震撼世界的“蠕虫”病毒案

1、. .震撼世界的“蠕虫病毒案一、“蠕虫病毒案案情简介 罗伯特·莫瑞斯Robert T·Morris, Jr.是美国康奈尔大学Cornell University的学生，年仅23岁。1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫Worm 程序送进互联网。他原本希望这个“无害的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，并且悄悄地呆在那里，不为人知。然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。待到莫瑞斯发现情况不妙时，他已经无能为力了，他无法终止这个进程。据说，莫瑞斯曾请哈佛大学的一位朋友

2、在Arpanet网上发了一条关于这个蠕虫程序的警报，但由于Arpanet网络已超载，几乎没有什么人注意到或承受到这条信息。于是，小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，袭击了庞大的互联网，其速度是惊人的。表12-1 可以大致反映蠕虫侵袭的时间顺序表中的时间为美国东部标准时间，Eastern Standard Time。 Harold Joseph, “Random Bits & Bytes, puter & Security, 1989.8., Highland.表12-1蠕虫侵袭互联网时间表日期时间蠕虫侵袭进度一九八八年十一月二日星期三17：00纽约康奈

3、尔大学检测出蠕虫21：00加里福尼亚的斯坦福大学和兰德公司的系统中发现蠕虫22：00加州大学Berkeley分校被蠕虫攻击23：00新泽西州普林斯顿大学数学系遭受蠕虫袭击23：00麻省理工学院人工智能实验室发现蠕虫23：28 加州大学Davis分校和San Diego分校、加州的Lawrence Livermore实验室、美国航空航天署NASA被蠕虫击中23：45美国陆军弹道研究实验室发现蠕虫一九八八年十一月三日星期四01：0015台Arpanet网络的主机报揭露现蠕虫02：00在麻省的哈佛大学发现蠕虫03；30蠕虫入侵麻省理工学院计算中心04；00由于网络超载，病毒传播速度减慢，但大约有10

4、00个场地的主机已经遭到袭击05：15宾夕法尼亚的匹兹堡大学发现蠕虫08：00Smithsonian空间物理中心被蠕虫袭击15：00蠕虫解毒软件分发给受侵单位和个人21；00在麻省理工学院举行第一次有关蠕虫的记者招待会 莫瑞斯的蠕虫一夜之间攻击了互联网上约6200台VAX系列小型机和Sun工作站，300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告。DCA的一位发言人宣称，蠕虫不仅攻击了Arpanet系统，而且攻击了军用的MILNET网中的几台主机。大量数据被破坏，整个经济损失估计达9600万美元。图12-1反映了蠕虫病毒破坏轨迹。图12-1 蠕虫破坏轨迹示意图“互联网事件发生后，美国各种

5、新闻媒介大肆宣扬。"纽约时报"、"华盛顿邮报"、"今天"等各大报刊连续两周报道了事件的发生、造成的损失、各界人士的反映和肇事者的情况。一时间满城风雨，人心惶惶。在此之前，大多数计算机用户对计算机及网络的平安性还是很有信心的，“互联网事件对广阔用户的这种信心无疑是一次沉重的打击。“互联网事件同样也极大地震惊了计算机平安人员与其他专业人员。在莫瑞斯的蠕虫大举进攻之际，许多网络管理员、平安专家和研究人员急迫而又灰心，他们甚至不敢相信眼前正在发生的事情。有一份介绍蠕虫攻击情况的报告是这样开头的：“现在是1988年1月3日清晨3点5分。我很累了

6、，所以请不要相信下面描述的任何事情。 Harold Joseph, “Random Bits & Bytes, puter & Security, 1989.8, Highland.“互联网事件确实是一场灾难，但决不是象某些报刊所说的是“计算机系统的末日。事实上，去除病毒的工作开展得相当迅速。11月2日星期三发现病毒，到星期四晚上就公布了一个消毒方案；到周末，病毒已经被控制住了。随后，美国国防部在Carnegie-Mellon大学的软件工程学院建立了一个由100名计算机专家组成的应急小组，专门研究国防部门计算机系统对计算机病毒攻击的防卫问题，并及时了解互联网的平安情况。可以说，

7、“互联网事件为计算机平安专家敲响了警钟，使之成为研究部门最迫切的研究课题。 在谈及“互联网事件的影响时，我们自然回想到那巨大的经济损失和艰巨的消毒劳动，也会想到专家们对计算机平安问题的困惑和用户对计算机系统的可靠性的担忧，这是事件影响的一个方面。事件影响的另外两个方面那么更加重要：第一，计算机病毒研究作为一项专门研究，从此登上计算机科学领域的舞台；第二，计算机法puter Law的软弱无力引起社会的普遍关注。“互联网事件使得美国人不得不成认，计算机法的普及与计算机科学的开展极不平衡，人们对利用计算机病毒犯罪的看法非常混乱，许多人甚至对此根本没有认识。“互联网事件后，所有的报道都认为，肇事者莫瑞

8、斯编写蠕虫程序并非出自恶意，莫瑞斯本人或许直到被推上法庭也不认为自己是犯了罪。事件公布后，公众对莫瑞斯的态度多种多样：有人愤愤然认为他犯了弥天大罪，法庭应当绞死他；有人爱惜其才华不能不成认，莫瑞斯编制的蠕虫程序具有极高的技巧，认为这样的青年是国家的财富；也有人持折中态度，认为莫瑞斯犯了错误，但不至于被投进监狱。种种言论都反映了计算机法律观念的淡薄，暴露了计算机法律管理中的问题和漏洞。 有趣的是，莫瑞斯是美国政府高级计算机平安专家的儿子，其父是致力于计算机平安研究的美国国家计算机平安局的主要科学家。莫瑞斯从中学起兴趣就转向了计算机，17岁在贝尔Bell实验室工作，接着参加哈佛大学计算机方案，在其

9、心理学计算中心当程序员，随后考入康奈尔大学计算机系学习。雄厚的计算机根底使莫瑞斯具备了制造计算机病毒的能力。不管莫瑞斯当初编制蠕虫程序的用意是什么，“互联网事件造成的损失是既成事实。莫瑞斯于1989年7月被推上美国地方法庭。二、“蠕虫病毒案法庭辩论的焦点 在对莫瑞斯的审判中，遇到了许多新问题。由于陪审团成员都是由居住在其管辖区的选举人随机地选出来的，很少有人了解计算机的专业知识，依据一些报告进展审理时，陪审团被计算机专家和辩护律师所使用的计算机术语搞得晕头转向。法庭辩论的焦点集中在以下几个问题：1. 蠕虫是不是计算机病毒？ 计算机专家对蠕虫程序有三种见解： 蠕虫就是病毒。许多人认为，蠕虫是一种

10、病毒，它具有计算机病毒的一般特征，如传染性、攻击性、破坏性等。 蠕虫是不同于一般病毒的被动性病毒。有的专家认为，自从科恩Frederick B·Cohen1984年发表有关病毒的研究成果以来，计算机病毒已开展成两个不同的类型：主动型和被动型。主动型病毒直接损伤和破坏计算机系统，勒海病毒Lehigh和巴基斯坦病毒Pakistani Brain是主动型病毒的例子。被动型病毒栖身于后台，它窃取某些程序的口令字，冒充合法用户将病毒程序拷贝到远程计算机中，利用原有的活动天窗 天窗是嵌在操作系统里的一段致病软件。渗透者利用该软件提供的方法侵入计算机系统而不经检测。天窗由专门的命令激活，一般不会有

11、人发现它。天窗是操作系统中可供渗透的一个缺陷，它可能是程序设计人员预留的，也可能是操作系统生产厂家不道德的雇员装入的。参见Karger, P. A. and Schell, R. R., “Multilevel Security Evaluation: Vulnerability Analysis , ESD-TR-74-193, Vol. 2, 1974. 收集信息以攻击系统。蠕虫病毒是被动型病毒的例子。 蠕虫不是病毒。以美国著名计算机专家M"斯图尔特"莱因 MStuart Lynn为首的技术调查委员会发表的调查报告中断定，莫瑞斯所写的程序从技术上讲不是病毒，而是一种揭露

12、性的攻击程序。因为病毒对计算机的攻击是非法使用计算机用户的正常操作程序，而蠕虫程序的运行却要借助于计算机操作系统本身的错误和漏洞。莫瑞斯的蠕虫揭露了计算机系统的弱点，这些弱点是由于人为疏忽或技术落后造成的。 首先，设计网络的电子信件的编程人员，保存了一个秘密的“后门，他可以很容易地读写到其工作关注的目标。当编程人员完成任务以后，他忘记关闭这个“后门。他设计这个“后门是为了读写那些管理人员不允许读写的程序。莫瑞斯发现了这个秘密的“后门并方便地进入。与此相类似，系统还存在其它的秘密入口，这些入口还会被其他攻击者所揭露。 其次，莫瑞斯蠕虫揭露Arpanet计算机网络中的一个大漏洞。Arpanet网络

13、中的Finger程序允许用户在远处的计算机上了解近期在其它网络计算机上工作的用户的情况。莫瑞斯利用了这一程序漏洞，窥探他冲破计算机平安机制的方法。Finger程序的缺陷众所周知，如果一个很长的信息发送给Finger的话，可以使用户读取军事基地中央控制程序。剖析过莫瑞斯蠕虫程序的计算机专家声称：莫瑞斯蠕虫程序编程技巧非凡，它巧妙地利用Arpanet网络的三个平安程序。2. 莫瑞斯制造蠕虫的动机 1986年美国"伪造设备和计算机诈骗与滥用法"所规定的定罪标准是指成心地或有意地从事法律规定的那些行为。如果不是“有意地便不能定罪，莫瑞斯一案争论最剧烈的地方也正在于此。 在辩护总结中

14、，莫瑞斯的辩护律师托马斯·吉多鲍尼Thomas Guidoboni 向陪审团陈述，他成认莫瑞斯制造了病毒，并在Internet 网中传播，但莫瑞斯不是有意地使任何计算机陷于瘫痪，并且也不是有意地去进展传播，与此同时他还尽力去限制蠕虫的继续复制。当莫瑞斯准备检查他的程序进展时，他发现网络已经过载，不能读取监控器，也不能中止他的程序。他马上请求在哈佛大学的朋友在Arpanet网络上发出警报和指示如何阻止蠕虫。虽然由于网络严重过载电子公告只有很少人收到。吉多鲍尼又讲，莫瑞斯制造这个病毒是其进展的计算机平安方面试验的一局部。蠕虫所引起的损坏不是永久性的，并且在设计时，莫瑞斯没有设计让病毒进展

15、永久性的破坏。Unix操作系统环境中，系统用户具有读写被保护的数据和文件的特权，可以读写网络的其它计算机，具有通过计算机系统读、写、删除文件的能力。莫瑞斯蠕虫通过获取系统用户的特权，传播蠕虫自身到网络中的其它计算机中，同时也可以对数据和程序文件做更严重的破坏动作。但莫瑞斯蠕虫没有做，用户唯一感受到的损害是计算机合法程序的处理速度显著放慢。由此可见，莫瑞斯设计蠕虫时，似乎没有使之具有消灭性的意图。 联邦法官霍华德·芒森Howard Munson却指出，莫瑞斯是在他作为康涅尔大学的一名计算机科学研究生时制造出蠕虫的，并使用蠕虫袭击全美计算机的一局部。他完全了解计算机病毒的危害性。美国司法

16、部司法官马克·拉希Mark Rasch 说：“莫瑞斯花费了许多时间，下了很大功夫来研究方案这次袭击，这个蠕虫被设计成尽可能多地进入他人的计算机系统中，并以编程的方式来隐藏自己，挫败被侵袭方。 康涅尔大学计算机系的一位研究员迪安·克拉尔Dean Krall 证实说，他已经在莫瑞斯所在大学中使用的计算机的*目录中发现了至少三个蠕虫变体。在法庭调查中克拉尔陈诉到，在进展程序设计时，莫瑞斯将程序包含了控制复制本身速度的码。3. 莫瑞斯蠕虫造成的经济损失 在莫瑞斯受审之前，新闻媒介对莫瑞斯蠕虫造成的损失情况做了大量的夸X性的报道。某些报刊认为，受害网络是传送敏感数据和*数据的。另有一

17、些报刊声称蠕虫损坏了珍贵的研究数据，其价值难以估量。技术界对此有不同的看法：美国计算机病毒协会的约翰·麦卡菲John McAfee报告说，蠕虫引起的损失大约为9600万美元。哈佛大学的克利夫·斯托尔Cliff Stohl认为损失不超过100万美元。 Purdue 大学的吉恩·斯帕福德Gene Spafford那么估计损失仅有20万美元。 某些观察家注意到，大学院校受蠕虫侵害较之其它单位为重。局部机关的白班工作人员离开之后，没有关机，蠕虫击中了他们的计算机。许多第二班的工作人员不想或不会处理紧急事件，这是被击中的主要原因之一。网络的某些节点，在接收到有关警告信息或注

18、意到计算机出现问题后，立即停顿了使用。由于网络过载，运行速度减缓，很多计算机未发现异常。 检查官反复强调与Internet 网连接的计算机常常从事关键性的研究工作，而蠕虫程序却将之阻塞几个小时以至于不能正常工作。 莫瑞斯的辩护律师对此反驳说，互联网使用面极广，如交换个人信息，写爱情信和玩游戏等，所破坏的程序并不都是非常重要的信息。4. 莫瑞斯蠕虫造成的社会后果 一些曾经与蠕虫日夜奋战的计算机管理人员在作证时表示了极大的愤怒：对许多学者和研究人员来说，蠕虫是一场大灾难。它消耗了大量珍贵的工作时间，增加了额外负担，遗失了他们的研究成果，延误了他们的研究进度。 但是，一些计算机平安专家认为，蠕虫是计

19、算机潜在的易受攻击的最重要的证明。如果蠕虫的袭击促使计算机主人采取积极的措施防御未来的攻击，那么，蠕虫的后果将是极为有益的。 莫瑞斯的辩护律师认为，计算机病毒的存在是计算机本身的特性所决定的，它将随着计算机的存在而存在，这一点是不随人们的意志而转移的。从这一意义上来说，我们应当感谢莫瑞斯。正是他的出色的蠕虫，使人们更深刻地认识到计算机平安的重要性，也使得人们明白他们以往高度信任的计算机竟然是那么地不堪一击。莫瑞斯帮助人们认识到计算机系统本身的脆弱性，这有助于计算机平安技术的开展，他非但无罪，甚至是有功的。 莫瑞斯由于使Arpanet 网络崩溃而成为最著名的攻击者。他在受到法庭的审判的同时，也受到一些人的尊崇。由于他的能力，莫瑞斯被哈佛大学Aiken中心授予“超级用户的特权。计算机攻击者的双重人格被表现的淋漓至尽，一方面是国家的不可多得的人才，另一方面又是令国家头疼的人物。三、“蠕虫病毒案的最后判决 根据一些资料的记载，美国法院根据"伪造设备和计算机诈骗与滥用法"对莫瑞斯进展的审判主要是从以下几个方面考虑的：是否有意地、未