VR17: Cuando el Chaos Computer Club hackeó a la NASA
Por Fernando Blanco Dopazo
El Chaos Computer Club es uno de los grupos de hackers más famosos del mundo. En esta nota vemos por qué su fama es merecida.
Existe mucha controversia acerca del Chaos Computer Club (CCC), el que sin duda fue el más célebre grupo de hackers de toda la historia. Contó entre sus miembros a los más selectos hackers de aquella generación. Su "cuartel central" está en la ciudad de Hamburgo (Alemania), y aún continua en actividad. Muchos de los miembros más destacados de sus épocas doradas, mediados y fines de los '80, se han retirado de las actividades y algunos de ellos son actualmente consultores en seguridad informática o asesores de grandes empresas en este tema. El hecho que los destaca entre todos los distintos grupos de hackers es el haber sido quienes pudieron ingresar más profundamente a los "supersecretos" sistemas de la NASA. Hay quienes los ensalzan hasta colocarlos en un nivel mítico, otros los defenestran sin piedad. Pero en general lo que existe es un gran desconocimiento de quienes fueron sus miembros y cuales sus actividades. Voy a tratar de ofrecer en este artículo algunos detalles técnicos acerca de este espectacular hecho en la historia del hacking.
Todo esto sucedió en máquinas DEC, que corren bajo el sistema operativo VMS. Para quienes no la conocen, Digital Equipment Corporation (DEC) es una empresa líder en el mercado de las computadoras, y cuenta entre sus usuarios una gran cantidad de empresas privadas e instituciones gubernamentales en todo el mundo. Fue a principios de 1987 o fines de 1986, cuando DEC lanzó al mercado la versión 4.4 de su sistema operativo VAX/VMS. Esta versión incluía algunas novedosas funciones de seguridad. Una de estas funciones tenía un horrible agujero, a través del cuál los usuarios sin nivel de acceso podían obtener privilegios para los que no estaban autorizados. Si bien este bug fue corregido en las versiones posteriores del sistema operativo, no voy a dar más precisiones ya que hay todavía algunas empresas e instituciones en muchos países del mundo que todavía utilizan la versión 4.4.
El CCC no realizó el acceso a las computadoras de la NASA a través de un llamado directo. Sabemos de las medidas de seguridad que tienen, que enseguida identificarían a un usuario extraño tratando de acceder a sus sistemas. Como dice el viejo refrán, que es ley para muchos hackers, "La cadena se corta por el eslabón más débil". Así fue que los miembros del CCC pudieron acceder a la NASA, por medio de la red DECnet. Los miembros del CCC consiguieron obtener privilegios en una máquina miembro de la red que no estaba bien protegida en algún lugar de Alemania. A través de esta máquina consiguieron introducir un gusano muy simple que se copiaba a todas las máquinas a las que tenía acceso. Si bien el sistema de propagación era un tanto rudimentario, han quedado algunos fragmentos del código de ataque que, por el contrario, era brillante. A través del estudio de este código puede verse que los autores conocían a fondo la nueva versión del sistema operativo. Demostraron también amplios conocimientos en el uso de equipos DEC. Este fascinante código de ataque se basaba en el ya citado bug en los servicios de seguridad, por medio del cual obtenía los privilegios. Luego modificaba (patcheaba) varias de las imágenes del sistema y se autoeliminaba. Estos patches son realmente interesantes. Modificaba las imágenes de los programas MONITOR, SHOW y LOGINOUT y agregaba un nombre de usuario especial al archivo de autorización del VMS. Los patches a MONITOR y SHOW conseguían que esos utilitarios ignoraran el nombre de usuario especial que el código de ataque había agregado al archivo de autorización. Esto les permitía a los miembros del CCC permanecer invisibles mientras estaban logeados con ese nombre de usuario especial.
El patch sobre LOGINOUT servía para poder acceder con el nombre de usuario agregado. Además, tomaba todos los passwords con los cuales los usuarios validados se registraban, los encriptaba con un algoritmo simple y los guardaba en una porción muy poco conocida y utilizada del registro de autorizaciones.
Una vez más vemos los profundos conocimientos que los tenían los autores del código de ataque acerca de este tipo de sistemas. Luego de un tiempo, y logeándose con el nombre agregado, podían acceder al registro de autorizaciones, tomar los passwords encriptados que allí había colocado el patch a LOGINOUT y desconectarse. En casa podían desencriptar los passwords (tarea muy sencilla ya que ellos mismos habían sido quienes los encriptaron) y a partir del próximo acceso ya podían ingresar por medio de la red a una cuenta legítima sin despertar ningún tipo de sospechas como cualquier usuario normal. Periódicamente se utilizaba el nombre de usuario especial para ir a buscar los nuevos passwords que se habían recolectado en el registro de autorizaciones. Usaban el nombre de usuario especial agregado para que esto pasara inadvertido.
Al contar con diversos passwords, se conseguía distribuir el tiempo de uso del sistema entre diversos usuarios sin recargar demasiado ninguna de las cuentas legítimas, ya que si alguna cuenta aparecía demasiado utilizada podía despertar sospechas. El patch de LOGINOUT registraba todos los passwords ingresados, así consiguieron algunos de máxima seguridad del sistema atacado. Por otra parte, si los encargados de seguridad cambiaban los passwords, solo había que esperar unos días para que los nuevos se acumularan en el registro de autorizaciones.
Como vemos, el circulo cerraba completamente, y el plan era prácticamente perfecto. De hecho, por medio de este sistema los miembros del CCC pudieron utilizar gran parte de las máquina de la red DECnet, entre las cuales hay, como ya he señalado, máquinas de grandes empresas privadas y también de muchas instituciones públicas. Fueron descubiertos a principios de Abril de 1987 en la NASA, tal vez por un exceso de confianza o de ansiedad de uno de sus miembros. En vez de realizar un acceso breve para verificar si ya había conseguido otros nuevos passwords legítimos y retirarse, este joven miembro pasó largo tiempo husmeando los archivos secretos de la NASA con el nombre especial agregado, en lugar de utilizar un password válido. Uno de los system managers de los sistemas DEC de la NASA vio que se estaban consumiendo muchos recursos de su máquina (por ejemplo ciclos de CPU), y para intentar ver que era lo que estaba sucediendo, ejecutó los utilitarios SHOW y MONITOR (que ya estaban patcheados). Así descubrió muy sorprendido que "nadie" estaba utilizando la máquina. Encontrando esta situación muy extraña, este system manager, del que nunca pudo conocerse el nombre, ejecutó un utilitario llamado SDA. El SDA (System Dump Analyser) es un utilitario de las máquinas que corren sistemas operativos VMS que ofrece vuelcos de memoria, es muy poco utilizado ya que son realmente pocas las personas que pueden interpretar un dump (vuelco de memoria). Utilizando el dump, el system manager pudo tener una idea de lo que estaba sucediendo. Si bien el ataque fue descubierto por la imprudencia de uno de los miembros del CCC, debemos también reconocer la calidad técnica de este system manager anónimo, que demostró conocer muy bien su oficio, resolviendo la situación con solvencia técnica y demostrando grandes conocimientos. El system manager informó de los hechos, y los técnicos de la NASA, junto a especialistas de DEC, pudieron solucionar este problema rápidamente. Se agregaron al sistema nuevos métodos de seguridad que imposibilitaron el acceso a los miembros del CCC, y el error fue corregido.
La NASA dio informaciones ambiguas sobre este hecho. Según los voceros que las anunciaran, a veces negándolo, a veces señalando que solo habían accedido a niveles muy bajos, lo que no es verdad. Si bien nunca los pusieron a conocimiento público por temor a las represalias, los miembros del CCC pudieron acceder a los proyectos más secretos de la NASA y tuvieron los password de los más altos miembros de dicha institución. Se dice que algunos de sus miembros y ex-miembros todavía guardan algunos archivos de la NASA como "trofeos de guerra" de aquella legendaria acción.
Fernando Blanco Dopazo es Analista de Sistemas (graduado en ORT), y se ha especializado en seguridad informática. Actualmente trabaja en una renombrada consultora internacional, desempeñándose como auditor de sistemas bancarios.