Morris Worm (Internet Algemeen)

De Morris Worm, vernoemd naar de maker Robert Tappan Morris, is in 1988 gemaakt en infecteerde naar schatting 6.000 computers, 10% van van het Internet op dat moment. Onder de geinfecteerde computers waren computers van University of California, MIT, Stanford, Princeton, Purdue, Hardvard, Dartmouth, University of Maryland, University of Utah, Georgia Institute of Technology en vele andere universiteiten.

De worm gebruikte vier manieren om onbevoegd toegang te krijgen tot computers die verbonden waren met het Internet:
  1. exploiteer een defect in sendmail wanneer DEBUG ingeschakeld was tijdens het compileren
  2. exploiteer een defect in fingerd buffer overflow
  3. 'trusted hosts'-feature die gebruik zonder een wachtwoord toestaan
  4. een algoritme die 432 veel voorkomende wachtwoorden probeerde, plus variaties op de gebruiker zijn naam

Alhoewel de worm op de Cornell University geschreven is, waar Robert Morris op dat moment student was, heeft hij hem, op 2 november 1988, vrijgegeven vanuit Massachusetts Institute of Technology (MIT). Dit deed hij om de originele afkomst te verbergen.

Robert Morris had de worm naar eigen zeggen geschreven om de grootte van het Internet te meten. De worm verspreidde zich naar andere computers. Voordat het een nieuw systeem infecteerde, controleerde het virus eerst of er al een actieve kopie draaide.
Het zou echter erg makkelijk zijn om het virus tot stoppen te dwingen door aan te geven dat er al een actieve kopie draaide. Om die reden heeft Morris de worm zo geprogrammeerd dat het 14% van de tijd bezig was een nieuwe kopie van zichzelf te maken.

Morris had echter niet gerekend op de snelheid van zijn programma. Geinfecteerde computers spendeerden elke beschikbare bit om naar meer computers te zoeken om te kunnen infecteren. Hij belde een vriend op de Harvard University om hem een anonieme waarschuwingsmail te laten sturen naar de TCP-IP mailing list. Doordat het Internet al bevuild was met kopies van de worm en niet geinfecteerde computers de verbinding met het Internet al hadden afgesloten, kwam het bericht pas aan nadat systeembeheerders hun eigen manieren hadden toegepast om verdere infecties te voorkomen.

Morris is uiteindelijk schuldig bevonden op 22 januari 1990. Morris had, indien hij geen kwaad in de zin had, de broncode van zijn programma kunnen faxen naar de systeembeheerder van verschillende universiteiten waaronder de MIT en University of Utah, die op dat moment bezig waren de worm te ontcijferen. Dit had hij echter niet gedaan.
Daarnaast blijkt dat Morris commentaar in zijn programma heeft geplaatst die aanduiden dat Morris wel degelijk kwaadaardige bedoelingen had met zijn programma:
"the goal is to infect about 3 machines per ethernet."
"2) methods of breaking into other systems."
"10) source code, shell script, or binary-only? latter makes it harder to crack once found, but less portable"
"hitting another system:
1) rsh from local host, maybe after breaking a local password and ....
2) steal his password file, break a password, and rexec."

Volgens de overheid heeft de worm voor ten minste tien miljoen dollar aan schade aangericht. Geschatte reparatiekosten per computer verschilden van 200 tot 53.000 dollar.

Gerelateerde woorden

Thema & categorieën