Morris Solucanı Nedir? 1988'de Bir Adam Yanlışlıkla Web'i Nasıl Yıktı?

1988 yılının Kasım ayında, ünlü kriptografi yazarı Robert Morris Sr.'nin oğlu Robert Tappan Morris, Cornell'de internetin ne kadar büyük olduğunu, yani kaç tane cihazın bağlı olduğunu bilmek isteyen 20 kişilik bir yüksek lisans öğrencisiydi. Bu yüzden bilgisayardan bilgisayara seyahat edecek bir program yazdı ve her makineden kontrol sunucusuna bir sinyal göndermesini istedi;

Program iyi çalıştı - aslında çok iyi. Morris çok hızlı seyahat ederse sorun olabileceğini biliyordu, ancak oluşturduğu sınırların, programın internetin büyük bölümlerini tıkamasına, hem kendisini yeni makinelere kopyalamasına hem de bu ping'leri geri göndermesine engel olmak için yeterli olmadığını biliyordu. Neler olduğunu anladığında, sistem yöneticileri sorun hakkında uyarılarını bile alamadı.

Programı, “dağıtılmış hizmet reddi” olarak adlandırılan ve bilgisayar, web kamerası ve diğer akıllı aygıtlar da dahil olmak üzere çok sayıda İnternet'e bağlı cihazın belirli bir adrese çok fazla trafik gönderdiği söylenen belirli bir siber saldırı türünün ilki oldu., sistemin kapanması veya ağ bağlantılarının tamamen engellenmesi için çok fazla etkinlikle aşırı yükleme yapılması.

Entegre Indiana Üniversitesi Siber Güvenlik Programının başkanı olarak, bu tür saldırıların günümüzde giderek daha yaygın olduğunu bildiriyorum. Birçok yönden, Morris’in tarihe “Morris solucanı” olarak bilinen programı, ben ve başkalarının geleceğin “Her Şeyin İnterneti” dediği şeydeki kritik ve potansiyel olarak yıkıcı zayıflıklara sahne oldu.

Morris Solucanını Açmak

Solucanlar ve virüsler benzer, ancak bir anahtar yoldan farklı: Bir virüsün programını çalıştırmak için bir kullanıcıdan veya bilgisayar korsanından harici bir komuta ihtiyacı var. Bir solucan, aksine, zeminde kendi kendine koşan yere çarpar. Örneğin, e-posta programınızı asla açmasanız bile, bilgisayarınıza gelen bir solucan, bir kopyasını adres defterinizdeki herkese e-postayla gönderebilir.

Birkaç kişinin kötü niyetli yazılımlardan endişe duyduğu ve koruyucu yazılımın yüklenmediği bir dönemde, Morris solucanı hızla yayıldı. Purdue ve Berkeley'deki araştırmacıların solucanı durdurmaları 72 saat sürdü. O zamanlar, on binlerce sisteme virüs bulaşmıştı - o zamanlar bilgisayarların yüzde 10'u internette. Enfeksiyonu temizlemek, etkilenen her makine için yüzlerce veya binlerce dolara mal oldu.

Medyanın türünün bu ilk olayı üzerine olan ilgisinin yarattığı şaşkınlık içinde karışıklık çok yaygındı. Hatta bazı muhabirler insanların bilgisayar enfeksiyonunu yakalayıp yakalayamadıklarını bile sordular. Ne yazık ki, birçok gazeteci, on yıllardır konu hakkında daha fazla bilgi sahibi olmamıştır.

Morris interneti mahvetmeye çalışmıyordu, ancak solucanın yaygın etkileri, yeni Computer Dolandırıcılık ve Kötüye Kullanım Yasası altında yargılanmasına neden oldu. Üç yıl denetimli serbestlik ve kabaca 10.000 dolar para cezasına çarptırıldı. Yine de 1990'ların sonunda, bir nokta-com milyoner oldu - ve şimdi MIT'de profesör.

Yükselen Tehditler

İnternet, çok daha sık - ve daha sakatlayıcı - DDoS saldırılarına maruz kalmaya devam ediyor. Buzdolabı ve arabadan fitness takipçisine, internete bağlı ve haftada bir kez daha milyonlarca bağlantı kurulmasına kadar her türden 20 milyardan fazla cihazla güvenlik açığı ve güvenlik açığı sayısı patlıyor.

Ekim 2016'da, çoğu zaman güvenlik veya bebek monitörleri için kullanılan binlerce kaçırılan web kamerasını kullanan bir DDoS saldırısı, ABD'nin doğu sahilindeki bir çok önemli internet hizmetine erişimi durdurdu. Bu olay, bir botnet veya Mirai adlı bir yazılım tarafından kontrol edilen, tehlikeli bir cihaz ağı kullanılarak artan bir dizi zarar veren saldırıların doruk noktasıydı. Bugünün interneti 1988’den çok daha büyük ama çok daha güvenli değil.

Bazı şeyler daha da kötüye gitti. Belirli saldırıların arkasında kimin olduğunu bulmak, o kişinin endişelenmesini ve özür notlarını ve uyarılarını göndermesini beklemek kadar kolay değil, Morris'in 1988'de yaptığı gibi. Bazı durumlarda - tam soruşturmaları hak edecek kadar büyük olanlar - tanımlamak mümkün suçlular. Sonunda, üniversite öğrencilerinin üçlüsünün, oynarken avantaj elde etmek için Mirai'yi yarattığı bulunmuştur. Minecraft bilgisayar oyunu.

DDoS Saldırıları ile Mücadele

Ancak teknolojik araçlar yeterli değildir ve Morris'in suçlandığı yasa da dahil olmak üzere çevrimiçi faaliyetlerle ilgili yasalar ve düzenlemeler de değildir. Kitaplardaki düzinelerce devlet ve federal siber suç tüzüğü, kısmen sorunun genel doğası nedeniyle, genel olarak saldırıların sayısını veya ciddiyetini azaltmadı.

Kongre'de, bazı durumlarda saldırı mağdurlarının aktif savunma önlemleri almalarına (tırmanma riski de dahil olmak üzere bir takım olumsuzluklara yol açan bir kavram) ve internete bağlı cihazlar için daha iyi bir güvenlik gerektirmesine ilişkin bir fikir vermeye yönelik bazı çabalar var. Ancak geçiş emin olmaktan uzak.

Yine de umut için bir neden var. Morris solucanının ardından, Carnegie Mellon Üniversitesi, federal hükümet ve tüm dünyada çoğaltılan dünyanın ilk Siber Acil Müdahale Ekibini kurdu. Bazı politika yapıcılar, ulusal zayıflıkları araştırmak ve Ulusal Ulaştırma Güvenliği Kurulunun uçak felaketlerinde olduğu gibi önerilerde bulunmak için ulusal bir siber güvenlik güvenlik kurulu oluşturmaktan bahsediyorlar.

Daha fazla kuruluş da, bir problemin olmasını beklemek ve daha sonra temizlik yapmaya çalışmak yerine, sistemlerini kurarken siber güvenlik alanında en iyi uygulamaları benimseyen önleyici eylemlerde bulunmaktadır. Eğer daha fazla kurum siber güvenliği kurumsal sosyal sorumluluğun önemli bir unsuru olarak görse, onlar - ve çalışanları, müşterileri ve iş ortakları - daha güvenli olacaktır.

İçinde 3001: Son Odyssey Bilim kurgu yazarı Arthur C. Clarke, insanlığın şimdiye kadar yaratılan en kötü bilgisayar virüslerine yer açan, aydaki bir kasada silahlarının en kötüsünü mühürlediği bir gelecek öngördü. Morris solucanının veya Mirai'nin bir sonraki yinelemesinden önce, modern bilgi toplumuna zarar vermeden önce, 30 yıl daha beklemeden yaygın siber güvenliği destekleyen kurallar ve programlar hazırlamak herkesin elindedir - hükümetler, şirketler ve bireyler.

Bu makale ilk olarak Scott Shackelford tarafından The Conversation'da yayınlandı. Orijinal makaleyi buradan okuyun.