Robert Tappan Morris se narodil 8. listopadu 1965 Robertu a Anne Morrisovým. Jeho otec, Robert Morris starší, byl počítačovým expertem v Bell Labs, kde pracoval mimo jiné na návrhu operačního systému Unix a později se dokonce stal vedoucím vědeckého centra NCSC, které spadalo pod NSA. Robert Morris mladší tak sice vyrůstal s počítači, rozhodně ale nepatřil k bláznivým phreakerům či hackerům-teenagerům, kteří se pokoušeli převážně ze zvědavosti pronikat do nejrůznějších počítačových systémů přes BBS či sítě X.25. Jeho kariéra byla jasně nalinkována – nejprve Harvard a později magisterské studium na Cornellově univerzitě. A právě tam se osud slibného studenta ze skvělé rodiny stočil neočekávaným směrem.
Robert Tappan Morris v roce 2008
Zpackaný experiment
Zjistit velikost (a do jisté míry i kvalitu zabezpečení – pozn. red.) byl podle Roberta Morrise mladšího jediný důvod, proč se rozhodl svého „červa“ napsat. Nicméně je velmi pravděpodobné, že si už od začátku uvědomoval, že se pohybuje na hranici toho, co je dovoleno – jeho červ využíval ke svému šíření známé slabiny tehdejších unixových systémů (prostřednictvím e-mailového programu sendmail, chybou v programu finger, a pomocí rozhraní rsh/exec pro vzdálené uživatele) a slabých (především přednastavených) hesel. Pro své šíření používal červ především zmíněný remote shell (rsh), tedy vzdálené rozhraní příkazové řádky, v němž bylo možné na dálku spouštět programy. V případě že bylo rsh deaktivováno nebo správně zabezpečeno, neměl „Morrisův červ“ prakticky možnost, jak systém infikovat. Červ byl navržen tak, aby infikoval pouze systémy DEC VAX s operačními systémy 4BSD a Sun-3, nicméně obsahoval i komponent sloužící k přenosu vlastního kódu přes jiné systémy, který se mohl sám o sobě chovat jako nákaza.
Z historie počítačových červů:
„Počítačový červ je v informatice specifický počítačový program, který je schopen automatického rozesílání kopií sebe sama na jiné počítače. Poté, co infikuje systém, převezme kontrolu nad prostředky zodpovědnými za síťovou komunikaci a využívá je ke svému vlastnímu šíření.“
Definice z české verze Wikipedie:
„Morrisův červ je obvykle uváděn jako první zejména proto, že byl prvním který se začal šířit ve veřejné počítačové síti (internetu). Skutečně prvními tvůrci červa ale byli John Schoch a John Hupp, kteří je vyvíjeli v rámci experimentů v Xerox PARC. Tito červi sloužili pro sledování vytíženosti procesů v počítačích připojených k síti a optimalizaci jejich vytížení. Jednalo se tak o prospěšné červy. S prospěšnými červy experimentoval například i Microsoft – jejich Nachi sloužil k záplatování děr, odstraňování malware a stahování aktualizací, nicméně způsoboval také zpomalení síťového provozu a restarty nezbytné pro provedení aktualizací.“
Ani Morris nechtěl vytvořit škodlivý kód a napsal proto červa tak, aby každý systém infikoval jen jednou. Zároveň ale chtěl zajistit, aby se infekci nedalo zabránit jednoduchým procesem, který na dotaz, zda je už v systému kopie červa, odpověděl „ano“. Proto do kódu vložil funkci, která náhodně (v 1 ze 7 případů) infikovala i systém, který v sobě již kopii červa měl (respektive to hlásil). Bohužel tato 14% pravděpodobnost opakované infekce se stala nezabezpečeným systémům i autorovi červa doslova osudnou. Bylo to moc. Jakmile se červ rozšířil do většího množství počítačů připojených k internetu, začal se na ně kopírovat znovu a znovu – až je nakonec zahltil a odstavil. Robertu Morrisovi se nechtěně povedl perfektně provedený DOS útok.
Ke své škodě navíc červa vypustil tajně, a to nikoliv z Cornellovy university, kde v té době studoval, ale ze svého předchozího působiště na MIT. Tím bohužel napomohl obvinění, že se jednalo o záměrný škodlivý útok, kterému se později musel usilovně bránit.
Disketa obsahující původní zdrojový kód „Morrisova červa“ je součástí expozice Museum of Science v Bostonu.
Masivní škody, mírný trest
Vládní úřady odhadly celkový rozsah škod v obrovském rozpětí od 100 tisíc do 10 milionů dolarů. Není jasné, kolik počítačů bylo přesně zasaženo a kolik jich červ skutečně odstavil (odhady uváděly zhruba desetinu všech systémů připojených v roce 1988 k internetu, tedy asi 6000 unixových strojů, nicméně je otázkou, zda nebyly prostě střeleny od boku). Velmi rozdílné bylo i vyčíslení nákladů na odstranění červa z napadených systémů a dalších škod způsobených jejich výpadkem – ty se pohybovaly od 200 do 53 tisíc dolarů na jeden systém.
Při soudním líčení, které proběhlo v roce 1990, se Robert Morris přiznal, nicméně zdůraznil, že jeho cílem bylo mapovat internet a míru zabezpečení jednotlivých systémů (ta se opět ukázala jako naprosto zoufalá). Nakonec tak v březnu 1991 vyvázl „pouze“ s tříletou podmínkou, 400 hodin veřejných prací a pokutou 10 tisíc dolarů. Pokus o odvolání mu byl zamítnut.
Střípky ze soudního přelíčení:
Vzhledem k tomu, že případ Roberta Morrise (United States v. Morris) byl jedním z prvních souzených podle nového znění paragrafu 1030 zákona 18 U.S.C., stalo se přelíčení „zkušební střelnicí“ pro jeho nejnovější znění z roku 1986. Jedním z hlavních bodů byla otázka úmyslu – nová podoba paragrafu totiž uváděla, že trestného činu se dopustí ten, kdo „úmyslně“ získá přístup k počítači, k jehož použití není autorizován a způsobí škodu přesahující 1000 dolarů (předchozí znění používalo termín „vědomě“, změkčení paragrafu mělo chránit ty, kdo se do cizího počítače dostanou skutečně neúmyslně). Morris se hájil tím, že neměl v úmyslu způsobit jakoukoliv škodu, jeho obhajoba ale nakonec neuspěla, protože soud se rozhodl úmyslnost vztáhnout k otázce přístupu a nikoliv škody.
Na to Morris se svými právníky reagoval tvrzením, že k univerzitním počítačům jejichž prostřednictvím vytvořil a uvedl červa do sítě autorizovaný přístup měl, stejně jako k řadě dalších (a to i státních) systémů s nimiž v rámci svého studia pracoval, zatímco paragraf 1030 byl zaměřen proti „outsiderům“, kteří neměli právo pracovat s federální počítačovou sítí a jejími systémy. Ani tato obhajoba ale neuspěla, neboť překročil autorizaci, která mu příslušela v rámci školy, nakazil i vládní a vojenské systémy a navíc tak učinil pomocí bezpečnostních slabin a děr v programech a operačních systémech, tedy tím, že je používal způsobem, k němuž nebyly určeny.
Soudní přelíčení tak bylo důležité zejména proto, že ukázalo, nakolik je či není nutné prokazovat záměr způsobit škodu, či jaké jsou limity definice „autorizovaného“ uživatele – tedy že samotný legální přístup k síti ještě nedělá uživatele automaticky „autorizovaným“ a tedy vyjmutým z dopadu paragrafu 1030.
Zpět ke špičkové kariéře
Ani soudní a trestní odbočka ale nakonec nedokázala kariéru Roberta Morrise mladšího vykolejit. Hackerem se stal víceméně omylem, a tak se po skončení podmínky a odpracování veřejně prospěšných prací nevěnoval bezpečnostnímu poradenství, jak by se dalo očekávat. Naopak pokračoval ve svém studiu a v roce 1995 společně s britským programátorem Paulem Grahamem společnost Viaweb, která vytvářela software pro programování prvních online obchodů. Tu po pouhých třech letech prodávají za 48 milionů dolarů Yahoo (které platformu přejmenovalo na Yahoo! Store). Po úspěšném exitu se Robert Morris vrátil do akademické sféry – v roce 1999 získal doktorát na Harvardu a ještě téhož roku je jmenován profesorem na MIT. V roce 2005 zakládá společnost Y combinator, která poskytuje prvotní (seed) financování mladým firmám (jeho partnerem je opět Paul Graham společně s Trevorem Blackwellem a Jessicou Livingston). V roce 2006 získal doživotní profesorskou pozici (tzv. tenure) a v roce 2008 společně s Paulem Grahamem uvádí programovací jazyk Arc (dialekt Lisp).
Robert Tappan Morris je opravdu bílou vránou mezi usvědčenými „počítačovými zločinci“. Jeho červ se ale stal na sklonku osmdesátých let tak slavným, že mu místo mezi hackery patří, i když by se asi sám tímto slovem asi nikdy neoznačil.
