[轉錄]什麼是網路之蟲(Internet-Worm)?
發信人: jonah.bbs@bbs.cis.nctu.edu.tw ( ), 信區: security
標 題: Internet Worm
發信站: 交大資科_BBS (Thu Apr 21 10:55:01 1994)
在1979年老莫 (Morris Sr.) 及老湯 (Ken Thompson, UNIX 的始作俑者)
共同完成了一份 UNIX 密碼的研究報告, 老莫那時在 NSA(National
Security Agency) 任職,他們將一些常用的字, 如人的姓, 名, 地名, 街
道, 以及一些字典上一般長度 (通常在 5 個 characters 以內) 的字等,
用 UNIX encrypt 的方式加密, 再把這些加密過的字拿去和 passwd 相比
對, 結果發現在一般的系統內超過 80%的密碼可以在這份名單上找到 (這
個故事告訴我們, 如果要選一個比較安全的密碼, 最好在六個字元以上)
十年之後, 老莫的兒子小莫 (Robert T. Morris) 在康乃爾大學念書,
Internet Worm 就是這小子的傑作. Worm 是由兩支程式組成, bootstrap
會先滲透受害的主機, 建立橋頭堡後再把 worm叫進來執行.
bootstrap 用三種方式來滲透:
1.rsh
從 routing table找出目標, 試著把 bootstrap 送進去執行
2.finger
送一個 536 bytes 的參數造成 overflow, 但finger daemon 檢查不出
來 (所以是一個 bug), 然後 daemon 會執行參數內的指令 (因為 over-
flow 之後被送到 stack了) instead of the real main program.
3.sendmail
這也是一個 BSD 的 bug, 在本版好像已經有人介紹過了.
當 Worm 在您的機器上建立據點後, 它試著去 break password, 小莫只需
找他老爹要一份 "辛德勒的名單" , 然後按圖索驥, 找出配對的密碼後, 用
這些 user 去 login routing table內所有的機器 (如果您在兩臺以上的機
器有帳號, 您會不會用不同的 password?)
Worm侵入一台主機之後, 會去檢查是否已有同伴的存在, 假如有, 它就會自
行退出, 但是有 1/7的機會 Worm 選擇留下來 (大概是怕系統弄隻假蟲來騙
它) , 問題出在這 1/7上面, 對 UNIX 系統實在是太大了, 因此被感染的機
器幾乎都被塞了一肚子的蛔蟲, 只好請病假療養幾天. 假如小莫當初設計是
一見到同伴 Worm 就退出的話, 大概永遠都不會被發現.
此事件發生在 1988 年 11 月 2 日, 受感染的機器總在數千台之譜 (詳細
數據沒有資料), 財產損失... 頗難估計. 事後小莫急著向人說明此事件純
屬意外 (也許他只是想 test), 他的一位朋友與紐約時報記者談論時不慎
提到小莫的 username, rtm, 於是...
克紹箕裘的小莫後來被判一萬美元的罰鍰, 三年緩刑, 再加四百小時的社區
服務, 我個人認為他如果到 NSA, NCSC, 或是一些penetration test teams
, 將是炙手可熱的人物.
紐約時報記者 Markoff後來和 Hafner寫了一本 Cyberpunk, 可能會有較清楚
的敘述 (抱歉, 我沒看過)
--
┼──┼ ┼──┼
│ │ ╭───╮
│ │ ├───┤
├──┤ ╰─┬─╯ B85504047
╰──╯ ─┼─ 台大化工一A 江明洋
--
※ 發信站: 批踢踢實業坊(bbs.m8.ntu.edu.tw)
◆ From: 140.112.8.22