El 1988 Internet no existia i, al seu lloc, funcionava –només als Estats Units- una altra xarxa denominada Arpanet que havia estat creada pel Departament de Defensa per connectar ordinadors d'institucions acadèmiques i estatals nord-americanes. En total, els ordinadors connectats eren uns 60.000 i un 10% d'ells van resultar infectats per un el cuc de Morris, un virus que es va convertir (involuntàriament) en el protagonista del qual es considera el primer atac cibernètic de la història.
L'autor
El cuc de Morris va ser un creació de Robert Tappan Morris, un graduat de la Universitat de Cornell que, amb la seva creació, pretenia (segons va dir) mesurar la mida de la xarxa Arpanet i quantificar el nombre d'ordinadors connectats. Per si mateix, el després anomenat Cuc de Morris eren un programa que s'autoreplicava i, per tant, infectava de manera automàtica tots els ordinadors. El virus explotava diverses vulnerabilitats en els sistemes Unix, que eren comuns a les xarxes universitàries i d'investigació de l'època. Utilitzava tres vectors principals per infectar màquines: la possibilitat d'executar comandos en sistemes remots que brindava sendmail (el sistema de correu electrònic més habitual llavors), la debilitat de les contrasenyes habituals en l'època i l'escassa seguretat que oferia Fingerd, un programa d'ús comú per obtenir informació sobre usuaris en sistemes remots que es podia utilitzar fàcilment per executar-se a qualsevol màquina connectada a la xarxa. En origen, el virus no pretenia causar mal|dany, però en estar programat per autoreplicar-se, sobrecarregava les màquines infectades, que no podien dedicar-se a les seves tasques.
Judici i condemna
El cost estimat dels danys i la recuperació posterior es va calcular entre 0,1 i 10 milions de dòlars. Els administradors de sistemes de tot el país es van afanyar a intentar detenir la propagació del cuc i restaurar la funcionalitat de les seves xarxes. Després d'una investigació, Robert Tappan Morris va ser identificat com el creador del cuc i el 1990, va ser jutjat sota la Computer Fraud and Abuse Act de 1986. Se'l va condemnar a pagar una multa de 10.000 dòlars, a tres anys de llibertat condicional i a 400 hores de serveis comunitaris.