No dia 02 de novembro de 1988, a história da Internet e a segurança informática mudaram radicalmente. O worm Morris, liberado neste dia, às 18 horas, parou a Internet e causou o maior prejuízo por malware visto até hoje, aproveitando as vulnerabilidades de milhões de computadores e paralisando os sistemas. A atividade normal dos equipamentos afetados foi interrompida e as conexões ficaram obstruídas durante vários dias, a medida que o primeiro malware para plataformas múltiplas se propagava pela Internet.
Um grande impacto
Nenhum outro caso em toda a história do malware teve o mesmo alcance que o worm Morris. Atacou a 6.000 dos 60.000 computadores conectados à Internet, dos quais muitos permaneceram infectados durante quase 72 horas. Baixou arquivos sem utilização nas unidades de algumas máquinas e os sistemas começaram a funcionar de uma forma cada vez mais lenta, a medida que eram executados mais processos, como alertou naquele momento o professor Eugene H. Spafford da Universidade de Purdue, em um artigo.
Algumas máquinas inclusive se desligaram depois de serem infectadas, considerando que o worm estava projetado para se replicar nas redes informáticas e realizar ações mal-intencionadas, como consumir os recursos da máquina.
Uma das coisas mais preocupantes foi que as principais universidades e instituições governamentais estadunidenses estavam conectadas a ARPANET nesse momento. Portanto, os computadores que pertenciam à NSA, ao MIT e ao Pentágono também foram infectados.
Aproveitando as falhas
Embora o projeto do worm possa parecer sofisticado para o mundo exterior, sua rápida propagação está vinculada com o fato de que foi um ataque inesperado. O worm em si estava repleto de falhas; o êxito do ataque ocorreu graças a sorte do que exatamente às habilidades de propagação de seu criador.
O worm Morris aproveitou as mais importantes falhas nas conexões TCP e SMTP para infectar os sistemas. Isso fez com que fosse muito mais fácil para um atacante enviar comandos ao sistema infectado. E por mais que muitos já conhecessem as falhas dos sistemas UNIX, o alcance do ataque pegou a todos de surpresa, inclusive ao seu criador, Robert Tappan Morris Jr.
Morris: um curioso ou um criminoso?
Morris, um estudante de 23 anos da Universidade de Cornell, ficou tão surpreendido pela propagação de seu programa assim como seus colegas. Segundo declarou, foi criado sem intenção maliciosa ("para medir o tamanho da Internet"), mas causou estragos devido a erros internos. As cruciais falhas no código fizeram com que Morris desatasse algo que não foi capaz de controlar: um malware que causou um prejuízo econômico estimado entre USD 100.000 e USD 10.000.000, de acordo com um porta-voz de Harvard.
No entanto, algumas fontes questionaram a inocência de Morris. Como o pai de Morris ironicamente trabalhava como cientista em uma das áreas de segurança informática da NSA, foi possível argumentar que Morris simplesmente estava tentando se afastar da imagem do pai para criar uma própria. Em especial, porque o worm atacava arquivos de senhas, quando foi seu pai quem criou a senha para o computador.
David Harley, investigador sênior da ESET, também alertou que o worm tinha características questionáveis, como “um processo de replicação viral capaz de provocar um sério impacto no sistema infectado”.
No entanto, independente de sua intenção, Morris se tornou o primeiro criador de programas maliciosos condenado (foi declarado culpado por violar a Lei de Fraude e Abuso de Computadores de 1986, a primeira condenação deste tipo).
Restauração dos sistemas
Os experts da Universidade da Califórnia, em Berkeley, e do Instituto de Tecnologia de Massachusetts atuaram rapidamente para capturar o worm, analisar o programa e encontrar uma solução. Na manhã do dia seguinte, quando ainda não haviam passado 12 horas depois do descobrimento do worm, a equipe Computer Systems Research Group de Berkeley já havia desenvolvido uma série de passos para deter a propagação. Mais tarde, nesta mesma noite, na Universidade de Purdue, foi descoberto outro método para deter a infecção, que foi amplamente divulgado.
Em 08 de novembro, depois de restaurada a ordem, o Centro de Segurança Informática estadunidense organizou uma oficina para discutir o impacto do programa de Morris. Foi decidido que os pesquisadores presentes não divulgariam o código que descriptografaram por meio de engenharia inversa, por medo de possíveis consequências. No entanto, isso apenas serviu para atrasar aquilo que seria inevitável.
O impacto duradouro do worm Morris
No dia 08 de dezembro, já haviam pelo menos 11 versões do código decompilado, o que demostrou que as habilidades e ferramentas para criar o malware já haviam sido estendidas. Isso marcou o começo da criação do malware com intenções maliciosas. Desde esta data, tem ocorrido um aumento significativo de infecções potentes de malware inspiradas no código decompilado de Morris, como o worm Code Red até o famoso worm Conficker, que tem infectado a milhões de computadores até o dia de hoje.
Apesar do aumento na quantidade de ataques de malware, é possível extrair alguns aspectos positivos da criação de Morris. Por um lado, ajudou para que a complacência ficasse no passado: impulsionou o desenvolvimento da segurança informática e obrigou aos fornecedores de software a terem mais cuidado com os erros nos produtos. Por outro lado, foi criado a equipe de respostas para emergências informáticas (CERT), outra consequência positiva do incidente.
No entanto, embora o worm Morris nos tenha ensinado a sermos mais conscientes sobre as possíveis ameaças online, existe o risco de que a história se repita. Considerando que agora são milhões de computadores conectados à Internet e muitas empresas dependem da web para suas atividades cotidianas, o prejuízo não só seria uma surpresa, como também que poderia ocasionar um desastre global.
Autor: Editor, da ESET.
