El amigo de los virus: Entrevista a Mark Ludwig Por Fernando Bonsembiante Entrevistamos a Mark Ludwig, el polémico autor de libros sobre virus y editor de una revista que explica cómo hacerlos. VR: ¿Cómo empezó su interés por los virus? ML: En principio fue un interés científico. Me atraía la relación de los virus con los organismos vivos y la evolución. Al comienzo traté de encontrar algunos para estudiarlos, pero nadie quería compartirlos. Entonces puse un BBS y publiqué en él un aviso donde ofrecía 20 dólares a quien me dejara uno. Así conseguí algunos virus, y empezé a ver como funcionaban. Me pareció que habría gente que estaría interesada en saber cómo funcionaban, y que tampoco podrían conseguirlos, entonces decidí empezar a escribir sobre virus, una introducción general sobre los virus y cómo funcionaban. VR: ¿Qué estaba estudiando en ese momento? ML: Estaba haciendo el doctorado en física, trabajaba en mi tesis y tenía computadoras en el lugar donde lo hacía. Allí aparecían distintos virus cada tanto, y de tanto verlos me interesé en estudiarlos. Lo primero que surgió fue el Little black book of computer viruses (Pequeño Libro negro de los virus). Había desensamblado algunos virus, la mayoría eran difíciles y complejos para entender, por eso pensé que era necesario explicar con claridad y simpleza cómo trabajaba cada cosa para aquellos que no sabían demasiado, los que habían tenido poco contacto con el tema. Entonces escribí cuatro virus, empecé por el más sencillo, infector de .com, seguí con un virus más complejo infector de .exe, un virus de boot muy simple, y un virus más complicado de boot, con stealth. VR: ¿No tuvo miedo a meterse en problemas? ML: Sí. No tenía idea de qué iba a pasar cuando el libro se publicara, y debía resolver varios problemas: ¿Tenía que usar virus que ya existían? El peligro era que se desparramaran. ¿Debía usar un alias para firmar?. ¿Tenía que dirigirlo a todo el mundo o sólo a los profesionales? En definitiva, elegí escribir para todo el mundo, y usé mis propios virus por que eso me permitía controlar los efectos y tener seguridad de qué pasaba. La gente que estaba a mi alrededor me decía 'si hacés eso, el virus se va a diseminar y vas a causar problemas'. Yo no sabía qué responsabilidad tendría la gente que iba a comprar el libro, entonces pensé que si usaba un virus nuevo podía ver si se difundía realmente. VR: ¿Y se desparramaron? ML: Lo que noté es que la gente experimentó con el más simple, el Timid y hay quizás una media docena de modificaciones. Pero en general lo que hacen es subirlo a un BBS, no lo desparramaron realmente. Por ahora nadie tocó el infector de .EXE. Hay algunos reportes de que encontraron el virus stealth de boot sector, no más de cinco reportes. VR: ¿Después del libro vino la revista sobre virus? ML: El libro es una introducción básica, trata de virus simples, el único más o menos complicado es el virus stealth de boot sector. Después mucha, gente me dijo 'esto es bueno, queremos más información' no tenían de donde sacarla, no había nada publicado de una forma accesible. La revista estaba diseñada para empezar donde terminaba el libro. Si alguien leía el libro, podía comprar la revista y seguir aprendiendo. VR: ¿El siguiente paso fue el CDRom? ML: En realidad fue el otro libro, éste trataba de la vida artificial y la evolución, algunas cosas que me habían interesado acerca de los virus originalmente, como ser cómo se relacionan con los virus biológicos. En cuanto al CD de nuevo fue la gente la que quería esta información, tanto fueran programadores interesados en saber qué hacían los virus, gente de la industria y el gobierno que estaban preocupados porque los virus atacaban sus computadoras y no querían ponerse en manos de los antivirus. Se dieron cuenta de que podían protegerse, simplemente necesitaban la experiencia personal para entender los límites de lo que un antivirus puede hacer. Básicamente el CD es todo lo que pude recoger acerca de los virus. VR: ¿No es peligroso poner en manos de la gente tantos virus, fuentes de virus y generadores de virus? ML: Bueno, yo estoy tomando un enfoque experimental. Al igual que con el Pequeño Libro Negro hay mucha gente que piensa que sí es peligroso; desde mi experiencia con ese libro yo pienso y digo que la mayoría de la gente va a ser responsable con esta información. Además creo que probablemente sea más peligroso a largo plazo mantener la información en secreto, hay mucha gente que la necesita, por ejemplo, un responsable de 20.000 computadoras en red de una multinacional debe tener acceso a los virus para poder proteger sus máquinas. La gente en su posición no puede ponerse a experimentar con los virus porque no tiene acceso a ellos. Volvemos a la vieja pregunta, ¿qué restricciones poner? Yo me tengo que poner del lado de la libertad y decir que no voy a restringir. Veo demasiado de lo que pasó en la comunidad de los virus cuando se guardó información. Para ser francos, no van a ir a destruir la computadora de nadie, quieren aprender, y no pueden conseguir la información porque la comunidad antivirus dice que no tienen suficientes prevenciones. VR: El próximo libro es sobre el uso militar de los virus. ML: Va a salir el año que viene, básicamente para discutir para qué se pueden usar los virus. Traté de investigar qué tipo de virus podían usar. Se que en los EEUU hay gente en ambientes militares trabajando activamente en este tema, se que se pueden utilizar como arma y salvar vidas. VR: Usted habla del uso benigno de los virus, la mayoría de la gente no cree en eso ¿Qué les diría? ML: Creo que eso no es verdad, que a la mayoría de la gente le lavaron el cerebro, siempre ven a los medios de comunicación que dicen 'es malo, es malo' y yo desafío eso. Cuando te sentás y hablás con el que usa la computadora de y le explicás qué son y qué no, por ejemplo, un virus no es necesariamente un programa que entra y destruye datos en la computadora. Un virus es un programa que se reproduce, es un programa que usa funciones de bajo nivel en la computadora, hace cosas que otros programas no, se pueden usar esas características de los virus a tu favor. Un ejemplo es el virus KOH. El mecanismo de reproducción hace mantenimiento por vos. KOH encripta discos para que la gente no autorizada no pueda tener acceso. La función de mantenimiento se asegura que todos los discos utilizados en la computadora estén encriptados. Un programa convencional, que no tenga la reproducción, uno tiene que mantener un registro manual de lo que está encriptado y lo que no está. Si uno está en un entorno donde quiere que todo esté encriptado, si uno se olvida de encriptar un disco que contiene información importante, la seguridad está comprometida. Entonces, el virus trabaja para tu beneficio, haciendo estas cosas para vos, para que uno no tenga que perder el tiempo haciéndolo a mano. VR: ¿Quién escribió ese virus? ML: Una persona en México, se hizo afuera de EEUU por las regulaciones de exportación sobre criptografía. Al estar escrito en México lo podemos importar a EEUU y el resto del mundo puede tenerlo también. Usa el handle King of Hearts. No digo el nombre porque él quiere mantenerlo protegido. VR: ¿Cuál es su relación con la industria de las computadoras y de los antivirus? ML: Me considero parte de la industria de las computadoras al igual que un montón de gente, así que no creo estar presumiendo. La industria del antivirus básicamente me odia y está bien. VR: Usted contó una anécdota acerca de amenazas o golpes de gente relacionada con los antivirus... ML: Bueno, hubo alguna gente que decía que me querían golpear, gente de la industria anti virus. Trataron de poner gente protestando frente a mi casa, pero nada pasó en realidad. Demostraron ladrar más de lo que muerden. VR: Las grandes compañías, Microsoft, IBM, ¿qué piensan de esto? ML: Compran mis productos. VR: ¿Pero no hacen presión contra usted, simplemente lo ignoran? (me refiero a la prensa o públicamente) ML: Sí, me ignoran y algunos compran mis productos disimuladamente, otros me hablan regularmente de lo que está pasando con los virus. Un tipo que trabaja en una compañía química y está a cargo de la erradicación de virus me dejó que lo entreviste para la revista, tuvimos una buena relación. VR: ¿Hay un grupo de gente investigando la relación entre virus computacionales y biológicos? ML: Antes que nada no se pueden comparar los virus computacionales y los biológicos. Se deberían comparar con los organismos vivos. VR: ¿No es mucho comparar un programa con un organismo vivo? ML: En cierta forma sí, es difícil. Obviamente, yo podría decir que un virus computacional está vivo. En realidad tiene propiedades similares. Se reproduce como un organismo vivo y hay información genética, el código... es información genética. Si los bits y bites en una computadora o las moléculas de ADN funcionan en ese material es en escencia lo mismo. Entonces, en cierta forma un virus es como un ser vivo. Hay un grupo de gente que estableció el campo de estudio científico llamado vida artificial. Tratan de entender mejor el concepto de vida simulando organismos vivos, seres sintéticos, de un modo científico. Creo que esto es muy valioso, nos puede ayudar a entender la vida no como es sino cómo podría ser. Al explorar el universo realmente no tendríamos idea de lo que estamos buscando en los términos de "vida". Si encontrás pequeños hombres verdes podés decir "están vivos, hay vida", pero qué pasaría si encontraras algo muy diferente a lo que llamamos vida. Sería bueno tener un entendimiento más amplio de lo que es la vida para poder reconocer alguna forma de vida nueva. No sabés lo que puede pasar si salís a explorar y encontrás algo que a sí mismo se considera vivo y te parás arriba de él. Hace un siglo los blancos no consideraban humanos a los negros, pensaban que eran animales y que los podían explotar. Quizás podamos encontrar una vida diferente en el espacio, sería bueno tener un entendimiento más amplio de lo que es la vida. VR: ¿A qué nos conduce que el hombre meta mano en otras formas de vida? ML: Bueno, puede llevarnos a muchos lugares, algunos buenos, algunos no tan buenos. Por ejemplo, creo que nos ayudará a saber más cómo funciona la evolución. Ahora los sistemas operativos no están diseñados con consideraciones sobre los virus, cómo pueden entrar, lo que he visto es que en sistemas operativos como el DOS lleva bastante esfuerzo hacer que un virus evolucione. Si esto es universal o no, no lo sé, pero quizás en el futuro los sistemas operativos puedan permitir que los virus evolucionen en una forma en que quizás no queramos, donde puedan evolucionar y hacerse más complejos muy rápido, y causar un problema. Hay problemas pontenciales con la idea de la vida artificial, generalmente porque uno puede simular en una computadora el tipo de procesos evolucionarios que pueden tomar millones de años en el mundo real. Un virus común en una computadora se puede reproducir tan rápido como para crear miles de descendientes en unos segundos. VR: ¿Qué le diría a la gente que quiere sacarse de encima a los virus o protegerse a sí mismos? ML: Mucho depende de la situación, creo que alguien que usa una computadora de vez en cuando como procesador de textos o para una planilla de cálculo quizás esté seguro usando un antivirus shareware. F-Prot es bastante decente. Generalmente recomiendo que alguien que esté en una posición donde pueda llegar a tener un virus, que use por lo menos dos productos antivirus. Ningún antivirus es perfecto, y usando dos aumentan las posibilidades de detectar con uno lo que el otro no conoce. En una posición donde uno es responsable por una gran cantidad de máquinas, que quizás valen millones de dólares les diría que que no confíen en los programas detectores. Tienen que poner la primera línea de defensa basado en su propio conocimiento. Cada antivirus es imperfecto, y debe saber evaluar qué puede hacer y qué no puede hacer, para esto debe saber qué puede y que no puede hacer un virus. Tiene que ser capaz de evaluar los productos y eso requiere acceso a los virus y entendimiento de lo que está pasando, entonces a esa gente le aconsejo que se informe, yo ofrezco material para eso. No pueden simplemente tomar un producto antivirus e instalarlo. VR: ¿Qué a la gente que quiere trabajar con virus, haciéndolos, o investigandolos como vida artificial? ML: Obviamente tienen que ser muy cuidadosos. Hay virus que son muy peligrosos, si el virus le rompe la máquina donde está tu información bancaria, tenés un problema. Hay que tener una máquina exclusiva para dedicarla a la investigación. Preferentemente mantener todo lo que entra y sale de esa máquina separado. Tener conocimientos, ser responsables. Pienso que es irresponsable salir e infectar máquinas, darle los virus a la gente que no los quiere ni los entiende. VR: ¿Qué tipo de conocimiento se necesita para hacer una investigación de ese tipo? ML: Bueno, depende de lo que les interese. Para los que están interesados en vida artificial les recomiendo mi libro y los papers de las anteriores conferencias sobre vida artificial. VR: ¿Qué libros recomienda de assembler? ML: Bueno, si se puede conseguir el libro de Peter Norton acerca de las PC creo que es el mejor. Aprender assembler tiene mucho que ver con aprender a usar una PC y cómo trabaja. No es sólo cuestión de estudiar las instrucciones. Si comprás un assembler o si usás uno shareware como el A86, el manual te da la información de cómo podés hace un programa. Pero para hacer algo realmente útil tenés que saber a qué interrupciones acceder, que ports de entrada y salida usar, cómo funcionan las cosas. Y la guía del programador de la PC de Norton es lo que uno necesita. VR: ¿Qué assembler usa? ML: El Tasm, de Borland. El único modo de conseguirlo es comprando el C de Borland o el Pascal. Es una preferencia personal. Por ejemplo, en el little black book, todos los virus son compilables con el assembler de Microsoft, Turbo Assembler y el shareware A86. VR: ¿Qué usa para analizar los virus? ML: Tengo un Disassembler que se llama Diskdoc que me gusta. Es un producto comercial. VR: ¿Por qué vino a Argentina? ML: Lo que me hizo venir a esta conferencia es que iba a darle mucha importancia al tema de los virus, la mayoría de las conferencias anteriores tuvieron muy poco énfasis o ninguno. Como mi mayor interes en toda la escena del hacking son los virus, pensé que esto iba a ser la primera, no solo para Argentina, sino para todo el mundo. Pienso que es muy fácil meterse en eso de comprar un módem y molestar a la gente con llamados telefónicos, o comprarse un scanner y escuchar las conversaciones de otra gente. Meterse con los virus lleva bastante esfuerzo y conocimiento de la PC. En la época del Michelángelo mucha gente se interesaba en los virus, pero no se preocupaban por aprender más. En ese sentido es una moda. VR: ¿Qué le pareció esta conferencia? ML: El congreso me pareció muy bueno, me alegré cuando vi tanta gente, no sabía si venía a hablar para 30 o 300 personas y fueron más de 300. Creo que todos estaban muy interesados, ansiosos de aprender.