20 jaar Morris: verjaardag van een worm

Het internet vierde deze zondag een twijfelachtige verjaardag: de Morris-worm werd 20.

20 jaar Morris: verjaardag van een worm

De Morris-worm, die algemeen beschouwd wordt als de eerste grote aanval op het internet, betekende een waarschuwing aan de internet-ontwikkelaars over het risico van software-bugs. Het was tevens de eerste aanzet tot netwerkbeveiliging als belangrijk onderzoeks- en ontwikkelingsgebied.

Op 2 november 1988 om 6 uur ’s middags ging de Morris-worm ‘live’. Hij schakelde tien procent van alle internetverbindingen uit, wat destijds neerkwam op 60.000 computers. De Morris-worm was een programmaatje dat zichzelf kopieerde en misbruik maakte van bekende zwakke plekken in veelgebruikte toepassingen, waaronder Sendmail (de email routing software) en Finger (een programmaatje dat liet zien welke gebruikers op het netwerk waren ingelogd). De worm brak in op Sun 3-systemen en Digital VAX-computers die BSD Unix draaiden. Doordat de worm zichzelf voortdurend bleef kopiëren, verspreidde hij zich razendsnel en infecteerde hij computers verschillende keren achter elkaar, waardoor veel systemen overbelast raakten.

“Het was echt nogal wat,” zegt Eric Allman, een computerprogrammeur die in 1981 als student aan Berkeley (Californië) aan de wieg stond van Sendmail. “De belangrijkste implicatie van de Morris-worm was dat het internet heel klein was – en dat het door iedereen werd beschouwd als een vriendelijke plek, een clubhuis,” zegt Allman. “Deze aanval maakte duidelijk dat er ook mensen in het clubhuis waren die niet het beste met de wereld voor hadden. Het maakte duidelijk dat we ons moesten gaan beveiligen.”

Hoewel er destijds veel aandacht werd besteed aan de worm, zeggen sommige experts dat de implicaties werden onderschat. “De werkelijk interessante les die de Morris-worm ons leerde, is hoe weinig impact het had op de lange termijn,“ zegt Steve Bellovin, die ten tijde van de aanval bij Bell Labs aan een van de eerste firewalls werkte. “De mensen die het interesseerde liet het zien hoe gevaarlijk software met bugs kan zijn, maar de rest van de wereld besteedde daarna maar weinig aandacht aan netwerkbeveiliging. Het werd pas halverwege de jaren ’90 weer onderwerp van discussie.”

De Morris-worm werd geschreven door Robert Tappan Morris, een student aan de Cornell University, die later wegens het incident werd veroordeeld voor computerfraude. Tegenwoordig is Morris een gerespecteerd docent computerwetenschappen aan het MIT.

“Aanvankelijk hadden we geen idee wie de worm had verstuurd,” vertelt Allman. “Het was wel vrij duidelijk dat het met opzet was gedaan, maar we hadden geen idee door wie of waarom. Dat veroorzaakte aardig wat paniek, helaas, maar wel begrijpelijk.”

Door de aanval was het internetverkeer dagenlang verstoord. Bovendien zagen sommige organisaties, zoals het Amerikaanse ministerie van defensie, zich genoodzaakt hun internetverbinding geheel af te sluiten om infectie te voorkomen.

“Mensen verbraken hun verbinding met het net omdat ze bang waren voor wat er nog kon komen,” zegt Allman. “De ironie is dat juist die verbroken verbindingen ons voornaamste communicatiemiddel platlegde. Daarom duurde het zo lang om iedereen weer online te krijgen.”

Toen de worm werd gelanceerd kende het internet nog geen commercieel verkeer of commerciële websites. De schade bleef beperkt tot onderzoekers bij overheidsinstellingen, universiteiten en een handjevol ondernemingen die het netwerk gebruikten om email en bestanden uit te wisselen. Desondanks kreeg de aanval wereldwijd uitgebreide media-aandacht.

“De berichtgeving rond de Morris-worm was voor veel mensen de eerste kennismaking met het woord ‘internet’,” zegt Bellovin. “Voor velen was het iets nieuws. Een vreemde, wondere wereld, die door één enkele opstandige programmeur onderuit gehaald kon worden. Buiten de computerwetenschappers had niemand ooit nog van het internet gehoord.”

Voor sommigen was de Morris-worm bepalend voor hun verdere loopbaan. Eugene Spafford bijvoorbeeld was docent computerwetenschappen aan de Purdue University toen Morris aanviel. Tegenwoordig heeft Spafford de leiding over Purdue’s Center for Education and Research in Information Assurance and Security. Hij wordt beschouwd als een van de grote namen op het gebied van internetbeveiliging.

“Mijn adviseurs hadden me verteld dat er geen toekomst zat in toegepast computer-beveiligingsonderzoek,” zegt Spafford. “Maar toen dit gebeurde, realiseerde een hele grote groep mensen zich ineens dat de tijd van de oude, gecontroleerde mainframe-omgeving voorbij was en dat we naar een nieuw beveiligingsmodel toe moesten. We hadden behoefte aan een meer technische, praktische benadering.”

De Morris-worm was de eerste grote worm-aanval, en werd “de Grote Worm” genoemd, met een verwijzing naar Tolkien. Tot dat moment waren onderzoekers wel al bezig geweest met goedaardige wormen, die ingezet moesten worden om software-updates te installeren, maar niemand was op het idee gekomen een kwaadaardige worm ongecontroleerd op het netwerk los te laten.

De Morris-worm was de voorvader van andere bekende wormen, zoals Melissa in 1999, Code Red in 2001, en Slammer in 2003, die allemaal op jacht gingen naar systemen waar Microsoft-software op draaide. Tegenwoordig leiden ze een marginaal bestaan, voorbijgestreefd door virussen en emails met URLs die verwijzen naar kwaadaardige websites. “Wormen zijn eigenlijk relatief zeldzaam, vergeleken met het aantal virusaanvallen,” zegt Allman. “Voor de gemiddelde gebruiker is phishing een veel groter probleem.”

“Het is al weer een aantal jaar geleden dat we een grote worm hebben gezien die het internet lam legt, en daar is een aantal goede redenen voor. Denk bijvoorbeeld aan het groeiende aantal NAT-routers en personal firewalls, waardoor het voor een worm moeilijker wordt te scannen zoals de Morris-worm dat deed,” zegt Bellovin.

Maar de Morris-worm wierp wel een schaduw vooruit; jaren later waren het de distributed denial-of-service (DOS) aanvallen die door overbelasting systemen van het net af stootten.

“Voor die tijd was er simpelweg nog nooit een beveiligingsprobleem van dergelijke omvang geweest,” zegt Spafford. “Het was het eerste grote computergerelateerde denial-of-service probleem. En het was ook het eerste probleem dat over meerdere platforms heen kruiste, want Morris viel zowel Berkeley Unix als Sun-systemen aan, en in die zin kun je zeggen dat we sindsdien weinig vergelijkbare incidenten hebben gezien. De meeste beveiligingsproblemen concentreren zich op het platform van een enkele leverancier.”

Volgens Spafford vertoont de Morris-worm overeenkomsten met de bot-netwerken van tegenwoordig, waarin grote hoeveelheden gecompromitteerde computers worden misbruikt om spam te versturen. “De software die systemen in zombies verandert en ze toevoegt aan bot-netwerken, functioneert in feite net als een trage worm,” zegt Spafford. “Het verzoorzaakt geen denial-of-service, maar het infiltreert wel gestaag en het verspreidt zich automatisch naar andere machines. Er zijn heel letterlijk miljoenen machines (sommigen schattingen zeggen zelfs 100 miljoen machines) die deel uitmaken van bot-netwerken.’

Terwijl de Morris-worm een aanval inzette die veel aandacht kreeg en grote delen van het internet plat legde, concentreren de internetaanvallen van vandaag de dag zich op individuele systemen, en doen ze hun best juist zo min mogelijk op te vallen. De nieuwsgierige studenten die in systemen inbreken ‘omdat dat stoer is’, hebben plaatsgemaakt voor criminelen die systemen infecteren met virussen die zijn ontworpen om onzichtbaar te blijven.

“Het doel van moderne internet-aanvallen is winst, en er zit geen winst in het neerhalen van het internet,” zegt Bellovin. “De moderne geraffineerde zware jongens zijn veel voorzichtiger in de manier waarop ze systemen aanvallen.”

Hoewel er inmiddels vele aanvallen zijn geweest die veel meer schade hebben veroorzaakt, wordt de Morris-worm nog steeds herinnerd om de impact die hij heeft gehad op de gemeenschap van computerwetenschappers. “Door de Morris-worm werd computerbeveiliging een serieus onderwerp,” zegt Allman. “Voor die tijd werkten er maar enkele mensen aan computerbeveiliging, en dat waren vooral codeurs, versleutelingsexperts. Het hele concept van computerbeveiliging als onderwerp van studie kreeg bestaansrecht door dit verschijnsel.”