1988年的这一周,康奈尔大学研究生罗伯特·塔潘·莫里斯(Robert Tappan Morris)向互联网释放了以其姓氏命名的蠕虫病毒。24小时内感染范围迅速蔓延至整个互联网的10%,造成的损失在当时堪称天文数字。不过据联邦调查局(FBI)回顾称,这款具有开创性的莫里斯蠕虫(Morris worm)恶意软件并非出于恶意设计,其本意是测算互联网规模,最终却演变成意外后果的典型案例。
据熟悉莫里斯的人透露,这位素来爱搞恶作剧的天才在释放其“无害”程序时必然已预感到不祥。证据在于其传播方式——“他通过纽约伊萨卡市的康奈尔大学终端入侵麻省理工学院计算机完成释放”。该蠕虫采用C语言编写,专门攻击VAX和Sun-3等BSD UNIX系统,具体而言“利用了互联网电子邮件系统的后门及用于识别网络用户的‘finger’程序漏洞”。与计算机病毒不同,莫里斯设计的蠕虫无需宿主程序即可自我复制并自主传播。
值得庆幸的是,莫里斯蠕虫并非为破坏文件而设计。但由于意外连锁反应,它仍引发大规模系统减速、信息传递延迟及频繁系统崩溃。为及时清除蠕虫,部分机构最终选择全系统格式化并断网长达一周。受影响的知名机构包括伯克利大学、哈佛大学、普林斯顿大学、斯坦福大学、约翰斯·霍普金斯大学、美国国家航空航天局(NASA)及劳伦斯利弗莫尔国家实验室。
专家紧急研发解决方案期间,蠕虫幕后黑手的身份逐渐浮出水面。莫里斯曾试图匿名解释并致歉,但友人无意间泄露其姓名首字母使其暴露。经FBI问讯与计算机文件分析,莫里斯最终被依据新颁布的《1986年计算机欺诈与滥用法案》起诉。1989年因轻罪出庭后,他被判处罚款、缓刑及400小时社区服务,未面临监禁。
回溯1988年11月,互联网形态与当今迥异——万维网尚未诞生,其核心架构NSFNET刚接替ARPANET成为新主干网,主要使命是将网络覆盖从军事防御机构扩展至学术界。当提及蠕虫导致互联网10%瘫痪时,同时代数据显示约6万台联网设备受影响,造成的损失预估介于10万至数百万美元之间。
计算机蠕虫至今仍是重大威胁——例如去年曝光的首代AI蠕虫“莫里斯二代”(Morris II)生成式人工智能蠕虫再度敲响警钟。
