Seleziona la tua lingua

BSOD al tempo del colera

Win Nuke ClientA vent'anni dalla sua prima comparsa, oggi WinNuke suscita ancora qualche sentimento nel cuore di chi in quegli anni muoveva i primi passi nel far west della rete. Sentimenti edulcorati dal tempo, mutati da quella malinconia che può trasformare i ricordi delle brutte esperienze in momenti da ricordare con nostalgia. Quelle terribili esperienze di BSOD (Schermo Blu della Morte) che tormentavano gli incauti utenti di IRC oggi ci rimandano ad un'epoca in cui l'home computing stava nascendo ed ogni giorno ci stupiva con nuove sorprese, un mondo ancora naive ma che tentava di diventare multimediale ed innovativo, la cui evoluzione era in piena accelerazione. Un tempo in cui fondamentalmente eravamo più giovani.

WinNuke era un exploit per sistemi operativi Windows 3.x e 4.x, quindi da Windows 3.11 a Windows 95/NT connesse ad una rete TCP/IP. L'attacco consisteva nell'invio di pacchetto fuori banda (OOB data) con priorità elevata sulla porta 139, dove era in ascolto il NetBIOS Session Server. Questo veniva fatto forgiando un pacchetto ICMP con il flag URG asserito. Trattavasi dello Urgent Pointer, un flag che i progettisti di TCP/IP avevano concepito per segnalare ad un host l'arrivo di un pacchetto ad alta priorità. Se questo pacchetto era un ECHO REQUEST di lunghezza superiore a 64k, il sistema operativo dell'host non era in grado di gestirlo correttamente, causando il crash del sistema.

Nel 30% dei casi l'attacco era innocuo, comunque un blocco del sistema costringeva quasi certamente l'utente ad un riavvio con conseguente perdita dei dati non salvati.

Il 7 giugno 1997 fu pubblicato da un utente sotto lo spreudonimo "_eci" il codice C sorgente dell'exploit. La pubblicazione del software costrinse Microsoft a produrre una patch, tuttavia non esisteva ancora il Live Update, per cui l'aggiornamento tempestivo di una postazione non era cosa così scontata. Molte macchine rimasero esposte anche in seguito, tuttavia era sufficiente una piccola modifica al registro di Windows per arginare il problema.

Impostando la chiave [HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\VxD\MSTCP] "BSDUrgent"="0 i pacchetti con flag URG venivano ignorati.

In un'epoca in cui spopolano i cripto ransomware, un attacco di tipo DOS come WinNuke fa quasi sorridere, eppure la frustrazione ed il senso di impotenza che si provava venendo estromessi dalla propria postazione domestica, magari nel bel mezzo di una chat si IRC, è difficile da esprimere. Il 10 maggio 1997 fu il giorno in cui fu rilevata una disconnessione di massa dai server IRC (Internet Relay Chat) di molti utenti colpiti appunto da questo tipo di attacco informatico.

La memoria di questo evento ci fa apprezzare gli sforzi fatti da allora per rendere Internet un posto più sicuro, ciò nonostante le forme di attacco hanno continuato ad evolversi. Sebbene possa sembrare divertente ed innocuo attaccare una postazione altrui, anche solo per gioco, questo costituisce una prevaricazione perseguibile penalmente. Dal punto di vista legale non c'è molta differenza tra penetrare in un host altrui mediante un exploit informatico oppure irrompere in casa di un'estraneo buttandogli giù la porta o scassinandogli la serratura. Fuori da un contesto di studio in cui queste pratiche vengono condotte in ambienti controllati, un attacco informatico resta un reato.