WANK (หนอนคอมพิวเตอร์)
WANK Worm เป็นหนอนคอมพิวเตอร์ที่โจมตีคอมพิวเตอร์ DEC VMS ใน ค.ศ. 1989 ผ่านเครือข่าย DECnet เขียนด้วยภาษา DIGITAL Command Language
แหล่งกำเนิด แก้
เชื่อกันว่าหนอนนี้เขียนโดยแฮกเกอร์ที่อาศัยอยู่ในกรุงเมลเบิร์น เป็นหนอนตัวแรกที่สร้างโดยชาวออสเตรเลีย ตำรวจในเมลเบิร์นเชื่อว่าแฮกเกอร์สองคนที่ใช้นามแฝงว่า Electron และ Phoenix เป็นผู้สร้าง[1]
ข้อความทางการเมือง แก้
หนอน WANK มีข้อความทางการเมืองติดมาด้วยและเป็นที่มาของชื่อ และถือว่าเป็นหนอนที่สำคัญตัวแรกที่มีข้อความทางการเมือง[1] WANK ในที่นี้ย่อมาจาก Worms Against Nuclear Killers (หนอนต่อต้านอาวุธทำลายล้างนิวเคลียร์) โดยจะแสดงข้อความบนหน้าจอดังนี้
W O R M S A G A I N S T N U C L E A R K I L L E R S
_______________________________________________________________
\__ ____________ _____ ________ ____ ____ __ _____/
\ \ \ /\ / / / /\ \ | \ \ | | | | / / /
\ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / /
\ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ /
\_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/
\___________________________________________________/
\ /
\ Your System Has Been Officially WANKed /
\_____________________________________________/
You talk of times of peace for all, and then prepare for war.
หนอนนี้ปรากฏขี้นพร้อมกันบนเครือข่าย DECnet ที่ใช้ร่วมกันระหว่าง NASA และ US Department of Energy ก่อนการปล่อยกระสวยอวกาศ Galileo ของ NASA ซึ่งในขณะนั้นมีการประท้วงนอก Kennedy Space Center ใน Florida โดยกลุ่มผู้ต่อต้านนิวเคลียร์ เนื่องจากมีการใช้พลังงานนิวเคลียร์จากพลูโตเนียมเป็นแหล่งพลังงานกำเนิดไฟฟ้า ผู้ประท้วงให้เหตุผลว่าหากเกิดอุบัติเหตุระเบิดขึ้นมาอย่างยาน Challenger พลูโตเนียมจากยานจะทำให้ชาวฟลอริดาตายเป็นเบือ
หนอนแพร่กระจายผ่านเครือข่ายอย่างกึ่งสุ่ม โดยใช้อัลกอริทึมที่แปลงเวลาในเครื่องของเหยื่อเป็นหมายเลขที่อยู่โหนดปลายทาง (ประกอบไปได้วย หมายเลข DECnet Area และ Node) เมื่อพบเป้าหมายแล้วจึงพยายามใช้ความหละหลวมของบางบัญชี เช่น SYSTEM หรือ DECNET ที่มีรหัสผ่านเดียวกับชื่อผู้ใช้ หนอนไม่โจมตีเครือข่ายที่มีหหมายเลข DECnet area 48 ซึ่งใช้สำหรับประเทศนิวซีแลนด์ คอมเมนต์ในรหัสต้นฉบับของหนอนเขียนว่านิวซีแลนด์เป็นเขตปลอดนิวเคลียร์ (ในช่วงนั้น นิวซีแลนด์ห้ามมิให้เรือสหรัฐอเมริกาที่ขับเคลื่อนด้วยพลังงานนิวเคลียร์เข้าเทียบท่า ซึ่งหลักฐานนี้สนับสนุนข้อสังเกตของ NASA ที่ว่าหนอนนี้เกี่ยวข้องกับการรณรงค์ต่อต้านนิวเคลียร์[2] ข้อความบรรทัดด้านล่าง "You talk of times of peace for all, and then prepare for war" (คุณพูดถึงเวลาสันติสำหรับทุกคน แต่กลับเตรียมตัวเข้าสู่สงคราม) นำมาจากเพลงเนื้องเพลง Blossom and Blood ของวง Midnight Oil ซึ่งเป็นกลุ่มดนตรีรร็อคในออสเตรเลียที่เป็นรู้จักกันดีในด้านการรณรงค์การเมือง (political activism) รวมถึงการต่อต้านพลังงานนิวเคลียร์และอาวุธนิวเคลียร์ ชื่อ process สำหรับหนอนเวอร์ชันสองที่ตรวจจับได้คือ "oilz" ซึ่งเป็นชื่อย่อที่ชาวออสเตรเลียรู้จักกันดีสำหรับวงดนตรีนี้[3]
ธรรมชาติที่ขี้เล่น แก้
เครือข่าย DECnet ที่ถูกจู่โจมดำเนินการร่วมกันโดย NASA Space Physics Analysis Network (SPAN) และ the Department of Energy's High Energy Physics Network (HEPnet) สิ่งที่กั้นเครือข่ายทั้งสองเอาไว้มีเพียงตัวเลขประจำเครือข่าย (DECnet "Areas") เนื่องจากหนอนโจมตีอย่างสุ่มจึงมีโอกาสจู่มโจมเครือข่ายทั้งสองเท่าๆ กัน หนอนมีชื่อผู้ใช้ VAX ที่พบบ่อยที่สุด 100 ชื่อซึ่งได้ใส่ลงไว้ในรหัสต้นฉบับ นอกจากข้อความทางการเมืองแล้ว หนอนนี้ยังมีลักษณะขี้เล่นอย่างอื่น ข้อความ "wank" และ "wanked" เป็นคำแสลงในหลายประเทศซึ่งหมายถึงการสำเร็จความใคร่ด้วยตนเอง นอกจากนี้ยังมีข้อความสุ่มอีกกว่าหกสิบข้อความ เช่น "Vote anarchist" (เลือกผู้สนับสนุนอนาธิปไตย) และ "The FBI is watching YOU" (FBI กำลังเฝ้าดูคุณอยู่) หนอนยังทำให้ผู้ใช้นึกว่าไฟล์ในคอมพิวเตอร์ถูกลบไปหมด โดยแสดงความข้อการลบไฟล์ซึ่งไม่อาจหยุดยั้งได้ ทั้งที่ความจริงแล้วไฟล์ต่างๆ ก็ยังอยู่เหมือนเดิม
anti-WANK และ WANK_SHOT แก้
R. Kevin Oberman (จาก DOE) และ John McMahon (จาก NASA) ต่างคนต่างเขียนโปรแกรม anti-WANK ของตนและใช้ในเครือข่ายของหน่วยงานทั้งสองเพื่อกำจัดหนอนนี้ หลักการทำงานคือ ก่อนที่หนอนจะเข้าโจมตีคอมพิวเตอร์เครื่องใด มันจะตรวจหา "NETW_(หมายเลขสุ่ม)",ซึ่งเป็นสำเนาของตัวมันเองในตาราง process ถ้าพบว่ามีซ้ำอยู่มันจะทำลายตัวมันเอง โปรแกรม anti-WANK ใช้ช่องว่างนี้โดยสร้าง process ชื่อว่า "NETW_(หมายยเลขสุ่ม)" แล้วปล่อยโปรแกรมรันค้างไว้ ซึ่งใช้ได้กับเพียงเวอร์ชันแรกของหนอนนี้ เพราะเวอร์ชันต่อมาได้เปลี่ยนชื่อ process เป็น "OILZ"
Bernard Perrot จาก Institut de Physique Nucleaire in Orsay (Institut de physique nucléaire d'Orsay) เขียนโปรแกรมเวอร์ชันที่สองซึ่งมีหลักการต่างออกไป หนอนได้ออกแบบมาให้ตามหาฐานข้อมูล RIGHTSLIST database ซึ่งรวมบัญชีผู้ใช้ทั้งหมดในคอมพิวเตอร์นั้นไว้ โปรแกรมเวอร์ชันใหม่นี้เปลี่ยนชื่อฐานข้อมูลเสีย แล้วปล่อยฐานข้อมูลหลอกให้หนอนอ่านแทน ซึ่งนำไปสู่การทำลายหนอนในที่สุด Ron Tencati ผู้จัดการด้านความปลอดภัยของเครือข่าย SPAN ได้สำเนาโปรแกรมไปให้ McMahon ทดสอบ โปรแกรมเวอร์ชันฝรั่งเศสนี้ได้ใช้ในเครือข่ายทั้งสอง และใช้เวลาหลายสัปดาห์ในการกำจัดหนอนให้หมดไป
ดูเพิ่ม แก้
อ้างอิง แก้
- ↑ 1.0 1.1 Dreyfus, Suelette. "Introduction" เก็บถาวร 2009-05-25 ที่ เวย์แบ็กแมชชีน, Underground: Tales of Hacking, Madness, and Obsession on the Electronic Frontier, Mandarin Australia, 1997.
- ↑ Dreyfus 1997, Chapter 1 เก็บถาวร 2009-05-25 ที่ เวย์แบ็กแมชชีน.
- ↑ Dreyfus, Suelette. "Computer Hackers: juvenile delinquents or international saboteurs?" เก็บถาวร 2012-03-08 ที่ เวย์แบ็กแมชชีน, presented at the conference: Internet Crime held in Melbourne, 16–17 February 1998, by the Australian Institute of Criminology
แหล่งข้อมูลอื่น แก้
- CERT advisory
- Another advisory เก็บถาวร 2007-06-10 ที่ เวย์แบ็กแมชชีน
- Underground. A freely available online book which contains a lot of information about the worm เก็บถาวร 2016-03-03 ที่ เวย์แบ็กแมชชีน
- Article that includes information about the worm
- Article by Suelette Dreyfus, "Juvenile Delinquents or International Saboteurs?" เก็บถาวร 2012-03-08 ที่ เวย์แบ็กแมชชีน
- "The history of worm-like programs" เก็บถาวร 2013-05-27 ที่ เวย์แบ็กแมชชีน
- Hacktivism and Politically Motivated Computer Crime, written by one of the Digital Equipment Corporation investigators, disputes the WANK worm had any political motivation but was rather a play on the British meaning of the word "wank".