Το σκουλήκι του δικτύου CHRISTMA EXEC – 35 χρόνια και συνεχίζουν!

Χρονική σήμανση: 1 Δεκεμβρίου 2022 3:35 μ.μ.
Κόμβος πηγής: 1765547

by
Πολ Ντόκλιν

Ξεχάστε τον Sergeant Pepper και το Lonely Hearts Club Band, που έμαθε στο συγκρότημα να παίζει πριν από 20 μόλις χρόνια σαν σήμερα.

Ο Δεκέμβριος του 2022 βλέπει το 35η επέτειος του πρώτου μεγάλου αυτοεξαπλούμενου ιού υπολογιστών – το διαβόητο CHRISTMA EXEC σκουλήκι που κατέστρεψε προσωρινά τα μεγάλα δίκτυα mainframe της ημέρας…

… όχι από τυχόν σκόπιμα κωδικοποιημένες παρενέργειες, όπως κρυπτογράφηση αρχείων ή διαγραφή δεδομένων, αλλά απλώς με τη δημιουργία υπερβολικού εύρους ζώνης δικτύου για τον δικό του μη εξουσιοδοτημένο σκοπό.

Ως δόλωμα για να συγκαλύψει το γεγονός ότι διάβαζε στη δεκαετία του 1980 ισοδύναμα της IBM του βιβλίου διευθύνσεων email σας (NAMES) και το αρχείο γνωστών κεντρικών υπολογιστών σας (NETLOG) για να βρεθούν όσο το δυνατόν περισσότεροι νέοι παραλήπτες του κακόβουλου λογισμικού στους οποίους θα μπορούσε να αποσταλεί, το κακόβουλο λογισμικό εμφάνισε αυτό:

                * * *** ***** ******* ********* ************* ΕΝΑ ******* *** ******** ΠΟΛΥ ΧΑΡΟΥΜΕΝΟΣ ****** ***** *************** ΧΡΙΣΤΟΥΓΕΝΝΑ ******************* ********** ************* ΚΑΙ ΤΟ ΚΑΛΥΤΕΡΟ ΜΟΥ ************************************ ΕΥΧΕΣ ****************************************************** * ΓΙΑ ΤΟ ΕΠΟΜΕΝΟ ****** ****** ΕΤΟΣ ******

Αν αναρωτιέστε γιατί ο ιός είναι ευρέως γνωστός ως CHRISTMA EXEC, παρά με την πλήρη λέξη CHRISTMAS...

…αυτό συμβαίνει επειδή τα ονόματα αρχείων περιορίζονταν σε οκτώ χαρακτήρες, τους οποίους θα μπορούσε να ακολουθήσει ένα κενό και αυτό που σήμερα θα ονομάζαμε "επέκταση" του EXEC προκειμένου να τα μετατρέψετε σε σενάρια που θα μπορούσαν να εκτελεστούν απευθείας από τον χρήστη – εκτελέστηκε, στην τεχνική ορολογία.

Ο ίδιος ο ιός γράφτηκε στην ισχυρή γλώσσα δέσμης ενεργειών της IBM που βασίζεται σε κείμενο REXX (το ηχηρό όνομα Αναδιαρθρωμένος Εκτεταμένος Εκτελεστής), επομένως ένας μη προγραμματιστής που κοιτάζει το μήνυμα πιθανότατα θα το αναγνώριζε ως "κώδικα προγράμματος" και επομένως τείνει να το αγνοεί ως ασήμαντο και άσχετο, παρ' όλα αυτά που μπορεί να φαίνεται ενδιαφέρον.

Εκτός από το ότι ο συγγραφέας του ιού βρήκε έναν ευχάριστο τρόπο να ενσωματώσει ένα εκπαιδευτικό δέλεαρ απευθείας στον ίδιο τον κώδικα, ο οποίος ξεκινά με μια παρατήρηση (όπως στη γλώσσα C, κείμενο μεταξύ /* και */ στα προγράμματα REXX αντιμετωπίζεται ως σχόλιο και αγνοείται όταν το αρχείο χρησιμοποιείται)…

/************************/ /* ΑΦΗΣΤΕ ΑΥΤΟ ΝΑ ΕΚΤΕΛΕΙ */ /* */ /* ΕΚΤΕΛΕΣΕΙ */ /* */ /* ΚΑΙ */ /* */ /* ΝΑ ΠΕΡΑΣΕΙΣ ΚΑΛΑ! */ /************************/

…και στη συνέχεια προσφέρει τις ακόλουθες ευχάριστες συμβουλές σε μη τεχνικούς:

/* Η περιήγηση σε αυτό το αρχείο δεν είναι καθόλου διασκεδαστική, απλώς πληκτρολογήστε ΧΡΙΣΤΟΥΓΕΝΝΙΑ από cms */

Το CMS είναι συντομογραφία Σύστημα παρακολούθησης συνομιλίας, ένα περιβάλλον γραμμής εντολών πάνω από το αξιοσέβαστο λειτουργικό σύστημα VM/370 της IBM και τις πολλές παραλλαγές του, το οποίο πρόσφερε σε μεμονωμένους χρήστες μια εικονική μηχανή σε πραγματικό χρόνο που συμπεριφερόταν σαν υπολογιστής μόνος τους, με δικό της χώρο στο δίσκο για την αποθήκευση προσωπικών αρχείων και προγράμματα.

Ουσιαστικά, ο χρήστης δεν χρειάστηκε να διδαχθεί για να φύγει από τον τελικό -S από τη λέξη CHRISTMAS, επειδή το CMS θα αγνοούσε αυτόματα τυχόν επιπλέον χαρακτήρες και θα αναζητούσε CHRISTMA EXEC, το οποίο ήταν το ίδιο το πρόγραμμα σεναρίου που μόλις είχε λάβει ο χρήστης χωρίς να το περιμένει ή να το ζητήσει.

Όπως αναφέρθηκε παραπάνω, ο κώδικας εμφάνιζε πράγματι την τέχνη ASCII του Χριστουγεννιάτικου Δέντρου – ή, πιο συγκεκριμένα, την τέχνη EBCDIC, δεδομένου ότι η IBM είχε περίφημα το δικό της σύστημα κωδικοποίησης χαρακτήρων γνωστό ως Εκτεταμένος δυαδικός κωδικός δεκαδικής ανταλλαγής κώδικα (προφέρεται ebb-si-dick).

Αλλά πέρασε και μέσα σου NAMES και NETLOG αρχεία, τα οποία απαριθμούσαν άλλους χρήστες και υπολογιστές με τους οποίους επικοινωνούσατε τακτικά και αντιγράφηκαν σε όλα αυτά, έτσι ώστε για κάθε χρήστη που πληκτρολόγησε αθώα CHRISTMAS στη γραμμή εντολών…

…μια θάλασσα από αντίγραφα του ιού (20? 50? 200?) θα διανεμόταν, ενδεχομένως σε όλο τον κόσμο, και αν κάποιος από αυτούς τους παραλήπτες (20? 50? 200?) δακτυλογραφούσε αθώα CHRISTMAS στη γραμμή εντολών…

…θα διανεμόταν μια θάλασσα από αντίγραφα του ιού, και ούτω καθεξής, και ούτω καθεξής.

Αποχρώσεις του μέλλοντος

Όπως είπαμε μέσα το podcast αυτής της εβδομάδας, όπου συζητήσαμε αυτό το σπερματικό σκουλήκι:

[Αυτό είναι ακριβώς όπως το σύγχρονο κακόβουλο λογισμικό μακροεντολών που λέει στον χρήστη, «Γεια, οι μακροεντολές είναι απενεργοποιημένες, αλλά για την «πρόσθετη ασφάλεια» σας πρέπει να τις ενεργοποιήσετε ξανά… γιατί να μην κάνετε κλικ στο κουμπί; Είναι πολύ πιο εύκολο έτσι».

Πριν από 35 χρόνια, οι συντάκτες κακόβουλου λογισμικού είχαν ήδη καταλάβει ότι αν ζητήσετε από τους χρήστες να κάνουν κάτι που δεν τους συμφέρει καθόλου, κάποιοι από αυτούς, ενδεχομένως πολλοί από αυτούς, θα το κάνουν.

Επισημάναμε επίσης ότι:

[Το σκουλήκι του Χριστουγεννιάτικου Δέντρου] θα έπρεπε να ήταν μια προειδοποιητική βολή σε όλα τα τόξα μας, αλλά νομίζω ότι ένιωσα μια μικρή λάμψη στο τηγάνι.

Μέχρι ένα χρόνο αργότερα - μετά ήρθε το Internet Worm, το οποίο φυσικά επιτέθηκε σε συστήματα Unix και εξαπλώθηκε παντού.

Και μέχρι τότε νομίζω ότι όλοι είχαμε συνειδητοποιήσει, «Ω-ω, αυτή η σκηνή με ιούς και σκουλήκια θα μπορούσε να αποδειχθεί αρκετά ενοχλητική».

Αν κάναμε λάθος, ε;

Επιλεγμένη εικόνα του τερματικού IBM 3279 χάρη στον χρήστη Ασπίδα για τα μάτια σας μέσω Wikimedia.

Σφραγίδα ώρας:

Περισσότερα από Γυμνή ασφάλεια