Neste dia em 1988, o worm Morris infectou 10% da internet em 24 horas

 (tomshardware.com)
2 pontos por GN⁺ 2025-11-05 | 1 comentários | Compartilhar no WhatsApp
  • Há 37 anos, um worm de computador criado por Robert Tappan Morris, então aluno de pós-graduação da Cornell, infectou cerca de 10% dos sistemas de toda a internet em 24 horas
  • O worm se espalhou mirando sistemas baseados em BSD UNIX, explorando um backdoor no sistema de e-mail e um bug no programa ‘finger’
  • Embora não destruísse arquivos, causava sobrecarga, lentidão e quedas nos sistemas, levando grandes universidades e instituições de pesquisa a desconectarem temporariamente suas redes
  • Após investigação do FBI, Morris foi acusado de violar a Computer Fraud and Abuse Act, promulgada em 1986, e recebeu multa, liberdade condicional e serviço comunitário
  • O caso é considerado um marco inicial da era da cibersegurança e serviu de gatilho para a criação de procedimentos e estruturas de resposta para proteger a infraestrutura da internet

O surgimento e a propagação do worm Morris

  • Em 1988, um programa criado por Robert Tappan Morris, aluno de pós-graduação da Cornell, para medir a escala da internet acabou se espalhando de forma inesperada
    • Segundo retrospectiva do FBI, isso foi resultado não de intenção maliciosa, mas de um “erro de programação”
    • Em 24 horas, o worm infectou cerca de 10% dos sistemas da internet, causando danos enormes para os padrões da época
  • Morris distribuiu o worm a partir de um terminal da Cornell, invadindo um computador do MIT para lançá-lo
    • O FBI explicou que isso indicava uma tentativa deliberada de preservar o anonimato
  • O worm foi escrito em C e atacava sistemas BSD UNIX como VAX e Sun-3
    • Ele penetrava explorando um backdoor no sistema de e-mail e um bug no programa ‘finger’
    • Tinha capacidade de auto-replicação e propagação autônoma sem depender de um programa hospedeiro

Danos e resposta

  • O worm não apagava arquivos, mas provocava sobrecarga do sistema, atraso de mensagens e falhas, causando paralisação da rede
    • Algumas instituições realizaram reinicialização completa dos sistemas e desconexão da rede por uma semana para remover o worm
  • Entre as instituições infectadas estavam Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA e o Laboratório Lawrence Livermore
  • A imprensa tratou o caso como o primeiro grande incidente de segurança da internet

A identificação do autor e as consequências legais

  • Enquanto especialistas trabalhavam na recuperação, a busca pelo criador do worm ocorria em paralelo
    • O FBI identificou Morris como autor por meio de análise de arquivos e entrevistas
  • Morris tentou se desculpar anonimamente, mas sua identidade foi revelada por causa de um erro nas iniciais de um amigo
  • Ele foi acusado de violar a Computer Fraud and Abuse Act (CFAA), promulgada em 1986
    • Em 1989, o tribunal determinou multa, liberdade condicional e 400 horas de serviço comunitário

O ambiente da internet na época

  • Em 1988, a internet era baseada na NSFNET, uma estrutura de rede acadêmica que expandia a ARPANET, voltada a uso militar e de defesa
    • A World Wide Web (WWW) ainda não existia
  • Estima-se que havia cerca de 60 mil sistemas conectados, dos quais 6 mil foram infectados
  • O tamanho do prejuízo foi estimado entre US$ 100 mil e vários milhões de dólares
  • A NSFNET foi descontinuada em 1995, dando lugar depois à internet comercial

Impacto posterior e legado

  • O worm Morris é visto como um ponto de virada para a cibersegurança e serviu de impulso para a criação de procedimentos de segurança e estruturas de resposta
  • O artigo menciona o recente worm baseado em IA ‘Morris II’, destacando que a evolução dos worms continua
  • Nos comentários do texto original, pessoas que administravam redes na época relembram congestionamento de tráfego, interrupção de relays de e-mail e dificuldades de colaboração
    • Alguns afirmam que o caso contribuiu para o enfraquecimento da cultura de colaboração baseada em confiança na internet
  • O worm Morris permanece como o primeiro grande incidente cibernético da era pré-Web e como ponto de partida da indústria moderna de segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-05
Comentários do Hacker News

  • Paul Graham disse que o número de “10% de infecção” na época foi totalmente inventado no chute
    Alguém estimou que havia cerca de 60 mil computadores conectados à internet, e supôs que 10% deles teriam sido infectados

    • Entre esses 60 mil, é bem provável que a maioria não fosse de hosts realmente conectados, mas de sistemas de conexão emergencial baseados em UUCP
      Naquela época, 60 mil máquinas acessíveis por telnet já era bastante coisa. Eu também estava no fim da adolescência naquele período, e Deus abençoe o PG

  • Fiz a disciplina de sistemas distribuídos do MIT 6.5840 e concluí as práticas com os vídeos das aulas no YouTube
    Por curiosidade, pesquisei o nome do professor e descobri o quanto ele é uma figura lendária. Foi realmente uma aula excelente

    • No MIT, o RTM foi meu assistente de ensino. Um dos trabalhos era sobre o worm, e foi aí que os alunos perceberam que ele era o protagonista daquele worm
      Mas ele quase nunca mencionava esse assunto
    • O pai dele também era uma figura conhecida, como cientista-chefe da NSA
    • Seria divertido acrescentar uma sessão de hacking de sistemas distribuídos no estilo de 1988
    • Eu também estou acompanhando esse curso como hobby agora. Não sabia quem ele era, então foi uma surpresa
      A aula é tão boa que fiquei curioso sobre o que ele fez depois de cursá-la

  • O programa do Morris não tinha intenção maliciosa, mas acabou se tornando um ponto de virada na história da cibersegurança
    As raízes da pesquisa de segurança, red teams e da cultura gray hat de hoje vêm daquele incidente

  • Há um bom material sobre o caso no CACM, With Microscope and Tweezers: The Worm from MIT's Perspective (PDF)
    Eu era estagiário na IBM em 1988, e a empresa bloqueou dois gateways de rede
    Naquele tempo, a ideia de software autorreplicante era muito estranha. A IBM também tinha passado por um programa autorreplicante no ano anterior, o Christmas Tree EXEC

    • Mas vírus baseados em disquete já circulavam com bastante frequência

  • Quando eu operava sistemas no MIT, aquele dia foi realmente assustador e empolgante ao mesmo tempo

    • Nosso responsável técnico apareceu correndo e contou a notícia do worm, dizendo que o motivo de nosso país ter escapado foi porque uma pessoa desconectou fisicamente toda a internet. Na época, havia apenas uma única linha de conexão
    • O Usenet estava silencioso demais naquele dia. O prédio de engenharia também
    • A WPI não foi infectada porque suas máquinas principais eram Encore Multimax e DEC-20
    • Eu estava em um laboratório de informática de Stanford e senti os sistemas ficando extremamente lentos aos poucos

  • Segundo a Wikipedia, Clifford Stoll menciona em The Cuckoo’s Egg que Morris trabalhou com amigos de Harvard
    Fiquei curioso se Paul Graham já tinha falado sobre isso

    • O PG falou disso em uma entrevista (link)
      O worm em si era inofensivo, mas por causa de um bug centenas de cópias rodavam na mesma máquina e derrubavam o sistema
    • O PG também mencionou esse caso algumas vezes em seus ensaios (link de busca)
    • Em The Cuckoo’s Egg, há uma cena em que o autor visita Robert Morris da NSA (o pai), e depois disso o livro menciona o worm e o filho

  • O termo “worm” vem do romance de ficção científica de 1975 The Shockwave Rider (link da wiki)

    • No romance, o worm tinha o papel de divulgar informações secretas ao mundo; hoje, Wikileaks ocupa esse papel

  • Acho que Paul Graham esteve diretamente envolvido nesse caso
    Se virasse filme, o papel dele seria daqueles interpretados por um ator famoso (post relacionado no HN)

    • Perguntaram por que eu pensava isso

  • Na época, eu trabalhava como programador de sistemas na Purdue Engineering Computer Network
    Personalizamos o OS e evitamos parte das infecções do worm, mas a vulnerabilidade do modo debug do sendmail ainda era um problema

    • Diversidade de sistemas é a própria essência da segurança. Mesmo sendo mais difícil de administrar, oferece uma defesa muito mais robusta
    • Fiquei curioso se o KSB também estava por lá naquela época. Era uma pessoa realmente interessante

  • Eu esperava uma explicação técnica de como o worm funcionava e por que falhou, então fiquei decepcionado por isso não estar ali
    No fim, acabei indo procurar na Wikipedia