Cuando el Chaos Computer Club hackeó a la NASA
Por Fernando Blanco Dopazo
El Chaos Computer Club es uno de los grupos de hackers
más famosos del mundo. En esta nota vemos por qué su fama
es merecida.
Existe mucha controversia acerca del Chaos Computer Club
(CCC), el que sin duda fue el más célebre grupo de
hackers de toda la historia. Contó entre sus miembros a
los más selectos hackers de aquella generación. Su
"cuartel central" está en la ciudad de Hamburgo
(Alemania), y aún continua en actividad. Muchos de los
miembros más destacados de sus épocas doradas, mediados y
fines de los '80, se han retirado de las actividades y
algunos de ellos son actualmente consultores en seguridad
informática o asesores de grandes empresas en este tema.
El hecho que los destaca entre todos los distintos grupos
de hackers es el haber sido quienes pudieron ingresar más
profundamente a los "supersecretos" sistemas de la NASA.
Hay quienes los ensalzan hasta colocarlos en un nivel
mítico, otros los defenestran sin piedad. Pero en general
lo que existe es un gran desconocimiento de quienes
fueron sus miembros y cuales sus actividades. Voy a
tratar de ofrecer en este artículo algunos detalles
técnicos acerca de este espectacular hecho en la historia
del hacking.
Todo esto sucedió en máquinas DEC, que corren bajo el
sistema operativo VMS. Para quienes no la conocen,
Digital Equipment Corporation (DEC) es una empresa líder
en el mercado de las computadoras, y cuenta entre sus
usuarios una gran cantidad de empresas privadas e
instituciones gubernamentales en todo el mundo. Fue a
principios de 1987 o fines de 1986, cuando DEC lanzó al
mercado la versión 4.4 de su sistema operativo VAX/VMS.
Esta versión incluía algunas novedosas funciones de
seguridad. Una de estas funciones tenía un horrible
agujero, a través del cuál los usuarios sin nivel de
acceso podían obtener privilegios para los que no estaban
autorizados. Si bien este bug fue corregido en las
versiones posteriores del sistema operativo, no voy a dar
más precisiones ya que hay todavía algunas empresas e
instituciones en muchos países del mundo que todavía
utilizan la versión 4.4.
El CCC no realizó el acceso a las computadoras de la NASA
a través de un llamado directo. Sabemos de las medidas de
seguridad que tienen, que enseguida identificarían a un
usuario extraño tratando de acceder a sus sistemas. Como
dice el viejo refrán, que es ley para muchos hackers, "La
cadena se corta por el eslabón más débil". Así fue que
los miembros del CCC pudieron acceder a la NASA, por
medio de la red DECnet. Los miembros del CCC consiguieron
obtener privilegios en una máquina miembro de la red que
no estaba bien protegida en algún lugar de Alemania. A
través de esta máquina consiguieron introducir un gusano
muy simple que se copiaba a todas las máquinas a las que
tenía acceso. Si bien el sistema de propagación era un
tanto rudimentario, han quedado algunos fragmentos del
código de ataque que, por el contrario, era brillante. A
través del estudio de este código puede verse que los
autores conocían a fondo la nueva versión del sistema
operativo. Demostraron también amplios conocimientos en
el uso de equipos DEC. Este fascinante código de ataque
se basaba en el ya citado bug en los servicios de
seguridad, por medio del cual obtenía los privilegios.
Luego modificaba (patcheaba) varias de las imágenes del
sistema y se autoeliminaba. Estos patches son realmente
interesantes. Modificaba las imágenes de los programas
MONITOR, SHOW y LOGINOUT y agregaba un nombre de usuario
especial al archivo de autorización del VMS. Los patches
a MONITOR y SHOW conseguían que esos utilitarios
ignoraran el nombre de usuario especial que el código de
ataque había agregado al archivo de autorización. Esto
les permitía a los miembros del CCC permanecer invisibles
mientras estaban logeados con ese nombre de usuario
especial.
El patch sobre LOGINOUT servía para poder acceder con el
nombre de usuario agregado. Además, tomaba todos los
passwords con los cuales los usuarios validados se
registraban, los encriptaba con un algoritmo simple y los
guardaba en una porción muy poco conocida y utilizada del
registro de autorizaciones.
Una vez más vemos los profundos conocimientos que los
tenían los autores del código de ataque acerca de este
tipo de sistemas. Luego de un tiempo, y logeándose con el
nombre agregado, podían acceder al registro de
autorizaciones, tomar los passwords encriptados que allí
había colocado el patch a LOGINOUT y desconectarse. En
casa podían desencriptar los passwords (tarea muy
sencilla ya que ellos mismos habían sido quienes los
encriptaron) y a partir del próximo acceso ya podían
ingresar por medio de la red a una cuenta legítima sin
despertar ningún tipo de sospechas como cualquier usuario
normal. Periódicamente se utilizaba el nombre de usuario
especial para ir a buscar los nuevos passwords que se
habían recolectado en el registro de autorizaciones.
Usaban el nombre de usuario especial agregado para que
esto pasara inadvertido.
Al contar con diversos passwords, se conseguía distribuir
el tiempo de uso del sistema entre diversos usuarios sin
recargar demasiado ninguna de las cuentas legítimas, ya
que si alguna cuenta aparecía demasiado utilizada podía
despertar sospechas. El patch de LOGINOUT registraba
todos los passwords ingresados, así consiguieron algunos
de máxima seguridad del sistema atacado. Por otra parte,
si los encargados de seguridad cambiaban los passwords,
solo había que esperar unos días para que los nuevos se
acumularan en el registro de autorizaciones.
Como vemos, el circulo cerraba completamente, y el plan
era prácticamente perfecto. De hecho, por medio de este
sistema los miembros del CCC pudieron utilizar gran parte
de las máquina de la red DECnet, entre las cuales hay,
como ya he señalado, máquinas de grandes empresas
privadas y también de muchas instituciones públicas.
Fueron descubiertos a principios de Abril de 1987 en la
NASA, tal vez por un exceso de confianza o de ansiedad de
uno de sus miembros. En vez de realizar un acceso breve
para verificar si ya había conseguido otros nuevos
passwords legítimos y retirarse, este joven miembro pasó
largo tiempo husmeando los archivos secretos de la NASA
con el nombre especial agregado, en lugar de utilizar un
password válido. Uno de los system managers de los
sistemas DEC de la NASA vio que se estaban consumiendo
muchos recursos de su máquina (por ejemplo ciclos de
CPU), y para intentar ver que era lo que estaba
sucediendo, ejecutó los utilitarios SHOW y MONITOR (que
ya estaban patcheados). Así descubrió muy sorprendido que
"nadie" estaba utilizando la máquina. Encontrando esta
situación muy extraña, este system manager, del que nunca
pudo conocerse el nombre, ejecutó un utilitario llamado
SDA. El SDA (System Dump Analyser) es un utilitario de
las máquinas que corren sistemas operativos VMS que
ofrece vuelcos de memoria, es muy poco utilizado ya que
son realmente pocas las personas que pueden interpretar
un dump (vuelco de memoria). Utilizando el dump, el
system manager pudo tener una idea de lo que estaba
sucediendo. Si bien el ataque fue descubierto por la
imprudencia de uno de los miembros del CCC, debemos
también reconocer la calidad técnica de este system
manager anónimo, que demostró conocer muy bien su oficio,
resolviendo la situación con solvencia técnica y
demostrando grandes conocimientos. El system manager
informó de los hechos, y los técnicos de la NASA, junto a
especialistas de DEC, pudieron solucionar este problema
rápidamente. Se agregaron al sistema nuevos métodos de
seguridad que imposibilitaron el acceso a los miembros
del CCC, y el error fue corregido.
La NASA dio informaciones ambiguas sobre este hecho.
Según los voceros que las anunciaran, a veces negándolo,
a veces señalando que solo habían accedido a niveles muy
bajos, lo que no es verdad. Si bien nunca los pusieron a
conocimiento público por temor a las represalias, los
miembros del CCC pudieron acceder a los proyectos más
secretos de la NASA y tuvieron los password de los más
altos miembros de dicha institución. Se dice que algunos
de sus miembros y ex-miembros todavía guardan algunos
archivos de la NASA como "trofeos de guerra" de aquella
legendaria acción.
Fernando Blanco Dopazo es Analista de Sistemas (graduado
en ORT), y se ha especializado en seguridad informática.
Actualmente trabaja en una renombrada consultora
internacional, desempeñándose como auditor de sistemas
bancarios.