En mi artículo anterior conté la historia de los primeros gusanos y virus. Curiosamente, un matemático innovador, John von Neumann, y un novelista de ciencia ficción, John Brunner, los conceptualizaron antes de que alguien los codificara.
A menudo vemos este tipo de cosas en el mundo de la ciencia y la tecnología. Uno de los ejemplos citados con más frecuencia es cómo el creador de Star Trek, Gene Roddenberry, predijo los teléfonos inteligentes y las tabletas, y los equipos de Enterprise en la serie original y The Next Generation utilizaron dispositivos de apariencia y comportamiento muy similares en consecuencia.
La gente del mundo de la ciencia, la tecnología y el mundo académico utilizó las computadoras e Internet décadas antes que la gente corriente. La llegada de las PC, la “World Wide Web” de Berners-Lee y los dispositivos móviles basados en ARM, en ese orden, trajeron la informática y las redes informáticas a la vida de todos.
Hay dos diferencias clave entre los eventos de mi primer artículo y los de este. En el primer artículo, prácticamente sólo las personas en STEM usaban computadoras, ARPAnet e Internet. Por lo tanto, el daño causado por la primera generación de malware solo afectaría a grupos específicos de personas. La segunda diferencia clave es que la primera generación de malware tenía una intención experimental y no maliciosa. Una comprensión de la historia de la cultura hacker demostrará que los programadores y técnicos informáticos, especialmente los más antiguos, estaban poderosamente impulsados por la búsqueda del conocimiento. Tengo la fuerte sensación de que algunas de las cadenas del primer malware, como “Soy el Creeper, atrápame si puedes”. y los mensajes de derechos de autor en la serie de virus Brain, estaban destinados a ser divertidos con otras personas en su campo. Bromas internas, por así decirlo.
A medida que finales de los años 1980 dieron paso a los años 1990, se hizo cada vez más común ver microcomputadoras no sólo en las oficinas, sino también en los hogares. Recuerdo que me maravilló todo el tiempo que pasaba jugando con los Commodore 64 cuando era pequeña. Realmente eran un gran problema en aquel entonces. Luego, a finales de 1992, mi familia adquirió un 486 con Windows 3.1 y probablemente fui el primer niño de la escuela con acceso a Internet en casa. Incluso a esa temprana edad, podía ver cómo estas tecnologías cambiarían radicalmente la vida de las personas. El estatus de “primero en adoptar” en el hogar de mi infancia probablemente jugó un papel importante en cómo crecí hasta convertirme en investigador de seguridad de TI.
Por lo tanto, vale la pena señalar que la segunda generación de malware, el tema central de este artículo, fue probablemente la primera en afectar a los consultorios médicos, recepcionistas, personas que declaran sus impuestos desde casa y niñas pequeñas que se sintieron obligadas a descargar juegos Apogee desde una BBS. (¡Gracias Papa!)
¡Mira mamá! ¡No permisos!
Microsoft Windows 3.1 fue un factor importante para introducir computadoras personales en hogares y oficinas a principios de la década de 1990, a pesar de que la plataforma Amiga de Commodore dominaba Europa.
Pero hasta que se lanzó Windows XP en, en el lado del cliente, Windows era simplemente una GUI para MS-DOS. Eso significaba que su partición estaría formateada con alguna versión de FAT (Tabla de asignación de archivos) u otra. Todas las versiones de FAT carecen de soporte para sistemas operativos multiusuario y, coincidentemente, carecen de cualquier tipo de permiso a nivel de archivo o carpeta. Inicie la máquina y tendrá acceso completo a todo, sin necesidad de contraseñas ni descifrado. Lo que es especialmente preocupante es que Windows 3.1, 95 y 98 fueron los primeros sistemas operativos que millones de personas en todo el mundo utilizaron para acceder a Internet.
Aunque el malware puede transmitirse fácilmente a través de medios extraíbles, como disquetes y discos ópticos, Internet abrió el mayor vector de malware en la historia de la informática. ARPAnet comenzó en 1969, y la Internet moderna, junto con los ISP comerciales, comenzó a finales de los años 1980.
Bueno, cuando la mayoría de nosotros usábamos sistemas operativos Windows basados en MS-DOS para acceder a Internet a finales de los años 1980 y 1990, estábamos abriendo nuestras PC a una fuente masiva de malware sin ninguna protección de cuenta de usuario o sistema de archivos. Si un archivo ejecutable, independientemente de su origen, se iniciara en nuestras PC, ni siquiera tendría que luchar de ninguna manera para causar estragos. Cuando no hay permisos, todo se permite automáticamente.
En 1989, Windows 2.1 y MS-DOS 4.01 eran los sistemas operativos x86 más actuales de Microsoft. OS/2 sólo se ejecutaba en hardware PS/2. Aunque las microcomputadoras PS/2 de IBM usaban x86, nunca despegaron comercialmente como lo hicieron las máquinas “compatibles con PC IBM”. Sin embargo, todavía vemos un remanente de PS/2 en muchas de nuestras PC incluso hoy en día, nuestros puertos de teclado y mouse PS/2. Windows 1.x, 2.0 y MS-DOS 3.3 y versiones anteriores todavía se usaban con frecuencia. Ese era el entorno en el que nos encontrábamos en el mundo de la informática de Microsoft, cuando se descubrió el primer malware que tuvo un impacto significativo en esa plataforma.
bola fantasma
El genio informático islandés Friðrik Skúlason descubrió el virus Ghostball en octubre de 1989. Evolucionó a partir de Viena. El primer virus de Viena fue descubierto en abril de 1988 por Franz Swoboda y, con el tiempo, surgieron cientos de variantes. (Skúlason fundó la empresa de antivirus F-Prot en 1993).
Ghostball, al igual que Vienna, era un ejecutable .COM dirigido a otros ejecutables .COM en sistemas operativos basados en MS-DOS. Por tanto, todas las versiones de MS-DOS y el cliente Windows eran vulnerables. Al cambiar la marca de tiempo de los archivos a 62 segundos (que no se convertiría a 1:02), todo el sistema operativo fallaría y, por lo general, era necesario reformatear completamente el disco y reinstalar el sistema operativo.
Generalmente se propaga a través de disquetes infectados, pero también se propaga a través de Internet.
Si el uso de Internet en los hogares estuviera siquiera en los niveles de 1997, Ghostball y otras variantes de Viena podrían haber causado mucho más daño que lo que hicieron. Aún así, al menos cientos de miles de PC basadas en Microsoft se vieron afectadas, con pérdidas de hardware y datos por valor de muchos millones de dólares. Realmente no sé por qué Microsoft no respondió lanzando un sistema operativo multiusuario, como UNIX y otros sistemas operativos comunes han estado usando desde al menos la década de 1970. Fue un descuido terrible, por decir lo menos, especialmente considerando el control de Microsoft sobre los OEM.
Miguel Ángel
El artista renacentista italiano Miguel Ángel nació el 6 de marzo de 1475. En 1991, el Miguel Ángel que conocía era la Tortuga Ninja con máscara naranja.
En febrero de ese año se descubrió el virus Miguel Ángel, ya sea en Australia o Nueva Zelanda. Se llamó Miguel Ángel porque era una “bomba de tiempo” del sector de arranque que estaba codificada para lanzarse desde su estado inactivo en su cumpleaños número 517, el 6 de marzo de 1992. Apuntaba a todos los sistemas operativos basados en DOS, incluidas todas las versiones de Windows en el tiempo. Si un disquete o HDD fuera de arranque múltiple con un sistema operativo que no sea DOS, el sistema operativo que no sea DOS aún se vería afectado debido al MBR compartido.
Uno habría pensado que su descubrimiento en febrero de 1991 le habría dado al mundo de la informática mucho tiempo para deshacerse de él antes del 6 de marzo de 1992. Pero, por desgracia, en enero de 1992, se descubrió que muchos productos, incluido el de Intel. cola de impresión LANSpool, se enviaron con él. ¡Ups!
Muchas personas que lo sabían, especialmente en centros de datos y entornos institucionales, pudieron deshacerse de él en sus máquinas antes del 517 cumpleaños de Miguel Ángel . Pero la mayoría de las personas que utilizaban PC basadas en DOS en oficinas y hogares desconocían los programas antivirus. Afortunadamente, muchos de ellos todavía escucharon noticias que les advertían que configuraran los relojes de su BIOS para el 7 de marzo o que dejaran sus PC apagadas el 6 de marzo .
El fundador de McAfee, John McAfee, afirmó que millones de PC estaban infectadas. Otros informes dijeron que sólo cientos de PC lo eran. Especialmente considerando los problemas personales del Sr. McAfee a partir de, no creo que alguna vez estemos seguros del número exacto.
Los primeros spambots
Antes de que la “World Wide Web” de Sir Tim Berners-Lee despegara realmente a finales de la década de 1990, muchos de los primeros en adoptar el uso de Internet en oficinas y hogares a finales de la década de 1980 y principios de la de 1990 utilizaban el correo electrónico, BBS, USENET e IRC.
A principios de la década de 1990, mi marido, Sean Rooney, era experto en seguridad informática para el gobierno canadiense. Podía imaginar rootkits de spambot, en diversas variedades de malware, despegando a medida que más y más personas comenzaban a utilizar diversos servicios en Internet. Hizo, en sus palabras, una “demostración con fuego real” de malware spambot. Me dice que nadie lo tomó en serio. Unos años más tarde, alrededor de 1996, el malware spambot se vio “en estado salvaje” por primera vez.
En mi próximo artículo, explicaré los principales eventos de malware en el resto de la década de 1990. Fue entonces cuando las cosas empezaron a ponerse realmente interesantes…
Referencias
Ghostballs: la enciclopedia de virus: http://virus.wikidot.com/ghostballs
Viena- La Enciclopedia de Virus: http://virus.wikidot.com/vienna
Virus.Multi.Ghostball.2351.a- Securelist: http://www.securelist.com/en/descriptions/old18707
Locura de Miguel Ángel:
http://www.research.ibm.com/antivirus/SciPapers/White/VB95/vb95.distrib-node7.html
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Michelangelo-f-prot.com: http://www.f-prot.com/virusinfo/descriptions/michhelangelo.html