peron:~$ cat wank_el_gusano.txt
El gusano WANK fue un gusano informático que atacó en 1989 computadoras DEC VAX dotadas con el sistema operativo VMS que se encontraban enlazadas a la red de datos de Digital Equipment Corporation, la DECnet. Estaba escrito en lenguaje de comandos DCL.
Los gusanos son una categoría de programas informáticos autorreplicantes, que hacen uso para tal cometido de las facilidades e infraestructura de las redes de datos, en lugar de emplear métodos de copia y traslado para el contagio.
Gracias a los contenidos funcionales y por el acceso al código fuente (DCL era escencialmente el lenguaje de la shell de VMS) se podría inferir que WANK fue creados por hackers provenientes de Melbourne, Australia, y en tal caso, que fue el primer gusano desarrollado por un australiano o australianos. Incluso la Policía Federal Australiana asoció al gusano fue creado por dos hackers conocidos por sus handles Electron y Phoenix.
Julian Assange puede haber estado involucrado, pero esto nunca pudo probarse fehacientemente.
El gusano WANK es recordado por su imaginería política característica que lo destacó como el primer gusano importante en presentar contenido político explícito. WANK The Worm no dejaba de ser una frase popular en la época para aludir soezmente a la masturbación, pero en este contexto significaba "Gusanos Contra los Asesinos Nucleares". En las videoterminales de VMS aparecía el siguiente mensaje ASCII:
W O R M S A G A I N S T N U C L E A R K I L L E R S
_______________________________________________________________
\__ ____________ _____ ________ ____ ____ __ _____/
\ \ \ /\ / / / /\ \ | \ \ | | | | / / /
\ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / /
\ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ /
\_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/
\___________________________________________________/
\ /
\ Your System Has Been Officially WANKed /
\_____________________________________________/
You talk of times of peace for all, and then prepare for war.
El gusano se propagaba a través de la red DECnet siguiendo un patrón pseudoaleatorio mediante el uso de un algoritmo que convirtía la hora del sistema de la máquina víctima en una dirección nodal de destino (compuesta por el área de DECnet y un número identificador de nodo), la cual cobraba preponderacia como candidata de infección. Así definido el objetivo infeccioso, se intentaba explotar cuentas de acceso poco protegidas (especialmente SYSTEM y DECNET, las cuales contaban por defecto con una contraseña idéntica a los nombres de usuario en aquellos sistemas VMS no resguardados concienzudamente). El gusano omitía atacar VAX situadas dentro del área 48 de DECnet, la cual identificaba a a Nueva Zelanda.
En el código fuente del gusano existía - de hecho - un comentario que seguía esta lógica de bifurcación, al aclarar que se ofrecía esta salvaguarda por ser Nueva Zelanda una zona libre de armas nucleares. El país insular había prohibido atracar en sus puertos a buques de propulsión nuclear estadounidenses, lo que llegó a alimentar aún más las especulación.
En poco tiempo el gusano arribaría casualmente en una red DECnet operada por la NASA días antes del lanzamiento de un transbordador espacial de la NASA que orbitaría la sonda espacial Galileo. Existían por entonces ruidosas protestas de grupos antinucleares por el uso de módulos de energía a base de plutonio en la Galileo. Estos manifestantes alertaban sobre el peligro de que el transbordador explotase - tal como había sucedido con el Challenger tres años antes, en 1986 - y que el plutonio se esparciese causando muertes generalizadas a los residentes de la Florida.
Los analistas de la NASA especularon en consecuencia que el ataque informático del gusano estaba relacionado con la protesta antinuclear y el ecologismo radical.
La cadena de texto que reza "Hablas de tiempos de paz para todos y luego te preparas para la guerra" parece extraída de la letra de la canción "Blossom and Blood" de de Midnight Oil, banda de rock australiana conocida por su activismo político y su oposición tanto a la energía como a las armas nucleares. Otra pista en dicha dirección parece ser el identificador del proceso de ejecución VMS para la segunda versión del gusano: "0ILZ", abreviatura que usaban los australianos para nomenclar esta banda.
Las redes DECnet afectadas terminando incluyendo a aquellas operadas por la Red de Análisis de Física Espacial (SPAN) de la NASA, la Red de Física de Alta Energía del Departamento de Energía de EE. UU. (HEPnet), el CERN y Riken.
La única separación entre las redes era una división preestablecida de direcciones de red ("Áreas" DECnet). Por ello el gusano - al elegir una dirección de destino aleatoria - era capaz de afectar a todas las redes infectadas por igual. El código fuente del gusano - en un mecanismo común para este tipo de programas - incluía una biblioteca de 100 nombres de usuario VAX comunes preprogramados. Además de la consigna política, el gusano contenía variadas funcionalidades de naturaleza aparentemente lúdica. Las palabras "wank" y "wanked" de doble sentido. Además, el gusano contenía "más de sesenta" cadenas de texto de presentación aleatoria, incluyendo "Vota anarquista" y "El FBI te está observando". El gusano también fue programado para asustar a los usuarios haciéndoles creer que estaba borrando ficheros, al mostrar una cuadro de diálogo de eliminación de ficheros falsificado (realmente el gusano no borraba fichero alguno).
R. Kevin Oberman (del DOE) y John McMahon (de la NASA) escribieron versiones separadas de un procedimiento anti-WANK y las implementaron en sus redes respectivas. Ambos aprovecharon el hecho de que antes de infectar un sistema, WANK buscaba en la tabla de procesos NETW_(número aleatorio), lo que significaría una copia propia preexistente. De encontrar una, el gusano se autodestruía. Al correr anti-WANK en un sistema no infectado, este simplemente creaba un proceso nomenclado NETW_(número aleatorio) y simplemente se sentaba a esperar a que el WANK realizara su suicidio automático.
Sin embargo, anti-WANK solo resultó útil contra la primera versión del gusano. El 22 de octubre de 1989 aparecería una segunda versión del gusano; fue en esa donde el nombre de proceso se cambió a OILZ, con lo cual la vacuna improvisada dejó de surtir efecto.
Por lo demás, a diferencia de la versión inerte anterior, esta versión de WANK estaba realmente cebada para dañar aquellas minicomputadoras que infectaba en lugar de clamar falsamente hacerlo. La cabeza de guerra estaba preparada para alterar las contraseñas de las VAX infectadas. Al igual que la versión anterior de WANK, este programa hacía uso de la base de datos RIGHTSLIST de VMS para dar con nuevas máquinas en la DECnet a las cuales contagiar.
En vista de este mecanismo, Bernard Perrow del Institut de physique nucléaire d'Orsay desarrollo el programa WANK_SHOT. Este era capaz simplemente de cambiar el nombre de RIGHTLIST y reemplazarla con una base de datos completamente ficticia. Esto desviaba la atención de WANK, que podría estar diseñado con una bomba lógica oculta, persiguiendo un espantapájaros. No tardó en proporcionarse WANK_SHOT a los administradores de sistemas de las redes afectadas para que lo instalaran en sus VMS.
Los gusanos sólo podían eliminarse de las redes aplicando este tipo de medicinas, pero solían ser igual de efectivas que el mismo programa. En el caso del WANK, tomó varias semanas para que el gusano se borrara por completo de la DECnet.
peron:~$ █