震撼世界的“蠕虫”病毒案 一、“蠕虫”病毒案案情简介 罗伯特·莫瑞斯(Robert T·Morris, Jr.)是美国康奈尔大学(Cornell University)的学生,年仅23岁。1988年11月2日,他在自己的计算机上,用远程命令将自己编写的蠕虫(Worm) 程序送进互联网。他原本希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中,并且悄悄地呆在那里,不为人知。然而,由于莫瑞斯在他的程序编制中犯了一个小错误,结果这个蠕虫程序疯狂地不断复制自己,并向整个互联网迅速蔓延。待到莫瑞斯发现情况不妙时,他已经无能为力了,他无法终止这个进程。据说,莫瑞斯曾请哈佛大学的一位朋友在Arpanet网上发了一条关于这个蠕虫程序的警报,但由于Arpanet网络已超载,几乎没有什么人注意到或接受到这条信息。于是,小小的蠕虫程序,在1988年11月2日至11月3日的一夜之间,袭击了庞大的互联网,其速度是惊人的。表12-1 可以大致反映蠕虫侵袭的时间顺序(表中的时间为美国东部标准时间,Eastern Standard Time)。 表12-1 蠕虫侵袭互联网时间表 日期 时间 蠕虫侵袭进度      一九 八 八 年 十一 月 二 日 星 期 三 17:00 纽约康奈尔大学检测出蠕虫   21:00 加里福尼亚的斯坦福大学和兰德公司的系统中发现蠕虫   22:00 加州大学Berkeley分校被蠕虫攻击   23:00 新泽西州普林斯顿大学数学系遭受蠕虫袭击   23:00 麻省理工学院人工智能实验室发现蠕虫   23:28 加州大学Davis分校和San Diego分校、加州的Lawrence Livermore实验室、美国航空航天署(NASA)被蠕虫击中   23:45 美国陆军弹道研究实验室发现蠕虫  一 九 八 八 年 十一 月 三 日 星 期 四 01:00 15台Arpanet网络的主机报告发现蠕虫   02:00 在麻省的哈佛大学发现蠕虫   03;30 蠕虫入侵麻省理工学院计算中心   04;00 由于网络超载,病毒传播速度减慢,但大约有1000个场地的主机已经遭到袭击   05:15 宾夕法尼亚的匹兹堡大学发现蠕虫   08:00 Smithsonian空间物理中心被蠕虫袭击   15:00 蠕虫解毒软件分发给受侵单位和个人   21;00 在麻省理工学院举行第一次有关蠕虫的记者招待会   莫瑞斯的蠕虫一夜之间攻击了互联网上约6200台VAX系列小型机和Sun工作站,300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告。DCA的一位发言人宣称,蠕虫不仅攻击了Arpanet系统,而且攻击了军用的MILNET网中的几台主机。大量数据被破坏,整个经济损失估计达9600万美元。图12-1反映了蠕虫病毒破坏轨迹。  图12-1 蠕虫破坏轨迹示意图 “互联网事件”发生后,美国各种新闻媒介大肆宣扬。《纽约时报》、《华盛顿邮报》、《今天》等各大报刊连续两周报道了事件的发生、造成的损失、各界人士的反映和肇事者的情况。一时间满城风雨,人心惶惶。在此之前,大多数计算机用户对计算机及网络的安全性还是很有信心的,“互联网事件”对广大用户的这种信心无疑是一次沉重的打击。 “互联网事件”同样也极大地震惊了计算机安全人员与其他专业人员。在莫瑞斯的蠕虫大举进攻之际,许多网络管理员、安全专家和研究人员急切而又灰心,他们甚至不敢相信眼前正在发生的事情。有一份介绍蠕虫攻击情况的报告是这样开头的:“现在是1988年1月3日清晨3点5分。我很累了,所以请不要相信下面描述的任何事情……”。 “互联网事件”的确是一场灾难,但决不是象某些报刊所说的是“计算机系统的末日”。事实上,清除病毒的工作开展得相当迅速。11月2日星期三发现病毒,到星期四晚上就公布了一个消毒方案;到周末,病毒已经被控制住了。随后,美国国防部在Carnegie-Mellon大学的软件工程学院建立了一个由100名计算机专家组成的应急小组,专门研究国防部门计算机系统对计算机病毒攻击的防卫问题,并及时了解互联网的安全情况。可以说,“互联网事件”为计算机安全专家敲响了警钟,使之成为研究部门最迫切的研究课题。 在谈及“互联网事件”的影响时,我们自然回想到那巨大的经济损失和艰巨的消毒劳动,也会想到专家们对计算机安全问题的困惑和用户对计算机系统的可靠性的担忧,这是事件影响的一个方面。事件影响的另外两个方面则更加重要:第一,计算机病毒研究作为一项专门研究,从此登上计算机科学领域的舞台;第二,计算机法(Computer Law)的软弱无力引起社会的普遍关注。 “互联网事件”使得美国人不得不承认,计算机法的普及与计算机科学的发展极不平衡,人们对利用计算机病毒犯罪的看法非常混乱,许多人甚至对此根本没有认识。“互联网事件”后,所有的报道都认为,肇事者莫瑞斯编写蠕虫程序并非出自恶意,莫瑞斯本人或许直到被推上法庭也不认为自己是犯了罪。事件公布后,公众对莫瑞斯的态度多种多样:有人愤愤然认为他犯了弥天大罪,法庭应当绞死他;有人爱惜其才华(不能不承认,莫瑞斯编制的蠕虫程序具有极高的技巧),认为这样的青年是国家的财富;也有人持折中态度,认为莫瑞斯犯了错误,但不至于被投进监狱。种种言论都反映了计算机法律观念的淡薄,暴露了计算机法律管理中的问题和漏洞。 有趣的是,莫瑞斯是美国政府高级计算机安全专家的儿子,其父是致力于计算机安全研究的美国国家计算机安全局的主要科学家。莫瑞斯从中学起兴趣就转向了计算机,17岁在贝尔(Bell)实验室工作,接着参加哈佛大学计算机计划,在其心理学计算中心当程序员,随后考入康奈尔大学计算机系学习。雄厚的计算机基础使莫瑞斯具备了制造计算机病毒的能力。不管莫瑞斯当初编制蠕虫程序的用意是什么,“互联网事件”造成的损失是既成事实。莫瑞斯于1989年7月被推上美国地方法庭。 二、“蠕虫”病毒案法庭辩论的焦点 在对莫瑞斯的审判中,遇到了许多新问题。由于陪审团成员都是由居住在其管辖区的选举人随机地选出来的,很少有人了解计算机的专业知识,依据一些报告进行审理时,陪审团被计算机专家和辩护律师所使用的计算机术语搞得晕头转向。法庭辩论的焦点集中在以下几个问题: 1. 蠕虫是不是计算机病毒? 计算机专家对蠕虫程序有三种见解: 蠕虫就是病毒。许多人认为,蠕虫是一种病毒,它具有计算机病毒的一般特征,如传染性、攻击性、破坏性等。 蠕虫是不同于一般病毒的被动性病毒。有的专家认为,自从科恩(Frederick B·Cohen)1984年发表有关病毒的研究成果以来,计算机病毒已发展成两个不同的类型:主动型和被动型。主动型病毒直接损伤和破坏计算机系统,勒海病毒(Lehigh)和巴基斯坦病毒(Pakistani Brain)是主动型病毒的例子。被动型病毒栖身于后台,它窃取某些程序的口令字,冒充合法用户将病毒程序拷贝到远程计算机中,利用原有的活动天窗  收集信息以攻击系统。蠕虫病毒是被动型病毒的例子。 蠕虫不是病毒。以美国著名计算机专家M?斯图尔特?莱因 (M(Stuart Lynn)为首的技术调查委员会发表的调查报告中断定,莫瑞斯所写的程序从技术上讲不是病毒,而是一种揭露性的攻击程序。因为病毒对计算机的攻击是非法使用计算机用户的正常操作程序,而蠕虫程序的运行却要借助于计算机操作系统本身的错误和漏洞。莫瑞斯的蠕虫揭露了计算机系统的弱点,这些弱点是由于人为疏忽或技术落后造成的。 首先,设计网络的电子信件的编程人员,保留了一个秘密的“后门”,他可以很容易地读写到其工作关注的目标。当编程人员完成任务以后,他忘记关闭这个“后门”。他设计这个“后门”是为了读写那些管理人员不允许读写的程序。莫瑞斯发现了这个秘密的“后门”并方便地进入。与此相类似,系统还存在其它的秘密入口,这些入口还会被其他攻击者所揭露。 其次,莫瑞斯蠕虫揭露Arpanet计算机网络中的一个大漏洞。Arpanet网络中的Finger程序允许用户在远处的计算机上了解近期在其它网络计算机上工作的用户的情况。莫瑞斯利用了这一程序漏洞,窥探他冲破计算机安全机制的方法。Finger程序的缺陷众所周知,如果一个很长的信息发送给Finger的话,可以使用户读取军事基地中央控制程序。剖析过莫瑞斯蠕虫程序的计算机专家声称:莫瑞斯蠕虫程序编程技巧非凡,它巧妙地利用Arpanet网络的三个安全程序。 2. 莫瑞斯制造蠕虫的动机 1986年美国《伪造访问设备和计算机诈骗与滥用法》所规定的定罪标准是指故意地或有意地从事法律规定的那些行为。如果不是“有意地”便不能定罪,莫瑞斯一案争论最激烈的地方也正在于此。 在辩护总结中,莫瑞斯的辩护律师托马斯·吉多鲍尼(Thomas Guidoboni) 向陪审团陈述,他承认莫瑞斯制造了病毒,并在Internet 网中传播,但莫瑞斯不是有意地使任何计算机陷于瘫痪,并且也不是有意地去进行传播,与此同时他还尽力去限制蠕虫的继续复制。当莫瑞斯准备检查他的程序进展时,他发现网络已经过载,不能读取监控器,也不能中止他的程序。他马上请求在哈佛大学的朋友在Arpanet网络上发出警报和指示如何阻止蠕虫。虽然由于网络严重过载电子公告只有很少人收到。吉多鲍尼又讲,莫瑞斯制造这个病毒是其进行的计算机安全方面试验的一部分。蠕虫所引起的损坏不是永久性的,并且在设计时,莫瑞斯没有设计让病毒进行永久性的破坏。Unix操作系统环境中,系统用户具有读写被保护的数据和文件的特权,可以读写网络的其它计算机,具有通过计算机系统读、写、删除文件的能力。莫瑞斯蠕虫通过获取系统用户的特权,传播蠕虫自身到网络中的其它计算机中,同时也可以对数据和程序文件做更严重的破坏动作。但莫瑞斯蠕虫没有做,用户唯一感受到的损害是计算机合法程序的处理速度显著放慢。由此可见,莫瑞斯设计蠕虫时,似乎没有使之具有毁灭性的意图。 联邦法官霍华德·芒森(Howard Munson)却指出,莫瑞斯是在他作为康涅尔大学的一名计算机科学研究生时制造出蠕虫的,并使用蠕虫袭击全美计算机的一部分。他完全了解计算机病毒的危害性。美国司法部司法官马克·拉希(Mark Rasch) 说:“莫瑞斯花费了许多时间,下了很大功夫来研究计划这次袭击,这个蠕虫被设计成尽可能多地进入他人的计算机系统中,并以编程的方式来隐藏自己,挫败被侵袭方。” 康涅尔大学计算机系的一位研究员迪安·克拉尔(Dean Krall) 证实说,他已经在莫瑞斯所在大学中使用的计算机的姓名目录中发现了至少三个蠕虫变体。在法庭调查中克拉尔陈诉到,在进行程序设计时,莫瑞斯将程序包含了控制复制本身速度的码。 3. 莫瑞斯蠕虫造成的经济损失 在莫瑞斯受审之前,新闻媒介对莫瑞斯蠕虫造成的损失情况做了大量的夸张性的报道。某些报刊认为,受害网络是传送敏感数据和保密数据的。另有一些报刊声称蠕虫损坏了珍贵的研究数据,其价值难以估量。技术界对此有不同的看法: 美国计算机病毒协会的约翰·麦卡菲(John McAfee)报告说,蠕虫引起的损失大约为9600万美元。 哈佛大学的克利夫·斯托尔(Cliff Stohl)认为损失不超过100万美元。 Purdue 大学的吉恩·斯帕福德(Gene Spafford)则估计损失仅有20万美元。 某些观察家注意到,大学院校受蠕虫侵害较之其它单位为重。部分机关的白班工作人员离开之后,没有关机,蠕虫击中了他们的计算机。许多第二班的工作人员不想或不会处理紧急事件,这是被击中的主要原因之一。网络的某些节点,在接收到有关警告信息或注意到计算机出现问题后,立即停止了使用。由于网络过载,运行速度减缓,很多计算机未发现异常。 检查官反复强调与Internet 网连接的计算机常常从事关键性的研究工作,而蠕虫程序却将之阻塞几个小时以至于不能正常工作。 莫瑞斯的辩护律师对此反驳说,互联网使用面极广,如交换个人信息,写爱情信和玩游戏等,所破坏的程序并不都是非常重要的信息。 4. 莫瑞斯蠕虫造成的社会后果 一些曾经与蠕虫日夜奋战的计算机管理人员在作证时表示了极大的愤怒:对许多学者和研究人员来说,蠕虫是一场大灾难。它消耗了大量宝贵的工作时间,增加了额外负担,遗失了他们的研究成果,延误了他们的研究进度。 但是,一些计算机安全专家认为,蠕虫是计算机潜在的易受攻击的最重要的证明。如果蠕虫的袭击促使计算机主人采取积极的措施防御未来的攻击,那么,蠕虫的后果将是极为有益的。 莫瑞斯的辩护律师认为,计算机病毒的存在是计算机本身的特性所决定的,它将随着计算机的存在而存在,这一点是不随人们的意志而转移的。从这一意义上来说,我们应当感谢莫瑞斯。正是他的杰出的蠕虫,使人们更深刻地认识到计算机安全的重要性,也使得人们明白他们以往高度信任的计算机竟然是那么地不堪一击。莫瑞斯帮助人们认识到计算机系统本身的脆弱性,这有助于计算机安全技术的发展,他非但无罪,甚至是有功的。 莫瑞斯由于使Arpanet 网络崩溃而成为最著名的攻击者。他在受到法庭的审判的同时,也受到一些人的尊崇。由于他的能力,莫瑞斯被哈佛大学Aiken中心授予“超级用户”的特权。计算机攻击者的双重人格被表现的淋漓至尽,一方面是国家的不可多得的人才,另一方面又是令国家头疼的人物。 三、“蠕虫”病毒案的最后判决 根据一些资料的记载,美国法院根据《伪造访问设备和计算机诈骗与滥用法》对莫瑞斯进行的审判主要是从以下几个方面考虑的: 是否有意地、未经允许进入与联邦政府有利害关系的计算机系统中; 被这种有意地、未经允许所侵入的计算机至少分处在两个州; 由于侵入他人计算机,从而造成了总数超过1000美元的损失; 由于有意地、未经许可的侵入,妨碍了那些被允许使用这种计算机的用户使用计算机。 从美国参与此案的一些法官的谈话中得知,如果对以上四种情况中的一种有合理的置疑,陪审团应该做出免罪的决定。应当注意的是,在上述四条中,与联邦有利害关系的计算机,不应当局限于那些被政府所拥有的或以政府名义所使用的计算机;所造成的损失,不应当只限于某一地区的损失,只要是总体损失达到1000美元以上即可。 尽管原告方与被告方争论不休,最后陪审团仍作出莫瑞斯有罪的决定。 美国法学界认为,对莫瑞斯以重罪判处证明了《伪造访问设备和计算机诈骗与滥用法》足以能保护国家计算机系统免受病毒和其它恶意的程序的袭击;由此开创了一个先例,即表明制造病毒的人将要承担法律责任。有罪的判决也表明在对黑客和与计算机有关的犯罪问题上国家态度的变化,这些人不是民间传说中的英雄,他们是罪犯;在莫瑞斯的案子中,法律诉讼已将一个“计算机奇才”变成一个罪犯,社会已不再容忍侵害他人合法权益的计算机恶作剧了。 据我国《科技日报》1990年2月6日的报道,莫瑞斯已于1990年1月21日被联邦法庭宣判有罪,处以5年监禁和25万美元的罚款。莫瑞斯是1986年美国公布《伪造访问设备和计算机欺骗与滥用法》以来,第一个被送上法庭的人。