncecare a fost identificat la
nceputul lunii decembrie 1988.
Despre autorul Viermelui
Dup ce Viermele a fost oprit, au fost puse, inevitabil, dou
ntrebri: "cine?" i "de ce?".
La prima ntrebare rspunsul a aprut rapid prin
identificarea lui Robert T. Morris de ctre New York Times. Exist
multe elemente care susin identificarea fcut. Multe oficialiti
federale au afirmat c au dovezi, obinute de la persoane distincte,
prin care se specific faptul c Morris a discutat cu aceste
persoane despre Vierme i cercetrile sale n aceast direcie. Ei
susin, de asemenea, c au nregistrri de pe calculatoarele de la
Universitatea Cornell reprezentnd versiuni de nceput ale codului
Viermelui testate pe maini din campus i, de asemenea, susin c
au copii ale Viermetui gsite n contul lui Morris. Raportut
furnizat de Oficiul Rectoratului Universitii din Cornelt l indic
de asemenea pe Morris ca fiind culpabil i prezint motive
convingtoare pentru a susine aceast concluzie.
Dar dac autorul era stabilit, motivul acestei aciuni
rmnea neclar, plasat ntre un experiment greit i pn la un act
incontient de rzbunare a lui Morris mpotriva tatlui su. Din
studiul fcut de multe persoane asupra codului decompilat, au
rezultat dou concluzii:
O prim concluzie se refer la faptul c programul nu
conine, n mod explicit, poriuni de cod care ar provoca explicit
distrugeri ale sistemelor pe care ar rula. Lund n considerare
abilitatea i cunotinele evideniate de cod, pentru autor ar fi
constituit o chestiune simpl introducerea unor astfel de comenzi,
dac aceasta ar fi fost intenia lui. n cele din urm, eliberarea
prematur n reea a Viermelui arat c intenia autorului de a
distruge sau perturba structuri i sisteme nu poate fi luat n
considerare n mod explicit;
A doua concluzie se refer fa faptul c n cod nu este inclus
un mecanism pentru a opri dezvoltarea Viermelui. Lund n

considerare acest lucru, precum i complexitatea irului utilizat ca

argument, necesar pentru a declana Viermele, multe persoane
care au examinat codul nu consider c Viermele a fost declanat
accidental sau c intenia a fost de a nu fi propagat puternic.
Avnd n vedere aceste lucruri, sunt ciudate ncercrile fcute
pentru a justifica aciunea lui Morris, susinndu-se c intenia lui
era de a demonstra ceva despre securitatea 7NTERNET ului sau
c a fost un experiment nevinovat. Raportul Rectoratului
Universitii din Cornell nu ncearc s scuze comportamentul lui
Morris. Aceast aciune este etichetat ca fiind neetic i contrar
standardelor profesionale. Aciunea sa este considerat a fi
ndreptat mpotriva politicii Universitii i practicii acceptate i
ar fi fost de ateptat ca, avnd n vedere experiena pe care o are n
acest domeniu, s cunoasc c astfel de aciuni sunt nepermise.
Cei care cred c Viermele constituie un accident sau un
experiment nefericit sunt de prere ca autorul s nu fie pedepsit,
mergnd pn la a cere pedepsirea administratorilor i
operatorilor de pe sistemele i mainile afectate, pentru neglijena
cu care au tratat aspectele ,de securitate. Ceilali consider c
autorul trebuie s fie pedepsit sever, inclusiv cu privarea de
libertate. Comisia de la Cornell a recomandat unele pedepse, dar
nu att de severe nct s afecteze cariera ulterioar a lui Morris.
n acea recomandare este specificat suspendarea lui Morris din
Universitate pentru minimum un an. Faptul c nu s-au ntmplat
mari nenorociri poate constitui un accident i este posibil ca
intenia autorului s fi fost de a suprancrca lNTERNET-ul, aa
cum s-a i ntmplat. Scuzarea unor astfel de acte de vandalism,
sub declaraia c autorii nu au vrut s creeze mari neajunsuri, nu
poate conduce la descurajarea repetrii unor astfel de ncercri,
ba chiar mai mult, acestea sunt ncurajate.
Vulnerabiliti exploatate de Vierme
Viermele utilizeaz o serie de defecte sau slbiciuni existente
n software-ul standard al multor sisteme UNIX. Unele dintre
aceste defecte sunt descrise n continuare.
Programul Fingerd

Programul fingerd este un utilitar care permite obinerea de

informaii despre utilizatori. De obicei, este folosit pentru a
identifica numele ntreg sau numele de conectare (login) al unui
utilizator, dac acesta se afl n sesiune i posibil, alte informaii
despre persoana respectiv, cum ar fi numerele de telefon etc.
Acest program este rulat ca daemon sau proces n fundal
(background), pentru rezolvarea cererilor de informaii venite de
la distan, utilizndu-se protocolul fingerd, Acest program
accept conexiuni de. la programe ce ruleaz n alt parte, citete
linia de intrare i trimite rspuns receptorului care a adresat
ntrebarea.
Punctul slab exploatat, prin care se "sparge" acest program,
implic modificarea buffer ului de intrare folosit de acesta.
Biblioteca f/0 a limbajului C are cteva rutine care citesc intrarea
fr a verifica limitele buffer-ului implicat n aceast operaiune.
n particular, apelul funciei gets preia datele de intrare ntr-un
buffer, fr a face verificarea limitelor acestuia. Apelul acestei
funcii a fost exploatat de Vierme. Rutina gets nu este singura care
are acest neajuns. O ntreag familie de rutine din biblioteca Cului face posibil depirea buffer ului, atunci cnd se decodific
intrarea sau cnd se formateaz ieirea, dac utilizatorul nu
specific explicit numrul de caractere pentru conversie.
Cu toate c programatorii experimentai sunt cunosctori ai
acestor probleme, muli dintre ei continu s foloseasc aceste
rutine. Necazul este c orice server de reea sau program
privilegiat, care utilizeaz aceste funcii, poate fi compromis
datorit utilizrii unei intrri improprii. Interesant este c recent,
au mai fost descoperite nc dou comenzi n standardul BSD
UNIX, care au aceast problem.
Dup atacul asupra INTERNET-ului au fost relevate mai
multe probleme poteniale i mai multe modaliti de a le nltura,
dar cu toate acestea, biblioteca cu aceste rutine continu s fie
utilizat.
Programul Sendmail
Programul sendmail este un serviciu de pot electronic,
destinat s ruteze scrisorile ntr-o reea eterogen. Programul are
mai multe moduri de operare, dar unul dintre acestea este

exploatat de Vierme i implic lansarea serviciului ca proces n

background (daemon). n acest mod de lucru, procesul se afl n
starea de "ascultare" la un port TCP (25), pentru a face
distribuirea potei sosite prin protocolul standard INTERNET,
SMTP (Simple Mail Transfer Protocon. Cnd o astfel de situaie
este detectat, procesul intr ntr-un dialog cu un alt proces de la
distan, pentru a determina expeditorul, destinatarul,
instruciunile de distribuire i coninutul mesajului.
Punctul slab exploatat n sendmail este legat de o opiune de
depanare a codului. Viermele transmite comanda DEBUG la
sendmail i apoi specific destinatarul mesajului, ca un set de
comenzi i nu ca o adres utilizator. ntr-o operaiune normal,
acest lucru nu este permis; ns, n activitatea de depanare a
codului este posibil verificarea potei sosite pentru un anumit
destinatar, fr a se apela rutinele de adresare. Prin utilizarea
acestei opiuni, testele pot rula programe care s afieze starea
sistemului de pot, fr trimiterea de mesaje sau stabilirea unei
conexiuni. Aceast opiune de depanare este adesea utilizat
tocmai datorit complexitii configurrii lui sendmail.
Programul sendmail este de mare importan, mai ales
pentru sisteme UNIX derivate din BSD, deoarece mnuiete
procese complexe de rutare i distribuire a potei. Totui, n ciuda
importanei mari i a utilizrii largi, cea mai mare parte a
administratorilor de sisteme tiu puin despre felul n care
lucreaz sendmail. Dei sunt relatate multe apariii de driver e
scrise de administratori de sisteme sau modificri aduse Kernelului, nimeni nu a adus nc modificri la sendmail sau la
configuraia fiierelor sale. n concluzie, punctele slabe prezentate
n sendmail sunt puin cunoscute, iar unele dintre ele sunt
depistate i comunicate pe msura descoperirii lor.
Parole
Una din "piesele de rezisten" ale Viermelui implic
ncercarea de a descoperi parolele utilizatorilor. n sistemele
UNIX, utilizatorul furnizeaz o parol ca semn de verificare a
identitii. Parola este criptat, utiliznd o versiune a algoritmului
DES, iar rezultatul este comparat cu rezultatul criptrii
anterioare, prezent n fiierul letclpasswd. Dac acestea coincid,

accesul este permis. n acest fiier nu sunt incluse parolele n clar

i algoritmul se presupune a fi neinversabil; deci, fr cunoaterea
parolei nu avem acces.
Organizarea parolelor n UNIX permite unor comenzi
neprivilegiate s utilizeze informaii din fiierul /etc/passwd i s
acceseze schema de autentificare a parolelor. Deci se permite un
atac prin criptarea unei liste cu parole posibile i compararea
rezultatelor cu fiierul letclpasswd, fr a se face apel la o funcie
sistem, special dedicat. De fapt, securitatea parolelor este
asigurat n principal prin numrul mare de ncercri ce trebuie
efectuate pentru a le determina, cu toate combinaiile de caractere
posibile. Din nefericire, exist maini care lucreaz rapid i costul
unei astfel de aciuni este n continu descretere, datorit
rapiditii dezvoltrii produselor hard.
Diviznd procesul pe mai multe procesoare, se reduce mult
timpul necesar determinrii unei parole. Astfel de atacuri sunt
uurate mult, atunci cnd utilizatorul alege drept parol un
cuvnt comun sau des folosit. n acest caz, toat cutarea se
rezum la determinarea parolei prin verificarea unor cuvinte
comune, existente ntr-o astfel de list (vezi capitolul 2).
Viermele utilizeaz pentru spargerea parolei un astfel de tip
de atac. n acest sens se folosete o list de cuvinte standard,
cuvinte care sunt considerate a fi parole posibile. Viermele asigur
criptarea lor prin intermediul unei versiuni rapide a algoritmului
de cifrare i apoi, compar rezultatul cu coninutul fiierului
/etc/passwd. Deci Viermele exploateaz accesul la acest fiier,
cuplat cu tendina utilizatorilor de a alege cuvinte comune drept
parole.
Un defect discutat n prezent i care a fost exploatat de
Vierme implic utilizarea sesiunilor de ncredere. Una din
facilitile utile ale soft-ului de reea al lui BSD UNIX este
suportul de execuie a proceselor pe maini aflate la distan.
Pentru a se evita repetarea tipririi parolelor pentru accesul n
conturi aflate la distan, se asigur posibilitatea unui utilizator de
a specifica o list cu perechi gazd/cont, care sunt considerate a fi
de ncredere, n sensul c un acces la distant de la calculatorul
gazd la acel cont se face fr a utiliza parola contului respectiv.
Acest aspect este responsabil de numeroasele accese neautorizate

la calculatoare, dar continu s fie utilizat, fiind convenabil.

Viermele a exploatat acest mecanism prin ncercarea de a localiza
host-urile de ncredere i a determina perechile corespunztoare.
Acest lucru a fost realizat prin examinarea de ctre Vierme a
fiierului de pe host-ul curent, care conine perechile host/conturi.
Odat ce Viermele gsete astfel de candidai, va ncerca, n modul
cel mai rapid, s se autoinstaleze pe aceste maini, folosind
facilitatea execuiei la distan, copiindu-se pe sine pe maina de la
distan, ca i cum ar fi un utilizator autorizat, care efectueaz o
operaie standard de la distan. Pentru a inltura astfel de
ncercri n viitor, este necesar ca actualul mecanism de acces la
distan s fie anulat i nlocuit cu ceva nou. Un mecanism nou
creat, care se apropie de cerinele de mai sus, este server ul de
autentificare Kerberos (vezi subcapitolul 7.4).
Descrierea Viermelui
Viermele INTERNET este constituit din dou pri: un
program principal i un program vector (bootstrap).
Programul principal, o dat instalat pe o main, va colecta
informaii despre alte maini din reea, cu care calculatorul
gazd poate fi conectat. Va face aceast colectare prin citirea
fiierelor de configurare i prin lansarea proceselor
corespunztoare programelor utilitare de sistem, care
furnizeaz informaii despre -starea curent a conexiunilor din
reea. Apoi, va ncerca s profite de fisurile din soft, descrise
mai sus, pentru a instala programul su vector pe fiecare din
aceste calculatoare aflate la distan;
Programul vector are 99 de linii de cod C, care vor fi compilate
i rulate pe maina de la distan. Sursa acestui program va fi
transferat la "victim", folosind una dintre metode4e care vor
fi prezentate n continuare. Apoi, sursa va fi apelat pe maina
victim, prin intermediul unei linii de comand, cu trei
argumente: adresa de reea a calculatorului infectat, numrul
port-ului de reea pentru conectarea la aceast main (pentru
a se copia fiierele programului principal al Viermelui) i un
numr magic, care acioneaz efectiv ca o parol cu o singur
utilizare.

Dac Viermele "server", de pe maina de la distan, nu

recepioneaz napoi acelai numr magic (cel trimis de
programul vector) nainte de nceperea transferului, va fi
deconectat imediat de la programul vector. Acest lucru este
realizat pentru a preveni ncercrile de capturare a fiierelor
binare prin nelarea Viermelui "server".
Codul vectorului acioneaz pentru ascunderea sa i prin
punerea pe 0 a vectorului su de argumente (imaginea liniei de
comand), i prin utilizarea mecanismului fork pentru crearea
unui proces fiu identic. Dac se ntmpl o defeciune n timpul
transferului de fiiere, codul determin tergerea fiierelor deja
transferate i apoi, face ieirea.
O dat instalat pe o main, programul vector se va conecta
cu calculatorul pe care se execut procesul Vierme original i va
executa transferul unor fiiere binare (cod precompilat) ctre
maina local. Fiecare fiier binar reprezint o versiune a
programului Vierme principal, compilat corespunztor unei
anumite arhitecturi de calculator i unei anumite versiuni de
sistem de operare. Programul vector va transfera, de asemenea, o
copie a sursei sale folosit pentru infectarea altor sisteme. Una
dintre trsturile mai curioase ale programului vector a generat
multe ntrebri: programul are alocate structuri de date pentru
transferul a 20 de fiiere, din care au fost folosite doar 3. Acest
lucru a condus la speculaia c a fost planificat, probabil pentru
a fi lansat la o dat ulterioar, o versiune extins a Viermelui, cu
alte fiiere de comand, fiiere de parole, virui locali i programe
de tip "cai troieni".
Odat ce fiierele binare au fost transferate, programul vector
ncarc fiierele corespunztor versiunii locale a bibliotecilor
standard, pe care le leag cu programele aduse. Ulterior, aceste
programe vor fi apelate. Dac unul dintre acestea ruleaz cu
succes, citete n memoria proprie copiile programului vector i ale
fiierelor binare i apoi terge originalele de pe disc.
n pasul urmtor, va ncerca s foreze ptrunderea pe alte
maini. Dac nici una dintre versiuni nu ruleaz cu succes, atunci
mecanismul de rulare a programului vector (un fiier de comenzi)

va terge toate fiierele de pe disc create pe durata ncercrii de

infectare, lsnd sistemul curat.