• No results found

Irregular Success in the Post-Cold War Period

G. DOMINANT TRENDS IN THE POST-COLD WAR PERIOD

1. Irregular Success in the Post-Cold War Period

De entre los sistemas informáticos de empresas en los que ha irrumpido Adrián, considera Excite@Home como su máxima experiencia de "capa y espada". La epopeya comenzó con un capricho cuando alguien propuso echar un vistazo al sitio de @Home. Como era el centro de intercambio de información de todos los servicios de Internet por cable de Estados Unidos, Adrián estaba seguro de que estaría bien protegido y que no merecía la pena perder su tiempo. Pero si pudiera entrar con éxito, tendría acceso a información clave sobre todos los usuarios de conexiones por cable del país.

Los hackers están descubriendo ahora que Google puede resultar sorprendentemente útil para descubrir potenciales objetivos de ataques y para desvelar información útil sobre los mismos. Adrián empieza muchas de sus incursiones de hacking introduciendo en Google una serie de palabras clave que generalmente le conducen a sitios que presentan algunos fallos de configuración.

Entonces conectó su ordenador portátil a un enchufe de red de la sala de estudiantes de una universidad de Filadelfia y llamó a la página Web de Excite@Home. Esta sala era un escenario muy familiar para él, así como cualquier lugar que fuera utilizado por mucha gente, o puestos públicos de acceso a Internet o puntos de acceso inalámbricos abiertos, etc. Conectarse a Internet desde sitios como estos ofrece a los hackers una forma fácil y eficaz de ocultar su ubicación. Descubrir la verdadera identidad de alguien que utiliza aleatoriamente puntos públicos de acceso a Internet resulta extremadamente difícil.

El planteamiento de Adrián consiste en comenzar por comprender el proceso de razonamiento de la persona que diseñó un programa o una red, utilizando sus conocimientos de pautas y prácticas habituales que los arquitectos de redes suelen utilizar. Es bastante aficionado a explotar los errores de configuración en servidores proxy, es

128 EL ARTE DE LA INTRUSIÓN © RAMA

decir, sistemas informáticos dedicados que pasan el tráfico entre la red interna y las redes "sospechosas" como, por ejemplo, Internet. El servidor

proxy examina cada solicitud de conexión de acuerdo con las reglas que

se fijen. Si un administrador de red hace una chapuza en la configuración de los servidores proxy de una empresa, cualquiera que pueda conectarse al proxy, podrá adentrarse hasta la red interna, supuestamente segura, de dicha empresa. Para un hacker, un proxy abierto de estas características es una invitación a causar estragos porque puede actuar como si estuviera enviando solicitudes como cualquier otro empleado legítimo de la compañía: desde dentro de la propia red de la empresa.

Desde aquella sala de la universidad, Adrián descubrió un proxy mal configurado que abría la puerta a las páginas Web internas de varios departamentos de Excite@Home. En la sección de Ayuda de una de ellas, Adrián envió una pregunta en relación con problemas para registrarse. La respuesta que le llegó incluía una dirección URL de una pequeña parte del sistema diseñada para ayudar a resolver problemas informáticos. Analizando esta URL, pudo acceder a otras divisiones de la compañía que utilizaban la misma tecnología. No le pidieron autentificación: el diseño del sistema se basaba en la suposición de que cualquiera que supiera las direcciones de llamada a estas partes del sitio Web sería un empleado o una persona autorizada. Se trata de una premisa poco sólida, pero tan extendida que tiene nombre: "seguridad mediante oscuridad".

Para el siguiente paso, visitó un sitio muy conocido entre los exploradores del ciberespacio, Netcraft.com. Adrián introdujo aleatoriamente nombres parciales de dominios y Netcraft devolvió una lista de servidores de Excite@Home, donde se indicaba que eran máquinas Solaris que ejecutaban el software de servidor Web de Apache.

Explorando, Adrián descubrió que el centro de operaciones de la red de la compañía ofrecía un sistema de soporte técnico que permitía a los empleados autorizados leer detalles de las solicitudes de ayuda que hacían los clientes. Cosas como: "¡Ayuda! No puedo acceder a mi cuenta". El empleado pedía a veces al cliente que le proporcionara su nombre de usuario y contraseña, una medida que era suficientemente segura porque todo ocurría detrás del cortafuegos de la empresa; la información se especificaba en la ficha del problema.

> RA-MA EL ROBÍN HOOD HACKER 129

Adrián describe lo que encontró como sorprendente. Entre el tesoro había fichas de incidencias que contenían nombres de usuario y claves de clientes, detalles del proceso de gestión de las fichas de incidencias, así como reclamaciones de usuarios internos sobre los problemas informáticos que estaban teniendo. También encontró un

script para generar una "cookie de autentificación" que permitiría a un

técnico autentificarse como cualquier titular de una cuenta para solventar un problema sin necesidad de solicitarle al cliente su contraseña.

Una nota incluida en una de las fichas llamó la atención de Adrián. En ella se hacía referencia al caso de un cliente que hacía más de un año había pedido ayuda con respecto a la información personal, incluidos los números de tarjetas de crédito, que alguien le había robado en un servicio de chat IRC. En la nota interna se mencionaba que los técnicos habían decidido que ése no era su problema y no se habían molestado en dar una respuesta. Básicamente se quitaron de en medio al pobre hombre. Entonces, Adrián, llamó a este señor a casa haciéndose pasar por un técnico y le dijo: "No debería ocuparme yo de este caso, pero querría saber si llegó usted a recibir respuesta nuestra". El señor le dijo que nunca había oído una palabra de la empresa. Inmediatamente después, Adrián le envió la respuesta correcta y toda la documentación interna y explicación referente a la ficha no resuelta.

Sentí satisfacción al hacerlo porque quiero creer en un universo en el que algo tan improbable como que alguien te robe tu base de datos en un IRC tenga una explicación un año más tarde y que la dé un intruso que ha comprometido la seguridad de la compañía en la que confiaste en un principio.

En aquella época, el proxy abierto que le había dado acceso dejó de funcionar. Adrián no sabe por qué, pero nunca más pudo volver. Entonces empezó a buscar otro camino. El método que se le ocurrió fue, en sus palabras, "completamente nuevo".

Su primer punto de apoyo lo ofreció lo que se conoce como una

búsqueda inversa de DNS, utilizar una dirección IP para encontrar el

nombre de host correspondiente. (Al introducir una solicitud en el navegador para ir al sitio www.defensivethinking.com, la solicitud va al Servidor de Nombres de Dominio (DNS), que traduce el nombre en una

130 EL ARTE DE LA INTRUSIÓN © RAMA

dirección que puede utilizarse en Internet para encaminar la solicitud, en este caso 209.151.246.5. La táctica que Adrián utilizaba invertía ese proceso: el atacante introducía una dirección IP y recibe el nombre de dominio del dispositivo a la que pertenece la dirección.)

Tenía muchas direcciones que recorrer, la mayoría de las cuales no ofrecían nada de interés. Aunque, al final, encontró una con un nombre en la forma de dialupOO.corp.home.net y otras cuantas que también comenzaban con "dialup" ("marcación"). Supuso que era hosts que los empleados utilizaban habitualmente, para marcar el acceso a la red de la empresa.

Pronto descubrió que esos números de marcación los utilizaban los empleados que todavía trabajaban en ordenadores que ejecutaban las versiones más antiguas del sistema operativo, versiones tan antiguas como el Windows 98. Y algunos de los usuarios de marcación tenían recursos compartidos abiertos, que permitían el acceso remoto a determinados directorios o a todo el disco duro, sin contraseña de lectura ni escritura. Adrián se dio cuenta de que podría introducir cambios en los

scripts de arranque del sistema operativo copiando archivos en los recursos compartidos y que así ejecutarían los archivos que él eligiera.

Después de sobreescribir en determinados archivos de inicio su propia versión, sabía que tendría que esperar hasta que el sistema fuera reiniciado para que sus comandos se ejecutaran. Aunque Adrián sabe ser paciente.

Finalmente, la paciencia tuvo su recompensa y Adrián dio el siguiente paso: instalar un troyano de acceso remoto (en inglés, remote

access trojan o "RAT"). Pero para ello, él no recurre a ninguno de esos

troyanos tan fáciles de encontrar y desarrollados por hackers, esos que los intrusos utilizan para fines perniciosos. Los programas antivirus, tan populares ahora, están diseñados para reconocer puertas traseras y troyanos comunes y ponerlos en cuarentena instantáneamente. Para evitarlo, Adrián utiliza una herramienta legítima diseñada para el uso de los administradores de redes y sistemas, el software de administración remota comercial, que él modifica ligeramente de modo que sea invisible para el usuario.

RA-MA EL ROBÍN HOOD HACKER 131

Mientras que los productos antivirus buscan los tipos de software de acceso remoto que se sabe que se utilizan en el mundo hacker, no buscan el tipo desarrollado por compañías de software comercial, basándose en la suposición de que se está haciendo un uso legítimo de estos productos (y también, supongo, porque la compañía de software Developer X podría presentar una demanda si el software antivirus tratara

su producto como si fuera malicioso y lo bloqueara). Personalmente, creo

que es una mala idea; los productos antivirus deberían alertar al usuario de todos los productos que podrían ser utilizados con intenciones malignas y dejar al usuario que decida si se ha instalado legítimamente, aprovechando este agujero, Adrián puede con frecuencia instalar RAT "legítimos" que socaven la detención de los programas antivirus.

Una vez instalado con éxito el RAT en el ordenador del empleado de @Home, ejecutó una serie de comandos que le facilitaban información sobre las conexiones de las redes activas a otros sistemas informáticos. Uno de estos comandos, "netstat", le mostró la actividad de la red de un empleado que estaba justo en ese momento conectado a la intranet de @Home por acceso telefónico y le reveló qué sistemas informáticos de la red interna de la empresa estaba utilizando esa persona.

Con el propósito de que sirviera de ejemplo de los datos que netstat devolvió, ejecuté el programa para examinar la operación de mi propia máquina; una parte del listado de salida era como sigue:

C:\Documents and Settings\guest>netstat -a Active Connections

Proto Local Address Foreign Address State

TCP lockpicker:1411 64.12.26.50:5190 ESTABLISHED

TCP lockpicker:2842 catlow.cyberverse.com:22 ESTABLISHED

132 EL ARTE DE LA INTRUSIÓN © R A M A

TCP lockpicker:2982 www.kevinmitnick.com:http ESTABLISHED

"Local Address" lista el nombre de la máquina local ("lockpicker" era entonces el nombre que yo utilizaba para mi ordenador) y el número de puerto de esa máquina. Con "Foreign Address" se indica el nombre del host o dirección IP del ordenador remoto y el número de puerto con el que se ha establecido una conexión. Por ejemplo, la primera línea del informe indica que mi ordenador ha establecido una conexión con 64.12.26.50 en el puerto 5190, el puerto que generalmente se utiliza para el servicio de mensajería instantánea AOL. "State" indica el estado de la conexión, que puede ser: "Established", si la conexión está actualmente activa o "Listening" si la máquina local está esperando una conexión entrante.

La siguiente línea, que incluye la entrada "caUow.cyberverse.com", proporciona el nombre del host del sistema informático al que yo estaba conectado. En la última línea, la entrada www.kevinmitnick.com:http indica que yo estaba activamente conectado a mi sitio Web personal.

No es necesario que el propietario del ordenador de destino ejecute los servicios en puertos conocidos comúnmente sino que puede configurar el ordenador para utilizar puertos que no sean los habituales. Por ejemplo, HTTP (servidor Web) suele ejecutarse en el puerto 80, pero el propietario puede cambiarlo para que se ejecute en cualquier otro puerto que elija. Listando las conexiones TCP de empleados, Adrián observó que los empleados de @Home se conectaban a los servidores Web por puertos no habituales.

Con información como ésta, Adrián pudo deducir la dirección IP de máquinas internas en las que merecía la pena buscar información confidencial de @Home. Entre otras joyas, encontró una base de datos de nombres, direcciones de e-mail, números de serie de módems por cable, direcciones IP actuales, incluso qué sistema operativo se decía que ejecutaba cada ordenador, para cada uno de los casi tres millones de suscriptores a la banda ancha de la empresa.

© RA-MA EL ROBÍN HOOD HACKER 133

Adrián lo describió como "un tipo de asalto exótico", porque había requerido el secuestro de una conexión de un empleado que estaba fuera del centro y que estaba marcando para acceder a la red.

Adrián considera que conseguir que una red confíe en uno es un proceso bastante sencillo. La parte difícil, que le llevó un mes de ensayo y error, fue compilar un mapa detallado de la red: cuáles son todos los distintos componentes y qué relación hay entre ellos.

El principal ingeniero de redes de Excite@Home era un hombre al que Adrián había pasado información anteriormente y en el que sentía que podía confiar. Desviándose de su costumbre de utilizar un intermediario para pasar información a una empresa en la que había penetrado, llamó al ingeniero directamente y le explicó que había descubierto algunas debilidades graves en la red de la empresa. El ingeniero aceptó reunirse con él, a pesar de la hora tan tarde que le proponía. Se sentaron juntos a medianoche.

"Les mostré parte de la documentación que había recopilado. El ingeniero llamó al de seguridad y nos reunimos con él en el recinto [Excite@Home] alrededor de las 4.30 de la madrugada". Los dos hombres revisaron los materiales que Adrián les había pasado y le preguntaron cómo había penetrado exactamente. En torno a las seis de la mañana, cuando estaban terminando, Adrián dijo que le gustaría ver físicamente el servidor proxy que él había utilizado para acceder.

Lo localizamos. Entonces me preguntaron: "¿cómo protegerías tú esta máquina? "

Adrián ya sabía que el servidor no se estaba utilizando para ninguna función relevante, que no era más que un sistema aleatorio.

Saqué mi navaja, una de esas que se utilizan con una sola mano. Y directamente corté el cable y dije "ahora está segura esta máquina ".

Ellos dijeron "perfecto " y el ingeniero escribió algo en un papel y lo pegó a la máquina. La nota decía: "No reconectar ".

134 EL ARTE DE LA INTRUSIÓN © RAMA

Adrián había descubierto el acceso a esta importante compañía simplemente a consecuencia de una máquina que quizás hiciera años que no servía para ninguna función necesaria, pero en la que nadie había reparado o que nadie se había molestado en quitar de la red. Adrián dice: "Todas las compañías tienen toneladas de máquinas, conectadas todavía aunque ya no se utilicen". Todas ellas son una entrada potencial para una intrusión.