Lanzamiento inicial | 1989 |
---|---|
Escrito en | Lenguaje de comandos DIGITAL |
Sistema operativo | Máquinas virtuales |
Tipo | Gusano informático |
El gusano WANK y el gusano OILZ fueron gusanos informáticos que atacaron a los ordenadores DEC VMS en 1989 a través de DECnet . Estaban escritos en lenguaje de comandos DIGITAL . [1]
Se cree que el gusano fue creado por piratas informáticos con sede en Melbourne , el primero creado por uno o más australianos. La Policía Federal Australiana pensó que el gusano fue creado por dos piratas informáticos que utilizaron los nombres Electron y Phoenix . [2] Julian Assange puede haber estado involucrado, pero esto nunca se ha demostrado. [3] [4]
Aproximadamente dos semanas después, una versión modificada del gusano llamada OILZ atacó otros sistemas. La versión original, WANK, tenía errores que impedían el acceso a cuentas sin contraseña. En OILZ, se corrigieron algunos de los problemas del primer gusano, permitiendo la penetración en cuentas sin contraseña y la alteración de contraseñas. El código indicaba que los gusanos evolucionaron con el tiempo y no fueron escritos por una sola persona. [1] [5]
El gusano WANK tenía un mensaje político distintivo; fue el primer gusano importante que tenía un mensaje político. WANK en este contexto significa Worms Against Nuclear Killers (Gusanos contra asesinos nucleares). El siguiente mensaje apareció en la pantalla de un ordenador infectado: [6] [2]
GUSANOS CONTRA ASESINOS NUCLEARES _______________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \_______________________________________________________________/ \ / Su sistema ha sido oficialmente WANKeado / \________________________________________________________/ Hablas de tiempos de paz para todos y luego te preparas para la guerra. |
El gusano apareció por coincidencia en una red DECnet operada por la NASA días antes del lanzamiento de un transbordador espacial de la NASA que transportaba la nave espacial Galileo . En ese momento, hubo protestas de grupos antinucleares con respecto al uso de los módulos de energía basados en plutonio en Galileo . Los manifestantes afirmaron que si este transbordador explotaba como lo hizo el Challenger tres años antes en 1986 , el plutonio derramado causaría una muerte generalizada a los residentes de Florida. [7]
El gusano se propagó a través de la red de forma pseudoaleatoria de un sistema a otro utilizando un algoritmo que convertía la hora del sistema de la máquina víctima en una dirección de nodo de destino candidata (compuesta por un área DECnet y un número de nodo) y posteriormente intentó explotar cuentas débilmente seguras como SYSTEM y DECNET que tenían contraseñas idénticas a los nombres de usuario. El gusano no atacó a las computadoras dentro del área DECnet 48, que era Nueva Zelanda . Un comentario dentro del código fuente del gusano en el punto de esta lógica de ramificación indicaba que Nueva Zelanda era una zona libre de armas nucleares . Nueva Zelanda había prohibido recientemente a los buques estadounidenses de propulsión nuclear atracar en sus puertos, lo que alimentó aún más la especulación dentro de la NASA de que el ataque del gusano estaba relacionado con la protesta antinuclear. [2] La línea "Hablas de tiempos de paz para todos, y luego te preparas para la guerra" está extraída de la letra de la canción de Midnight Oil " Blossom and Blood ". Midnight Oil es una banda de rock australiana conocida por su activismo político y su oposición tanto a la energía nuclear como a las armas nucleares. El nombre del proceso de la segunda versión del gusano que se detectó fue "oilz", una abreviatura australiana para la banda. [8]
Las redes DECnet afectadas incluían las operadas por la Red de Análisis de Física Espacial (SPAN) de la NASA, la Red de Física de Altas Energías ( HEPnet ) del Departamento de Energía de los EE. UU. , CERN y Riken . [6] La única separación entre las redes era una división preestablecida de direcciones de red (las "Áreas" de DECnet). Por lo tanto, el gusano, al elegir una dirección de destino aleatoria, podía afectar a todas las redes infectadas por igual. El código del gusano incluía 100 nombres de usuario VAX comunes que estaban codificados en su código fuente. Además de su mensaje político, el gusano contenía varias características de naturaleza aparentemente lúdica. Las palabras "wank" y "wanked" son términos del argot utilizados en muchos países para referirse a la masturbación . Además, el gusano contenía "más de sesenta" mensajes aleatorios que mostraba a los usuarios, incluidos "Vote anarquista" y "El FBI lo está vigilando". El gusano también fue programado para engañar a los usuarios haciéndoles creer que se estaban eliminando archivos mostrando un diálogo de eliminación de archivos que no se podía cancelar, aunque en realidad el gusano no borró ningún archivo. [1] [2]
R. Kevin Oberman (del DOE) y John McMahon (de la NASA) escribieron versiones separadas de un procedimiento anti-WANK y las implementaron en sus respectivas redes. Explotó el hecho de que antes de infectar un sistema, WANK buscaría NETW_(random number) , que es una copia propia, en la tabla de procesos. Si encontraba uno, el gusano se autodestruiría. Cuando anti-WANK se ejecutaba en un sistema no infectado, creaba un proceso llamado NETW_(random number) y simplemente permanecía allí. Sin embargo, anti-WANK solo funcionaba contra la versión anterior del gusano, porque el nombre del proceso del gusano en una versión posterior se cambió a OILZ . [2] [9]
El 22 de octubre de 1989 se publicó una segunda versión de WANK, llamada OILZ. A diferencia de la versión anterior de WANK, esta versión estaba diseñada para dañar realmente los ordenadores que infectaba, en lugar de solo afirmar falsamente que lo hacía, y modificaba las contraseñas de los ordenadores infectados. Al igual que la versión anterior de WANK, este programa utilizaba la base de datos RIGHTSLIST para encontrar nuevos ordenadores que infectar. El programa WANK_SHOT fue diseñado por Bernard Perrow del Instituto Nacional Francés de Física Nuclear y de Partículas para cambiar el nombre de RIGHTLIST y reemplazarlo con una base de datos ficticia. Esto haría que WANK fuera tras la base de datos ficticia, que podría estar diseñada con una bomba lógica oculta . WANK_SHOT se proporcionó entonces a los administradores de sistemas de las redes afectadas para que lo instalaran en sus ordenadores. Aún así, pasaron semanas hasta que el gusano se borró por completo de la red. [1] [5]