SIKKERHET

Ormen slo ut internett og skapte panikk for 30 år siden: – Kom helt uventet

Alt lå nede i flere dager. Erfaringene førte til opprettelsen av CERT.

Kildekoden til ormen er i dag en museumsgjenstand lagret på diskett.
Kildekoden til ormen er i dag en museumsgjenstand lagret på diskett. Foto: Intell Free Press, creative commons / Flickr
2. nov. 2018 - 16:00

Det første dataviruset som spredte seg over Arpanet, forløperen til internett, dukket opp for ganske nøyaktig 30 år siden.

Robert Morris har hevdet at han utviklet ormen for å måle størrelsen på internett. Etter domfellelsen fikk han en blomstrende karriere. <i>Foto:  MIT</i>
Robert Morris har hevdet at han utviklet ormen for å måle størrelsen på internett. Etter domfellelsen fikk han en blomstrende karriere. Foto:  MIT

Morris er navnet på skadevaren som skapte det reneste kaos. Det antas at om lag 10 prosent av verdens 60.000 Unix-baserte servere ble infisert den gangen, 2. november 1988.

Hendelsen er historisk av flere årsaker. Ormens opphav, Robert J. Morris jr, den gangen en 23-årig informatikkstudent, ble som en av de første dømt for datakriminalitet i en amerikansk domstol. Straffen lød på 400 timers samfunnstjeneste, tre års prøvetid og en bot på drøyt 10.000 dollar.

Utbruddet ble også utløsende for opprettelsen av det første Computer Emergency Response Team (CERT), en type overvåkningssentral mot dataangrep som siden er blitt utbredt både nasjonalt og for ulike sektorer verden over.

Vellykket karriere

Morris fullførte senere utdannelsen og startet en vellykket og innbringende karriere som IT-gründer, investor og foreleser. Han tok også en doktorgrad i nettverksteknikk ved prestisjeuniversitetet Harvard.

Robert Morris (nå 52 år gammel) har siden 1999 vært universitetslektor ved MIT. Han er også medgründer av en av verdens mest kjente akseleratorer for tech-oppstartsbedrifter, Y Combinator.

Panikk og kaos: – Dette kom helt uventet

(NB! Resten av saken er hentet fra en artikkel digi.no skrev ved Morris-ormens 10-årsjubileum i 1998):

Ormen som spredde seg gjennom den amerikanske delen av nettet for nøyaktig ti år siden, var feilprogrammert. Den gjorde seg til kjenne ved at den kopierte seg selv på nytt og på nytt på hver maskin den hadde spredd seg til. Systemansvarlige merket at belastningen steg uten grunn, og etter en stund var det ingen ledige ressurser til normal drift.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Ormen  var programmert av en 23 år gammel student ved Cornell University, Robert J. Morris jr. Hans faderlige opphav var høyt på strå innen det amerikanske nasjonale sikkerhetsorganet NSA. Teorien er at unge Morris ville vise den eldre Morris at ikke alt faren holdt på med var like sikkert. Han sendte ut sitt eksperiment på en tid da nettet var en samling på rundt 60.000 Unix-baserte tjenere, hovedsakelig i USA.

– Det som forårsaket det egentlige krakket, var ikke at ti prosent av tjenerne ble lammet, sier forsker Gisle Hannemyr ved Institutt for Informatikk i Oslo. - Det avgjørende var at folk i panikk koplet maskinene fra nettet. Det lammet ikke bare nitti prosent av nettet. Det gjorde det også svært vanskelig for de systemansvarlige å kommunisere seg i mellom og fortelle hverandre hva de skulle gjøre for å avverge virkningene av ormen. De kjente hverandres e-post-adresser, men ikke hverandres telefonnummere.

Hannemyr forteller at denne erfaringen ga støtet til opprettelsen av CERT (Computer Emergency Response Team - responsteam mot dataulykker) som samler opplysninger om dataangrep og tilbyr et alternativt kommunikasjonsnettverk.

– Morris-ormen kom helt uventet, sier Hannemyr.

– På den tiden var nettet et «sted for gutta», og ingen trodde noen kunne rette slike angrep mot andre. I dag er vi langt mer forberedt, fordi vi ikke lenger er så naive. Vi vet at Internett må betraktes som et fiendtlig miljø, fordi det blant befolkningen også er ondsinnede elementer.

Få kodelinjer

I omfang var Morris-ormen på beskjedne 99 programlinjer. Den spredde seg fra maskin til maskin dels ved å utnytte hull i posthåndteringen til datidens Unix-versjoner for Sun og VAX, dels ved et enkelt system for å gjette passord med utgangspunkt i lister over brukernavn som den greide å oppspore på vertsmaskinen. Lettgjettede passord er stadig et populært fenomen blant hackere. CERT får jevnlig 30 til 35 henvendelser hver dag fra nettadministratorer som forteller om forsøk på datainnbrudd.

Fordi Morris-ormen var såpass enkel å oppdage, og ikke ondsinnet annet enn ved at programmeringsfeilen fikk den til å overbelaste vertsmaskinen, tok det bare noen dager før nettet var oppe igjen, noen grunnleggende erfaringer rikere. Morris ble stilt for retten og fikk en betinget dom på tre år. Han er siden tilgitt av internett-fellesskapet. Tidligere i år ble et selskap han var gründer i, Viaweb Inc., solgt til Yahoo! for 49 millioner dollar.

Trakk ut pluggen

8. november 1988 hadde Aftenposten et førstesideoppslag med overskriften «Forhindret norsk datakatastrofe». Under overskriften var et bilde av forskningsleder Pål Spilling i Teledirektoratet som «trakk ut kontakten og sparte norske forskningsmiljøer for svarte dataskjermer og millioner i ekstrautgifter».

– På den tiden var bare universitetene og noen få andre som Skrivervik Data og Norsk Regnesentral tilkoplet Arpanet. Kontakten gikk via Spillings ruter på Kjeller, og han koplet alle disse fra når han trakk pluggen, sier Hannemyr. - Nå kom jo aldri Morris-ormen til noe europeisk land, og undersøkelser viste at den var bevisst programmert for ikke å kunne forsere så store avstander som Atlanterhavet.

– Kan noe liknende skje igjen?

– Det eksisterer mange usikrede maskiner på Internett, og disse er sårbare. Noen av dem eies av prestisjefylte organisasjoner. Man vil helt klart oppleve vellykkede angrep. Men disse vil ikke kunne føre til en lammelse av tilsvarende omfang.

Hannemyr mener den norske debatten om datasikkerhet er kommet galt av sted

– Sentrale aktører som Datatilsynet nekter å se forskjellen på sikrede og usikrede maskiner, og generaliserer usikrede installasjoner til å gjelde hele Internett. Det er en helt uholdbar innstilling, og gjør at vi får en veldig spesiell debatt her i landet, avslutter han.

Les også? Denne filmen fikk store konsekvenser for USAs IT-sikkerhetspolitikk (Digi ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra