震撼世界的“蠕虫”病毒案一、“蠕虫”病毒案案情简介罗伯特·莫瑞斯（Robert T·Morris, Jr.）是美国康奈尔大学（Cornell University）的学生，年仅23岁。

1988年11月2日，他在自己的计算机上，用远程命令将自己编写的蠕虫（Worm）程序送进互联网。

他原本希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中，并且悄悄地呆在那里，不为人知。

然而，由于莫瑞斯在他的程序编制中犯了一个小错误，结果这个蠕虫程序疯狂地不断复制自己，并向整个互联网迅速蔓延。

待到莫瑞斯发现情况不妙时，他已经无能为力了，他无法终止这个进程。

据说，莫瑞斯曾请哈佛大学的一位朋友在Arpanet网上发了一条关于这个蠕虫程序的警报，但由于Arpanet网络已超载，几乎没有什么人注意到或接受到这条信息。

于是，小小的蠕虫程序，在1988年11月2日至11月3日的一夜之间，袭击了庞大的互联网，其速度是惊人的。

表12-1 可以大致反映蠕虫侵袭的时间顺序（表中的时间为美国东部标准时间，Eastern Standard Time）。

1表12-1 蠕虫侵袭互联网时间表莫瑞斯的蠕虫一夜之间攻击了互联网上约6200台V AX系列小型机和Sun工作站，300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告。

DCA的一位发言人宣称，蠕虫不仅攻击了Arpanet系统，而且攻击了军用的MILNET网中的几台主机。

大量数据被破坏，整个经济损失估计达9600万美元。

图12-1反映了蠕虫病毒破坏轨迹。

1Harold Joseph, “Random Bits & Bytes”, Computer & Security, 1989.8., Highland.但是，相信在不久的将来，人类的生活方式必定受其影响而改变。

”这位新闻记者的预言是正确的。

时至今日，电脑已成为我们工作和生活中不可缺少的伴侣。

图12-1 蠕虫破坏轨迹示意图“互联网事件”发生后，美国各种新闻媒介大肆宣扬。

《纽约时报》、《华盛顿邮报》、《今天》等各大报刊连续两周报道了事件的发生、造成的损失、各界人士的反映和肇事者的情况。

一时间满城风雨，人心惶惶。

在此之前，大多数计算机用户对计算机及网络的安全性还是很有信心的，“互联网事件”对广大用户的这种信心无疑是一次沉重的打击。

“互联网事件”同样也极大地震惊了计算机安全人员与其他专业人员。

在莫瑞斯的蠕虫大举进攻之际，许多网络管理员、安全专家和研究人员急切而又灰心，他们甚至不敢相信眼前正在发生的事情。

有一份介绍蠕虫攻击情况的报告是这样开头的：“现在是1988年1月3日清晨3点5分。

我很累了，所以请不要相信下面描述的任何事情……”。

2“互联网事件”的确是一场灾难，但决不是象某些报刊所说的是“计算机系统的末日”。

事实上，清除病毒的工作开展得相当迅速。

11月2日星期三发现病毒，到星期四晚上就公布了一个消毒方案；到周末，病毒已经被控制住了。

随后，美国国防部在Carnegie-Mellon 大学的软件工程学院建立了一个由100名计算机专家组成的应急小组，专门研究国防部门计算机系统对计算机病毒攻击的防卫问题，并及时了解互联网的安全情况。

可以说，“互联网事件”为计算机安全专家敲响了警钟，使之成为研究部门最迫切的研究课题。

在谈及“互联网事件”的影响时，我们自然回想到那巨大的经济损失和艰巨的消毒劳动，也会想到专家们对计算机安全问题的困惑和用户对计算机系统的可靠性的担忧，这是事件影响的一个方面。

事件影响的另外两个方面则更加重要：第一，计算机病毒研究作为一项专门研究，从此登上计算机科学领域的舞台；第二，计算机法（Computer Law）的软弱无力引起社会的普遍关注。

2Harold Joseph, “Random Bits & Bytes”, Computer & Security, 1989.8, Highland.“互联网事件”使得美国人不得不承认，计算机法的普及与计算机科学的发展极不平衡，人们对利用计算机病毒犯罪的看法非常混乱，许多人甚至对此根本没有认识。

“互联网事件”后，所有的报道都认为，肇事者莫瑞斯编写蠕虫程序并非出自恶意，莫瑞斯本人或许直到被推上法庭也不认为自己是犯了罪。

事件公布后，公众对莫瑞斯的态度多种多样：有人愤愤然认为他犯了弥天大罪，法庭应当绞死他；有人爱惜其才华（不能不承认，莫瑞斯编制的蠕虫程序具有极高的技巧），认为这样的青年是国家的财富；也有人持折中态度，认为莫瑞斯犯了错误，但不至于被投进监狱。

种种言论都反映了计算机法律观念的淡薄，暴露了计算机法律管理中的问题和漏洞。

有趣的是，莫瑞斯是美国政府高级计算机安全专家的儿子，其父是致力于计算机安全研究的美国国家计算机安全局的主要科学家。

莫瑞斯从中学起兴趣就转向了计算机，17岁在贝尔（Bell）实验室工作，接着参加哈佛大学计算机计划，在其心理学计算中心当程序员，随后考入康奈尔大学计算机系学习。

雄厚的计算机基础使莫瑞斯具备了制造计算机病毒的能力。

不管莫瑞斯当初编制蠕虫程序的用意是什么，“互联网事件”造成的损失是既成事实。

莫瑞斯于1989年7月被推上美国地方法庭。

二、“蠕虫”病毒案法庭辩论的焦点在对莫瑞斯的审判中，遇到了许多新问题。

由于陪审团成员都是由居住在其管辖区的选举人随机地选出来的，很少有人了解计算机的专业知识，依据一些报告进行审理时，陪审团被计算机专家和辩护律师所使用的计算机术语搞得晕头转向。

法庭辩论的焦点集中在以下几个问题：1. 蠕虫是不是计算机病毒？计算机专家对蠕虫程序有三种见解：蠕虫就是病毒。

许多人认为，蠕虫是一种病毒，它具有计算机病毒的一般特征，如传染性、攻击性、破坏性等。

蠕虫是不同于一般病毒的被动性病毒。

有的专家认为，自从科恩（Frederick B·Cohen）1984年发表有关病毒的研究成果以来，计算机病毒已发展成两个不同的类型：主动型和被动型。

主动型病毒直接损伤和破坏计算机系统，勒海病毒（Lehigh）和巴基斯坦病毒（Pakistani Brain）是主动型病毒的例子。

被动型病毒栖身于后台，它窃取某些程序的口令字，冒充合法用户将病毒程序拷贝到远程计算机中，利用原有的活动天窗3收集信息以攻击系统。

蠕虫病毒是被动型病毒的例子。

蠕虫不是病毒。

以美国著名计算机专家M?斯图尔特?莱因（M Stuart Lynn）为首的技术调查委员会发表的调查报告中断定，莫瑞斯所写的程序从技术上讲不是病毒，而是一种揭露性的攻击程序。

因为病毒对计算机的攻击是非法使用计算机用户的正常操作程序，而蠕虫程序的运行却要借助于计算机操作系统本身的错误和漏洞。

莫瑞斯的蠕虫揭露了计算机系统的弱点，这些弱点是由于人为疏忽或技术落后造成的。

首先，设计网络的电子信件的编程人员，保留了一个秘密的“后门”，他可以很容易地读写到其工作关注的目标。

当编程人员完成任务以后，他忘记关闭这个“后门”。

他设计这个“后门”是为了读写那些管理人员不允许读写的程序。

莫瑞斯发现了这个秘密的“后门”并方便地进入。

与此相类似，系统还存在其它的秘密入口，这些入口还会被其他攻击者所揭露。

3天窗是嵌在操作系统里的一段致病软件。

渗透者利用该软件提供的方法侵入计算机系统而不经检测。

天窗由专门的命令激活，一般不会有人发现它。

天窗是操作系统中可供渗透的一个缺陷，它可能是程序设计人员预留的，也可能是操作系统生产厂家不道德的雇员装入的。

（参见Karger, P. A. and Schell, R. R.,, “Multilevel Security Evaluation: Vulnerability Analysis ”, ESD-TR-74-193, V ol. 2, 1974.）其次，莫瑞斯蠕虫揭露Arpanet计算机网络中的一个大漏洞。

Arpanet网络中的Finger 程序允许用户在远处的计算机上了解近期在其它网络计算机上工作的用户的情况。

莫瑞斯利用了这一程序漏洞，窥探他冲破计算机安全机制的方法。

Finger程序的缺陷众所周知，如果一个很长的信息发送给Finger的话，可以使用户读取军事基地中央控制程序。

剖析过莫瑞斯蠕虫程序的计算机专家声称：莫瑞斯蠕虫程序编程技巧非凡，它巧妙地利用Arpanet网络的三个安全程序。

2. 莫瑞斯制造蠕虫的动机1986年美国《伪造访问设备和计算机诈骗与滥用法》所规定的定罪标准是指故意地或有意地从事法律规定的那些行为。

如果不是“有意地”便不能定罪，莫瑞斯一案争论最激烈的地方也正在于此。

在辩护总结中，莫瑞斯的辩护律师托马斯·吉多鲍尼（Thomas Guidoboni）向陪审团陈述，他承认莫瑞斯制造了病毒，并在Internet 网中传播，但莫瑞斯不是有意地使任何计算机陷于瘫痪，并且也不是有意地去进行传播，与此同时他还尽力去限制蠕虫的继续复制。

当莫瑞斯准备检查他的程序进展时，他发现网络已经过载，不能读取监控器，也不能中止他的程序。

他马上请求在哈佛大学的朋友在Arpanet网络上发出警报和指示如何阻止蠕虫。

虽然由于网络严重过载电子公告只有很少人收到。

吉多鲍尼又讲，莫瑞斯制造这个病毒是其进行的计算机安全方面试验的一部分。

蠕虫所引起的损坏不是永久性的，并且在设计时，莫瑞斯没有设计让病毒进行永久性的破坏。

Unix操作系统环境中，系统用户具有读写被保护的数据和文件的特权，可以读写网络的其它计算机，具有通过计算机系统读、写、删除文件的能力。

莫瑞斯蠕虫通过获取系统用户的特权，传播蠕虫自身到网络中的其它计算机中，同时也可以对数据和程序文件做更严重的破坏动作。

但莫瑞斯蠕虫没有做，用户唯一感受到的损害是计算机合法程序的处理速度显著放慢。

由此可见，莫瑞斯设计蠕虫时，似乎没有使之具有毁灭性的意图。

联邦法官霍华德·芒森（Howard Munson）却指出，莫瑞斯是在他作为康涅尔大学的一名计算机科学研究生时制造出蠕虫的，并使用蠕虫袭击全美计算机的一部分。

他完全了解计算机病毒的危害性。

美国司法部司法官马克·拉希（Mark Rasch）说：“莫瑞斯花费了许多时间，下了很大功夫来研究计划这次袭击，这个蠕虫被设计成尽可能多地进入他人的计算机系统中，并以编程的方式来隐藏自己，挫败被侵袭方。

”康涅尔大学计算机系的一位研究员迪安·克拉尔（Dean Krall）证实说，他已经在莫瑞斯所在大学中使用的计算机的姓名目录中发现了至少三个蠕虫变体。

在法庭调查中克拉尔陈诉到，在进行程序设计时，莫瑞斯将程序包含了控制复制本身速度的码。

3. 莫瑞斯蠕虫造成的经济损失在莫瑞斯受审之前，新闻媒介对莫瑞斯蠕虫造成的损失情况做了大量的夸张性的报道。