انتشار شده در تاریخ 1392/08/13 - 14:03

کرم Morris و ۲۵ سالگی بدافزار اینترنتی

۲۵ سال پیش، در روز ۲ نوامبر ۱۹۸۸، بخش عمده‌ای از اینترنت – که هنوز چندان بزرگ نبود – از کار افتاد.

موسسه خبری سایبربان: ۲۵ سال پیش، در روز ۲ نوامبر ۱۹۸۸، بخش عمده‌ای از اینترنت – که هنوز چندان بزرگ نبود – از کار افتاد. این مسأله نتیجه‌ی آزمایش خودخواهانه‌ای بود که توسط یک دانشجو به نام رابرت موریس انجام شده بود.

در آن زمان اینترنت هنوز در ابتدای راه خود بود و اغلب، مهندسان و دانشجویان به آن متصل بودند. استفاده از اینترنت، مبحثی دانشگاهی بود و هنوز فعالیتی در زمینه‌ی امنیت آن صورت نگرفته بود.

رابرت موریس، که در آن زمان دانشجوی دانشگاه کرنل بود، با ایجاد اولین رخداد بدافزاری مهم تاریخ قصد «حمله» به دیگر رایانه‌ها را نداشت. اما آنچه با نام کرم موریس شناخته شد، همه چیز را در دنیای اینترنت تغییر داد.

این کرم، «محتوای مخربی1» نداشت. تنها هدف آن، تکثیر خود بود. موریس برای اجرای موفقیت‌آمیز بدافزار خود بر روی رایانه‌های دیگران از روش‌های نوین -نسبت به زمان خود- برای پنهان ساختن و سرریز بافر پشته2 برای اجرای آن استفاده کرده بود.

یکی از شیوه‌های این بدافزار برای دسترسی به سامانه‌ها، وارد شدن به آن‌ها با استفاده از چیزی بود که اکنون با نام حملات لغتنامه‌ای شناخته می‌شود؛ یعنی، موریس فهرستی از گذرواژه‌های «محبوب» را در بدافزار خود گنجانده بود. موریس در دانشگاه کرنل فعالیت می‌کرد، اما برای آنکه منبع بدافزار شناسایی نشود، اولین بار آن را در یکی از رایانه‌های دانشگاه MIT اجرا کرد. این کرم اینترنتی همچنین با یکی از راه‌های متوقف ساختن خود، مقابله می‌کند. تمام این‌ها نشان دهنده‌ی این موضوع است که اگرچه کرم موریس دارای محتوای مخربی نبوده، اما موریس کاملاً اطلاع داشته است که او با انتشار این نرم‌افزار، بدون اجازه و مخفیانه به رایانه‌های دیگران وارد خواهد شد.

همچنین کد این بدافزار نشان می‌دهد که موریس تلاش داشته تا گسترش بدافزار را کنترل کند، اما به نظر می‌رسد اعتماد وی به کدی که نوشته بود، چندان واقع‌بینانه نبوده است. اشکالات موجود در کد، باعث شد تا بسیاری سامانه‌ها را از کار بیاندازد، از جمله تمام سامانه‌های SunOS، و در برخی از سامانه‌ها بیش از یکبار اجرا شده و تمام منابع سامانه را مصرف کند.

با انتشار این بدافزار همه متوجه شدند که امنیت رایانه دیگر یک موضوع نظری نبوده و باید با جدیت با آن مواجه شد. البته این بدین معنی نیست که مردم واقعاً آن را جدی گرفتند، بلکه امنیت رایانه تنها از بخش داستان‌های علمی‌تخیلی خارج شد. DARPA تیم واکنش اضطراری رایانه (CERT) را برای مواجهه با چنین رخدادهایی در آینده ایجاد کرد. این تیم هنوز به فعالیت خود ادامه می‌دهد و CERTهای متعددی در سراسر دنیا ایجاد شده‌اند. مرکز CERT آمریکا اکنون خود را تیم آمادگی اضطراری رایانه‌ای می‌نامد تا فعالتر به نظر برسد.

در مورد اینکه چه تعداد رایانه به کرم موریس آلوده شدند هنوز توافقی وجود ندارد. عدد حدس زده شده در مورد سامانه‌های آلوده به این بدافزار در اینترنت از ۶۰۰۰ تا ۶۰۰۰۰ متغیر است. پل گراهام، دوست و همکار موریس، می‌نویسد که این اعداد تنها حدسیات افراد مختلف است. مسأله اینجا است که تنها راه خلاصی از بدافزار موریس، راه‌اندازی مجدد رایانه‌ها بوده و این کار تمام ردپاهای به جا مانده از آن را از بین می‌برد. در آن زمان کسی اطلاع نداشت چه تعداد میزبان به این بدافزار آلوده شده و چه تعداد رایانه تحت تأثیر آن قرار گرفته‌اند.

تنها کافی است که بگوییم همه در اینترنت از این بدافزار اطلاع داشتند، اما اینترنت در آن زمان چندان بزرگ نبود. موریس که اکنون در دانشگاه MIT به تدریس و پژوهش در زمینه‌ی سامانه‌های عامل موازی و توزیع‌شده (PDOS) مشغول است، اولین فردی بود که تحت قانون تازه تصویب شده‌ی سوءاستفاده و کلاهبرداری رایانه‌ای، به سه سال آزادی مشروط و پرداخت جریمه نقدی محکوم شد. دادگاه تجدید نظر نیز به این نتیجه رسید که قصد نداشتن وی برای ایجاد خسارت، اهمیتی نداشته و تنها مسأله‌ی مهم قصد وی برای دسترسی به دیگر رایانه‌ها، بدون اجازه‌ی مالکان آن‌ها است.

اگر موریس بدافزار خود را منتشر نمی‌کرد، مطمئناً شخص دیگری کاری مشابه با آن را انجام می‌داد، و شاید اینکار را کاملاً با نیات مخرب انجام می‌داد.