Què és el cuc de Morris? Com un home va destruir accidentalment la web el 1988

El novembre de 1988, Robert Tappan Morris, fill del famós criptògraf Robert Morris Sr., era un estudiant de 20 estudiants de postgrau a Cornell que volia saber quina era la grandària d'Internet, és a dir, quants dispositius hi eren connectats. Així que va escriure un programa que viatjava des de l'ordinador a l'ordinador i demanava a cada màquina que tornés a enviar un senyal a un servidor de control, que continuaria comptant.

El programa va funcionar bé, de fet, bé. Morris havia sabut que si viatjava massa ràpid podrien haver-hi problemes, però els límits que va incorporar no eren suficients per evitar que el programa obstrués grans seccions d'Internet, copiant-se a màquines noves i enviant-los. Quan es va adonar del que estava passant, fins i tot els seus missatges que advertien als administradors del sistema sobre el problema no podien superar-los.

El seu programa es va convertir en el primer d'un determinat tipus de ciberataque anomenat "denegació de servei distribuïda", en el qual se'ls demana que un gran nombre de dispositius connectats a Internet, incloses ordinadors, càmeres web i altres aparells intel·ligents, enviïn trànsit a una adreça concreta., sobrecarregant-lo amb tanta activitat que el sistema s'apaga o les seves connexions de xarxa estan totalment bloquejades.

Com a president del programa integrat d’Internet de la Universitat de Indiana, puc informar que aquests tipus d’atacs són cada vegada més freqüents. En molts sentits, el programa de Morris, conegut per la història com el "cuc de Morris", va crear l'escenari per a les vulnerabilitats crucials i potencialment devastadores del que jo i els altres hem anomenat la "Internet de tot".

Desembalatge del cuc de Morris

Els cucs i els virus són similars, però diferents d'una manera clau: un virus necessita un comandament extern, des d'un usuari o un hacker, per executar el seu programa. Un cuc, per contra, toca el terra corrent tot sol. Per exemple, fins i tot si mai no obriu el programa de correu electrònic, un cuc que surt al’ordinador pot enviar per correu electrònic una còpia d’ell mateix a tots els que hi ha a la vostra llibreta d’adreça.

En una època en què poca gent estava preocupada pel programari maliciós i ningú no tenia programari de protecció instal·lat, el cuc de Morris es va estendre ràpidament. Els investigadors de Purdue i Berkeley van trigar 72 hores a aturar el cuc. En aquest moment, va infectar desenes de milers de sistemes, aproximadament el 10% dels ordinadors a Internet. La neteja de la infecció costava centenars o milers de dòlars per a cada màquina afectada.

En el crit de l'atenció dels mitjans sobre aquest primer esdeveniment d'aquest tipus, la confusió va ser intensa. Alguns periodistes van preguntar fins i tot si la gent podia detectar la infecció per ordinador. Lamentablement, molts periodistes en conjunt no s’han assimilat molt més al tema durant les dècades següents.

Morris no estava tractant de destruir Internet, però els efectes generalitzats del cuc van ser el que va ser processat sota la llavors nova llei de frau i abús informàtic. Va ser condemnat a tres anys de llibertat condicional i una multa aproximadament de 10.000 dòlars. A finals de la dècada de 1990, però, es va convertir en un dot-com milionari i ara és professor al MIT.

Amenaces en alça

Internet continua sent objecte d’atacs DDoS molt més freqüents –i més infundits–. Amb més de 20 mil milions de dispositius de tot tipus, des de frigorífics i cotxes fins a seguidors d’aptituds, connectats a Internet i milions de persones que es connecten setmanalment, el nombre de fallades i vulnerabilitats de seguretat s’està explotant.

A l'octubre de 2016, un atac DDoS que utilitzava milers de webcams segrestades, sovint utilitzat per a vigilància o monitors de nadons, va tancar l'accés a diversos serveis d'Internet importants al llarg de la costa oriental dels Estats Units. Aquest esdeveniment va ser la culminació d’una sèrie d’atacs cada vegada més perjudicials amb una botnet o una xarxa de dispositius compromesos, controlat per un programari anomenat Mirai. L’Internet d’actualitat és molt més gran, però no gaire més segur, que l’internet de 1988.

Algunes coses han empitjorat. Esbrinar qui està darrere d’atacs particulars no és tan fàcil com esperar que aquesta persona es preocupi i enviï notes d’excusa i advertiments, com va fer Morris el 1988. En alguns casos, els que són prou grans com per poder investigar completament, és possible identificar els culpables. Finalment, es va trobar que un trio d’universitaris va crear Mirai per obtenir avantatges quan es jugava Minecraft joc d'ordinador.

Lluitar contra atacs DDoS

Però les eines tecnològiques no són suficients, i tampoc no són lleis ni regulacions sobre l’activitat en línia, inclosa la llei per la qual Morris va ser acusada. Les desenes d’estats estatals i federals sobre ciberdelictes sobre els llibres encara no semblen reduir el nombre total o la gravetat dels atacs, en part a causa de la naturalesa global del problema.

Hi ha alguns esforços en marxa al Congrés per permetre que les víctimes d’atac en alguns casos participin en mesures de defensa actives: una noció que inclou una sèrie de desavantatges, inclòs el risc d’ampliació, i que requereixi una millor seguretat per als dispositius connectats a Internet. Però el pas està lluny de ser assegurat.

Hi ha motius d’esperança, però. Després del cuc de Morris, la Universitat Carnegie Mellon va establir el primer equip mundial de resposta a emergències cibernètiques, que ha estat replicat al govern federal i arreu del món. Alguns responsables polítics estan parlant d’establir una junta de seguretat nacional sobre ciberseguretat, investigar les debilitats digitals i formular recomanacions, de la mateixa manera que la National Transportation Safety Board fa les catàstrofes dels avions.

Més organitzacions també estan prenent mesures preventives, adoptant les millors pràctiques en seguretat cibernètica a mesura que construeixen els seus sistemes, en comptes d'esperar que passi un problema i tracti de netejar després. Si més organitzacions consideressin la ciberseguretat com un element important de la responsabilitat social de les empreses, ells -i el seu personal, clients i socis comercials- serien més segurs.

In 3001: The Final Odyssey, l’autor de ciència ficció Arthur C. Clarke preveia un futur on la humanitat segellés la pitjor de les seves armes en una volta de lluna, que incloïa espai per als virus informàtics més malignes mai creats. Abans de la propera iteració del cuc de Morris o Mirai fa un dany incalculable a la societat de la informació moderna, depèn de tothom –tots els governs, les empreses i els individus– establir normes i programes que donin suport a la ciberseguretat generalitzada, sense esperar altres 30 anys.

Aquest article va ser publicat originalment a The Conversation de Scott Shackelford. Llegiu l'article original aquí.