Червь Morris часто рассматривается как вирус, с которого все началось. Первый компьютерный червь, получивший широкое распространение в реальном мире, был гораздо более разрушительным и распространялся легче, чем предполагалось. В результате он привлек значительное внимание средств массовой информации и вошел в историю как “Великий червь”, учитывая его разрушительные последствия.
Червь назван в честь Роберта Морриса, его создателя, который выпустил его 2 ноября 1988 года.
Аспирант Корнельского университета Роберт Таппан Моррис разработал червя Morris для использования уязвимостей на компьютерах, использующих Unix. Хотя его намерения были далеки от гнусных (он просто хотел посмотреть, можно ли это сделать), его любопытство быстро вышло из-под контроля.
По иронии судьбы (или, возможно, не совсем так), Моррис был сыном криптографа Роберта Морриса, который работал на АНБ, когда его сын выпустил разрушительную инфекцию. Хотя червь Morris не уничтожал операционную систему и файлы на компьютерах UNIX, он значительно замедлял работу, что привело к задержке на несколько дней.
В течение нескольких часов после выпуска червя он заразил тысячи компьютеров в исследовательских центрах, университетах и военных объектах по всей стране. Червь не повредил ни одного файла. Однако он делал Интернет недоступным в течение короткого периода своей активности.
Электронные письма задерживались на несколько дней, и в попытке избавиться от вируса многие учреждения либо отключили свои компьютеры, либо полностью стерли их. Кроме того, Управление государственной отчетности США оценило стоимость ущерба в диапазоне от 100 000 до 10 000 000 долларов. Хотя эта цифра непомерно велика, она говорит о дорогостоящей ошибке — независимо от точной суммы в долларах.
Одним из методов атаки вируса Morris было использование интернет-сервиса компьютера UNIX, известного как “протокол имени / пальца”. Протокол использовался для передачи информации другим пользователям сети. Итак, вирус Morris использовал это для перемещения с одного компьютера на другой по сети.
Вирус Morris мог взламывать компьютеры с помощью атаки методом грубой силы, которая позволяла ему угадывать идентификаторы пользователей и пароли. Затем он использовал взломанные учетные данные для доступа к серверам, на которых у пользователя была учетная запись.
Третья дыра, которой воспользовался червь, находилась в режиме отладки программы Unix Sendmail, стандартной утилиты, используемой для отправки электронных писем. Червь Morris также был запрограммирован на дублирование себя на каждом седьмом экземпляре любого компьютера, на котором уже была установлена ошибка. Эта программа самодублирования позволила червю распространяться быстрее, чем ожидал Моррис.
Компьютеры многократно заражались червем, и каждый дополнительный экземпляр замедлял работу компьютера до состояния отказа, подчистую исчерпывая ресурсы компьютера.
При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.
Ущерб от червя Морриса был оценён примерно в 96,5 миллионов долларов.
После предотвращения атаки ФБР запустит расследование и быстро выйдет на Морриса. Его будут допрашивать, изымут технику и изучат все файлы, опросят друзей и знакомых. Моррису не повезет: за два года до атаки конгресс принял закон о компьютерном мошенничестве и злоупотреблении, запретив несанкционированный доступ к защищенным компьютерам.
В 1989 году суд присяжных признает Морриса виновным по этому закону впервые в истории США. Однако его освободят от тюремного заключения и приговорят к трехлетнему условному сроку, штрафу в размере $10 480 и 400 часам общественных работ.
Одной из причин такого смягчения станет признание Морриса, в котором он настаивал, что не задумывал «червя» как вредоносный вирус. В исходном коде не было ни строчки, которая могла бы причинить вред системам: «червь» мог только копировать сам себя на другие устройства без ведома пользователя, используя уязвимости.
«Червь» Морриса был изобретательным инженерным решением. Если уязвимости в сервисах электронной почты и распознавания пользователей не срабатывали, то программа пыталась подключиться к консоли удаленного управления. Но для этого нужно было подобрать пароль.
«Червь» делал это простым перебором: в то время многие пароли полностью совпадали с именами пользователей либо были составлены из тех же букв в обратном порядке. Для успешного взлома «червю» хватило словаря всего из 400 слов. После проникновения он маскировал свое присутствие: менял имя, удалял временные файлы и шифровал данные о себе в памяти.
Причиной самого значительного ущерба — замедления компьютеров — стала программная ошибка. Из-за нее устройства продолжали запускать копии «червя» до тех пор, пока у компьютера полностью не заканчивались ресурсы.
Эпидемия показала, как опасно безоговорочно доверять компьютерным сетям. Впоследствии были выработаны новые ужесточённые нормы компьютерной безопасности, касающиеся безопасности кода программ, администрирования сетевых узлов и выбора защищённых паролей.