A última hora de la tarde del martes Julia y yo abandonamos la conferencia CMAD, y en el camino de regreso a San Francisco nos detuvimos en Fairfax a visitar a un amigo suyo. Continuaba lloviendo, y yo seguía lamentándome por la nieve de las sierras sobre la que no iba a esquiar, pero por el momento me distraía de la idea el hecho de que el mundo a nuestro alrededor se había transformado en un paisaje fantástico envuelto en vapor. Para quien ha crecido en el este, buena parte de California tiene siempre un característico aspecto de árido desierto, excepto en lugares como el condado de Marin, donde, al culminar la estación de las lluvias, el mundo se vuelve de un resplandeciente verde esmeralda.
Durante la hora del trayecto hasta Fairfax estuve pensando en la conversación que había tenido con Tom Longstaff acerca de si el CERT emitiría un boletín sobre el IP-spoofing. ¿A quién creía ayudar esa gente omitiendo pasar ese tipo de información a los encargados de sistemas? De todas formas, lo más probable era que en el curso de un mes los detalles de la violación se hubieran difundido ampliamente por el submundo informático, haciendo inevitables los ataques de los imitadores. Las únicas personas no enteradas serían los responsables de proteger la seguridad de los ordenadores en Internet.
“Es una estupidez”, pensé, aunque al parecer yo no podía hacer nada al respecto. Y hasta cierto punto, no era problema mío. Yo me había presentado ante algunos de los principales expertos en seguridad informática del país para hacer un informe preciso sobre el mecanismo del ataque. Ahora el CERT pretendía obrar sobre CERTezas, actuando con lentitud y cautela, y si yo me sentía frustrado, era debido a una situación desgraciadamente típica.
Tras una comida mexicana en Fairfax, continuamos hacia San Francisco a recoger el coche de Julia, un Mazda descapotable que había estado varios meses aparcado delante de Toad Hall mientras ella hacía trekking en Nepal. Ella me siguió hasta el aeropuerto para deshacernos del Oldsmobile alquilado, y en el camino de regreso el motor del Mazda empezó a hacer un ruido ominoso. Llegamos a duras penas y pasamos la noche en casa de Dan Farmer.
A la mañana siguiente comprobé el aceite, que ni siquiera produjo marca en la varilla, de modo que llevamos despacio el coche a un sitio en Divisadero donde hacen cambios de aceite en el momento. Más tarde supimos que John había prestado el coche a cantidad de gente mientras Julia estaba fuera, y que nadie se había molestado en hacerle el mantenimiento. Ella se puso lívida de rabia. Aunque el Mazda tenía más de 80.000 kilómetros encima, ella siempre lo había cuidado, pero ahora el motor sonaba como si se hubiera estropeado definitivamente.
A partir de ahí el motor sonaba mal pero siguió funcionando, de modo que cargamos las cosas de esquiar y partimos, con la esperanza de superar el tráfico de los viernes de esquí hacia las montañas. En la cabaña, el sendero de acceso estaba cubierto de nieve fresca, y aunque pasamos media hora paleando antes de poder aparcar el coche, yo estaba contento porque finalmente iba a poder esquiar un poco.
Los tres días siguientes fueron de pura liberación, y Julia y yo esquiamos y hablamos, y pasamos las veladas en copiosas cenas junto con Emily.
Pero el martes por la noche recibí un mensaje telefónico de Tom Longstaff. A la mañana siguiente lo llamé y él me dijo que se habían producido nuevos ataques en Internet, utilizando el truco de la manipulación del IP.
“¿Contra qué objetivos?”, pregunté.
“Tsutomo, lo siento, pero ése es un tipo de información que el CERT no divulga. No puedo decírselo”.
“Bien, enfoquémoslo de otra forma. ¿Qué tal si le digo de dónde han procedido los ataques?”. Comprobé mis notas y dije: “Apuesto a que esos nuevos ataques han venido de apollo.it.luc.edu en la Universidad Loyola de Chicago”.
Estaba en lo cierto —coincidía—, y le pregunté cómo había ocurrido.
Como en el caso del portal abierto entre Osiris y Ariel, habían secuestrado la sesión de alguien. Pero en esta ocasión el usuario había estado sentado a su máquina y vio que alguien se había apoderado de su sesión. El responsable de su red, a quien se había alertado de que el ataque estaba en marcha, pudo capturar todos y cada uno de los paquetes de datos del intruso. Esa información le permitió reconstruir el ataque con exactitud.
Le pregunté a Tom si aquel nuevo incidente había hecho que el CERT cambiase de opinión, y si estaban ahora dispuestos a sacar un boletín de advertencia. Él sólo dijo que todavía lo estaban considerando, pero estaba implícito que por fin podría haber munición suficiente con la que actuar.
Después de colgar me puse a pensar en lo que los nuevos ataques podían significar. Parecía claro que el ataque IP-spoofing representaba una grave vulnerabilidad para toda la comunidad de Internet. Había miles de emplazamientos informáticos en los que la confianza entre dos ordenadores de una red local era un hecho conveniente y establecido, y ahora todos ellos estaban en peligro. Yo no podía esperar más tiempo preguntándome cuándo el CERT iba a tomar medidas. Se trataba de algo que la gente debía saber. Pero ¿cómo hacerlo? Me acordé de que John Markoff, del Times, me había pedido que lo llamara cuando me enterase de algo que pudiera constituir una historia interesante. A partir de nuestra primera charla en 1991 a propósito de Adrian, Markoff y yo habíamos intercambiado regularmente información sobre la seguridad informática e Internet. Unos años antes nos habíamos conocido personalmente en una de las conferencias de los hackers y habíamos descubierto que a los dos nos gustaba andar por lugares despoblados, y habíamos hecho juntos un par de largos recorridos en esquí por las zonas rurales. Markoff acabó apoyándose en mis conocimientos técnicos al escribir sobre temas como Internet y la criptografía, y yo encontraba en él una aprovechable fuente de noticias y chismes. Me había dicho que lo que le interesaba no eran las historias de delitos informáticos corrientes sino sólo los casos en los cuales estuvieran implícitas cuestiones más importantes, como el del pirata holandés que operaba fuera del alcance de las leyes estadounidenses. El IP-spoofing, que era una insidiosa debilidad en la estructura básica de Internet, parecía un tema perfectamente adecuado. Me figuré que, aunque el CERT estuviese limitado por sus normas organizativas, yo era libre de hablar acerca de mi intervención en la conferencia. Eran más de cincuenta las personas que habían asistido a mi charla de la CMAD y cualquiera de ellas podía habérsela comentado a un periodista. Daba igual que yo por mi parte llamase a uno.
Localicé a Markoff en su oficina y tras contarle mi intervención en la CMAD, le expliqué brevemente lo del ataque IP-spoofing. Le advertí que el CERT estaba todavía considerando si emitía un comunicado, y que probablemente él debería llamarlos para preguntar cuándo lo iban a publicar. Convinimos en que no le diría a la gente del CERT quién le había hablado de mi informe, aunque era improbable que eso se plantease, puesto que él conocía al menos a media docena de los asistentes a la conferencia.
Dos días después, el jueves 19 de enero, Marty Stansell-Gamm llamó para decir que había dado al FBI instrucciones de ponerse en contacto conmigo. Al día siguiente, Richard Ress, un agente del FBI en Washington, me dejó un largo mensaje preguntando por el ataque a mis sistemas y disculpándose por mis problemas con el Bureau en el pasado. Cuando le devolví la llamada, retomó el hilo a partir del final de su mensaje previo y me soltó un rollo de cinco minutos sobre las dificultades que había encontrado el FBI para afrontar la cuestión de los delitos informáticos y cómo iban a cambiar la forma de tratar el tema. Reconoció que el Bureau se daba cuenta de que no me había prestado atención en el pasado y dijo que ahora querían hacer todo lo posible por colaborar en el futuro. Sonaba estupendamente, pero yo ya había escuchado antes promesas semejantes.
Ese mismo día, más tarde, Andrew habló con Marty y después con Levord Burns, el principal agente operativo del FBI sobre delitos informáticos. Yo había trabajado con Burns en anteriores casos de intrusiones y le consideraba un buen agente de la ley en el puesto equivocado, porque sabía poco de ordenadores y de tecnología. Andrew le había descrito en su llamada los detalles de nuestra situación y luego le había enviado un fax esbozando en términos generales lo que habíamos averiguado.
Durante la semana, Markoff había estado trabajando en su artículo y negociando con el CERT acerca de cuándo se publicaría. Al final, ante el argumento de los funcionarios del CERT de que su publicación en viernes daría a los intrusos un fin de semana completo en el que operar mientras los responsables de las redes estaban alejados de sus respectivos sistemas, Markoff aceptó postergarla.
El sábado salí tarde a esquiar. Oscurecía, y la nieve estaba dura, lo que significaba esquiar muy rápido. Sólo los más rezagados se hallaban aún en las pistas más pendientes del ventisquero de Tahoe Donner, y estuve solo durante la mayor parte del tiempo. Mientras esquiaba se me ocurrió que en la NSA iban a sentirse desconcertados con la publicación del artículo en el Times, porque cualquier publicidad suele resultarles ofensiva. Me detuve brevemente en un refugio y llamé a Becky Bace para ponerla sobre aviso, figurándome que con su talante independiente puede que todo el asunto le resultase divertido. En un campo que se distingue por la ausencia de mujeres, ella se refiere a veces a sí misma como “la madre de la seguridad informática”. A los treinta y nueve años, da la impresión de haber estado en el ambiente tanto tiempo como para constituir una especie de parte integral del mismo y conocer a todo el mundo.
La llamé a su casa y, como había sospechado, le divirtió mucho la perspectiva de que la CMAD recibiese un poco de atención. “Fabuloso” comentó; una oscura reunión académica que jamás despierta el menor interés fuera de una reducida comunidad de intelectuales, militares y gentes de los servicios de inteligencia; y de pronto una ponencia presentada en ella va a ser recogida por el New York Times. En medio de la decreciente luz del anochecer me fui esquiando a casa preguntándome cómo acabarían saliendo las cosas.
El artículo de Markoff, que el Times dio a conocer en su servicio cablegráfico el domingo por la noche, se publicó en lugar destacado en la primera página del periódico el lunes.
RED INFORMÁTICA EXPUESTA A NUEVA AMENAZA
por John Markoff, especial para el
New York Times
SAN FRANCISCO, enero 22 —Una agencia federal de seguridad informática ha descubierto que unos intrusos desconocidos han desarrollado una nueva forma de introducirse clandestinamente en sistemas informáticos, y la agencia planea aconsejar el lunes a los usuarios cómo protegerse ante el problema.
La nueva forma de ataque hace que 20 millones de ordenadores del Gobierno, de empresas, universidades y hogares sean vulnerables al fisgoneo y al robo. Los funcionarios afirman que a menos que los usuarios adopten las complejas medidas que se les indicarán, los intrusos podrían copiar o destruir documentos, e incluso operar sin ser descubiertos haciéndose pasar por un usuario autorizado del sistema.
Para los usuarios de ordenadores, el problema se asemeja al de unos dueños de casa que descubren que los ladrones tienen llaves maestras de todas las puertas de calle del barrio.
El primer ataque empleando la nueva técnica que se conoce tuvo lugar el 25 de diciembre contra el ordenador de un conocido experto en seguridad informática en el Centro de Superordenadores de San Diego. Uno de sus ordenadores estuvo más de un día en manos de un desconocido o desconocidos que robaron electrónicamente un gran número de programas de seguridad que su dueño había desarrollado.
Desde entonces se ha informado de varios ataques, y no hay forma de saber cuántos otros pueden haber ocurrido. Funcionarios del Equipo Informático de Respuesta de Emergencia o CERT, financiado por el Gobierno, manifiestan que los nuevos asaltos constituyen una advertencia de que habrá que adoptar mejores medidas precautorias antes de que el comercio llegue a Internet, una red mundial de ordenadores interconectados que intercambian mensajes, documentos y programas de ordenador electrónicos.
El artículo continuaba identificándome por mi nombre y haciendo referencia a mi charla en la CMAD. Unos años antes, una historia de esta clase, en caso de aparecer, lo haría sepultada en las últimas páginas, pero ahora Internet se había convertido en noticia importante.
Aunque el CERT le había dicho a Markoff que su propio comunicado sería publicado el lunes por la mañana, el documento, que hacía referencia a los ataques y resumía las medidas defensivas que los responsables de sistemas informáticos debían tomar, no circuló hasta las 2:30 de la tarde, hora del este: casi diecinueve horas después que la historia del Times difundida por su servicio cablegráfico. Ese retraso provocó una general consternación en muchos encargados de sistemas, sorprendidos al enterarse de puntos débiles en la seguridad de Internet por los medios de comunicación. No obstante, el hecho de que un asusto relativamente confuso como el ataque IP-spoofing fuera de repente un tema de primera plana tuvo un efecto colateral beneficioso: habitualmente, las recomendaciones del CERT van a unos administradores de sistemas que de ordinario están demasiado ocupados para hacerse cargo de los problemas, pero en este caso fueron los más altos ejecutivos de las empresas los que se enteraron de la vulnerabilidad de una forma entendible por ellos, con lo que hubo presión de arriba a abajo.
Más tarde descubrí la razón del retraso del CERT. El grupo había hecho circular un borrador del comunicado antes de pronunciarse públicamente sobre el problema, el cual resultaba confuso para mucha gente que no podía entender cómo el ataque IP-spoofing se diferenciaba de otra clase de problemas denominados “ataques a la fuente de distribución”. Estos últimos implican una vulnerabilidad semejante a la del ataque IP-spoofing que permite a un atacante abrir un sendero a través de Internet para asegurarse que cada paquete de datos procedente de una máquina-blanco pase primero por un ordenador atacante. Al tratarse de una debilidad tan conocida, muchos ordenadores distribuidores de tráfico en Internet ya no permiten ese procedimiento. De ahí que el CERT necesitara un tiempo extra para revisar el comunicado final.
El documento del CERT, que agradecía a Bellovin, a Cheswick, a mí y a otras tres personas su contribución a la comprensión del problema, comenzaba por una introducción de tres párrafos:
23 Enero de 1995
ATAQUES CON MANIPULACIÓN DEL IP
Y CONEXIONES TERMINALES ATACADAS
El Centro de Coordinación del CERT ha recibido informes de ataques en el que los intrusos crean paquetes con direcciones de fuente IP falsas. Estos ataques sacan partido ilegal de aplicaciones que emplean una verificación basada en direcciones IP. Este abuso conduce al usuario y posiblemente al acceso a la raíz del sistema tomado como blanco. Nótese que este ataque no implica distribución de fuentes. Las soluciones recomendadas se describen en la Sección III del presente documento.
En el actual esquema de ataque, una vez obtenido el acceso raíz, los intrusos pueden modificar dinámicamente el núcleo de un sistema Sun 4.1.X. En este ataque, que es independiente del ataque IP-spoofing, los intrusos emplean una herramienta para hacerse con el control de cualquier terminal abierta o sesión de registro de los usuarios del sistema. Nótese que aunque la herramienta se está utilizando en este momento principalmente con los sistemas SunOS 4.1.x, los elementos de un sistema que posibilitan este ataque no son exclusivos del SunOS.
A medida que recibamos información adicional relacionada con este comunicado, la transmitiremos, y sus archivos README asociados están disponibles en FTP desde info.cert.org. Os aconsejamos revisar regularmente los archivos README para manteneros al día sobre los comunicados que os conciernen.
El día en que apareció el artículo en el Times, el SDSC se inundó de llamadas telefónicas. Cuando Robert Borchers, el director de programas de la Fundación Nacional para la Ciencia para los cinco centros de superordenadores —en otras palabras, el santo patrón del SDSC— llamó para saber qué estaba pasando, la persona que atendió el teléfono no sabía quién era, de modo que lo puso con la encargada de relaciones públicas, que tampoco reconoció el nombre. Borchers fue pasando por una cadena de funcionarios del SDSC que tenían instrucciones de no revelar nada, hasta que por fin consiguió dar con Sid. El hombre no estaba muy contento, pero afortunadamente posee sentido del humor.
A media mañana el SDSC había recibido más de cuarenta llamadas sólo de los medios de comunicación, y yo acabé empleando buena parte del día en mi cabaña contestando a periodistas y personas de la comunidad de Internet ansiosa por saber más sobre el incidente. Hablé por teléfono con Associated Press, Reuters, USA Today, The Wall Street Journal y el Philadelphia Enquirer, y por correo electrónico con la CNN, una cadena de noticias que siempre he admirado porque es difícil sesgar tus declaraciones cuando te están viendo en todas partes del mundo. Me ocupé de esos medios y otros más, y le pedí a Ann Redelfs, la encargada de relaciones públicas, que atendiese al resto. Steve Bellovin, el investigador que había escrito el informe original en el que describía los ataques IP-spoofing, pidió más detalles por correo electrónico. Pero también recibí mensajes de muchos ignorantes fabricantes de productos de seguridad informática que, aunque sin la menor idea de qué era un ataque IP-spoofing, se mostraban completamente seguros de que su hardware o software nos protegería. Es muy fácil proponer soluciones sin saber cuál es el problema.
Por lo que llegó a mis oídos, hubo mucha gente inquieta por la situación entre el personal del Centro, por creer que lo peor del mundo era que una violación de la seguridad apareciese en la primera página del New York Times. Sid también estaba preocupado por la publicidad negativa, pero en general se tomó bien el asunto, y me dijo que lo único que lamentaba era no haberlo notificado antes a Bob Borchers. En cuanto a mí, era una buena noticia que hubiera sido capaz de calcular lo que había ocurrido, en contraste con los numerosos casos en los que probablemente los sistemas habían sido violados sin que sus responsables se enterasen siquiera.
Salí por la tarde a esquiar un poco y a mi regreso Julia y yo resolvimos que con su ayuda —la redacción técnica es una de sus dotes— yo debería escribir algo que describiese detalladamente el ataque en términos técnicos. La cabaña estaba llena de esa luz gris de los atardeceres de mediados del invierno. Afuera nevaba ligeramente, difuminando las luces del telesquí que cruzaba el valle, discernible a través del ventanal del salón. Ninguno de los dos se había molestado en levantarse para encender las pocas luces que había en la cabaña y yo estaba sentado a la mesa del comedor inclinado ante el débil resplandor de la pantalla de mi ordenador portátil.
Mi busca zumbó, lo cual me sorprendió, porque nunca antes había recibido una llamada en la cabaña, y en cualquier caso yo siempre había supuesto que estaba fuera de alcance. Extendí un brazo, lo cogí, y en la penumbra observé atentamente la pantalla.
Los dígitos eran 911911, o sea, el código de emergencia, repetido.
“Es raro”, le dije a Julia, mostrándole la diminuta pantalla. Lo devolví a su lugar. Unos segundos después volvió a zumbar, y nuevamente aparecieron los seis dígitos.
¿Por qué me buscaría alguien con el 911? Nos miramos en la creciente penumbra. Casi nadie tenía mi número de busca, que cambio con frecuencia, pero entre los archivos robados había una “imagen” de sostén de la memoria contenida en mi teléfono móvil, en la cual había un directorio que incluía mi número de busca. ¿Se trataba de otro aviso de la misma persona que me había estado dejando crípticos mensajes? Coloqué el localizador sobre la mesa y lo estuve observando: más o menos cada medio minuto zumbaba como un sonajero sobre la dura superficie durante diez o quince segundos, mostrando cada vez aquella misma inquietante hilera de dígitos, 911911, como si alguien me estuviera advirtiendo que pidiese ayuda. Allí estábamos, en medio de las sierras, en una remota cabaña: si sabían el número de mi busca, ¿qué más conocían?
Llamé a PageNet, la empresa de localizadores a la que estoy suscrito, para decirles que alguien me estaba presionando y pedirles que intentasen rastrear las llamadas telefónicas. Julia y yo observamos que el busca continuaba sacudiéndose sobre la mesa, hasta que finalmente yo estiré la mano y lo apagué. No tenía miedo, sólo la sensación inquietante de que ahora alguien, si quería, podía realmente acosarme.
No empezamos a escribir hasta eso de la diez de la noche, después de cenar, pero hacia las 3:30 de la mañana tuvimos un detallado documento, que me propuse remitir por Usenet. A diferencia del comunicado del CERT, que omitía cuidadosamente mencionar por su nombre a las organizaciones que habían sufrido ataques, yo no iba a cambiar los nombres para proteger a los culpables.
Usenet, que precedió por pocos años a Internet, comenzó como un anárquico sistema de transmisión de mensajes para muchos de los ordenadores del mundo basados en Unix, que originalmente se conectaban principalmente mediante líneas telefónicas regulares y modems. Desde el principio, Usenet se organizó en grupos de noticias donde la gente podía poner y leer mensajes correspondientes al tema elegido por el grupo. Actualmente existen más de doce mil grupos diferentes donde la gente puede discutir sobre todos los temas imaginables. Yo planeaba, cuando estuviese en San Diego, remitir mi informe a tres archivos en los que normalmente se discutían asuntos de seguridad: comp.security.misc, comp.protocols.tcp-ip y alt.security.
El título de mi mensaje fue “Detalles técnicos del ataque descrito por Markoff en el NYT”. Comenzaba: “Saludos desde el lago Tahoe. Parece que hay abundante confusión acerca del ataque IP-spoofing a direcciones y los ataques de copamiento conexos descritos en el artículo de John Markoff en el NYT del 23/1/95 y el comunicado del CERT CA-95:01. Adjunto algunos detalles técnicos extraídos de mi intervención del 1/11/95 en la CMAD 3 en Sonoma, California. Espero que sirva para aclarar cualquier malentendido sobre la naturaleza de dichos ataques”. Seguidamente, el mensaje detallaba paso a paso el ataque, empezando por los sondeos iniciales desde toad.com, el ordenador del sótano de John Gilmore, y terminando por el secuestro de Osiris.
Mientras estábamos trabajando, llamé a Andrew a San Diego. Hablamos sobre su tarea de mejoramiento de nuestro perímetro de seguridad del software y de sus conversaciones con Levord Burns, del FBI, y le conté lo de la aparición de las llamadas con el 911.
Hubo una larga pausa al otro extremo de la línea.
Finalmente, Andrew dijo quedamente: “Tsutomu, he sido yo. Es que te añadí a la lista de alerta de números telefónicos. Hubo un error en el código del router de filtrado que estuve instalando, que hizo que se accionase cuando no debía”. Andrew había estado instalando alarmas en nuestro software defensivo para enviar automáticamente mensajes de busca en caso de intento de intrusión. Los dígitos 911911 eran su inequívoca forma de indicar una emergencia.
En cierto sentido era un alivio conocer el motivo de que mi busca hubiera estado comportándose como un sonajero, pero me sentí exasperado y pensé: “Andrew, por eso mismo yo soy el consejero y tú el alumno”.
El martes por la mañana a primera hora, tras haber dormido unas tres horas, Julia y yo fuimos al aeropuerto de Reno, con un tiempo horrible. Ella cogía el vuelo de la United Express a las 9:35 para San Francisco y yo el de Reno Air a las 11:20 para San Diego. Habíamos disfrutado diez días de trabajo, diversión y mutua compañía, pero ahora tuvimos que despedirnos en su puerta de embarque. Ella regresaba a ver a John, porque le había prometido hacerlo esa mañana. Pero lo hacía sin ganas y me dijo que aunque sentía miedo, sentía también la necesidad de cumplir su compromiso. Yo no tenía idea de cuándo nos volveríamos a ver y estaba preocupado, puesto que la última vez que ella había estado en Toad Hall lo había pasado fatal y le había sido muy difícil irse. A través del gran ventanal acristalado la saludé con un brazo en alto cuando se encaminaba al avión, y me quedé contemplando el aparato mientras éste se desplazaba hacia la pista de despegue.
Después que su vuelo partió fui a reservar el mío y mientras esperaba saqué mi terminal RadioMail, el modem inalámbrico conectado a mi ordenador de bolsillo Hewlett Packard 100 que me permite enviar y recibir correo electrónico en cualquier ciudad importante del país. La unidad estuvo casi una hora absorbiendo la cantidad insólitamente grande de mensajes acumulados. Uno era de una lista de correos en la que estoy para un grupo de mis antiguos condiscípulos de Caltech, y mencionaba que había un artículo sobre un tal Shimomura en la primera página de USA Today. A continuación otro me mandaba una nota que decía: “¿Ése eres tú?”. Yo contesté con otra: “Sí, soy yo, y el que tu nombre aparezca de esa forma en el New York Times es un fastidio cuando ocurre en medio de tus vacaciones de invierno para esquiar”.
Una vez en San Diego intervine en una reunión de los altos cargos de SDSC, y luego estuve respondiendo a más llamadas de periodistas. Andrew, entretanto, se entendía con los de seguridad del campus y había hablado con el FBI para ver si podíamos conseguir una orden para intervenir el teléfono de mi despacho. Nos figurábamos que probablemente el intruso volvería a llamar, y en ese caso queríamos saber desde dónde lo hacía.
El martes por la tarde me di cuenta de que había estado todo el día sentado y resolví que si no podía esquiar, al menos iría a patinar, y me fui a hacer una sesión de 25 kilómetros en torno al lago Miramar, donde un grupo informal de patinadores se reúne cada día al atardecer. Si bien cualquier clase de intimidad de la que yo hubiera disfrutado en el pasado parecía estar desapareciendo, entre aquella panda de dos docenas de patinadores podía conservar mi anonimato.
Esa noche, al llegar a casa, decidí añadir un toque final a mi informe sobre el forzamiento antes de remitirlo por Usenet. Con anterioridad había hecho archivos digitalizados de los mensajes del buzón de voz dejados por mi atacante y ahora los iba a hacer públicos. El SDSC operaba un espacio en Internet que posibilitaba las transferencias ftp de archivos de ordenador. El sitio contenía software gratuito disponible bajo diversos encabezamientos, y yo hice que Andrew pusiera los mensajes del buzón en un directorio al que llamamos pub/security/sounds, en referencia no demasiado velada a categorías de distribución de Usenet de un valor de rescate semejante, como alt.sex.sounds. Él llamó a los dos archivos tweedledee.au y tweedledum.au[22] respectivamente, con “au” indicando archivos de audio para el disfrute auditivo de los descargadores. Yo añadí una nota sobre los archivos en mi informe sobre “Detalles técnicos”, y finalmente lo remití a Usenet a las 4 de la mañana.
Tweedledee.au y Tweedledum.au gozaron de una breve popularidad en los ficheros de audio de Internet. El San José Mercury News creó un enlace de la página WWW con los archivos de su servicio de Internet Mercury Center, y Newsweek incluyó citas de los mismos en su artículo sobre la intrusión. Yo imaginaba que mi atacante, al igual que mucha gente, leía los periódicos y las revistas informativas, y que probablemente estaría muy complacido consigo mismo por la atención que su trabajo estaba recibiendo. Tal vez yo pudiera hacerle morder el anzuelo llamándome otra vez, en cuyo caso tal vez consiguiésemos que cayese en la trampa de nuestro teléfono intervenido.
Había estado jugando al escondite telefónico con David Bank, un periodista del San José Mercury News que cubría el tema de las telecomunicaciones, y finalmente hablé con él por la tarde. Me dijo que tenía dificultades para dar con mi conexión en la red Usenet, de modo que le envié una copia vía correo electrónico y no volví a pensar en el asunto. Varios días después de leer mi informe sobre el ataque toad.com inicial, él llamó a John Gilmore para preguntar sobre ello. John le dijo que efectivamente yo había estado en Toad Hall cuando ocurrió el ataque contra mis máquinas en San Diego. Bank se puso a investigar una hipótesis en la cual, como parte de mi disputa por la financiación con la NSA, yo había violado mis propios ordenadores para generar material para la charla en la CMAD. La premisa era que un falso ataque inventado por mí me daría la oportunidad de hacer gala de mis capacidades ante mis potenciales patrocinadores. La pega en teoría era que todo el mundo sabía que yo era amigo de Julia y John. ¿Por qué iba a ser yo lo bastante estúpido como para fingir un ataque y luego publicar una información que me señalaría casi directamente? Pero Bank, que era un persistente ex cronista policial del Mercury News, empezó a seguir mi rastro incansablemente, llamando a toda clase de personas que pudieran conocerme, en un esfuerzo por probar su hipótesis.
La verdadera pista estaba en otra parte, y poco a poco estaban empezando a aparecer sus primeros indicios. El 17 de enero, estando yo en Truckee, el SDSC recibió un e-mail de Liudvikas Bukys, administrador de sistemas informáticos en la Universidad de Rochester. El último parágrafo de su nota advertía que el Centro podría verse en graves dificultades si aún no se había enterado de las intrusiones, pues los encargados de seguridad en Rochester habían descubierto indicadores apuntando a mi red mientras investigaban un ataque propio. Andrew había hablado con el grupo de Rochester y luego también con el personal de seguridad en la Universidad de Loyola, que había sufrido un ataque similar y siendo igualmente notificada por Rochester.
Me había llamado a Truckee para decirme que sin que se supiera cómo mis archivos habían sido transferidos a un ordenador en la Universidad de Rochester desde Loyola, de forma que los encargados de seguridad de allí pudieran examinarlos. A los responsables de Rochester les preocupaba haber perdido algún código fuente del sistema operativo IRIX de Silicon Graphics durante el ataque sufrido. Sin embargo, cuando los administradores informáticos en Rochester examinaron los archivos robados que habían sido encontrados en Loyola, se dieron cuenta de que eran los míos. Andrew se había desorientado al principio, y por un rato creímos que mis archivos habían sido asimismo ocultados en Rochester por los intrusos, lo cual no era cierto. También nos enteramos de que en el curso del fin de semana alguien más había descubierto que mis archivos fueron a parar a Rochester, posiblemente debido a los artículos que informaron de la intrusión allí. Quienquiera que fuese de nuevo se había introducido en las máquinas de Rochester utilizando el mismo ataque con manipulación del IP, había vuelto a robar archivos y luego los había borrado. El ataque tuvo éxito en Rochester por segunda vez porque, aunque los administradores de la red en la universidad habían configurado el cortafuegos para rechazar tales ataques, desgraciadamente habían cometido un error cuando estaban cambiando el software del router.
El miércoles, Andrew y yo examinamos los archivos que habían sido recuperados de la Universidad de Loyola. Hubo un indicio interesante: el que había ocultado los datos robados en el ordenador de la universidad había recorrido mis archivos para ver qué había cogido. Algo que llamó nuestra atención fue que un retrato digitalizado de Kevin Mitnick había sido sacado de mis archivos comprimidos y almacenados aparte. ¿Por qué, me pregunté en voz alta, de entre todo el material el ladrón había dejado la foto de Mitnick suelta por ahí?
¿Era Mitnick nuestro intruso?
“No creo”, dijimos casi al unísono Andrew y yo: era demasiado obvio. Además, en una incursión contra los ordenadores del SDSC, en marzo, un intruso había plantado información para que pareciese que el ataque había sido perpetrado por otro; por tanto, los dos éramos sumamente cautos para dar demasiada importancia a un indicio tan evidente.
Yo había pensado que la atención de la prensa empezaría a aflojar, pero en cambio continuó aumentando durante la semana. Esa tarde, dos periodistas que preparaban un artículo para los periódicos de Gannett en Rochester, habían escuchado las grabaciones en FTP y me llamaron al SDSC preguntando qué se sentía al recibir una amenaza de muerte. Les dije que no la tomé en serio. El jueves, varias publicaciones enviaron fotógrafos, ocupándome prácticamente el día entero. Añadido al alboroto de la prensa estuvo el hecho de que ese día se inauguraba el nuevo centro atlético universitario vecino del SDSC y Hillary Clinton asistía a la ceremonia, rodeada de periodistas y equipos de filmación. Un fotógrafo de Newsweek se presentó en mi despacho con un abundante equipo fotográfico y cantidad de lentes y filtros especiales, y me dijo que sus jefes le habían ordenado tomar fotos “del estilo de las de Wired”, la revista de San Francisco dedicada a la cultura de la Red, conocida por su atrevido grafismo e ilustraciones.
Hicimos unas fotos en el Centro y luego el fotógrafo sugirió que fuésemos a tomar otras en el parque estatal de Torrey Pines. Pero llegamos cuando acababan de cerrar las puertas, de modo que nos vimos obligados a aparcar fuera, donde él me hizo posar junto a un montón de rocas. Yo había sido fotógrafo en la secundaria, y ahora por primera vez me daba cuenta de cómo era estar del otro lado de la lente: sentirse completamente tonto allí sentado, fingiendo utilizar uno de mis ordenadores portátiles. Un grupo de personas que pasaban se detuvo a mirar. Oí que una preguntaba: “¿Qué están haciendo? ¿Es un anuncio de ordenadores?”. La “foto” publicada puso obviamente en evidencia la idea de arte de vanguardia que tenía el director artístico: una ridícula foto mía en la que yo estaba sentado con mi ordenador portátil sobre las rodillas, y en un recuadro la foto de mi cara que parecía salir de mi propia cabeza.
Esa noche llamó Julia, y aunque las cosas iban pésimamente en Toad Hall, ella parecía mejor. Durante los días anteriores sólo habíamos hablado brevemente, por haber estado yo tan ocupado. Le comenté mis aventuras ante el asalto de los medios de comunicación, y lo tonto que me había sentido haciendo de modelo para los fotógrafos.
“Esta vez las cosas empezaron mal y siguieron peor”, dijo ella. “Me doy cuenta de que lo que está pasando aquí es malo para mí, y de que tengo que tomar determinaciones difíciles”.
Eso era algo que nunca le había escuchado a Julia. Anteriormente ella había tenido miedo de abandonar su entorno conocido.
“Me gustaría estar contigo y sé que eso implica abandonar a John”, dijo en tono quedo. “Pero esto va a ser muy duro, porque llevamos juntos mucho tiempo”.
Todavía no estaba segura de cómo iba a efectuar la ruptura, pero yo estaba alborozado.
“Haré cuanto pueda para ayudarte”, le dije. Nos habíamos echado mutuamente de menos y convinimos en reunimos lo antes posible.
A la siguiente noche me fui a la “patinada” nocturna de los viernes, que se organiza cada semana a las 19.30 en una tienda de bicicletas de Mission Beach. Generalmente son sólo quince o veinte personas: una versión muy reducida de las Midnight Rollers en San Francisco, que suele atraer a más de cuatrocientas y que procuro no perderme cuando estoy en la zona de la Bahía. La carrera de San Diego, un sosegado acontecimiento social llamado el Dinner Roll, recorre normalmente unos 20 kilómetros por un trayecto que acaba en una parte de la ciudad en la que abundan los restaurantes.
A eso de las 21:30 acabábamos de iniciar el trayecto de regreso del circuito cuando sonó el teléfono móvil que llevaba en la mochila. El aparato está dotado de una combinación auricular-micrófono, que me permite conversar y patinar al mismo tiempo, de modo que pude escuchar a Sid diciéndome que había revisado el servicio del New York Times en American Online y había encontrado un adelanto del artículo de Markoff.
“No te va a gustar lo que dice”, me advirtió Sid, que empezó a leerlo, en tono sarcástico: “Fue como si los ladrones, para demostrar su aptitud, hubieran robado el candado. Que es la razón por la cual Tsutomu Shimomura, el guardián de las llaves en este caso, se está tomando el caso como una afrenta personal; y la de que considere una cuestión de honor el descubrir a sus autores”.
Mientras Sid continuaba leyendo, y yo rodando, no pude evitar sonreír ante la prosa melodramática de Markoff: “El señor Shimomura, uno de los más competentes expertos en seguridad informática de este país, es la persona que instó a una agencia informática gubernamental a emitir el lunes un escalofriante aviso. Unos intrusos desconocidos, advertía la agencia, habían empleado una sofisticada técnica de saqueo para robar archivos del bien protegido ordenador del propio señor Shimomura en su casa de San Diego. Y tanto la cautela del ataque como su estilo indicaban que muchos de los millones de ordenadores conectados a la red global Internet podían estar en peligro. Hasta ahora ha habido, que se sepa, otras cuatro víctimas, incluyendo ordenadores en la Universidad Loyola de Chicago, la Universidad de Rochester y la Universidad Drexel en Filadelfia”.
El artículo me citaba en varios momentos, como: “Parece que los mocosos han aprendido a leer manuales técnicos… Alguien debería enseñarles a tener modales”.
Cuando Sid terminó, le dije que el artículo me parecía razonablemente ameno. Pero él estaba disgustado y temía que la consecuencia del artículo fuera convertir al SDSC en un atractivo blanco. “Tsutomu, esto es deliberadamente cáustico y desafiante”, dijo furioso. “Está claro que trata de provocar”.
Durante el camino de regreso estuvimos más de diez minutos hablando del artículo y llegamos a la conclusión de que tendríamos que esperar a ver qué pasaba.
Más tarde, pasada medianoche, bajé a buscar un ejemplar del Times en el Circle K, una tienda de las que abren 24 horas que en coche queda a unos cinco minutos de casa, para ver por mí mismo cuán provocativo era el artículo. Al leerlo, me di cuenta de que Sid tenía razón, pero que seguía siendo ameno.
A la mañana siguiente me levanté bastante temprano porque mi casero pensaba vender la casa y vino con su esposa a hacer una revisión. Era mi primera mañana tranquila desde la aparición de la historia del CERT. La vida parecía retornar finalmente a la normalidad y yo preveía un fin de semana en calma.
Estaba en el salón hablando con mis visitantes cuando llamó Markoff y le dije que le llamaría yo enseguida. Cinco minutos más tarde le telefoneé a la delegación del Times en San Francisco.
“Tengo malas noticias”, empezó diciéndome. “Tus archivos robados han aparecido en la Well”.