home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack1 / phrack22.010 < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.3 KB  |  466 lines
  1.                                 ==Phrack Inc.==
  2.  
  3.                      Volume Two, Issue 22, File 10 of 12
  4.  
  5.             PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  6.             PWN                                                 PWN
  7.             PWN        P h r a c k   W o r l d   N e w s        PWN
  8.             PWN        ~~~~~~~~~~~   ~~~~~~~~~   ~~~~~~~        PWN
  9.             PWN                Issue XXII/Part 2                PWN
  10.             PWN                                                 PWN
  11.             PWN           Created by Knight Lightning           PWN
  12.             PWN                                                 PWN
  13.             PWN              Written and Edited by              PWN
  14.             PWN         Knight Lightning and Taran King         PWN
  15.             PWN                                                 PWN
  16.             PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN PWN
  17.  
  18.  
  19. Computer Network Disrupted By "Virus"                          November 3, 1988
  20. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  21. By John Markoff  (New York Times)
  22.  
  23. In an intrusion that raises new questions about the vulnerability of the
  24. nation's computers, a nationwide Department of Defense data network has been
  25. disrupted since Wednesday night by a rapidly spreading "virus" software program
  26. apparently introduced by a computer science student's malicious experiment.
  27.  
  28. The program reproduced itself through the computer network, making hundreds of
  29. copies in each machine it reached, effectively clogging systems linking
  30. thousands of military, corporate and university computers around the country
  31. and preventing them from doing additional work.  The virus is thought not to
  32. have destroyed any files.
  33.  
  34. By late Thursday afternoon computer security experts were calling the virus the
  35. largest assault ever on the nation's computers.
  36.  
  37. "The big issue is that a relatively benign software program can virtually bring
  38. our computing community to its knees and keep it there for some time," said
  39. Chuck Cole, deputy computer security manager at Lawerence Livermore Laboratory
  40. in Livermore, Calif., one of the sites affected by the intrusion.  "The cost is
  41. going to be staggering."
  42.  
  43. Clifford Stoll, a computer security expert at Harvard University, added, "There
  44. is not one system manager who is not tearing his hair out.  It's causing
  45. enormous headaches."
  46.  
  47. The affected computers carry routine communications among military officials,
  48. researchers and corporations.
  49.  
  50. While some sensitive military data are involved, the nation's most sensitive
  51. secret information, such as that on the control of nuclear weapons, is thought
  52. not to have been touched by the virus.
  53.  
  54. Computer viruses are so named because they parallel in the computer world the
  55. behavior of biological viruses.  A virus is a program, or a set of instructions
  56. to a computer, that is deliberately planted on a floppy disk meant to be used
  57. with the computer or introduced when the computer is communicating over
  58. telephone lines or data networks with other computers.
  59.  
  60. The programs can copy themselves into the computer's master software, or
  61. operating system, usually without calling any attention to themselves. From
  62. there, the program can be passed to additional computers.
  63.  
  64. Depending upon the intent of the software's creator, the program might cause a
  65. provocative but otherwise harmless message to appear on the computer's screen.
  66. Or it could systematically destroy data in the computer's memory.
  67.  
  68. The virus program was apparently the result of an experiment by a computer
  69. science graduate student trying to sneak what he thought was a harmless virus
  70. into the Arpanet computer network, which is used by universities, military
  71. contractors and the Pentagon, where the software program would remain
  72. undetected.
  73.  
  74. A man who said he was an associate of the student said in a telephone call to
  75. The New York Times that the experiment went awry because of a small programming
  76. mistake that caused the virus to multiply around the military network hundreds
  77. of times faster than had been planned.
  78.  
  79. The caller, who refused to identify himself or the programmer, said the student
  80. realized his error shortly after letting the program loose and that he was now
  81. terrified of the consequences.
  82.  
  83. A spokesman at the Pentagon's Defense Communications Agency, which has set up
  84. an emergency center to deal with the problem, said the caller's story was a
  85. "plausible explanation of the events."
  86.  
  87. As the virus spread Wednesday night, computer experts began a huge struggle to
  88. eradicate the invader.
  89.  
  90. A spokesman for the Defense Communications Agency in Washington acknowledged
  91. the attack, saying, "A virus has been identified in several host computers
  92. attached to the Arpanet and the unclassified portion of the defense data
  93. network known as the Milnet."
  94.  
  95. He said that corrections to the security flaws exploited by the virus are now
  96. being developed.
  97.  
  98. The Arpanet data communications network was established in 1969 and is designed
  99. to permit computer researchers to share electronic messages, programs and data
  100. such as project information, budget projections and research results.
  101.  
  102. In 1983 the network was split and the second network, called Milnet, was
  103. reserved for higher-security military communications.  But Milnet is thought
  104. not to handle the most classified military information, including data related
  105. to the control of nuclear weapons.
  106.  
  107. The Arpanet and Milnet networks are connected to hundreds of civilian networks
  108. that link computers around the globe.
  109.  
  110. There were reports of the virus at hundreds of locations on both coasts,
  111. including, on the East Coast, computers at the Massachusetts Institute of
  112. Technology, Harvard University, the Naval Research Laboratory in Maryland and
  113. the University of Maryland and, on the West Coast, NASA's Ames Research Center
  114. in Mountain View, Calif.; Lawrence Livermore Laboratories; Stanford University;
  115. SRI International in Menlo Park, Calif.; the University of California's
  116. Berkeley and San Diego campuses and the Naval Ocean Systems Command in San
  117. Diego.
  118.  
  119. A spokesman at the Naval Ocean Systems Command said that its computer systems
  120. had been attacked Wednesday evening and that the virus had disabled many of the
  121. systems by overloading them.  He said that computer programs at the facility
  122. were still working on the problem more than 19 hours after the original
  123. incident.
  124.  
  125. The unidentified caller said the Arpanet virus was intended simply to "live"
  126. secretly in the Arpanet network by slowly copying itself from computer to
  127. computer.  However, because the designer did not completely understand how the
  128. network worked, it quickly copied itself thousands of times from machine to
  129. machine.
  130.  
  131. Computer experts who disassembled the program said that it was written with
  132. remarkable skill and that it exploited three security flaws in the Arpanet
  133. network.  [No. Actually UNIX] The virus' design included a program designed to
  134. steal passwords, then masquerade as a legitimate user to copy itself to a
  135. remote machine.
  136.  
  137. Computer security experts said that the episode illustrated the vulnerability
  138. of computer systems and that incidents like this could be expected to happen
  139. repeatedly if awareness about computer security risks was not heightened.
  140.  
  141. "This was an accident waiting to happen; we deserved it," said Geoffrey
  142. Goodfellow, president of Anterior Technology Inc. and an expert on computer
  143. communications.
  144.  
  145. "We needed something like this to bring us to our senses.  We have not been
  146. paying much attention to protecting ourselves."
  147.  
  148. Peter Neumann, a computer security expert at SRI International Inc. in Menlo
  149. Park International, said, "Thus far the disasters we have known have been
  150. relatively minor.  The potential for rather extraordinary destruction is rather
  151. substantial."
  152.  
  153. "In most of the cases we know of, the damage has been immediately evident. But
  154. if you contemplate the effects of hidden programs, you could have attacks going
  155. on and you might never know it."
  156. _______________________________________________________________________________
  157.  
  158. Virus Attack                                                   November 6, 1988
  159. ~~~~~~~~~~~~
  160. >From the Philadelphia Inquirer (Inquirer Wire Services)
  161.  
  162. ITHACA, N.Y. - A Cornell University graduate student whose father is a top
  163. government computer-security expert is suspected of creating the "virus" that
  164. slowed thousands of computers nationwide, school officials said yesterday.
  165.  
  166. The Ivy League university announced that it was investigating the computer
  167. files of 23-year-old Robert T. Morris, Jr., as experts across the nation
  168. assessed the unauthorized program that was injected Wednesday into a military
  169. and university system, closing it for 24 hours.  The virus slowed an estimated
  170. 6,000 computers by replicating itself and taking up memory space, but it is not
  171. believed to have destroyed any data.
  172.  
  173. M. Stuart Lynn, Cornell vice president for information technologies, said
  174. yesterday that Morris' files appeared to contain passwords giving him
  175. unauthorized access to computers at Cornell and Stanford Universities.
  176.  
  177. "We also have discovered that Morris' account contains a list of passwords
  178. substantially similar to those found in the virus," he said at a news
  179. conference.
  180.  
  181. Although Morris "had passwords he certainly was not entitled to," Lynn
  182. stressed, "we cannot conclude from the existence of those files that he was
  183. responsible."
  184.  
  185. FBI spokesman Lane Betts said the agency was investigating whether any federal
  186. laws were violated.
  187.  
  188. Morris, a first-year student in a doctoral computer-science program, has a
  189. reputation as an expert computer hacker and is skilled enough to have written
  190. the rogue program, Cornell instructor Dexter Kozen said.
  191.  
  192. When reached at his home yesterday in Arnold, Md., Robert T. Morris, Sr., chief
  193. scientist at the National Computer Security Center in Bethesda, Md., would not
  194. say where his son was or comment on the case.
  195.  
  196. The elder Morris has written widely on the security of the Unix operating
  197. system, the target of the virus program.  He is widely known for writing a
  198. program to decipher passwords, which give users access to computers.
  199. _______________________________________________________________________________
  200.  
  201. New News From Hacker Attack On Philips France, 1987            November 7, 1988
  202. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  203. A German TV magazine reported (last week) that the German hackers which
  204. attacked, in summer 1987, several computer systems and networks (including
  205. NASA, the SPANET, the CERN computers which are labeled "European hacker
  206. center," as well as computers of Philips France and Thompson-Brandt/France) had
  207. transferred design and construction plans of the MegaBit chip having been
  208. developed in the Philips laboratories.  The only information available is that
  209. detailed graphics are available to the reporters showing details of the MegaBit
  210. design.
  211.  
  212. Evidently it is very difficult to prosecute this data theft since German law
  213. does not apply to France based enterprises.  Moreover, the German law may
  214. generally not be applicable since its prerequit may not be true that PHILIPS'
  215. computer system has "special protection mechanisms."  Evidently, the system was
  216. only be protected with UID and password, which may not be a sufficient
  217. protection (and was not).
  218.  
  219. Evidently, the attackers had much more knowledge as well as instruments (e.g.
  220. sophisticated graphic terminals and plotters, special software) than a "normal
  221. hacker" has.  Speculations are that these hackers were spions rather than
  222. hackers of the Chaos Computer Club (CCC) which was blamed for the attack.
  223. Moreover, leading members of CCC one of whom was arrested for the attack,
  224. evidently have not enough knowledge to work with such systems.
  225.  
  226.                             Information Provided By
  227.                         Klaus Brunnstein, Hamburg, FRG
  228. _______________________________________________________________________________
  229.  
  230. The Computer Jam:  How It Came About                           November 8, 1988
  231. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  232. By John Markoff  (New York Times)
  233.  
  234. Computer scientists who have studied the rogue program that crashed through
  235. many of the nation's computer networks last week say the invader actually
  236. represents a new type of helpful software designed for computer networks.
  237.  
  238. The same class of software could be used to harness computers spread around the
  239. world and put them to work simultaneously.
  240.  
  241. It could also diagnose malfunctions in a network, execute large computations on
  242. many machines at once and act as a speedy messenger.
  243.  
  244. But it is this same capability that caused thousands of computers in
  245. universities, military installations and corporate research centers to stall
  246. and shut down the Defense Department's Arpanet system when an illicit version
  247. of the program began interacting in an unexpected way.
  248.  
  249. "It is a very powerful tool for solving problems," said John F. Shoch, a
  250. computer expert who has studied the programs.  "Like most tools it can be
  251. misued, and I think we have an example here of someone who misused and abused
  252. the tool."
  253.  
  254. The program, written as a "clever hack" by Robert Tappan Morris, a 23-year-old
  255. Cornell University computer science graduate student, was originally meant to
  256. be harmless.  It was supposed to copy itself from computer to computer via
  257. Arpanet and merely hide itself in the computers.  The purpose?  Simply to prove
  258. that it could be done.
  259.  
  260. But by a quirk, the program instead reproduced itself so frequently that the
  261. computers on the network quickly became jammed.
  262.  
  263. Interviews with computer scientists who studied the network shutdown and with
  264. friends of Morris have disclosed the manner in which the events unfolded.
  265.  
  266. The program was introduced last Wednesday evening at a computer in the
  267. artificial intelligence laboratory at the Massachusetts Institute of
  268. Technology.  Morris was seated at his terminal at Cornell in Ithaca, N.Y., but
  269. he signed onto the machine at MIT.  Both his terminal and the MIT machine were
  270. attached to Arpanet, a computer network that connects research centers,
  271. universities and military bases.
  272.  
  273. Using a feature of Arpanet, called Sendmail, to exchange messages among
  274. computer users, he inserted his rogue program.  It immediately exploited a
  275. loophole in Sendmail at several computers on Arpanet.
  276.  
  277. Typically, Sendmail is used to transfer electronic messages from machine to
  278. machine throughout the network, placing the messages in personal files.
  279.  
  280. However, the programmer who originally wrote Sendmail three years ago had left
  281. a secret "backdoor" in the program to make it easier for his work.  It
  282. permitted any program written in the computer language known as C to be mailed
  283. like any other message.
  284.  
  285. So instead of a program being sent only to someone's personal files, it could
  286. also be sent to a computer's internal control programs, which would start the
  287. new program.  Only a small group of computer experts -- among them Morris --
  288. knew of the backdoor.
  289.  
  290. As they dissected Morris's program later, computer experts found that it
  291. elegantly exploited the Sendmail backdoor in several ways, copying itself from
  292. computer to computer and tapping two additional security provisions to enter
  293. new computers.
  294.  
  295. The invader first began its journey as a program written in the C language.
  296. But it also included two "object" or "binary" files -- programs that could be
  297. run directly on Sun Microsystems machines or Digital Equipment VAX computers
  298. without any additional translation, making it even easier to infect a computer.
  299.  
  300. One of these binary files had the capability of guessing the passwords of users
  301. on the newly infected computer.  This permits wider dispersion of the rogue
  302. program.
  303.  
  304. To guess the password, the program first read the list of users on the target
  305. computer and then systematically tried using their names, permutations of their
  306. names or a list of commonly used passwords.  When successful in guessing one,
  307. the program then signed on to the computer and used the privileges involved to
  308. gain access to additonal computers in the Arpanet system.
  309.  
  310. Morris's program was also written to exploit another loophole.  A program on
  311. Arpanet called Finger lets users on a remote computer know the last time that a
  312. user on another network machine had signed on.  Because of a bug, or error, in
  313. Finger, Morris was able to use the program as a crowbar to further pry his way
  314. through computer security.
  315.  
  316. The defect in Finger, which was widely known, gives a user access to a
  317. computer's central control programs if an excessively long message is sent to
  318. Finger.  So by sending such a message, Morris's program gained access to these
  319. control programs, thus allowing the further spread of the rogue.
  320.  
  321. The rogue program did other things as well.  For example, each copy frequently
  322. signaled its location back through the network to a computer at the University
  323. of California at Berkeley.  A friend of Morris said that this was intended to
  324. fool computer researchers into thinking that the rogue had originated at
  325. Berkeley.
  326.  
  327. The program contained another signaling mechanism that became its Achilles'
  328. heel and led to its discovery.  It would signal a new computer to learn whether
  329. it had been invaded.  If not, the program would copy itself into that computer.
  330.  
  331. But Morris reasoned that another expert could defeat his program by sending the
  332. correct answering signal back to the rogue.  To parry this, Morris programmed
  333. his invader so that once every 10 times it sent the query signal it would copy
  334. itself into the new machine regardless of the answer.
  335.  
  336. The choice of 1 in 10 proved disastrous because it was far too frequent.  It
  337. should have been one in 1,000 or even one in 10,000 for the invader to escape
  338. detection.
  339.  
  340. But because the speed of communications on Arpanet is so fast, Morris's illicit
  341. program echoed back and forth through the network in minutes, copying and
  342. recopying itself hundreds or thousands of times on each machine, eventually
  343. stalling the computers and then jamming the entire network.
  344.  
  345. After introducing his program Wednesday night, Morris left his terminal for an
  346. hour.  When he returned, the nationwide jamming of Arpanet was well under way,
  347. and he could immediately see the chaos he had started.  Within a few hours, it
  348. was clear to computer system managers that something was seriously wrong with
  349. Arpanet.
  350.  
  351. By Thursday morning, many knew what had happened, were busy ridding their
  352. systems of the invader and were warning colleagues to unhook from the network.
  353. They were also modifying Sendmail and making other changes to their internal
  354. software to thwart another invader.
  355.  
  356. The software invader did not threaten all computers in the network.  It was
  357. aimed only at the Sun and Digital Equipment computers running a version of the
  358. Unix operating system written at the University of California at Berkeley.
  359. Other Arpanet computers using different operating systems escaped.
  360.  
  361. These rogue programs have in the past been referred to as worms or, when they
  362. are malicious, viruses. Computer science folklore has it that the first worms
  363. written were deployed on the Arpanet in the early 1970s.
  364.  
  365. Researchers tell of a worm called "creeper," whose sole purpose was to copy
  366. itself from machine to machine, much the way Morris's program did last week.
  367. When it reached each new computer it would display the message:  "I'm the
  368. creeper.  Catch me if you can!"
  369.  
  370. As legend has it, a second programmer wrote another worm program that was
  371. designed to crawl through the Arpanet, killing creepers.
  372.  
  373. Several years later, computer researchers at the Xerox Corp.'s Palo Alto
  374. Research Center developed more advanced worm programs.  Shoch and Jon Hupp
  375. developed "town crier" worm programs that acted as messengers and "diagnostic"
  376. worms that patrolled the network looking for malfunctioning computers.
  377.  
  378. They even described a "vampire" worm program.  It was designed to run very
  379. complex programs late at night while the computer's human users slept.  When
  380. the humans returned in the morning, the vampire program would go to sleep,
  381. waiting to return to work the next evening.
  382. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  383. Comments from Mark Eichin (SIPB Member & Project Athena "Watchmaker");
  384.  
  385. The following paragraph from Markoff's article comes from a telephone
  386. conversation he had with me at the airport leaving the November 8, 1988 "virus
  387. conference":
  388.  
  389.     "But Morris reasoned that another expert could defeat his program by
  390.      sending the correct answering signal back to the rogue.  To parry
  391.      this, Morris programmed his invader so that once every 10 times it
  392.      sent the query signal it would copy itself into the new machine
  393.      regardless of the answer.
  394.  
  395.      The choice of 1 in 10 proved disastrous because it was far too
  396.      frequent.  It should have been one in 1,000 or even one in 10,000
  397.      for the invader to escape detection."
  398.  
  399. However, it is incorrect (I did think Markoff had grasped my comments, perhaps
  400. not).  The virus design seems to have been to reinfect with a 1 in 15 chance a
  401. machine already infected.
  402.  
  403. The code was BACKWARD, so it reinfected with a *14* in 15 chance.  Changing the
  404. denominator would have had no effect.
  405. _______________________________________________________________________________
  406.  
  407. US Is Moving To Restrict Access To Facts About Computer Virus     Nov. 11, 1988
  408. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  409. By John Markoff  (New York Times)
  410.  
  411. Government officials are moving to bar wider dissemination of information on
  412. techniques used in a rogue software program that jammed more than 6,000
  413. computers in a nationwide computer network last week.
  414.  
  415. Their action comes amid bitter debate among computer scientists.  One group of
  416. experts believes wide publication of such information would permit computer
  417. network experts to identify problems more quickly and to correct flaws in their
  418. systems.  But others argue that such information is too potentially explosive
  419. to be widely circulated.
  420.  
  421. Yesterday, officials at the National Computer Security Center, a division of
  422. the National Security Agency (NSA), contacted researchers at Purdue University
  423. in West Lafayette, Indiana, and asked them to remove information from campus
  424. computers describing internal workings of the software program that jammed
  425. computers around the nation on November 3, 1988.  (A spokesperson) said the
  426. agency was concerned because it was not certain that all computer sites had
  427. corrected the software problems that permitted the program to invade systems in
  428. the first place.
  429.  
  430. Some computer security experts said they were concerned that techniques
  431. developed in the program would be widely exploited by those trying to break
  432. into computer systems.
  433. _______________________________________________________________________________
  434.  
  435. FBI Studies Possible Charges In "Virus"                       November 12, 1988
  436. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  437. >From the Los Angeles Times
  438.  
  439. WASHINGTON -- FBI Director William S. Sessions on Thursday added two more laws
  440. that agents are scrutinizing to determine whether to seek charges against
  441. Robert T. Morris Jr. for unleashing a computer "virus" that shut down or slowed
  442. computers across the country last week.
  443.  
  444. One of the laws - malicious mischief involving government communication lines,
  445. stations or systems - appears not to require the government to prove criminal
  446. intent, a requirement that lawyers have described as a possible barrier to
  447. successful prosecution in the case.
  448.  
  449. Sessions told a press conference at FBI headquarters that the preliminary phase
  450. of the investigation should be completed in two weeks and defended the pace of
  451. the inquiry in which Morris, a Cornell University graduate student, has not yet
  452. been interviewed.  Friends of Morris, age 23, have said he told them that he
  453. created the virus.
  454.  
  455. Sources have said that FBI agents have not sought to question Morris until they
  456. obtain the detailed electronic records of the programming he used in setting
  457. loose the virus - records that have been maintained under seal at Cornell
  458. University.
  459.  
  460. In addition to the malicious mischief statue, which carries a maximum penalty
  461. of 10 years in prison, Sessions listed fraud by wire as one of the laws being
  462. considered.
  463. _______________________________________________________________________________
  464. =========================================================================
  465.  
  466.