Wieczorem 2 listopada 1988 roku w centrach komputerowych najbardziej prestiżowych amerykańskich uniwersytetów i laboratoriów badawczych zapanował chaos. Administratorzy systemów z niedowierzaniem obserwowali, jak ich potężne maszyny, stanowiące kręgosłup raczkującego Internetu, zwalniają, a następnie całkowicie zamierają.

W ciągu zaledwie 24 godzin tajemniczy program zainfekował około 6000 z 60 000 komputerów podłączonych do globalnej sieci – paraliżując blisko 10% całego ówczesnego Internetu.

Incydent, który zyskał miano ataku „Robaka Morrisa”, był wydarzeniem bezprecedensowym.

Spowolnił kluczowe operacje wojskowe i uniwersyteckie, a wymianę wiadomości e-mail opóźnił o całe dni, zrywając delikatne nici cyfrowej komunikacji.   

Eksperyment, który wymknął się spod kontroli

Twórcą programu był Robert Tappan Morris, 23-letni, błyskotliwy student informatyki na Cornell University. Jego oficjalne motywacje, przedstawione później podczas procesu, wskazywały na chęć „zademonstrowania nieadekwatności obecnych środków bezpieczeństwa” lub, jak podają inne źródła, próbę zmierzenia wielkości Internetu. Aby zatrzeć ślady, Morris wypuścił robaka z komputera na MIT.   

Robak Morrisa, w przeciwieństwie do prymitywnych wirusów tamtych czasów, był programem zaawansowanym. Jego siła leżała w wielowektorowości – wykorzystywał kilka różnych, niezależnych metod do rozprzestrzeniania się :   

• Luki w oprogramowaniu: Robak wykorzystywał błędy w popularnych programach systemowych UNIX, takich jak serwer poczty sendmail i usługa finger, która służyła do sprawdzania informacji o użytkownikach. Jedna z tych metod była wczesnym przykładem ataku typu buffer overflow, polegającego na wysłaniu do programu zbyt dużej ilości danych, co pozwalało na przejęcie nad nim kontroli.
• Nadużycie zaufania: Program wykorzystywał mechanizmy zaufanych hostów, które pozwalały na logowanie się między maszynami w sieci bez podawania hasła.
• Łamanie haseł: Ostatnią deską ratunku było odgadywanie haseł. Robak posiadał wbudowany słownik popularnych słów i próbował prostych kombinacji, takich jak nazwa użytkownika.   

Fatalny błąd projektowy

W założeniu robak miał być dyskretny. Posiadał mechanizm, który sprawdzał, czy dany komputer jest już zainfekowany, aby uniknąć wielokrotnych infekcji. Jednak Morris, obawiając się, że administratorzy systemów mogą go przechytrzyć, wprowadził do kodu fatalną w skutkach modyfikację: nawet jeśli komputer zgłaszał, że jest już zainfekowany, robak z 14% prawdopodobieństwem i tak dokonywał ponownej infekcji.   

Ta decyzja okazała się katastrofalna. Morris nie docenił potęgi wzrostu wykładniczego. Komputery były wielokrotnie infekowane, a każda kolejna kopia robaka uruchamiała nowe procesy, gwałtownie zużywając zasoby procesora i pamięci. W ten sposób, przez jeden błąd w logice, nieszkodliwy eksperyment przekształcił się w globalny atak typu Denial-of-Service (odmowa usługi), który sparaliżował sieć.   

Cyfrowa odpowiedź immunologiczna

W obliczu bezprecedensowego kryzysu zdecentralizowana społeczność akademicka musiała się samoorganizować. W ciągu kolejnych 48 godzin eksperci z ośrodków takich jak MIT i UC Berkeley podjęli wyścig z czasem, dekompilując kod robaka, aby zrozumieć jego działanie i stworzyć zabezpieczenia. Kluczową rolę odegrał Eugene Spafford z Purdue University, który stworzył listę mailingową phage, stając się nieformalnym centrum koordynacji dla ekspertów z całego kraju.   

Gdy techniczny chaos zaczął ustępować, rozpoczęło się polowanie na sprawcę. Morris, zdając sobie sprawę ze skutków swojego eksperymentu, poprosił przyjaciela o anonimowe rozesłanie wiadomości z przeprosinami i instrukcjami, jak powstrzymać robaka. Niestety, z powodu paraliżu sieci, wiadomość ta nigdy nie dotarła na czas. Wkrótce potem The New York Times zidentyfikował Morrisa jako sprawcę.   

Dziedzictwo: Koniec niewinności i narodziny cyberbezpieczeństwa

Proces Morrisa był historyczny. Był to pierwszy przypadek skazania na mocy niedawno uchwalonej ustawy Computer Fraud and Abuse Act (CFAA). Robert Tappan Morris został uznany za winnego i skazany na trzy lata nadzoru kuratorskiego, 400 godzin prac społecznych oraz grzywnę.

Incydent z 2 listopada 1988 roku był bolesnym, ale koniecznym wstrząsem, który na zawsze zakończył erę niewinności w Internecie. Jego konsekwencje ukształtowały krajobraz cyberbezpieczeństwa na kolejne dziesięciolecia.

• Narodziny CERT: W odpowiedzi na kryzys agencja DARPA sfinansowała utworzenie pierwszego na świecie zespołu reagowania na incydenty komputerowe – Computer Emergency Response Team (CERT). Stał się on modelem dla setek podobnych organizacji na całym świecie.
• Koniec ery zaufania: Robak Morrisa uświadomił całej społeczności technologicznej, że sieć jest z natury wrażliwa, a bezpieczeństwo musi stać się integralną częścią jej architektury.
• Początek branży: Incydent stał się potężnym bodźcem dla rozwoju komercyjnego przemysłu cyberbezpieczeństwa, tworząc realne zapotrzebowanie na oprogramowanie antywirusowe i zapory sieciowe.

Można argumentować, że Robak Morrisa był „szczęśliwą katastrofą”. Ujawnił fundamentalne słabości na wczesnym etapie rozwoju sieci, na długo przed erą e-commerce i bankowości internetowej. W ten sposób stał się bolesną, ale niezbędną „szczepionką” dla Internetu, która wywołała globalną odpowiedź immunologiczną i pozwoliła przygotować się na znacznie groźniejsze patogeny przyszłości.