venerdì 22 aprile 2016

Chris Pile e I Virus Polimorfi (The Black Baron)

Chris Pile, conosciuto negli anni 90 anche come "The Black Baron", detiene un singolare primato: fu il primo uomo condannato da un tribunale per aver diffuso Virus informatici.
Nel 1995 venne condannato a 18 mesi di prigione per aver creato i Virus Pathogen, Queeg e soprattutto Smeg.Pathogen, il quale nel 1994 infettò un antivirus non ancora in grado di riconoscere il proprio prodotto e lo mise in una BBS a disposizione per il pubblico ignaro.
Nato nel 1969 in Inghilterra, inizia come programmatore per i vari Sinclair ZX Spectrum e MGT SAM Coupé 8, crea emulatori per SAM, implementazioni per giochi arcade e software per modem.
Molti suoi software venne pubblicati/citati anche sulla famosa vostra rivista Sinclair.
Nei 90 per SAM Coupé appena rilasciato produsse ProDOS (CP / M).


I VIRUS POLIMORFI
Come detto, in mezzo a tutto ciò si dilettava anche a creare virus.
In particolare i vari Pathogen, Queeg e Smeg.Pathogen (nomi derivati dallo show televisivo inglese "Red Dwarf") utilizzavano il sistema polimorfico SMEG (Simulated Metamorphic Encryption Generator) rendendo l'individuazione e quindi l'eliminazione molto difficile.
La grande intuizione di Black Baron fu capire come funzionavano gli antivirus (in realtà non fu il primo a diffondere questo tipo di Virus, la paternità appartiene al bulgaro Dark Avenger di cui non si è mai scoperta l'identità).
Questi infatti basano il riconoscimento dei Virus, necessario alla loro rimozione, su un codice identificativo univoco che è contenuto nel Virus stesso.
L'idea di Pile era dunque quella di far cambiare "forma" (abito, se vogliamo) al Virus, pur mantenendo intatte le sue funzioni.
Un Virus diventa quindi particolarmente difficile da individuare se riesce a mascherare la propria impronta, ovvero a renderla diversa ogni volta che si replica su un nuovo sistema.
L'impronta del Virus è costituita anche dal codice eseguibile del Virus, per cui non può essere tutta alterata per mimetizzare il software nocivo.
Per nasconderla si può invece crittografarla e poi replicare il codice del Virus criptato e la funzione per decriptarlo.
Questi Virus contenevano un sistema (il Polymorphic Engine) che gestiva le chiavi e le funzioni di cifratura e decifratura.
Un Virus polimorfo è quindi costituito dal codice del virus, dal Polymorphic Engine (entrambi cifrati) e dalla funzione per decifrarli.
Quando il Virus polimorfo viene installato, la funzione di decifratura decripta il virus e il Polymorphic Engine.
Il Virus lancia poi il Polymorphic Engine ogni volta che vuole ottenere la coppia di funzioni (cifratura, decifratura) che serve a generare una nuova copia di se stesso.
Questi Virus inoltre erano stati concepiti per danneggiare gli Hard Disk delle vittime.
Come avvenne la diffusione? Pile aveva abilmente nascosto questi virus nei BBS, spacciandoli per Giochi ed Antivirus.
Riuscì a provocare danni per 1 milioni di sterline.
Scontata la sua pena, vrso la fine degli anni 1990 Pile trascorse qualche tempo anche come programmatore di giochi commerciali, lavorando principalmente su Nintendo Game Boy, Sega Game Gear e Master System console.

Nessun commento:

Posta un commento