1988'de bugün: Morris solucanı 24 saat içinde internetin %10'una bulaştı

 (tomshardware.com)
2 puan yazan GN⁺ 2025-11-05 | 1 yorum | WhatsApp'ta paylaş
  • 37 yıl önce, 1988'de Cornell Üniversitesi yüksek lisans öğrencisi Robert Tappan Morris tarafından yazılan bir bilgisayar solucanı, internet genelindeki sistemlerin yaklaşık %10'una 24 saat içinde bulaştı
  • Bu solucan, BSD UNIX tabanlı sistemleri hedef aldı ve e-posta sistemindeki arka kapı ile finger programındaki bir hatayı kötüye kullanarak yayıldı
  • Dosyaları yok etmedi, ancak sistem aşırı yükü, gecikme ve çökme yaratarak büyük üniversiteler ile araştırma kurumlarının ağı geçici olarak kapatmasına neden oldu
  • FBI soruşturması sonucunda Morris, 1986'da yürürlüğe giren Computer Fraud and Abuse Act ihlali nedeniyle suçlandı; para cezası, denetimli serbestlik ve kamu hizmeti cezası aldı
  • Bu olay, siber güvenlik çağının başlangıç noktası olarak değerlendirilir ve sonrasında internet altyapısını korumaya yönelik prosedürler ile müdahale sistemlerinin kurulmasına zemin hazırladı

Morris solucanının ortaya çıkışı ve yayılması

  • 1988'de Cornell Üniversitesi yüksek lisans öğrencisi Robert Tappan Morris'in internetin ölçeğini ölçmek için yazdığı program beklenmedik şekilde yayıldı
    • FBI'nın değerlendirmesine göre bu, kötü niyetten değil, bir "programlama hatası" sonucunda yaşandı
    • Solucan, 24 saat içinde internet üzerindeki sistemlerin yaklaşık %10'una bulaşarak o dönem için çok büyük zarara yol açtı
  • Morris, Cornell Üniversitesi terminalinden MIT bilgisayarını hackleyerek solucanı dağıttı
    • FBI, bunun onun kasıtlı olarak anonimlik sağlamaya çalıştığını gösterdiğini belirtti
  • Solucan C diliyle yazıldı ve VAX ile Sun-3 gibi BSD UNIX sistemlerini hedef aldı
    • E-posta sistemindeki arka kapıyı ve finger programındaki hatayı kullanarak sızdı
    • Ana bir program olmadan kendini kopyalayabilen ve otonom biçimde yayılabilen bir yapıya sahipti

Zarar ve müdahale

  • Solucan dosyaları silmedi, ancak sistem aşırı yükü, mesaj gecikmesi ve çökme yaratarak ağ felcine neden oldu
    • Bazı kurumlar, solucanı temizlemek için tüm sistemi sıfırlama ve ağı kapatma uygulamasını bir hafta boyunca sürdürdü
  • Enfekte olan kurumlar arasında Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA ve Lawrence Livermore Laboratory de vardı
  • Basın bunu ilk büyük ölçekli internet güvenliği olayı olarak aktardı

Failin izlenmesi ve hukuki sonuçlar

  • Uzmanlar kurtarma çalışmalarını yürütürken, solucanın geliştiricisini belirleme çalışmaları da eşzamanlı sürdü
    • FBI, dosya analizi ve görüşmeler yoluyla failin Morris olduğunu tespit etti
  • Morris anonim olarak özür dilemeye çalıştı, ancak arkadaşının baş harf hatası nedeniyle kimliği ortaya çıktı
  • Hakkında 1986 tarihli Computer Fraud and Abuse Act (CFAA) ihlali kapsamında dava açıldı
    • 1989'da mahkeme para cezası, denetimli serbestlik ve 400 saat kamu hizmeti kararı verdi

Dönemin internet ortamı

  • 1988'de internet, NSFNET temelinde, askeri ve savunma odaklı ARPANET'in genişletilmiş hali olan akademik ağ yapısı üzerinde çalışıyordu
    • World Wide Web (WWW) henüz yoktu
  • O dönemde bağlı sistem sayısının yaklaşık 60 bin olduğu, bunların 6 bininin enfekte olduğu tahmin ediliyor
  • Zararın büyüklüğü 100 bin dolardan birkaç milyon dolara kadar değerlendirildi
  • NSFNET 1995'te kapatıldı ve sonrasında ticari internete geçildi

Sonraki etkiler ve miras

  • Morris solucanı, siber güvenlikte bir dönüm noktası olarak görülür ve sonrasında güvenlik prosedürleri ile müdahale sistemlerinin oluşturulmasına zemin hazırladı
  • Haberde, yakın zamanda ortaya çıkan AI tabanlı solucan Morris II anılarak solucanların evriminin sürdüğüne dikkat çekiliyor
  • Orijinal haberdeki yorumlarda, dönemin ağ yöneticileri trafik tıkanıklığı, mail relay kesintisi ve iş birliği aksaması gibi deneyimleri hatırlatıyor
    • Bazıları, olayın internetin güvene dayalı iş birliği kültürünün zayıflamasına yol açtığını belirtiyor
  • Morris solucanı, web öncesi dönemin ilk büyük siber olayı olarak modern güvenlik endüstrisinin başlangıç noktalarından biri olmaya devam ediyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-05
Hacker News yorumları

  • Paul Graham'a göre o dönem söylenen "%10 enfeksiyon oranı" rakamı tamamen tahminden ibaretti
    Birileri internete bağlı yaklaşık 60 bin bilgisayar olduğunu varsaymış, bunların %10'unun enfekte olduğunu öne sürmüştü

    • O 60 binin büyük kısmı muhtemelen gerçekten bağlı host'lar değil, UUCP tabanlı acil durum bağlantı sistemleriydi
      O dönemde telnet ile erişilebilen 60 bin makine oldukça büyük bir sayıydı. Ben de o yıllarda ergenliğimin sonlarındaydım; PG'ye Tanrı'nın lütfu olsun

  • MIT'nin dağıtık sistemler dersi 6.5840'ı aldım ve YouTube ders videoları ile uygulamaları tamamladım
    Merakımdan hocanın adını aratınca onun ne kadar efsanevi bir figür olduğunu öğrendim. Gerçekten harika bir dersti

    • MIT'de RTM benim asistanımdı. Ödevlerden biri worm ile ilgiliydi ve öğrenciler ancak o zaman onun o worm'un başındaki kişi olduğunu fark etti
      Ama bu konudan neredeyse hiç söz etmezdi
    • Babası da NSA'in ünlü baş bilim insanıydı
    • 1988 usulü bir dağıtık sistemler hack oturumu eklenirse eğlenceli olabilir
    • Ben de şu anda o dersi hobi olarak takip ediyorum. Onun kim olduğunu bilmiyordum, şaşırtıcıydı
      Dersi o kadar beğendim ki sonrasında neler yaptığını merak ediyorum

  • Morris'in programı kötü niyetli değildi ama sonuç olarak siber güvenlik tarihinde bir dönüm noktası oldu
    Bugünkü güvenlik araştırması, red team ve grey hat kültürünün kökleri o olaydan geliyor

  • O dönemi anlatan iyi bir kaynak olarak CACM'de yayımlanan With Microscope and Tweezers: The Worm from MIT's Perspective (PDF) var
    Ben 1988'de IBM'de stajyerdim; şirket iki ağ geçidini kapatmıştı
    O zamanlar kendi kendini kopyalayan yazılım fikri çok yabancıydı. IBM de bir önceki yıl Christmas Tree EXEC adlı kendi kendini kopyalayan bir programla karşılaşmıştı

    • Ama disket tabanlı virüsler zaten yaygın şekilde dolaşıyordu

  • MIT'de sistem işletirken o gün gerçekten korkutucu ama heyecan verici bir gündü

    • Teknik sorumlumuz koşarak gelip worm haberini verdi; ülkemizin etkilenmemesinin sebebinin bir kişinin tüm interneti fiziksel olarak ayırması olduğunu söyledi. O zamanlar yalnızca tek bir bağlantı hattı vardı
    • O gün Usenet inanılmaz sessizdi. Mühendislik binası da öyleydi
    • WPI'nin ana makineleri Encore Multimax ve DEC-20 olduğu için enfekte olmadı
    • Ben Stanford bilgisayar laboratuvarındaydım ve sistemlerin giderek aşırı yavaşladığını hissediyordum

  • Wikipedia'ya göre Clifford Stoll, The Cuckoo’s Egg'de Morris'in Harvard'daki arkadaşlarıyla birlikte çalıştığını söylüyor
    Paul Graham'ın buna dair bir şey söyleyip söylemediğini merak etmiştim

    • PG bunu bir röportajda anlatmıştı (bağlantı)
      Worm'un kendisi zararsızdı ama bir bug yüzünden aynı bilgisayarda yüzlerce kopya çalışıp sistemi çökertmiş
    • PG kendi denemelerinde de bu olaya birkaç kez değinmişti (arama bağlantısı)
    • The Cuckoo’s Egg'de yazarın NSA'den Robert Morris'i (babayı) ziyaret ettiği bir sahne var; sonrasında worm ve oğlundan söz ediliyor

  • “worm” terimi 1975 tarihli SF romanı The Shockwave Rider'dan geliyor (wiki bağlantısı)

    • Romandaki worm gizli bilgileri dünyaya açıklıyordu; bugün bu rolü Wikileaks üstleniyor

  • Paul Graham'ın bu olaya doğrudan bağlantılı olduğunu düşünüyorum
    Eğer filmi çekilse, rolünü ünlü bir oyuncu oynayacak kadar önemli olurdu (ilgili HN gönderisi)

    • Neden böyle düşündüğümü soranlar oldu

  • O dönemde Purdue Engineering Computer Network'te sistem programcısı olarak çalışıyordum
    OS'yi özelleştirerek bazı worm bulaşmalarından kaçındık ama sendmail debug mode açığı hâlâ sorundu

    • Sistem çeşitliliği doğrudan güvenliğin anahtarıdır. Yönetmesi zor olsa da çok daha sağlam savunma sağlar
    • O dönem KSB de var mıydı diye merak ediyorum. Gerçekten ilginç biriydi

  • Worm'un nasıl çalıştığına ve neden başarısız olduğuna dair teknik bir açıklama bekliyordum ama yoktu
    Sonunda gidip Wikipedia'ya bakmak zorunda kaldım