Хробак Моріса

Хробак Моріса (англ. Morris worm) або інтернет-хробак 2 листопада 1988 (англ. Internet worm of November 2, 1988) — один із перших мережевих хробаків, який розповсюджувався через Інтернет. Він паралізував роботу шести тисяч інтернет-вузлів у США. Пізніше в ЗМІ цей хробак був названий хробаком Моріса за ім'ям його автора (аспіранта факультету Обчислювальної техніки Корнелльського університету Роберта Теппена Моріса). Хакери ж прозвали його «великим хробаком».

Дискета з кодом черв'яка Моріса; зберігається в музеї науки в Бостоні

Епідемія вразила близько шести тисяч вузлів ARPANET. В інститут Берклі були запрошені найкращі фахівці з комп'ютерної безпеки того часу для нейтралізації наслідків шкідливої дії вірусу. Аналіз коду програми не виявив ані логічних бомб, ані деструктивних функцій.

Дія хробака

Хробак, всупереч розрахункам творця, буквально наповнив собою увесь мережевий трафік ARPANET.

При скануванні комп'ютера черв'як визначав, чи інфікований вже комп'ютер чи ні, і випадковим чином обирав, чи перезаписати існуючу копію, щоб убезпечитися від трюку з підробленою копією, внесеної системними адміністраторами. З певною періодичністю програма так чи інакше перезаписувала свою копію. Занадто маленьке число, задане Робертом для опису періодичності, і послужило причиною першої в світі епідемії мережевого хробака.

Незначна логічна помилка в коді програми призвела до руйнівних наслідків. Комп'ютери багаторазово заражалися хробаком, і кожен додатковий примірник уповільнював роботу комп'ютера до стану відмови від обслуговування, вщент вичерпуючи ресурси комп'ютера.

Черв'як використовував давно відомі вразливості в поштовому сервері Sendmail, сервісах Finger, rsh^[en] / rexec зі підбором паролів по словнику (брутфорсинг). Словник був невеликий — усього лише десь 400 ключових слів, але якщо врахувати, що в кінці 1980-x про комп'ютерну безпеку мало хто замислювався і ім'я облікового запису (зазвичай реальне ім'я користувача) часто збігалося з паролем, то цього було достатньо.

Хробак використовував також маскування, щоб приховати свою присутність в комп'ютері: він видаляв свій файл, який виконував, перейменовував свій процес в sh і кожні три хвилини розгалужувався.

За задумом автора хробак повинен був інфікувати тільки VAX-комп'ютери з операційними системами 4BSD і Sun 3. Однак кросплатформний C-код дав черв'якові можливість запускатися і на інших комп'ютерах.

Наслідки

Збиток від хробака Моріса був оцінений приблизно в 96,5 мільйонів доларів.

Сам Моріс добре законспірував код програми, і навряд чи хто міг довести його причетність. Проте його батько, комп'ютерний експерт Агентства Національної Безпеки, вирішив, що синові краще у всьому зізнатися.

На суді Роберту Морісу загрожувало до п'яти років позбавлення волі та штраф у розмірі 250 тисяч доларів, проте, беручи до уваги пом'якшувальні обставини, його засудили до трьох років умовно, 10 тисяч доларів штрафу і 400 годин громадських робіт.

Масове ураження комп'ютерів показало, наскільки небезпечно беззастережно довіряти комп'ютерним мережам. Згодом були вироблені нові посилені норми комп'ютерної безпеки, що стосуються безпеки коду програм, адміністрування мережевих вузлів і вибору захищених паролів.

Посилання

• Початковий код хробака Моріса [Архівовано 16 травня 2015 у Wayback Machine.]
• Звіт Юджина Спаффорда про аналіз хробака [Архівовано 4 листопада 2013 у Wayback Machine.]
• Звіт Марка Ейчина і Джона Рочліса про аналіз хробака [Архівовано 4 березня 2012 у Wayback Machine.]