莫里斯蠕虫的黑客获罪 造成的后果

当警方已侦破这一案件并认定莫里斯是闯下弥天大祸的“作者”时，纽约州法庭却迟迟难以对他定罪。在当时 ，对制造电脑病毒事件这类行为定罪，还是世界性的难题 。前苏联在1987年曾发生过汽车厂的电脑人员用病毒破坏生产线的事件
，法庭只能用“流氓罪 ”草草了事。

1990年5月5日，纽约地方法庭根据罗伯特·莫里斯设计病毒程序 ，造成包括国家航空和航天局 、军事基地和主要大学的计算机停止运行的重大事故
，判处莫里斯三年缓刑，罚款一万美金 ，义务为新区服务400小时
。莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远的是：黑客从此真正变黑
，黑客伦理失去约束，黑客传统开始中断 。大众对黑客的印象永远不可能回复
。而且 ，计算机病毒从此步入主流。

通常的说法是莫里斯蠕虫感染了大约6,000台Unix计算机 。Paul Graham 宣称：[3]

“这个统计数据炮制出来时我在场
，他们是这么算的：有人估计约有60,000台计算机连上了互联网，而蠕虫大概感染了其中的1/10
。”

美国的政府审计办公室估算出蠕虫造成的损失为1000万至1亿美元。

为了合作应对蠕虫感染的危机 ，Gene Spafford 创建了名为“噬菌体
”的邮件列表 。

莫里斯受到审判
，并被定罪违犯了1986年的《计算机欺诈及滥用法案》
。经过上诉，他被判3年缓刑
、400小时社区服务及10,000美元罚金。[4]

莫里斯蠕虫有时候也被称为“大虫”（Great Worm） ，原因是它对当时的互联网所造成的毁灭性影响，包括系统长时间宕机
，也包括担忧互联网的安全性、可靠性的心理冲击 。大虫这个称呼来源于托尔金小说中两条龙的名字：史卡沙和格劳龙
。[5]

大量的流量会阻塞inter服务器以及将其连接到其他系统的线路。

早在1988年11月，著名密码学家罗伯特·莫里斯的儿子罗伯特·塔潘·莫里斯（Robert Tappan Morris）是康奈尔大学20多岁的研究生 ，他想知道互联网有多大
，也就是说，有多少设备连接到互联网上 。所以他写了一个程序 ，从一台计算机到另一台计算机
，并要求每台计算机向控制服务器发送一个信号，这将保持计数。

这个程序工作得很好 ，事实上也很好
。莫里斯早就知道
，如果程序运行得太快，可能会出现问题 ，但他所设置的限制还不足以防止程序阻塞互联网的大部分区域
，既可以将程序自身复制到新机器上，也可以将这些ping发送回去。当他意识到发生了什么时 ，即使是他警告系统管理员关于这个问题的信息也无法通过 。

他的程序成为了第一个被称为“分布式拒绝服务 ”的特殊网络攻击，在这种攻击中
，包括计算机在内的大量互联网连接设备，网络摄像头和其他智能设备被要求向一个特定的地址发送大量流量 ，使其超载
，以至于系统关闭或网络连接被完全阻塞
。

作为印第安纳大学网络安全综合项目的主席，我可以报告 ，这种攻击在今天越来越频繁。在很多方面
，Morris的程序，被历史称为“Morris蠕虫
” ，为我和其他人所说的即将到来的“万维网”中的关键的 、潜在的破坏性漏洞奠定了基础 。

蠕虫和病毒是相似的
，但有一个关键点不同：病毒需要用户或黑客的外部命令来运行其程序
。相比之下，一只虫子却独自一人在地上奔跑。例如 ，即使你从未打开过你的电子邮件程序
，一个进入你的计算机的蠕虫可能会将它自己的副本通过电子邮件发送给你通讯簿中的每个人 。

在一个很少有人担心恶意软件，也没有人安装保护软件的时代 ，Morris蠕虫迅速传播开来
。普渡大学和伯克利大学的研究人员花了72小时才阻止了这种蠕虫。在那时，它感染了数万个系统
，约占当时互联网上计算机的10% 。清理感染的每台机器都要花费数百或数千美元
。

在媒体关注这类第一件事的喧嚣声中，混乱猖獗。一些记者甚至问人们是否能感染电脑 。可悲的是 ，在接下来的几十年里
，许多记者对这个话题的了解还不多。

莫里斯并没有试图摧毁互联网，但蠕虫的广泛影响导致他被起诉 ，根据当时新的《计算机欺诈和滥用法》
。他被判处三年缓刑和大约10000美元的罚款。不过
，在上世纪90年代末，他成为了一名网络百万富翁 ，现在是麻省理工学院的教授 。

互联网仍然受到更频繁
、更严重的DDoS攻击
。从冰箱、汽车到健身追踪器
，各类设备超过200亿台，连接到互联网 ，每周还有数百万台被连接
，安全缺陷和漏洞数量正在爆炸式增长。2016年10月，

 ，一次使用数千个被劫持的网络摄像头（通常用于安全或婴儿监视器）的DDoS攻击关闭了美国东部沿海地区一些重要互联网服务的访问 。这一事件是一系列使用僵尸网络（bot）或由被称为Mirai的软件控制的受损设备组成的网络进行的破坏性越来越大的攻击的 *** 
。今天的互联网比1988年的互联网要大得多，但安全性不高。

有些事情实际上变得更糟了 。找出谁是这次袭击的幕后黑手s不像莫里斯在1988年那样
，等那个人担心并发出道歉信和警告那样容易
。在某些情况下——那些足够大到值得进行全面调查的案件——有可能查明凶手。三名大学生最终被发现创建Mirai是为了在玩“Minecraft ”电脑游戏时获得优势 。

，但技术工具还不够 ，有关在线活动的法律法规也不够——包括莫里斯被指控的法律
。数十个州和联邦的网络犯罪法规似乎还没有减少攻击的总数或严重程度
，部分原因是由于问题的全球性。

国会正在努力允许攻击受害者在某些情况下采取积极的防御措施——这一概念带来了许多不利因素，包括升级的风险——并要求对连接互联网的设备提供更好的安全性 。但这一段还远未确定。

还有希望
。在“莫里斯蠕虫
”事件之后 ，卡内基梅隆大学成立了世界上第一支网络应急小组
，并在联邦 *** 和世界各地复制。一些政策制定者正在讨论建立一个国家网络安全委员会，调查数字弱点并提出建议 ，就像国家运输安全委员会处理飞机灾难一样 。

更多的组织也在采取预防措施
，在他们构建系统时采用网络安全方面的最佳实践，而不是等待问题发生并试图在之后进行清理
。如果更多的组织将网络安全视为企业社会责任的一个重要组成部分 ，那么他们——以及他们的员工 、客户和商业伙伴——将会更安全。“3001：最后的奥德赛”中的


，科幻小说作者阿瑟C克拉克设想了一个未来，人类将其最坏的武器封存在一个金库中月球-其中包括有史以来最恶性的计算机病毒的空间 。在Morris蠕虫或Mirai的下一代对现代信息社会造成不可估量的破坏之前 ，每个人—— *** 
、公司和个人——都有责任制定支持广泛网络安全的规则和计划，而不必再等30年
。

斯科特·沙克福德
，商业副教授法律与伦理；Ostrom网络安全与互联网治理研讨会项目主任；印第安纳大学布鲁明顿分校网络安全项目主席

本文在知识共享许可下从对话中重新发布。阅读原文 。“