Vào ngày này năm 1988, sâu Morris đã lây nhiễm 10% Internet chỉ trong 24 giờ

 (tomshardware.com)
2 điểm bởi GN⁺ 2025-11-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Cách đây 37 năm, một sâu máy tính do nghiên cứu sinh Đại học Cornell Robert Tappan Morris tạo ra đã lây nhiễm khoảng 10% số hệ thống trên toàn Internet trong vòng 24 giờ
  • Sâu này nhắm vào các hệ thống dựa trên BSD UNIX, phát tán bằng cách khai thác cửa hậu của hệ thống thư điện tử và lỗi trong chương trình finger
  • Dù không phá hủy tệp, nó đã gây ra quá tải hệ thống, chậm trễ và sập máy, buộc các trường đại học và viện nghiên cứu lớn phải tạm thời ngắt kết nối mạng
  • Sau cuộc điều tra của FBI, Morris bị truy tố vì vi phạm Đạo luật Computer Fraud and Abuse Act ban hành năm 1986, và bị phạt tiền, quản chế cùng lao động công ích
  • Vụ việc này được xem là điểm khởi đầu của kỷ nguyên an ninh mạng, đồng thời trở thành động lực để xây dựng các quy trình bảo vệ hạ tầng Internet và hệ thống ứng phó sau này

Sự xuất hiện và lan rộng của sâu Morris

  • Năm 1988, một chương trình do nghiên cứu sinh Đại học Cornell Robert Tappan Morris viết để đo quy mô Internet đã lan ra ngoài dự kiến
    • Theo hồi tưởng của FBI, đây là kết quả của một "lỗi lập trình" chứ không phải ý đồ ác ý
    • Trong vòng 24 giờ, sâu đã lây nhiễm khoảng 10% số hệ thống trên Internet, gây thiệt hại cực lớn theo tiêu chuẩn thời bấy giờ
  • Morris đã xâm nhập máy tính của MIT để phát tán sâu từ một thiết bị đầu cuối ở Cornell
    • FBI cho biết điều này cho thấy ông cố tình tạo tính ẩn danh cho mình
  • Sâu được viết bằng ngôn ngữ C và tấn công các hệ thống BSD UNIX như VAXSun-3
    • Nó xâm nhập bằng cách lợi dụng cửa hậu của hệ thống thư điện tửlỗi của chương trình finger
    • Nó có khả năng tự sao chép và tự lan truyền mà không cần chương trình chủ

Thiệt hại và ứng phó

  • Dù không xóa tệp, sâu đã gây ra quá tải hệ thống, chậm trễ thông điệp và sự cố treo/crash, dẫn tới tê liệt mạng
    • Một số tổ chức đã phải khởi tạo lại toàn bộ hệ thống và ngắt mạng trong một tuần để loại bỏ sâu
  • Các tổ chức bị lây nhiễm gồm Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA, Lawrence Livermore Laboratory và nhiều nơi khác
  • Truyền thông khi đó đưa tin đây là sự cố an ninh Internet quy mô lớn đầu tiên

Truy tìm thủ phạm và kết quả pháp lý

  • Trong lúc các chuyên gia tiến hành khôi phục, việc truy tìm tác giả của sâu cũng được thực hiện song song
    • FBI xác định Morris là thủ phạm thông qua phân tích tệp và phỏng vấn
  • Morris từng định xin lỗi một cách ẩn danh, nhưng danh tính bị lộ vì sai sót ở phần chữ cái đầu tên của một người bạn
  • Ông bị truy tố theo Computer Fraud and Abuse Act (CFAA) ban hành năm 1986
    • Năm 1989, tòa án tuyên phạt tiền, quản chế và 400 giờ lao động công ích

Môi trường Internet thời đó

  • Năm 1988, Internet khi đó dựa trên NSFNET, một cấu trúc mạng học thuật mở rộng từ ARPANET vốn tập trung cho mục đích quân sự và quốc phòng
    • World Wide Web (WWW) khi đó vẫn chưa tồn tại
  • Số hệ thống được kết nối khi đó vào khoảng 60.000, trong đó ước tính 6.000 máy đã bị lây nhiễm
  • Quy mô thiệt hại được ước tính từ 100.000 USD đến vài triệu USD
  • NSFNET bị ngừng hoạt động vào năm 1995, sau đó chuyển sang Internet thương mại

Ảnh hưởng và di sản về sau

  • Sâu Morris được xem là bước ngoặt của an ninh mạng, mở đường cho việc xây dựng quy trình bảo mật và hệ thống ứng phó sau này
  • Bài viết cũng nhắc tới sâu dựa trên AI "Morris II" xuất hiện gần đây, cho thấy quá trình tiến hóa của sâu máy tính vẫn tiếp diễn
  • Trong phần bình luận gốc, những người từng quản lý mạng thời đó đã hồi tưởng về tắc nghẽn lưu lượng, gián đoạn mail relay và gián đoạn hợp tác
    • Một số người cho rằng sự kiện này đã dẫn tới sự suy yếu của văn hóa hợp tác dựa trên niềm tin trên Internet
  • Sâu Morris, với tư cách là sự cố mạng quy mô lớn đầu tiên của thời kỳ trước Web, vẫn được ghi nhớ như điểm khởi đầu của ngành công nghiệp bảo mật hiện đại

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-05
Ý kiến Hacker News

  • Paul Graham nói rằng con số “tỷ lệ lây nhiễm 10%” khi đó hoàn toàn là phỏng đoán
    Ai đó đoán rằng có khoảng 60.000 máy tính kết nối Internet, rồi lại suy ra rằng 10% trong số đó hẳn đã bị lây nhiễm

    • Trong 60.000 máy đó, phần lớn rất có thể không phải là host thực sự đang kết nối mà là hệ thống kết nối khẩn cấp dựa trên UUCP
      Vào thời đó, 60.000 máy có thể truy cập bằng telnet là một con số khá lớn. Khi ấy tôi cũng đang ở cuối tuổi teen, và xin Chúa ban phước cho PG

  • Tôi đã học môn hệ thống phân tán 6.5840 của MIT và hoàn thành phần thực hành qua video bài giảng trên YouTube
    Trong lúc tò mò tìm tên giáo sư, tôi mới biết ông ấy là một nhân vật huyền thoại đến mức nào. Đó thực sự là một khóa học tuyệt vời

    • Ở MIT, RTM từng là trợ giảng của tôi. Một trong các bài tập có liên quan đến con sâu, và đến lúc đó sinh viên mới nhận ra rằng anh ấy chính là nhân vật trung tâm của con sâu đó
      Nhưng anh ấy hầu như không nhắc gì về chuyện đó
    • Cha của ông ấy cũng là một nhân vật nổi tiếng, từng là nhà khoa học trưởng của NSA
    • Sẽ thú vị nếu bổ sung một buổi hack hệ thống phân tán theo phong cách năm 1988
    • Tôi cũng đang nghe khóa đó như một sở thích. Trước đây tôi không biết ông ấy là ai nên thấy rất bất ngờ
      Khóa học hay đến mức sau khi học xong tôi bắt đầu tò mò không biết ông ấy đã làm gì tiếp theo

  • Chương trình của Morris không có ác ý, nhưng rốt cuộc nó đã trở thành bước ngoặt trong lịch sử an ninh mạng
    Nguồn gốc của nghiên cứu bảo mật, red team và văn hóa gray hat ngày nay đều bắt đầu từ sự kiện đó

  • Một tài liệu hay về sự kiện này là bài trên CACM With Microscope and Tweezers: The Worm from MIT's Perspective (PDF)
    Năm 1988 tôi là thực tập sinh tại IBM, và công ty đã chặn hai gateway mạng
    Khi đó, khái niệm phần mềm tự sao chép vẫn còn rất xa lạ. IBM cũng từng gặp một chương trình tự sao chép là Christmas Tree EXEC vào năm trước đó

    • Nhưng virus phát tán qua floppy thì đã lan rất phổ biến rồi

  • Khi còn vận hành hệ thống tại MIT, hôm đó thực sự là một ngày vừa đáng sợ vừa phấn khích

    • Trưởng bộ phận kỹ thuật của chúng tôi chạy đến báo tin về con sâu, và tôi nghe rằng lý do đất nước chúng tôi tránh được thiệt hại là vì có một người đã ngắt kết nối vật lý với toàn bộ Internet. Khi đó chỉ có đúng một đường kết nối duy nhất
    • Hôm đó Usenet yên ắng đến lạ. Tòa nhà kỹ thuật cũng vậy
    • WPI không bị lây nhiễm vì máy chính là Encore Multimax và DEC-20
    • Tôi đang ở phòng máy của Stanford, và có thể cảm nhận hệ thống dần trở nên cực kỳ chậm chạp

  • Theo Wikipedia, Clifford Stoll có nhắc trong The Cuckoo’s Egg rằng Morris đã làm việc cùng bạn bè ở Harvard
    Tôi tự hỏi liệu Paul Graham có từng nói gì về chuyện này không

    • PG đã nói về việc này trong một cuộc phỏng vấn (liên kết)
      Bản thân con sâu vô hại nhưng có lỗi, khiến hàng trăm bản sao chạy trên cùng một máy tính và làm hệ thống sập
    • PG cũng đã nhắc đến sự kiện này vài lần trong các bài luận của mình (liên kết tìm kiếm)
    • Trong The Cuckoo’s Egg, có cảnh tác giả đến thăm Robert Morris của NSA (người cha), rồi sau đó mới nhắc đến con sâu và người con trai

  • Thuật ngữ “worm” bắt nguồn từ tiểu thuyết khoa học viễn tưởng năm 1975 The Shockwave Rider (liên kết wiki)

    • Trong tiểu thuyết đó, con sâu có vai trò công khai thông tin bí mật ra thế giới, còn ngày nay Wikileaks đang đảm nhiệm vai trò đó

  • Tôi nghĩ Paul Graham đã liên quan trực tiếp đến sự kiện này
    Nếu được dựng thành phim, vai trò của ông ấy chắc đủ lớn để một diễn viên nổi tiếng đảm nhận (bài HN liên quan)

    • Tôi đã được hỏi vì sao lại nghĩ như vậy

  • Khi đó tôi làm lập trình viên hệ thống tại Purdue Engineering Computer Network
    Chúng tôi đã tùy biến OS nên tránh được một phần lây nhiễm của con sâu, nhưng lỗ hổng chế độ debug của sendmail vẫn là vấn đề

    • Sự đa dạng hệ thống chính là cốt lõi của bảo mật. Dù khó quản lý hơn, nó mang lại khả năng phòng thủ vững chắc hơn nhiều
    • Tôi tự hỏi hồi đó KSB có ở đó không. Đúng là một người rất thú vị

  • Tôi đã mong có giải thích kỹ thuật về cách con sâu hoạt động và vì sao nó thất bại, nhưng lại không thấy nên khá thất vọng
    Cuối cùng tôi phải lên Wikipedia để tra cứu