Terzo capitolo, terzo virus esaminato. Questa volta andiamo indietro fino al 1988, anno in cui fu creato il Morris Worm da uno studente della Cornell University: Robert Morris.
All’epoca la diffusione di Internet era bassissima, ma fu sufficiente a far propagare il codice maligno a circa 6.000 computer. Il 10% delle macchine connesse al web.
Il worm Morris è uno dei più antichi worm informatici distribuiti tramite Internet e il primo ad ottenere una significativa attenzione da parte dei media mainstream. È stato scritto da Robert Tappan Morris, Suo padre (Robert Morris) era un crittografo che lavorava all’NSA e che ha contribuito a sviluppare il sistema operativo Unix; aveva anche svolto un importante ruolo nella pianificazione della prima guerra informatica: gli attacchi elettronici al governo di Saddam Hussein nei mesi precedenti la guerra del Golfo Persico del 1991.
Morris lo rilasciò alle 20:30 del 2 novembre 1988 dalla rete del Massachusetts Institute of Technology (MIT) sperando di sviare l’attenzione e far credere che il suo creatore studiasse lì invece che alla Cornell.
Un amico di Morris disse che aveva creato il worm solo per vedere se era possibile farlo. Secondo altre fonti, invece, lo studente dichiarò di aver compilato il virus con l’intento di “contare” i pc connessi a internet e poter così avere un’idea della grandezza e della diffusione del mezzo.
Il programma infettò i sistemi di molti prestigiosi college e centri di ricerca pubblici e privati che costituivano la prima rete elettronica nazionale. Ricordiamoci che siamo nel 1988, un anno prima dell’invenzione del World Wide Web. Tra le vittime ci furono Harvard, Princeton, Stanford, Johns Hopkins, la NASA e il Lawrence Livermore National Laboratory.
Come funzionava il Morris worm
Il worm Morris prendeva di mira solo i computer che eseguivano una certa versione del sistema operativo Unix, ma si diffondeva ampiamente perché presentava molteplici vettori di attacco. Ha sfruttato ad esempio una backdoor nel sistema di posta elettronica di Internet e un bug nel programma “finger” che identificava gli utenti della rete. È stato progettato anche per rimanere nascosto.
Morris non ha danneggiato né distrutto file, ma ha comunque prodotto grossi disservizi. Strutture militari e universitarie furono rallentate, le e-mail ebbero ritardi di giorni. La comunità della rete ha lavorato per capire come funzionasse il worm e come rimuoverlo. Alcune istituzioni hanno cancellato i loro sistemi; altri hanno disconnesso i loro computer dalla rete anche per una settimana. I danni esatti erano difficili da quantificare, ma le stime partivano da 100.000 dollari e arrivavano a milioni.
L’attacco che veniva attuato dal virus nei confronti dei sistemi Unix configurabile come un vero DoS (Denial of Service). Inoltre la caratteristica di autoreplica ben oltre le reali necessità fece sì che si colpisse una stessa macchina più volte, rendendo così quasi vano ogni tentativo di pulizia.
Quel che rese il processo di replica assolutamente incontrollabile fu un errore di valutazione dello stesso suo ideatore. Il worm interrogava il sistema per “sapere” se fosse già installato e in caso di risposta positiva proseguiva alla macchina successiva. Però un piccolo stratagemma ne imponeva l’installazione forzata ogni sette risposte positive. Questo portò nel giro di poche ore alla paralisi totale dei computer infetti. Resosi conto che la situazione era ormai sfuggita ad ogni controllo, chiese aiuto ad un compagno di università.
Le conseguenze del Morris worm
Insieme lanciarono in rete un messaggio anonimo contenente le istruzioni per la rimozione del Morris Worm. Tale messaggio però non arrivò a destinazione in quanto i computer infetti erano completamente inutilizzabili. Quelli non colpiti dal worm risultavano invece scollegati dalla rete per impedirne l’infezione.
L’amico fece una chiamata anonima al New York Times, che presto avrebbe diffuso la notizia dell’attacco sulle sue prime pagine. Disse a un giornalista di sapere chi aveva creato il worm, che doveva essere un esperimento innocuo e che la sua diffusione era il risultato di un errore di programmazione. In successive conversazioni, parlò dell’autore del Morris worm citandone le iniziali “RTM”. Così il New York Times scoprì Robert Tappan Morris.
Alla fine dei giochi, L’FBI avviò un’indagine, interrogarono lui e i suoi amici, decriptarono i file del suo computer e trovarono numerose prove incriminanti. Morris aveva infranto la legge federale: nel 1986, il Congresso aveva approvato il Computer Fraud and Abuse Act che vietava l’accesso non autorizzato ai computer protetti. I pubblici ministeri incriminarono Morris nel 1989 e nel 1990 una giuria lo dichiarò colpevole: Morris divenne il primo cittadino ad essere accusato di questo reato.
Dopo poco nacque il primo centro CERT/CC, Computer Emergency Response Team Coordination Center. Nel dicembre 1990 fu condannato a tre anni di libertà vigilata, 400 ore di servizio comunitario e una multa di 10.050 dollari più i costi della sua supervisione. Fece ricorso in appello, ma la sua condanna fu confermata nel marzo successivo.
Robert Tappan Morris oggi
Ha completato la sua condanna a partire dal 1994. Attualmente insegna al MIT Lab of Computer Science. È un amico e collaboratore di lunga data di Paul Graham. Oltre a fondare due società con lui (compresa Viaweb, venduta a Yahoo per la modica cifra di 49 milioni di dollari), Graham ha dedicato il suo libro ANSI Common Lisp a Morris e ha chiamato in suo onore il linguaggio di programmazione che genera le pagine web dei negozi online RTML (Robert T. Morris Language).
[…] maligno a circa 6.000 computer: il 10% delle macchine connesse Continua a leggere la notizia: 10 virus che cambiarono il mondo: Morris Worm 1988 Fonte: […]