home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.85 < prev    next >
Encoding:
Text File  |  1995-01-03  |  15.2 KB  |  357 lines
  1. VIRUS-L Digest              Monday, 10 Apr 1989         Volume 2 : Issue 85
  2.  
  3. Today's Topics:
  4. Re: Hardware write protection
  5. Re: VIRUS-L Digest V2 #84
  6. Re: Copyrighting a virus
  7. HEADACHE EXEC (VM/CMS)
  8. RE  WORM REPORTS WAS  CORNELL RTM WORM REPORT
  9. Cornell's report on the Morris Worm (long)
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Date:         Sat, 8 Apr 1989 15:34 EST
  14. From:         Bruce Ide <xd2w@PURCCVM.BITNET>
  15. Subject:      Re: Hardware write protection
  16.  
  17. If you do figgure out how to do this, you could probably set up a
  18. toggle switch or key thing to alllow you to write to your disk
  19. when it's switched one way and keep write protection on when it's
  20. switched the other. If you want to keep users out, set it up with the
  21. key. If it's to keep viri out, set it up with the switch. It'll take
  22. a bit of soldering, and a few thirty nine cent swtiches from radio
  23. shack. I did something similiar on my modem to switch pins two and
  24. three with the flick of a switch.
  25.  
  26. ------------------------------
  27.  
  28. Date: Sat, 08 Apr 89 16:17:55 EST
  29. From: Gene Spafford <spaf@cs.purdue.edu>
  30. Subject: Re: VIRUS-L Digest V2 #84
  31.  
  32. >> Date:    Sat, 8 Apr 89 14:16:23 EDT
  33. >> From:    A. M. Boardman <ab4@cunixb.cc.columbia.edu>
  34. >> Subject: Cornell RTM Worm Report
  35. >>
  36. >> >Just read in the April 3 _Unix Today_ that Cornell is releasing a report
  37. >> >today on the Internet Worm.  Does anyone know where I can get a copy?
  38. >>
  39. >> A general report was released from the Purdue Provost's office
  40. >> recently, although for a technical report you should look at "The
  41. >> Internet Worm Program: An Analysis",(Gene Spafford) Purdue Technical
  42. >> report CSD-TSR-823, which can be FTP'd from arthur.cs.cpurdue.edu.
  43.  
  44. Correction:  the report is from the Cornell Provost's office, not
  45. Purdue's.
  46.  
  47. My tech report has also appeared in "ACM Computer Communication
  48. Review" (the SIGCOMM newsletter), and those of you without FTP access
  49. can get a copy from there.  It was v19, #1 (Jan. 1989).
  50.  
  51. Further, the June or July issue of Communications of the ACM will have
  52. a number of special articles on the Morris Worm, including one by me.
  53.  
  54. - --spaf
  55.  
  56. ------------------------------
  57.  
  58. Date: Sat, 08 Apr 89 16:24:12 EST
  59. From: Gene Spafford <spaf@cs.purdue.edu>
  60. Subject: Re: Copyrighting a virus
  61.  
  62. A copyright on a particular virus wouldn't help much.  Writing a virus
  63. from scratch would be an original work and would not infringe the
  64. copyright unless it included portions of the copyrighted work.  There
  65. is also legal precedent for denying copyright on items you do not
  66. intend to publish.  Copyrighting something and keeping it "secret" can
  67. be grounds for voiding a copyright, in some cases, I believe.
  68.  
  69. A patent would provide more protection, but you would have to prove
  70. that you had the original idea for it, and we're well over the time
  71. limit that would allowed for filing for a patent, so either of those
  72. approaches is also right out.
  73.  
  74. The real problem with either approach is that it only gives you
  75. standing in civil court to sue for loss of revenue.  You would have to
  76. identify the infringer and schedule a court case.  Then you'd have to
  77. prove the infringement.  Not only would this be difficult to do, but
  78. it would take a very long time and likely not result in anything you
  79. could gain.  It would not prevent someone from writing or running a
  80. virus.
  81.  
  82. Now if you want to indulge in the kind of short-sighted stupidity that
  83. Apple is pursuing, you might try to copyright a virus "look-and-feel"
  84. :-)
  85.  
  86. - --spaf
  87.  
  88. ------------------------------
  89.  
  90. Date:         Sat, 08 Apr 89 20:10:47 EDT
  91. From:         Ron Dawson <053330@UOTTAWA.BITNET>
  92. Subject:      HEADACHE EXEC (VM/CMS)
  93.  
  94. A new REXX program similar to the infamous XMAS EXEC is making the
  95. rounds.  It appeared here at UOTTAWA on April 8.  It is called
  96. HEADACHE EXEC and it pretends to be a chat program.  However, embedded
  97. about 750 lines down in the code, it sends itself to everyone on your
  98. names list.
  99.  
  100. Do not run this program......
  101.  
  102. - - Ron
  103.  
  104. ------------------------------
  105.  
  106. Date:     Sun 09 Apr 1989 05:07 CDT
  107. From:     GREENY <MISS026@ECNCDC.BITNET>
  108. Subject:   RE  WORM REPORTS WAS  CORNELL RTM WORM REPORT
  109.  
  110. > ...ALL THREE OF THESE WERE AVAILABLE FOR ANONYMOUS FTP FROM
  111. > ATHENA.AI.MIT.EDU [ED. THE ABOVE REPORTS ARE ALSO AVAILABLE FOR
  112. > ANONYMOUS FTP FROM LLL-WINKEN.LLNL.GOV]
  113.  
  114. ALTHOUGH SEVERAL GRACIOUS SOULS HAVE SENT ME COPIES OF TWO OF THE
  115. ABOVE PAPERS, WHAT WOULD BE THE POSSIBILITY OF SOMEONE ON THE INTERNET
  116. SENDING A COPY OF EACH PAPER FOR POSTING TO THE LISTSERV?
  117.  
  118. THIS WOULD PROVIDE EASY ACCESS TO SOME INTERESTING, AND MUCH NEEDED
  119. INFORMATION TO PERSONS ON THE BITNET...
  120.  
  121. BYE FOR NOW BUT NOT FOR LONG
  122. GREENY
  123.  
  124. BITNET: MISS026
  125. INTERNET: MISS026%ECNCDC.BITNET
  126.  
  127. [Ed. I'm working on that...]
  128.  
  129. ------------------------------
  130.  
  131. Date: Sun, 09 Apr 89 18:06:39 EST
  132. From: Gene Spafford <spaf@cs.purdue.edu>
  133. Subject: Cornell's report on the Morris Worm (long)
  134.  
  135.  ------- Forwarded Message
  136.  
  137. Original-Date:    Sun, 09 Apr 89 17:19:16 -0500
  138. Original-From:    comer (Douglas Comer)
  139. Original-Subject: a nice summary of the Cornell report
  140.  
  141. Summary by Manny Farber <G47Y@cornella.cit.cornell.edu>
  142.  
  143. The Cornell Chronicle is the Administration's organ.  As such, their
  144. coverage of the Bob Morris report may be relatively one-sided, but
  145. since they got the report in advance, they summarized it.  I'll put
  146. the last paragraph right here: Copies of the report are available from
  147. the Office of the Vice President for Information Technologies, 308 Day
  148. Hall, [area code 607] 255-3324.
  149.  
  150. CORNELL PANEL CONCLUDES MORRIS RESPONSIBLE FOR COMPUTER WORM
  151. (By Dennis Meredith, Cornell Chronicle, 4/6/89)
  152.  
  153.   Graduate student Robert Tappan Morris Jr., working alone, created
  154. and spread the "worm" computer program that infected computers
  155. nationwide last November, concluded an internal investigative
  156. commission appointed by Provost Robert Barker.
  157.  
  158.   The commission said the program was not technically a "virus"--a
  159. program that inserts itself into a host program to propagate--as it
  160. has been referred to in popular reports.  The commission described the
  161. program as a "worm," an independent program that propagates itself
  162. throughout a computer system.
  163.  
  164.   In its report, "The Computer Worm," the commission termed Morris's
  165. behavior "a juvenile act that ignored the clear potential
  166. consequences."  This failure constituted "reckless disregard of those
  167. probable consequences," the commission stated.
  168.  
  169.   Barker, who had delayed release of the report for six weeks at the
  170. request of both federal prosecutors and Morris's defense attorney,
  171. said, "We feel an overriding obligation to our colleagues and to the
  172. public to reveal what we know about this profoundly disturbing
  173. incident."
  174.  
  175.   The commission had sought to determine the involvement of Morris or
  176. other members of the Cornell community in the worm attack.  It also
  177. studied the motivation and ethical issues underlying the release of
  178. the worm.
  179.  
  180.   Evidence was gathered by interviewing Cornell faculty, staff, and
  181. graduate students and staff and former students at Harvard University,
  182. where Morris had done undergraduate work.
  183.  
  184.   Morris declined to be interviewed on advice of counsel.  Morris had
  185. requested and has received a leave of absence from Cornell, and the
  186. university is prohibited by federal law from commenting further on his
  187. status as a student.
  188.  
  189.   The commission also was unable to reach Paul Graham, a Harvard
  190. graduate student who knew Morris well.  Morris reportedly contacted
  191. Graham on Nov. 2., the day the worm was released, and several times
  192. before and after that.
  193.  
  194.   Relying on files from Morris's computer account, Cornell Computer
  195. Science Department documents, telephone records, media reports, and
  196. technical reports from other universities, the commission found that:
  197.  
  198.   - Morris violated the Computer Sciences Department's expressed
  199. policies against computer abuse.  Although he apparently chose not to
  200. attend orientation meetings at which the policies were explained,
  201. Morris had been given a copy of them.  Also, Cornell's policies are
  202. similar to those at Harvard, with which he should have been familiar.
  203.  
  204.   - No member of the Cornell community knew Morris was working on the
  205. worm.  Although he had discussed computer security with fellow
  206. graduate students, he did not confide his plans to them.  Cornell
  207. first became aware of Morris's involvement through a telephone call
  208. from the Washington Post to the science editor at Cornell's News
  209. Service.
  210.  
  211.   - Morris made only minimal efforts to halt the worm once it had
  212. propagated, and did not inform any person in a position of
  213. responsibility about the existence or content of the worm.
  214.  
  215.   - Morris probably did not indent for the worm to destroy data or
  216. files, but he probably did intend for it to spread widely.  There is
  217. no evidence that he intended for the worm to replicate uncontrollably.
  218.  
  219.   - Media reports that 6,000 computers had been infected were based on
  220. an initial rough estimate that could not be confirmed.  "The total
  221. number of affected computers was surely in the thousands," the
  222. commission concluded.
  223.  
  224.   - A computer security industry association's estimate that the worm
  225. caused about $96 million in damage is "grossly exaggerated" and "self-
  226. serving."
  227.  
  228.   - Although it was technically sophisticated, "the worm could have
  229. been created by many students, graduate or undergraduate ...
  230. particularly if forearmed with knowledge of the security flaws
  231. exploited or of similar flaws."
  232.  
  233.   The commission was led by Cornell's vice president for information
  234. technologies, M. Stuart Lynn.  Other members were law professor
  235. Theodore Eisenberg, computer science Professor David Gries,
  236. engineering and computer science Professor Juris Hartmanis, physics
  237. professor Donald Holcomb, and Associate University Counsel Thomas
  238. Santoro.
  239.  
  240.   Release of the worm was not "an heroic event that pointed up the
  241. weaknesses of operating systems," the report said.  "The fact that
  242. UNIX ... has many security flaws has been generally well known, as
  243. indeed are the potential dangers of viruses and worms."
  244.  
  245.  The worm attacked only computers that were attached to Internet, a
  246. national research computer network and that used certain versions of
  247. the UNIX operating system.  An operating system is the basic program
  248. that controls the operation of a computer.
  249.  
  250.   "It is no act of genius or heroism to exploit such weaknesses," the
  251. commission said.
  252.  
  253.   The commission also did not accept arguments that one intended
  254. benefit of the worm was a heightened public awareness of computer
  255. security.
  256.  
  257.   "This was an accidental byproduct of the event and the resulting
  258. display of media interest," the report asserted.  "Society does not
  259. condone burglary on the grounds that it heightens concern about safety
  260. and security."
  261.  
  262.   In characterizing the action, the commission said, "It may simply
  263. have been the unfocused intellectual meanderings of a hacker
  264. completely absorbed with his creation and unharnessed by
  265. considerations of explicit purpose or potential effect."
  266.  
  267.   Because the commission was unable to contact Graham, it could not
  268. determine whether Graham discussed the worm with Morris when Morris
  269. visited Harvard about two weeks before the worm was launched.  "It
  270. would be interesting to know, for example, to what Graham was
  271. referring to in an Oct. 26 electronic mail message to Morris when he
  272. inquired as to whether there was 'Any news on the brilliant
  273. project?'" said the report.
  274.  
  275.   Many in the computer science community seem to favor disciplinary
  276. measures for Morris, the commission reported.
  277.  
  278.   "However, the general sentiment also seems to be prevalent that such
  279. disciplinary measures should allow for redemption and as such not be
  280. so harsh as to permanently damage the perpetrator's career," the
  281. report said.
  282.  
  283.   The commission emphasized, that this conclusion was only an
  284. impression from its investigations and not the result of a systematic
  285. poll of computer scientists.
  286.  
  287.   "Although the act was reckless and impetuous, it appears to have
  288. been an uncharacteristic act for Morris" because of his past efforts
  289. at Harvard and elsewhere to improve computer security, the commission
  290. report said.
  291.  
  292.   Of the need for increased security on research computers, the
  293. commission wrote, "A community of scholars should not have to build
  294. walls as high as the sky to protect a reasonable expectation of
  295. privacy, particularly when such walls will equally impede the free
  296. flow of information."
  297.  
  298.   The trust between scholars has yielded benefits to computer science
  299. and to the world at large, the commission report pointed out.
  300.  
  301.   "Violations of that trust cannot be condoned.  Even if there are
  302. unintended side benefits, which is arguable, there is a greater loss
  303. to the community as a whole."
  304.  
  305.   The commission did not suggest any specific changes in the policies
  306. of the Cornell Department of Computer Science and noted that policies
  307. against computer abuse are in place for centralized computer
  308. facilities.  However, the commission urged the appointment of a
  309. committee to develop a university- wide policy on computer abuse that
  310. would recognize the pervasive use of computers distributed throughout
  311. the campus.
  312.  
  313.   The commission also noted the "ambivalent attitude towards reporting
  314. UNIX security flaws" among universities and commercial vendors.  While
  315. some computer users advocate reporting flaws, others worry that such
  316. information might highlight the vulnerability of the system.
  317.  
  318.   "Morris explored UNIX security amid this atmosphere of uncertainty,
  319. where there were no clear ground rules and where his peers and mentors
  320. gave no clear guidance," the report said.
  321.  
  322.   "It is hard to fault him for not reporting flaws that he discovered.
  323. >From his viewpoint, that may have been the most responsible course of
  324. action, and one that was supported by his colleagues."
  325.  
  326.   The commission report also included a brief account of the worm's
  327. course through Internet.  After its release shortly after 7:26 p.m. on
  328. Nov 2, the worm spread to computers at the Massachusetts Institute of
  329. Technology, the Rand Corporation, the University of California at
  330. Berkeley and others, the commission report said.
  331.  
  332.   The worm consisted of two parts--a short "probe" and a much larger
  333. "corpus."  The probe would attempt to penetrate a computer, and if
  334. successful, send for the corpus.
  335.  
  336.   The program had four main methods of attack and several methods of
  337. defense to avoid discovery and elimination.  The attack methods
  338. exploited various flaws and features int he UNIX operating systems of
  339. the target computers.  The worm also attempted entry by "guessing" at
  340. passwords by such techniques as exploiting computer users'
  341. predilections for using common words as passwords.
  342.  
  343.   The study's authors acknowledged computer scientists at the
  344. University of California at Berkeley for providing a "decompiled"
  345. version of the worm and other technical information.  The Cornell
  346. commission also drew on analyses of the worm by Eugene H. Spafford of
  347. Purdue University and Donn Seeley of the University of Utah.
  348.  
  349.  ------- End of Forwarded Message
  350.  
  351. ------------------------------
  352.  
  353. End of VIRUS-L Digest
  354. *********************
  355.  
  356.  
  357. Downloaded From P-80 International Information Systems 304-744-2253
  358.