Capacitación y adiestramiento
7.3 Metodología en la capacitación
New York Times Digital (AS21568) NYTD 21568 NEW YORK TIMES COMPANY NEW-YORK84-79 (NET-12-
160-79-0-1)
12.160.79.0 - 12.160.79.255
New York Times SBC068121080232040219 (NET-68- 121-80-232-1)
68.121.80.232 - 68.121.80.239
New York Times Digital PNAP-NYM-NYT-RM-01 (NET- 64-94-185-0-
1) 64.94.185.0 - 64.94.185.255
Los grupos de cuatro números separados por puntos son las direcciones IP, que equivalen, en Internet, a las direcciones de correo compuestas por el número de la casa, la calle, la ciudad y la provincia. Un listado que muestre un rango de direcciones (por ejemplo, 12.160.79.0 -
138 EL ARTE DE LA INTRUSIÓN © RAMA
.A continuación, realizó una búsqueda de puertos en una serie de direcciones que pertenecían al New York Times y se relajó mientras el programa hacía un barrido por todas las direcciones buscando puertos abiertos, con la esperanza de identificar algunos sistemas interesantes en los que pudiera entrar. Así fue. Examinando algunos puertos abiertos, encontró que, también en este caso, había varios sistemas con servidores
proxy abiertos mal configurados, gracias a lo cual él pudo conectarse a
los ordenadores de la red interna de la compañía.
Consultó el servidor de nombres de dominio (DNS) del periódico, esperando encontrar una dirección IP que no fuera de un proveedor externo, sino que fuera una dirección interna del Times. No tuvo suerte. Entonces intentó extraer todos los registros de DNS del dominio nytimes.com. Después de fracasar también en este intento, volvió al sitio Web y en esta ocasión tuvo más suerte: encontró un lugar en la Web que ofrecía al público una lista de las direcciones de correo electrónico de todo el personal del Times que se había prestado a recibir mensajes del público.
En cuestión de minutos, recibió un mensaje de correo electrónico del periódico. No era la lista de direcciones de los periodistas lo que él había pedido, pero le fue útil de todos modos. La cabecera del correo revelaba que el mensaje procedía de la red interna de la compañía e incluía una dirección IP que no estaba publicada. "La gente no se da cuenta de que incluso un correo electrónico puede desvelar información", señala Adrián.
La dirección IP interna le dio un posible punto de partida. El siguiente paso de Adrián fue comenzar a repasar los proxies abiertos que había encontrado, explorando manualmente las direcciones IP dentro del mismo segmento de la red. Para aclarar el proceso, digamos que la dirección era 68.121.90.23. Mientras la mayoría de los atacantes que hicieran esto explorarían el rango de direcciones en el que se encuentra esta dirección comenzando por 68.121.90.1 y aumentando los números hasta 68.121.90.254, Adrián intentó ponerse en la posición de la persona del departamento de informática de la empresa que configuró la red para averiguar cuál sería la tendencia natural de la persona para elegir los números redondos. Habitualmente, comenzaba con los números bajos, del .1 al .10, y a partir de ahí avanzaba de 10 en 10, es decir, .20, .30, etc.
) RA-MA EL ROBÍN HOOD HACKER 139
No parecía que el esfuerzo tuviera mucho fruto. Encontró algunos servidores Web internos, pero ninguno prolijo en información. Finalmente, se cruzó con un servidor que albergaba un sitio de Intranet del Times antiguo y que había dejado de utilizarse, que quizás retiraron del servicio cuando creó un sitio nuevo, y que había quedado en el olvido desde entonces. Le pareció interesante, leyó el contenido y descubrió un vínculo que supuestamente conducía a un antiguo sitio de producción ya desactivado, en lugar de llevarle a una máquina activa de producción.
Para Adrián, fue el Santo Grial. La situación aún mejoró más cuando descubrió que la máquina almacenaba material de formación para enseñar a los empleados cómo utilizar el sistema, como si un estudiante ojeara una guía de lectura de Grandes esperanzas de Dickens, en lugar de leer la novela completa y trabajar por sí mismo los puntos de interés.
Adrián, hasta ese momento, había penetrado en muchos sitios para sentir alguna emoción por el triunfo, pero estaba realizando más progresos de lo que había imaginado. Y estaba a punto de llegar más lejos. Pronto descubrió un motor de búsqueda integrado que los empleados podían utilizar para moverse por el sitio Web. "A menudo, los administradores del sistema no los configuran correctamente y permiten hacer búsquedas que deberían estar prohibidas", dice Adrián.
Y en este caso fue así, ese fallo le dio a Adrián lo que él llama el "golpe de gracia". Algunos administradores de sistemas del Times habían colocado una utilidad en uno de los directorios que permitían hacer lo que se llama una consulta SQL de formato libre. El Lenguaje Estructurado de Consulta, o SQL, es un lenguaje de escrituras de scripts utilizado en la mayoría de las bases de datos. En este caso, apareció un cuadro de diálogo y permitió a Adrián introducir comandos de SQL sin autentificación, lo que suponía que podía buscar prácticamente en cualquier base de datos del sistema y extraer o modificar la información a su voluntad.
Adrián advirtió que el dispositivo en el que se albergaban los servidores de correo ejecutaba el software Lotus Notes. Los hackers saben que las versiones más antiguas de Notes permiten a los usuarios explorar todas las demás bases de datos de ese sistema, y esta parte de la red del Times tenía una versión antigua. La base de datos de Lotus Notes
140 EL ARTE DE LA INTRUSIÓN © RAMA
con la que se había encontrado Adrián le dio una "alegría enorme" porque contenía a todo el mundo, hasta cada uno de los propietarios de los kioscos, las cantidades que ingresaban y sus números de la seguridad social. También había información sobre suscriptores, así como el nombre de todo aquél que había alguna vez escrito una reclamación sobre el servicio o que había formulado alguna pregunta".
Guando se le preguntó a Adrián qué sistema operativo utilizaba el
Times, Adrián contestó que no lo sabía. "Yo no analizo una red de esa
forma", explica.
No me interesa la tecnología, sino la gente y cómo configuran las redes. La mayoría de la gente es muy predecible. A menudo me encuentro con que la gente construye redes de la misma forma, una y otra vez. Muchos sitios de comercio electrónico cometen este error. Dan por sentado que la gente realizará las entradas de la forma correcta. Nadie prevé que el usuario se saldrá de lo establecido.
A causa de esta previsibilidad, un atacante experimentado puede realizar un pedido en un sitio Web online, seguir el proceso de compra hasta el punto en que se verifican los datos y después volver atrás para cambiar los datos de la facturación. El atacante recibe los productos y el importe se carga en alguna otra tarjeta de crédito. (Aunque Adrián explicó el procedimiento con todos los detalles, nos pidió expresamente que no diéramos una descripción suficiente que permitiera a otros llevarlo a cabo.)
Adrián defiende la idea de que, por lo general, los administradores de sistemas no piensan con la cabeza de un atacante y eso hace el trabajo del atacante mucho más fácil de lo que debería ser. Y eso es lo que explica su éxito en el siguiente paso de la intrusión en la red informática del Times. El motor de búsqueda interna no debería poder indexar todo el sitio, pero lo hizo. Encontró un programa que presentaba un formato SQL que le facilitó el control de las bases de datos, incluida la posibilidad de introducir consultas para extraer información. Entonces necesitaba averiguar los nombres de las bases de datos de ese sistema, buscando las que parecieran interesantes. De este modo encontró una base de datos de enorme interés: contenía una tabla de toda la lista de
© R A - M A EL ROBÍN HOOD HACKER 1411|
nombres de usuario y contraseñas de lo que parecía ser la plantilla completa del New York Times.
Resultó que la mayoría de las contraseñas eran los últimos cuatro dígitos del número de la seguridad social del usuario. Y la compañía no se molestó en utilizar contraseñas diferentes para áreas que contuvieran información especialmente delicada, sino que la misma contraseña de empleado funcionaba en todos los puntos del sistema. Y por lo que sabe, Adrián afirma que las contraseñas del Times no son más seguras ahora de lo que eran cuando él penetró.
Desde allí, podría volver a registrarme en la intranet y acceder a información adicional. Podría acceder a la redacción y registrarme como si fuera el director de noticias, utilizando su contraseña.
Encontró un listado de bases de datos en el que se incluía todas las personas detenidas en Estados Unidos acusadas de terrorismo, incluidos nombres que todavía no se habían sacado a la luz. Continuando con su búsqueda, localizó una base de datos de todas las personas que habían escrito un artículo de opinión para el Times. En total ascendía a miles de colaboradores y la revelación de sus direcciones, números de teléfono y números de la seguridad social. Buscó "Kennedy" y encontró varias páginas de información. La base de datos incluía información de famosos y personajes públicos que abarcaban desde profesores de Harvard, hasta Robert Redford y ,Rush Limbaugh.
Adrián añadió su propio nombre y teléfono móvil (basado en un código de área del norte de California, el número es "505-HACK"). Obviamente contando con que el periódico nunca se diera cuenta de que el listado había sido colocado allí y, aparentemente, con la esperanza de tomarle el pelo a algún periodista o redactor de artículos de opinión. En los campos de experiencia escribió "hacking informático/inteligencia de seguridad y comunicaciones".
De acuerdo que fue inapropiado, quizás, inexcusable. Aún así, en mi opinión, la acción no sólo fue inocua, sino además, divertida. Todavía me sonrío cuando pienso en Adrián recibiendo una llamada: "¿Con el Sr. Lamo? Hola. Soy tal y cual, del New York Times". Y, a continuación, lo
142 EL ARTE DE LA INTRUSIÓN RAMA
citan en un artículo o, quizás, incluso le piden que escriba 600 palabras sobre el estado de la seguridad informática o algún otro tema que aparezca al día siguiente en la página de editoriales del periódico más influyente de Estados Unidos.
La saga de Adrián con el New York Times no acaba aquí; el resto no es divertido. No era necesario, no era propio de Adrián y lo metió en problemas serios. Después de alterar los listados de la base de datos de la página de opinión, descubrió que tenía acceso a la suscripción del Times a LexisNexis, un servicio online que cobra a los usuarios por acceder a información legal y noticias.
Supuestamente abrió cinco cuentas diferentes y realizó un número muy grande de búsquedas, 3000 según el gobierno.
Después de tres meses de navegar por LexisNexis y sin que el
New York Times percibiera que sus cuentas habían sido secuestradas,
Adrián finalmente volvió al papel de Robin Hood que había caracterizado sus ataques anteriores a otras compañías. Se puso en contacto con un conocido periodista en el contexto de Internet (igual que yo, un ex
hacker) y le explicó la vulnerabilidad que había explotado para acceder al
sistema informático del New York Times, pero lo hizo después de haber pactado que el periodista no publicaría ninguna información sobre la intrusión hasta que él hubiera avisado primero al Times y éste hubiera solucionado el problema.
El periodista me dijo que cuando se puso en contacto con el
Times, la conversación no fue exactamente como él y Adrián habían
imaginado. La gente del Times, dijo, no estaba en absoluto interesada en lo que tuviera que contarles, no querían la información que le ofrecía, no le interesaba hablar directamente con Adrián para conocer los detalles y que se ocuparían ellos mismos del asunto. La gente del Times ni siquiera quiso saber cuál había sido el método de acceso y, finalmente, después de que el periodista insistiera, accedió a anotar los detalles.
El periódico verificó la vulnerabilidad y en 48 horas ya había cerrado el agujero, dice Adrián. Pero los ejecutivos del Times no se mostraron lo que se dice agradecidos de que les hubieran llamado la atención sobre un problema de seguridad. El ataque anterior de Hacking
© RA-MA EL ROBÍN HOOD HACKER 143
for Girlies había tenido mucha publicidad y, sin lugar a dudas, la vergüenza aún fue mayor porque nunca pillaron a los responsables. (Y no piensen que yo tuve algo que ver con el ataque, porque en aquel momento, yo estaba detenido a la espera de mi juicio.) No nos equivocaríamos si dijéramos que debieron de poner mucha presión en la plantilla del departamento de informática para que no volvieran a ser víctimas de una intrusión. De modo que la exploración de Adrián por su red informática pudo haber herido el ego de algunas personas y manchado su reputación, lo que explicaría la actitud intransigente del periódico cuando supo que el chico se había estado aprovechando de su generosidad no deliberada durante meses.
Quizás el Times habría estado dispuesto a mostrar agradecimiento porque le dieran tiempo suficiente para cerrar el agujero en su sistema informático antes de que la noticia apareciera impresa. Quizás fue al descubrir que se había estado utilizando el servicio LexisNexis cuando decidieron cerrarse en banda. Fuera cual fuera la razón, los altos cargos del Times dieron el paso que ninguna de las víctimas anteriores de Adrián había dado jamás: llamaron al FBI.
Varios meses después, Adrián supo que el FBI lo estaba buscando y desapareció. Los federales comenzaron a visitar a su familia, amigos y conocidos, apretando las tuercas e intentando averiguar si había informado a alguno de sus contactos periodistas de su paradero. A continuación presentaron órdenes de comparecencia a varios periodistas con los que Adrián había compartido información. Uno de ellos escribió: "El juego se volvió serio, de repente".
Adrián se entregó después de sólo cinco días. Para hacerlo, eligió uno de los lugares desde los que más le gustaba explorar: un establecimiento de la cadena Starbucks.
Una vez pasada la tormenta, una nota de prensa de la oficina del Fiscal de Estados Unidos del Distrito Sur de Nueva York declaraba que los "gastos ocasionados" por Adrián durante la intrusión en el New York
Times "ascendían a [cita textual] aproximadamente 300.000 dólares".
144 EL ARTE DE LA INTRUSIÓN RAMA
búsquedas en LexisNexis realizadas por las cuentas del New York Times durante sus aventuras desde el sitio Web.1 3
Parece ser que el gobierno hizo sus cálculos en función del gasto que habría supuesto para el lector o para mí, es decir, cualquiera que no sea suscriptor de LexisNexis, hacer una búsqueda individual y de pago instantáneo, una tarifa que se incrementa hasta 12 dólares por una sola consulta. Incluso calculándolo de esa forma tan mínimamente razonable, Adrián tendría que haber hecho unas 270 búsquedas cada día durante tres meses para alcanzar una cifra total como ésa. Y dado q u e; las
organizaciones grandes como el Times pagan una tarifa mensual por acceso ilimitado a LexisNexis, es muy probable que nunca pagaran un penique adicional por las búsquedas de Adrián.
De acuerdo con Adrián, el episodio del New York Times fue una excepción en su carrera profesional como hacker. Afirma haber recibido el agradecimiento de Excite@Home y MCI WorldCom (ésta última quedó mucho más agradecida después de haber confirmado que efectivamente Adrián habría podido transferir cientos de depósitos directos de los empleados a una cuenta que él controlara). Adrián no parece amargado, sino simplemente realista cuando dice que "El New
York Times fue el único que quiso verme procesado".
Para complicarle más las cosas, el gobierno indujo, aparentemente, a varias de las víctimas anteriores de Adrián a presentar reclamaciones por los daños que sufrieron, incluidas incluso algunas compañías que habían agradecido al chico la información facilitada. Aunque quizás esta reacción no sorprenda: una petición de ayuda de parte del FBI o del fiscal federal no es algo que la mayoría de las empresas optarían por ignorar, aunque en ese momento tengan una visión diferente del tema.
RA-MA EL ROBÍN HOOD HACKER 145