Professional Documents
Culture Documents
Takedown
Persecución y captura de Kevin
Mitnick
REALIZADO POR
MAKANO
Título original: Takedown (Catching
Kevin)
Tsutomu Shimomura & John Markoff,
1996
Traducción: Héctor Silva
Editor digital:Makano
Este libro está dedicado a
nuestros padres
y a la memoria del padre de John,
Mortimer Markoff
Agradecimientos
process(0x480088,
'teal.csn.org NeWS client',
runnable)
Error: /syntaxerror
Command: '.psparse_token'
finger —1 @ariel.sdsc.edu
Netname: UNIBE
Netnumber: 130.92.0.0
Coordinator:
Buetikofer, Fritz (FB61)
btkfr@ID.UNIBE.CH
+41 31 65 3843
Domain System inverse
mapping provided by:
ARWEN.UNIBE.CH 130.92.9.52
SWIBE9.UNIBE.CH 130.92.1.1
SCSNMS.SWITCH.CH
130.59.1.30
Esa red existía, como lo indicaban
los primeros cinco dígitos: 130.92. Pero
parecía que el ordenador que había
intentado conectar con Rimmon, la
máquina designada por la dirección
completa, 130.92.6.97, no contestaba, o
no existía, al menos no ahora. El
ordenador podía haber estado apagado
desde el ataque, supuse, y, por tanto, no
sería visible en la base de datos. Había
otra posibilidad: la dirección podía
haber sido falsa.
Continué con la cronología:
“14:18:25”. Eran precisamente tres
segundos más tarde en nuestra línea
temporal de datos. Y ahora había otro
SYN, esta vez a Osiris desde un
ordenador llamado apollo.it.luc.edu.
Volví a interrogar la base de datos de
Internet y me encontré con que luc.edu
era la Universidad Loyola, en Chicago.
Como había ocurrido con Rimmon desde
la misteriosa máquina en Suiza, Osiris
estaba recibiendo una serie de
solicitudes de conexión de acceso desde
la máquina de Loyola.
“Esto es muy raro”, murmuré. ¿Qué
estaba pasando? Osiris estaba
recibiendo una serie de SYNs, cada cual
con un número secuencial para iniciar el
saludo. Pero una vez que Osiris
respondía —SYN-ACK— incluyendo
un segundo número secuencial, la
máquina de Loyola no daba el siguiente
paso normal. En vez de replicar con un
tercer número secuencial, el ordenador
de Loyola iniciaba el proceso de nuevo
emitiendo el mandato RST, restaurar.
Esto ocurrió veinte veces en rápida
sucesión. ¿Por qué?
Continué buscando a través de los
datos, y entonces vi algo que de entrada
no tenía ningún sentido. Todos los
paquetes de datos que estábamos
analizando eran paquetes que habían
venido de Internet a través de Ariel, que
se hallaba en el armario de cableado
aquí en el Centro de Superordenadores.
Pero ahora, nuestros registros habían
empezado a mostrar un tráfico que
parecía discurrir directamente entre
Osiris y Rimmon, dentro de mi casa.
“Un momento, ¡yo no debería estar
viendo esos paquetes!”, exclamé.
“¿Cómo es que estoy viendo el tráfico
local entre Osiris y Rimmon?”.
Pero de repente me asaltó la
respuesta que había estado buscando
continuamente los últimos tres días. El
ordenador remoto se había aprovechado
del hecho de que Osiris “confiaba” en
Rimmon y había falsificado una
conexión de sentido único con Osiris
que parecía provenir de Rimmon pero
en realidad venía directamente del
intruso.
“Ah, ya entiendo”, dije. Se hizo el
silencio en el recinto, mientras yo
miraba a Andrew. “De modo que es así
como entraron”.
Todos aquellos saludos abortados
cobraban ahora sentido. El atacante
había necesitado poder predecir el
número secuencial que Osiris estaba
enviando con cada SYN-ACK. Un
número secuencial, en este caso, era
simplemente un autentificador, muy
semejante al número que te dan cuando
estás en la cola de la tienda para que
cuando te llegue el turno de dirigirte al
hombre que está detrás del mostrador, él
y todas las demás personas reconozcan
tu derecho a hacerlo. Nuestro intruso
planeó disfrazarse de Rimmon, un
ordenador en el que Osiris confiaba, y
para conseguirlo tenía que poder
responderle a Osiris con el número
secuencial —o sea, el de la cola de la
tienda— que éste esperaba de Rimmon.
Y ahora comprendía por qué el
intruso había enviado aquella primera
tanda de mensajes a Rimmon. Habían
tupido la cola de entrada, amordazando
de hecho a Rimmon para que no pudiese
responder cuando llegara el momento de
presentar su número secuencial. Una vez
atado y amordazado Rimmon, el atacante
había enviado aquella serie de veinte
SYNs a Osiris, para enterarse de la
fórmula mediante la cual Osiris
generaba sus números secuenciales —
cada uno sumaba 128.000 al anterior—
y de esa forma estar listo para deslizarse
en el lugar de Rimmon en la cola de la
tienda y responder con el número
secuencial adecuado. Después, el
intruso dio el número secuencial que
Osiris estaba esperando y lo utilizó para
abrir un canal de comunicaciones.
Andrew se había acercado y estaba
observando la pantalla por encima de mi
hombro. Una vez que hubieron entrado,
¿qué hicieron? Simulando ser Rimmon,
el atacante en el ordenador de Loyola
había enviado el siguiente breve
mensaje a través del canal de sentido
único: “echo ++ >/.rhosts”. Este simple
mandato dio lugar a que el propio Osiris
suprimiera todas sus defensas
posibilitando que cualquiera conectase
con él sin una contraseña. El intruso
había convencido a Osiris de que estaba
abriendo una conversación digital con su
fiable servidor de archivos, Rimmon,
situado en el cuarto contiguo.
Eran ya casi las seis, y Andrew
había vuelto al tablero para escribir la
secuencia. Jay Dombrowski, que estaba
siguiendo parte pero no toda la
cronología creada por nosotros, se
excusó cortésmente para irse a casa a
cenar.
Después de pensar un momento me
di cuenta de que el estilo del ataque me
era familiar. Con un hábil juego de
manos el atacante había logrado que
paquetes provenientes del exterior de
nuestra red pareciesen proceder del
seguro ámbito interno. Era un ataque
“parodiando el IP”, un tipo que había
sido descrito teóricamente en la
literatura de ciencia informática pero,
que yo supiese, nunca había sido llevado
a cabo como operación hostil.
El ataque se basaba en un fallo en el
conjunto de instrucciones para las
comunicaciones técnicas para el tráfico
de Internet, conocido como Protocolo de
Control de Transmisiones/Protocolo
Internet (TCP/IP, sus siglas en inglés),
que habían sido desarrolladas a finales
de los años setenta y principios de los
ochenta. Parodiar el IP, o sea manipular
los números secuenciales de salutación
para hacer pasar un ordenador por otro,
era posible porque los procedimientos
de saludo, creados en una era en la que a
nadie preocupaba mucho la seguridad en
Internet, habían sido diseñados
simplemente para clarificar quién era
quién en la Red, no para verificarlo.
Yo conocía un artículo técnico sobre
los problemas de seguridad en el
TPC/IP, escrito en 1989 por Steve
Bellovin, investigador en seguridad
informática de Laboratorios Bell, en el
que había descrito el procedimiento de
ataque llamado IP-spoofing.[17] Pero el
potencial de usar un IP-spoofing para
hacerse pasar por un ordenador “de
confianza” ya había sido expuesto a la
atención de la comunidad informática
con anterioridad, en un artículo escrito
en 1984 por un estudiante llamado
Robert Tappan Morris mientras estaba
como interno de verano también en
Laboratorios Bell. En la última página
de su informe, Morris había dado una
descripción pormenorizada de cómo
funcionaba ese ataque. Más de diez años
después, el artículo parecía profético:
“Laboratorios Bell posee una creciente
red TCP/IP que conecta máquinas con
diversos requerimientos de seguridad;
tal vez deberían darse pasos para
reducir la vulnerabilidad entre ellas
mismas”.
Con la caída de la noche, la sala 408
se bañó de una fría fluorescencia
mientras nosotros continuábamos
siguiendo el rastro digital del ataque.
Una de las cosas que yo había
descubierto el martes era que tanto en
Ariel como en Osiris, el atacante había
insertado un programa directamente en
la memoria del sistema operativo del
ordenador. El Unix de Sun Microsystem
tiene un elemento estándar que permite
modificar el centro mismo del sistema
operativo estando éste en
funcionamiento, para añadir nuevas
funciones. Estos programas se llaman
“módulos de núcleo” y pueden
colocarse directamente en “ranuras” del
software en el sistema operativo
mientras el ordenador continúa
funcionando. Normalmente se podría
usar uno si se estuviera añadiendo un
periférico al ordenador. El que estaba
en Ariel parecía no ser más que basura,
pero yo había tratado de analizar el que
había encontrado en la memoria de
Osiris y no pude de entrada sacar mucho
en limpio acerca de para qué había sido
diseñado. No obstante, tenía un nombre
ciertamente sugestivo: Tap 2.01.
En el momento me pregunté si era un
p r o gr a ma sniffer o “fisgón”, que
permitiese al atacante supervisar a
continuación el tráfico por mi red,
buscando cosas tales como contraseñas
que pudieran favorecer subsiguientes
intrusiones en mis máquinas o en los
ordenadores de otras personas que se
comunicasen conmigo. Pero ahora veía,
en los rastros de nuestros datos
compactados, lo que había ocurrido.
Tras instalar y hacer funcionar un
programa clandestino en Osiris, el
intruso regresó a través de su puerto de
red secreto, un canal aparte que era
precisamente uno de los que nuestros
registros de paquetes no estaban
controlando, y en consecuencia
perdimos el rastro directo de sus
pulsaciones en el teclado. Pero durante
ese punto ciego en nuestro archivo de
paquetes de registro todavía podíamos
seguir sus actividades, las
consecuencias de tales pulsaciones,
consultando nuestros datos de
investigación sobre dicho periodo de
tiempo.
Vimos que había insertado un
programa de módulo de núcleo llamado
Tap en una ranura del sistema operativo
de Osiris. Casi inmediatamente después
observamos que la actividad del intruso
saltaba de Osiris, en casa, a Ariel, en el
Centro. Si bien Osiris y Rimmon
mantenían una relación de confianza que
les hacía vulnerables a un IP-spoofing,
no la había entre Osiris y Ariel. Iniciar
una sesión de comunicación con Ariel
habría requerido un conjunto de
procedimientos mucho más complicado,
incluyendo una contraseña. El atacante
había necesitado otra estrategia, y ahí
fue donde entró Tap. Como él vio con
finger, la máquina de mi casa tenía ya en
marcha y en pantalla una sesión abierta
con Ariel. Al parecer, ese Tap le había
permitido literalmente apoderarse de
aquella ventana abierta en la pantalla de
Osiris, y usarla para controlar a Ariel.
Tap fue el programa que proporcionó al
ladrón un poder de gran titiritero,
permitiéndole enviar sus pulsaciones a
través del portal tal como si hubiese
estado sentado en mi cama.
Era pasada la medianoche, y
Andrew y yo éramos una vez más los
únicos trabajando a deshoras en la sala
408. Los inactivos terminales de
videoconferencia junto a las ventanas
me dirigían su mirada opaca, y de pronto
recordé cómo dos días antes me había
intrigado la ventana vacía en el
visualizador de Osiris. Ahora estaba
claro: el intruso había violado aquel
portal-pantalla de forma muy semejante
a como un ladrón forzaría una ventana
para introducirse por ella. Y una vez
dentro de Ariel, pudo disponer a gusto
de mi software y mis mensajes de e-
mail, y después llevárselos a quién sabe
dónde en Internet.
6. Mis vacaciones de
Navidad
El artículo continuaba
identificándome por mi nombre y
haciendo referencia a mi charla en la
CMAD. Unos años antes, una historia de
esta clase, en caso de aparecer, lo haría
sepultada en las últimas páginas, pero
ahora Internet se había convertido en
noticia importante.
Aunque el CERT le había dicho a
Markoff que su propio comunicado sería
publicado el lunes por la mañana, el
documento, que hacía referencia a los
ataques y resumía las medidas
defensivas que los responsables de
sistemas informáticos debían tomar, no
circuló hasta las 2:30 de la tarde, hora
del este: casi diecinueve horas después
que la historia del Times difundida por
su servicio cablegráfico. Ese retraso
provocó una general consternación en
muchos encargados de sistemas,
sorprendidos al enterarse de puntos
débiles en la seguridad de Internet por
los medios de comunicación. No
obstante, el hecho de que un asusto
relativamente confuso como el ataque
IP-spoofing fuera de repente un tema de
primera plana tuvo un efecto colateral
beneficioso: habitualmente, las
recomendaciones del CERT van a unos
administradores de sistemas que de
ordinario están demasiado ocupados
para hacerse cargo de los problemas,
pero en este caso fueron los más altos
ejecutivos de las empresas los que se
enteraron de la vulnerabilidad de una
forma entendible por ellos, con lo que
hubo presión de arriba a abajo.
Más tarde descubrí la razón del
retraso del CERT. El grupo había hecho
circular un borrador del comunicado
antes de pronunciarse públicamente
sobre el problema, el cual resultaba
confuso para mucha gente que no podía
entender cómo el ataque IP-spoofing se
diferenciaba de otra clase de problemas
denominados “ataques a la fuente de
distribución”. Estos últimos implican
una vulnerabilidad semejante a la del
ataque IP-spoofing que permite a un
atacante abrir un sendero a través de
Internet para asegurarse que cada
paquete de datos procedente de una
máquina-blanco pase primero por un
ordenador atacante. Al tratarse de una
debilidad tan conocida, muchos
ordenadores distribuidores de tráfico en
Internet ya no permiten ese
procedimiento. De ahí que el CERT
necesitara un tiempo extra para revisar
el comunicado final.
El documento del CERT, que
agradecía a Bellovin, a Cheswick, a mí
y a otras tres personas su contribución a
la comprensión del problema,
comenzaba por una introducción de tres
párrafos:
23 Enero de 1995
ATAQUES CON
MANIPULACIÓN DEL IP
Y CONEXIONES TERMINALES
ATACADAS
xs1% fg
martin: no va 5.67b sendmail
acabo de comprobar
jsz: un momento ahh… eso es
IDA sendmail.
martin: Supongo que no hace el
mismo truco identd.
jsz: no estoy seguro, ejecuto
el mismo sendmail en
netsys
martin: eh ¿es netsys.com un
servicio que vende
cuentas shell como
escape?
2. Deutsche Presse-Agentur,
enero 24 de 1995, martes,
Noticias Internacionales, 614
palabras, EE UU da caza al capo
de los “piratas" informáticos,
Washington
6. Pittsburgh Post-Gazette,
diciembre 20 de 1994, martes,
PRIMERA EDICIÓN, Pg. B1380
palabras, Seis internos
denuncian castigos en la cárcel,
Marylynne Pitz, Post-Gazette
Staff Writer
NIVEL 1 - 2 DE 46 ARTÍCULOS
Copyright 1995 Deutsche Presse-
Agentur
Deutsche Presse-Agentur
SECCIÓN: Noticias
Internacionales
EXTENSIÓN: 614 palabras
TÍTULO: EE UU da caza a
prominente "pirata" informático
PROCEDENCIA: Washington
CONTENIDO:
Las autoridades estadounidenses
pidieron el martes la
colaboración del público para
dar con la pista de un
legendario y experto manipulador
de la superautopista de la
información. Los funcionarios
declararon que Kevin David
Mitnick, 31, originario de
Sepúlveda, California, está
haciendo uso de su destreza como
hacker para ir un paso por
delante de la ley…
Octubre de 1995.
TSUTOMU SHIMOMURA. Es físico
anaista y experto en seguridad de
sistemas. Actualmente es miembro del
Centro de Superordenadores de San
Diego. Ha trabajado como investigador
en el Departamento de Física de la
Universidad de San Diego, en California
y en el Laboratorio Nacional de Los
Álamos en Nuevo México.