Трите ранни, смазващи вируса, които разтърсиха света - и Microsoft

На 20 -годишнината на вируса ILOVEYOU бившият изпълнителен директор на Microsoft Стивън Синофски се обръща назад към това как той - и два мрачни предшественика - промениха софтуерния дизайн.

Трите ранни, смазващи вируса, които разтърсиха света - и Microsoft

Стивън Синофски работи в Microsoft от 1989-2012 г. и ръководи екипите на Office (1998-2006) и Windows (2006-2012). В този откъс от неговата чернова книга, Хардкор софтуер: В рамките на възхода и падението на PC революцията , той пише за три Office вируса, WM/Concept.A, Melissa и ILOVEYOU. Заедно с обсаждането на потребители на компютри, те накараха компанията да преоцени някои от основните си философии относно своите продукти. ILOVEYOU - последната, най -скандалната и пагубна от тези атаки - за първи път попадна във входящите пощенски кутии на 5 май 2000 г., днес преди 20 години.



Microsoft не винаги е била корпоративна компания. Всъщност през първите 10 години от времето ми в компанията, започвайки от 1989 г., Microsoft беше категорично и почти изцяло зависима от продажбите на дребно - продавайки едно копие на Office или Windows (с нов компютър) наведнъж в магазините, които вече са дълги забравени, като CompUSA, Egghead Software или Computer City. След пускането на Office 97 (продуктът, който беше представен Клипи , този полезен асистент, който беше критикуван по онова време, но всъщност беше доста по -напред от времето си), екипът на Office, който до тогава водех, започна прехода към изграждане на продукт, по -подходящ за предприятието. Това означаваше извършване на функции, необходими на бизнес потребителите, а не само на бързи функции за лична производителност, които демонстрираха добре. Всъщност ние често чувствахме, че правенето на това, което е добро за предприятието, е обратното на това, което е добро за отделните крайни потребители.

С Office 2000 установихме, че сме се наклонили твърде далеч към страната на предприятието. Продуктът се оказа изключително стабилен и беше по -лесен за използване от всякога. Но липсваше нещо интересно, за да привлече вниманието на клиентите. Научихме, че слушането твърде внимателно на клиентите не винаги е било най -добрият подход - клиентите ви казват какво искат, но това не е обещание, че ще купят, когато му дойде времето.



Трябваше да намерим начин да се обърнем както към хората, търсещи по -добър продукт, така и към предприятията, търсещи по -подходящ продукт за техните нужди. Трябваше да ходим и да дъвчем дъвка едновременно, така да се каже. Точно когато увивахме мозъка си около идеята да се ориентираме в тези противоречиви нужди на клиентите, трябваше да преодолеем възникващата глобална софтуерна криза, която се разкри по три категорично корпоративни начина, всички от които станаха само наши за решаване. В крайна сметка ние бяхме лидер в настолния софтуер в предприятието.



Зората на Y2K беше пред нас и клиентите поискаха сериозни усилия от Microsoft, които ние ще доставим. В същото време нашите продукти все повече се разглеждат като бъги или нестабилни. Трябваше да се направи нещо по въпроса - това беше цената на успеха. Тясно свързано с постоянно присъстващите грешки е нарастващото разпространение на компютърни вируси. Въпреки че вирусите не бяха нови, масовото навлизане на новото решение за електронна поща на Microsoft (Exchange и Outlook), интернет и глобалната свързаност създадоха благоприятни основи за ново поколение вирусни атаки върху компютрите.

Това е история за глобална атака срещу новата компютърна инфраструктура на Windows, която спря световните персонални компютри, буквално причинявайки милиарди щети за една нощ, и как екипът се събра в криза, за да намери решение. Детайлите са уникални за епохата и изчисленията по онова време, но научените уроци са универсални по време на криза.

ILOVEYOU избухва

Една сутрин през първата седмица на май на новото хилядолетие получих обаждане в апартамента си, докато се подготвях за работа. Чух репортерка да ми казва името си, а след това в основата си я изслушах хипервентилиращо и многократно заявяваше любовта си към мен: Обичам те. Обичам те.



Така или иначе чух. Повикването. Репортер. Рано сутрин. Всичко беше странно.

В действителност ЛЮБОВТА избухна в целия интернет. В рамките на един уикенд пощенските кутии по целия свят на потребителите на имейли на Outlook и Exchange бяха затрупани с десетки копия на имейл съобщения с темата ILOVEYOU.

Научих от репортера, че инцидентът по електронната поща LOVE се счита за толкова сериозен, че пиарката й даде домашния ми номер и едновременно ми изпрати брифинг по имейл. В ерата на комутируемото свързване не можех да чета имейла и да говоря по телефона, защото имах само една аналогова телефонна линия у дома. Нямах представа какво се случва, затова се съгласих да върна обаждането, след като набрах и изтеглих имейла си.



Тогава осъзнах мащаба на проблема.

През 2000 г., когато ILOVEYOU удари, хората бяха по -склонни да отварят мистериозни прикачени файлове, без да се замислят твърде много.

Въпреки всички положителни страни на компютъра в бизнеса, ИТ специалистите все още се бореха със свободата на персоналните компютри, не само със свободата да създават презентации и електронни таблици, но и със свободата да причиняват поражения в мрежите на свързани компютри поради компютърни вируси. Вирусите едва ли са нови, част от персоналните компютри от най -ранните дни. Като нов наемател в обучението в колежа за развитие на приложения завърших единица за ранните вируси на MS-DOS. Комбинацията от много повече компютри на работното място, работа в мрежа и след това имейл създаде нова възможност за тези, които искат да навредят на вирусите. По своята същност и по аналогия с думата вирус, повечето вируси не са фатални за компютър. Но те могат да причинят значителни щети и загуба на време и да отнемат много усилия за почистване.

Enterprise IT беше все по -притеснен от вирусите и очакваше, че Microsoft трябва да направи нещо по тях. Отвореността на компютърната платформа беше отличителна черта, отговорна за полезността и широтата на екосистемата на компютъра, дори ако някои лоши участници (както ги наричаха) биха могли да използват тази откритост. Microsoft предприе подхода на laissez-faire към това раздразнение.

Office споделяше това отношение до средата на 90-те години и възхода на мрежите, когато споделянето на файлове стана обичайно. При всички свързани досада се превърна във вирус, който се споделя автоматично между компютрите. Вирус, заразен с Microsoft Word 6.0, наречен WM/Concept.A (вирусите често са имали загадъчни имена). В този случай WM означаваше Word Macro и вероятно Concept се позовава на факта, че това е тестване на нова концепция за вируси.

Противно на обичайното мнение, успешните вируси обикновено не правят нищо вредно.

Това беше нов вид вирус. Той не използва грешки или програмни грешки в Word. Концепцията използва макроси на Word, както са проектирани. Макросите присъстваха в софтуера от векове, чак от MS-DOS дните на WordPerfect и Lotus 1-2-3. Наричани програмируемост или разширяемост в Microsoft lingo, те бяха ценено постижение и нещо, което BillG (в Microsoft винаги наричахме хората чрез техните имейли за имейли) вярваше в налагането на всички продукти.

Програмирането направи продукта лепкав, когато клиентите инвестираха време и усилия за писане на макроси. Макросите бяха използвани за автоматизиране на повтарящи се задачи: Например, ако една компания пише подобни писма до клиентите за известия за просрочени плащания, може да се напише макрос, който генерира букви с всички правилни адресни полета и поздрави. Друг пример може да бъде автоматизиране на събирането на източници в документ и създаването на библиография. Използването на макроси е безкрайно и цяла индустрия се развива за консултиране и обучение по автоматизация на Word.

Макросите на думите използват производно на ОСНОВЕН език за програмиране . Някои са написани за автоматично стартиране веднага след отваряне на файл, което прави системите по -автоматични за крайните потребители. Вирусът WM/Concept.A се възползва от тази комбинация от функции, за да създаде изключително просто и същевременно максимално досадно изживяване: макроси, автоматично стартиране и мрежово споделяне на файлове.

Първоначалният автор на WM/Concept.A вероятно е създал вълнуващ документ с вируса и го е споделил в мрежа, знаейки, че други ще го отворят. След като го направят, всеки създаден или отворен документ се заразява. Всеки споделен от тях документ се заразява и заразява всеки компютър, който отваря този документ. Подобно на реклама на стар шампоан ,. . . и казаха на двама приятели, и на двама приятели, и така нататък, и така нататък. Е, точно това се случи. WM/Concept.A обиколи безкрайно земното кълбо.

Противно на обичайното мнение, успешните вируси обикновено не правят нищо вредно, като например изтриват всичките ви файлове или форматират твърдия ви диск. Ако го направиха, вирусите не успяха да се разпространят и да служат на целта си. WM/Concept.A направи само едно досадно нещо, различно от разпространение, и то беше да покаже съобщение, което прилича на счупено съобщение за грешка в Word - прост прозорец с символ 1 и бутон с етикет OK. Това беше. Съобщението се появи веднъж по време на първоначалната инфекция.

Документи, заразени с WM/Concept.A изскочи този загадъчен диалогов прозорец - досаден, но и зловещ знак за това какво лош човек може да направи с макросите на Office.

Въпреки че нямаше пряка вреда за персоналните компютри или каквито и да било документи, очевидните последици от тази концепция бяха, че вирусите могат лесно да се разпространяват и, ако авторът желае, може да причини значителна вреда или най -малкото наистина да прекъсне работния процес. Те биха могли да правят отвратителни неща, като например да изтриват текст на случаен принцип или по -лошо. Премахването на WM/Concept.A от заразена система беше трудна задача. Роди се вилна индустрия за премахване и дезинфекция на вируси, както и индустрия за къщи, използваща концептуални техники, за да навреди повече.

Отговорът - и отблъскването

С този вирус генералният мениджър на Word, Питър Пате (ppathe, но също така запази псевдонима Blue от студентските си дни както онлайн, така и в реалния живот), реши да направи първите стъпки за антивирусния кръстоносен поход на Microsoft. Блу и екипът промениха начина на работа на макросите. Те добавиха предупреждение, отбелязвайки, че документ съдържа макрос, и също така затрудни автоматичното стартиране на макроси при просто отваряне на документи. Това бяха малки крачки. Но въпреки ужасността на WM/Concept.A, те бяха посрещнати с много отдръпване от феновете на Word и ИТ мениджърите, защото промените нарушиха бизнес системите и работните потоци. Blue отстоява позицията си, а екипът на Microsoft за услуги за поддръжка на продукти (PSS) проактивно работи с клиентите, за да се разчуе, така да се каже.

WM/Concept.A беше първият ни урок за невероятния баланс между изграждането на разширяема и персонализирана система и необходимостта от поддържане на сигурността и надеждността на персоналните компютри и начина, по който клиентите отблъскват, когато правят продуктите по -сигурни, означава промени в начина им на работа. Но вирусът ме изплаши по много по -широк начин. Написах неистова бележка от 20 страници, „Несигурна при всеки мегахерц“. Заглавието беше препратка към Книга на Ралф Надер което разтърси автомобилната индустрия през 60 -те години. Това трябваше да бъде призив за действие за нашия продуктов инженеринг.

Софтуерната индустрия е израснала от контракултурата през 60 -те години. Стив Джобс без обувки. Бил Гейтс хакна компютърната си система в гимназията. И двата отпаднали от колежа. Това, което на компютърната индустрия липсваше, беше някаква формална представа за това какво означава да бъдеш софтуерен инженер. Моят ясен призив беше, че липсата на формализъм, възпроизводимост и външно утвърждаване ще доведе само до строги правителствени регулации. Обмислях нещо като лаборатория за застрахователи на софтуер. Това би било страшно. Никога не съм изпращал бележката от страх, че ще се разглежда като твърде противоречива в компания и индустрия, която е въплъщение на неформални. Вместо това бележката беше едно добро упражнение за мен в писменото мислене и ме накара да удвоя работата на Office по отношение на качеството на продукта.

Способността на лошите актьори или дори шегаджиите да нанесат поражения в нарастващата и новосъздадена компютърна инфраструктура се превърна в основна отговорност за Microsoft. И все пак нашите продукти се държаха точно както са проектирани и клиентите оценяват тези модели на дизайн - разширяемостта беше основна точка за продажба на Office и основна част от нашите продукти и инженерни усилия. Веднага след като въведохме промените във функционалността, бяха създадени нови вируси, които заобиколиха защитата.

Докато бяхме в разгара на създаването на визията за Office10 - продуктът, който щеше да стане Office XP - в началото на 1999 г., нашата PR компания Waggener Edstrom (често наричана WaggEd) получи входяща заявка от Джон Маркоф ​​от Ню Йорк Таймс . Маркофф беше един от най -уважаваните репортери в технологиите, с дълбока история в отчитането на всички аспекти на индустрията, особено по интензивно технически теми. Той получи широко признание за две книги за хакерската култура и по -специално за усилията, които доведоха до идентифицирането и залавянето на Кевин Митник , който беше осъден за няколко престъпления, свързани с компютър.

На 30 март 1999 г. Стивън Синофски (вдясно) официално подписва документа, освобождаващ Office 2000 за производство на празнично събитие в кампуса на Microsoft; той носи защитна екипировка в очакване да бъде облит с шампанско. Вляво е Джон Джендрезак, който управляваше процеса на освобождаване. [Снимка: с любезното съдействие на Стивън Синофски]

В нашия случай Маркоф ​​се поинтересува за функция в Office 97 и Office 2000 и свързана функция в Windows 98. Той питаше, следвайки получен съвет, който по -късно научихме, че е от програмист, добре познат на Microsoft, който създава инструменти за MS-DOS. На Markoff беше казано, че документите, създадени с тези версии на Office, изглежда са били подпечатани с това, което типстърът нарича цифров пръстов отпечатък. Във връзка с това изглеждаше така, сякаш програмистът е открил, че Windows 98 също създава нещо, което представлява пръстов отпечатък за цял компютър, използвайки подобна технология. Комбинацията означаваше, че документите и компютрите изглежда имат отпечатъци.

Ким Буик (сега Барси) от Waggener Edstrom ми се обади веднага. Ким беше PR изпълнителният директор, водещ бизнеса на Office и беше изключителен в справянето с кризисни ситуации като тази. От една страна, тя ме убеди от лекции на репортери за това как те не разбират, а от друга нежно напомни на репортерите, че нещата може да са по -сложни, отколкото изглеждат. Уменията й бяха необходими повече от всякога, тъй като цифровият пръстов отпечатък бързо се превръщаше в криза.

Markoff преследваше две линии на запитване и те водеха до един и същ извод, който беше, че Microsoft създаде някакъв отпечатък или сериен номер в Windows и Office. Ако е така, това представлява голям риск за поверителността, тъй като документите и компютрите могат да бъдат проследени с помощта на тази технология. Сякаш това не беше достатъчно, Intel обяви новия чип Pentium III и той съдържаше уникален сериен номер, който Intel каза, че е за сигурност, но се подава направо в разказа за серийните номера за проследяване на персонални компютри. За да стане това още по-зловещо, в една от ранните дискусии с Markoff в Windows някой посочи технологията като GUID (произнася се goo-id), акроним за глобално уникален идентификатор .

Големият брат изведнъж стана част от историята.

GUID беше името на функционалността на Windows, която всъщност създаде това, което трябваше да бъде уникален номер - нещо полезно за широк кръг задачи по програмиране. Произходът на GUID на Microsoft е погребан дълбоко в системата, но стойността на число, което за всички практически цели е уникално, побеждава хората, опитващи се да създадат число сами, нещо, което избягва компютърните учени в продължение на години - всъщност произходът на GUID се връщат поне до началото на 80 -те години на миналия век на Open Software Foundation и първоначално са били наричани UUID, за универсално уникални идентификатори .

За да създаде уникален номер, функцията за създаване на GUID комбинира няколко части информация. Един от тях беше серийният номер на мрежова карта, наречена MAC адрес, който беше сравнително уникален и необходим за работа в мрежа. Този сериен номер остава видим в GUID. Така че някой с GUID и някакъв достъп до серийни номера на мрежови карти може да идентифицира компютър. Фактът, че няма база данни с MAC адреси или дори някой, който да ги следи, или че MAC адресите са част от най -ниското ниво на работа на интернет, бяха всички факти, изгубени в момента. За голямо разочарование на Ким, продължих да се опитвам да обясня.

Про тип: Ако в PR криза се окажете, че обяснявате някои дълбоко технически неща, спрете . Не можех да спра. Ким беше раздразнена.

Нова година на живо Ню Йорк

Спецификата на начина, по който Microsoft използва технологията GUID, направи това да изглежда лошо и точно това беше насочено към Markoff.

Тази теория на конспирацията е дълбока.

В Office 97 въведохме хипервръзки като естествена функция в документите. Това беше част от нашия стремеж да направим Office чудесен за мрежата. В рамките на всеки документ на Office, щракването върху връзка отваря браузъра. Особено се интересувахме от връзки между документи на Office на уеб сървър. Един проблем с документите на Office е, че ако файловете се преименуват или преместят, връзката се прекъсва. WWW вече беше добре известен с прекъснати връзки. В корпоративния свят, с промените и промените в името на проекта, файловете се движеха много.

Решихме, че като използваме софтуера за управление на уебсайтове FrontPage на сървъра, можем да следим връзките, използвани в документите на Office и да откриваме кога даден файл е преместен, и след това да поправим връзките. Смятахме, че това е чудесен начин да се предотврати това, което се превръща в огромен уеб проблем с прекъснати връзки. Нуждаехме се от нещо повече от име на файл, тъй като множество файлове в една компания често могат да имат едно и също име. Умна идея беше да се използва новата функция GUID на Windows за създаване на GUID, а когато се създаде връзка към документ, се записва и GUID. Връзките в HTML използваха името на файла и папката, така че ако файлът беше преместен или преименуван, връзката се счупи. Наличието на GUID също ни даде шанс да поправим връзката и да намерим файла, използвайки сървъра FrontPage. Смятахме, че това е полезен и солиден план.

Microsoft поръча торти, оформени като кутии за софтуер на Office, за да отбележат пускането на продукта. [Снимка: с любезното съдействие на Стивън Синофски]

Уил Кенеди (WillK) беше мениджърът за развитие на функцията в Office 97, въпреки че той се премести в Outlook малко след като стартирахме Office10. Роден в Алабама, колеж под наем, изправен на 6 фута, висок 5 инча, Уил беше въплъщение на спокоен мениджър по развитието. Препратих му част от пощата от Markoff, описваща функцията. Той премина през целия код на Office с екипа за тестване и се увери, че сме съхранили GUID в документ (за да подпомогне конспирацията, GUID не е видим за крайните потребители по никакъв начин и е скрит във файла). С напредването на Office 97, макар и със закъснение, ние така и не реализирахме функцията за поправяне, но GUID останаха. Това изглеждаше доброкачествено по онова време. Уил каза, че е тривиално да се премахне кодът, който е написал GUID във файлове. Той подготви бързо решение за Office 97.

Microsoft не беше точно най -обичаната компания и със сигурност не беше най -доверената.

Едновременно, но случайно, Windows 98 внедри инструмент за регистрация на продукт, който в процеса на регистриране на компютъра събира набор от информация за хардуера (колко памет, дисково пространство, процесор и т.н.). Освен това по избор се събираше лична информация като всеки процес на регистрация. В Microsoft информацията за хардуера отива в екипа за разработка, а незадължителната лична информация отива в клиентската база данни на маркетинга. Както се оказа, битовете хардуерна информация се нуждаеха от уникален идентификатор. Windows избра да използва GUID.

GUID съдържат този мрежов MAC номер, който може да свързва регистрацията на Windows 98 и документите, създадени с Office, независимо къде тези документи в крайна сметка се разпространяват.

Съветникът и Маркофф измислиха сценарий, при който Microsoft можеше, ако иска, да поддържа способността да знае дали е създаден документ на компютър и кой е регистрирал този компютър. Всъщност теорията предполага, че при случаен документ може да е възможно Microsoft да определи кой го е създал.

Всичко, което Microsoft трябваше да направи, беше да свърже всяка от новите бази данни и никой не можеше да ни спре.

Ким се нуждаеше от мен да се свържа по телефона с Маркоф ​​и да обясня тази теория. Казах й, че теорията е неоснователна и следователно безобидна. Освен това никога няма да направим това, което се предлага.

Но това беше теория на конспирацията и те не могат да бъдат обяснени.

Microsoft по това време (началото на 1999 г.) не беше точно най -обичаната компания и със сигурност не беше най -доверената, особено от тези извън технологиите. В съчетание с липса на доверие е възприятие за власт, което съперничи на правителствата.

От друга страна, идеята, че по някакъв начин екипите на Windows и Office могат да свържат своите бази данни и да изпълнят този сценарий, ми се струваше смешна. Имахме достатъчно трудности при свързването на нашите бази данни за грешки и споделянето на код, въпреки че напълно разбирахме и използвахме тези неща!

Ким насрочи разговор с Markoff. Тя ми напомни още веднъж да приема Маркофф сериозно и че не мога да отхвърля притесненията му, колкото и диви да са те. По време на разговора преминах през функцията в Office, но нямаше начин да отрека това, което Маркоф ​​твърди. Microsoft имаше тези бази данни. Имаше сериен номер на мрежова карта в GUID. Файловете имаха GUID. Историята беше в крайна сметка подаден и според Ким е фактически и точен. Както беше почти винаги, аз взех историята лично. Ким ми напомни, че това е победа, като се има предвид къде е започнала историята и къде е могла да отиде.

Важно съобщение от Джон

Издадохме корекции на Office. Променихме Office, така че да не създава GUID (които никога не сме използвали), а също така пуснахме инструмент за премахване на GUID от съществуващи документи. Windows също промени инструмента за регистрация на продукта и начина, по който работи способността за създаване на GUID. GUID се използват широко днес в интернет в браузъри, уебсайтове и мобилни телефони в почти всяко приложение.

Историята на GUID беше и въвеждането на думата метаданни за широката общественост. Това бяха данни за данни, които обикновено не се виждат от крайните потребители, като например GUID в документ на Office. С нарастването на сърфирането в мрежата, бисквитките на уеб браузъра и записите на мобилни телефони обществената осведоменост се повишаваше. Защитниците на поверителността бяха в сила, оспорвайки събирането и анализа на метаданни. Наистина навлизахме в нова ера на поверителност.

Microsoft затвори услугата за електронна поща, както и компаниите и доставчиците на имейли по целия свят.

WM/Concept.A беше първият опит на екипа на Office в справянето с мрежови вируси. Справянето с GUID беше първият ни опит с поверителността. И двете дойдоха, докато планирахме Office10 и промениха начина, по който мислехме за сигурността и поверителността. Всъщност сигурността и поверителността преминаха от отбранителни способности към основните принципи в нашата продуктова визия.

Не приключихме с ученето.

Само няколко дни след това Ню Йорк Таймс пуснах историята на Markoff за GUID, получих интересно съобщение в Outlook с темата Важно съобщение от Джон. И още едно интересно съобщение с темата Важно съобщение от EJ. И друг. И друг. Всъщност входящата ми кутия беше пълна с важно съобщение от. . . съобщения.

Това не беше добре.

Всяко съобщение съдържа само текста:

Here is that document you asked for ... don't show anyone else ;-)

И прикачен файл, наречен LIST.DOC.

Не бях единственият човек, който получава тези имейли. Имаше чувството, че всички с Office, работещ с Outlook, ги получават, привидно по едно и също време.

Тогава изведнъж не получих повече съобщения. И аз не можах да изпратя съобщения. Имейлът беше прекъснат.

Microsoft затвори услугата за електронна поща, както и компаниите и доставчиците на имейли по целия свят. Интернет беше атакуван от вирус, репликиращ се имейл вирус. Този вирус беше бързо анализиран от много хора в интернет - той беше наречен W97M.Melissa.A, тъй като остави подпис, съдържащ името Melissa на заразен компютър. Melissa беше макровирус на Word, подобен на WM/Concept.A, но разширен за използване на Outlook, за да се репликира.

Вирусът Мелиса се разпространява чрез завладяване на перспективите на жертвите, за да изпрати вируса на нови жертви.

Офисът беше оръжеен. Този вирус също не навреди на заразените компютри, но генерира толкова много имейл, че сървърите се забъркват в така наречената атака за отказ на услуга или DoS. Системните администратори, отговарящи за пощенските сървъри, бяха ядосани. По-важното е, че може би за първи път стотици хиляди или милиони работници бяха без имейл наведнъж и се отправят към понеделник сутринта на работна седмица.

Ако имаше съмнение, веднага научихме колко важен е имейлът за работното място.

Нашите клиенти и офиси по целия свят бяха ядосани.

Новините бяха навсякъде (въпреки че репортерите прибягваха до телефонни обаждания, за да докладват), а броят на засегнатите пощенски сървъри беше десетки хиляди, което беше стотици хиляди, ако не и повече компютри. Това беше огромно.

Какво ставаше? Това беше нов вид вирус. Той въведе термина червей в общата популация, наречен такъв, тъй като може автоматично да се разпространи до други потребители на компютри без никакви действия, като се промъкне в интернет. В пресата термините червей и вирус се използват взаимозаменяемо. Веднъж пуснат в природата чрез умишлено прост имейл, вирусът на Мелиса се разпространи, когато получател отвори файла, прикрепен към важните съобщения. Съобщението е проектирано да изглежда познато и затова файлът почти винаги се отваряше.

Това беше социално инженерство .

Прикаченият файл съдържа макрос на Word и е написан по начин, който не само заобикаля всички защити, добавени към Word след WM/Concept.A, но незабавно деактивира функциите за защита на макроса. В този смисъл той беше същият като вируса Concept. Когато използваше която и да е пощенска програма, освен Outlook, Мелиса беше като Concept както по начина, по който се разпространява, така и по степента на раздразнение (високо).

Ако потребител работи с Outlook, тогава Мелиса отиде още една крачка напред. Кодът в вируса Melissa използва макро възможностите на Outlook - да, Outlook също имаше такива и клиентите наистина ги обичаха - за автоматично изпращане на същото важно съобщение до първите 50 души в адресната книга на Outlook. Вместо да кажат на двама приятели, всеки заразен компютър казваше 50, а всеки от тези, които отвориха прикачения файл, каза още 50. Така вирусът се разпространи по цялата планета за един уикенд.

Ако имаше някакъв хумор (след това нямаше), след изпращане на вируса до 50 души, кодът провери дали текущият ден от месеца е същият като минутата. Ако случайно беше така, той добави следния текст към отворената в момента Word: Двайсет и две точки, плюс резултат от три думи, плюс петдесет точки за използване на всичките ми букви. Играта свърши. Излизам от тук. Това нямаше смисъл, докато не настъпи дълбоко потапяне, където Windows запазва програмните настройки (наречени регистър ) и където е записано, че Мелиса е заразила компютъра. Там може да се намери текст, който чете Kwyjibo. Заедно те бяха препратка към епизод от Семейство Симпсън, Барт Геният, където Барт опитва да изневери на Scrabble с тази дума .

Известни метаданни

Преследването на разпространителите на вируси и червеи беше интернет хоби и професия, която се простира още през Робърт Морис и скандалния червей, отприщван от Корнел през 1988 г. (докато бях там за първото си завръщане у дома!) И задействан и след това документиран от Клифърд Стол в невероятната книга Яйцето на кукувицата: Проследяване на шпионин през лабиринта на компютърен шпионаж . Веднага интернет се опита да намери улики за произхода на Мелиса. В известен смисъл това беше подобно на Центровете за контрол и превенция на заболяванията, които се опитват да намерят нула пациент. С електронната поща това беше възможно поради точните времеви печати и информация за пътуването във всяко съобщение - цифровата ДНК на компютърен вирус.

Мелиса предложи още една следа, без да знае за създателя си. Файлът LIST.DOC имаше GUID, за който Джон Маркоф ​​пише (същата функция, която току -що премахнахме от Office). Съветникът, подпомагащ Markoff, който тогава знаехме, че е Ричард Смит, изпълнителен директор на софтуерната компания Phar Lap, намери GUID и го публикува онлайн с кода на вируса. Възпитаник в Швеция каза, че кодът изглежда познат и насочи Смит към потребител на име VicodenES. След това Смит започна да свързва адреса на мрежовата карта (същият, от който се оплакваше като част от GUID) и записи на интернет сървъри. В крайна сметка Смит успя да свърже цялата следа от адреси на мрежова карта с създателя на вируса, който беше арестуван в Ню Джърси в дома на родителите си седмица след като го пусна .

Метаданните в Office 2000 направиха това възможно.

Иска ми се да го измисля.

Помогнахме на ИТ мениджърите и системните администратори да върнат системите си онлайн и да премахнат вируса. Това беше криминално разследване и за екипа на Службата за първи път участвахме в такова в този мащаб и в реално време. Седмицата беше изпълнена със угризения, скръб, гняв и накрая, когато чухме, че метаданните са замесени в откриването на престъпното, чисто неверие.

Подходите при проектирането, които са работили за технологични ентусиасти, вече не работят за типичните офис служители.

Макро възможностите на Outlook, използвани от Melissa, развиха огромни последователи и бяха стратегически аспект на продукта. Бяхме на същото място, както няколко години по -рано с Word - ключова характеристика, която оценяваха предприятията, беше оръжието от създателите на вируси. За Word добавихме поредица от предупреждения и административен контрол. Първите ни стъпки в отношенията с Мелиса направиха същото.

Веднага след като приложихме тези и пуснахме актуализации, чухме от корпоративни клиенти и общността от консултанти, автори и Най -ценните професионалисти на Microsoft, или MVPs (групата, избрана от специалистите по поддръжка на Microsoft, за да представляват широката външна общност). Разчупихме техните решения, изградени върху Outlook. Независимо дали става въпрос за управление на времето, помощници по планиране, инструменти за управление на взаимоотношенията с клиенти за търговци или автоматизиране на имейли (за да назовем само няколко), потребителят е подканван от Outlook всеки път, когато се изпълняват макроси. Беше досадно, но трябваше да е така, защото нямахме друго лесно достъпно решение.

Когато хората, използващи софтуер, са в процес на преминаване през някаква задача (от отваряне на имейл, до резервиране на билети, до отваряне на програма, до сърфиране в уеб страници), всички предупредителни съобщения по същество се игнорират и следователно са безсмислени.

Този урок беше научен многократно от всяко поколение софтуер. Предупредително съобщение просто попречи. Никой не чете текст, когато точно там има бутон OK.

Както при Word, имаше постепенно премахване на разширяемостта на Office. Нашите продукти (и клиенти) бяха изложени на риск поради все по -свързания свят. Подходите за проектиране, които използвахме, които работеха добре за технологичните ентусиасти, вече не работеха за типичните офис служители със сравнително ограничени познания за вътрешната работа на персоналните компютри, и особено не за администраторите, които ги поддържаха.

След като вирусът бъде предотвратен по какъвто и да е начин, общността на лошите актьори работи за намиране на подобни модели, които да се използват, но такива, които заобикалят поправките. Междувременно, още по -голяма общност от копиращи копира дублира съществуващата експлоатация и се възползва от неподправен софтуер или софтуер, защитен от сравнително сложни антивирусни инструменти, които не са забелязали малки промени в използвания модел. Ето как действат вирусите.

За кратко обезопасихме продукта.

Tylenol моментът на Microsoft

В ранната майска сутрин, когато получих това неистово обаждане, беше първото ми известие за избухването на новия вирус ILOVEYOU и много бързо новинарските новини се появиха милиарди долари щети , цитирайки предишния експлойт на Melissa и много по -ранния вирус Concept в Word.

В отчитането, след като има три доказателства, има тенденция. В този случай тенденцията беше нарастващият риск от използване на Office и ескалиращите разходи за бизнес ИТ специалистите, поддържащи корпоративни настолни компютри - TCO, нашият стар приятел обща цена на собственост , отново беше критичен въпрос.

В онлайн история, публикувана през първата вечер на разпространението, експертите в индустрията очакваха, че до сутринта половината от всички компютри в Северна Америка са заразени и повече от 100 000 пощенски сървъра в Европа са заразени или прекъснати като предпазна мярка. Сенатът на САЩ беше заразен, както и важни новини като Dow Jones. Инфекциите достигнаха световните телекомуникационни и телевизионни обекти в Дания и служителите на Compaq Computer чак до Малайзия.

Въздействието беше дълбоко. Милиарди долари незабавно загубиха производителност и пари, изразходвани за ликвидиране на вируса. Клиентите бяха вбесени. Ако и как сме реагирали на това, това очевидно ще бъде тест за съпричастността към болката, която изпитват клиентите.

ILOVEYOU деактивира пощенски сървъри и компютърни мрежи по целия свят, включително много важни правителствени агенции от Министерството на отбраната на САЩ до Националната здравна служба на Обединеното кралство. В рамките на една седмица от атаката Комитетът по науката на Камарата на представителите на САЩ провежда изслушвания, опитващи се да стигнат до дъното на проблема с вируса, наречен Love Bug в пресата, и защо индустрията не успя да се справи с него.

Създателите на червея ILOVEYOU използваха дупка в предупредителните съобщения, които се изпълняваха при достъп до данните на Outlook (като контакти). Както при Мелиса, червеят използва списъка с контакти и се репликира, но вместо само първите 50 контакта, той автоматично (и безшумно) изпраща поща до всички контакти в адресна книга. Тази инфекция също се инсталира на компютъра, така че тя продължи да работи през цялото време и нанесе щети, като изтрие файлове и ги замени с копия на вируса. Инфекцията е започнала от прикачен имейл с името Love Letter, което беше скрита програма, а не буква. Всяка програма за електронна поща би била уязвима за този метод на предаване, който просто изискваше от потребителя да отвори файла на своя компютър, но Outlook беше не само най -известният, но и най -лесно програмируемият.

Беше лошо. Много зле.

Екипът се опитваше да разбере какво да прави и започна да проучва възможностите.

Microsoft Office имаше момент на Tylenol. Докато човешкото страдание от компютърния вирус е драстично по -малко от това на 1982 подправяне на продукти което остави седем души мъртви от отравяне, страданието на марката беше сравнимо. Може ли да се вярва на Outlook? Може ли Microsoft? Компанията майка на Tylenol, Johnson & Johnson, предприе безпрецедентни и драстични мерки, за да спаси човешки живот и да възстанови доверието на потребителите в марката. Той премахна всички лекарства от разпространението и насърчи унищожаването на всички хапчета. В допълнение, компанията диагностицира и подобри своите системи, включително разработването на опаковки, устойчиви на подправяне. По този начин те разработиха съвременната книга за управление на кризи.

Колкото и малко да сме счупили, клиентите ще се оплакват.

Подобно на толкова много кризисни ситуации в мениджмънта, първоначално мениджърите (като мен) мислят, че ще се появят и ще спасят деня с някоя блестяща идея, за която никой не се сети. Ако това не се случи (както е почти винаги), следващият подход е да вземете няколко варианта и да ги комбинирате в това, което изглежда блестящо, но в крайна сметка е неработещо. Това предполага, че не се появявате и просто искате всичко да не се случва. Това също никога не е така.

Роб Прайс (RobPr), ръководител на програмата за управление на Outlook и Уилк водеха дискусията. Тяхното виждане беше ясно. Първо, ще деактивираме изпращането на куп файлови типове прикачени файлове, които хората рутинно изпращат или отварят, ако се появят във входяща поща. По същество това означаваше да не се изпраща изпълним код или файлове, които се изпълняват при отваряне. Второ, ние ще пазим Outlook, така че всеки програмен достъп до адресната книга или опит за изпращане на имейл безшумно генерира предупреждение и деактивиран достъп. И накрая, макар да изглеждаше нестабилно, ние бихме третирали всички имейли като ненадеждни, което по същество означаваше, че без значение как кодът е проникнат в имейла, той не работи без много предупреждения. Ние ефективно бихме поставили имейл съобщения под карантина и изолираме важните данни на Outlook за потребителя от всеки код.

Тези действия могат да бъдат наложени и персонализирани от администраторите в големите компании.

Екипът искаше да говори за това колко много неща ще се счупят в процеса. Главният мениджър на Outlook Кърт ДелБене (KurtD) и мениджърът на тестовете Мартин Стейли (MartinSt) казаха, че независимо колко или колко малко сме счупили, клиентите ще се оплакват, че сме счупили твърде много или твърде малко. Някои неща бяха супер прости. Например големите компании компресират файловете си, преди да ги изпратят по имейл като прикачени файлове, за да спестят място за съхранение и честотна лента. Често срещан начин за изпращането им, без да се изисква отделна програма за декомпресирането им, е компресираният файл да се изпраща като изпълним файл, който автоматично се декомпресира и записва на локалния твърд диск, когато се отваря като прикачен файл. Това разширение на Outlook беше популярно. И това би било напълно счупено, което прави прикачените файлове невидими за получателите.

Дебатът не беше дали да направим тези промени възможно най -скоро, а дали дори трябва да дадем възможност на компаниите да ги изключат или по някакъв начин да намалят обхвата на защита. Като ветерани от последните няколко кръга на вируси, ние нямахме желание да дадем възможност на ИТ професионалистите да намалят защитата на компютър. Техните оценки претегляха риска един важен шеф или заинтересована страна да не свърши работа с разходите за поддръжка в цялата организация, ако вирусът изплува. При всяка опция знаехме, че определен процент от клиентите биха били на страната на по-голяма болка при отстраняването след факта, отколкото на болката от превенцията. Това беше грешен компромис, но такъв, какъвто често се прави в ИТ организациите, когато те са в отбрана поради слабостите на продуктите, които поддържат.

Това, което екипът наистина искаше, беше разрешение да причини болка. Знаеха какво трябва да се направи, но знаеха, че ще има отстъпление. Искаха да знаят, че ще ги подкрепя. За това аз не се поколебах, като се има предвид колко болка вече сме причинили и колко ясно са разбрали за проблема и решението. Имаше толкова много неща, които предполагат, че това значително подкопава цялостното предложение на Office за стойност, че се чудех дали ще трябва да въведем безплатни версии на Office на Outlook (и намалени цени-всичко винаги се връщаше към ценообразуването).

След четири седмици, на 8 юни 2000 г., екипът завърши кръпката и я направи достъпна за изтегляне - скандалната актуализация за защита на електронната поща на Outlook. Той излезе за Outlook 97, Outlook 98 и Outlook 2000 и за всички подверсии на тези продукти по целия свят.

След ILOVEYOU Microsoft заключи функциите за автоматизация на Outlook, за да направи злоупотребата по -лесна.

Четири седмици може да изглеждат като много време, но почистването на компютрите от проблема отнема много време и заема ИТ. Доставчиците на антивирусни програми и продуктите за защита на имейлите свършиха своята работа. Уведомихме PSS и продажбите на място. Маркетингът подготви библиотека с материали, както и Support, който написа подробни технически статии за базата знания на Microsoft. Издадохме дълго интервю с мен , като съобщение за новини, подробно описващо всички поправки. Обаждахме се с големите медии.

Разпространението беше неравномерно. С всеки вирус познаващите компютърни ентусиасти са склонни да заемат вината на потребителите, когато се сблъскат с актуализация, която намалява възможностите на компютъра. Видяхме това както с Concept, така и с Melissa. В случая на LOVE, функциите като изпращане по пощата около кода бяха точно това, което ентусиастите правеха често, така че те бяха доста разгневени. Във форуми те се оплакаха: Кой отваря прикачени файлове от хора, които не познавате? Хората са заети и очакват компютрите да работят. Те не виждат използването на компютър в същия дух като ходене по тъмна уличка в странен град. Бързо общността се опита да намери заобиколни решения за промените в сигурността, но безуспешно. Няколко декларираха, че крайните потребители трябва да променят няколко ИТ настройки, които предоставихме, за да се върнат към нормалното.

Администраторите на предприятията се държаха според очакванията. Някои оптимизирани за краткосрочен план. Други понесоха болката в промяната на работния процес и несъвместимостите. Outlook, с актуализацията за сигурност на имейла, беше новото нормално и в крайна сметка прието. Все още беше глупаво да се направи светлина върху тези промени. Въпреки че в крайна сметка всичко изглеждаше лесно, идеята за разбиване на важна екосистема, особено за нов продукт, беше противоположна на фокуса на Microsoft върху съвместимостта. Това, което екипът предложи и след това достави, беше смело.

Office продължи да има по -малко и най -малко по -тежки вируси през следващите десетилетия. Поне част от това се дължи на актуализацията за защита на електронната поща на Outlook.

Техническите ентусиасти, ИТ професионалистите и дори нашите любими MVP се оплакваха от години и написаха много статии, които се позоваха на актуализацията на защитата на електронната поща, тъй като се приспособиха към нормалното за Outlook.

Светът продължи напред. И беше малко по -безопасно с Office и Outlook.