Nessa altura, o vírus Brain, original do Paquistão, era invulgar por ter um útil nome descritivo. Mudava o nome de volume em disquetes infetadas para (C) BRAIN.

Os vírus geralmente tinham nomes tecnicamente pouco úteis, como o Jerusalem, que se baseava no local de origem e foi por muitos chamado como Israeli. Como o malware e, geral era tão raro, mesmo atribuindo o nome de um país a um vírus colocava muito poucas probabilidades de originar confusões.

E assim foi com o Internet Worm. Reforçamos: O Internet Worm, e não simplesmente um internet worm.

Afinal, nunca tinha surgido um worm na Internet antes, e naquela altura não se preocupavam no imediato com a possibilidade de vir a surgir outro e que nome lhe dar...

O Internet Worm é também conhecido por Morris Worm, relacionado com o nome do seu autor, Robert Tappan Morris.

Curiosamente, ao criar este worm Robert Morris pretendia simplesmente calcular a dimensão da Internet, e não provocar danos.

O worm verificava cada computador pela sua eventual presença, mas para evitar que os administradores de sistemas impedissem a infeção reportando falsos positivos, Morris programou o worm para criar cópias suas independentemente do PC já estar infetado com ele, num rácio de 1 em cada 7 ocorrências. Como resultado, um mesmo computador podia ser infetado múltiplas vezes, atingindo níveis de lentidão tão elevados que ficava inutilizado.

Atualmente, o malware não tende a adotar o nome dos seus autores porque as suas identidades são raramente conhecidas, e é assim pretendem continuar.

Contudo, Morris dificilmente conseguiria negar a autoria do Internet Worm, depois de se tornar na primeira pessoa condenada sob a então nova Lei de Fraude e Abuso Informático, por criar e distribuir o worm. Esteve em liberdade condicional durante três anos, prestou 400 horas de serviço comunitário e pagou uma multa de pouco mais de 10 mil dólares. O custo estimado provocado por este worm, entre as potenciais perdas de produtividade e o consequente esforço de remoção dos diversos sistemas, variou entre os 200 e os 53.000 dólares.

Como se distribuiu?

O worm empregou inúmeras técnicas que ainda hoje são utilizadas por cibercriminosos, com três principais "truques na manga" para se propagar:

1. Tentava explorar uma vulnerabilidade de stack overflow no serviço fingerd.
2. Tentava explorar uma opção de debug frequentemente (mas erradamente) ativada no servidor de e-mail sendmail.
3. Tentava desvendar as passwords de outros utilizadores.

O processo de desvendar passwords começava com várias permutações sobre o nome real e o nome de login do utilizador. Se nenhum deles funcionasse, era utilizado um pequeno dicionário que acompanhava o worm:

char *wds[] = {
  "academia", "aerobics", "airplane", "albany",
  "albatross", "albert", "alex", "alexander",
  "algebra", "aliases", "alphabet", "amorphous",
  . . . .
  "outlaw", "oxford", "pacific", "painless",
  "pakistan", "papers", "password", "patricia",
  "penguin", "peoria", "percolate", "persimmon",
  . . . .
  "wizard", "wombat", "woodwind", "wormwood",
  "yacov", "yang", "yellowstone", "yosemite",
  "zimmerman",
  0
};

O que aprendemos?

Era excelente podermos dizer que uma lista de passwords como a exemplificada acima, seria inútil em 2013. Mas a experiência sugere que muitos utilizadores permanecem tão descuidados como eram em 1988.

O ano passado, por exemplo, quando o grupo Philips sofreu um ataque à sua base de dados, na Sophos rapidamente destacámos as seguintes passwords entre as que foram publicamente desvendadas:

1234
12345
123456
123457 -- boa tentativa...
00000000
philips -- cinco ocorrências
ph1lips -- outra boa tentativa...
password -- não pode faltar em nenhuma lista deste tipo
qwerty -- idem...
seguro -- não é...

Numa curiosa reviravolta histórica, o autor do programa "crypt" original para Unix, que introduziu o alojamento e validação de passwords como hashes em vez de texto simples, foi o pai de Robert Morris, também chamado Robert e que trabalhava na NSA quando o worm foi criado. Muito desta história é assustadoramente familiar, mesmo 25 anos depois.

Os stack overflows, por outro lado, já não são o desastre de segurança que foram no passado. Em 1988, o shellcode era executado diretamente na stack, o que originava grandes probabilidades de ocorrência de um RCE, ou Remote Code Execution. Atualmente, a maioria dos sistemas operativos marcam-no como não-executável, e é muito mais difícil ocorrerem manipulações não autorizadas.

Pode voltar a acontecer?

A sabedoria transmitida sugere que o Internet Worm infetou cerca de 10% dos 60 mil computadores ligados à Internet em 1988.

Este tipo de penetração foi provavelmente excedido por inúmeros worms de rede no início do novo milénio, como o CodeRed, o Nimda e o Slammer. Contudo, nos últimos anos os vírus com esse poder replicativo deixaram de ser vistos.

Uma razão é o sucesso e a ubiquidade da Internet em si: hoje, os criadores de malware não necessitam de utilizar vírus que se propaguem por redes (auto-replicáveis).

Em vez de enviarem malware ao mundo para descobrirem sistemas desprotegidos e se infiltrarem a partir do exterior, os cibercriminosos atuais podem simplesmente colocar o seu conteúdo malicioso num website, e aguardar que o mundo venha até ele.

É muito mais simples de fazer, e facilita a mudança do malware tantas vezes quanto necessário. É mesmo possível "servir" um exemplar completamente diferente para cada visitante.

Também ultrapassam muitas firewalls, porque são tipicamente configuradas para permitir ligações do interior para a Internet, mesmo que se encontrem bloqueadas "religiosamente" todas as ligações inbound com origem no exterior.

O que podemos ainda aprender?

Três simples medidas que deviam ter sido consideradas em 1988, ainda são bastante úteis nos dias de hoje:

• Definir passwords robustas. Utilize um gestor de passwords se tiver problemas em recordar-se de todas elas.
• Aplique as atualizações de segurança regularmente, para que as vulnerabilidades conhecidas deixem de ficar disponíveis para os cibercriminosos.
• Reveja a configuração do seu sistema, removendo permissões e desativando opções que podem ser inapropriadas para o seu tipo de utilização.

Um último ponto a reter: o que quer que tornasse o UNIX imune a vírus e outros tipos de malware... desapareceu para sempre a 02 de Novembro de 1988.

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.