Entrevistamos a través de Internet a Köhntark, un autor de virus,
perteneciente al grupo de autores de virus "crypt", y a la revista del
mismo nombre. Ya los lectores conocen algo sobre él por su polémica nota
que publicamos en el número anterior.
Virus Report: Primero, quisiéramos conocer algunos datos básicos tuyos:
edad, ocupación, estudios, lugar donde vivís...
Köhntark: Edad: desconocida. Ocupación: relacionada con las
computadoras. Estudios: universidad. Lugar de residencia: desconocido.
VR: Te gusta el misterio...
K: Amo el misterio.
VR: ¿Dónde escuchaste hablar por primera vez de virus?
K: En los noticieros, y de un profesor que estaba en el tema. Mi primer
contacto con ellos fue después de que uno de mis proyectos finales en el
colegio fue destruido por el bug de una de las variantes en el virus
Stoned, que destruye el directorio en diskettes de 3.5. Mi máquina
también fue infectada con una variante del Jerusalem que me contagié de
un diskette con juegos, pero estaba preparado y no perdí ningún archivo.
De todas formas, no tengo nada contra los autores de esas joyas, yo soy
el culpable porque no fui cuidadoso.
VR: Ese profesor que mencionaste que está en el tema de los virus, ¿Es
un autor de virus?
K: No, no es un autor de virus. No escribió ningún virus, que yo sepa.
Simplemente sabe muchísimo sobre los virus. Me habló de la MtE, los
virus búlgaros, llamadas al DOS no documentadas, etcétera, cuando no
tenía ni idea sobre esas cosas.
Lo he visto haciendo desinfecciones exitosas de máquinas infectadas de
la universidad a mano, usando el Norton Editor. Nunca lo vi usando un
programa anti virus, era demasiado bueno como para eso. Nunca me enseñó
nada específico sobre virus, simplemente encendió mi curiosidad.
VR: ¿Quién te introdujo en la computación y cómo?
K: Cuando estaba estudiando ingeniería tuve que tomar un curso sobre el
lenguaje de programación Fortran (nunca había usado una computadora
antes), y tuve que usar Lotus 1-2-3 para un laboratorio de física.
Encontré a las computadoras tan fascinantes que decidí estudiar ciencias
de la computación también.
VR: ¿Cómo empezaste a escribir virus?
K: Conseguí el libro de Mark Ludwig, "The little black book of computer
viruses" y aprendí de ahí. También descubrí los 1000 errores que tiene
en su libro. Entonces obtuve acceso al underground y aprendí de la
revista de creación de virus 40HEX, y empecé a hacer desensamblados y a
aprender por mi mismo. Ya tenía mucha experiencia en programación de
assembler, así que el proceso entero me tomó sólo uno o dos meses.
VR: ¿Qué virus escribiste?
K: Tengo bastantes, la mayoría no fueron publicados:
K-1 hasta K-23, 23 infectores de .com algo relacionados entre sí,
algunos con habilidades polimórficas y de tunneling.
Sterculius I y II, infectores residentes de .com y .exe.
Kaos 1A, 1B, etcétera hasta Kaos 6, infectores de .com y .exe, con
tunneling y polimorfismo, anti heurísticos.
YB-X, YB-1, YB-2, virus anti f-prot, con tunneling y con Trident
Polimorphic Engine.
K-Hate 1 a 6, infectores de .com y .exe, con tunneling y polimorfismo,
anti heurísticos e infectores de path.
X-1 hasta X-6. El grupo ARCV tiene algunos virus con el mismo nombre,
pero los míos no están relacionados para nada con ellos.
Vale la pena mencionar que todos los virus y toolkits, con la excepción
de la serie K-? son completamente originales, lo que significa que los
escribí a todos desde cero.
VR: ¿Cómo funciona tu toolkit recursivo de tunneling?
K: Es básicamente un scanner recursivo, que busca la dirección de la
interrupción 21 en el código de algún residente que la tome. No usa
técnicas de seguimiento, como la interrupción 1, porque pueden traer
muchos problemas y se deshabilitan fácilmente. Funciona así: Primero
determina el segmento del DOS utilizando el segmento de un par de
interrupciones internas del DOS. Luego recorre el código de la
interrupción 21 buscando maneras comunes de retornar el control a una
dirección remota (o sea, un jump o un return a otro segmento). Entonces
compara el segmento de ese jump o return con el segmento original del
DOS, si es el mismo va a realizar algunas pruebas para determinar si la
dirección es la interrupción 21 verdadera. Si es diferente, va a revisar
el segmento del jump o return en búsqueda de otro jump o return. Si no
lo encuentra va a seguir buscando en el segmento donde buscó antes, etc.
etc. Así es como puede pasar como por un 'túnel' a través de cosas como
QEMM, VSHIELD, VIRSTOP, etc. todas cargadas al mismo tiempo.
VR: ¿Que otros toolkits para hacer virus escribiste?
K: Actualmente estoy trabajando en un toolkit para discos IDE (sus
comienzos pueden verse en Crypt número 19) También estoy trabajando en
un toolkit para CMOS. También escribí una guía sobre como escribir virus
anti heurísticos, que será publicado en próximos números de Crypt.
También escribí un generador de desencriptores (para virus polimórficos)
llamado KDG, que también será publicado en Crypt.
VR: ¿Que pensás del VCL y los otros generadores de virus?
K: Son la forma más efectiva de dar el poder de los virus al usuario
común que encuentra a los toolkits y al assembler demasiado complicados.
Mi mayor proyecto será escribir un generador de virus que los anti virus
tardarán años para detectar, y que va a incluir todas mis herramientas
en un solo paquete.
VR: ¿Cuál fue tu primer virus?
K: Un virus llamado Köhntark, una variante del virus Timid.
VR: ¿Te dedicás a alguna otra actividad ilegal o underground, como
Phreaking o Hacking?
K: ¿Ilegal? Yo no hago nada ilegal. Escribir virus no es ilegal, y nunca
podría serlo. A menos que vivas en un país retrógrado como inglaterra.
VR: ¿Por qué pensás que escribir virus no debería hacerse ilegal?
K: Escribir un virus es como escribir un libro. Un libro es una idea.
Una idea puede matar a la gente o salvarla. Una idea puede cambiar la
humanidad. Hacer ilegal el hecho de poner ideas en papel va claramente
en contra de los derechos humanos y de la libertad individual. Una vez
que uno comienza a reprimir a la gente, a decirles como deben pensar,
qué pueden hacer, qué pueden leer, la gente inteligente va a iniciar una
revolución. Uno puede matar gente, pero no puede matar ideas. Lo que
hagas en la privacidad de tu hogar no es asunto de nadie, mientras no
dañes a nadie. Infectar las computadoras de otra gente DEBE ser hecho
ilegal. Escribir virus y dispersarlos no son actividades mutuamente
inclusivas.
VR: ¿Y las leyes de países como Inglaterra, que hacen ilegal escribir
virus?
K: Inglaterra es un país retrógrado. La gente de allí debe pagar una
licencia para tener una radio o una televisión, aún si no la usan.
Tienen un departamento gubernamental que está a cargo de proteger a los
ciudadanos del reino unido de cosas indecentes como la música extranjera
como death metal, rap, y aún música experimental o vanguardista como la
de John Zorn. Si la gente es libre de elegir un partido político, de
elegir su propia trayectoria en la vida, obviamente están más que
calificados para tomar una decisión en cosas tan relativamente
insignificantes como qué leer y qué música escuchar. El Reino Unido es
un lugar represivo, por eso el movimiento punk tiene sus raíces allí. No
es sorprendente que hagan ilegal el escribir virus. La gente joven
olvida que la humanidad ha vivido con represión y censura a través de
los siglos, y todavía lo hace en algunas partes del mundo. Recuerden
esto: alguien está muriendo en este mismo momento por la clase de
libertad que ustedes tienen. No la tomen como algo garantizado.
VR: ¿Cómo se considera a un autor de virus en una universidad o en un
trabajo?
K: No se. Nadie sabe lo que hago en mi tiempo libre. Lo que hago es un
asunto privado.
VR: ¿Pensás que un jefe echaría a un programador que trabajara para él
si descubre que es un autor de virus?
K: Hay toda clase de gente en este planeta. Como dijo Einstein 'Hay dos
cosas que son infinitas: el universo y la estupidez humana, y no estoy
seguro de la primera.' Si tu jefe es una persona de mente cerrada, lo
más probable es que te eche. Si tu empleador es alguien comprensivo que
ve que tal actividad no interfiere con tu trabajo en ninguna forma,
entonces nada debería suceder.
VR: ¿Un autor de virus tendría problemas en una universidad si uno de
sus profesores descubre que es un autor de virus?
K: Uno de mis ex profesores y ex empleador sabía, el punto es que yo se
que entiende porque es muy inteligente y tiene una mente abierta. Pero,
de nuevo, este no puede ser siempre el caso, porque conozco las
limitaciones de la gente para entender otros puntos de vista, aún en
círculos académicos. La diferencia es que yo no he infectado nunca un
sistema además del mío, y no he escrito ningún virus destructivo
(todavía).
VR: ¿Cuál es tu opinión sobre McAfee, Alan Solomon, Patricia Hoffman,
Fridrik Skulason, Sara Gordon, Vesselin Bontchev, y otros investigadores
anti virus?
K: McAfee: Es un hombre de negocios muy inteligente. No es
particularmente honesto, pero es muy bueno con lo que hace.
Alan Solomon: Es un buen hombre, en apariencia. Ayudó a encarcelar a
varios de los chicos del grupo de creación de virus ARCV, así que no es
tan bueno después de todo. Como los demás, miente según su propia
conveniencia.
Patricia Hoffman: No tiene idea de lo que hace. En realidad es empleada
de McAfee. El financia a VSUM como una propaganda para Scan, y para
mantener contentos a los chicos que hacen virus, y para que sigan
escribiendo virus que va a bajar fácilmente de BBS de intercambio de
virus, así puede mantener su negocio vivo.
Fridrik Skulason: Un programador de C pomposo y mediocre.
Sara Gordon: Una mentirosa, ni siquiera tiene un título universitario.
Vesselin Bontchev: Un investigador auto denominado, increíblemente
arrogante y oportunista. Sería una buena persona si no fuera tan
arrogante.
El resto es una mezcla de gente buena, agradable, algunos buenos
programadores, honestos, y un montón de mentirosos, idiotas y malísimos
programadores en C.
VR: Si la industria anti virus es tan grande, y está haciendo millones
de dólares, ¿No pensás que haciendo virus los estás ayudando a ganar más
dinero?
K: No realmente, porque yo no escribo virus convencionales. Escribo
virus destinados a ridiculizar y evitar a todos los programas anti
virus. No hay nada peor que un antivirus que es evitado por un virus y
no funciona. Si una gran compañía usa un programa anti virus y es
evitado por un virus que destruye todos los datos, entonces la compañía
que escribió el anti virus puede ser enjuiciada por la pérdida de los
datos, porque su producto no funciona y las promesas que hizo son sólo
mentiras. Una situación como esta podrá poner algunas compañías anti
virus fuera del mercado.
VR: ¿Qué te parecen los grupos de creación de virus, como Nuke,
Phalcon/Skism, Trident, etcétera?
K: Esos grupos tienen alguna gente interesante y algunos tontos. No
tengo nada contra ellos, encuentro sus revistas útiles y honestas la
mayoría de las veces.
VR: ¿Y los BBS de virus, te parecen correctos?
K: Son el terreno de intercambio de los investigadores anti virus y
compañías. Sin ellos las compañías multimillonarias de programas anti
virus quedarían fuera del negocio. ¿De dónde pensás que vienen los virus
'descubiertos' y los archivos de actualización? Apoyo a los BBS de virus
como una herramienta para diseminar información y para la libre
expresión.
VR: ¿Cuál es tu virus favorito? Sin incluir los tuyos.
K: Me gustan los siguientes: Los que se esparcen por la mayoría de las
versiones del DOS y la mayoría de las computadoras: Vienna, Jerusalem,
etc. Virus innovativos, con trucos interesantes, que no funcionan
necesariamente en todas las computadoras: 512 (number of the beast) DIR
II, Frodo. Me gustan los virus que sean originales, tengan ideas
originales, y están bien escritos. Desafortunadamente, muy pocos virus
cumplen esas calificaciones.
VR: ¿Cuál es tu autor de virus favorito? Sin incluirte a vos.
K: Me gustan Masud Khafir de Trident, BlackWolf (escribe en Crypt), y
Nowhere Man de Nuke. Son todos expertos y tienen ideas originales.
VR: ¿Conocés la ciencia ficción cyberpunk? ¿Leíste novelas de ciencia
ficción donde aparezcan virus?
K: Estoy familiarizado con el así llamado movimiento cyberpunk, de leer
las revistas Mondo 2000 y Wired. Todo el asunto es una mentira. La
escena no existe, es sólo un truco publicitario, un vehículo para vender
hardware y software caro.
No leo ciencia ficción. Me disgusta la mayoría, excepto clásicos como
Julio Verne, HG Wells, Ray Bradbury, etcétera. Yo leo no ficción,
autores de comentarios políticos y sociales como Noam Chomsky, Gore
Vidal, etcétera. Nunca leí un libro de ficción que contenga referencias
a virus de computadora. Leí que el libro de Gore Vidal 'Live from
Golgotta' contiene referencias, así que probablemente será el primero.
VR: ¿Que pensás de la gente que perdió datos y trabajo debido a un
ataque de virus? ¿Que le dirías a esa gente?
K: Soy uno de ellos. Perdí un proyecto final entero gracias a Stoned.
Este es mi credo:
1- Traten de no copiar software ilegal.
2- Revisen cada programa que entre en su computadora usando al menos dos
anti virus distintos.
3- Usen un chequeador de integridad.
4- Más suerte la próxima vez.
VR: ¿Cuál es el futuro de los virus? ¿Alguna vez existirá un virus
indetectable? K: Un virus indetectable es una imposibilidad matemática,
así como un scanner perfecto. Algunos de los virus que escribí (por
ejemplo, Kaos-6) son indetectables para cualquier scanner actual,
heurísticos incluidos, o programa residente de control. Es indetectable
por los scanners o heurística de hoy, pero no significa que no van a
encontrar un algoritmo para detectar su mecanismo polimórfico. Nunca
habrá un virus indetectable. Por ejemplo, tomemos el virus K-Hate, en el
Vsum 10. Fue distribuído a propósito para ver cuanto tardaría en llegar
a las manos de los investigadores anti virus. Este contiene una versión
anterior de mi generador de desencriptores, es el único virus en Vsum
que todavía no tiene ningún método conocido de detección. Podés
confirmarlo por vos mismo. Todavía no inventaron una manera de
detectarlo... ¡y lo subí a un BBS de intercambio de virus hace unos
meses! Lo van a conseguir, eventualmente, pero va a tomar su tiempo.
VR: ¿Pensás que los virus van a terminar de existir en algún momento?
Quizá cambiando el sistema operativo. ¿O vamos a tener virus para
siempre?
K: Es difícil predecir el futuro de los virus. El hecho es que los virus
actuales van a sobrevivir a sus autores, ya que están dispersos y
archivados en computadoras de todo el mundo. Los programas infectados,
tanto como los virus y el hardware en el que corren pueden hacerse
obsoletos, pero los archivos van a ser guardados en algún lugar, de
alguna forma la existencia de esos archivos van a garantizar una especie
de inmortalidad en un marco de tiempo más grande, en términos humanos.
Una vez que un sistema operativo se haga popular, nosotros y la próxima
generación de escritores de virus vamos a encontrar una forma de
escribir virus funcionales. Y en cuanto a virus que duren 'para
siempre', puedo decir que nada dura para siempre, simplemente
pregúntenle a algún geólogo.
VR: ¿Habrá algún ganador en la guerra virus - anti virus? Alan Solomon
nos dijo en una entrevista (VR 8) que si un virus es lo suficientemente
difícil de detectar y cuesta demasiado desarrollar un detector, quizá
una compañía decida no detectarlo. ¿Pensás que es posible?
K: En la guerra virus - anti virus nunca habrá un ganador, porque es una
guerra matemática interminable tendiendo hacia el infinito.
En cuanto a la teoría del Dr. Solomon, tiene una aproximación académica
correcta, que no coincide con las técnicas de marketing del estilo
americano. Un producto anti virus que elige no detectar un virus por
cualquier razón, está destinado a ser aniquilado por sus competidores en
el mercado publicitario, va a perder el mercado y morir. Con respecto a
la posibilidad de un virus, o un programa generador de virus que pueda
exigir demasiados recursos para ser detectado, estoy de acuerdo. ¡Voy a
escribir ese programa!
VR: ¿Sabés si alguien está escribiendo virus para los nuevos sistemas
operativos como OS/2 o Windows NT? Escribir virus para DOS, ¿No es un
callejón sin salida?
K: Estoy investigando para hacer un virus para Windows. Se que MK de
Trident estuvo trabajando en un par de virus experimentales para
Windows, así como Mark Ludwig, el autor de 'The Little book of computer
viruses'. Escribir virus para DOS no es un callejón sin salida, ya que
Windows funciona sobre el DOS, y usa el sistema de archivos del DOS. Lo
que es difícil en un virus funcional para Windows es modificar el header
en formato NE (New Executable, nuevo ejecutable) y devolver exitosamente
el control al huésped, un programa de Windows. Además de eso, el resto
del virus es igual a su contraparte en DOS. Uno no necesita hacer
llamadas al API (Application Program Interface, interfaz del programa de
aplicación) o bibliotecas DLL para tener un virus funcional para
Windows, sólo conocer la estructura de los archivos. El DOS tal como lo
conocemos eventualmente será discontinuado, y algún sistema operativo
grande con interfaz gráfica de usuario va a tomar su lugar, esto va a
hacer nuestro trabajo más fácil, porque el usuario común va a estar cada
vez más desconectado del funcionamiento interno de su computadora. Los
próximos amos del mundo son quiénes son capaces de entender la
tecnología y dominarla, en lugar de ser dominados por ella. Nosotros,
los escritores de virus de computadora, los especialistas en
computación, etcétera, somos quizá la primera generación de humanos en
pasar más tiempo con máquinas que con los de nuestra raza. Somos
artistas de la tecnología obsesionados con nuestro arte.
VR: ¿Los virus 'benignos', como Cruncher o King of Hearts tienen algún
futuro?
K: Son interesantes, pero considero que la implementación y la
programación fueron pobres. Si hay alguien lo suficientemente bueno como
para programar un virus confiable similar a King of Hearts, (Mark Ludwig
es un buen tipo, pero un pésimo programador), entonces sería algo
notable. Veo futuro para este tipo de virus, especialmente en el campo
de la encriptación y la privacidad personal.
VR: ¿Qué libro de assembler te parece recomendable?
K: La mayoría de los libros de assembler que tengo son basura. Este es
un par de autores realmente buenos: Tom Swan, escribió algunos libros de
Pascal, C++ y Turbo Assembler para editores como SAMS y Waite Group
Press. Michael Abrash, autor de los libros 'The Zen of Assembly
Languaje'. Los dos escriben para revistas técnicas de PC. Ambos son
expertos programadores, que pueden escribir libros interesantes y
claros, y que realmente pueden enseñarte algo.
VR: ¿Qué otras cosas te interesan además de escribir virus? Películas,
libros, música, chicas...
K: Si pudiera sería un recluso, pero desafortunadamente tengo que salir.
Antes de estar involucrado con los virus, estaba metido en composición
de música con computadoras, e investigación usando instrumentos MIDI.
Estudié composición de música clásica en el colegio y solía componer
música. Cuando tenía más tiempo tocaba la guitarra, levantaba pesas,
nadaba, y si, chicas, chicas, chicas...
VR: ¿Tenés muchos amigos en el campo de las computadoras o de los virus,
o tus amigos son gente más 'normal'?
K: Mis mejores amigos están muy metidos con las computadoras, de una u
otra forma. No son gente del underground de las computadoras, sólo
amigos personales con los cuales comparto muchos intereses y
perspectivas, y una de ellas es el amor por las computadoras. De todas
formas, no los llamaría 'normales', porque son gente muy inusual.
