Estava em Estocolmo a dar uma palestra, na presença de cerca de uma centena de administradores de sistemas. Antes do coffee break contei-lhes a história engraçada de um vírus chamado NoSmoking, que fora programado para enviar mensagens de um utilizador Novell NetWare para outro de forma intermitente.

Expliquei que, se fossem destinatários das ações do NoSmoking, receberiam um pop-up nos seus ecrãs que diria "No smoking, please !", ou em alterativa... "Friday I'm in LOVE !", o que poderia ter implicações embaraçosas, já que as mensagens não se distinguiam de qualquer outra enviada legitimamente por um colega.

Mas algo estranho aconteceu durante esse coffee break. Os pagers e telemóveis dos participantes começaram a tocar, e vários abordaram-me a pedir mais informações sobre o worm NoSmoking.

"Este vírus NoSmoking... disse que ele só envia mensagens através de NetWare? E por e-mail?"

Embora garantindo que o NoSmoking não se propagava por e-mail em quaisquer circunstâncias e que não se encontrava numa situação de propagação massiva, tornou-se claro que algo andava a distribuir palavras de amor pelas contas de e-mail protegidas dos inúmeros presentes naquele evento.

Terminada a palestra, assim que liguei o telemóvel fui bombardeado por telefonemas, mensagens de voz e texto a pedirem-me informações sobre o worm "ILOVEYOU", que aparentemente não afetava caixas de e-mail em todo o mundo.

De facto, recebi tantas chamadas sobre aquela nova epidemia a caminho do aeroporto, que fui obrigado a trocar a bateria do meu Nokia com o motorista do táxi (a quem aproveito para agradecer!). As chamadas continuaram durante todo o caminho, até embarcar no avião de volta a Londres.

Obviamente que algo importante estava a acontecer, e que não tinha nada a ver com o NoSmoking.

Assim que o avião aterrou no aeroporto de Heathrow, e ainda nas manobras finais antes de parar definitivamente, tive a experiência pouco usual de ouvir o meu nome ser anunciado por uma hospedeira de bordo através das colunas. Aparentemente alguém aguardava a minha chegada, e eu deveria apresentar-me à tripulação.

No aeroporto estava à minha espera alguém de uma estação televisiva para me levar diretamente aos seus estúdios, para que pudesse comentar sobre o que se estava a tornar rapidamente na maior epidemia de vírus informáticos que o mundo alguma vez vira. As notícias daquela altura relatavam que a CIA, a Ford e o parlamento Britânico estavam entre as muitas organizações afetadas.

O ILOVEYOU

O ILOVEYOU, também conhecido por Love Bug, LoveLetter ou VBS/LoveLet, distribuía-se por e-mail com o assunto "ILOVEYOU" e a mensagem "Kindly check the attached LOVELETTER coming from me".

 

Em anexo a cada e-mail estava um ficheiro com o nome LOVELETTER.TXT.VBS, que utilizava uma extensão dupla para tentar ocultar que se tratava de um ficheiro Visual Basic Script em vez de um simples ficheiro de texto.

Não havia nada particularmente hábil no código do ILOVEYOU, que explicasse por que motivo se propagara tão velozmente. A razão para o seu sucesso foi ter explorado uma necessidade universal: o desejo de se ser amado.

Se recebesse um e-mail "daquela" rapariga engraçada da contabilidade, obviamente que o abriria. Afinal, quem não gosta de se sentir desejado? Mas se o recebesse do seu chefe, com 120 Kg e um enorme bigode, também o abriria. Certamente tratar-se-ia de uma piada, certo? E mesmo que estivesse num relacionamento feliz e estável, a simples curiosidade provavelmente levaria a maioria de nós a não resistir investigar um pouco melhor.

Mesmo que não falasse Inglês provavelmente abri-lo-ia, pois "I Love You" é possivelmente a expressão mais reconhecida no idioma Inglês, até entre aqueles que nunca conheceram alguém que falasse essa língua.

Com o vírus a propagar-se por todo o mundo, a "caça" era agora ao seu autor.

Ligações às Filipinas

Em 1999, Onel de Guzman, um estudante do AMA Computer College nas Filipinas, submeteu uma proposta de tese para um programa que roubaria nomes de utilizadores e passwords de outros utilizadores, de modo a poupar dinheiro nos acessos pagos à Internet.

 

A proposta de Guzman (conforme ilustra a imagem), foi rejeitada pelo conselho académico que evocou um comportamento ilegal. Se Guzman tivesse escutado os conselhos dos orientadores escolares, provavelmente o mundo nunca teria conhecido o Love Bug.

Mas a 04 de Maio de 2000, na véspera do seu dia de formatura, distribuía-se rapidamente pelo globo um worm que seguia os planos de Guzman, tentando reencaminhar passwords para endereços de e-mail nas Filipinas.

Por se tratar de um vírus baseado em Visual Basic Script (VBS), o código do Love Bug era facilmente visível mesmo por utilizadores sem experiência na análise de malware. De facto, um dia depois do início da distribuição do worm surgia um elevado número  de cópias a imitarem-no.

Contudo, o seu código continha uma pista para a origem do ILOVEYOU:

rem by:spyder / Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. / @GRAMMERSoft Group / Manila,Philippines

Os dados enviados pelo worm para o endereço de e-mail terminado por @mail.com, eram reencaminhados para Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. e Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar., dois endereços Filipinos que lidavam sob pressão com a informação roubada dos computadores de vítimas em todo o mundo.

A detenção final

Na 2ª feira, 08 de Maio de 2000, agentes do National Bureau of Investigation (NBI) realizaram buscar a um apartamento em Manila, e prenderam um homem de 27 anos chamado Reomel Ramones.

Apesar de não ter sido encontrado qualquer computador naquela morada, foi descoberto um disco rígido que continha código semelhante ao que era utilizado pelo ILOVEYOU.

Eventualmente tornou-se claro que Ramones pouco provavelmente seria o responsável pela criação do ILOVEYOU, mas quando a polícia questionou a namorada, Irene de Guzman, de 23 anos de idade, as suas atenções focaram-se no respetivo irmão que acabara de reprovar no seu curso do AMA Computer College.

Onel de Guzman

Comprovada a revelação ao mundo da rejeição da sua proposta de tese de curso, na 4ª feira, 10 de Maio de 2000, Onel de Guzman admitiu globalmente perante os media que poderia ter despoletado acidentalmente a propagação do vírus ILOVEYOU, mas recusou confirmar ser o autor.

A sua irmã sentou-se ao seu lado, abraçando-o e utilizando óculos escuros.

 

Foi revelado que Guzman e o colega Michael Buen (posteriormente acusado da autoria do vírus WM97/Michael-B, que ironicamente continha os seus contactos), eram membros de um gang informático secreto chamado GRAMMERSoft, que fornecia serviços a pequenas empresas e alegadamente vendia trabalhos de casa a outros estudantes do AMA Computer College.

Infelizmente, apesar das provas suportarem o envolvimento de Guzman, o NBI não foi capaz de tomar medidas. Só em Junho de 2000 é que as autoridades Filipinas introduziram legislação sobre crimes informáticos, como resultado do incidente com o ILOVEYOU. Estas leis não puderam ser aplicadas de forma retroativa, e o principal suspeito saiu em liberdade.

Um ano ou dois depois visitei Manila e conheci o investigador principal no caso ILOVEYOU,  que me expressou a sua frustração por não ser capaz de julgar as pessoas que acreditava serem responsáveis.

Um desgosto adicional era o facto de, como o ILOVEYOU captara as atenções dos media a nível mundial, Guzman era considerado um herói por muitos dos seus compatriotas.

O jornal Philippine Star, por exemplo, escreveu que "aqui está um génio Filipino que colocou as Filipinas no mapa do mundo. E que comprovou que o Filipino tem a criatividade e a ingenuidade de virar, para melhor ou para pior, o mundo do avesso.''

De acordo com o colunista Art A. Borjal, o vírus ILOVEYOU foi algo que "fará os estrangeiros olharem para os Filipinos com uma inveja oculta.''

Quando nos recordamos que naquela época a maioria do malware era criado para dar nas vistas, em vez de passar despercebido recolhendo lucros, torna-se claro que o ILOVEYOU foi bem-sucedido. Guzman tornou-se uma celebridade nacional, e o seu colega foi alegadamente "inundado" com pedidos de estudantes.

Infelizmente, e apesar da tecnologia ter melhorado nos últimos nove anos, a maioria do público em geral ainda se mantém lamentavelmente pouco educado sobre como agir em segurança online, e como proteger melhor as suas contas bancárias e identidades.

O final da história?

Então, o que se seguiu no curioso caso do worm ILOVEYOU?

Bem, o incidente acabou por inspirar a criação de um filme, uma comédia romântica entre uma jovem Americana e um rapaz Filipino que tentam manter o contacto depois de ela deixar as Filipinas. As limitações das ligações à Internet ou das redes móveis dificultam as intenções, e por isso os amigos dele têm a ideia de criar um vírus para lhes facilitar o contacto. O filme foge assim um pouco à história real, mas baseia-se no enredo original do worm ILOVEYOU.

O nome do filme? Subject: I Love You.

 

 

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.