Morris Worm, anniversario storico: il codice che paralizzò il 10% di Internet e cambiò la cybersecurity

Il Morris Worm, creato 37 anni fa come esperimento accademico, infettò oltre 6.000 sistemi connessi a Internet, causando rallentamenti e blocchi diffusi. Da lì si iniziò a parlare di buffer overflow, backdoor, codice exploit e di sicurezza informatica.
Michele Nasi
Pubblicato il 4 nov 2025
Morris Worm, anniversario storico: il codice che paralizzò il 10% di Internet e cambiò la cybersecurity

Oggi la sicurezza informatica non è più un optional: dai sistemi bancari alle infrastrutture critiche, dalle reti aziendali ai dispositivi personali, la protezione dei dati e la resilienza delle reti rappresentano una priorità assoluta. Guardarsi indietro, tuttavia, spesso aiuta a comprendere meglio le radici delle tematiche con le quali ci interfacciamo ogni giorno. Un esempio emblematico è Morris Worm, il primo worm a diffondersi su larga scala nel 1988.

Ne parliamo perché in questi giorni ricorre l’anniversario della diffusione di quello storico “pezzo di codice”. Sebbene concepito come un esperimento accademico, la sua diffusione incontrollata paralizzò circa il 10% dei sistemi connessi a Internet, rivelando in modo drammatico quanto vulnerabili fossero le reti dell’epoca.

Il worm Morris, origine della sicurezza informatica moderna

Nel novembre 1988, un evento apparentemente marginale segnò per sempre la storia della sicurezza informatica. Robert Tappan Morris, dottorando alla Cornell University, iniziò la distribuzione di quello che sarebbe passato alla storia come Morris Worm, un software che nel giro di 24 ore impattò negativamente sul funzionamento di una fetta importante della rete Internet. All’epoca rappresentò un disastro tecnico senza precedenti.

Contrariamente ai malware concepiti con intento distruttivo, il worm progettato da Morris fu un esperimento mal calibrato. L’obiettivo del giovane studente era stimare la dimensione della rete, ma un errore di programmazione provocò una serie di nefaste “conseguenze indesiderate”.

Nel 1988, il concetto di “Internet globale” era ancora agli albori. Il World Wide Web, la cui nascita è datata 12 marzo 1989 per volontà del “padre” Tim Berners-Lee, non esisteva: la rete si basava sull’infrastruttura NSFNET, erede dell’ARPANET, nata per collegare università e centri di ricerca. Si stimava che fossero complessivamente connessi circa 60.000 sistemi; il Morris Worm infettò oltre 6.000 di essi.

Le perdite economiche, difficili da quantificare, oscillano tra i 100.000 dollari e alcuni milioni, ma l’impatto più duraturo fu di tipo culturale: la consapevolezza che la sicurezza informatica era una disciplina necessaria, non un’opzione.

Anatomia di un esperimento fuori controllo

Il codice, scritto in linguaggio C, prendeva di mira sistemi BSD UNIX — in particolare macchine VAX (Virtual Address eXtension) di Digital Equipment Corporation (DEC) e Sun-3 basate su architettura Motorola 68020 e sistema SunOS — sfruttando due vulnerabilità chiave:

  • Una backdoor nel sistema di posta elettronica.
  • Un bug nel programma finger, utilizzato per identificare gli utenti connessi alla rete.

A differenza dei virus tradizionali, il worm non necessitava di un file ospite per replicarsi: era in grado di autopropagarsi autonomamente, sfruttando le connessioni attive tra i nodi della rete.

Morris, noto per il suo spirito da sperimentatore, mostrò comunque cautela: per mascherare la propria identità, decise di rilasciare il codice non dai server della Cornell, ma si servì di un computer  esterno alla rete. Tuttavia, la sua precauzione non bastò a nascondere le tracce.

Le vulnerabilità chiave sfruttate

Il daemon fingerd integrato in BSD UNIX utilizzava la funzione gets() per leggere l’input utente senza controllo della lunghezza del buffer. Morris inviava una stringa malformata che sovrascriveva lo stack e inseriva shellcode arbitrario, in modo da ottenere una shell remota come utente nobody o, in alcuni casi, privilegi elevati.

Vi ricorda nulla? L’exploit messo a terra da Morris è considerato come uno dei primi casi di buffer overflow remoto sfruttato in rete.

Il codice di Morris sfruttava, come accennato in precedenza, anche una backdoor nel sistema di posta elettronica sendmail. Il daemon sendmail era spesso configurato in modalità di debug, permettendo l’uso del comando “DEBUG” o “WIZ”. Il worm sfruttava questa modalità per iniettare comandi direttamente all’interno del processo di posta. In questo modo, sendmail eseguiva il codice shell del worm, permettendogli di ottenere un prompt remoto e avviare la copia di sé stesso sul sistema bersaglio.

Molti sistemi UNIX del tempo, inoltre, utilizzavano la cosiddetta trusted host authentication, basata su appositi file di sistema. Se un host era elencato come “trusted”, era possibile connettersi senza password. Il worm leggeva il contenuto di questi file e tentava connessioni automatiche agli host elencati, sfruttando la fiducia reciproca tra i nodi per propagarsi rapidamente all’interno delle reti universitarie.

Un contagio digitale senza precedenti

L’impatto del worm fu devastante. Non distrusse file o cancellò dati, ma provocò rallentamenti massicci, blocchi dei sistemi e ritardi nei messaggi di rete. I server, saturati dalle continue repliche del worm, cessavano di rispondere, costringendo molti amministratori di sistema a disconnettere intere reti o ripulire completamente le macchine.

Tra le vittime figuravano istituzioni di prim’ordine come Berkeley, Harvard, Princeton, Stanford, la NASA e il Lawrence Livermore National Laboratory. In alcune università, i sistemi rimasero offline per quasi una settimana, segnalando quanto Internet fosse allora fragile e interdipendente.

L’indagine dell’FBI e la nascita della legge contro i crimini informatici

Il clamore mediatico portò rapidamente alla mobilitazione dell’FBI. Morris cercò di inviare messaggi anonimi per spiegare e scusarsi, ma un amico rivelò involontariamente le sue iniziali. Le indagini successive e l’analisi dei file confermarono la sua responsabilità.

Morris fu incriminato in base al Computer Fraud and Abuse Act (CFAA) del 1986, una legge appena approvata per fronteggiare i nuovi crimini digitali. Condannato nel 1989, evitò la prigione ma ricevette una multa, tre anni di libertà vigilata e fu chiamato a svolgere 400 ore di servizi sociali.

L’eredità del Morris Worm

Il caso Morris non solo diede origine alla prima condanna per crimine informatico negli USA, ma stimolò anche la creazione di un CERT (Computer Emergency Response Team) nazionale, un modello poi adottato in tutto il mondo per gestire incidenti di sicurezza.

A distanza di decenni, il suo lascito si estende anche al dibattito etico: fino a che punto può spingersi la curiosità scientifica prima di diventare rischio collettivo?

Ti consigliamo anche

Proteggi i tuoi dispositivi con TotalAV: ora puoi averlo con l'80% di sconto
Offerte

Proteggi i tuoi dispositivi con TotalAV: ora puoi averlo con l'80% di sconto
Da NordVPN è già tempo di Black Friday: 74% di sconto e 3 mesi extra gratis
Offerte

Da NordVPN è già tempo di Black Friday: 74% di sconto e 3 mesi extra gratis
Vulnerabilità critica in AMD Zen 5: RDSEED può generare chiavi prevedibili
Business

Vulnerabilità critica in AMD Zen 5: RDSEED può generare chiavi prevedibili
Scopri Avast Free: l'antivirus gratuito più completo (download)
Antivirus

Scopri Avast Free: l'antivirus gratuito più completo (download)
Link copiato negli appunti