Un artista de la tecnología
Entrevista a Köhntark
Entrevistamos a través de Internet a Köhntark, un autor
de virus, perteneciente al grupo de autores de virus
"crypt", y a la revista del mismo nombre. Ya los lectores
conocen algo sobre él por su polémica nota que publicamos
en el número anterior.
Virus Report: Primero, quisiéramos conocer algunos datos
básicos tuyos: edad, ocupación, estudios, lugar donde
vivís...
Köhntark: Edad: desconocida. Ocupación: relacionada con
las computadoras. Estudios: universidad. Lugar de
residencia: desconocido.
VR: Te gusta el misterio...
K: Amo el misterio.
VR: ¿Dónde escuchaste hablar por primera vez de virus?
K: En los noticieros, y de un profesor que estaba en el
tema.
Mi primer contacto con ellos fue después de que uno de
mis proyectos finales en el colegio fue destruido por el
bug de una de las variantes en el virus Stoned, que
destruye el directorio en diskettes de 3.5. Mi máquina
también fue infectada con una variante del Jerusalem que
me contagié de un diskette con juegos, pero estaba
preparado y no perdí ningún archivo. De todas formas, no
tengo nada contra los autores de esas joyas, yo soy el
culpable porque no fui cuidadoso.
VR: Ese profesor que mencionaste que está en el tema de
los virus, ¿Es un autor de virus?
K: No, no es un autor de virus. No escribió ningún virus,
que yo sepa. Simplemente sabe muchísimo sobre los virus.
Me habló de la MtE, los virus búlgaros, llamadas al DOS
no documentadas, etcétera, cuando no tenía ni idea sobre
esas cosas.
Lo he visto haciendo desinfecciones exitosas de máquinas
infectadas de la universidad a mano, usando el Norton
Editor. Nunca lo vi usando un programa anti virus, era
demasiado bueno como para eso. Nunca me enseñó nada
específico sobre virus, simplemente encendió mi
curiosidad.
VR: ¿Quién te introdujo en la computación y cómo?
K: Cuando estaba estudiando ingeniería tuve que tomar un
curso sobre el lenguaje de programación Fortran (nunca
había usado una computadora antes), y tuve que usar Lotus
1-2-3 para un laboratorio de física. Encontré a las
computadoras tan fascinantes que decidí estudiar ciencias
de la computación también.
VR: ¿Cómo empezaste a escribir virus?
K: Conseguí el libro de Mark Ludwig, "The little black
book of computer viruses" y aprendí de ahí. También
descubrí los 1000 errores que tiene en su libro. Entonces
obtuve acceso al underground y aprendí de la revista de
creación de virus 40HEX, y empecé a hacer desensamblados
y a aprender por mi mismo. Ya tenía mucha experiencia en
programación de assembler, así que el proceso entero me
tomó sólo uno o dos meses.
VR: ¿Qué virus escribiste?
K: Tengo bastantes, la mayoría no fueron publicados:
K-1 hasta K-23, 23 infectores de .com algo relacionados
entre sí, algunos con habilidades polimórficas y de
tunneling.
Sterculius I y II, infectores residentes de .com y .exe.
Kaos 1A, 1B, etcétera hasta Kaos 6, infectores de .com y
.exe, con tunneling y polimorfismo, anti heurísticos.
YB-X, YB-1, YB-2, virus anti f-prot, con tunneling y con
Trident Polimorphic Engine.
K-Hate 1 a 6, infectores de .com y .exe, con tunneling y
polimorfismo, anti heurísticos e infectores de path.
X-1 hasta X-6. El grupo ARCV tiene algunos virus con el
mismo nombre, pero los míos no están relacionados para
nada con ellos.
Vale la pena mencionar que todos los virus y toolkits,
con la excepción de la serie K-? son completamente
originales, lo que significa que los escribí a todos
desde cero.
VR: ¿Cómo funciona tu toolkit recursivo de tunneling?
K: Es básicamente un scanner recursivo, que busca la
dirección de la interrupción 21 en el código de algún
residente que la tome. No usa técnicas de seguimiento,
como la interrupción 1, porque pueden traer muchos
problemas y se deshabilitan fácilmente.
Funciona así: Primero determina el segmento del DOS
utilizando el segmento de un par de interrupciones
internas del DOS. Luego recorre el código de la
interrupción 21 buscando maneras comunes de retornar el
control a una dirección remota (o sea, un jump o un
return a otro segmento). Entonces compara el segmento de
ese jump o return con el segmento original del DOS, si es
el mismo va a realizar algunas pruebas para determinar si
la dirección es la interrupción 21 verdadera. Si es
diferente, va a revisar el segmento del jump o return en
búsqueda de otro jump o return. Si no lo encuentra va a
seguir buscando en el segmento donde buscó antes, etc.
etc.
Así es como puede pasar como por un 'túnel' a través de
cosas como QEMM, VSHIELD, VIRSTOP, etc. todas cargadas al
mismo tiempo.
VR: ¿Que otros toolkits para hacer virus escribiste?
K: Actualmente estoy trabajando en un toolkit para discos
IDE (sus comienzos pueden verse en Crypt número 19)
También estoy trabajando en un toolkit para CMOS. También
escribí una guía sobre como escribir virus anti
heurísticos, que será publicado en próximos números de
Crypt. También escribí un generador de desencriptores
(para virus polimórficos) llamado KDG, que también será
publicado en Crypt.
VR: ¿Que pensás del VCL y los otros generadores de virus?
K: Son la forma más efectiva de dar el poder de los virus
al usuario común que encuentra a los toolkits y al
assembler demasiado complicados. Mi mayor proyecto será
escribir un generador de virus que los anti virus
tardarán años para detectar, y que va a incluir todas mis
herramientas en un solo paquete.
VR: ¿Cuál fue tu primer virus?
K: Un virus llamado Köhntark, una variante del virus
Timid.
VR: ¿Te dedicás a alguna otra actividad ilegal o
underground, como Phreaking o Hacking?
K: ¿Ilegal? Yo no hago nada ilegal. Escribir virus no es
ilegal, y nunca podría serlo. A menos que vivas en un
país retrógrado como inglaterra.
VR: ¿Por qué pensás que escribir virus no debería hacerse
ilegal?
K: Escribir un virus es como escribir un libro. Un libro
es una idea. Una idea puede matar a la gente o salvarla.
Una idea puede cambiar la humanidad. Hacer ilegal el
hecho de poner ideas en papel va claramente en contra de
los derechos humanos y de la libertad individual. Una vez
que uno comienza a reprimir a la gente, a decirles como
deben pensar, qué pueden hacer, qué pueden leer, la gente
inteligente va a iniciar una revolución. Uno puede matar
gente, pero no puede matar ideas. Lo que hagas en la
privacidad de tu hogar no es asunto de nadie, mientras no
dañes a nadie. Infectar las computadoras de otra gente
DEBE ser hecho ilegal. Escribir virus y dispersarlos no
son actividades mutuamente inclusivas.
VR: ¿Y las leyes de países como Inglaterra, que hacen
ilegal escribir virus?
K: Inglaterra es un país retrógrado. La gente de allí
debe pagar una licencia para tener una radio o una
televisión, aún si no la usan. Tienen un departamento
gubernamental que está a cargo de proteger a los
ciudadanos del reino unido de cosas indecentes como la
música extranjera como death metal, rap, y aún música
experimental o vanguardista como la de John Zorn.
Si la gente es libre de elegir un partido político, de
elegir su propia trayectoria en la vida, obviamente están
más que calificados para tomar una decisión en cosas tan
relativamente insignificantes como qué leer y qué música
escuchar. El Reino Unido es un lugar represivo, por eso
el movimiento punk tiene sus raíces allí. No es
sorprendente que hagan ilegal el escribir virus. La gente
joven olvida que la humanidad ha vivido con represión y
censura a través de los siglos, y todavía lo hace en
algunas partes del mundo. Recuerden esto: alguien está
muriendo en este mismo momento por la clase de libertad
que ustedes tienen. No la tomen como algo garantizado.
VR: ¿Cómo se considera a un autor de virus en una
universidad o en un trabajo?
K: No se. Nadie sabe lo que hago en mi tiempo libre. Lo
que hago es un asunto privado.
VR: ¿Pensás que un jefe echaría a un programador que
trabajara para él si descubre que es un autor de virus?
K: Hay toda clase de gente en este planeta. Como dijo
Einstein 'Hay dos cosas que son infinitas: el universo y
la estupidez humana, y no estoy seguro de la primera.' Si
tu jefe es una persona de mente cerrada, lo más probable
es que te eche. Si tu empleador es alguien comprensivo
que ve que tal actividad no interfiere con tu trabajo en
ninguna forma, entonces nada debería suceder.
VR: ¿Un autor de virus tendría problemas en una
universidad si uno de sus profesores descubre que es un
autor de virus?
K: Uno de mis ex profesores y ex empleador sabía, el
punto es que yo se que entiende porque es muy inteligente
y tiene una mente abierta. Pero, de nuevo, este no puede
ser siempre el caso, porque conozco las limitaciones de
la gente para entender otros puntos de vista, aún en
círculos académicos. La diferencia es que yo no he
infectado nunca un sistema además del mío, y no he
escrito ningún virus destructivo (todavía).
VR: ¿Cuál es tu opinión sobre McAfee, Alan Solomon,
Patricia Hoffman, Fridrik Skulason, Sara Gordon, Vesselin
Bontchev, y otros investigadores anti virus?
K: McAfee: Es un hombre de negocios muy inteligente. No
es particularmente honesto, pero es muy bueno con lo que
hace.
Alan Solomon: Es un buen hombre, en apariencia. Ayudó a
encarcelar a varios de los chicos del grupo de creación
de virus ARCV, así que no es tan bueno después de todo.
Como los demás, miente según su propia conveniencia.
Patricia Hoffman: No tiene idea de lo que hace. En
realidad es empleada de McAfee. El financia a VSUM como
una propaganda para Scan, y para mantener contentos a los
chicos que hacen virus, y para que sigan escribiendo
virus que va a bajar fácilmente de BBS de intercambio de
virus, así puede mantener su negocio vivo.
Fridrik Skulason: Un programador de C pomposo y mediocre.
Sara Gordon: Una mentirosa, ni siquiera tiene un título
universitario.
Vesselin Bontchev: Un investigador auto denominado,
increíblemente arrogante y oportunista. Sería una buena
persona si no fuera tan arrogante.
El resto es una mezcla de gente buena, agradable, algunos
buenos programadores, honestos, y un montón de
mentirosos, idiotas y malísimos programadores en C.
VR: Si la industria anti virus es tan grande, y está
haciendo millones de dólares, ¿No pensás que haciendo
virus los estás ayudando a ganar más dinero?
K: No realmente, porque yo no escribo virus
convencionales. Escribo virus destinados a ridiculizar y
evitar a todos los programas anti virus. No hay nada peor
que un antivirus que es evitado por un virus y no
funciona. Si una gran compañía usa un programa anti virus
y es evitado por un virus que destruye todos los datos,
entonces la compañía que escribió el anti virus puede ser
enjuiciada por la pérdida de los datos, porque su
producto no funciona y las promesas que hizo son sólo
mentiras. Una situación como esta podrá poner algunas
compañías anti virus fuera del mercado.
VR: ¿Qué te parecen los grupos de creación de virus, como
Nuke, Phalcon/Skism, Trident, etcétera?
K: Esos grupos tienen alguna gente interesante y algunos
tontos. No tengo nada contra ellos, encuentro sus
revistas útiles y honestas la mayoría de las veces.
VR: ¿Y los BBS de virus, te parecen correctos?
K: Son el terreno de intercambio de los investigadores
anti virus y compañías. Sin ellos las compañías
multimillonarias de programas anti virus quedarían fuera
del negocio. ¿De dónde pensás que vienen los virus
'descubiertos' y los archivos de actualización? Apoyo a
los BBS de virus como una herramienta para diseminar
información y para la libre expresión.
VR: ¿Cuál es tu virus favorito? Sin incluir los tuyos.
K: Me gustan los siguientes: Los que se esparcen por la
mayoría de las versiones del DOS y la mayoría de las
computadoras: Vienna, Jerusalem, etc.
Virus innovativos, con trucos interesantes, que no
funcionan necesariamente en todas las computadoras: 512
(number of the beast) DIR II, Frodo.
Me gustan los virus que sean originales, tengan ideas
originales, y están bien escritos. Desafortunadamente,
muy pocos virus cumplen esas calificaciones.
VR: ¿Cuál es tu autor de virus favorito? Sin incluirte a
vos.
K: Me gustan Masud Khafir de Trident, BlackWolf (escribe
en Crypt), y Nowhere Man de Nuke. Son todos expertos y
tienen ideas originales.
VR: ¿Conocés la ciencia ficción cyberpunk? ¿Leíste
novelas de ciencia ficción donde aparezcan virus?
K: Estoy familiarizado con el así llamado movimiento
cyberpunk, de leer las revistas Mondo 2000 y Wired. Todo
el asunto es una mentira. La escena no existe, es sólo un
truco publicitario, un vehículo para vender hardware y
software caro.
No leo ciencia ficción. Me disgusta la mayoría, excepto
clásicos como Julio Verne, HG Wells, Ray Bradbury,
etcétera. Yo leo no ficción, autores de comentarios
políticos y sociales como Noam Chomsky, Gore Vidal,
etcétera. Nunca leí un libro de ficción que contenga
referencias a virus de computadora. Leí que el libro de
Gore Vidal 'Live from Golgotta' contiene referencias, así
que probablemente será el primero.
VR: ¿Que pensás de la gente que perdió datos y trabajo
debido a un ataque de virus? ¿Que le dirías a esa gente?
K: Soy uno de ellos. Perdí un proyecto final entero
gracias a Stoned. Este es mi credo:
1- Traten de no copiar software ilegal.
2- Revisen cada programa que entre en su computadora
usando al menos dos anti virus distintos.
3- Usen un chequeador de integridad.
4- Más suerte la próxima vez.
VR: ¿Cuál es el futuro de los virus? ¿Alguna vez existirá
un virus indetectable?
K: Un virus indetectable es una imposibilidad matemática,
así como un scanner perfecto. Algunos de los virus que
escribí (por ejemplo, Kaos-6) son indetectables para
cualquier scanner actual, heurísticos incluidos, o
programa residente de control. Es indetectable por los
scanners o heurística de hoy, pero no significa que no
van a encontrar un algoritmo para detectar su mecanismo
polimórfico. Nunca habrá un virus indetectable.
Por ejemplo, tomemos el virus K-Hate, en el Vsum 10. Fue
distribuído a propósito para ver cuanto tardaría en
llegar a las manos de los investigadores anti virus. Este
contiene una versión anterior de mi generador de
desencriptores, es el único virus en Vsum que todavía no
tiene ningún método conocido de detección. Podés
confirmarlo por vos mismo. Todavía no inventaron una
manera de detectarlo... ¡y lo subí a un BBS de
intercambio de virus hace unos meses! Lo van a conseguir,
eventualmente, pero va a tomar su tiempo.
VR: ¿Pensás que los virus van a terminar de existir en
algún momento? Quizá cambiando el sistema operativo. ¿O
vamos a tener virus para siempre?
K: Es difícil predecir el futuro de los virus. El hecho
es que los virus actuales van a sobrevivir a sus autores,
ya que están dispersos y archivados en computadoras de
todo el mundo. Los programas infectados, tanto como los
virus y el hardware en el que corren pueden hacerse
obsoletos, pero los archivos van a ser guardados en algún
lugar, de alguna forma la existencia de esos archivos van
a garantizar una especie de inmortalidad en un marco de
tiempo más grande, en términos humanos.
Una vez que un sistema operativo se haga popular,
nosotros y la próxima generación de escritores de virus
vamos a encontrar una forma de escribir virus
funcionales. Y en cuanto a virus que duren 'para
siempre', puedo decir que nada dura para siempre,
simplemente pregúntenle a algún geólogo.
VR: ¿Habrá algún ganador en la guerra virus - anti virus?
Alan Solomon nos dijo en una entrevista (VR 8) que si un
virus es lo suficientemente difícil de detectar y cuesta
demasiado desarrollar un detector, quizá una compañía
decida no detectarlo. ¿Pensás que es posible?
K: En la guerra virus - anti virus nunca habrá un
ganador, porque es una guerra matemática interminable
tendiendo hacia el infinito.
En cuanto a la teoría del Dr. Solomon, tiene una
aproximación académica correcta, que no coincide con las
técnicas de marketing del estilo americano. Un producto
anti virus que elige no detectar un virus por cualquier
razón, está destinado a ser aniquilado por sus
competidores en el mercado publicitario, va a perder el
mercado y morir. Con respecto a la posibilidad de un
virus, o un programa generador de virus que pueda exigir
demasiados recursos para ser detectado, estoy de acuerdo.
¡Voy a escribir ese programa!
VR: ¿Sabés si alguien está escribiendo virus para los
nuevos sistemas operativos como OS/2 o Windows NT?
Escribir virus para DOS, ¿No es un callejón sin salida?
K: Estoy investigando para hacer un virus para Windows.
Se que MK de Trident estuvo trabajando en un par de virus
experimentales para Windows, así como Mark Ludwig, el
autor de 'The Little book of computer viruses'. Escribir
virus para DOS no es un callejón sin salida, ya que
Windows funciona sobre el DOS, y usa el sistema de
archivos del DOS. Lo que es difícil en un virus funcional
para Windows es modificar el header en formato NE (New
Executable, nuevo ejecutable) y devolver exitosamente el
control al huésped, un programa de Windows. Además de
eso, el resto del virus es igual a su contraparte en DOS.
Uno no necesita hacer llamadas al API (Application
Program Interface, interfaz del programa de aplicación) o
bibliotecas DLL para tener un virus funcional para
Windows, sólo conocer la estructura de los archivos.
El DOS tal como lo conocemos eventualmente será
discontinuado, y algún sistema operativo grande con
interfaz gráfica de usuario va a tomar su lugar, esto va
a hacer nuestro trabajo más fácil, porque el usuario
común va a estar cada vez más desconectado del
funcionamiento interno de su computadora.
Los próximos amos del mundo son quiénes son capaces de
entender la tecnología y dominarla, en lugar de ser
dominados por ella. Nosotros, los escritores de virus de
computadora, los especialistas en computación, etcétera,
somos quizá la primera generación de humanos en pasar más
tiempo con máquinas que con los de nuestra raza. Somos
artistas de la tecnología obsesionados con nuestro arte.
VR: ¿Los virus 'benignos', como Cruncher o King of Hearts
tienen algún futuro?
K: Son interesantes, pero considero que la implementación
y la programación fueron pobres. Si hay alguien lo
suficientemente bueno como para programar un virus
confiable similar a King of Hearts, (Mark Ludwig es un
buen tipo, pero un pésimo programador), entonces sería
algo notable.
Veo futuro para este tipo de virus, especialmente en el
campo de la encriptación y la privacidad personal.
VR: ¿Qué libro de assembler te parece recomendable?
K: La mayoría de los libros de assembler que tengo son
basura. Este es un par de autores realmente buenos: Tom
Swan, escribió algunos libros de Pascal, C++ y Turbo
Assembler para editores como SAMS y Waite Group Press.
Michael Abrash, autor de los libros 'The Zen of Assembly
Languaje'. Los dos escriben para revistas técnicas de PC.
Ambos son expertos programadores, que pueden escribir
libros interesantes y claros, y que realmente pueden
enseñarte algo.
VR: ¿Qué otras cosas te interesan además de escribir
virus? Películas, libros, música, chicas...
K: Si pudiera sería un recluso, pero desafortunadamente
tengo que salir. Antes de estar involucrado con los
virus, estaba metido en composición de música con
computadoras, e investigación usando instrumentos MIDI.
Estudié composición de música clásica en el colegio y
solía componer música. Cuando tenía más tiempo tocaba la
guitarra, levantaba pesas, nadaba, y si, chicas, chicas,
chicas...
VR: ¿Tenés muchos amigos en el campo de las computadoras
o de los virus, o tus amigos son gente más 'normal'?
K: Mis mejores amigos están muy metidos con las
computadoras, de una u otra forma. No son gente del
underground de las computadoras, sólo amigos personales
con los cuales comparto muchos intereses y perspectivas,
y una de ellas es el amor por las computadoras. De todas
formas, no los llamaría 'normales', porque son gente muy
inusual.