Robak Morrisa 1988 – jak student sparaliżował cały internet

2 listopada 1988 – wieczór, który zmienił historię internetu

Był zwykły jesienny wieczór, gdy o godzinie 18:00 ze stacji roboczej MIT AI Lab wysłano w sieć niewinnie wyglądający program. Nikt z obserwatorów nie wiedział, że za chwilę uruchomi się lawina, jakiej internet – liczący wtedy zaledwie kilkadziesiąt tysięcy maszyn – jeszcze nie widział.

W ciągu kilku godzin tysiące komputerów Unix na uczelniach, w laboratoriach badawczych i agencjach rządowych zaczęło gwałtownie zwalniać. Administratorzy w całych Stanach Zjednoczonych bezradnie patrzyli, jak ich systemy stają się coraz bardziej niestabilne, a w końcu całkowicie przestają reagować. Robak Morrisa zainfekował szacunkowo 6000 maszyn – około 10% całego ówczesnego internetu.

Kwota strat oszacowana przez późniejsze śledztwo wynosiła od 100 tysięcy do 10 milionów dolarów. Dla kontekstu: cały ówczesny internet był strukturą akademicką i militarną, gdzie nikt jeszcze poważnie nie myślał o bezpieczeństwie.

Robert Tappan Morris – geniusz, który nie przewidział konsekwencji

Twórcą robaka był Robert Tappan Morris Jr., 23-letni doktorant Uniwersytetu Cornell. Nie był przypadkowym amatorem – wywodził się z rodziny z tradycjami: jego ojciec, Robert Morris Sr., był głównym naukowcem NSA i jednym z twórców wczesnych systemów bezpieczeństwa Unix.

Morris junior twierdził, że stworzył robaka wyłącznie w celach badawczych – chciał sprawdzić, jak duży jest internet i czy możliwe jest stworzenie programu, który sam się rozprzestrzenia. Nie miał zamiaru wyrządzić szkód. Jednak popełnił fatalny błąd w kodzie.

W oryginalnym zamyśle robak miał sprawdzać, czy dana maszyna jest już zainfekowana, i jeśli tak – kończyć działanie. Morris obawiał się jednak, że administratorzy mogą nauczyć komputery kłamać w odpowiedzi na to pytanie, więc zaprogramował robaka tak, aby mimo wszystko co siódmy raz instalował nową kopię siebie. Ten pozornie drobny szczegół sprawił, że maszyny były wielokrotnie infekowane i zalewane procesami aż do całkowitego paraliżu.

Anatomia ataku – jak działał pierwszy robak internetowy

Z technicznego punktu widzenia Robak Morrisa był dziełem zaawansowanym jak na swoje czasy. Jednocześnie wykorzystywał kilka różnych luk bezpieczeństwa w systemach Unix, co czyniło go wyjątkowo groźnym i trudnym do zablokowania:

• Luka w sendmail – eksploitacja trybu DEBUG w popularnym programie do obsługi poczty elektronicznej pozwalała na zdalne wykonanie dowolnego kodu na atakowanej maszynie.
• Buffer overflow w fingerd – przepełnienie bufora w demonie finger (programie wyświetlającym informacje o użytkownikach) umożliwiało przejęcie kontroli nad procesem z uprawnieniami administratora.
• Zaufane hosty (rsh/rexec) – robak wykorzystywał mechanizm zaufanych relacji między komputerami, gdzie jeden host mógł logować się do innego bez hasła.
• Łamanie haseł – program ładował plik /etc/passwd i odgadywał hasła przy użyciu słownika popularnych słów, imion i prostych kombinacji. Wiele haseł było zadziwiająco słabych.

Co czyniło Robaka Morrisa naprawdę przełomowym? To, że łączył wiele technik ataku w jednym autonomicznym programie i sam się replikował przez sieć. Żaden złośliwy kod nie robił tego wcześniej na taką skalę.

Reakcja świata i narodziny cyberbezpieczeństwa jako dyscypliny

Odpowiedź na atak była chaotyczna, bo nikt nie miał procedur na taki incydent. Grupy administratorów z MIT, Berkeley i Purdue pracowały przez całą noc, analizując kod robaka i próbując opracować łatki. Komunikacja między nimi odbywała się telefonicznie – ironia losu, bo sieć komputerowa była praktycznie martwa.

W kilkanaście godzin po wybuchu epidemii pierwsze poprawki zaczęły krążyć między administratorami. Robak został ostatecznie powstrzymany przez ręczne wyłączanie zainfekowanych maszyn i aplikowanie łatek na podatne usługi.

Incydent miał jednak trwały wpływ na cały świat IT:

1. Powstanie CERT/CC – bezpośrednią konsekwencją ataku było powołanie przez DARPA organizacji Computer Emergency Response Team Coordination Center, pierwszego na świecie centrum reagowania na incydenty komputerowe. Dziś podobne CERT-y działają w każdym kraju, w tym w Polsce.
2. Bezpieczeństwo jako priorytet – przed 1988 rokiem większość twórców systemów traktowała bezpieczeństwo jako drugorzędną kwestię. Po ataku Morrisa to się zmieniło na zawsze.
3. Nowe prawo – incydent przyspieszył prace nad regulacjami prawnymi dotyczącymi przestępstw komputerowych w USA i na świecie.

Wyrok i zaskakujące dalsze losy Roberta Morrisa

Robert Morris stał się pierwszą osobą skazaną na mocy Computer Fraud and Abuse Act (CFAA) – amerykańskiej ustawy o przestępstwach komputerowych. W 1990 roku sąd wymierzył mu karę: 3 lata w zawieszeniu, 400 godzin prac społecznych i grzywnę w wysokości 10 050 dolarów. Uniknął więzienia, choć prokurator domagał się kary pozbawienia wolności.

Dalsze losy Morrisa są równie fascynujące jak sam incydent. Po odbyciu wyroku wrócił na ścieżkę akademicką i zrobił znakomitą karierę. Dziś jest profesorem MIT w Computer Science and Artificial Intelligence Laboratory. Ale to nie koniec historii.

W 1995 roku Morris założył razem z Paulem Grahamem firmę Viaweb – jeden z pierwszych sklepów internetowych działających w chmurze. W 1998 roku sprzedali ją Yahoo! za 49 milionów dolarów. Paul Graham użył tych pieniędzy, by założyć... Y Combinator – słynny akcelerator startupów, który wyhodował Airbnb, Dropbox, Stripe i setki innych firm wartych miliardy.

Można powiedzieć, że Robak Morrisa pośrednio przyczynił się do narodzin całego współczesnego ekosystemu startupów technologicznych.

Co Robak Morrisa mówi nam o bezpieczeństwie IT dziś?

Minęło ponad 35 lat od tamtej nocy, a lekcje płynące z tego incydentu są zadziwiająco aktualne. Mechanizmy, które wykorzystywał robak – podatne usługi, słabe hasła, nadmiernie zaufane relacje między hostami – wciąż należą do najczęściej eksploatowanych przez współczesnych cyberprzestępców.

• Słabe hasła to wciąż problem numer jeden. Morris łamał hasła słownikowo w 1988 roku. W 2026 roku ataki słownikowe i credential stuffing są nadal jednymi z najskuteczniejszych metod włamania do firmowych systemów.
• Niezałatane podatności to otwarte drzwi. Trzy z czterech technik Robaka Morrisa dotyczyły znanych luk, na które istniały lub szybko powstały poprawki. Regularne aktualizacje oprogramowania to absolutna podstawa.
• Zasada minimalnego zaufania. Mechanizm zaufanych hostów był wygodny, ale zabójczy dla bezpieczeństwa. Dziś odpowiednikiem jest filozofia Zero Trust – zakładaj, że żaden użytkownik ani urządzenie nie jest z natury godne zaufania.
• Plan reagowania na incydenty. Chaos podczas ataku Morrisa wynikał z braku procedur. Dlatego właśnie powstały CERT-y i plany IR (Incident Response). Twoja firma powinna mieć własny.

Jeśli Twoja organizacja nie ma aktualnych polityk bezpieczeństwa, regularnych audytów i planu reagowania na incydenty – jesteście tak samo bezbronni jak administratorzy w tamtą listopadową noc 1988 roku.