Vertreibung aus dem Paradies
Als Robert Tappan Morris sein fehlerhaftes Computer-Zählprogramm 1988 ins Internet entließ, ahnte noch niemand, dass er ein völlig neues Kapitel der IT-Geschichte aufschlagen würde.
Am 2. November 1988 um 18:00 Uhr startete ein junger Informatik-Student an der US-amerikanischen Cornell-Universität in Ithaka, NY, ein Programm, das zählen sollte, wie viele Computer eigentlich ans Internet angeschlossen sind. Den Sommer über hatte sich der 23-jährige Robert Tappan Morris als Praktikant in den Bell Labs von AT&T mit Unix-Sicherheit beschäftigt, als die Frage auftauchte, wie viele Computer gefährdet sind, wenn im Unix-System eine kritische Lücke entdeckt wird. Die Antwort war der Morris-Wurm.
Morris schickte sein Programm von einem Computer am Massachusetts Institute of Technology (MIT) aus auf die Reise und ging erst einmal essen. Vom Futtern zurück, überprüfte er den Ablauf und entdeckte einen gravierenden Fehler. Eigentlich sollte sein Programm sich auf einen anderen Rechner kopieren, sich dort ausführen und die Existenz des Rechners zurückmelden und sich danach auf den nächsten erreichbaren Computer kopieren. Dazu nutzte Morris einen bekannten Buffer Overflow im fingerd aus, ferner einen bekannten Bug im SMTP-Server sendmail von Eric Allman, der im Debug-Modus Befehle mit Root-Rechten ausführen konnte, sowie einen Passwort-Cracker mit einem kleinen Wörterbuch mit 432 gängigen Kennwörtern.
Geplant war, dass sich sein Wurm lediglich einmal kopiert und an die Computer weiterschickt, die die lokale /etc/hosts auflistet. Doch das Programm führte die Replikation wieder und wieder aus, und die Rechner begannen, Wurmkopie um Wurmkopie ins Internet zu mailen, und erhielten ihrerseits den Schadcode, der sich prompt vervielfältigte. Das Internet verstopfte, selbst das militärische Arpanet soll betroffen gewesen sein. Obwohl der Morris-Wurm ausschließlich auf Vaxen von DEC und Sun-3-Rechnern funktionierte, die mit BSD-Unix Version 4.3 liefen – andere Versionen hatten den sendmail-Bug behoben –, sorgte er dafür, dass 10 % des gesamten Netzverkehrs sich nur noch mit der fehlgeschlagenen Host-Zählung beschäftigten.
Von hier an vermischen sich Fakten und Fiktion. Nach Angaben der Gutachter im Prozess „United States vs. Robert Tappan Morris“ infizierte der Wurm zwischen 2000 und 6000 Rechner. Der harsch auftretende Chefankläger Mark Rasch sprach dagegen von 60 000 bis 70 000 Rechnern, basierend auf einer Schätzung, das seinerzeit 600 000 Systeme an Internet und Arpanet angeschlossen waren.
Von Fakten und Fiktion
Als Experte war der „Hackerjäger“ Clifford Stoll („Das Kuckucksei“) geladen und bezifferte den entstandenen Schaden mit einer Untergrenze von 100 000 US-Dollar und einer Obergrenze von 10 Millionen. Der Virenforscher John McAfee nannte Kosten von 97 Millionen Dollar und sprach von einem unermesslichen Schaden an der US-Volkswirtschaft. Das damalige Government Accounting Office, etwa dem Bundesrechnungshof vergleichbar, veröffentlichte Zahlen, nach denen das Säubern eines Computers zwischen 200 und 53 000 Dollar kostete. Die durch den fehlenden Internetzugang verursachten Verluste schätzte man auf 100 000 bis 10 Millionen Dollar.
Auch in der Beurteilung des Vorfalls gingen die Meinungen damals weit auseinander. In der Frankfurter Rundschau vom 9. November warnte Joseph Weizenbaum vor den Gefahren totaler Vernetzung und vor der – von Morris nicht benutzten – Programmiersprache ADA. Er hätte den unaufgeräumten Spaghetti-Code von Unix kritisieren können, in dem der gefährliche Debug-Modus von sendmail nicht gelöscht wurde. „Cyberspace“-Guru Howard Rheingold bejubelte die Tat von Morris und freute sich, dass bald aus einfachen Würmern komplexe „Knowboter“ würden, die auf der Suche nach bestimmten Informationen das gesamte Netz durchlaufen könnten, um den Menschen das totale Wissen zu bringen.
Robert Tappan Morris selbst versuchte am Abend des 2. Novembers, seinen Wurm zu stoppen. Er verschickte eine E-Mail mit einer Beschreibung, wie man das Programm entschärfen kann, und rief einige ihm bekannte Systemadministratoren etwa bei der Harvard-Universität an. Das nutzte wenig, denn etliche Administratoren reagierten auf die Flut von Nachrichten damit, dass sie die Rechner vom Netz nahmen – und damit die Hinweise zum Stopp des Geschehens nicht erhielten.
Auch gestand Robert Morris, Jr. die Tat seinem Vater Robert Morris, Sr., dem Chef-Informatiker der National Security Agency (NSA) und einer der vielen Väter von Unix. Dieser informierte umgehend die Sicherheitsbehörden, engagierte aber auch die damals besten Anwälte im gerade erst entstehenden IT-Recht, Thomas Guidoboni und Fern O’Brian. Auch auf der Gegenseite rüstete man hoch: Fast neun Monate dauerten die Ermittlungen, ehe Mark Rasch Anklage erheben konnte. Robert Tappan Morris sollte der erste sein, der nach dem 1984 verabschiedeten und 1986 verschärften „Computer Fraud and Abuse Act“ angeklagt und auf „Jahre und Jahrzehnte“ (Rasch) ins Gefängnis wandern sollte. Dieses Gesetz sah schwere Gefängnisstrafen für den Fall vor, dass jemand in Regierungscomputer mit der Absicht eindringt, ihre Funktionsweise zu unterbrechen.
Unter strenger Beobachtung
Ein weiterer Grund für die lange Verfahrensvorbereitung lag in dem Neuland, das die Ermittler betraten. Die NSA – jedoch nicht die Abteilung von Robert Morris, Sr. – verbot, öffentlich über den Code des Wurmes zu diskutieren oder ihn zu verbreiten, indem sie den Vorfall als streng geheim klassifizierte. Das half den Ermittlern wenig bei all ihren technischen Fragen: Wie ermittelt man gerichtsfeste Beweise in Multiuser-Computersystemen?
Marc Rasch hatte die erste Abteilung für IT-Forensik gegründet, die sich zuvor im Fall des deutschen „KGB-Hackers“ Karl Koch wenig zimperlich zeigte und Ausdrucke als „Beweise“ präsentierte [1]. Bei IT-Größen wie Robert Morris, Sr. und die von ihm und der Verteidigung aufgebotenen Zeugen spielte das Verfahren jedoch in einer ganz anderen Liga. Als Richter Howard Munson am 4. Mai 1990 das Urteil gegen Morris Jr. verkündete, saß die „größte Versammlung der besten Computerwissenschaftler Amerikas in einem Gerichtssaal“, wie ein AP-Reporter damals schrieb.
Zur Überraschung vieler Anwesender verkündete Munson ein ausgesprochen mildes Urteil, weitab der zehnjährigen Gefängnisstrafe. Drei Jahre auf Bewährung, dazu 10 050 US-Dollar Geldstrafe und 400 Stunden gemeinnützige Arbeit verhängte der Richter, zum großen Ärger von Ankläger Mark Rasch. Der quittierte kurz danach den Dienst als Staatsanwalt und betätigte sich fortan als wesentlich besser bezahlter IT-Sicherheitsberater.
Richter Munson wies darauf hin, dass Robert Morris Jr. niemals seine Tat geleugnet hatte und selbst aktiv versucht hatte, sein irrlaufendes Programm zu stoppen. Sein größter Fehler sei es gewesen, als Student der Cornell-Universität einen MIT-Account zu benutzen und damit wissentlich die Urheberschaft zu verschleiern. Einen Beweis dafür, dass das Morris-Programm in Regierungscomputer eingedrungen war, habe die Staatsanwaltschaft nicht erbringen können. Die von Rasch vorgelegten Beweise stammten vom Ames Research Center der NASA und dem Lawrence Livermore National Laboratory. „Robert Morris hat niemals gelogen. Er hatte nie die Absicht, in Regierungscomputer einzudringen. Dieser Fall ist nicht von Verrat und Betrug geprägt“, beschied der Richter.
Aus heutiger Sicht erfüllte Morris eine historische Mission. Denn unmittelbar nach dem Vorfall wurde mit Unterstützung der Defense Advanced Research Projects Agency (DARPA) das erste Computer Emergency Response Team Coordination Center (CERT/CC) an der Carnegie-Mellon-Universität eingerichtet, das als Erstes ein Telefon-Warnnetz einrichtete. Als 1989 der WANK-Wurm aus Australien im Space Physics and Analysis Network (SPAN) der NASA aufschlug, konnte das CERT diese Attacke weitgehend abwehren. Er verursachte nur eine halbe Million Dollar Schaden. Das Ziel der Attacke, eine mit Atombatterie betriebene Galileo-Rakete, blieb unbehelligt. Die verantwortlichen Hacker und Programmierer fand man aber nicht. Heute weiß man durch Forschungen der australischen Wissenschaftlerin Suelette Dreyfus, dass sich Wikileaks-Gründer Julian Assange an der WANK-Attacke beteiligte. Doch das ist eine andere Geschichte.
Nachgang
Robert Tappan Morris beendete sein Informatikstudium, gründete 1995 im Dotcom-Boom ein Start-up namens Viaweb, das Software für Online-Händler entwickelte. 1998 verkaufte er Viaweb für 49 Millionen Dollar an Yahoo und ging als Assistenz-Professor ans MIT. Als ordentlicher Professor forschte er über Betriebssysteme für Mehrkernprozessoren und entwickelte zusammen mit Paul Graham den Lisp-Dialekt Arc. Im Jahr 2010 zeichnete das ACM SIGOPS (Association for Computing Machinery’s Special Interest Group on Operating Systems) Morris mit dem Mark Weiser Award für Fortschritte in der Entwicklung von Betriebssystemen aus. Seit seiner Verurteilung durch Richter Munson verweigert Morris jegliche Auskunft über den Morris-Wurm.
(sun)
Detlef Borchers
ist freier DV-Journalist und arbeitet für deutsche und amerikanische Fachzeitschriften.
[1] Susanne Nolte; Jubiläum; Sündenfall; Zum 20. Todestag von Karl Koch; iX 6/2009, S. 93
[2] Martha Baer, Katrina Heron, Oliver Morton, Evan Ratliff; Save. The Race to Protect Ourselves in a Newly Dangerous World; HarperCollins 2005
[3] Detlef Borchers; Wie Amerika den Virus entdeckte; c’t 1/1989
[4] Dorothy E. Danning; Information Warfare and Security; ACM Press 1999
[5] Katie Haffner, John Markoff; Cyberpunk: Outlaws and Hackers on the Computer Frontier; Simon & Schuster 1991
Alle Links: www.ix.de/ix1311110