Nel novembre del 1988, un giovane studente della Cornell University, Robert Tappan Morris, rilascia un programma che avrebbe cambiato per sempre la storia di Internet. Concepito come un esperimento accademico per misurare la dimensione della rete, il worm Morris finisce per infettare circa 6.000 dei 60.000 sistemi allora connessi, equivalenti a quasi il 10% di Internet. L’evento, avvenuto prima ancora dell’avvento del World Wide Web, segna l’inizio dell’era moderna della cybersecurity e introduce il concetto di malware autoreplicante.
Cosa leggere
Storia del worm Morris
Robert Morris, figlio di un ingegnere della National Security Agency (NSA), crea il worm durante i suoi studi di informatica a Cornell. L’obiettivo dichiarato è quello di “misurare” la rete Internet nascente, calcolando quanti computer fossero effettivamente connessi. Tuttavia, un errore di programmazione trasforma il progetto in un disastro globale. Il worm viene lanciato il 2 novembre 1988 da un terminale del Massachusetts Institute of Technology (MIT) — usato da Morris per nascondere la propria identità — e in meno di 24 ore paralizza gran parte della rete accademica e governativa statunitense. Le vittime includono istituzioni di primo piano come Berkeley, Harvard, Stanford, Princeton, la Nasa e il Lawrence Livermore National Laboratory. Il worm sfrutta vulnerabilità note dei sistemi Unix BSD, tra cui una backdoor nel servizio di posta elettronica (sendmail) e un bug nel programma finger, utilizzato per ottenere informazioni sugli utenti. Scritto in linguaggio C e progettato per macchine VAX e Sun-3, il codice si replica autonomamente, intasando le risorse dei sistemi fino a causare rallentamenti, crash e blocchi completi.
Diffusione e meccanismi di infezione
Il worm Morris si distingue da un virus tradizionale perché non necessita dell’intervento umano per diffondersi. Si propaga sfruttando connessioni di rete attive e replica se stesso su sistemi vulnerabili. Ogni copia crea nuove istanze, causando un effetto valanga che, nel giro di ore, manda in tilt la backbone accademica americana, la NSFnet, successore della storica Arpanet. Sebbene il worm non distrugga file né rubi dati, il suo impatto è devastante: sovraccarica i processori, rallenta i server e congestiona la rete fino a renderla inutilizzabile. Molte università e laboratori decidono di scollegarsi completamente da Internet per contenere la propagazione, rimanendo isolate anche per una settimana. L’FBI e le università coinvolte istituiscono gruppi di emergenza per analizzare il codice e sviluppare le prime patch di sicurezza, gettando le basi per le future Computer Emergency Response Teams (CERT).
Impatto sulle istituzioni colpite
L’infezione colpisce duramente il mondo accademico e scientifico. Le università di Berkeley e Harvard segnalano blocchi totali, mentre Princeton e Stanford riportano ritardi nei sistemi di comunicazione. Anche enti governativi come la Nasa e il Lawrence Livermore National Laboratory subiscono interruzioni critiche nelle operazioni di ricerca. I danni economici vengono stimati tra 91.700 euro e diversi milioni, includendo i costi di recupero, il tempo perso e il ripristino dei sistemi. L’incidente spinge le istituzioni a ripensare la sicurezza informatica come disciplina autonoma, portando alla nascita di protocolli e pratiche che diventeranno standard nel decennio successivo.
Conseguenze legali per Robert Morris
Le indagini dell’FBI portano rapidamente a individuare il responsabile. Un amico di Morris, parlando con un giornalista, rivela involontariamente le sue iniziali, permettendo agli investigatori di risalire a Cornell. Le analisi sui file sorgente e sui log di rete confermano il coinvolgimento diretto di Robert Morris. Nel 1989, Morris viene accusato ai sensi del Computer Fraud and Abuse Act del 1986, diventando il primo individuo nella storia condannato per un crimine informatico di questo tipo. La pena include una multa, tre anni di libertà vigilata e 400 ore di servizio comunitario. Pur dichiarando di non aver avuto intenzioni distruttive, Morris ammette l’errore e riconosce la gravità delle conseguenze. Dopo la condanna, prosegue la sua carriera accademica e diventa in seguito professore al MIT, contribuendo allo sviluppo di infrastrutture di rete e software sicuri.
Eredità e impatto sulla cybersecurity
Il worm Morris segna la nascita della moderna consapevolezza in materia di sicurezza informatica. L’episodio porta alla creazione del primo CERT (Computer Emergency Response Team) presso la Carnegie Mellon University e spinge università e istituzioni a collaborare per lo sviluppo di protocolli di sicurezza standardizzati. L’incidente ispira inoltre la revisione delle leggi sulla criminalità informatica e influenza la progettazione delle prime suite antivirus. Nel mondo accademico, il worm viene studiato come caso di studio nei corsi di informatica e etica tecnologica. Negli anni successivi, la lezione del 1988 rimane attuale: nel 2024, un malware soprannominato Morris II, basato su intelligenza artificiale, mostra dinamiche simili, evidenziando quanto i principi fondanti dei worm autoreplicanti restino immutati, anche in un’epoca dominata dal cloud e dalle AI agentiche.
Riflessioni e eredità contemporanea
A più di tre decenni di distanza, l’attacco del worm Morris viene ricordato come l’evento che ha reso la sicurezza informatica una priorità globale. L’incidente mostra come anche un esperimento innocente possa sfuggire al controllo e provocare danni su scala planetaria. Gli esperti di oggi riconoscono che il worm non fu un atto di sabotaggio, ma un punto di svolta tecnologico e culturale: la prima dimostrazione pratica di come un codice possa infettare in autonomia un’intera rete. La storia di Morris rimane una lezione di etica, responsabilità e consapevolezza digitale, ancora rilevante nell’era dei malware potenziati dall’intelligenza artificiale.
