29A

From Hack Story

Jump to: navigation, search

29A fue un grupo de hackers especialistas en escribir virus por amor al arte. Nació a finales de 1995 y murió en febrero de 2008. Aunque surgió en España y siempre tuvo miembros españoles, contó entre su filas con destacados expertos de otros países. Es considerado uno de los mejores grupos de programadores de virus del mundo debido a sus originales investigaciones y alta calidad técnica, que les llevaron a escribir algunos de los virus más innovadores de la historia. Entre otros, destacan el primero para Windows de 32 bits, el primero multiplataforma, el primero que funcionaba en Linux y Windows [1] y el primero para teléfonos móviles. Los daban a conocer a través de la revista del mismo nombre.

29a.png

El nombre del grupo y la ezine, 29A, es la representación hexadecimal del número "666" en el sistema decimal. A pesar de esta referencia satánica, 29A destacó por su ética en la creación de virus, a los que consideraba vida artificial fascinante por sí misma y no por los ordenadores que pudiese infectar, como resumía en una frase uno de sus miembros, Mental Driller: "Prohibido el código destructivo y se programa por aficción y placer, no por fastidiar a la gente".[2]

Además de la BBS Dark Node, donde nacieron, el grupo se comunicaba en una lista de correo interna y un canal de IRC. Algunos de sus miembros se movían también por los canales #hack, #viruslatin y #virus de EFNet, #virus y #hack de IRC-Hispano, #vir, #virus, #vxers y #asm de Undernet, alt.comp.virus y otros foros habituales de los amantes de los virus.

En sus inicios, el grupo se citaba también físicamente: tres veces al año en Santiago de Compostela o Madrid, según cuenta su primer líder MrSandman, en una entrevista de presentación de 29A[3]. A uno de estos encuentros, la primera quedada en Madrid, asistió el experto en virus Bernardo Quintero, en verano de 1997:

En la quedada física que hicieron en Madrid estuvimos en varios sitios(almorzando, por la noche de botellón, etc), pero una tarde se pasó en el parque de atracciones de Madrid. Mientras esperábamos cola en una atracción, uno de ellos llevaba impreso en la espalda un volcado hexadecimal de un virus (sólo valores hexadecimales), y dos de ellos que iban tras él, aburridos, se pusieron directamente a hacer la traducción a ensamblador sobre la marcha a viva voz y a interpretar directamente lo que hacía el bicho como quién lee un libro.... yo flipaba (cualquier humano, incluido yo que me movía en ese mundillo, necesitaba un ordenador, un desensamblador, y echar un buen rato para hacer algo parecido).[4][5]

Sus miembros, muchos de ellos programadores de virus reconocidos mundialmente, fueron: Mister Sandman, Anibal Lecter, AVV, Blade Runner, Gordon Shumway, Griyo, Leugim San, Mr. White, Tcp, The Slug, VirusBuster, Wintermute, Darkman, Jacky Qwerty, Rajaat, Reptile, Super, Vecna, Mental Driller, SoPinky, Z0mbie, Benny, Bumblebee, LethalMind, Lord Julus, Prizzy, Mandragore, Ratter, roy g biv, Vallez.

Contents

Dark Node

Ordenador donde residía la BBS Dark Node

29A nació en la BBS Dark Node, dedicada a la investigación vírica y donde había foros de debate sobre este tema. Propiedad de VirusBuster, Dark Node estaba físicamente en Villagarcía de Arosa (más tarde se trasladó a Santiago de Compostela). Era punto de reunión habitual de los principales expertos españoles en virología informática.

Formaba una red tipo Fido en la que el nodo principal, Dark Node, tenía como dirección 66:666/1, así que por ahí vienen los tiros en cuanto al origen del nombre del grupo.[6]

Mister Sandman, quien lideró el grupo en sus inicios, conoció a VirusBuster y Gordon Shumway en el área sobre virus de FidoNet. Pero, debido al mal ambiente que había allí, según cuenta Sandman, VirusBuster y Shumway crearon la BBS Dark Node en abril de 1995 e invitaron a algunos especialistas en virus a visitarla. Así fue como los primeros miembros de 29A entraron en contacto y empezaron a intercambiar información, analizar virus y buscar fallos en antivirus.

Como otras BBS, Dark Node tenía diferentes niveles de acceso: desde sólo poder escribir un mensaje en los foros público hasta acceder a zonas especiales, privilegio de unos pocos que eran llamados élite. A finales de noviembre de 1995, Mister Sandman propuso a algunos componentes de esta élite crear un grupo organizado de escritores de virus y, dado que habían generado suficiente información en los últimos meses, recopilarla en forma de artículos y hacerla pública a través de una revista.

De esta forma, sacarían partido al trabajo que llevaban desarrollando durante meses (artículos, virus, desensamblados..), recopilarlo en una e-zine y así poder rivalizar con los dos grupos de escritores de virus más importantes en aquel momento: VLAD e Inmortal Riot.[7]

La idea cuajó y el 13 de diciembre de 1996 (viernes 13), salía el primer ejemplar de la revista 29A[8].

Contexto

29A fue el único grupo español, estable y conocido públicamente, que se dedicó a la creación de virus, lo que llevó a Mister Sandman a decir: "La escena en España es 29A"[9]. A nivel internacional, 29A había nacido como un grupo normalito, uno más. Pero pronto destacó hasta ser considerado uno de los mejores, si no el mejor.

La primera ezine sobre virus en el mundo había nacido en 1991, de la mano de Hellraiser y Bionic Slasher. Se llamó "40Hex"[10] y su contenido eran artículos donde se enseñaban códigos fuente de virus interesantes, técnicas para que un virus esquive a los antivirus, etc.

40Hex alcanzó inesperadas cotas de popularidad, tanto que un mes después, con la llegada de cuatro escritores más, se creó Phalcon/Skism, considerado hoy día como el primer grupo de escritores de virus organizados. La e-zine 40Hex siguió revolucionando la "virus scene", hasta agosto de 1995, cuando lanzaron su 14 edición y dejaron de dedicarse al mundo de los virus.

A partir de entonces, tuvo lugar una auténtica vorágine de apariciones y desapariciones de grupos de creadores víricos, como NuKE, Immortal Riot, YAM, los argentinos DAN o los australianos VLAD. Estos últimos han sido los más importantes, ya que fueron los que inventaron la infección de ficheros NewEXE y PE (formatos de ejecutables nativos de Windows 3.1 y Windows 95, respectivamente) y otras plataformas, como Linux, y gran cantidad de técnicas totalmente desconocidas y novedosas (el virus Bizatch o Boza, el primero específico para Win95).[11]

Cuando nació 29A, en 1995, acababa de aparecer otro grupo, IR/G, fruto de la fusión y decadencia de Immortal Riot y Genesis. También VLAD iniciaba su declive, debido a la retirada de sus hombres fuertes Qark y Quantum. IR/G no aguantó mucho. Esto, explica Javier Guerrero en PCManía, "deja a los españoles prácticamente al frente de la "scene"".[12]

En el primer número de la ezine de 29A, Mister Sandman se refiere a este contexto en el que nace el grupo:

Somos parte de la escena virica que se está regenerando continuamente. En los últimos tiempos hemos podido ver cuántos grupos han aparecido, se han fusionado o muerto. Thus, Qark y quantum se han retirado y disfrutan la vida, SVL se disolvió debido a problemas legales en Eslovaquia, Immortal Riot y Genesis se fusionaron y están a punto de sacar su primer número en las próximas dos semanas, Dark Conspiracy desapareció pero muchos de sus miembros fundaron un nuevo grupo, LT, que se fusionó con RSA, iKs ha sacado su primera ezine... como puedes ver, esto no para de moverse.

Incluso hay un nuevo grupo, Computa Gangsta, que han sacado recientemente el primer número de su ezine, DHC, y parecen querer seguir los pasos de YAM... ¡o peor![13]

Vida pública/Ezine

Issue # 1/Viernes 13, 666, los 12 magníficos

La primera ezine de 29A aparece el viernes 13 de diciembre de 1996, a las 6:66 am (7:06). Se llegarán a distribuir 10.000 ejemplares por todo el mundo, lo que la convierte en un éxito. En la presentación de la revista, Mister Sandman, que se identifica como el "boss" del grupo, explica que este primer número "no es nada del otro mundo":

Incluimos algunos tutoriales (polimorfismo, virus de macro...), técnicas virales (cómo deshabilitar algunos AVs, chequeos de instalación nueva...), desensamblajes de algunos virus (Zhengxi, V.6000...) y virus escritos por nosotros, por supuesto :) Echad un vistazo al índice de virus, porque algunos son realmente interesantes y/o innovan con nuevas técnicas nunca usadas hasta ahora.[14]

El staff de 29A en este primer número lo forman: Mister Sandman, Anibal Lecter, AVV, Blade Runner, Gordon Shumway, Griyo, Leugim San, Mr. White, Tcp, The Slug, VirusBuster y Wintermute. Son todos españoles, algo que no volverá a repetirse en la historia del grupo. Los virus propios que presentan son: Torero (MrSandman), Internal Overlay (Tcp), Cricri (GriYo), TheBugger (The Slug), Apocalyptic (Wintermute), AVP-Aids (Tcp), AntiCARO (MrSandman) y Galicia Kalidade (Mad Mother Team).

La revista podía descargarse de la web del grupo: http://www.netforward.com/cryogen/?mrsandman, de la web de Wintermute: http://www.netforward.com/cryogen/?wintermute y de un FTP: ftp.ilf.net/incoming.

Issue # 2/La nueva escuela Win32

El segundo número aparece un año después, el viernes 13 de febrero de 1998, a las 6:66 pm. En la presentación, Mister Sandman achaca la espera de un año a reestructuraciones internas, algunos miembros haciendo el servicio militar y, lo más importante, asegura: "La necesidad de gastar mucho tiempo en trabajo de I+D para empezar el camino en la llamada "nueva escuela" (Win32)".[15]

La ezine está repleta de alta calidad y buenos virus de creación propia: infectores para Win32, el primero multiplataforma (Esperanto), el primero que se ejecuta al revés, el primer infector de arranque que usa características PMODE, el más extendido en el mundo en aquel momento (CAP) y otros.

El grupo cuenta con una web oficial en Isla Tortuga, a la que llaman 29A Labs: http://29A.islatortuga.com y ha abierto un canal de chat, #virus, en la red española IRC Hispano. Estas novedades, junto a la aparición de la revista, hacen que mucha gente se acerque al grupo, españoles y extranjeros, algunos con intención de unirse a él. Así que deciden crear una nueva figura: el colaborador, que no es miembro oficial del grupo y por tanto no tiene compromisos con el mismo, pero puede escribir artículos y virus para colaborar con la ezine y el grupo.

El staff de 29A en 1998, al que Sandman llama el "VX dream-team", cuenta con nuevas incorporaciones, algunas de fuera de España: Mister Sandman, Darkman (nueva incorporación, de Holanda), GriYo, Jack Qwerty (nueva incorporación, de Perú), Rajaat (nueva incorporación, de Gran Bretaña, ex-IR/G)[16], Reptile (nueva incorporación, de Canadá), Super (nueva incorporación, de España), Tcp, Vecna (nueva incorporación, de Brasil) y Wintermute.

En la lista de colaboradores hay algunos miembros de 29A que han pasado al banquillo y otros que pronto serán miembros de pleno derecho: Anibal Lecter, AVV, Heuristic (holandés), Leugim San, Lord Julus (rumano), Mr. White, "Q" the Misanthrope (norteamericano), Spanska (francés), SSR (ruso), The Slug, VirusBuster, Ypsilon, Z0MBiE (ruso).[17]

Los nuevos virus que presenta el grupo son: Esperanto (MrSandman), Tupac Amaru (Wintermute), SuckSexee (Implant) (GriYo), Zohra (Wintermute), Anti-ETA (GriYo), WordMacro.CAP (Jack Qwerty), Orgasmatron (Vecna), Android (Vecna), DogPaw.720 (Jack Qwerty), Carriers (Darkman), RedCode (Wintermute), Baby Bug (Tcp), Prion (Darkman), Insert v 2.0 (Darkman), Animo (Rajat).

En este número hay además una sección llamada Win32, con tutoriales, herramientas y nuevos virus para plataformas Win32, la estrella del momento: Cabanas y Jacky, de Jack Qwerty; Lizard de Reptile, Z0MBiE de Z0MBiE, Gollum, de GriYo y You_got-it de "Q" the Misanthrope.

Issue # 3/MrSandman se va en pleno apogeo

La tercera edición de la ezine aparece a finales de 1998. La noticia más importante es que Mister Sandman deja 29A, por cuestiones personales[18], aunque se rumorea que hay problemas internos con otro miembro del grupo. También lo dejan Wintermute y Rajaat[19]. La despedida de Wintermute puede leerse dentro del código del virus Ithaqua.[20]

Por otra parte, entra gente nueva en el staff: Mental Driller (España), SoPinky (Argentina), VirusBuster (España) y Z0mbie (Rusia). Darkman es quien escribe la presentación de la tercera ezine, notas introductorias y de administrivia.

Después de dejar 29A, Mister Sandman creó su propia web: VirusCafé
Virus creados por Mister Sandman

Aunque el grupo lleva desde el segundo número anunciando la puesta en marcha de www.29A.org, esto no se acaba de materializar y la web oficial de 29A está por el momento en: http://29A.cjb.net y http://www.sourceofkaos.com/homes/29a. Se anuncia un nuevo canal de chat para estar en contacto: #vir en Undernet.

En julio de 1998, 29A ha sido anfitrión en Madrid de una reunión del foro Virus Exchange y se publica la crónica en esta ezine:

Nombro a los asistentes y espero no olvidar a nadie: fuimos Spanska, Darkman/29A, Tcp/29A, Reptile/29A, Super/29A, B0z0/IkX, StarZero/IkX, GriYo/29A, Wintermute/29A, MrSandman/29A, VirusBuster/29A, Mental Driller/29A, Binaria&DarkNail (dos hackers españoles), Ic¡ar ( hi! ), tres periodists de una importante revista española y las novias de GriYo, Sandman, Virusbust y Darkman.[21]

Este número presenta un montón de nuevos virus, de 29A y ajenos. Enumeramos sólo los que firma 29A. Para Win32: Win.Bonk (Vecna), Win95.Z0mbie-II (Z0MBiE), Win95.Marburg (GriYo), Win95.HPS (GriYo), Win95.Bonk32 (Vecna), Win95.Inca (Vecna), Win95.Sexy (Super), Win95.Yabram (SoPinKy), Win32.REDemption (Jacky Qwerty), VxD infector (Z0MBiE).

Otros: Squatter v1.2 (Mental Driller), 007JB v1.01.2b (Z0MBiE), FIRE v1.00b (Z0MBiE), M1 [i286] (Z0MBiE), PGPMorph family (Z0MBiE), Zombie.667 (Z0MBiE), Fick Nitzgerald (Rajaat), Weird Al (Rajaat), DSA2 (Rajaat), Strange Days (Reptile), Numbless (Jacky Qwerty), Ancev (Vecna), Nutmeg2 (Vecna), Ithaqua (Wintermute), Tiny viruses (Vecna, Super & Darkman).

Por último, en este número se anuncia la reciente creación, a mediados de 1997, de un nuevo grupo de escritores de virus españoles: DDT. Está formado por zAxOn, dustfaery, Frontis, The Wizard, mandragore y Billy Belcebu[22]. El cofundador de 29A, VirusBuster, será miembro de DDT durante unos días, para volver después a 29A. La web del nuevo grupo se encuentra en: http://www.sourceofkaos.com/homes/ddt. Anuncian la aparición de una ezine para principios de 1999 pero ni esta verá la luz ni el grupo durará mucho tiempo. En el número 4 de 29A, en marzo del 2000, se anuncia la muerte de DDT.[23]

Issue # 4/Días de vino y rosas

En febrero/marzo del año 2000 aparece la cuarta edición de 29A, repleta de artículos y especímenes, con nuevas incorporaciones[24] y gente que se va. Llegan Benny (República Checa)[25], Bumblebee (España)[26], LethalMind (Francia), Lord Julus (Rumanía)[27] y Prizzy (República Checa)[28]. Se van Jacky Qwerty, Vecna y Z0mbie.

La web del grupo ha sido rediseñada y está ahora en: http://www.coderz.net/29A

Llama la atención la gran cantidad de trabajo que trae este número: 32 artículos, 6 herramientas, 9 gusanos, 28 virus para Win32, 18 para Win9x, 12 para DOS y 6 para RISC OS y UNIX: en total, 73 piezas.

Las que pertenecen a miembros de 29A son:

Los gusanos Anaphylaxis, Gift of Fury, Plage 2000 y RunDllw32; los virus para Win32 Anvil of Crom y SPIT v 2.1; el virus para Win95 MiniR3 (Bumblebee). El gusano Cholera, Los virus para W32 CTX Phage y Parvo 1.0 y 2.0 (GriYo). Los virus para W32 Benny, Eva, Leviathan y Vulcano; los virus para Win95 BeGemot, Yobe y Luna; para Win98, Milennium (Benny). Los virus para W32 Bogus, Emotion, Magic; el virus para DOS Kreg (Darkman) y la familia TMC junto con Super. El virus para W32 Champagne (LethalMind). El virus para W32 Thunderpick v 2.0 (Lord Julus). El virus para W32 Crypto y el virus para Win95 Prizzy (Prizzy). El virus para W32 Resurrection (Tcp). El virus para W32 Nazka(The Mental Driller). El virus para Win95 SK y el virus para DOS Miss Lexotan 8 (Vecna). El virus para W32 Heathen y el virus para Win95 Sexy2000 (Super).

Benny y Darkman presentan también el Win2000.Installer, el primer virus conocido para Windows 2000, cuando aún no se ha presentado oficialmente este sistema operativo.[29]

Issue # 5/¿Mucho ruido y pocas nueces?

En diciembre del 2000 sale el quinto número[30] de la ezine. Firma la introducción y artículos de administrivia VirusBuster. Abandonan el barco Darkman, Lethal Mind, Reptile, Sopinky, Bumblebee y Prizzy, dejando el staff con menos miembros de la historia de 29A: Benny, GriYo, Lord Julus, Super, Tcp, The Mental Driller y VirusBuster. Se une a ellos el francés Mandragore.

Es un número cargado de artículos y piezas de código vírico, mayoritariamente para el sistema operativo Windows. Las que firman miembros de 29A son: Repus y el virus para DOS ACG disasm (Super), Noise, 99 ways to die, Rainsong y Ayuda (Bumblebee), Stream (Benny y Ratter), Dream (Prizzy), Rammstein (Lord Julus), Dengue Hemorrhagic Fever (GriYo), HIV y los gusanos Energy y XTC (Benny), Tuareg (Mental Driller), PGN (Z0MBiE) y los virus para Linux Zipworm! (Vecna) y LoTeK, una colaboración del viejo Wintermute.

Un colaborador, MaskBits, publica el código del primer troyano para PHP, Pirus[31].

Se informa sobre un encuentro local de la escena vírica en octubre, en Valencia, al que asisten Billy Belcebu, The Mental Driller, Tcp, Super y Bumblebee, entre otros. En verano se ha celebrado el encuentro internacional en la ciudad de Benny, Brno, en la República Checa, de la que también se informa en la ezine y que ha sido menos concurrida que la cita valenciana.

Issue # 6/La decadencia de la escena vírica

Marzo de 2002. La lista de miembros de 29A es cada vez más pequeña. Se han ido Mandragore y Lord Julus, por "discrepancias con el grupo"[32] . También se van Tcp y Super. Vuelve Z0MBiE y se une a ellos Ratter. Forman el staff 6 personas.[33]

A pesar de que este número llega repleto de buenos artículos (25), herramientas (19) y virus (43), llaman la atención tres textos, escritos por VirusBuster, Benny y Z0MBiE, donde se denuncia la decadencia de la escena vírica. Abre el fuego VirusBuster en la introducción de la ezine, justificándose porque han tardado más de un año en sacar un nuevo número:

¿Por qué razón? He estado en la escena VX muchos años y no recuerdo una situación tan mala, y no es fácil entender cómo hemos llegado a esta situación, posiblemente porque las razones son múltiples. La mayor causa de esta situación es que han abandonado la escena algunos de los mejores programadores de virus: Jack Qwerty, b0z0, Bumblebee, etc, pero el problema real es que no hay nuevos programadores que reemplacen a esos monstruos. (...) Actualmente hay pocos grupos de virus y algunos de ellos difícilmente pueden considerarse grupos porque su producción es nula. IKX parece ser el único grupo capaz de "competir" con 29A.[34]

VirusBuster reafirmará esta visión decadente de la escena en una entrevista para el diario El País:

-De los veinte o treinta escritores de virus de alto nivel que existían hace cinco años, se ha pasado a menos de diez. Quedan pocos escritores de virus que sean capaces de sorprender y hacer cosas originales.
-Pero si esto está más lleno de virus que nunca...
-Pero virus de baja calidad, hechos por gente que no pertenece a la vx scene.
-¿La escena se ha hecho vieja?
-La media ha pasado de los 20 a casi los 30 años.
-¿Sólo quedáis vosotros a nivel mundial?
-También está IKX, pero están pasando por una crisis de la que les será difícil salir.
-Os debéis sentir muy solos...
-El sentimiento es de que ya no queda mucha gente que lea nuestra revista y entienda todo lo que se explica.[35]

En otro artículo de la ezine, Benny explica básicamente lo mismo:

La escena y muchas cosas en ella no volverán a ser como antes. Algunos programadores hablan de "muerte", "decadencia", algunos hablan de serios problemas. (...) Los script kiddies y sus llamados "virus/gusanos" mandan en el cibermundo. (...) Los antivirus ganan dinero de gente cuya estupidez es, en un 99,99%, responsable de grandes epidemias víricas (tipo los gusanos "pincha-aquí"). ¿Dónde están aquellos programadores de élite, grupos de élite? ¿Dónde están aquellos virus de alta tecnología que *ayer* dominaba el mundo? *Decadencia*.[36]

Benny achaca esta situación a siete causas: la escena se ha hecho vieja, junto con los programadores y los grupos, la escena vírica y los virus ya no son tan populares, los lenguajes de alto nivel dominan el mundo, dificultando el acceso a los novatos, y escribir y diseminar virus está prohibido. En efecto, desde hace un par de años la policía en todo el mundo ha empezado a detener a los creadores de virus responsables de infecciones masivas, como Win95.CIH o Melissa, algo que ha contribuido a criminalizar este mundo.

Pero es Z0MBiE quien escribe el texto más bello:

Hacer virus está muriendo. Además, este proceso está a punto de llegar a su punto de no retorno. Lo vemos en el número cada vez más pequeño de ezines al año, de grupos llenos de miembros zombi, en que ya no se producen nuevas tecnologías víricas, en el decreciente número de virus para Win32, en las toneladas de script virus, que son todos iguales, y en el nulo interés por desarrollar virus, a nivel mundial. Es aún más triste porque muchos de nuestros esfuerzos y nuestro tiempo y nuestro poder y nuestras vidas se gastaron para crear todo esto. Paredes de la casa que contruimos se están cayendo. La única forma de hacer que este proceso sea reversible es unirnos, usar nuestro conocimiento, nuestro poder y nuestra fama y nicks para interesar a gente nueva, resistir un poco más y empezarlo todo de nuevo, antes de que sea demasiado tarde.[37]

La revista informa también de un curioso incidente sucedido en agosto de 2001: dos hackers holandeses han afirmado ser los creadores del gusano Code Red[38], aparecido en julio y que ha infectado cientos de miles de servidores Miscrosoft IIS. Los holandeses aseguran pertenecer a 29A, algo que el grupo desmiente. Más adelante, VirusBuster explicó en una entrevista: "Alguien llegó a decir que había intereses para que la reunión del Chaos Computer Club no se celebrara, y por eso se corrió ese rumor. Yo creo más bien que alguien intentó llevarse el mérito de algo que no le pertenecía y usó el nombre de 29A para darle más verosimilitud".[39]

Los virus que presenta el grupo (miembros y ex-miembros) en este número son: Examplo, Plugin Virus Project II build 30, MistFall.Z0MBiE-10.d (Z0MBiE), BeeFree, MiniR3b, Lil'Devil, Solaris, Bumblebee's Remote Shell [BRSH] (worm edition), DOCWORM, NuxBee rel2 (Bumblebee), Ketamine, DOB, Winux, dotNET, NeXT, Universe (Benny), Joss, TaiChi, Anarxy (Ratter), MetaPHOR v1B (Mental Driller), Miss Lexotan 6mg win32 version, Ramones (Vecna), Yell0w fever (GriYo).

Issue # 7/La criminalización y la asimilación en la industria

Dos años después, en febrero de 2004, aparece el séptimo número de 29A. Benny anuncia su marcha, aduciendo tener un trabajo que le gusta y poco tiempo para hacer virus: "Aquellos tiempos adolescentes, cuando podía sentarme ante la pantalla todo el fin de semana, se han ido. La vida es algo más que eso".[40]

En sus últimas palabras, Benny se queja una vez más de la muerte de la escena vírica, donde hay "más gente interesada en diseminar y hacer daño que en la programación de material vírico técnicamente avanzado". Denuncia además que un viejo ex-compañero de 29A, Darkman, le ha echado del canal #virus de Undernet porque su nombre apareció en un artículo del "New York Times"[41].

Y es que Benny se ha hecho famoso. Tanto que, en noviembre de 2004, cuando lo contrata una compañía checa, Zoner Software, cuyo producto estrella es el antivirus Zoner, se arma un pequeño escándalo[42] porque, según algunos, transmite el mensaje de que escribir virus sirve para encontrar trabajo. Zoner Software alega que confía en Benny porque tiene una gran ética y Benny se defiende en una entrevista con CNET News:

Un montón de buenos escritores de virus hoy trabajan en la industria de antivirus. No quiero causar problemas a mis amigos, por lo que no daré ejemplos concretos. ¿Quién más podría escribir programas antivirus? ¿Quién más tiene la experiencia y las habilidades técnicas para luchar contra los virus? Casi todos los ex-miembros y actuales miembros de 29A están trabajando en la industria de los antivirus y la seguridad informática.[43]

Semanas después, en diciembre, la policía checa lo arrestará como sospechoso de crear el gusano Slammer[44], aunque jamás se encontrarán pruebas.[45][46]

Anuncian también su marcha de 29A Mental Driller y Super. Vuelve Vecna y roy g biv se une al grupo. Ahora son 7.

La revista sigue fiel a su calidad y mucha información: 32 artículos, 27 herramientas y 47 virus, entre ellos una muestra del gusano MyDoom, que en enero de 2004 se ha convertido en el gusano de correo electrónico que se ha diseminado más rápido.[47]

Los virus y gusanos que firma 29A son WinNT.VDM y Win2k||XP.Che (Ratter). CannaByte v2 (Vallez y Super). Serotonin (Benny). EfishNC.B, EfishNC.C, JunkHTMail, JunkMail, VBS.Conscrypt / JS.Conscrypt, MSIL.Croissant y VBS.Pretext / JS.Pretext (roy g biv). HELKERN worm compileable disassembly (Z0MBiE). Elf Virus y Hybris (Vecna).

El ex de 29A, Bumblebee, presenta i-worm.manyx, y Vallez, quien próximamente se unirá al staff, siendo su último "nuevo miembro", ofrece algunos especímenes como colaborador: CannaByte, LadyMarian.2 y Urk0.

Pero, a pesar de seguir teniendo mucho material, la revista transmite una sensación de vacío y depresión. 29A lleva 8 años en activo, destaca VirusBuster en la Introducción, algo muy poco común en los grupos de hackers. Es el último mohicano, viejo y agotado, de una escena vírica que agoniza, un barco a la deriva en un mar muerto, con una tripulación borracha de decadencia, que gasta sus últimas energías en disputas internas.

La sección de Noticias de la ezine muestra el árido contexto en el que 29A sigue tratando de estar vivo, último dinosaurio de una era que termina: en los últimos dos años, explica VirusBuster, "no han pasado muchas cosas en la escena vírica"[48]. Aunque se han anunciado nuevos grupos y revistas, jamás aparecieron; el conocido foro Vx Heavens ha cerrado y el sitio coderz.net se recupera de un largo ataque.

Durante estos dos años la producción de macrovirus y virus en general ha disminuido mucho. Actualmente los programas antivirus están más enfocados a desarrollar "suites" de seguridad (anti-spam, cortafuegos, etc) que programar nuevas técnicas antivirus. Más de la mitad del material que se añade a las bases de datos de detección es código maligno: puertas traseras, troyanos, exploits, etc.[49]

Y el golpe de gracia: los creadores de virus ya no son artistas, son criminales.

Microsoft ha destinado 5 millones de dólares para pagar recompensas a quien dé información que lleve al arresto y prisión de los programadores de virus. Se han ofrecido recompensas por los autores de Blaster, mydoom o Sobig.[50]

David L. Smith, autor del virus Melissa[51], ha sido sentenciado a 20 meses de cárcel; Simon Vallor, a dos años por diseminar los virus Gokar, Redesi y Admirer.[52]

El colofón es la detención de la programadora de virus belga Gigabyte[53][54], buena amiga de 29A y personaje de la escena vírica[55]. Las autoridades belgas detienen a la joven en su casa el 9 de febrero de 2004, justo unos días antes de la publicación del séptimo número de 29A. Gigabyte se enfrenta a una posible condena de 3 años de prisión por daños informáticos.

Finalmente, todo quedará en nada pero la fuerza simbólica de su detención es un hachazo para la escena. Junto con Gibabyte, caerá el sitio coderz.net, para no volver jamás. Tampoco a Gigabyte se la volverá a ver en los canales habituales de chat. Al menos no con este nickname.

Issue # 8/Morir matando

El 1 de enero de 2005 aparece el que será último número de la revista 29A. Su nueva web es http://vx.org.ua/29a/ que se mantendrá hasta la actualidad (12-12). Además, por fin el grupo tendrá su propio dominio, 29a.net. Whale y dis69 (también conocido como Lord Yup), que se unieron a 29A en marzo de 2004, lo han abandonado en noviembre. Ratter también se ha ido. Vallez entró en mayo y con él ahora son 6 miembros: GriYo, roy g biv, Vallez, Vecna, VirusBuster y Z0MBiE.

En un último alarde de gloria, el grupo presenta al mundo el primer virus que infecta plataformas Win64 (Rugrat, obra de roy g biv), el primero que infecta PDAs (Dust, hecho por Ratter) y el primer virus que ataca teléfonos móviles (Cabir, creación de Vallez). 21 artículos, 20 herramientas y 26 virus llenan la última revista del último grupo de creadores de virus de élite.

VirusBuster asegura en la introducción que su intención es seguir sacando números con la misma calidad y cantidad de siempre, "pero esto es díficil porque la escena vírica está prácticamente muerta. A veces parece que 29A *es* la escena vírica"[56]. Curiosamente, una frase parecida había dicho Mister Sandman en una entrevista, justo al inicio del grupo: "La escena en España es 29A"[57].

El texto de introducción a este octavo número es una defensa de los credores de virus ante la criminalización rampante, signo de los nuevos tiempos, y una declaración de intenciones -escribir sí, propagar no- que intenta salvar algo que ya parece insalvable:

Las autoridades deberían agradecer, en vez de perseguir, que un grupo de gente gaste su tiempo en buscar y mostrar debilidades y vulnerabilidades para que estas puedan ser prevenidas y solventadas. Es mejor una vulnerabilidad conocida por todo el mundo que otra desconocida que puede ser usada por alguien con intenciones maliciosas.

Los intentos de cojer a escritores de virus sólo porque muestran la incompetencia/imprudencia de alguns compañías deben acabar. Habría que gastar tiempo y esfuerzos en perseguir sólo a la gente que se aprovecha de estos problemas en su beneficio.

(...) Se paga a un técnico por descubrir agujeros/fallos en un sistema, mientras el escritor de virus es criminalizado por hacer exactamente lo mismo. (...)

Propagar virus es otra cuestión y algo mucho más serio hoy en día que hace años. Justo este año diversos miembros de la escena vírica (Gigabyte o Whale, por ejemplo) han tenido problemas con la policía de sus países por distribuir su código. Incluso Benny, que nunca ha distribuida nada, ha tenido problemas.

Entonces, ¿diseminar sí o no? La respuesta parece obvia. La diversión está en la creación y los problemas en la propagación.[58]

Esta declaración se enmarca en una reciente sentencia contra un ex-miembro del grupo, Whale, quien tendrá el dudoso honor de ser el único miembro de 29A condenado por las autoridades de su país: en noviembre de 2004, un juez ruso lo considera culpable de crear los virus Stepan y Gastropod y "publicar su código, así como el código fuente necesario para crear nuevas variantes en diversas webs underground de intercambio de virus. Se le consideró culpable y condenado a pagar 3.000 rublas (105$)".[59]

El fin de 29A

A partir de enero de 2005, cuando aparece el octavo número de la ezine, el silencio se abate sobre la web de 29A. Hasta enero de 2007, cuando una nota informa de la marcha de GriYo, Vecna y Z0MBiE, mientras el resto del grupo (roy g biv, ValleZ y VirusBuster) asegura estar "intentando decidir el futuro de 29A". En julio, otra nota informa que han decidido no sacar más números de la ezine y crear un foro. En diciembre, una noticia en The Register explica que roy g biv ha abandonado 29A y hace al menos un año que nada se sabe de ValleZ.[60]

Por último, el 26 de febrero de 2008, VirusBuster escribe la esquela de 29A en su web oficial:

+He intentado contactar con ValleZ para tomar juntos una decisión sobre el futuro de 29A, pero no he tenido suerte, por tanto he decidido tomar esta decisión solo. Y mi decisión es que 29A está oficialmente retirado. Me siento legitimado ya que soy una especie de alfa y omega del grupo. 29A nació en Dark Node, mi BBS, y soy el último miembro activo del grupo. Mis últimas palabras como miembro de 29A son para toda la gente que trabajó duro para hacer que este grupo fuese el mejor: Muchas gracias! Hasta la vista, VirusBuster/29A.

+29A ha abandonado el edificio![61]

Después de su marcha de 29A, GriYo creó una web propia

Años después, en una entrevista[62], ValleZ explicó su visión del porqué murió 29A y la causa de su silencio cuando VirusBuster lo buscó para finiquitar el grupo:

-¿Qué acabó con 29A?
-Creo que la falta de contribuciones por parte de los miembros que ya había y la falta de nuevos miembros es la raíz del problema. Algunos miembros simplemente no contribuían ya, o apenas nada. Otros tuvieron que dejar el grupo por cosas legales en su país, como Whale,Ratter y Z0mbie creo. A eso se sumaron problemas internos entre algunos miembros del grupo. En mi caso personalmente me vi en mitad de la “batalla” entre dos de los miembros, dos personas a las que respeto, y esa fue una de las razones por las que me aparté bastante del tema. Además, aunque tenía dos virus para contribuir para la #9, llevo ya como dos años sin codear nada. Roy G Biv es el que más se lo curró hasta el final, pero imagino que viendo la progresiva desintegración del grupo decidió abandonarlo. Creo que empezó a publicar en otro grupo.[63]

En los comentarios a esta entrevista, publicada en el blog 48bits, se desató una batalla verbal entre GriYo y VirusBuster, escenificando la mala relación entre ambos que era un secreto a voces.

La muerte de 29A fue un acontecimiento de alcance mundial. El periodista John Leyden daba su interpretación de los hechos en "The Register":

La muerte de conocidos grupos VX es una muestra del desarrollo sintomático de cambios en el mercado del código malicioso. El beneficio económico ha reemplazado a la travesura, la curiosidad intelectual o el deseo de hacerse famoso creando virus. Los escritores de virus tradicionales se han ido de la escena para ser reemplazados por programadores más oscuros que crean troyanos sofisticados destinados a generar beneficios ilícitos. La persecución policial contra los escritores de virus ha actuado como desincentivo sólo para los "hobbistas".

Ahora, además de las pruebas de concepto de código malicioso al estilo de 29A, tenemos que lidiar con troyanos y otros sofisticados clientes de botnets "desarrollados por profesionales". Los días del "malware" que borraba música gitana rumana, hablaba con sus víctimas o creaba un juego, que permitía a los usuarios de ordenadores infectados tirar cocos al experto en antivirus Graham Cluley, se han convertido en relíquias de otra era.[64]

Virus destacados

Como cualquier tarea de hacking, escribir virus para 29A era una mezcla de reto intelectual, desafío al sistema y pasar un buen rato. Sus creaciones muestran este espíritu:

  • Vida en Saturno. En el primer número de la ezine, Mister Sandman anunciaba su intención de enviar un virus a Titán, una de las lunas de Saturno:
No, no estoy borracho: en octubre de 1997 la sonda Huygens, un proyecto de diversos países europeos, aterrizará en Titán, la luna més grande de Saturno, para buscar indicios de vida, Dentro de esta sonda habrá un CD en el que la gente, a partir de dentro de unos pocos días, podrá escribir su nombre y el texto que quieran. Y como el espacio para escribir este texto es suficientemente grande como para contener un virus, he decidido mandar uno, por tanto será el primer virus del mundo que llega a otro planeta.[65]
  • AntiETA. GriYo creó este ejemplar de laboratorio como protesta por el asesinato de Miguel Ángel Blanco. Quién se infectaba veía en su pantalla una imagen de una mano blanca. Fue uno de los primeros virus hacktivistas.
  • Marburg. Obra de GriYo. Fue el primer virus polimórfico de 32 bits. Se propagó por el mundo a gran velocidad, en parte debido a que las revistas "PCGamer" y "PC Power Play" regalaron CDs que contenían programas infectados con este virus. También el CD del juego MGM/Wargames salió al mercado infectado.

Marbug se entiende mejor puesto en contexto: en octubre de 1997, GriYo acababa de crearlo y comprobó que ningún antivirus existente en el mercado podía detectarlo. Diversos miembros de 29A estaban aquellos días enfrascados en discusiones con personas de la industria antivirus, en el grupo de noticias alt.comp.virus. 29A les criticaba que hacían publicidad engañosa, ya que sus productos no detectaban el 100% de los virus. La respuesta de la industria fue burlarse del grupo.

Entonces, en noviembre de 1997, aparece Marburg y ningún antivirus será capaz de detectarlo, debido a su complejidad, hasta nueve meses después, cuando ha tenido tiempo de infectar miles de ordenadores.

  • HPS, creado por GriYo, es el primer virus polimórfico para Windows98. Aparece antes que el propio sistema operativo. Más adelante, con Windows 2000 pasará lo mismo: Benny y Darkman crean Win2000.Installer, cuando este sistema operativo aún no se ha presentado oficialmente.
  • Tuareg, de The Mental Driller, cambiaba la página de inicio de Netscape y Explorer al Sitio del Hambre http://www.thehungersite.com, y hacía que, cada vez que se abría el navegador, se pinchara en un espacio de la web, donde cada vez que se pinchaba allí se daba dinero al Tercer Mundo. Otro virus activista de Mental Driller fue MetaPHOR, que cada 14 de mayo, día de la proclamación de Israel como estado independiente, activaba el mensaje "Free Palestine!" (Palestina Libre) en los ordenadores infectados que tuviesen activado el lenguaje hebreo.


Hubo muchos, más virus interesantes. En breve destacaremos algunos más.

Ética

La creación de virus en 29A no buscaba un fin destructivo sino creativo, de aprendizaje, reto intelectual y fascinación por la vida artificial.

La ezine siempre se acompañó de un texto donde el grupo trasladaba este espíritu. En el primer número, Mister Sandman explicaba:

Se supone que muchos de nuestros lectores tienen más de un virus y son incluso capaces de crearlos por ellos mismos, por lo que no son los típicos lamers que están buscando código destructivo para joder los ordenadores de su escuela (...). Tenemos una norma interna que prohibe incluir cualquier código destructivo en nuestra revista. Preferimos apostar por la originalidad y escribir código por diversión, para que nuestros virus puedan ser útiles para la gente que está aprendiendo.[66]

En el segundo número, Sandman añadió a este texto una particular exención de responsabilidad:

No somos responsables de ningún daño causado por el mal uso de la información que se ofrece en este número de 29A, igual como alguien que hace cuchillos no es responsable si algún esquizofrénico usa uno para matar a otra persona o cortarse la polla.[67]

A partir del tercer número, se usó ya siempre el mismo texto, más aséptico, donde el grupo se posicionaba en contra de las cargas destructivas o la propagación de virus, pero no lo prohibía a sus miembros y colaboradores:

Esta es la razón por la que ocasionalmente verás algún virus de 29A propagándose o con una carga destructiva, aunque hacemos todo lo posible para que estos incidentes sean muy pocos.

Las cargas destructivos y la propagación de virus són la razón de que la gente tenga problemas, de que gente como The Black Baron acabe detenida, juzgada, sentenciada y en prisión. Publicar tus códigos en nuestra revista puede traerte problemas según las leyes que haya en tu país.

Escribimos virus por diversión, porque es nuestro "hobby", no porque queramos hacer daño a la gente o meternos en problemas.

Escribimos virus para inventar nuevas técnicas, mejorar las existentes y aprender más sobre los diversos sistemas operativos. Sabemos que hay cientos de otras formas de hacer esto, probablemente mejores, pero esta es la que nos gusta. Como dijimos antes, es nuestro "hobby", o al menos uno de ellos.

Nuestro objetivo es crear virus nuevos, únicos, interesantes, y herramientas (...). Testeamos tanto como podemos todo lo que incluímos en la revista antes de publicarlo, pero aún puede haber fallos que no hayamos visto.

No podemos ni queremos ser considerados responsables de lo que tú (el lector) decidas hacer con los contenidos de las revistas 29A y tampoco el grupo puede considerarse responsable por las acciones de alguno de sus miembros individuales o colaboradores.[68]

Notas

  1. New Windows virus works for Linux, too. Geek.com (28-03-01)
  2. En la cima de la Viruscene. Entrevista Mental Driller. Virus Attack (17-02-03)
  3. Interview with Mr. Sandman. Bozo. VX Heavens.
  4. Bernardo Quintero, en conversación privada (01-12-11)
  5. Entrevista a Bernardo Quintero de Hispasec Sistemas. Un informático en el lado del mal (11-12-08)
  6. Original de la entrevista a VirusBuster. Mercè Molist (24-07-02)
  7. "No programamos por efectividad, programamos por originalidad". PC Actual (02-98)
  8. 29A Issue #1
  9. Interview with Mr. Sandman. Bozo. VX Heavens.
  10. 40HEX. Textfiles
  11. Los creadores de virus y la "Virus Scene". Javier Guerrero Díaz para PCManía (1997).
  12. Los creadores de virus y la "Virus Scene". Javier Guerrero Díaz para PCManía (1997).
  13. Mister Sandman. 29A Issue #1 (13-12-96)
  14. Here we are :). 29A Issue # 1 (13-12-96)
  15. Introduction. 29A Issue # 2 (13-02-98)
  16. What is happening in IR/G?. Rajaat. 29A Issue # 2 (13-02-98)
  17. News since 29A#1. 29A Issue # 2 (13-02-98)
  18. Good bye!. Mister Sandman. 29A Issue # 3 (finales 1998)
  19. Rajaats Resignation. 29A Issue # 3 (finales 1998)
  20. Ithaqua. 29A Issue # 3 (finales 1998)
  21. News. 29A Issue # 3 (finales 1998)
  22. News. 29A Issue # 3 (finales 1998)
  23. DDT: another group dies with its 1st issue. 29A Issue # 4 (03-00)
  24. Membership. 29A Issue # 4 (03-00)
  25. Words from Benny.29A Issue # 4 (03-00)
  26. Words from the bee. 29A Issue # 4 (03-00)
  27. Words from L.J.. 29A Issue # 4 (03-00)
  28. Words from Prizzy. 29A Issue # 4 (03-00)
  29. Win2000.Installer. 29A Issue # 4 (03-00)
  30. '29A Issue # 5. (12-00)
  31. Pirus. 29A Issue # 5 (12-00)
  32. News. 29A Issue # 6 (03-02)
  33. Membership. 29A Issue # 6 (03-02)
  34. Introduction. 29A Issue # 6 (03-02)
  35. Entrevista a VirusBuster. Mercè Molist (24-07-02) para Ciberpaís.
  36. Situation in VX scene. 29A Issue # 6 (03-02)
  37. The virmaking is dying. 29A Issue # 6 (03-02)
  38. Code Red. Wikipedia
  39. Entrevista a VirusBuster. Mercè Molist (24-07-02) para Ciberpaís.
  40. Last words from Benny. 29A Issue # 7 (02-04)
  41. The Virus Underground. The New York Times (08-02-04)
  42. Czech virus writer joins anti-virus firm. John Leyden. The Register (08-11-04)
  43. He's got the virus-writing bug. Robert Lemos. CNET News (14-01-05)
  44. SQL Slammer. Wikipedia
  45. Benny. VirusInfo. Wikia
  46. Police question man over Slammer worm. CNET News (01-12-04)
  47. Mydoom. Wikipedia
  48. News. 29A Issue # 7 (02-04)
  49. News. 29A Issue # 7 (02-04)
  50. News. 29A Issue # 7 (02-04)
  51. Melissa. Wikipedia
  52. Simon Vallor. Wikipedia
  53. Gigabyte. VirusInfo. Wikia
  54. Female virus-writer, Gigabyte, arrested in Belgium, Sophos comments. Press Release. Sophos (16-02-04)
  55. VX Meeting Brno 2000. 29A Issue # 5
  56. 29A Issue # 8 (01-01-05)
  57. Interview with Mr. Sandman. Bozo. VX Heavens.
  58. 29A Issue # 8 (01-01-05)
  59. Trouble for 29A virus-writing gang as Russian member is sentenced, Sophos comments. Press release Sophos (18-11-04)
  60. Old school VXers calling it quits. John Leyden. The Register (31-12-07)
  61. [http://vx.org.ua/29a 29A Web Oficial
  62. 48bits interviews : Vallez/29A. Mario Ballano | 48bits (22-04-08)
  63. 48bits interviews : Vallez/29A. Mario Ballano | 48bits (22-04-08)
  64. Infamous malware group calls it quits. John Leyden. The Register (07-03-08)
  65. Life in Saturn!. 29A Issue #1
  66. Legal Stuff. 29A Issue #1
  67. Legal stuff. 29A Issue #2
  68. Policies and goals. 29A ezine

Enlaces externos

Retrieved from "http://hackstory.net/29A"
Camisetas Hackstory
Hackstory Twitter Hackstory Facebook