1988年的这一周,康奈尔大学研究生罗伯特·塔潘·莫里斯(Robert Tappan Morris)将同名蠕虫病毒释放在互联网上。感染潮在24小时内蔓延至整个互联网的10%,造成的损失在当时堪称天文数字。不过据联邦调查局(FBI)回顾称,这款开创性的莫里斯蠕虫(Morris worm)恶意软件并非出于恶意,而是旨在测量互联网规模,最终成为意外后果的典型案例。
据熟悉莫里斯的人透露,这位素来爱搞恶作剧的天才在释放“无害”程序时或许已预感不妙。证据显示其释放方式颇为隐蔽:“他从纽约伊萨卡的康奈尔大学终端入侵麻省理工学院(MIT)计算机完成投放。”
该蠕虫使用C语言编写,专门攻击BSD UNIX系统(如VAX和Sun-3机型)。FBI指出其“利用了互联网电子邮件系统的后门及识别网络用户的‘finger’程序漏洞”。与传统计算机病毒不同,莫里斯设计的蠕虫无需宿主程序即可自我复制并自主传播。
所幸该蠕虫未设计文件破坏功能。但由于连锁反应,仍引发大规模系统降速、讯息延迟与频繁崩溃。为及时清除病毒,部分机构被迫全盘重置系统,断网时长甚至达一周。
受影响的知名机构包括加州大学伯克利分校、哈佛大学、普林斯顿大学、斯坦福大学、约翰斯·霍普金斯大学、美国国家航空航天局(NASA)及劳伦斯利弗莫尔国家实验室。
专家紧急研发解决方案时,追查元凶的行动同步展开。FBI介入后,莫里斯虽试图匿名致歉,但其友人不慎提及姓名缩写令其暴露。经侦讯与计算机文件分析,莫里斯最终认罪,依据1986年新颁布的《计算机欺诈与滥用法案》被起诉。1989年庭审后,他被判处罚款、缓刑及400小时社区服务,未面临监禁。
回溯1988年11月,互联网形态与当今迥异——万维网尚未诞生。当时互联网主干网NSFNET刚接替ARPANET,主要使命是将网络从军事国防机构延伸至学术领域。该网络于1995年退役,由私营互联网服务提供商构建的商业互联网取代。
因此当谈及10%网络瘫痪时,实指约6万台联网设备中6000台受感染。首例蠕虫传播造成的损失估计在10万至数百万美元之间。此类威胁至今仍令人警惕,例如去年曝光的首代人工智能蠕虫莫里斯二代(Morris II)生成式AI蠕虫。
