home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.85

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  357 lines

---

1. VIRUS-L Digest              Monday, 10 Apr 1989         Volume 2 : Issue 85
2.  
3. Today's Topics:
4. Re: Hardware write protection
5. Re: VIRUS-L Digest V2 #84
6. Re: Copyrighting a virus
7. HEADACHE EXEC (VM/CMS)
8. RE  WORM REPORTS WAS  CORNELL RTM WORM REPORT
9. Cornell's report on the Morris Worm (long)
10.  
11. ---------------------------------------------------------------------------
12.  
13. Date:         Sat, 8 Apr 1989 15:34 EST
14. From:         Bruce Ide <xd2w@PURCCVM.BITNET>
15. Subject:      Re: Hardware write protection
16.  
17. If you do figgure out how to do this, you could probably set up a
18. toggle switch or key thing to alllow you to write to your disk
19. when it's switched one way and keep write protection on when it's
20. switched the other. If you want to keep users out, set it up with the
21. key. If it's to keep viri out, set it up with the switch. It'll take
22. a bit of soldering, and a few thirty nine cent swtiches from radio
23. shack. I did something similiar on my modem to switch pins two and
24. three with the flick of a switch.
25.  
26. ------------------------------
27.  
28. Date: Sat, 08 Apr 89 16:17:55 EST
29. From: Gene Spafford <spaf@cs.purdue.edu>
30. Subject: Re: VIRUS-L Digest V2 #84
31.  
32. >> Date:    Sat, 8 Apr 89 14:16:23 EDT
33. >> From:    A. M. Boardman <ab4@cunixb.cc.columbia.edu>
34. >> Subject: Cornell RTM Worm Report
35. >>
36. >> >Just read in the April 3 _Unix Today_ that Cornell is releasing a report
37. >> >today on the Internet Worm.  Does anyone know where I can get a copy?
38. >>
39. >> A general report was released from the Purdue Provost's office
40. >> recently, although for a technical report you should look at "The
41. >> Internet Worm Program: An Analysis",(Gene Spafford) Purdue Technical
42. >> report CSD-TSR-823, which can be FTP'd from arthur.cs.cpurdue.edu.
43.  
44. Correction:  the report is from the Cornell Provost's office, not
45. Purdue's.
46.  
47. My tech report has also appeared in "ACM Computer Communication
48. Review" (the SIGCOMM newsletter), and those of you without FTP access
49. can get a copy from there.  It was v19, #1 (Jan. 1989).
50.  
51. Further, the June or July issue of Communications of the ACM will have
52. a number of special articles on the Morris Worm, including one by me.
53.  
54. - --spaf
55.  
56. ------------------------------
57.  
58. Date: Sat, 08 Apr 89 16:24:12 EST
59. From: Gene Spafford <spaf@cs.purdue.edu>
60. Subject: Re: Copyrighting a virus
61.  
62. A copyright on a particular virus wouldn't help much.  Writing a virus
63. from scratch would be an original work and would not infringe the
64. copyright unless it included portions of the copyrighted work.  There
65. is also legal precedent for denying copyright on items you do not
66. intend to publish.  Copyrighting something and keeping it "secret" can
67. be grounds for voiding a copyright, in some cases, I believe.
68.  
69. A patent would provide more protection, but you would have to prove
70. that you had the original idea for it, and we're well over the time
71. limit that would allowed for filing for a patent, so either of those
72. approaches is also right out.
73.  
74. The real problem with either approach is that it only gives you
75. standing in civil court to sue for loss of revenue.  You would have to
76. identify the infringer and schedule a court case.  Then you'd have to
77. prove the infringement.  Not only would this be difficult to do, but
78. it would take a very long time and likely not result in anything you
79. could gain.  It would not prevent someone from writing or running a
80. virus.
81.  
82. Now if you want to indulge in the kind of short-sighted stupidity that
83. Apple is pursuing, you might try to copyright a virus "look-and-feel"
84. :-)
85.  
86. - --spaf
87.  
88. ------------------------------
89.  
90. Date:         Sat, 08 Apr 89 20:10:47 EDT
91. From:         Ron Dawson <053330@UOTTAWA.BITNET>
92. Subject:      HEADACHE EXEC (VM/CMS)
93.  
94. A new REXX program similar to the infamous XMAS EXEC is making the
95. rounds.  It appeared here at UOTTAWA on April 8.  It is called
96. HEADACHE EXEC and it pretends to be a chat program.  However, embedded
97. about 750 lines down in the code, it sends itself to everyone on your
98. names list.
99.  
100. Do not run this program......
101.  
102. - - Ron
103.  
104. ------------------------------
105.  
106. Date:     Sun 09 Apr 1989 05:07 CDT
107. From:     GREENY <MISS026@ECNCDC.BITNET>
108. Subject:   RE  WORM REPORTS WAS  CORNELL RTM WORM REPORT
109.  
110. > ...ALL THREE OF THESE WERE AVAILABLE FOR ANONYMOUS FTP FROM
111. > ATHENA.AI.MIT.EDU [ED. THE ABOVE REPORTS ARE ALSO AVAILABLE FOR
112. > ANONYMOUS FTP FROM LLL-WINKEN.LLNL.GOV]
113.  
114. ALTHOUGH SEVERAL GRACIOUS SOULS HAVE SENT ME COPIES OF TWO OF THE
115. ABOVE PAPERS, WHAT WOULD BE THE POSSIBILITY OF SOMEONE ON THE INTERNET
116. SENDING A COPY OF EACH PAPER FOR POSTING TO THE LISTSERV?
117.  
118. THIS WOULD PROVIDE EASY ACCESS TO SOME INTERESTING, AND MUCH NEEDED
119. INFORMATION TO PERSONS ON THE BITNET...
120.  
121. BYE FOR NOW BUT NOT FOR LONG
122. GREENY
123.  
124. BITNET: MISS026
125. INTERNET: MISS026%ECNCDC.BITNET
126.  
127. [Ed. I'm working on that...]
128.  
129. ------------------------------
130.  
131. Date: Sun, 09 Apr 89 18:06:39 EST
132. From: Gene Spafford <spaf@cs.purdue.edu>
133. Subject: Cornell's report on the Morris Worm (long)
134.  
135.  ------- Forwarded Message
136.  
137. Original-Date:    Sun, 09 Apr 89 17:19:16 -0500
138. Original-From:    comer (Douglas Comer)
139. Original-Subject: a nice summary of the Cornell report
140.  
141. Summary by Manny Farber <G47Y@cornella.cit.cornell.edu>
142.  
143. The Cornell Chronicle is the Administration's organ.  As such, their
144. coverage of the Bob Morris report may be relatively one-sided, but
145. since they got the report in advance, they summarized it.  I'll put
146. the last paragraph right here: Copies of the report are available from
147. the Office of the Vice President for Information Technologies, 308 Day
148. Hall, [area code 607] 255-3324.
149.  
150. CORNELL PANEL CONCLUDES MORRIS RESPONSIBLE FOR COMPUTER WORM
151. (By Dennis Meredith, Cornell Chronicle, 4/6/89)
152.  
153.   Graduate student Robert Tappan Morris Jr., working alone, created
154. and spread the "worm" computer program that infected computers
155. nationwide last November, concluded an internal investigative
156. commission appointed by Provost Robert Barker.
157.  
158.   The commission said the program was not technically a "virus"--a
159. program that inserts itself into a host program to propagate--as it
160. has been referred to in popular reports.  The commission described the
161. program as a "worm," an independent program that propagates itself
162. throughout a computer system.
163.  
164.   In its report, "The Computer Worm," the commission termed Morris's
165. behavior "a juvenile act that ignored the clear potential
166. consequences."  This failure constituted "reckless disregard of those
167. probable consequences," the commission stated.
168.  
169.   Barker, who had delayed release of the report for six weeks at the
170. request of both federal prosecutors and Morris's defense attorney,
171. said, "We feel an overriding obligation to our colleagues and to the
172. public to reveal what we know about this profoundly disturbing
173. incident."
174.  
175.   The commission had sought to determine the involvement of Morris or
176. other members of the Cornell community in the worm attack.  It also
177. studied the motivation and ethical issues underlying the release of
178. the worm.
179.  
180.   Evidence was gathered by interviewing Cornell faculty, staff, and
181. graduate students and staff and former students at Harvard University,
182. where Morris had done undergraduate work.
183.  
184.   Morris declined to be interviewed on advice of counsel.  Morris had
185. requested and has received a leave of absence from Cornell, and the
186. university is prohibited by federal law from commenting further on his
187. status as a student.
188.  
189.   The commission also was unable to reach Paul Graham, a Harvard
190. graduate student who knew Morris well.  Morris reportedly contacted
191. Graham on Nov. 2., the day the worm was released, and several times
192. before and after that.
193.  
194.   Relying on files from Morris's computer account, Cornell Computer
195. Science Department documents, telephone records, media reports, and
196. technical reports from other universities, the commission found that:
197.  
198.   - Morris violated the Computer Sciences Department's expressed
199. policies against computer abuse.  Although he apparently chose not to
200. attend orientation meetings at which the policies were explained,
201. Morris had been given a copy of them.  Also, Cornell's policies are
202. similar to those at Harvard, with which he should have been familiar.
203.  
204.   - No member of the Cornell community knew Morris was working on the
205. worm.  Although he had discussed computer security with fellow
206. graduate students, he did not confide his plans to them.  Cornell
207. first became aware of Morris's involvement through a telephone call
208. from the Washington Post to the science editor at Cornell's News
209. Service.
210.  
211.   - Morris made only minimal efforts to halt the worm once it had
212. propagated, and did not inform any person in a position of
213. responsibility about the existence or content of the worm.
214.  
215.   - Morris probably did not indent for the worm to destroy data or
216. files, but he probably did intend for it to spread widely.  There is
217. no evidence that he intended for the worm to replicate uncontrollably.
218.  
219.   - Media reports that 6,000 computers had been infected were based on
220. an initial rough estimate that could not be confirmed.  "The total
221. number of affected computers was surely in the thousands," the
222. commission concluded.
223.  
224.   - A computer security industry association's estimate that the worm
225. caused about $96 million in damage is "grossly exaggerated" and "self-
226. serving."
227.  
228.   - Although it was technically sophisticated, "the worm could have
229. been created by many students, graduate or undergraduate ...
230. particularly if forearmed with knowledge of the security flaws
231. exploited or of similar flaws."
232.  
233.   The commission was led by Cornell's vice president for information
234. technologies, M. Stuart Lynn.  Other members were law professor
235. Theodore Eisenberg, computer science Professor David Gries,
236. engineering and computer science Professor Juris Hartmanis, physics
237. professor Donald Holcomb, and Associate University Counsel Thomas
238. Santoro.
239.  
240.   Release of the worm was not "an heroic event that pointed up the
241. weaknesses of operating systems," the report said.  "The fact that
242. UNIX ... has many security flaws has been generally well known, as
243. indeed are the potential dangers of viruses and worms."
244.  
245.  The worm attacked only computers that were attached to Internet, a
246. national research computer network and that used certain versions of
247. the UNIX operating system.  An operating system is the basic program
248. that controls the operation of a computer.
249.  
250.   "It is no act of genius or heroism to exploit such weaknesses," the
251. commission said.
252.  
253.   The commission also did not accept arguments that one intended
254. benefit of the worm was a heightened public awareness of computer
255. security.
256.  
257.   "This was an accidental byproduct of the event and the resulting
258. display of media interest," the report asserted.  "Society does not
259. condone burglary on the grounds that it heightens concern about safety
260. and security."
261.  
262.   In characterizing the action, the commission said, "It may simply
263. have been the unfocused intellectual meanderings of a hacker
264. completely absorbed with his creation and unharnessed by
265. considerations of explicit purpose or potential effect."
266.  
267.   Because the commission was unable to contact Graham, it could not
268. determine whether Graham discussed the worm with Morris when Morris
269. visited Harvard about two weeks before the worm was launched.  "It
270. would be interesting to know, for example, to what Graham was
271. referring to in an Oct. 26 electronic mail message to Morris when he
272. inquired as to whether there was 'Any news on the brilliant
273. project?'" said the report.
274.  
275.   Many in the computer science community seem to favor disciplinary
276. measures for Morris, the commission reported.
277.  
278.   "However, the general sentiment also seems to be prevalent that such
279. disciplinary measures should allow for redemption and as such not be
280. so harsh as to permanently damage the perpetrator's career," the
281. report said.
282.  
283.   The commission emphasized, that this conclusion was only an
284. impression from its investigations and not the result of a systematic
285. poll of computer scientists.
286.  
287.   "Although the act was reckless and impetuous, it appears to have
288. been an uncharacteristic act for Morris" because of his past efforts
289. at Harvard and elsewhere to improve computer security, the commission
290. report said.
291.  
292.   Of the need for increased security on research computers, the
293. commission wrote, "A community of scholars should not have to build
294. walls as high as the sky to protect a reasonable expectation of
295. privacy, particularly when such walls will equally impede the free
296. flow of information."
297.  
298.   The trust between scholars has yielded benefits to computer science
299. and to the world at large, the commission report pointed out.
300.  
301.   "Violations of that trust cannot be condoned.  Even if there are
302. unintended side benefits, which is arguable, there is a greater loss
303. to the community as a whole."
304.  
305.   The commission did not suggest any specific changes in the policies
306. of the Cornell Department of Computer Science and noted that policies
307. against computer abuse are in place for centralized computer
308. facilities.  However, the commission urged the appointment of a
309. committee to develop a university- wide policy on computer abuse that
310. would recognize the pervasive use of computers distributed throughout
311. the campus.
312.  
313.   The commission also noted the "ambivalent attitude towards reporting
314. UNIX security flaws" among universities and commercial vendors.  While
315. some computer users advocate reporting flaws, others worry that such
316. information might highlight the vulnerability of the system.
317.  
318.   "Morris explored UNIX security amid this atmosphere of uncertainty,
319. where there were no clear ground rules and where his peers and mentors
320. gave no clear guidance," the report said.
321.  
322.   "It is hard to fault him for not reporting flaws that he discovered.
323. >From his viewpoint, that may have been the most responsible course of
324. action, and one that was supported by his colleagues."
325.  
326.   The commission report also included a brief account of the worm's
327. course through Internet.  After its release shortly after 7:26 p.m. on
328. Nov 2, the worm spread to computers at the Massachusetts Institute of
329. Technology, the Rand Corporation, the University of California at
330. Berkeley and others, the commission report said.
331.  
332.   The worm consisted of two parts--a short "probe" and a much larger
333. "corpus."  The probe would attempt to penetrate a computer, and if
334. successful, send for the corpus.
335.  
336.   The program had four main methods of attack and several methods of
337. defense to avoid discovery and elimination.  The attack methods
338. exploited various flaws and features int he UNIX operating systems of
339. the target computers.  The worm also attempted entry by "guessing" at
340. passwords by such techniques as exploiting computer users'
341. predilections for using common words as passwords.
342.  
343.   The study's authors acknowledged computer scientists at the
344. University of California at Berkeley for providing a "decompiled"
345. version of the worm and other technical information.  The Cornell
346. commission also drew on analyses of the worm by Eugene H. Spafford of
347. Purdue University and Donn Seeley of the University of Utah.
348.  
349.  ------- End of Forwarded Message
350.  
351. ------------------------------
352.  
353. End of VIRUS-L Digest
354. *********************
355.  
356. Downloaded From P-80 International Information Systems 304-744-2253
357.