วันนี้เมื่อปี 1988 หนอน Morris แพร่เชื้อไปยัง 10% ของอินเทอร์เน็ตภายใน 24 ชั่วโมง

 (tomshardware.com)
2 คะแนน โดย GN⁺ 2025-11-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อ 37 ปีก่อน หนอนคอมพิวเตอร์ที่สร้างโดย Robert Tappan Morris นักศึกษาบัณฑิตศึกษาจากมหาวิทยาลัยคอร์เนลล์ ได้ แพร่เชื้อไปยังระบบราว 10% ของอินเทอร์เน็ตทั้งหมดภายใน 24 ชั่วโมง
  • หนอนนี้มุ่งเป้าไปที่ ระบบที่ใช้ BSD UNIX และแพร่กระจายด้วยการใช้ประโยชน์จาก แบ็กดอร์ของระบบอีเมลและบั๊กของโปรแกรม finger
  • แม้จะไม่ได้ทำลายไฟล์ แต่ก็ทำให้เกิด ระบบโอเวอร์โหลด ความล่าช้า และการล่ม จนมหาวิทยาลัยและสถาบันวิจัยหลักหลายแห่งต้อง ตัดเครือข่ายชั่วคราว
  • จากการสืบสวนของ FBI ทำให้ Morris ถูกตั้งข้อหาฝ่าฝืน Computer Fraud and Abuse Act ที่ประกาศใช้ในปี 1986 และถูกลงโทษเป็นค่าปรับ คุมประพฤติ และบริการสังคม
  • เหตุการณ์นี้ถูกประเมินว่าเป็น จุดเริ่มต้นของยุคไซเบอร์ซีเคียวริตี้ และกลายเป็นแรงผลักดันให้มีการสร้างขั้นตอนปกป้องโครงสร้างพื้นฐานอินเทอร์เน็ตและระบบรับมือในเวลาต่อมา

การปรากฏตัวและการแพร่กระจายของหนอน Morris

  • ในปี 1988 โปรแกรมที่ Robert Tappan Morris นักศึกษาบัณฑิตศึกษาจากมหาวิทยาลัยคอร์เนลล์สร้างขึ้นเพื่อวัดขนาดของอินเทอร์เน็ต ได้แพร่กระจายออกไปโดยไม่คาดคิด
    • ตามบันทึกย้อนหลังของ FBI ผลลัพธ์นี้เกิดจาก "ความผิดพลาดในการเขียนโปรแกรม" ไม่ใช่เจตนาร้าย
    • หนอนได้แพร่เชื้อไปยังระบบราว 10% ของอินเทอร์เน็ต ภายใน 24 ชั่วโมง ก่อให้เกิดความเสียหายอย่างมหาศาลเมื่อเทียบกับยุคนั้น
  • Morris ใช้เครื่องปลายทางของมหาวิทยาลัยคอร์เนลล์ แฮ็กคอมพิวเตอร์ของ MIT เพื่อปล่อยหนอน
    • FBI อธิบายว่านี่แสดงให้เห็นว่าเขาพยายามรักษาความไม่เปิดเผยตัวตนโดยเจตนา
  • หนอนนี้ เขียนด้วยภาษา C และโจมตีระบบ BSD UNIX เช่น VAX และ Sun-3
    • มันเจาะระบบด้วยการใช้ แบ็กดอร์ของระบบอีเมล และ บั๊กของโปรแกรม finger
    • มันสามารถ คัดลอกตัวเองและแพร่กระจายได้เอง โดยไม่ต้องมีโปรแกรมโฮสต์

ความเสียหายและการรับมือ

  • หนอนไม่ได้ลบไฟล์ แต่ก่อให้เกิด ระบบโอเวอร์โหลด ข้อความล่าช้า และการแครช จนทำให้เครือข่ายเป็นอัมพาต
    • บางหน่วยงานต้อง รีเซ็ตระบบทั้งหมดและตัดเครือข่าย เป็นเวลาหนึ่งสัปดาห์เพื่อกำจัดหนอน
  • หน่วยงานที่ติดเชื้อรวมถึง Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA และ Lawrence Livermore Laboratory
  • สื่อมวลชนรายงานว่านี่คือ เหตุการณ์ความปลอดภัยอินเทอร์เน็ตขนาดใหญ่ครั้งแรก

การตามล่าตัวผู้ก่อเหตุและผลทางกฎหมาย

  • ระหว่างที่ผู้เชี่ยวชาญกำลังดำเนินการกู้คืนระบบ ก็มีการติดตามตัวผู้สร้างหนอนไปพร้อมกัน
    • FBI ยืนยันว่า Morris คือผู้ก่อเหตุผ่าน การวิเคราะห์ไฟล์และการสัมภาษณ์
  • Morris พยายามขอโทษโดยไม่เปิดเผยตัวตน แต่ตัวตนถูกเปิดโปงเพราะ ความผิดพลาดเรื่องชื่อย่อ ของเพื่อน
  • เขาถูกตั้งข้อหาฝ่าฝืน Computer Fraud and Abuse Act (CFAA) ที่ประกาศใช้ในปี 1986
    • ในปี 1989 ศาลมีคำสั่งให้ จ่ายค่าปรับ คุมประพฤติ และทำบริการสังคม 400 ชั่วโมง

สภาพแวดล้อมของอินเทอร์เน็ตในเวลานั้น

  • ในปี 1988 อินเทอร์เน็ตในขณะนั้นมีพื้นฐานอยู่บน NSFNET ซึ่งเป็น โครงสร้างเครือข่ายเชิงวิชาการ ที่ขยายต่อจาก ARPANET ซึ่งเน้นงานด้านทหารและการป้องกันประเทศ
    • ตอนนั้น World Wide Web (WWW) ยังไม่มีอยู่
  • คาดว่ามีระบบที่เชื่อมต่ออยู่ราว 60,000 เครื่อง และในนั้นมี 6,000 เครื่องที่ติดเชื้อ
  • มูลค่าความเสียหายถูกประเมินไว้ที่ 100,000 ดอลลาร์ถึงหลายล้านดอลลาร์
  • NSFNET ถูกยกเลิกในปี 1995 และหลังจากนั้นจึงเปลี่ยนผ่านไปสู่ อินเทอร์เน็ตเชิงพาณิชย์

อิทธิพลและมรดกที่ตามมา

  • หนอน Morris ถูกมองว่าเป็น จุดเปลี่ยนของไซเบอร์ซีเคียวริตี้ และเป็นแรงผลักดันให้เกิดการสร้าง ขั้นตอนด้านความปลอดภัยและระบบรับมือ ในเวลาต่อมา
  • บทความยังกล่าวถึง หนอนที่ใช้ AI ชื่อ 'Morris II' ที่เพิ่งปรากฏขึ้นไม่นานนี้ เพื่อชี้ให้เห็นว่าวิวัฒนาการของหนอนยังคงดำเนินต่อไป
  • ในคอมเมนต์ของต้นฉบับ ผู้ที่เคยดูแลเครือข่ายในยุคนั้นได้ย้อนความทรงจำถึง การจราจรเครือข่ายติดขัด เมลรีเลย์หยุดทำงาน และการทำงานร่วมกันที่สะดุด
    • บางคนกล่าวว่าเหตุการณ์นี้นำไปสู่การอ่อนแอลงของ วัฒนธรรมความร่วมมือบนฐานความไว้วางใจ ของอินเทอร์เน็ต
  • หนอน Morris คือ อุบัติเหตุไซเบอร์ขนาดใหญ่ครั้งแรกในยุคก่อนเว็บ และยังคงถูกจดจำว่าเป็นจุดเริ่มต้นของอุตสาหกรรมความปลอดภัยสมัยใหม่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-11-05
ความคิดเห็นจาก Hacker News

  • Paul Graham บอกว่าตัวเลข “ติดเชื้อ 10%” ในตอนนั้นเป็นเพียงการคาดเดาล้วน ๆ
    มีคนเดาว่ามีคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตราว 60,000 เครื่อง แล้วก็ประเมินว่าคงติดเชื้อไป 10%

    • ใน 60,000 เครื่องนั้น ส่วนใหญ่อาจไม่ใช่โฮสต์ที่เชื่อมต่ออยู่จริง แต่เป็น ระบบเชื่อมต่อฉุกเฉินแบบอิง UUCP มากกว่า
      ในยุคนั้น การจะมีเครื่อง 60,000 เครื่องที่เข้าได้ผ่าน telnet ถือว่าเยอะมาก ฉันเองตอนนั้นก็ยังอยู่ช่วงปลายวัยรุ่น และขอให้พระเจ้าอวยพร PG

  • ฉันเคยเรียนวิชา distributed systems ของ MIT 6.5840 และทำแล็บจาก วิดีโอบรรยายบน YouTube จนจบ
    พอด้วยความอยากรู้เลยไปค้นชื่ออาจารย์ ถึงได้รู้ว่าเขาเป็น บุคคลระดับตำนาน แค่ไหน เป็นคอร์สที่ยอดเยี่ยมจริง ๆ

    • ตอนฉันอยู่ MIT, RTM เป็นผู้ช่วยสอนของฉัน งานชิ้นหนึ่งเกี่ยวกับเวิร์ม และนั่นเองที่ทำให้นักศึกษาเพิ่งรู้ว่าเขาคือ เจ้าของเวิร์มตัวนั้น
      แต่เขาแทบไม่พูดถึงเรื่องนั้นเลย
    • พ่อของเขาเองก็เป็นบุคคลดังเช่นกัน ในฐานะ หัวหน้านักวิทยาศาสตร์ ของ NSA
    • ถ้าเพิ่มเซสชันแฮ็ก distributed systems แบบฉบับปี 1988 เข้าไปก็น่าจะสนุกดี
    • ตอนนี้ฉันก็กำลังฟังคอร์สนั้นเป็นงานอดิเรกเหมือนกัน ไม่รู้มาก่อนว่าเขาเป็นใคร เลยค่อนข้างตกใจ
      คอร์สดีมากจนอยากรู้เลยว่าหลังจากเรียนจบแล้วเขาไปทำอะไรต่อ

  • โปรแกรมของ Morris ไม่ได้มีเจตนาร้าย แต่สุดท้ายมันก็กลายเป็น จุดเปลี่ยนในประวัติศาสตร์ไซเบอร์ซีเคียวริตี้
    รากของงานวิจัยด้านความปลอดภัยในปัจจุบัน วัฒนธรรม red team และ gray hat ล้วนสืบย้อนไปถึงเหตุการณ์นั้นได้

  • มีเอกสารดี ๆ เกี่ยวกับเหตุการณ์ครั้งนั้นคือ With Microscope and Tweezers: The Worm from MIT's Perspective ที่ตีพิมพ์ใน CACM (PDF)
    ฉันเป็นอินเทิร์นของ IBM ในปี 1988 และบริษัทได้ปิดกั้น network gateway ไปสองตัว
    ตอนนั้นแนวคิดเรื่อง ซอฟต์แวร์จำลองตัวเอง ยังเป็นสิ่งที่แปลกใหม่มาก IBM เองก็เคยเจอโปรแกรมจำลองตัวเองอย่าง Christmas Tree EXEC มาก่อนในปีก่อนหน้านั้น

    • แต่ไวรัสที่แพร่ผ่านฟลอปปีดิสก์นั้นแพร่กันทั่วไปอยู่แล้ว

  • ตอนที่ฉันดูแลระบบอยู่ที่ MIT วันนั้นเป็นวันที่ทั้ง น่ากลัวและน่าตื่นเต้นมาก

    • หัวหน้าฝ่ายเทคนิคของเราวิ่งเข้ามาบอกข่าวเรื่องเวิร์ม และฉันได้ยินว่าที่ประเทศของเรารอดมาได้เพราะมีคนคนหนึ่ง ตัดการเชื่อมต่อทั้งอินเทอร์เน็ตออกทางกายภาพ ตอนนั้นมีสายเชื่อมต่ออยู่เส้นเดียวเท่านั้น
    • วันนั้น Usenet เงียบผิดปกติมาก เช่นเดียวกับอาคารวิศวกรรม
    • WPI ไม่ติดเชื้อเพราะเครื่องหลักเป็น Encore Multimax กับ DEC-20
    • ฉันอยู่ในห้องแล็บคอมพิวเตอร์ของ Stanford และรู้สึกได้ว่าระบบเริ่ม ช้าลงอย่างรุนแรง

  • ตาม Wikipedia, Clifford Stoll พูดไว้ใน The Cuckoo’s Egg ว่า Morris ทำงานร่วมกับเพื่อน ๆ จาก Harvard
    ฉันเลยสงสัยว่า Paul Graham เคยพูดถึงเรื่องนี้บ้างไหม

    • PG เคยเล่าเรื่องนี้ในบทสัมภาษณ์ (ลิงก์)
      เขาบอกว่าเวิร์มเองนั้น ไม่เป็นอันตรายแต่มีบั๊ก จนทำให้มีสำเนาหลายร้อยตัวรันอยู่บนคอมพิวเตอร์เครื่องเดียวและทำให้ระบบล่ม
    • PG ก็เคยพูดถึงเหตุการณ์นี้หลายครั้งในเอสเซย์ของเขาเช่นกัน (ลิงก์ค้นหา)
    • ใน The Cuckoo’s Egg มีฉากที่ผู้เขียนไปพบ Robert Morris แห่ง NSA (ผู้เป็นพ่อ) และหลังจากนั้นจึงมีการกล่าวถึงเรื่องเวิร์มกับลูกชายของเขา

  • คำว่า “worm” มีต้นกำเนิดมาจากนิยายวิทยาศาสตร์ปี 1975 เรื่อง The Shockwave Rider (ลิงก์วิกิ)

    • เวิร์มในนิยายเรื่องนั้นมีหน้าที่เปิดเผยข้อมูลลับต่อสาธารณะ ซึ่งทุกวันนี้ Wikileaks เข้ามารับบทบาทนั้นแทน

  • ฉันคิดว่า Paul Graham มีส่วนเกี่ยวข้องโดยตรง กับเหตุการณ์นี้
    ถ้าสร้างเป็นภาพยนตร์ บทของเขาน่าจะถึงขั้นต้องให้ดาราดังมาเล่นเลยทีเดียว (โพสต์ HN ที่เกี่ยวข้อง)

    • มีคนถามกลับว่าทำไมถึงคิดแบบนั้น

  • ตอนนั้นฉันทำงานเป็น system programmer ที่ Purdue Engineering Computer Network
    เราปรับแต่ง OS เลยรอดจากการติดเชื้อของเวิร์มบางส่วนได้ แต่ ช่องโหว่ sendmail debug mode ก็ยังเป็นปัญหาอยู่

    • ความหลากหลายของระบบคือ หัวใจของความปลอดภัย แม้จะดูแลยากกว่า แต่ก็ให้การป้องกันที่แข็งแรงกว่ามาก
    • สมัยนั้น KSB ก็อยู่ด้วยหรือเปล่า สุดยอดคนที่น่าสนุกจริง ๆ

  • ฉันคาดหวังว่าจะได้เห็น คำอธิบายเชิงเทคนิค เกี่ยวกับวิธีทำงานของเวิร์มและสาเหตุที่มันล้มเหลว แต่กลับไม่มี เลยค่อนข้างเสียดาย
    สุดท้ายก็ต้องไปเปิด Wikipedia เอง