home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / wankworm.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  19.2 KB  |  364 lines
  1.  
  2. Monday, 16 October 1989
  3. Kennedy Space Center, Florida
  4.  
  5. NASA buzzed with the excitement of a launch. Galileo was finally going to
  6. Jupiter.
  7.  
  8. Administrators and scientists in the world's most prestigious space agency
  9. had spent years trying to get the unmanned probe into space. Now, on
  10. Tuesday, 17 October, if all went well, the five astronauts in the Atlantis
  11. space shuttle would blast off from the Kennedy Space Center at Cape
  12. Canaveral, Florida, with Galileo in tow. On the team's fifth orbit, as the
  13. shuttle floated 295 kilometres above the Gulf of Mexico, the crew would
  14. liberate the three-tonne space probe.
  15.  
  16. An hour later, as Galileo skated safely away from the shuttle, the probe's
  17. 32500 pound booster system would fire up and NASA staff would watch this
  18. exquisite piece of human ingenuity embark on a six-year mission to the
  19. largest planet in the solar system. Galileo would take a necessarily
  20. circuitous route, flying by Venus once and Earth twice in a gravitational
  21. slingshot effort to get up enough momentum to reach Jupiter.
  22.  
  23. NASA's finest minds had wrestled for years with the problem of exactly how
  24. to get the probe across the solar system. Solar power was one option. But if
  25. Jupiter was a long way from Earth, it was even further from the Sun - 778.3
  26. million kilometres to be exact. Galileo would need ridiculously large solar
  27. panels to generate enough power for its instruments at such a distance from
  28. the Sun. In the end, NASA's engineers decided on a tried if not true earthly
  29. energy source: nuclear power.
  30.  
  31. Nuclear power was perfect for space, a giant void free of human life which
  32. could play host to a bit of radioactive plutonium 238 dioxide. The plutonium
  33. was compact for the amount of energy it gave off - and it lasted a long time.
  34. It seemed logical enough. Pop just under 24 kilograms of plutonium in a lead
  35. box, let it heat up through its own decay, generate electricity for the
  36. probe's instruments, and presto! Galileo would be on its way to investigate
  37. Jupiter.
  38.  
  39. American anti-nuclear activists didn't quite see it that way. They figured
  40. what goes up might come down ..NASA assured them Galileo's power pack was
  41. quite safe. The agency spent about $50 million on tests which supposedly
  42. proved the probe's generators were very safe. They would survive intact in
  43. the face of any number of terrible explosions, mishaps and accidents. NASA
  44. told journalists that the odds of a plutonium release due to 'inadvertent
  45. atmospheric re-entry' were 1 in 2 million. The likelihood of a plutonium
  46. radiation leak as a result of a launch disaster was a reassuring 1 in 2700.
  47.  
  48. NASA's Goddard Space Flight Center, Greenbelt, Maryland
  49.  
  50. Across the vast NASA empire, reaching from Maryland to California, from
  51. Europe to Japan, NASA workers greeted each other, checked their in-trays for
  52. mail, got their cups of coffee, settled into their chairs and tried to login
  53. to their computers for a day of solving complex physics problems. But many
  54. of the computer systems were behaving very strangely.
  55.  
  56. >From the moment staff logged in, it was clear that someone - or something - had
  57.  
  58. taken over. Instead of the usual system's official identification banner,
  59. they were startled to find the following message staring them in the face:
  60.  
  61.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  62.     _______________________________________________________________
  63.     \__  ____________  _____    ________    ____  ____   __  _____/
  64.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  65.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  66.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  67.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  68.          \___________________________________________________/
  69.           \                                                 /
  70.            \    Your System Has Been Officically WANKed    /
  71.             \_____________________________________________/
  72.  
  73.      You talk of times of peace for all, and then prepare for war.
  74.  
  75. This was not going to be a good day for the guys down at the NASA SPAN
  76. computer network office.
  77. This was not going to be a good day for John McMahon.
  78.  
  79.             --
  80.  
  81. As the assistant DECNET protocol manager for NASA's Goddard Space Flight
  82. Center in Maryland, John McMahon normally spent the day managing the chunk
  83. of the SPAN computer network which ran between Goddard's fifteen to twenty
  84. buildings.
  85.  
  86. McMahon worked for Code 630.4, otherwise known as Goddard's Advanced Data
  87. Flow Technology Office, in Building 28. Goddard scientists would call him up
  88. for help with their computers. Two of the most common sentences he heard
  89. were 'This doesn't seem to work' and 'I can't get to that part of the
  90. network from here'.
  91.  
  92. On 16 October McMahon arrived at the office and settled into work, only to
  93. face a surprising phone call from the SPAN project office. Todd Butler and
  94. Ron Tencati, from the National Space Science Data Center, which managed
  95. NASA's half of the SPAN network, had discovered something strange and
  96. definitely unauthorised winding its way through the computer network. It
  97. looked like a computer worm.
  98.  
  99. A computer worm is a little like a computer virus. It invades computer
  100. systems, interfering with their normal functions. It travels along any
  101. available compatible computer network and stops to knock at the door of
  102. systems attached to that network. If there is a hole in the security of the
  103. computer system, it will crawl through and enter the system. When it does
  104. this, it might have instructions to do any number of things, from sending
  105. computer users a message to trying to take over the system. What makes a
  106. worm different from other computer programs, such as viruses, is that it is
  107. self-propagating. It propels itself forward, wiggles into a new system and
  108. propagates itself at the new site. Unlike a virus, a worm doesn't latch onto
  109. a data file or a program. It is autonomous.
  110.  
  111. At the SPAN centre, things were becoming hectic. The worm was spreading
  112. through more and more systems and the phones were beginning to ring every
  113. few minutes. NASA computers were getting hit all over the place.
  114.  
  115. The SPAN project staff needed more arms. They were simultaneously trying to
  116. calm callers and concentrate on developing an analysis of the alien program.
  117. Was the thing a practical joke or a time bomb just waiting to go off? Who
  118. was behind this?
  119.  
  120. NASA was working in an information void when it came to WANK. Some staff
  121. knew of the protesters' action down at the Space Center, but nothing could
  122. have prepared them for this. NASA officials were confident enough about a
  123. link between the protests against Galileo and the attack on NASA's computers
  124. to speculate publicly that the two were related. It seemed a reasonable
  125. likelihood, but there were still plenty of unanswered questions.
  126.  
  127. Callers coming into the SPAN office were worried. People at the other end of
  128. the phone were scared. Many of the calls came from network managers who took
  129. care of a piece of SPAN at a specific NASA site, such as the Marshall Space
  130. Flight Center. Some were panicking; others spoke in a sort of monotone,
  131. flattened by a morning of calls from 25 different hysterical system
  132. administrators. A manager could lose his job over something like this.
  133.  
  134. Most of the callers to the SPAN head office were starved for information.
  135. How did this rogue worm get into their computers? Was it malicious? Would it
  136. destroy all the scientific data it came into contact with? What could be
  137. done to kill it?
  138.  
  139. NASA stored a great deal of valuable information on its SPAN computers. None
  140. of it was supposed to be classified, but the data on those computers is
  141. extremely valuable. Millions of man-hours go into gathering and analysing
  142. it. So the crisis team which had formed in the NASA SPAN project office, was
  143. alarmed when reports of massive data destruction starting coming in. People
  144. were phoning to say that the worm was erasing files.
  145.  
  146. It was every computer manager's worst nightmare, and it looked as though the
  147. crisis team's darkest fears were about to be confirmed.
  148.  
  149. Yet the worm was behaving inconsistently. On some computers it would only
  150. send anonymous messages, some of them funny, some bizarre and a few quite
  151. rude or obscene. No sooner would a user login than a message would flash
  152. across his or her screen:
  153.  
  154.          Remember, even if you win the rat race-you're still a rat.
  155.  
  156. Or perhaps they were graced with some bad humour:
  157.  
  158.                 Nothing is faster than the speed of light...
  159.            To prove this to yourself, try opening the refrigerator
  160.                        door before the light comes on.
  161.  
  162. Other users were treated to anti-authoritarian observations of the paranoid:
  163.  
  164.                           The FBI is watching YOU.
  165.  
  166. or
  167.  
  168.                                Vote anarchist.
  169.  
  170. But the worm did not appear to be erasing files on these systems. Perhaps
  171. the seemingly random file-erasing trick was a portent of things to come - just
  172. a small taste of what might happen at a particular time, such as midnight.
  173. Perhaps an unusual keystroke by an unwitting computer user on those systems
  174. which seemed only mildly affected could trigger something in the worm. One
  175. keystroke might begin an irreversible chain of commands to erase everything
  176. on that system.
  177.  
  178. The NASA SPAN computer team were in a race with the worm. Each minute they
  179. spent trying to figure out what it did, the worm was pushing forward, ever
  180. deeper into NASA's computer network. Every hour NASA spent developing a
  181. cure, the worm spent searching, probing, breaking and entering. A day's
  182. delay in getting the cure out to all the systems could mean dozens of new
  183. worm invasions doing God knows what in vulnerable computers. The SPAN team
  184. had to dissect this thing completely, and they had to do it fast.
  185.  
  186. Some computer network managers were badly shaken. The SPAN office received a
  187. call from NASA's Jet Propulsion Laboratories in California, an important
  188. NASA centre with 6500 employees and close ties to California Institute of
  189. Technology (Caltech).
  190.  
  191. JPL was pulling itself off the network.
  192.  
  193. This worm was too much of a risk. The only safe option was to isolate their
  194. computers. There would be no SPAN DEC-based communications with the rest of
  195. NASA until the crisis was under control. This made things harder for the
  196. SPAN team; getting a worm exterminating program out to JPL, like other sites
  197. which had cut their connection to SPAN, was going to be that much tougher.
  198. Everything had to be done over the phone.
  199.  
  200. Worse, JPL was one of five routing centres for NASA's SPAN computer network.
  201. It was like the centre of a wheel, with a dozen spokes branching off - each
  202. leading to another SPAN site. All these places, known as tailsites, depended
  203. on the lab site for their connections into SPAN. When JPL pulled itself off
  204. the network, the tailsites went down too.
  205.  
  206. It was a serious problem for the people in the SPAN office back in Virginia.
  207. To Ron Tencati, head of security for NASA SPAN, taking a routing centre
  208. off-line was a major issue. But his hands were tied. The SPAN office
  209. exercised central authority over the wide area network, but it couldn't
  210. dictate how individual field centres dealt with the worm. That was each
  211. centre's own decision. The SPAN team could only give them advice and rush to
  212.  
  213.  * Message split, to be continued *
  214. --- ifmail v.2.10-tx8.2
  215.  * Origin: IQ (1:340/13@fidonet)
  216.  
  217. ─ ALT.2600 (1:340/26) ─────────────────────────────────────────────── ALT.2600 ─
  218.  Msg  : 404 of 500                                                              
  219.  From : Julian Assange              1:340/13                22 Jun 97  20:28:22 
  220.  To   : All                                                 23 Jun 97  14:19:04 
  221.  Subj : [part 2] Extract: _Underground_ new book on international computer crim 
  222. ────────────────────────────────────────────────────────────────────────────────
  223. .RFC-Subject: Extract: _Underground_ new book on international computer crime -
  224. "The WANK worm"
  225. From: proff@profane.iq.org (Julian Assange)
  226.  
  227.  * Continuation 1 of a split message *
  228.  
  229. develop a way to poison the worm.
  230.  
  231. Next or Previous
  232.  
  233. The SPAN office called John McMahon again, this time with a more urgent
  234. request. Would he come over to help handle the crisis?
  235.  
  236. The SPAN centre was only 800 metres away from McMahon's office. His boss,
  237. Jerome Bennett, the DECNET protocol manager, gave the nod. McMahon would be
  238. on loan until the crisis was under control.
  239.  
  240. When he got to Building 26, home of the NASA SPAN project office, McMahon
  241. became part of a core NASA crisis team .. At first the core team seemed only
  242. to include NASA people and to be largely based at Goddard. But as the day
  243. wore on, new people from other parts of the US government would join the
  244. team.
  245.  
  246. The worm had spread outside NASA.
  247.  
  248. It had also attacked the US Department of Energy's worldwide High-Energy
  249. Physics' Network of computers. Known as HEPNET, it was another piece of the
  250. overall SPAN network, along with Euro-HEPNET and Euro-SPAN. The NASA and DOE
  251. computer networks of DEC computers crisscrossed at a number of places. A
  252. research laboratory might, for example, need to have access to computers
  253. from both HEPNET and NASA SPAN. For convenience, the lab might just connect
  254. the two networks. The effect as far as the worm was concerned was that
  255. NASA's SPAN and DOE's HEPNET were in fact just one giant computer network,
  256. all of which the worm could invade.
  257.  
  258. The Department of Energy keeps classified information on its computers. Very
  259. classified information. There are two groups in DOE: the people who do
  260. research on civilian energy projects and the people who make atomic bombs.
  261. So DOE takes security seriously, as in 'threat to national security'
  262. seriously. Although HEPNET wasn't meant to be carrying any classified
  263. information across its wires, DOE responded with military efficiency when
  264. its computer managers discovered the invader. They grabbed the one guy who
  265. knew a lot about computer security on VMS systems and put him on the case:
  266. Kevin Oberman.
  267.  
  268. Even as the WANK worm coursed through NASA, it was launching an aggressive
  269. attack on DOE's Fermi National Accelerator Laboratory, near Chicago. It had
  270. broken into a number of computer systems there and the Fermilab people were
  271. not happy. They called in CIAC, who contacted Oberman with an early morning
  272. phone call on 16 October. They wanted him to analyse the WANK worm. They
  273. wanted to know how dangerous it was. Most of all, they wanted to know what
  274. to do about it.
  275.  
  276. The DOE people traced their first contact with the worm back to 14 October.
  277. Further, they hypothesised, the worm had actually been launched the day
  278. before, on Friday the 13th. Such an inauspicious day would, in Oberman's
  279. opinion, have been in keeping with the type of humour exhibited by the
  280. creator or creators of the worm.
  281.  
  282. Oberman began his own analysis of the worm, oblivious to the fact that 3200
  283. kilometres away, on the other side of the continent, his colleague and
  284. acquaintance John McMahon was doing exactly the same thing. ..
  285.  
  286.             ---
  287.  
  288. John McMahon's analysis suggested there were three versions of the WANK
  289. worm. These versions, isolated from worm samples collected from the network,
  290. were very similar, but each contained a few subtle differences. In McMahon's
  291. view, these differences could not be explained by the way the worm recreated
  292. itself at each site in order to spread. But why would the creator of the
  293. worm release different versions? Why not just write one version properly and
  294. fire it off? The worm wasn't just one incoming missile; it was a frenzied
  295. attack. It was coming from all directions, at all sorts of different levels
  296. within NASA's computers.
  297.  
  298. McMahon guessed that the worm's designer had released the different versions
  299. at slightly different times. Maybe the creator released the worm, and then
  300. discovered a bug. He fiddled with the worm a bit to correct the problem and
  301. then released it again. Maybe he didn't like the way he had fixed the bug
  302. the first time, so he changed it a little more and released it a third time.
  303.  
  304. In northern California, Kevin Oberman came to a different conclusion. He
  305. believed there was in fact only one real version of the worm spiralling
  306. through HEPNET and SPAN. The small variations in the different copies he
  307. dissected seemed to stem from the worm's ability to learn and change as it
  308. moved from computer to computer.
  309.  
  310. The worm circumnavigated the globe. It had reach into European sites, such
  311. as CERN - formerly known as the European Centre for Nuclear Research - in
  312. Switzerland, through to Goddard's computers in Maryland, on to Fermilab in
  313. Chicago and propelled itself across the Pacific into the Riken Accelerator
  314. Facility in Japan.
  315.  
  316. NASA officials told the media they believed the worm had been launched about
  317. 4.30 a.m. on Monday, 16 October.
  318.  
  319. They also believed it had originated in Europe, possibly in France ..
  320.  
  321. The WANK worm left a number of unanswered questions in its wake, a number of
  322. loose ends which still puzzle John McMahon. Was the hacker behind the worm
  323. really protesting against NASA's launch of the plutonium-powered Galileo
  324. space probe? Did the use of the word 'WANK' - a most un-American word - mean the
  325. hacker wasn't American? Why had the creator recreated the worm and released
  326. it a second time? Why had no-one, no political or other group, claimed
  327. responsibility for the WANK worm?
  328.  
  329. One of the many details which remained an enigma was contained in the
  330. version of the worm used in the second attack. The worm's creator had
  331. replaced the original process name, NETW_, with a new one, presumably to
  332. thwart the anti-WANK program. McMahon figured the original process name
  333. stood for 'netwank' - a reasonable guess at the hacker's intended meaning. The
  334. new process name, however, left everyone on the SPAN team scratching their
  335. heads: it didn't seem to stand for anything. The letters formed an unlikely
  336. set of initials for someone's name. No-one recognised it as an acronym for a
  337. saying or an organisation. And it certainly wasn't a proper word in the
  338. English language. It was a complete mystery why the creator of the WANK
  339. worm, the hacker who launched an invasion into hundreds of NASA and DOE
  340. computers, should choose this weird word. The word was 'OILZ'.
  341.  
  342. It is not surprising the SPAN security team would miss the mark. It is not
  343. surprising, for example, that these officials should to this day be
  344. pronouncing the 'Oilz' version of the WANK worm as 'oil zee' .. nor that
  345. they hypothesised the worm's creator chose the word 'Oilz' because the
  346. modifications made to the last version made it slippery, perhaps even oily.
  347.  
  348. Likely as not, only an Australian would see the worm's link to the lyrics of
  349. Midnight Oil.
  350.  
  351. This was the world's first worm with a political message, and the second
  352. major worm in the history of the worldwide computer networks...
  353.  
  354. Yet, NASA and the US Department of Energy were half a world away from
  355. finding the creator of the WANK worm. Even as investigators sniffed around
  356. electronic trails leading to France, it appears the perpetrator was hiding
  357. behind his computer and modem in Australia ...
  358.  
  359. ----------------------------------------------------------------------------
  360. Underground; Tales of Hacking, Madness and Obsession on the Electronic
  361. Frontier, by Suelette Dreyfus; published by Mandarin (Random House
  362. Australia); (P) 475 pages with bib. http://www.underground-book.com/
  363.  
  364.