26 марта 1999 года какой‑то парень в Нью‑Джерси нажал «отправить» и, вероятно, пошёл пить кофе. Он не до конца осознавал тогда, что через несколько дней его почтовый ящик станет уликой, а его творение - самым быстрым цифровым цунами, которое когда‑либо видела планета.
Вы когда‑нибудь замечали, как легко объяснить любой масштабный киберинцидент фразой «ну, кто ж знал, что так выйдет»?
Сейчас, оглядываясь назад, мы улыбаемся.
Но тогда никто не улыбался.
История одной игрушки, которая оказалась совсем не забавной
Помните, как в детстве мы разбирали старые материнки просто чтобы посмотреть, что там внутри?
У нас у каждого был свой пунктик.
Кто‑то коллекционировал журналы по кибербезопасности, кто‑то симулировал операционки на древнем Pentium, а кто‑то рисовал схемы сетей на обоях.
Конечно, потом выяснялось, что обои были дорогие, но родители почему‑то злились недолго - наверное, видели искру.
Так вот, Melissa для нас - это та самая игрушка, которую кто‑то запустил в песочнице, а она внезапно вышла за пределы ограждения и начала строить свои замки на всех площадках города.
Технический ликбез для тех, кто не спит ночью, читая спецификации
Геометричное слово Макровирус звучит как название злодея из мультфильма про супергероев.
На самом деле это зловредный набор команд, написанный на встроенном языке программирования внутри Word.
Факт 1. Melissa - один из первых массовых макровирусов, распространившихся через email в 1999 году.
Да‑да, того самого Word, в котором вы пишете счета и любовные письма.
Word 97 и Word 2000 были настолько доверчивы, что позволяли этим командам делать практически что угодно.
Вирус появился примерно 26 марта 1999 года и очень быстро стал глобальной проблемой.
Разработчик Melissa использовал эту доверчивость с размахом.
Червь не взламывал пароли и не сканировал порты.
Зловред делал куда более хитрую вещь: забирался в глобальный шаблон Word - то самое место, где живут все ваши настройки, стили и привычки.
Melissa была написана как макрос для Microsoft Word и работала в Word 97 и Word 2000.
Представьте, что кто‑то пробрался в вашу гардеробную и начал примерять все костюмы, а потом выходить в них в свет.
Примерно так.
Дальше - больше.
Вирус находил в адресной книге Outlook первые 50 контактов.
Почему 50?
Загадка.
Вирус использовал Microsoft Outlook 97/98 для массовой рассылки заражённых документов по email.
Может, автор был эстетом и считал, что пятидесяти достаточно для хорошего вечера.
Может, просто не хотел быть жадным.
Заражение происходило при открытии заражённого DOC‑файла: макрос записывался в глобальный шаблон Word.
В любом случае, каждое письмо улетало с вложением, содержащим заразу, и получатель, видя знакомое имя, без задней мысли открывал файл.
Для тех, кто любит копать глубже
А вы уверены, что ваша почта когда‑нибудь действительно была вашей?
Не в смысле пароля, а в смысле воли. Melissa показала простую вещь: email‑клиент может быть лучшим другом, который вдруг решает разослать всем твоим знакомым то, чего ты не писал. Это как если бы ваш почтальон внезапно начал приписывать к вашим письмам свои постскриптумы. И вы бы об этом даже не знали.
Как это выглядело изнутри
Сначала был файл в группе новостей alt.sex.
Классика жанра: «пароли к сайтам для взрослых».
Кто устоит?
После активации вирус находил в адресной книге Outlook первые 50 контактов и рассылал им себя.
Наивные пользователи скачивали, открывали, и… добро пожаловать в эпицентр.
Автор, кстати, позаботился о маскировке - использовал чужой аккаунт AOL.
Тогда это казалось гениальным.
Сейчас - милым (с кислой миной написано).
Его автораспространение вызывало лавинообразный рост числа писем и перегрузку почтовых серверов.
Но факт остаётся фактом: с этого момента часы тикали.
Через несколько дней CERT (та самая организация, которая следит за цифровым беспределом) сообщила как минимум о 250 организациях.
Обратите внимание: организациях.
За каждой из них - сотни, тысячи машин.
В итоге число заражённых компьютеров оценивали в сотни тысяч по всему миру.
Melissa заражала и документы, и шаблоны Word, поэтому быстро закреплялась в системе.
И это в 1999 году, когда интернет был не таким плотным, как сейчас.
Корпорации, включая Microsoft и Intel, а также подразделения Корпуса морской пехоты США, временно отключали почту.
Представьте: целые компании останавливают свой основной инструмент коммуникации, потому что иначе серверы просто задыхаются от лавины писем.
Первое распространение шло через файлы, выложенные в группе новостей alt.sex под видом паролей к сайтам.
Это как если бы в городе внезапно начали звонить все телефоны одновременно, и никто не мог бы сделать звонок сам.
Цифры, которые расскажут об истории жестче
Ущерб оценили примерно в 80 миллионов долларов только на работы по очистке.
Некоторые эксперты говорят о сотнях миллионов, если считать простой и восстановление систем.
Для справки: в 1999 году это были совсем другие деньги.
Автор использовал украденный/чужой аккаунт AOL, чтобы замаскировать источник публикации.
На них можно было купить небольшой флот серверов или, скажем, содержать пару стартапов с видом на океан.
Небольшая справка
Вирус Melissa, классифицированный как макровирус семейства Word, представлял собой программу на языке Visual Basic for Applications.
Его жизненный цикл начинался с момента открытия заражённого документа, после чего происходила запись вредоносного кода в нормальный шаблон (Normal.dot).
Melissa считалась на тот момент одной из самых быстро распространяющихся эпидемий.
Далее, при инициализации почтового клиента Outlook, вирус формировал исходящие сообщения, адресованные первым пятидесяти контактам из адресной книги.
Важной особенностью была деактивация встроенной защиты от макровирусов, что делало систему уязвимой без явного уведомления пользователя.
За несколько дней число заражённых компьютеров оценивали в сотни тысяч по всему миру.
Распространение через новостные группы и использование компрометированных учётных записей AOL демонстрировало понимание социальной инженерии.
Эпидемия достигла пика менее чем за 72 часа, что стало беспрецедентным показателем скорости распространения для того периода.
CERT сообщал как минимум о 250 организациях, обратившихся по поводу Melissa, что означало минимум 100 000 заражённых рабочих машин.
Как поймали хитрого "автора" Мелиссы
Дэвид Л. Смит из Нью‑Джерси.
Обычный парень, который, возможно, тоже в детстве разбирал материнские платы.
Его вычислили по совокупности технических признаков в документах, а помогли AOL, провайдер и ФБР.
Вирус перегружал почтовые системы корпораций и госструктур, иногда полностью выводя их из строя.
Арестовали 1 апреля 1999 года - через несколько дней после начала эпидемии.
Представляете, какое это было 1 апреля для него?
Обвинения звучали внушительно: причинение ущерба компьютерным системам и «компьютерная кража».
Он признал вину в декабре 1999 года, а в 2002‑м получил 20 месяцев федеральной тюрьмы и штраф 5 000 долларов.
Среди пострадавших организаций называли Microsoft, Intel и подразделения Корпуса морской пехоты США.
В обвинительных документах фигурировала та самая цифра в 80 миллионов ущерба.
Позже, по сообщениям СМИ, он сотрудничал с властями и помогал расследовать другие дела о вредоносном ПО.
Такая вот история: создал - поймали - помог ловить других.
Многие компании временно отключали корпоративную почту, чтобы остановить распространение червя.
Почему важно помнить об этом
Melissa стала тем самым звоночком, после которого кибербезопасность перестала быть нишевой заботой админов в пыльных комнатушках.
Ущерб от эпидемии оценивали примерно в 80 млн долларов США на работы по очистке и восстановлению систем.
Она показала:
- Email‑вложения от знакомых - не гарантия безопасности. Вирус рассылает себя сам, и «привет от друга» может оказаться «прощай на неделю».
- Макросы в Office - это сила, которой легко злоупотребить. Сейчас системы безопасности куда строже, но тогда это стало откровением.
- Компании начали внедрять политики фильтрации вложений, массово обновлять антивирусы и, главное, обучать пользователей. До червя Melissa это было скорее исключением, чем правилом.
Инцидент ускорил всё это.
Событие стало одним из первых громких киберинцидентов, попавших в широкую новостную повестку и привлёкших внимание общественности.
И дал фору будущим червям - вроде печально известного ILOVEYOU в 2000 году, который пошёл ещё дальше.
Что в сухом остатке?
Melissa была первой ласточкой, которая оказалась не чудесной птичкой, а целым штормовым фронтом.
Она не была самой разрушительной, но стала самой показательной.
И для нас, фанатов кибербезопасности, она - как первый журнал, который мы прочитали до дыр: потертый, но любимый, с пометками на полях и историей, которую хочется пересказывать.
Вам когда‑нибудь приходилось объяснять коллеге или другу, почему нельзя открывать подозрительные вложения?
Дело Melissa стало прецедентом по привлечению автора вируса к ответственности на федеральном уровне.
Или, может, вы сами попадались на удочку «письма от знакомого»?
Поделитесь - у каждого из нас найдётся пара таких историй.
А для тех, кто хочет копать глубже и прививать цифровую гигиену с детства (или просто хорошо провести время) мы подготовили практические обучающие и тренинговые материалы.
История используется в обучающих материалах ФБР и киберполиции как пример первой киберэпидемии.
Развивающие материалы:
Ребусы «Цифровой щит. Основные правила безопасности в сети Интернет»:
8–11 классы, СПО. 20 зашифрованных терминов по кибергигиене: вирусы, фишинг, пароли. Отличная разминка для урока или внеурочной деятельности.
СКАЧАТЬ РЕБУСЫ.
Melissa относилась к классу макровирусов и продемонстрировала слабости системы макросов в Office.
Развивающие материалы:
Авторские рабочие листы, игры и тесты по безопасности, финансовой грамотности и soft skills. Всё структурировано по возрастам и темам.
СКАЧАТЬ МАТЕРИАЛЫ ИЗ КАТАЛОГА.
Каталог развивающих материалов:
Подборка интерактивных заданий, ребусов, кроссвордов и сценариев от блога «В мире ИТ». Удобная навигация по классам и направлениям.
СКАЧАТЬ ПОДБОРКУ.
Новинки методических материалов:
Самые последние развивающие разработки сезона: кибербезопасность для малышей, финансовые детективы, походные квесты. Обновляется ежемесячно.
СКАЧАТЬ НОВИНКИ.
Инцидент ускорил внедрение политик фильтрации вложений, обновления антивирусов и обучения пользователей.
Ребусы:
Большая коллекция тематических ребусов: интернет-угрозы, защита данных, цифровой этикет. Можно использовать как пятиминутки на уроках информатики.
СКАЧАТЬ РЕБУСЫ.
Идем в поход:
Готовые маршрутные листы, чек-листы снаряжения, заданий по ориентированию и цифровой безопасности в полевых условиях. Для летнего лагеря и туризма.
СКАЧАТЬ МАРШРУТЫ.
Младшим школьникам:
Яркие рабочие листы, сказки о безопасности, интерактивные правила поведения в сети. Адаптировано для 1–4 классов с учётом возрастных особенностей.
СКАЧАТЬ МАТЕРИАЛЫ.
Родителям:
Памятки, сценарии семейных квестов и простые объяснения сложных тем: как говорить с детьми о кибербуллинге, мошенниках и личных данных.
СКАЧАТЬ ПАМЯТКИ.
Комплекты филвордов и кроссвордов по теме «Финансовое мошенничество»:
Для старших классов и СПО. 5 форматов: филворды, классические кроссворды, чайнворды — все ключевые схемы обмана и способы защиты.
СКАЧАТЬ КОМПЛЕКТ.
Берегите свои почтовые ящики и помните: даже самая безобидная на первый взгляд игрушка может стать началом большой истории.
Пусть ваши истории будут интересными, а не вирусными.
Читать больше материалов по информационным технологиям блога "В мире ИТ" на Дзен:
Apple Powermac G4 M8570 «Mirrored Drive Doors»
Программируемый логический контроллер LOGO 2 модель B
Ibm 729 Magnetic Tape Units, 1971
Размышляя об идеях Азимова по робототехнике и машинному разуму