Morris蠕蟲病毒30年:意外開啟的潘多拉盒
1988年11月,羅伯特·塔潘·莫里斯(Robert Tappan Morris,著名密碼學家Robert Morris Sr.的兒子)當時還是康奈爾大學20多歲的研究生。
某天,他想知道網際網路有多大——也就是連線了多少臺裝置。
於是他編寫了一個程式,可以在計算機間傳播,並要求每臺機器將訊號傳送回控制伺服器,以進行計數,非常簡潔的方案。
1988年11月2日該程式被從麻省理工學院(MIT)施放到網際網路上(不知是否是要掩蓋自己在康奈爾)。
程式執行的效果非常好,其實是太好了以致莫里斯自己很快無法控制,出現了恐慌。
短短12小時內,超過6200臺採用Unix作業系統的SUN工作站和VAX小型機癱瘓或半癱瘓,其中涉及NASA、各主要大學以及未被披露的美國軍事基地,不計其數的資料和資料毀於這一夜之間。
普渡和伯克利大學的研究人員花了72個小時來制止這種蠕蟲。
30年前的網際網路可以說被莫里斯不小心搞出來的“小東西”徹底癱瘓了。
(Morris蠕蟲病毒原始碼,只有99行)
蠕蟲傳播機制上的程式設計錯誤把一個可能是無害的智力練習變成了災難。
最初的網路蠕蟲設計目的是當網路空閒時,程式就在計算機間“遊蕩”而不帶來任何損害。當有機器負荷過重時,該程式可以從空閒計算機“借取資源”而達到網路的負載平衡。
蠕蟲在入侵一臺計算機之前會查詢其是否已經被感染,但這麼做會讓清除蠕蟲變得非常容易,只要設定一個程序在受到查詢時回答“是”就可以避免被感染。
為躲過這種防禦措施,莫里斯採用了“隨機性”作為對策:讓蠕蟲在得到“是”的回答時,仍按1/7的機率進行復制。
事實證明這種複製機率還是過高,蠕蟲的傳播非常迅速,重複感染了一些計算機,而每次感染都會造成計算機執行變慢直至無法使用。
Morris後來表示:他本應該先在模擬環境中試一下的。
1990年,莫里斯被判3年緩刑、400小時社群服務及1萬美元罰金。
不過大神的傳奇才剛剛開始。
1995年,他與保羅·格雷厄姆(也被稱為矽谷創業之父)一起開發Viaweb;1998年以4900萬美元的價格賣給了雅虎,隨後被更名為Yahoo! Store。
1999年,他成為之前上傳蠕蟲病毒地點——MIT的助理教授。
2005年,他與保羅·格雷厄姆一起建立了著名風投Y Combinator。
意外開啟的潘多拉魔盒
莫里斯事件震驚了美國社會乃至整個世界,“黑客”這一形象也正式走入大眾眼中;而同時被意外開啟的潘多拉魔盒還有: DDoS “分散式拒絕服務” 。
Morris蠕蟲病毒是第一種被稱為“分散式拒絕服務”的網路攻擊,指使用包括計算機、網路攝像頭和其他智慧小工具在內的大量網際網路連線裝置向一個特定地址傳送大量流量,通過超載使系統關閉或其網路連線被完全阻止。
目前有超過200億裝置,從冰箱、汽車到健身追蹤器等等,連線到了網際網路,而每週還在以數百萬的速度增加;但與此同時,這些裝置的安全漏洞數量也在爆炸性增長。
2016年10月,使用數千個被劫持的網路攝像頭(通常用於安全或嬰兒監視器)的DDoS攻擊使得美國東西部大面積斷網,導致Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問,美國主要公共服務、社交平臺、民眾網路服務癱瘓,還差點影響了美國大選。
該事件是使用殭屍網路進行攻擊的高潮,而罪魁禍首是一款名為Mirai的軟體。
隨後調查發現,引發大規模破壞的Mirai病毒與30年前的Morris蠕蟲一樣具有戲劇性,或偶然: 只是三名大學生為了在玩Minecraft時獲得優勢而創造了Mirai。
這三人分別是帕拉斯-傑哈、約西亞-懷特和道爾頓-諾曼:懷特建立了Mirai Telnet掃描器;傑哈建立了Mirai殭屍網路的核心基礎設施,並開發了這款惡意軟體的遠端控制功能;諾曼開發了新漏洞利用。
三人的初始動機是攻擊線上遊戲《我的世界》(Minecraft)的伺服器。
身懷利刃,殺心自起。這三位哥們後來也越走越遠。
這三人在黑客論壇上宣傳Mirai殭屍網路,提供DDoS攻擊租用服務;傑哈還使用Mirai殭屍網路企圖勒索托管公司。
三人利用Mirai殭屍網路發起攻擊,針對法國託管提供商OVH的DDoS攻擊的流量峰值高達1.1 Tbps,針對託管DNS提供商Dyn的DDoS攻擊使約26%的網際網路站點陷入癱瘓。
Mirai一時名聲大噪。
2014年11月~2016年9月,傑哈還對其母校羅格斯大學(Rutgers University)發起多起DDoS攻擊。
最嚴重的是,傑哈將Mirai的原始碼公開到了網上,其它惡意軟體開發人員因此建立了大量克隆變種。
2017年,三人被FBI逮捕(360在調查中也提供了幫助)。
打擊DDoS
隨著技術的發展,網際網路的攻防也日新月異,到底是道高一尺還是魔高一丈,在此不多說,僅對與本文提到的Morris蠕蟲病毒有關的稍微提一下。
在莫里斯蠕蟲病毒數週之後,卡內基梅隆大學建立了世界上第一個網路應急響應小組。
1990年,國際網路安全合作組織FIRST(Forum of Incident Response and Security Teams)正式成立。它是由資訊保安和應急小組組成的全球性組織,其中包括政府、商業組織和學術部門的產品安全團隊。
目前FIRST有379個小組,分佈在全球81個國家中(其中美國有77個小組,而中國只有5個;詳情見 ofollow,noindex" target="_blank">https://www.first.org/members/map )。
(FIRST組織成員,顏色越深的國家,資訊保安應急小組數量越多)
從那時起,FIRST一直是打擊網路犯罪和國際合作的重要機構。