Internett lammet av hacker

3. november 1988 ble Internett - da kjent som ArpaNet - utsatt for en "mark" som lammet hver tiende tjener på nettet. Nettansvarlige koplet seg fra nettet i panikk, og alt lå nede i flere dager.

En mark - "worm" på engelsk - er et stykke programvare som er i stand til på egen hånd å kopiere seg fra maskin til maskin på et nettverk. I motsetning til et virus, knytter den seg ikke til eksekverbare filer. Den kryper avgårde på egen hånd og søker å gjøre sine ting i det stille.

Men ormen som spredde seg gjennom den amerikanske delen av Nettet for nøyaktig ti år siden, var feilprogrammert. Den gjorde seg til kjenne ved at den kopierte seg selv på nytt og på nytt på hver maskin den hadde spredd seg til. Systemansvarlige merket at belastningen steg uten grunn, og etter en stund var det ingen ledige ressurser til normal drift.

Ormen - det norske miljøet foretrekker denne betegnelsen framfor den zoologisk korrekte oversettelsen - var programmert av en 23 år gammel student ved Cornell University, Robert J. Morris jr. Hans faderlige opphav var høyt på strå innen det amerikanske nasjonale sikkerhetsorganet NSA. Teorien er at unge Morris ville vise den eldre Morris at ikke alt faren holdt på med var like sikkert. Han sendte ut sitt eksperiment på en tid da nettet var en samling på rundt 60.000 Unix-baserte tjenere, hovedsakelig i USA.

- Det som forårsaket det egentlige krakket, var ikke at ti prosent av tjenerne ble lammet, sier forsker Gisle Hannemyr ved Institutt for Informatikk i Oslo. - Det avgjørende var at folk i panikk koplet maskinene fra nettet. Det lammet ikke bare nitti prosent av nettet. Det gjorde det også svært vanskelig for de systemansvarlige å kommunisere seg i mellom og fortelle hverandre hva de skulle gjøre for å avverge virkningene av ormen. De kjente hverandres e-post-adresser, men ikke hverandres telefonnummere.

Hannemyr forteller at denne erfaringen ga støtet til opprettelsen av CERT (Computer Emergency Response Team - responsteam mot dataulykker) som samler opplysninger om dataangrep og tilbyr et alternativt kommunikasjonsnettverk.

- Morris-ormen kom helt uventet, sier Hannemyr.

- På den tiden var nettet et "sted for gutta", og ingen trodde noen kunne rette slike angrep mot andre. I dag er vi langt mer forberedt, fordi vi ikke lenger er så naive. Vi vet at Internett må betraktes som et fiendtlig miljø, fordi det blant befolkningen også er ondsinnede elementer.

I omfang var Morris-ormen på beskjedne 99 programlinjer. Den spredde seg fra maskin til maskin dels ved å utnytte hull i posthåndteringen til datidens Unix-versjoner for Sun og VAX, dels ved et enkelt system for å gjette passord med utgangspunkt i lister over brukernavn som den greide å oppspore på vertsmaskinen. Lettgjettede passord er stadig et populært fenomen blant hackere. CERT får jevnlig 30 til 35 henvendelser hver dag fra nettadministratorer som forteller om forsøk på datainnbrudd.

Fordi Morris-ormen var såpass enkel å oppdage, og ikke ondsinnet annet enn ved at programmeringsfeilen fikk den til å overbelaste vertsmaskinen, tok det bare noen dager før nettet var oppe igjen, noen grunnleggende erfaringer rikere. Morris ble stilt for retten og fikk en betinget dom på tre år. Han er siden tilgitt av Internett-fellesskapet. Tidligere i år ble et selskap han var gründer i, Viaweb Inc., solgt til Yahoo! for 49 millioner dollar.

8. november 1988 hadde Aftenposten et førstesideoppslag med overskriften "Forhindret norsk datakatastrofe". Under overskriften var et bilde av forskningsleder Pål Spilling i Teledirektoratet som "trakk ut kontakten og sparte norske forskningsmiljøer for svarte dataskjermer og millioner i ekstrautgifter."

- På den tiden var bare universitetene og noen få andre som Skrivervik Data og Norsk Regnesentral tilkoplet ArpaNet. Kontakten gikk via Spillings ruter på Kjeller, og han koplet alle disse fra når han trakk pluggen, sier Hannemyr. - Nå kom jo aldri Morris-ormen til noe europeisk land, og undersøkelser viste at den var bevisst programmert for ikke å kunne forsere så store avstander som Atlanterhavet.

- Kan noe liknende skje igjen?

- Det eksisterer mange usikrede maskiner på Internett, og disse er sårbare. Noen av dem eies av prestisjefylte organisasjoner. Man vil helt klart oppleve vellykkede angrep. Men disse vil ikke kunne føre til en lammelse av tilsvarende omfang.

Hannemyr mener den norske debatten om datasikkerhet er kommet galt av sted

- Sentrale aktører som Datatilsynet nekter å se forskjellen på sikrede og usikrede maskiner, og generaliserer usikrede installasjoner til å gjelde hele Internett. Det er en helt uholdbar innstilling, og gjør at vi får en veldig spesiell debatt her i landet, avslutter han.

Til toppen