Heute vor 1988 infizierte der Morris-Wurm in nur 24 Stunden 10 % des Internets

 (tomshardware.com)
2 Punkte von GN⁺ 2025-11-05 | 1 Kommentare | Auf WhatsApp teilen
  • Vor 37 Jahren infizierte ein vom Cornell-Doktoranden Robert Tappan Morris entwickelter Computerwurm innerhalb von 24 Stunden rund 10 % aller Systeme im gesamten Internet
  • Der Wurm zielte auf BSD-UNIX-basierte Systeme und verbreitete sich durch Ausnutzung einer Backdoor im E-Mail-System und eines Bugs im Programm finger
  • Er zerstörte keine Dateien, verursachte aber Systemüberlastung, Verzögerungen und Ausfälle, weshalb große Universitäten und Forschungseinrichtungen ihre Netzwerke vorübergehend abschalteten
  • Nach FBI-Ermittlungen wurde Morris wegen Verstoßes gegen den Computer Fraud and Abuse Act von 1986 angeklagt und zu Geldstrafe, Bewährung und gemeinnütziger Arbeit verurteilt
  • Der Vorfall gilt als Ausgangspunkt des Cybersicherheitszeitalters und gab später den Anstoß zum Aufbau von Schutzverfahren und Reaktionssystemen für die Internetinfrastruktur

Auftreten und Ausbreitung des Morris-Wurms

  • 1988 breitete sich ein von dem Cornell-Doktoranden Robert Tappan Morris entwickeltes Programm zur Messung der Größe des Internets unerwartet aus
    • Laut einem FBI-Rückblick war dies keine böswillige Absicht, sondern das Ergebnis eines „Programmierfehlers“
    • Der Wurm infizierte innerhalb von 24 Stunden rund 10 % der Systeme im Internet und verursachte nach damaligen Maßstäben enorme Schäden
  • Morris verteilte den Wurm, indem er von einem Cornell-Terminal aus einen MIT-Computer hackte
    • Das FBI erklärte, er habe so bewusst versucht, seine Anonymität zu sichern
  • Der Wurm war in C geschrieben und griff BSD-UNIX-Systeme wie VAX und Sun-3 an
    • Zur Infiltration nutzte er eine Backdoor im E-Mail-System und einen Bug im Programm finger
    • Er konnte sich selbst replizieren und autonom verbreiten – ohne Host-Programm

Schäden und Reaktion

  • Der Wurm löschte keine Dateien, verursachte jedoch Systemüberlastung, Nachrichtenverzögerungen und Abstürze und führte so zu Netzwerkausfällen
    • Einige Einrichtungen setzten zur Entfernung des Wurms eine vollständige Neuinitialisierung der Systeme und eine Netztrennung für eine Woche um
  • Zu den betroffenen Einrichtungen gehörten Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA und das Lawrence Livermore Laboratory
  • Die Medien berichteten darüber als über den ersten groß angelegten Internet-Sicherheitsvorfall

Fahndung nach dem Täter und juristische Folgen

  • Während Experten an der Wiederherstellung arbeiteten, lief parallel die Suche nach dem Urheber des Wurms
    • Das FBI identifizierte Morris durch Dateianalyse und Interviews als Täter
  • Morris versuchte, sich anonym zu entschuldigen, doch ein Fehler bei den Initialen eines Freundes enthüllte seine Identität
  • Er wurde wegen Verstoßes gegen den Computer Fraud and Abuse Act (CFAA) von 1986 angeklagt
    • 1989 verhängte das Gericht eine Geldstrafe, Bewährung und 400 Stunden gemeinnützige Arbeit

Die damalige Internet-Umgebung

  • 1988 basierte das Internet auf NSFNET, einer akademischen Netzwerkstruktur, die aus dem militärisch und verteidigungsorientierten ARPANET erweitert worden war
    • Das World Wide Web (WWW) existierte noch nicht
  • Damals waren etwa 60.000 Systeme verbunden, von denen schätzungsweise 6.000 infiziert wurden
  • Das Schadensausmaß wurde auf 100.000 Dollar bis mehrere Millionen Dollar geschätzt
  • NSFNET wurde 1995 eingestellt und danach in das kommerzielle Internet überführt

Spätere Auswirkungen und Vermächtnis

  • Der Morris-Wurm gilt als Wendepunkt der Cybersicherheit und gab später den Anstoß zum Aufbau von Sicherheitsverfahren und Reaktionssystemen
  • Der Artikel erwähnt den kürzlich aufgetauchten KI-basierten Wurm „Morris II“ und weist darauf hin, dass die Evolution von Würmern weitergeht
  • In den Kommentaren zum Original erinnerten sich damalige Netzwerkadministratoren an Verkehrsstaus, unterbrochene Mail-Relays und gestörte Zusammenarbeit
    • Einige merkten an, das Ereignis habe zu einer Schwächung der vertrauensbasierten Kooperationskultur des Internets geführt
  • Der Morris-Wurm bleibt als erster groß angelegter Cybervorfall der Vor-Web-Ära und als Ausgangspunkt der modernen Sicherheitsbranche in Erinnerung

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-05
Hacker-News-Kommentare

  • Paul Graham sagte, die damalige Angabe von „10 % Infektionsrate“ sei völlig spekulativ gewesen.
    Jemand habe vermutet, dass etwa 60.000 Computer mit dem Internet verbunden waren, und dann geschätzt, dass davon 10 % infiziert worden seien.

    • Von diesen 60.000 seien die meisten wahrscheinlich keine tatsächlich verbundenen Hosts gewesen, sondern UUCP-basierte Einwahl-/Notfall-Verbindungssysteme.
      60.000 per Telnet erreichbare Rechner wären damals eine ziemlich große Zahl gewesen. Ich war zu der Zeit selbst in meinen späten Teenagerjahren, und Gottes Segen für PG.

  • Ich habe die MIT-Vorlesung zu verteilten Systemen 6.5840 besucht und die Übungen mit den YouTube-Vorlesungsvideos abgeschlossen.
    Aus Neugier habe ich den Namen des Professors gesucht und dabei herausgefunden, was für eine legendäre Persönlichkeit er ist. Es war wirklich eine großartige Vorlesung.

    • Am MIT war RTM mein Tutor. Eine der Aufgaben hatte mit dem Wurm zu tun, und erst dadurch bemerkten die Studierenden, dass er genau der Mann hinter diesem Wurm war.
      Er selbst erwähnte die Sache allerdings kaum.
    • Sein Vater war ebenfalls eine bekannte Persönlichkeit, als Chief Scientist der NSA.
    • Es wäre lustig, wenn man eine Hacking-Session zu verteilten Systemen im Stil von 1988 hinzufügen würde.
    • Ich höre diese Vorlesung gerade auch aus Interesse. Ich wusste nicht, wer er war, und war überrascht.
      Die Vorlesung ist so gut, dass ich neugierig bin, was er nach dem Kurs gemacht hat.

  • Morris’ Programm war nicht böswillig gemeint, wurde aber letztlich zu einem Wendepunkt in der Geschichte der Cybersicherheit.
    Die Wurzeln der heutigen Sicherheitsforschung sowie der Red-Team- und Gray-Hat-Kultur gehen auf dieses Ereignis zurück.

  • Ein gutes Material zu dem Vorfall ist With Microscope and Tweezers: The Worm from MIT's Perspective in CACM (PDF).
    Ich war 1988 IBM-Praktikant, und das Unternehmen kappte zwei Netzwerk-Gateways.
    Das Konzept selbstreplizierender Software war damals noch sehr ungewohnt. IBM hatte im Jahr davor bereits ein selbstreplizierendes Programm namens Christmas Tree EXEC erlebt.

    • Allerdings waren Disketten-basierte Viren damals schon weit verbreitet.

  • Als ich am MIT Systeme betrieb, war dieser Tag wirklich beängstigend und zugleich aufregend.

    • Unser technischer Leiter kam angerannt und erzählte vom Wurm; ich hörte, dass unser Land nur deshalb verschont blieb, weil eine Person das gesamte Internet physisch getrennt hatte. Damals gab es nur eine einzige Verbindung.
    • Usenet war an diesem Tag ungewöhnlich still. In den Ingenieurgebäuden war es genauso.
    • WPI blieb uninfiziert, weil die Hauptmaschinen Encore Multimax und DEC-20 waren.
    • Ich war in einem Computerraum in Stanford und merkte, wie das System immer extrem langsamer wurde.

  • Laut Wikipedia erwähnt Clifford Stoll in The Cuckoo’s Egg, dass Morris zusammen mit Freunden in Harvard daran gearbeitet habe.
    Ich habe mich gefragt, ob Paul Graham sich dazu jemals geäußert hat.

    • PG sprach darüber in einem Interview (Link).
      Der Wurm selbst sei harmlos gewesen, aber durch einen Bug liefen auf einem einzelnen Rechner Hunderte Kopien gleichzeitig, wodurch die Systeme ausfielen.
    • PG erwähnte den Vorfall auch einige Male in seinen Essays (Suchlink).
    • In The Cuckoo’s Egg gibt es eine Szene, in der der Autor Robert Morris von der NSA (den Vater) besucht; danach werden der Wurm und der Sohn erwähnt.

  • Der Begriff „worm“ stammt aus dem Science-Fiction-Roman The Shockwave Rider von 1975 (Wiki-Link).

    • In dem Roman hatte der Wurm die Aufgabe, geheime Informationen öffentlich zu machen; heute übernimmt Wikileaks gewissermaßen diese Rolle.

  • Ich denke, dass Paul Graham direkt mit diesem Vorfall verbunden war.
    Wenn das verfilmt würde, könnte seine Rolle von einem berühmten Schauspieler gespielt werden (zugehöriger HN-Beitrag).

    • Ich wurde gefragt, warum ich das denke.

  • Ich arbeitete damals als Systemprogrammierer im Purdue Engineering Computer Network.
    Durch OS-Anpassungen konnten wir einige Infektionen durch den Wurm vermeiden, aber die Schwachstelle im sendmail-Debug-Modus blieb ein Problem.

    • Systemvielfalt ist der Kern von Sicherheit. Sie ist schwieriger zu verwalten, bietet aber eine deutlich robustere Verteidigung.
    • Ich frage mich, ob es damals auch KSB gab. Er war wirklich eine interessante Person.

  • Ich hatte auf eine technische Erklärung gehofft, wie der Wurm funktionierte und warum er scheiterte, aber die fehlte leider.
    Am Ende habe ich deshalb bei Wikipedia nachgesehen.