whatnot whiting whitney will william
williamsburg willie winston wisconsin wizard
wombat yellowstone yosemite zap
______________________________________________________________________
ТОВАРИЩ!
При выборе своего пароля избегай использования имен жены или
любовницы и вообще человеческих имен, не используй названия городов,
стран и вообще всех названий! Для тех, кто не в состоянии придумать
сам какую-нибудь абракадабру, советую при выборе пароля хотя бы
сверяться с приведенным списком, чтобы не соответствовать
восемнадцатому слову первого столбца таблицы.
Приложение B стр. 48
______________________________________________________________________
Рекомендации совещания, состоявшегося 8 ноября 1988 года
I. Образовать единый координационный центр на случай подобных атак.
Центр должен работать совместно с NIST и NSA, выполняя функции
обобщения данных и определения ущерба.
II. Образовать сеть аварийного оповещения.
Такой аварийной сетью связи может служить совокупность
специальных телефонных линий, которая сможет заменить компьютерную
сеть в случае выхода последней из строя по каким-либо причинам.
III. Создать группу ответа.
Члены группы должны иметь целью быстрое дезассемблирование
вируса, создание антивируса и выработку плана восстановления сети.
IV. Образовать физическую связь с "сетью стариков" - признанных авторитетов в области информатики и
вычислительной техники.
Это является косвенным признанием того, что вирус Морриса был
дезассемблирован и уничтожен не правительственными чиновниками, а
специалистами-компьютерщиками.
V. Централизованно управлять предоставлением информации прессе.
Связь с прессой - единственная обязанность правительственных
органов национального уровня.
VI. Определить стандартную процедуру реакции на "промышленные
промахи."
Данная атака выявила целый ряд ошибок в системном программном
обеспечении, однако на данный момент не существует общепризнанного
метода доказательства "промышленного" характера этих ошибок.
VII. Определить центральное место размещения сообщений о вирусных
атаках.
Эти функции может выполнять EBB Dockmaster правительственной
компьютерной сети.
VIII. Подключать следственные органы уже на этапе планирования и
проведения мероприятий борьбы с вирусной атакой.
Это позволит следственным органам своевременно фиксировать
информацию, которые впоследствии будут служить основой для
расследования и формулировки обвинений.
IX. Постоянно тренировать операторов систем.
Вирусная атака показала, что многие операторы не имеют
достаточных технических знаний и практических навыков даже для
понимания, что их система атакована; они также с трудом обращаются с
антивирусными средствами.
Приложение B стр. 49
X. Установить стандартную методологию backup-копирования.
Существующая система "зеркального" копирования потерпела крах при
испытании вирусной атакой, поэтому должны быть разработаны новые
стандарты и критерии копирования, информация о которых должна
распространяться NIST и NCSC.
XI. Развивать набор общих антивирусных средств, включая средства
дезассемблирования и анализа.
Этот набор общих средств необходимо постоянно пополнять и
поддерживать в работоспособном состоянии, а также необходимо
обеспечить надежный и быстрый доступ к этому набору членов группы
ответа.
______________________________________________________________________
Приложение C стр. 50
______________________________________________________________________
Сколько стоил вирус Морриса.
Internet: 1200 сетей, охватывающих около 85200 узловых компьютеров
Инфицировано: 6200 машин (7,3% компьютеров сети).
======================================================================
КОСВЕННЫЕ ПОТЕРИ
Потери машинного Потеря доступа
времени
------------------------------------------------------------------
Машины часами
не имели доступа
к сети 2.076.880
------------------
Пользователи
часами не имели
доступа к сети 8.307.520
------------------
Накладные расходы
за час $20 $3
------------------------------------------------------------------
СТОИМОСТЬ $41.537.600 $24.922.560
------------------------------------------------------------------
ПРЯМЫЕ ПОТЕРИ
Время работы Время работы
программистов администраторов
------------------------------------------------------------------
Остановка, тестирование
и перезагрузка 42.700 машин 64.050 часов 1.000 часов
----------------------------
Начальный анализ проблемы
на 12.400 машинах 49.600 часов 11.000 часов
----------------------------
Идентификация, изоляция,
удаление, чистка,
восстановление
работоспособности
(6200 машин) 74.400 часов 2.000 часов
----------------------------
Реинфекция,
удаление из сети,
остановка, анализ,
тестирование 62.000 часов 12.000 часов
----------------------------
Создание заплат, отладка,
установка, тестирование,
контроль и сопровождение 62.000 часов 18.000 часов
----------------------------
Анализ вируса,
Приложение C стр. 51
дезассемблирование,
документирование
(в каждой из 1200 сетей) 192.000 часов 22.000 часов
----------------------------
Исправление всех систем
UNIX, тестирование,
контроль 105.000 часов 6.000 часов
----------------------------
Другие проверки,
технические совещания,
другие связанные с
инцидентом события 187.000 часов 264.000 часов
------------------------------------------------------------------
ОБЩЕЕ ЧИСЛО ЧАСОВ 796.050 часов 336.000 часов
Средняя стоимость часа $22 $42,50
------------------------------------------------------------------
ПРЯМЫЕ ЗАТРАТЫ $17.513.100 $14.280.000
==================================================================
**********************************************************************
ОБЩИЕ ЗАТРАТЫ: $98.253.260
**********************************************************************
По самым скромным оценкам инцидент с вирусом Морриса стоил свыше
8 миллионов часов потери доступа и свыше миллиона часов прямых потерь
на восстановление работоспособности систем. Общая стоимость этих
затрат оценивается в $98 миллионов. Ущерб был бы гораздо больше, если
бы вирус изначально создавался с разрушительными целями.
Столь необычно большая сумма ущерба объясняется гигантскими
масштабами пораженных сетей (в основном - Internet) и значительным
количеством пораженных систем. Internet объединяет 1200 отдельных
сетей, состоящих в целом из 85000 узловых компьютеров. Вирус поразил
свыше 6200 компьютеров. В результате вирусной атаки большинство сетей
вышло из строя на срок до пяти суток. Пользователи, чья деятельность
зависит от доступа к сети, оказались полностью изолированы, т.е.
продуктивность их работы резко снизилась. Компьютеры, выполнявшие
коммутационные функции, работавшие в качестве файл-серверов или
выполнявшие другие функции обеспечения работы сети, также вышли из
строя. Потеря доступа и вынужденный простой машин являются косвенными
потерями, связанными с инцидентом, и оцениваются в сумму примерно $65
миллионов.
Прямой ущерб состоит прежде всего в затратах времени специалистов
на определение пораженных систем, дезинфицирование этих систем и
восстановление их нормальной работоспособности. В первые часы атаки
мало кто знал алгоритм работы вируса, поэтому большинству систем была
возвращена работоспособность только после дезинфекции. Процесс
дезинфекции потребовал десятки тысяч человеко-часов.
После дезассемблирования вируса сотни программистов по всей
стране занялись разработкой ловушек для вируса и созданием "заплат" на
месте обнаруженных вирусом "дыр" в подсистеме безопасности своих
систем. Эти затраты также оцениваются в десятки тысяч человеко-часов
рабочего времени. Указанные и другие виды деятельности, так или иначе
связанной с вирусом и продолжавшейся иногда на протяжении недель,
оцениваются в 796.000 человеко-часов, что, при принятой в США средней
Приложение C стр. 52
стоимости часа работы программиста в $22, составляет свыше $17
миллионов.
Время, затраченное администраторами и операторами, несколько
менее времени, затраченному программистами и составляет свыше 300.000
часов. При средней стоимости часа работы персонала этого уровня в
$42, общая стоимость потерь составляет свыше $15 миллионов.
