Dico "probabilmente è" perchè la sua identità non è mai stata rivelata nè si sa che fine abbia fatto.
Era bulgaro, di Sofia, questo si sa con certezza. Dark Avenger vuol dire "Vendicatore Nero".
Nel 1988 la rivista di informatica "Компютър за Вас" pubblicò sul numero di aprile un articolo che descriveva i Virus per computer ed i metodi per scriverli.
Alcuni mesi dopo la pubblicazione di quell'articolo in Bulgaria si diffusero molti Virus, tra cui il famoso malware polimorfo "Vienna", "Ping Pong" e "Cascade". Poi comparvero l' "Old Yankee" e il "Vacsina".
Dark Avenger fece la sua prima apparizione nella primavera del 1989.
Siamo a fine anni 80, quando comincia a diffondersi un po' ovunque un Virus proveniente dalla Bulgaria (chiamato "Dark Avenger"): trattasi di appena 1800 byte di codice che si insinuano nell'MS-DOS, il sistema operativo che allora dominava sui personal computer. Semplicemente copiando un file infetto o eseguendolo il Virus si istallava. Inoltre la sedicesima volta che il programma infetto veniva lanciato, il Virus entrava in azione: porzioni scelte a caso del disco rigido venivano infestate dalla scritta
"Eddie vive...da qualche parte nel tempo"
(il riferimento era ad Eddie The Head degli Iron Maiden e al disco Somewhere in Time uscito da qualche anno. Tra i codici c'erano anche altri riferimenti quali "Only The Good Die Young", altra canzone dei Maiden)
E assieme al Virus arrivava anche una firma con tanto di copyright: "Questo programma è stato scritto a Sofia © 1988-89 Dark Avenger"
Era solo l'inizio.
Nel 1991 circolavano più di 150 di questi Virus bulgari (varianti e non), quasi tutti firmati Dark Avenger. A Dark Avenger si attribuiscono altri Virus: "V2000" (2 varianti), "V2100" (2 varianti), "651", "Diamond" (2 varianti), "Nomenklatura", "Milana", "MIR", "Quest", "Commander Bomber", "512" (6 varianti), "800", "1226", "Proud", "Evil", "Phoenix", "Anthrax", "Leech".
Tutti questi virus sono stati diffusi principalmente attraverso l'uso delle BBS.
Si stimò che su 600 società attive all'epoca ed agenzie federali americane, il 10% era stato infestato da questi Virus. Pochi mesi più tardi la percentuale era già salita al 63%.
E le storie di compagnie sull'orlo del fallimento per gli ingenti danni cominciarono a fiorire.
Presto la faccenda arrivò anche sui giornali: "I bulgari dietro ai Virus dei computer" titolava il New York Times.
DARK AVENGER MUTATION ENGINE
La più importante caratteristica tecnica di alcuni dei malware di Dark Avenger era quella di essere Virus polimorfi, ossia Virus capaci di modificare alcune porzioni del proprio codice per ingannare i programmi antivirus. Il tutto tramite il Dark Avenger Mutation Engine.
I Virus, come si sa, vengono localizzati dagli antivirus grazie a porzioni di codice, cioè come se ognuno avesse una propria impronta virale. Modificando ciò, il Virus riusciva ad eludere gli antivirus.
Il problema è che non era possibile modificare completamente "l'abito" del Virus, se non tramite meccanismi di cifratura. Dunque questi codici malevoli erano inseriti nel file infettato sotto forma cifrata ed utilizzando ogni volta una chiave crittografica differente.
La decifratura viene eseguita da una piccola porzione di codice posta all'inizio del Virus.
Dark Avenger non aveva inventato tale tecnica: essa era stata teorizzata da Fred Cohen e poi era stata utilizzata per la prima volta da Mark Washburn per il suo Virus "1260".
L'Hacker ebbe però l'idea di utilizzare un "motore software" denominato Self Mutation Engine, o MtE, che poteva essere collegato ad un qualsiasi Virus con codice in chiaro per ottenere dei decifratori polimorfici di lunghezza differente.
Dark Avenger decise anche di distribuire tale motore facilitando così la creazione anche da parte di terzi di una serie di nuovi e pericolosi Virus difficili da riconoscere.
In esso quindi si trovavano indicazioni per creare con poca fatica Virus comuni o Virus polimorfi.
MtE fu quindi il primo toolkit per la creazione di Virus polimorfi.
COMMANDER BOMBER
Dark Avenger creò anche "Commander Bomber", il quale utilizzava un meccanismo di mimetizzazione. Questo Virus attaccava i file .COM, ma non si attaccava come blocco unico ad un file.
Distribuiva il suo codice su più frammenti connessi tra loro attraverso dei collegamenti.
Per riconoscerlo era necessario effettuare la scansione completa del file.
ALTRE NOVITA' INTRODOTTE DA DARK AVENGER
Dark Avenger con "Fast Infector" vennero colpiti non solo i file eseguibili (inizialmente command.com), ma anche i file che venivano aperti solo per lettura o che venivano copiati.
In questo modo il disco rigido veniva infettato in breve tempo.
Inoltre ad intervalli di tempo irregolari venivano sovrascritti singoli settori del disco fisso.
Nella maggior parte dei casi, questa azione passava inosservata.
I backup, che spesso venivano creati come protezione dagli attacchi dei Virus, diventavano così assolutamente inefficaci.
VIRUS EXCHANGE BBS
Sempre Dark Avenger (pare) creò la Virus eXchange, la prima BBS specializzata nello scambio di Virus (con una collezione di circa 300 Virus) e d'informazioni tecniche.
Spopolò ed altre BBS che seguirono l'esempio di Sofia furono a Milano l'"Italian Virus Research Laboratory" (Cracker Jack), in Germania "Gonorrhea", in Svezia "Demoralised Youth", in America "Hellpit", in Gran Bretagna "Dead On Arrival" e "Semaj".
Il modo con cui operavano é semplice: bastava chiamare e mandare un Virus ed allora veniva dato accesso alla BBS ed alla sua banca dati. Tra l'altro Dark Avanger distribuì i propri Virus anche attraverso gli Antivirus Shareware distribuiti nelle BBS.
GLI ATTACCHI VERSO VESSELIN BONTCHEV
Dark Avenger portò numerosi attacchi diffamatori alla persona di Vesselin Bontchev, un ricercatore bulgaro di anti-virus, come nel caso dei Virus "V2000" e "V2100", che indicano come creatore proprio Bontchev. Molti affermarono che, forse, la contrapposizione tra i due fu una messa in scena e si trattava della stessa persona.
LA RICERCATRICE SARAH GORDON "INCONTRA" DARK AVENGER
Sarah Gordon, una ricercatrice che lavorava nell’ambiente della sicurezza informatica, fu vittima di uno dei Virus di Dark Avenger e provò a documentarsi o comunque a mettersi in contatto con lui.
Si iscrisse ad una BBS frequentata da pirati informatici ed alla fine si imbattè proprio in Dark Avenger (almeno così pare).
Ne nacque uno scambio di messaggi, non proprio un’intervista, che Sarah Gordon raccolse in un testo unico che descrive in modo chiaro la personalità di Dark Avenger e le motivazioni delle sue azioni.
Sara Gordon – Tempo fa, nella sezione Virus di Fidonet, quando ti fu detto che uno dei tuoi Virus poteva anche essere responsabile della morte di migliaia di persone, tu rispondesti con un’oscenità. Mettiamo il caso per un istante che questa cosa sia vera.
Dimmi, se uno dei tuoi Virus fosse stato usato da qualcun altro per causare un tragico incidente: come ti sentiresti?
Dark Avenger – Mi dispiace di questo. Non è mai stato nelle mie intenzioni causare tragici incidenti. Non ho mai pensato che questi Virus potessero colpire qualcosa oltre ai computer.
Ho usato brutte parole perché le persone che mi hanno scritto hanno detto per prime delle cose veramente brutte su di me.
SG – Vuoi dire che non eri conscio del fatto che ci potevano essere delle conseguenze pericolose per colpa dei Virus? Ma nella tua regione i computer non influiscono sulle vite ed i mezzi di sussistenza delle persone?
DA – No, o per lo meno non a quei tempi.
I PC erano solo dei costosi giocattoli che nessuno poteva permettersi e che nessuno sapeva usare. Erano usati solo da qualche riccone (o dai loro bambini) che non avevano nient’altro con cui divertirsi.
Non immaginavo ci potessero essere delle conseguenze.
Questo Virus era scritto talmente male che non immaginavo avrebbe potuto diffondersi più o meno ovunque.
Lo sai, dipende tutto dalla stupidità umana. Non è colpa dei computer se i Virus si sono diffusi.
SG – Si dice che molte persone che lavoravano in Bulgaria per il governo o per delle società avessero dei computer all’epoca. Non è vero questo?
DA – Non so chi lo abbia detto, ma non è vero. In realtà, a quel tempo, in Bulgaria molte delle persone non sapevano neanche cosa fosse un computer.
SG -A quel tempo avevi accesso ai modem? Hai mai fatto uso di sistemi di scambio di vvrus per spedire i tuoi? Ho visto il tuo nome su alcune mail di quei sistemi.
DA – A quel tempo, non avevo accesso ad un modem. A quel tempo non c’erano sistemi di scambio di virus, almeno credo. Sono stato su alcuni di essi, ma è stato molto tempo dopo. Non ho mai fatto “uso” di loro. Li stavo giusto prendendo in giro.
Non sono stato su praticamente nessun sistema VX usando questo pseudonimo.
Se lo hai visto in giro, era probabilmente qualche impostore, non io.
SG – Hai mai chiamato i sistemi (di distribuzione) dei Virus usando il tuo vero nome?
DA – Non un nome reale ma un nome che suonava come quello di una persona reale.
SG – Perché non mi hai mai contattata?
DA – L’ho fatto. Ti ho lasciato un messaggio, una volta.
Beh, non era proprio diretto a te, ho messo qualcosa per te in un posto.
SG -Sì, lo ricordo. Qualcosa del tipo “Dovresti vedere un dottore. Le donne normali non passano il loro tempo parlando di virus per computer”. Ti ho risposto, ricordi?
DA Sì. Hai detto: “Non voglio essere una donna normale, per lo meno non in Bulgaria”.
SG – Sì, ma perché non mi hai parlato direttamente?
DA – Non sapevo che tu volevi parlare con me. Perché non mi hai mandato una mail?
SG – Avevo paura di te. A parte questo, perché hai dedicato quel virus a me?
DA – Hai detto che lo volevi.
SG – La gente si chiede perché hai scritto il tuo primo Virus. Perché lo hai scritto ed hai qualche rimpianto a proposito?
DA – L’ho scritto perché avevo sentito parlare dei Virus e volevo sapere di più su di essi, ma nessuno intorno a me era in grado di dirmi qualcosa. Perciò ho deciso di scrivere il mio. Ci ho inserito del codice che intenzionalmente distruggeva i dati. Ho iniziato a lavorarci nel settembre del 1988.
SG – Non hai chiesto a qualcuno che aveva un Virus di mostrartelo?
DA – Sapevo che nessuno aveva un Virus. Infatti, penso che a quel tempo in Bulgaria nessuno ne avesse uno.
SG – Da dove hai sentito parlare dei Virus? Cos’è che ha attirato in particolare il tuo interesse?
DA – Esisteva una rivista chiamata Computer For You, all’epoca l’unica rivista in Bulgaria.
Nel numero di maggio del 1988 c’era uno stupido articolo sui Virus ed un disegno divertente sulla copertina.
Quel particolare articolo fu ciò che scatenò in me la voglia di scrivere quel Virus.
Ovviamente, non era la prima volta che sentivo parlare dei Virus.
Ero interessato ad essi e stavo pensando da tempo di scriverne uno.
Credo che l’idea di realizzare un programma che potesse viaggiare in maniera indipendente, e andare in posti in cui il suo creatore non sarebbe mai stato, fu la cosa più interessante per me. Il governo americano può impedirmi di andare negli USA ma non può fermare il mio Virus.
SG – E’ stato detto da Valery Todorov che lui ha scritto il suo primo Virus, WWT, perché era curioso di capire se fosse stato oppure no in grado di riuscire a farlo, ma che poi abbia scritto il suo secondo Virus perché Vesselin Bontchev (spesso chiamato il Nemico Numero Uno di Dark Avenger) gli aveva dato l’idea. Hai avuto nessuna idea da qualche altra persona correlata coi Virus?
Hai mai scritto un Virus con qualcun altro?
DA – No, ma per qualcuno sì.
SG- Per chi?
DA- Per te.
SG – Non ti senti responsabile se qualcuno utilizza uno dei tuoi Virus per danneggiare il computer di una persona?
DA – No. Se volesse causare dei danni, non userebbe i miei Virus.
Potrebbe semplicemente scrivere “format c:” o qualcos’altro che abbia più efficacia.
SG – Come puoi dire questo? Scrivendo e distribuendo dei Virus, rendendoli disponibili, puoi fornire alle persone l’idea ed i mezzi, nella stessa maniera in cui sono stati all’inizio forniti a te stesso. Facendo questo, le tue azioni colpiscono utenti innocenti.
DA – Gli utenti innocenti sarebbero stati meno colpiti se avessero acquistato tutto il software che usano (e da un rivenditore autorizzato) e se lo avessero usato nella misura in cui gli è concesso dall’accordo di licenza. Se qualcuno invece di lavorare gioca tutto il giorno a dei giochi per computer piratati è scontato che prima o poi si prendano un Virus.
Inoltre, non c’è una cosa come un utente innocente, ma c’è un altro soggetto.
SG – Che mi dici del fatto che tu stai dando alla gente un’idea, creando questi Virus intelligenti?
DA – Le idee non sono responsabili delle persone che credono in esse. O le usano. O le abusano. Inoltre, io non li ho scritti per “fornire” a nessuno proprio niente.
Io li ho scritti per divertimento. Non posso preoccuparmi di tutti quelli che li vendono/usano. Non era previsto che facessero tutto questo casino.
SG – Ancora, li hai riforniti di un’arma insidiosa. Non credi che avergli fornito questi codice per computer così intelligenti abbia contribuito a far del male a degli utenti innocenti?
DA – Io non ho fornito niente a nessuno.
SG – Bene, c’è per lo meno un punto su cui tu e la comunità siete in accordo. Hai raggiunto un certo livello di “fama”. Come ti senti quando vedi il tuo nome sulle riviste e nelle mail? Come ti senti quando vedi i tuoi Virus “sconfitti” dai programmi antivirus?
DA – Ho scritto il Virus affinché potesse essere ucciso, come ho detto. Non era previsto che succedesse tutto questo. Mi piace vedere il mio nome sulle riviste e nei messaggi. Di solito leggo tutti i messaggi su di me. Ma mi piace di più vederlo stampato da qualche parte. E mi è piaciuto un sacco vedere le mie cose nei programmi occidentali. La prima volta che ho visto McAfee Scan era probabilmente la versione 5.0 o giù di lì. Mi piacque un sacco. Ero proprio eccitato, felice.
SG- Da dove hai preso quel nome, Dark Avenger?
DA – Ho messo quelle parole nel Virus e qualcun altro ha detto che era stato scritto da Dark Avenger. E’ colui che mi ha fatto diventare il Dark Avenger, quel nome. Non ho usato quel nome finché non sono stato chiamato così. Quella frase in sé viene da una vecchia canzone di tanto tempo fa, e non da una canzone degli Iron Maiden, come invece alcuni dicono.
SG – Per quanto ancora pensi di continuare a scrivere Virus?
DA – Non lo so. Non l’ho mai pianificato.
SG – Hai frainteso la domanda. Continuerai a scrivere Virus?
DA – Non lo so. Dipende da ciò che mi succederà.
SG – Che vuoi dire?
DA – Voglio dire che normalmente non scriverò/diffonderò più nessun codice distruttivo o virulento, a meno che non succeda qualcosa di straordinario. Diciamo, non se mi mettono in prigione.
Se lo facessero, ed io dovessi mai uscire, non sarei nello spirito adatto per programmare. Non è/non era un crimine scrivere Virus, per cui penso che ciò non dovrebbe accadere.
Non sono interessato a scriverli adesso.
SG – Conosci la differenza fra giusto e sbagliato?
DA – Perché mi chiedi ciò? Nei film americani, alla fine, il buono prende sempre i soldi, la ragazza e gli applausi, ed il cattivo finisce in cella o robe simili. Ma nella vita reale, non è chiaro chi sia il buono e chi il cattivo, e chi prenda cosa. Non è bianco e nero.
L’unica cosa certa è che le persone buone perdono sempre.
SG – Hai mai pensato di realizzare un prodotto anti-virus, a parte il falso doctor.exe che è in realtà un Virus?
DA – Ci ho pensato molte volte ma i prodotti anti-virus sono inutili come i Virus. Anche doctor.exe, non è un falso, fa veramente il lavoro che dice di fare.
SG – Perché dici che sono inutili? Non pensi che possano aiutare gli utenti a proteggersi dai Virus comuni?
DA – Gli utenti spendono molto più denaro nell’acquisto di questi prodotti e nei loro aggiornamenti piuttosto che sulla perdita dei dati danneggiati a causa dei Virus.
I prodotti antiviris aiutano a svuotare le tasche degli utenti. Inoltre, i Virus si diffonderebbero molto meno se gli “utenti innocenti” non rubassero il software e lavorassero di più al loro posto di lavoro invece che giocare ai giochini.
Ad esempio, è risaputo che il virus Dark Avenger è stato portato negli USA dall’Europa attraverso qualche gioco (copiato).
SG – Ma i Virus si sono diffusi ben oltre i giochi. Si sa che molti Virus arrivano tramite altre strade.
DA – Sicuramente si sono diffusi ben oltre i giochi. Però io non ho ancora trovato un Virus su nessun disco originale di un pacchetto che ho comprato da Borland International.
SG – Ma io ho preso il mio primo Virus da un software commerciale!
Non ti ricordi della storia che ti ho raccontato?
DA – Non da Borland International. Da alcuni posti prendi un Virus, da altri no.
SG – Si dice che il tuo amico bulgaro, Vesselin Bontchev, abbia fatto molte cose per provocare chi scrive Virus. Ti ha provocato?
DA – Questo è vero, e non penso che lui lo abbia mai negato. Se lo avesse fatto avrebbe mentito. C’è un sacco di gente in Bulgaria che lo sa e lo può confermare, ma non penso che questa cosa abbia dato un grosso contributo alla scrittura dei Virus. I suoi Virus sono abbastanza insignificanti.
Non è un buon programmatore.
SG – Credi che le condizioni del tuo Paese abbiano aiutato a creare degli scrittori di Virus come viene affermato da Bontchevnei suoi scritti? Che puoi dirmi delle condizioni del tuo Paese che possono aver contribuito alla scrittura del tuo primo Virus?
DA – Non penso che le condizioni del mio Paese abbiano aiutato gli scrittori di Virus più delle condizioni di qualsiasi altro Paese dell’Est Europa. Non finché una certa persona che entrambi conosciamo non ha lasciato il Paese. Parlando del mio primo Virus, non ha niente a che vedere con esse.
SG – Che condizione potrebbe “una certa persona” aver creato per assistere te (o qualcun altro) nella scrittura di un Virus? Non peni che le condizioni che gravavano l’economia e la tecnologia dei computer del tuo Paese abbiano contribuito alla sovrabbondanza di scrittori di virus provenienti dai Paesi dell’ex-Blocco Sovietico?
DA – I suoi articoli erano chiare sfide agli scrittori di virus, incoraggiandoli a scriverne altri.
Essi erano inoltre un’ottima guida su come scriverli, per chi lo avesse voluto fare, ma non sapeva come farlo. Non ha mai detto che lui stesso ne aveva scritti qualcuno.
SG – Stando a quanto detto da alcune persone, la storia dei Virus bulgari che diventano un grosso problema inizia con: “Presto gli Hacker ottennero una copia del Virus ed iniziarono a elaborarlo… alcune versioni furono ottimizzate a mano.
Il risultato sono diverse versioni di questo Virus tutte create in Bulgaria – versioni con dimensioni del codice infetto di 627, 623, 622, 435, 367, 353 e anche 348 byte.” Si dice che molti giovani abbiano diffuso i Virus di Bontchev in quei primi periodi.
DA – Sicuramente lo fecero. Conosci i Virus vhp e vhp2?
SG – Penso di averne sentito parlare.
DA – Credo che tu non voglia sapere di loro. Ti spedirò una copia di un libro che ti racconterà tutto di loro. Non vuoi sentirne parlare, e principalmente non vuoi sentirne parlare da me.
SG – Hai mai dato personalmente un Virus a Vesselin Bontchev? Lo hai mai incontrato? C’è talmente tanta animosità tra voi due, che sembra strano possa esistere per due “sconosciuti”. Perché questo?
DA – Per favore, non parliamo più di lui. Non voglio parlare di lui.
CHI E' DARK AVENGER?
Veloci come erano arrivati, i Virus bulgari scomparvero altrettanto velocemente attorno al 1993.
Come mai Virus tanto efficaci, a loro modo geniali, arrivavano proprio dalla Bulgaria, un paese povero, senza grosse tradizioni in matematica e tantomeno in informatica?
Pochi in occidente sapevano che in realtà il governo di Sofia aveva pianificato e organizzato una fiorente industria informatica. Erano specialisti nello smontare, studiare e clonare pezzo per pezzo i computer occidentali. E gli studenti bulgari accedevano ai calcolatori molto più facilmente dei loro compagni degli altri paesi dell'est. I più brillanti studiavano alla Scuola Nazionale Superiore di Matematica e l'aula 28 era il cuore informatico.
Uno studente in particolare Todor Todorov, o detto Comandante Tosh come lo chiamavano gli amici, era uno di loro. E si diceva che ai tempi era particolarmente attratto dai Virus.
Con un vecchio modem e il computer di casa, Todorov divenne l'animatore di un fornitissimo archivio di Virus, la già citata Virus Exchange BBS. Chiunque poteva collegarsi, trovare nuovi Virus, informazioni e trucchi per svilupparne altri. In cambio doveva solo arricchire la collezione dell'archivio.
Che fosse proprio Todorov il misterioso Dark Avenger? Nessuno è mai riuscito a dimostrarlo.
I Virus bulgari apparvero proprio quando la Virus Exchange BBS iniziò la sua attività.
E quando la loro ondata passò, nel '93, anche Todorov sparì misteriosamente da Sofia. Nel '96 Todorov ricomparve. E qualche mese dopo, in Bulgaria, qualcuno forzò ripetutamente alcuni network, lasciando la sua firma. Quale? Dark Avenger, naturalmente.
Anton Ivanov, un compagno di scuola ed amico di Todorov, accennò ambiguamente al fatto che Todorov potesse essere Dark Avenger ma il mistero, a distanza di quasi tre decenni, non è mai stato risolto.
Ricordo praticamente il 95% dei virus qui elencati perchè li avevo analizzati tutti e creato un antivirus algoritmico basato su compilatore/interprete. I virus ce li scambiavamo via floppy disk su posta con inserzioni su giornali/riviste :)
RispondiEliminaBei tempi quelli o comunque davvero un'altra era di Internet! Preistoria ormai...
Elimina