Un astrónomo, convertido en investigador, rastrea un intruso alemán quien se ha colado entre los agujeros de seguridad de los sistemas operativos a través de la ARPANET, y ha alcanzado las bases de datos más sensibles. ¿Se trata de espionaje?
Por Cliffor Stoll.
Publicado originalmente en Communications of the ACM, volúmen 31. Número 5, de Mayo de 1988.
En agosto de 1986 un persistente intruso computarizado atacó el Laboratorio Lawrence Berkeley (LBL). En lugar de intentar expusar al intruso, tomamos el camino novedoso de permitirle acceso mientras imprimíamos registro de sus actividades y lo rastreábamos hasta su lugar de origen. Este rastreo fue más complejo de lo originalmente pensado, y requirió casi un año de trabajo y cooperación de muchas organizaciones. Este artículo devela la historia del ingreso y el rastreo, y resume lo aprendido.
Consideramos el problema como un trabajo científico de laboratorio para descubrir e intentar dilucidar quién se encontraba irrumpiendo en nuestro sistema de cómputo, y documentar las debilidades explotadas. Se hizo aparente, sin embargo, que en lugar de adentrarse inocuamente, el intruso utilizaba nuestra computadora como un concentrador para dar alcance a muchas otras. Su principal interés eran computadoras operadas por la milicia y los contratistas de la defensa. Sus objetivos y palabras de búsqueda sugieren que intentaba hacer espionaje ingresando remotamente a computadoras sensibles para hurtar datos; al menos exhibía un interés inusual en unos pocos temas, específicamente militares. Si bien la mayoría de las computadoras atacadas se constituian en sitios militares y de contratistas para la defensa, algunas se localizaban en universidades y organizaciones de investigación. En los siguientes 10 meses, observamos a este individuo atacar aproximadamente 450 computadoras e ingresar exitosamente a más de 30.
LBL es un instituto de investigación con unos pocos contratos militares y ninguna investigación clasificada (a diferencia de nuestro laboratorio hermano, el Laboratorio Nacional Lawrence Liveremore, que tiene varios proyectos clasificados). Nuestro ambiente de cómputo es el típico de una universidad: sistema ampliamente distribuido, heterogénero, y bastante abierto. A pesar de esta falta de cómputo clasificado, los gerentes del LBL decidieron tomar la intrusión seriamente y dirigieron ingentes recursos a ella, con la esperanza de obtener un entendimiento y una solución de la problemática.
El intruso no conjuró nuevos métodos para irrumpir en los sistemas operativos; en lugar de ello aplicó repetidamente técnicas ya documentadas. Toda vez que le era posible, utilizaba agujeros conocidos en la seguridad y pequeños bugs en distintos sistemas operativos, entre los que se incluía UNIX, VMS, VM-TSO, EMBOS, y SAIL-WAITS. Aún así sería un error asumir que un sistema operativo es más seguro que otro: la mayoría de estas irrupciones fueron posibles porque el intruso explotó errores comúnes de los fabricantes, usuarios y administradores de sistemaws. Mantuvimos nuestro estudio como un secreto celosamente guardado a lo largo de estas intrusiones. Permanecimos abiertos a los ataques deliberadamente, incluso a pesar de saber que el intruso contaba con privilegios de administrador de sistema sobre nuestras propias computadoras. Con la excepción de alertar a las gerencias de las instalaciones amenazadas, sólo nos comunicamos con algunos sitios de confieanza, a sabiendas que este intruso a menudo leía mensajes de red e incluso accedía a computadoras en varias compañías de seguridad de computadora. Permanecimos en contracto cercano con oficiales de la ley, quienes mantuvieron una investigación paralela. Al enviarse este artículo a prensa, el FBI de los EE.UU. y su equivalente alemán, el Bundeskriminalamt (BKA), continúan sus sumarios investigativos. Por lo tanto, ciertos detalles necesariamente resultan omitidos en este artículo.
En el mundo ha cobrado cierto auge reciente las irrupciones computarizadas. Con algunas excepciones notables, la mayoría han sido poco más que rumores o anécdotas, reportadas de forma incompleta. Los diseñadores de sistema y los administradores no han solucionado los problemaws importantes en lo concerniente a asegurar las computadoras debido a falta de documentación substancial. Incluso ciertos esfuerzos tendientes a ajustar la seguridad en sistemas comunes pueden haber resultado mal dirigidos. Esperamos que las lecciones aprendidas de nuestra investigación asistan a diseñar y gestionar sistemas más seguros.
¿Cómo debe un sitio responder a un ataque? ¿Es posible trazar las conexiones de alguien que intenta evadir detección? ¿Qué puede aprenderse siguiendo a tal intruso? ¿De qué agujeros de seguridad han sacado ventaja? ¿Cuan veloces son las respuestas de la comunidad de fuerzas legales? Este artículo responde estos temas, y evita tales preguntas como si hay algo intrínsecamente malo con revisar ficheros ajenos o intentar entrar el una computadora ajena, o si alguien debería desear leer bases de datos militares. Sin embargo, el autor tiene fuertes opinios sobre estos temas. [1]
Sospechamos de una irrupción por primera vez cuando una de las computadoras del LBL reportó un error contable. Había sido creada una cuenta nueva sin su dirección de cobro correspondiente. Como consecuencia, nuestro programa de contabilidad programado localmente se veía imposibilitado de balancear sus libros, ya que los costos no se debitaban correctamente. Poco después llegó un mensaje del Centro de Seguridad Nacional del Cómputo, reportando que alguien desde nuestro Laboratorio había intentado irrumpir en una de sus computadoras por medio de una conexión MILNET. Removimos la cuenta errante, pero el problema continuó. Detectamos a alguien que actuaba como un administrador de sistema, intentando modificar los registros de cuentas. Al darnos cuenta que había un intruso en el sistema, instalamos impresoras de línea y registradoras en todos los puertos de entrada, imprimiendo el tráfico. Transcurridos unos pocos días, el intruso apareció nuevamente. Registramos todas las teclas que presionaba en una impresora, y observamos cómo utilizaba un pequeño bug en el editor de texto GNU Emacs para obtener privilegios de administrador de sistema. Al principio sospechamos que el culpable sería un estudiante bromista en la cercana Universidad de Californa. Si se nos hacía posible decidimos atraparlo en el acto. De esta forma, toda vez que el intruso se presentaba, comenzábamos a registrar la línea, imprimiendo toda su actividad en tiempo real.
Desde un comienzo, comenzamos a tomar notas en una bitácora detallada, resumiento el tráfico intruso, sus rastros, nuestras sospechas, y las interacciones con gente de la ley. Al igual que una bitácora de laboratorio, nuestra bitácora reflejaba tanto confusión como progreso, pero eventualmente apuntó a la solución.
Al revisar las viejas notas de la bitácora, con el correr de los meses empezaron a revelarse ante nosotros pistas previamente incomprendidas que referenciaban al origen del intruso. Como habíamos decidido mantener nuestros esfuerzos invisibles al intruso, necesitamos ocultar nuestros registros y eliminar mensajes electrónicos que referenciasen su actividad. A pesar que no conocíamos el orígen de nuestros problemas, confiamos en nuestro propio personal y deseamos informarles todo aquello que quisieran saber al respecto. Mantuvimos reuniones entre nosotros con el fin de reducir rumores, ya que nuestro trabajo podría haberse perdido si se filtraba alguna noticia. Conociendo la sensibilidad de la materia de estudio, nuestro personal lo mantuvo fuera de las redes digitales, carteleras electrónicas y especialmente de sus casillas de correo electrónico. Como el intruso analizaba nuestros mensajes de correo electrónico, intercambiábamos mensajes concernientes a la seguridad por vía telefónica. El intruso se sintió más seguro al leer ilícitamente varios mensajes electrónicos falsos.
Para notificarnos instantáneamente cuando el intruso ingresara a nuestro sistema necesitamos establecer un sistema de alarma. Al comienzo - desconociendo desde qué medio estaba logrando acceso a nuestro sistema, decidimos disponer impresoras en todas las líneas que se dirigían a la computadora atacada. Luego de descubrir que el intruso accedía a través de los puertos X.25, utilizamos dichas líneas para registramos el tráfico bidireccional. Dichas impresiones demostraron ser esenciales para el entendimiento de los eventos; contábamos con registro de cada tecla que presionaba, revelando objetivos, palabras de búsquedas, contraseñas escogidas y metodologías. El registro resultó completo ya que virtualmente todas estas sesiones resultaron capturadas, ya fuese a través de impresos o bien almacenadas en los discos flexibles de una computadora cercana. Estos monitoreos descubrieron también varios intentos de irrupción adicionales, intentos que no estaban relacionados con los de este individuo al que estabamos siguiendo.
Los monitores fuera de línea tienen varias ventajas sobre los monitores embebidos en un sistema operativo. Resultan invisibles incluso a un intruso que cuenta con privilegios de sistema. Además, imprimen las actividades del intruso en nuestra red de área local (LAN), lo que nos permite observar sus intentos de ingresar a computadoras cercanas. Un monitor keylogger que registra las teclas presionadas en un sistema operativo consume recursos de cómputo y puede enlentecer otros procesos. Además, tal tipo de monitor debe utilizar software altamente privilegiado, lo que puede provocar nuevos agujeros de seguridad al sistema. Además de consumir recursos de cómputo, los monitores de línea habrían alertado al intruso que estaba siendo monitoreado. Como las impresoras y las computadoras personales son comúnes, y como las líneas seriales RS-242 pueden ser enviadas fácilmente a múltiples receptores, utilizamos este tipo de monitoreo fuera de línea, evitando alterar nuestros sistemas operativos.
En nuestra opinión, las alarmas eran burdas, y aún así resultaban efectivas para proteger tanto nuestro sistema como otros bajo ataque. Conocíamos de investigadores que desarrollaban sistemas expertos y buscaban actividad anormal, pero consideramos nuestros métodos más simples, baratos y tal vez más confiables. Una computadora débilmente enlazada a nuestra LAN hacía búsquedas periódicas de todos nuestros procesos para respaldar dichas alarmas.
Ya que sabíamos a partir de los impresos qué cuentas habían sido comprometidas, sólo teníamos que limitar el uso de dichas cuentas robadas. Escogimos poner alarmas en las líneas de entrada, donde nuestros analizadores de línea serial y computadoras personales vigilaban todo el tráfico que utilizaban los nombres de cuentas robadas. Al dispararse, una secuencia de eventos culminaban en una llamada de módem al localizador de bolsillo del Operador. El Operador observaba al intruso en sus monitores. Si el intruso comenzaba a borrar ficheros o dañar el sistema, podría desconectarlo de inmediato, o podría desactivar el. Cuando aparentaba que el intruso lograba ingresar a computadoras sensibles, o descargar ficheros sensibles, se introducía ruido de línea al enlace de comunicaciones, los que aparentaban ser errores en la red de datos.
En general, contactábamos con los administradores de sistemas de las computadoras atacadas, aunque en algunas ocasiones fueron el FBI o las autoridades militares quienes hicieron contacto. Ocasionalmente, fueron cooperativos dejando abiertos sus sistemas. Más am enudo, desactivaron inmediatamente al intruso o le negaron acceso. Desde el punto de vista del intruso, su actividad era detectada por casi todos excepto el LBL. En realidad, a excepción del LBL, casi nadie lo detectó.
A lo largo de este tiempo transcurrido, los impresos revelaron sus intereses, técnicas, éxitos y fracasos. Inicialmente, nos interesó determinar cómo el intruso obtenía los privilegios de administración de sistemas. En pocas semanas, notamos que exploraba bastante efectivamente nuestras conexiones de red utilizando ARPANET y MILNET, pero a menudo requería ayuda con redes menos conocidas. Mas adelante, los monitores lo registraron saltando a través de nuestras computadoras, enlazando con varias bases militares en los Estados Unidos y en el exterior. Eventualmente, lo observamos atacando muchos centros de cómputo a través de Internet, adivinando contraseñas y nombres de cuenta. Al estudiar los impresos, desarrollamos un entendimiento de qué buscaba el intruso. También comparamos la actividad en fechas diferentes a fin de observarlo aprender un sistema nuevo, e inferir sitios a los que entraría siguiendo caminos que no podíamos monitorear. Observámos la familiraridad del intruso con varios sistemas operativos y nos hicimos familiares con su estilo de programación. Enterrado en estos desgloses existían pistas sobre la localización y personalidad del intruso, pero necesitamos atemperar las suposiciones en base al análisis de tráfico. El culpable sólo podría ser identificado mediante un trazado completo de la ruta seguida por la transmisión de datos.
El término hacker ha adquirido muchos significados, desde un programador creativo, a uno que irrumpe ilícitamente en computadoras, un golfista novicio que cava el campo, un conductor de taxis, y un cavador de zanjas. La confusión entre las primeras dos acepciones da cuenta de la percepción según la cual para poder irrumpir en computadoras alguien necesita ser brillante o creativo. Este puede no ser el caso.
De hecho, el individuo que seguíamos era paciente y aplicada, pero difícilmente ha demostrado brillantez creativa para descubrir fallas de seguridad originales.
Para denotar la ambigüedad de la palabra hacker, este paper usa el término en el títular, pero lo evita en el texto. Las alternativas para describir a alguien que irrumpe en las computadoras son: la palabra inglesa "Cracker", y el término neerlandés "Computerredebrenk". (Literalmente, un provocador de disturbios computarizados). Las elecciones del autor incluyen "plaga" "reprobado", sucio" y varias apelativos irreproducidibles en prensa. Desde el punto de vista del intruso, casi todos excepto el LBL detectaban su actividad. En realidad, casi nadie a excepción del LBL detectaron su actividad.
Rastrear la actividad resultaba desafiante porque el intruso atravesaba muchas redes de datos, y raramente conectaba durante más que unos pocos minutos por sesión, pudiendo estar activo a cualquier hora. Necesitábamos rastrear rápidamente en varios sistemas, de modo que obramos para automatizar en gran medida el proceso. A segundos de conectado, nuestras alarmas notificaban a los administradores de sistemas y a los centros de control de red de forma automática, utilizando localizadores de bolsillo a los que se discaba a través de un módem local.
En simultáneo, los técnicos comenzaban a rastrear las redes. Como el tráfico del intruso arribaba a través de un puerto X.25, podía arribar desde cualquier parte del mundo.
Inicialmente lo rastreamos hasta un puerto de telediscado cercano proveniente de la red de datos privada Tymnet en Oakland, Californa. Con una órden judicial y cooperación de la compañía telefónica, rastreamos luego las llamadas telefónicas a un módem telefónico perteneciente a un contratista de la industria de la defensa en McLean, Virginia. En escencia, la Red de Área Local de esta instalación permitía a cualquier usuario discar hacia el exterior utilizando sus módems telefónicos, e incluso proveía una capacidad de rediscado del último número marcado, utilizable por quienes no conocían los números ni códigos de acceso a otros sistemas remotos.
Analizando los registros de llamadas telefónicas de larga distancia de este contratista de defensa se nos permitió determinar el grado de tales actividades. Cruzando las llamadas con auditorías de facturación de otras instalaciones, fue posible determinar fechas, horarios y objetivos adicionales. La elaboración de un histograma de los horarios en los que permanecía activo el intruso permitió determinar que la mayoría de la actividad ocurría cerca de la medianoche, hora del Pacífico. Estos registros también demostraban que los ataques habían comenzado muchos meses antes que su detección por parte del LBL.
Curiosamente, las facturas telefónicas del contratista de defensa listaban cientos de llamadas telefónicas cortas realizadas a todo lo largo y ancho de los Estados Unidos. El intruso había colectado listados de números telefónicos con acceso a módems y luego los llamaba a través de los módems de dicho contratista de defensa. Una vez establecida la comunicación, intentaba darse de alta empleando nombres de cuentas y contraseñas comúnes. Tales intentos iban normalmente dirigidos a bases de la milicia; varias de ellas habían detectado al intruso a través de las líneas telefónicas, pero no se habían molestado en rastrearlo. Cuando alertamos a los encargados del contratista de defensa sobre su problema, ajustaron la seguridad de acceso a sus módems de salida y con ello cesaron las conexiones de corta duración.
Cebamos al intruso creando varios ficheros de texto ficticios... [que] parecían ser memorándums sobre cómo las computadoras darían soporte a la investigación para SDI (Iniciativa para la Defensa Estratégica).
Luego de perder el acceso a los módems del contratista de defensa, el intruso no se vio disuadido: se conectó a nosotros sobre enlaces diferentes. Gracias a los esfuerzos sobresalientes de la red de datos privada Tymnet, se obtuvieron las direcciones de llamadas completas a través de X.25, a los pocos segundos de ocurrido un ataque. Estas direcciones apuntaban su origen a Alemania Federal, en específico las Universidades de Bremen y Karlsruhe, y a un módem de discado público en otra ciudad alemana. Cuando el intruso atacó la Universidad de Bremen, logró obtener privilegios de administrador de sistema, desactivó la contabilidad, y utilizó los enlaces X.25 para conectarse a todo el mundo. Una vez reconocido este problema, la Universidad rastreó las conexiones hasta otra ciudad alemana. Como consecuencia de estos, se desplegaron esfuerzos de rastreo aún más intensos, coordinando el LBL con Tymnet, la universidad, y el Bundespost (servicios de correos y télex) alemán.
La mayoría de las conexiones eran revueltas a propósito. La fig.1 resume las rutas principales rastreadas, pero el intruso también empleó otras conexiones. La conectividad rica y los circuitos redundantes demuestran los intentos del intruso para cubrir su rastro, o al menos sus búsquedas de nuevas redes para explotar.
Además de las trazas físicas de la red, existen varios indicadores más que permiten dilucidar un origen extranjero. Medimos el tiempo de retorno de los paquetes de acuse de recibo a lo largo de los enlaces de red provocados cuando el intruso transfiere ficheros. Luego medimos los tiempos de retraso empírico a una variedad de sitios diferentes y estamentamos tiempos de retraso promedio de red en función de la distancia. Tales mediciones daban indicio a un orígen de ultramar. Por demás, el intruso conocía UNIX, y empleaba comandos de AT&T en lugar de los comandos de UNIX de Berkeley. Cuando robaba contraseñas, en ocasiones empleaba contraseñas en alemán. En retrospectiva, eran todas pistas que llevaban a su orígen, pero aún así cada una fue rebatida con el credo de que "debe ser algún estudiante del campus de Berkeley".
Fig.1
Ruteo de Intrusión
Universidad Karlsruhe
/
INTRUSO --> Sistema telefónico -> Red Digital -> Salida internacional
(Ciudad alemana) Datex-P x.25 Red Datex-P
\ |
Univ. de Bremen |
|
Contratista de Defensa |
McLean, WA <....................... CARRIER INTERNACIONAL
<........: |
Red telefónica (satelite ) | (cable submarino)
de larga distancia Red de Datos X.25
| TYMNET
| |
| +=================================+
| | (Alarmas y monitoreo) |
| | LABORATORIO LAWRENCE BERKELEY |
| +=================================+
Laboratorio de Investigación (Pasadena) | I
Laboratorio Nacional de Livermore | n
Universidad de Pittsburg | t
Astillero de la Armada, Virginia | e
Centro de Datos de la Armada, Norfolk | r
Base del Ejército, Alabama | n Centro Nacional de Computo
| e Livermore, California
| t Univ de Ontario, Canada
+-->Base del Ejército Japón
Base Aérea Alemania
Univ de Rochester NY
Univ de Pasadena, Calif.
Base Aérea Panamá
Base de datos del Ejercito
Contratista de Defensa
Omaha, Nueva Inglaterra.
Las breves conexiones del intruso impedían a los técnicos telefónicos rastrear su localización con mayor precisión que la de una ciudad alemana particular. Los técnicos requerían de una llamada relativamente larga para afinar la búsqueda a una línea telefónica individual.
Para lograrlo tendimos un cebo al intruso creando varios ficheros de texto ficticios en una computadora oscura del LBL. Estos ficheros aparentaban ser memorándums sobre computadoras donde se daría apoyo a la investigación para la Iniciativa de Defensa Estratégica (SDI). Toda la información era inventada y empapada de jerga burocráctica y gubernamental. Los ficheros contenían también una lista de correo y varios formularios de correspondencia que informaban sobre "documentos adicionales disponibles a través de correo postal" solicitables a una inexistente secretaria del LBL. Protegimos dichos archivos falsos de modo que nadie excepto el poseedor y el administrador de sistema pudiesen leerlos, y configuramos alarmas de modo de poder conocer cuándo eran leídos, y por quién.
Un día, mientras fisgoneaba nuestros ficheros, el intruso detectó los ficheros en cuestión e invirtió más de una hora leyéndolos. Durante este tiempo los técnicos telefónicos completaron el rastreo. Celebramos con batidos realizados con fresas nativas de Berkeley, pero la celebración demostró ser prematura. unos pocos meses después recibimos correspondencia de alguien en los Estados Unidos, dirigida a la secretaria ficticia. El remitente solicitaba ser agregado a la lista de correspondencia de la SDI. Como solicitaba cierta "información clasificada", la carta en sí misma sugería espionaje. Sin embargo, prevenidos que la información había viajado desde alguien en Alemania hasta un contacto en los Estados Unidos, concluímos que nos encontrábamos ante un intento de espionaje internacional. Aparte de la recabada en novelas baratas, carecíamos de otra experiencia en esta área y dejamos esta parte de la investigación al FBI.
Los impresos de la actividad del intruso indicaban que utilizó nuestras computadoras como una estación de paso. Si bien podría convertirse en administrador de este sistema, usualmente utilizaba el LBL como medio para conectarse a la ARPANET/MILNET. Además, lo observamos emplear varias redes adicionales, incluyendo la red de Energía de Fusión Magnética, la red de Física de Alta Energía, y varias LANs de las instalaciones que invadía. Mientras conectaba al MILNET, este intruso intentó ingresar aproximadamente a 450 computadoras, intentando darse de alta empleando nombres de cuenta comunes como "root", "guest", "system" y "field". También intentó contraseñas comunes por defecto, y a menudo encontraba nombres de cuenta válidos solicitando a cada sistema el registro cuentas activas en el momento, usando el comando "who" o "finger". Aunque este tipo de ataque es el más primitivo, resultó atrozmente efectivo: en un 5 por ciento de las máquinas en las que lo intentó, los nombres de cuenta y contraseñas por defecto le permitieron granjearse acceso, a veces otorgandole incluso privilegios de administración de sistema.
En los casos en que tenía éxito para darse de alta en un sistema, empleaba métodos estandarizados para elevar sus privilegios y convertirse en administrador del sistema. Sacaba ventaja de problemáticas bien publicitadas de varios sistemas operativos, de los cuales a menudo era capaz de obtener privilegios de root o administrador de sistema. En cualquier caso, buscaba palabras como "nuclear" "sdi", "kh-11" y "norad" en la estructura del sistema de archivaje [N.d.T: se trata de la red de satélites de espionaje militar Keyhole KH-11, el centro de comando anteaéreo del polo norte, la iniciativa estratégica de defensa, etc]. Luego de buscar exhaustivamente tal información, buscaba contraseñas en texto plano en otros sistemas. Esto demostraba resultar increíblemente efectivo: los usuarios a menudo dejan las contraseñas en los ficheros. Es común dejar almacenados en sistemas en nodos externos mensajes de correo electrónico que contengan secuencias de ingreso de usuario con los nombres de cuenta y las contraseñas, lo que permite a un navegador de ficheros obtener acceso a otros sistemas distantes. Fue capaz de obtener de esta manera tanto contraseñas como mecanismos de acceso a una supercomputadora Cray.
Un agujero de seguridad típico que explotaba era un bug en el programa GNU Emacs. Este editor de texto versátil y popular incluye su propio sistema de correo electrónico que permite que a usuario reenvíar un fichero a otro usuario. De la forma en la que se encuentra distribuido, el programa emplea la funcionalidad de UNIX Set-User-ID-to-Root; esto implica que una sección del programa corre con privilegios de administrador de sistema. Esta funcionalidad movemail permite que el usuario cambie la posesión de un fichero y mueva el fichero a otro directorio a la vez. Desafortunadamente, el programa no impide a usuario mover un fichero a un área privilegiada de sistema. Al contar con conocimiento de este agujero de seguridad, el intruso creó un guión de shell que - al ser ejecutado con privilegios de nivel administrador - le otorgaba a él mismo privilegios en el sistema. Empleaba la funcionalidad movemail para renombrar su guión (enmascarándolo como una utilidad de ejecución periódica de sistema, CRONTAB). Cuando el sistema ejecutaba el guión de shell en CRONTAB, obtenía privilegios de administración de sistema.
Este intruso era impresionamente persistente y paciente. Por ejemplo, creó una cuenta con privilegios de sistema en una computadora de salida poco conocida, la que permaneció sin tocar hasta seis meses después, momento en que comenzó a emplearla para ingresar a otras computadoras en la red. En otra ocasión, creó varios programas que le otorgaban privilegios de administrador de sistema y los ocultó entre las librerías de software del sistema. Al retornar casi un año después, empleó dichos programas ocultos para volverse administrador de sistema, incluso a pesar de que en el interín el agujero de seguridad original del sistema operativo había sido emparchado.
¿Realmente espiaba el intruso? MILNET - con sus miles de ordenadores militares enlazados - podía parecer tentador... el espionaje en las redes de datos puede ser altamente costo/efectivo, ofrecer resultados casi inmediatos, y determinarse a locaciones específicas.
Este intruso rompía contraseñas encriptadas. El sistema operativo UNIX almacena contraseñas en forma legible públicamente, pero en formato encriptado. Lo observamos descargar copias de los ficheros de contraseñas de sistemas comprometidos en su propia computadora. Dentro de la semana se reconectaba a algunas computadoras, e ingresaba a nuevas cuentas con las contraseñas correctas. Las contraseñas que adivinaba se limitaban a palabras inglesas, nombres comunes, y ciertos topónimos. Nos dimos cuenta que desencriptaba los ficheros de contraseña en su computadora local encriptando sucesivas palabras del diccionario inglés y comparando los resultados con las entradas del fichero de contraseñas. Tomando nota del tiempo con el que acudía con las contraseñas desencriptadas, pudimos determinar el tamaño de su diccionario y la velocidad de su computadora.
El intruso entendía lo que estaba haciendo y asumía que no estaba dañando nada. En realidad esto no es completamente cierto. Previo a ser detectado, ingresó a una computadora empleada en el control de tiempo real de un experimento médico. De no haber sido detectado a tiempo, algún paciente podría haber sido sometido a daños severos.
En el correr de estas acciones el intruso intentaba no destruir o cambiar los datos de usuario, aunque destruyó varias tareas y sin saberlo causó la pérdida de datos de un experimento de física. Toda vez que le era posible, desactivaba los registros de contabilidad y auditoría, a fin de no dejar rastros de su presencia. Plantaba caballos de Troya destinados a registrar pasivamente contraseñas y creaba ocasionalmente nuevas cuentas que le garantizasen granjearse acceso a las computadoras. Aparentemente pensaba que la detección sería menos probable si no creaba cuentas nuevas, por lo que aparentemente prefería robar cuentas existentes sin uso.
Podría argumentarse que es ridículo estar a la caza de información clasificada en la MILNET, ya que no existe ninguna. Los reglamentos prohiben acceder desde la MILNET a computadoras de uso clasificado, y cualquier información almacenada en los sistemas de MILNET debe ser desclasificada. Por otro lado, ya que dichas computadoras no resultan revisadas periódicamente, es posible que en ellas resida alguna información clasificada. Al menos puede ser considerada sensible cierta información almacenada en dichas computadoras, especialmente información agregada. Los impresos de las actividades del intruso parecen confirmarlo.
A pesar de sus esfuerzos, el intruso descubrió escasa información que no se encontrase ya en el dominio público, pero las excepciones incluían papers sobre los planes del Ejército de los Estados Unidos para la guerra nuclear, química y bacteriológica en Europa Central. Estos abstracs no se encontraban clasificados, ni tampoco lo estaba su base de datos.
El intruso era extraordinariamente precavido de buscar a cualquiera que lo estuviese observando. Siempre revisaba quién estaba enlazado a un sistema, y en caso que un administrador de sistema se encontrase conectado, procedía a desconcectarse rápidamente. Revisaba regularmente correo electrónico en busca de cualquier pista que indicase que había sido descubierto, buscando menciones de sus actividades o nombres de usuario robados (a veces buscaba tales palabras). A menudo cambiaba sus rutas de conexión y empleaba variedad de identificadores de usuarios distintos en las redes de datos. A pesar de ser arrogante de sus éxitos, era sin embargo cuidadoso para cubrir sus rastros.
A juzgar por los hábitos y conocimientos, el intruso es un programador experimentado que entiende de administración de sistemas. Pero no es de ningún modo un "mago brillante" como se podría tender a imaginar popularmente. No le vimos inyectar virus, o modificar el código del kernel, ni dar con ninguna de las debilidades de seguridad existentes en nuestro sistema. Sin embargo intentó explotar problemas en el /usr/spool/at de UNIX, así como dar con un agujero de seguridad en el editor Vi. En nuestro centro de cómputo estos problemas habían sido emparchados con gran anteriorirdad, pero aún existen en muchas otras instalaciones.
¿El intruso causaba daños? Para darle crédito a su favor, no intentaba borrar ficheros y sólo eliminó unos pocos procesos. Si sólo contamos las pérdidas pergeniadas y el tiempo, su accionar era bastante benigno. Sólo hacía perder tiempo al personal de sistemas, ocupaba recursos de cómputo y tiempo de conexión a la red de datos, y acumulaba costos de llamadas telefónica de larga distancia sumados a los costos de acceso a la red internacional. Bajo Ley del Estado de California su responsabilidad por los costos del tiempo de conexión y de cómputo y del rastreo ocasionado, supera los U$S 100.000.
Pero esta es sólo una consideración limitada de los daños. Si incluimos las pérdidas intangibles, el daño causado es serio y deliberado. Como mínimo, se encuentra el traspaso, invasión de propiedad ajena y privacía; en el peor de los casos, conducía espionaje. Ingresó a docenas de ordenadores, extrajo inforamción confidencial, leyó correspondencia electrónica personal, y modificó software de sistema. Arriesgó lesiones a un paciente médico y violó la confianza de nuestra comunidad en línea. Si bien el tiempo y el dinero pueden abonarse, una vez que la confianza en el sistema se viola, el carácter abierto y cooperativo en nuestras redes de datos puede perderse para siempre.
Consumado el rastreo exitoso, el FBI aseguró que el intruso no intentaría ingresar nuevamente a nuestro sistema. Comenzamos a recoger las pistas y ajustar nuestro centro de cómputo. La única manera de garantizar un sistema limpio era recontruir todos el sistema a partir de su código fuente, alterar todas las contraseñas de un día al otro, y recertificar a cada usuario. Con más de mil usuarios y docenas de ordenadores, esto era impráctico, especialmente cuando nos esforzábamos en proveer a nuestros usuarios de servicios de cómputo ininterrumpido. Por otro lado, resultaba insuficiente simplemente emparchar los agujeros de seguridad conocidos o insituir reparaciones rápidas para las contraseñas robadas.
Acordamos instituir la expiración de contraseñas, borrar todas las cuentas expiradas, eliminar las cuentas compartidas, y continuamos monitoreando el tráfico entrante, a la vez que establecimos alarmas en ciertos lugares, y educamos a nuestros usuarios.
Toda vez necesaria comparamos las utilidades de sistema con versiones frescas y se compilaron utilidades nuevas. Cambiamos las contraseñas de acceso a la red de datos y educamos a los usuarios para que escogieran contraseñas ausentes en un diccionario. No institucionalizamos asignación de contraseñas al azar, ya que se comprobó que a menudo los usuarios almacenan tales contraseñas en ficheros de comandos o los anotan en sus terminales. Para evaluar la seguridad de nuestro centro contratamos a un estudiante de verano para que lo comprobase. Descubrió varios agujeros de seguridad elusivos, específicos de nuestras instalaciones, a la vez que fue capaz de demostrar problemática más general, tal como el análisis de ficheros. Nos hubiese gustado imaginar que los problemas del intruso habían cesado; tristemente, no lo hicieron, forzándonos a continuar vigilantes.
¿Debíamos permanecer abiertos? Una respuesta razonable a la detección de este ataque podría haber sido desactivar el agujero de seguridad y cambiar todas las contraseñas. Esto presumiblemente nos habría aislado del intruso y le hubiese impedido utilizar nuestras computadoras para atacar otros sitios de Internet. Al permanecer abiertos, ¿no nos convertiríamos un actor necesario para sus ataques en otras instalaciones, incurriendo posiblemente en copartícipe necesario por dolo eventual?
De haber cerrado el acceso, nos hubiésemos arriesgado a vernos avergonzados y pero podríamos haber continuado con nuestras actividades usuales. El cierre del acceso y mantener el silencio hubiese reducido la publicidad adversa, pero no hubiese contrarrestado el serio problema de las sospechas y ataques (posiblemente maliciosos). Si bien muchos consideran los rastreos y persecución de intrusos como un servicio de buena vecindad a la comunidad en la red de datos, esta visión no es universal.
Finalmente, al cerrar el acceso al sistema, ¿podríamos asegurar haber eliminado al intruso? Al contar con centenares de computadoras en red en el LBL, es casi imposible cambiar todas las contraseñas en todos los ordenadores. El intruso tal vez había inyectado bugs disimulados o bombas lógicas en lugares de los que no teníamos conocimiento. Eliminarlo del LBL difícilmente hubiese impedido su acceso al MILNET. Y - al desactivar su acceso a nuestro sistema - hubiesemos cerrado nuestros ojos a sus actividades: no podríamos ni monitorearlo ni rastrear sus conexiones en tiempo real.
Desafortundamente, rastrear, atrapar y perseguir intrusos computarizados es necesario para disuadir tales vándalos.
Son varias las leyes que prohiben explícitamente el ingreso no autorizado a las computadoras. Son escasos los Estados que carecen de Leyes específicas, pero ocasionalmente los crímenes están codificados de una manera lo suficientemente amplia como para permitir la encarcelación. Las leyes Federales y las de California cuentan con estatutos criminales poco astringentes que abarcan el traspaso, incluso si no se realiza daño. Además, la ley civil permite recuperar no sólo los daños, sino también los costos de rastrear al culpable. En la práctica, encontramos que las agencias de policía se mostraban relativamente poco interesadas si la pérdida monetaria no podía ser cuantificada y los daños no resultaban demostrados debidamente.
Aunque no es sustituto de consejo legal competente, invertir varios días en bibliotecas de la ley investigando tanto los estatutos y precedentes establecidos en el caso demostró ser provechoso. Como este caso es uno de allanamientos internacionales, se hizo necesario trabajar en cercana concordancia con instituciones de la ley en California, con el Buró Federal de Investigaciones (FBI) en los Estados Unidos, y el BKA en Alemania Federal. Fue excelente la cooperación entre los administradores de sistemas, técnicos en comunicaciones y operadores de red. Fue demostrablemente más difícil lograr que las organizaciones burocráticas de la ley se comunicaran entre sí de manera igual de efectiva. Al cruzar tantas fronteras organizacionales - incluyendo las de jurisdicciones estatales, nacionales, comerciales, universitarias y militares - se produjo una gran confusión de responsabilidades: la mayoría de las organizaciones reconoció la seriedad de los traspasos denunciados, pero ninguna de estas agencias contaba con un éjido de responsabilidad claro como para resolverlo. La respuesta más común era "Es un problema interesante, pero no recae en nuestra responsabilidad".
En un problema recurrente sobrepasar esta indiferencia burocrática. Las anotaciones de nuestro laboratorio demostraron ser útiles para motivar a estas agencias: cuando los agentes observaban la extensión documentada de los traspasos, se veían capaces de explicar a sus colegas y tomar acción en el caso. Además, se instruyeron nuevas leyes criminales que definían de forma más ajustada qué constituía una ofensa punible. En la medida que estas nuevas leyes entraban en efecto, el FBI se volvió mucho más interesado en este caso, sentando bases estatutarias para la instrucción.
El FBI y el BKA mantuvieron investigaciones activas. Algunos sujetos habían sido aprehendidos, pero el autor desconoce aún el grado en el cuál estos habían sido instruidos. Con las leyes recientes y personal mejor entrenado, es esperable una respuesta más veloz y más efectiva de parte de las agencias de la ley.
En restrospectiva podemos señalar muchos errores que comentimos antes y durante estas intrusiones. Al igual que otras organizaciones académicas, prestamos poca atensión a asegurar nuestro sistema, considerando a las provisiones estándares del fabricante como suficientes ya que nadie se vería interesados en nosotros. Nuestra investigación científica se encuentra enteramente bajo el dominio público, y muchos sintieron que las medidas de seguridad sólo limitarían su productividad. A pesar de la mayor conectividad en red, habíamos fallado en examinar nuestras redes en búsqueda de enlaces cruzados que pudiesen servir de escondite a un intruso. Estos problemas se vieron exacerbados por nuestros sistemas UNIX, que se veían empleados casi exclusivamente para redactar correo electrónico y para el procesado de textos, en lugar de hacerlo para operar como recurso de cómputo de potencia.
Los conocimientos y habilidades para irrumpir en sistemas de cómputo son bastante diferentes a aquellos que se requieren para detectar y rastrear un intruso. Es posible que el intruso ni siquiera conozca qué ruta ha elegido; en cambio el rastreador debe entender esta ruta de manera fehaciente. Si bien ambos deben estar al tanto de las debilidades en los sistemas y en las redes de datos, mientras que el primero puede trabajar solo, el último debe forjar enlaces con personalidades en el ambiente técnico y de las agencias de la ley. El intruso es propenso a ignorar conceptos de privacía y confianza durante su traspaso criminal; en contraste, el rastreador debe conocerlos y respetar las delicadas restricciones legales y éticas.
A pesar de los reportes ocasionales de lo contrario, los rumores que indican quye los intrusos hacen carrera en el campo de la seguridad computada resultan exagerados. Aparte de los conjuntos de conocimientos distingos que se requieren, resulta extraño que una compañía confíe en alguien con tal conducta y ética personal. Los bancos - por ejemplo - no contratan carteristas como consultores. Donn Parker, de SRI international, reporta que las solicitudes laborales de varios isntrusos fueron rechazadas debido a las sospechas sobre su carácter y confianza. El Washington Post reportó el arrestro de un miembro del Club de Computadoras Chaos alemán, previo a ofrecer una conferencia sobre seguridad computada en París. Otros que han irrumpido en computadoras se han enfrentado a violencia física y han sido sometidos al ostracismo en cuanto a sus actividades en las redes de datos. No hay lugar para alguien técnicamente comptentente pero carente de ética en una disciplina cimentada en la confianza y la responsabilidad.
La seguridad de contraseñas en el UNIX de Berkeley no es óptima; carece de vencimiento de contraseñas, expiración, y exclusión de contraseñas localizadas en diccionarios. Además, la integridad de las contraseñas de UNIX depende únicamente de la encriptación: el fichero de contraseñas es legible públicamente. Otros sistemas operativos protegen el fichero de contraseñas con encriptación, control de acceso y alarmas.
No habíamos prestado mucha atención a escoger buenas contraseñas (el 20% de nuestros usuarios caían ante un rompedor de contraseñas basado en diccionario). De hecho habíamos permitido que nuestra contraseña de Tymnet se hiciera píblica, creyendo ingenuamente que la contraseña de ingreso a sistema debía ser nuestra única línea de defensa.
Los fabricantes distribuyen sistemas con cuentas por defecto y puertas traseras de entrada remanentes de la etapa de desarrollo del software. Debido a que muchos clientes compran computadoras basadas en su capacidad en lugar de hacerlo basado en la seguridad, los fabricantes en raras ocasiones terminan distribuyendo software seguro.
Una vez detectado el intruso, los primeros días estuvimos confusos, ya que nadie sabía qué respuesta dar. Nuestros ficheros contables no eran confiables pues los relojes de sistemas se habían dejado atrasar varios minutos. A pesar que nuestras conexiones de LAN habían sido almacenadas, nadie conocía a ciencia cierta el formato de archivo, y era frustrante encontrar que el reloj se había atrasado varias horas. En resúmen, no estabamos preparados para rastrear nuestra LAN y teníamos que aprender rápidamente.
No sabíamos a quién contactar en la comunidad de agencias de la ley. Al principio - asumiendo que el intruso era local - nuestra fiscal de distrito obtuvo las órdenes de allanamiento necesarias. Sin embargo, en la medida que supimos que el intruso se encontraba fuera del Estado, sentimos frustración al no recabar el apoyo de las fuerzas federales. Finalmente, luego de rastrear al intruso hasta el exterior del país, encontramos todo un nuevo conjunto de interfaces mal definidas entre las organizaciones. La investigación se extendió mucho más allá de nuestras iniciales expectativas.
Ingenuamente consideramos resolver los problemas por medio de una serie de rastreos telefónicos, y nos sentimos decepcionados cuando el camino resultó entrevesado por nudos de conexiones analógicas y digitales. Al no contar con fondos destinados a instrumentar una investigación tan larga, constantemente nos sentimos tentados a abandonarla por completo. Surgieron varios problemas menores, que fuimos capaces de solucionar a medida que aparecían. En un primer momento, la actividad de este intruso aparentó ser similar a la de alguien que irrumpía desde la Universidad de Stanford, lo que confundió nuestra investigación por un breve período. El hecho de que nuestro personal es activo en el mundo del cómputo hizo dificultoso mantener nuestro trabajo subrepticio. Afortunadamente, nos fue posible recuperarnos de las pocas filtraciones en los casos que ocurrieron. Al principio nos confundió el hecho de no percibir cabalmente la profundidad o grado de las penetraciones. En la medida que hicimos los contados adecuados y comenzamos a rastrear al intruso, esta confusión inicial dio lugar a una respuesta organizada. Como se indicó por otros, [25, 36], las preparaciones previas hacen toda la diferencia.
Como caso de estudio, esta investigación demuestra varios puntos bien conocidos que llevan a preguntas complejas. A lo largo de estos eventos consideramos que la seguridad es un problema humano que no puede resolverse únicamente recurriendo a soluciones técnicas [48].
La persistencia casi obsesiva de los intrusos serios resulta sorprendente. Una vez conectados a la red de datos, podía acceder a nuestras computadoras por intermedio de un enriedo de conexiones desde ubicaciones en las cuales jamás pensamos. Un intruso - limitado únicamente por su paciencia - es capaz de atacar desde una variedad de direcciones, buscando el punto de entrada más débil.
¿Cómo analizamos la vulnerabilida de nuestros sistemas en este ambiente? ¿Quién es responsable por la seguridad de la red? ¿El constructor de la red? ¿Los ademministradores de los nodos finales? ¿Los usuarios de la red de datos?
Las debilidades de seguridad de sistemas y redes - particularmente las innecesaria vulnerabilidad debido a la gestión torpe de sistemas y su administración - de como resultado un índice de éxito sorprendentemente alto incluso para los atacantes poco sofisticados.
¿Cómo debemos educar a nuestros usuarios, administradores de sistemas y administradores? Ante los problemas éticos, sociales y legales. ¿Cómo cuantificamos el daño realizado por estos perpetradores? ¿Por ficheros borrados o por tiempo desperdiciado? ¿Por información copiada?
Si no existen ficheros corrompidos, pero se copió información ¿qué daño se hizo? ¿Qué constituye comportamiento irracional en una red de datos? ¿Lo es intentar ingresar ilícitamente a una computadora extrangera? ¿Inquerir quién está actualmente conectado en ella? ¿Exportar un fichero erróneamente hecho legible para todo el mundo? ¿Explorar un agujero de seguridad no emparchado en el sistema ajeno?
Cerrar el camino de un intruso ante su descubrimiento puede volverse un reflejo prematuro. Determinar el grado del daño y cooperar con las investigaciones puede constituir argumento para dejar el sistema abierto. ¿Cómo equilibramos los beneficios de rastrear a un intruso contra los riesgos de daño o de avergonzonamiento?
Nuestra técnica de atrapar un intruso proveyéndole de un cebo y luego observar comerlo no va mucho más allá de atrapar moscas con miel. Puede extendérselo fácilmente para determinar los intereses del intruso presentándole una variedad surrepticia de temas posibles (juegos, datos financieros, chismes académicos, noticias militares). Resulta sencillo preparar ficheros alarmantes, de modo que este mecanismo ofrece un método tanto para detectar como para clasificar a los intrusos. Sin embargo, no debe utilizárselo de forma indiscriminada.
En la medida que el sector comercial se preocupe más por la integridad de los datos, y los militares se reocupen por el control de publicación... esperamos mayores sucesos para el buscador o el ladrón de datos en el mundo comercial.
Si bien es común la existencia de ficheros de texto plano con contraseñas en las computadoras de ingreso remotas, estos sistemas a menudo se encuentran desprotegidos debido a su escasa capacidad computacional. Estos sistemas se utilizan a menudo en redes amplias junto a otros muchos recursos de cómputo. Estas computadoras constituyen un campo férti para el robo de contraseñas a través de la colección de ficheros, pues estas contraseñas se dejan al alcance de los comandos de lectura más simples. Estos ficheros también contienen instrucciones para realizar una conexión a la red. Las contraseñas de caracteres al azar hacen compuesto este problema, ya que los usuarios no desean memorizarlas y son más propensos a anotar tales contraseñas en ficheros. ¿Cómo podemos asegurar el procedimiento de las llamadas remotas y de los envíos de trabajos en lote remotos?
En la medida que las comunidades crecen, lo seguirán haciendo las estructuras sociales y legales. En nuestra comunidad en línea, existe frustración y confusión sobre lo que constituye un crímen y qué es comportamiento aceptable. Las limitaciones legales existen, pero algunos no reconocen su aplicabilidad.
Richard D’Ippolito lamenta:
Nuestra visión de los crímienes computados no se ha unido aún con la visión de la sociedad de los crímenes sobre la propiedad ajena: si bien contamos con leyes contra irrumpir e ingresar, estas no se aplican ampliamente a los crímenes con computadora. El propietario no debe proveer una seguridad "perfecta", ni tiene que ser algo hecho para asegurar una convicción de entrada no autorizada. El uso no autorizado de recursos de CPU (un producto demostrablemente vendible) tampoco equivale a un robo. Aún parece existir la presunción que la propiedad de computadora - a diferencia de otra propiedad - es juego limpio ... Hemos observamos la misma presunción legal que nuestro trabajo y sistemas imperfectamente protegidos son propiedad privada sujeta a protección de traspaso y conversión. [12]-
El "Código de Conducta Profesional del ACM" tampoco da lugar a dudas:
Un miembro del ACM debe actuar en todo momento con integridad... debe considerar siempre el principio del la privacidad del individuo y minimizar los datos recogidos, limitar el acceso autorizado, (y) proveer seguridad apropiada a los datos ... [1]
Las contraseñas constituyen el corazón de la seguridad computarizada. Existen pocos requerimientos de calidad para una contraseña: estas no deben ser adivinables, no deben figurar en un diccionario, se deben cambiar cada pocos meses, y deben poder recordarse fácilmente.
Las contraseñas generadas por usuario usualmente fracasan en lograr los primeros tres criterios, y las contraseñas generadas maquinalmente lo hacen con el último. Varios compromisos pueden tomarse: forzar "frases de paso" o cualquier contraseña que contenga un caracter especial. También existen muchas otras posibilidades, pero ninguna implementada ampliamente.
El Departamento de Defensa recomienda palabras generadas maquinalmente y pronunciables o frases de paso [5]. A pesar de estas reglas obvias, nosotros (y el intruso) descubrimos que las contraseñas de pésima calidad pervertían nuestras comunidades en línea. ¿Cómo podemos hacer que los usuarios escojan buenas contrasseñas? ¿Debemos hacerlo?
Los comerciantes usualmente distribuyen software de sistema débilmebnte protegido, confiando en quien lo instala para activar protecciones y desactivar las cuentas por defecto. Los encargados de la instalación a menudo pasan de ellos, y los administradores de sistema heredan tales sistemas debilitados. Hoy en día, la mayoría de los usuarios de computadora resultan ingenuos; instalan sistemas de la forma en la que el fabricante lo sugiere, o bien simplemente desempacan sus sistemas sin revisarlos. Los comerciantes distribuyen sistemas con cuentas por defecto y puertas traseras remanentes de la etapa de desarrollo del software. Como muchos clientes adquieren sus computadoras basadas en la capacidad de los modelos en lugar de sus segurididad, los vendedores raras veces terminan distribuyendo software seguro. Si bien es sencillo escribir procedimientos que alerten de inseguridades varias, los vendedores inclsuo así no las aplican. Los Los administradores de sistema - a pesar de ser capaces y atentos - muchas veces pasan de leer tales proposiciones: las consideran herramientas para novatos que probablemente no presten atención a estos agujeros de seguridad obvios. Si los vendedores no perciben la seguridad como un argumento de venta, ¿cómo podríamos incentivarlos a distribuir sistemas más seguros?
Los parches para los agujeros de seguridad de los sistemas operativos resultan pésimamente publicitados y son distribuidos de forma parca. La paranoia que rodea a tales descubrimientos parece ser la causa, seguida por la falta de canales para distribuir las noticias, a los miles de sistemas sin administradores de sistema. Por otro lado, gran cantidad de los problemas de seguridad son específicos a una versión específica de sistema operativo, o bien requieren experiencia pertinente en dicho sistema para entenderlos. En conjunto, esto promueve la ingnorancia de los problemas, las amenazas y las soluciones. Se hace patente la necesidad de una organización central de mantenimiento computarizado para elabore reportes de los problemas, analice su importancia, y disemine soluciones confiables.
¿Cómo podemos informar a gente que lleva sombreros blancos sobre los problemas de seguridad, mientras que impedimos que individuos malignos tomen conocimiento y exploten tales agujeros? Tal vez las pruebas de cero conocimiento [20] puedan jugar una parte en esto. Los sistemas operativos pueden registrar intentos de ingreso no exitosos. De los centenares de intentos de ingreso producidos en las computadoras conectadas a la Internet, sólo cinco sitios (un 1 o 2 por ciento) nos contactaron cuando detectaron un intento de irrupción.
Claramente los administradores de sistema no se encuentran a la búsqueda de intrusos - quienes podrían aparentar ser vecinos intentando colarse en sus computadoras. Nuestras redes son representativas de comunidades o vecindarios, de modo que nos sorprende cuando hallamos un comportamiento de mala vecindad.
¿Interfiere la seguridad con las demandas operacionales? Algunas medidas de seguridad - como las contraseñas al azar o el aislamiento estricto - son de hecho onerosas y pueden ser autoderrotistas. Pero muchas medidas no interfieren con los legítimos usuarios ni reducen las capacidaddes del sistema. Por ejemplo, expirar cuentas sin usar no hiere a nadie y es probable que libere espacio de disco. Las técnicas administrativas bien pensadas y medidas de seguridad efectiva no causan molestias a los usuarios ordinarios, y aún así evitan o detectan a los intrusos.
Los éxitos y fracasos de intruso nos proveen una muestra razonable de la seguridad general en las más de 20.000 computadoas conectadas a la Internet. Será publicado un análisis más detallado en el
Proceedings de la 11º Conferencia Nacional de la Seguridad de Computadoras. [43].
De las 450 computadoras atacadas, la mitad no estaban disponibles cuando el intruso intentó enlazar. Intentó loguearse a las 220 computadoras disponibles con nombres de cuenta obvios y contraseñas triviales. De estos 220 intentos, se listan en importancia:
La mayoría de los intentos lo fueron hacia computadoras MILNET (direcciones de la Red de Datos de Defensa).
Asumiendo que la población es representativa de computadoras no militares, y las últimas tres categorías representan penetraciones exitosas, descubrimos que alrededor del 5% de las computadoras de internet son groseramente inseguras contra los ataques triviales. Esta cifra es sólo un límite inferior de vulnerabilidad - ya que se espera que las computadoras militares sean más seguras que los sistemas civiles. Sin embargo, tácticas más inteligentes para ingresar a las computadoras podrían bien llevar a muchas más irrupciones.
El mero acto de enviar este artículo a prensa eleva preguntas. Ciertamente provoca un nuevo conjunto de problemas al exponer agujeros ampliamente distribuidos a algunos lectores inmorales. Al fin y al cabo, describe formas de rastrear tales individuos y sugiere técnicas para evitarlo, prosiblemente provocando que otras intrusiones se vuelvan más difíciles de rastrear y perseguir.
A favor de su publicación, el Mayor General John Paul Hyde de la Jefatura de Estado Mayor Conjunto de los EE.UU. informó al autor que "Papers como estos deben ser ampliamente distribuidos para estimular el conocimiento de las vulnerabilidades de las redes de datos, junto con las complejidades que implican rastrear un intruso distante. Es obvio que la falta de atención al establecer prácticas de seguridad contribuyen al éxito de este intruso; los sistemas con programas de seguridad vigilates detectados y rechazaron los accesos no autorizados".
En un conjunto diferentes de penetraciones [37], la NASA experimientó alrededor de 130 irrupciones a sus computadoras académicas no clasificadas en las redes de datos SPAN. Tanto los ingresos a la NASA como nuestro propio conjunto de intrusiones originadas desde Alemacia Occidental - utilizando enlaces de comunicaciones similares y buscando información "Secreta". Pendiente la finalización del sumario de las fuerzas de la ley, el autor no hace conjeturas acerca de las relaciones entre estos intentos de ingreso diferentes.
Considerando a las irrupciones en la red SPAN con los del estudio presente, descubrimos que - dependiendo de los métodos escogidos - los éxitos de ingreso rondan tasas de entre el 3 y el 20%, que pueden esperarse en ambientes de red típicos.
Considerando los ingresos de la NASA con respecto a los del presente estudio ... podría esperarse una tasa de éxito de irrupción de entre 3 y 20% en ambientes de redes típicos. En la red SPAN pueden alcanzarse entre 700 y 3.000 computadoras (las cifras exactas varían si se cuontabilizan redes LAN). En tal caso los incidentes de irrupcion serían entre 4 y 20%.
Tal vez no exista computadora o red de datos que pueda ser completamente segura. Este estudio sugiere que cualquier sistema operativo puede volverse inseguro cuando se ignoran reglas de seguridad obvias. A partir del éxito amplio del intruso, aparenta que los usuarios, administradores y comerciantes fracasan rutinariamente en establecer prácticas de seguridad aptas.
Estos problemas no se limitan a nuestro centro de cómputo o al de unas pocas docenas de sistemas que vimos penetrados, sino que se reproducen a todo lo ancho de la red. La gestión laxa de sistemas hace que el emparchado de software de utilidad y los ajustes de seguridad de unos pocos sistemas se vuelva inefectivo. Descubrimos que este intruso es un programador competente y paciente, experimentado en varios sistemas operativos. También que algunos administradores de sistemas violan sus posiciones de confiabilidad y confianza. Nuestra comunidad global de redes digitales requiere un sentido de responsabilidad.
Desafortunadamente, esto no parece claramente en la conciencia ética de algunas personas técnicamente competentes.
Algunos hablan de una "ética hacker" de no modificar los datos [37]. Es sorprendente que los intrusos trastean sin problemas con un sistema operativo de otra persona, sin considerar jamás que pueden destruir meses de trabajo de programadores, o causar inestabilidades no previstas en dicho sistema, incluso interrupciones. Tristemente, pocos parecen comprender la delicadeza de los entornos en los que irrumpen o en la cantidad de tiempo del personal de informática que derrochan. El orígen extranjero de la fuente, las computadoras militares accedidas, y las palabras clave buscadas permiten sugerir espionaje internacional. Este autor no especula si esto realmente constituye espionaje, pero no duda que alguien lo tomará como una oportunidad para intentarlo.
Rastrear intentos de espionaje sobre las redes digitales puede ser el aspecto más dramático de este trabajo. Pero es más útil comprender que los métodos de investigación analítica pueden ser aplicados fructíferamente a problemas tan bizarros como los ingresos computarizados. Los ingresos desde el exterior parecen haber incrementado. Probablemente las instrusiones de este individuo difieran de otras únicamente en el hecho que sus esfuerzos fueron notados, monitoreados y documentados. El LBL ha detectados otras intrusiones intentadas desde distintos países europeos, así como de Oriente. Individuos en Alemania [37] han declarado su responsabilidad por ingresar en computadoras extranjeras. Esta fanfarronería - capaz de impresionar a un público no iluminado - tiene un efecto diferente en los administradores de sistemas cuya labor es intentan mantener y expandir redes de datos. De hecho, las agencias que otorgan fondos en este sentido ya han eliminado algunos enlaces internacionales con motivo de preocupaciónes en este sentido. Las irrupciones - finalmente - destruyeron la conectividad de la red de datos a la que explotan. Si el objetivo de grupos como el Chaos Club alemán, Data Travelers, Network Rangers, o varios de los contriubuyentes a la revista 2600, se reduce a esto, reflejaría mas su sentido autodestructivo que una aparente inteligencia.
Parecería que todos quieren oir historias sobre los problemas ajenos, pero pocos desean escribir los suyos. Esperamos que al publicar este reporte, incentivaremos prácticas administrativas aptas.
Vándalos y otros criminales que lean este artículo encontrarán una manera de racionalizar la irrupción en computadoras. Este artículo no pueden enseñar ética a estas personas; sólo podemos esperar alcanzar a quienes no estaban al tanto de estos malos comportamientos. Un programador interesado puede ingresar a muchas computadoras, de la misma forma en que un ladrón capaz puede irrumpir en muchas casas. Es una respuesta entendible poner llave a una puerta, cortar conexiones, y montar barreras elaboradas. Tal vez esto sea necesario, pero entristece al autor, quien quisiera en su lugar ver construirse sobre un sentido de honestidad y confianza a las redes de datos y comunidades del cómputo del futuro.
Para resolver este problmea cooperaron una docena de organizaciones diversas. El soberbio apoyo téncico del Budespot alemán y de Tymnet permitieron que este proyecto llegar a brindar sus frutos; ambos demostraron dedicación fenomenal y competencia a travésa de meses de rastreo.
El personal y administración del LBL fueron especialmente cálidos en su apoyo. El personal de sistemas y de los grupos de cómputo de tiempo real proveyeron apoyatura técnica cuando todo parecía misterioso.
El FBI de los EE.UU. y el BKA alemán demostraron visiones creativas a los problemas noveles y anotaron muchas horas en las investigaciones. La oficina del fiscal público de Bremen, el Departamento de Justicia de los EE.UU. y la fiscal de distrito del Condado de Alameda proveyeron los esfuerzos de sumarios y legales. La ayuda adicional vino de la NCSC, la Agencia de Comunicaciones de Defensa, la Oifina de Investigaciones Especiales de la Fuerza Aérea, la Universidad de Bremen, Pacific Bell, y la Compañía de Teléfonos de Chesapeake y el Potomac. Nada de este trabajo podría haber tenido lugar sin el apoyo de buenas personas del Departamento de Energía de los EE.UU. A las personas en dichas organizaciones, extiendo mi más sentidos agradecimientos.
Muchos otros ayudaron en este proyecto, incluyendo a Ken
Adelman, Dot Akins, Marv Atchley, Bruce Bauer, Paul Boedges, Eric Beals,
Leon Breault, Darren Busing, Rick Carr, Jack Case, Bill Chandler, Jim
Christie, Dave Cleveland, Dana Conant, Joanne Crafton, Ken Crepea, Steve
Dougherty, Dave Farnham, Ann Funk, Mike Gibbons, Wayne Graves, Tom
Hitchcock, Roy Kerth, Dan Kolkowitz, Steve Kougoures, Diane Johnson,
Dave Jones, Dan Lane, Chris McDonald, Chuck McNatt, Martha Matthews,
Sandy Merola, Gene Miya, Maggie Morley, Bob Morris, Paul Murray, Jeff
Olivetto, Joeseph Rogan, Steve Rudd, Barbara Schaefer, Steve Shumaker,
Phil Sibert, Dave Stevens, Dan Van Zile, Ron Vivier, Regina Wiggen,
Steve White, y Hellmuth Wolf. Siento una completa deuda de gratitud con todos ellos.
Por la revisión de este artículo, agradezco a todos ellos, así como a Dean Chacon, Dorothy Denning, John Paul Hyde, Jeff Kuhn, Peter Neumann, Serge Polevitzky, Howard Weiss, y dos lectores anónimos.