ataque fuerza bruta
Este fin de semana estuvimos de celebración: se cumplían 25 años desde que se hablaba públicamente del primer malware informático. El famoso gusano Morris, creado por un estudiante de la Universidad de Cornell, infectó al 10% de los equipos conectados, por aquel entonces, a Internet. Para ser más específicos, infectó a seis mil de sesenta mil ordenadores; una cantidad pequeña hoy en día. No obstante, este caso “prehistórico” combinaba ataques DDoS, fuerza bruta, exploits y otras tecnologías utilizadas en el malware moderno. Además, terminó en la primera condena en EE.UU por la violación de la Ley de Fraude y Abuso Informático.
Gracias a YouTube, podemos saber cómo recogieron los medios televisivos la noticia allá en 1986…
… Ahora la historia desde el punto de vista de la seguridad.
Por aquel entonces, un universitario llamado Robert Tappan Morris decidió medir el tamaño de Internet. Para realizar esta tarea, creó un programa bastante complicado capaz de replicarse a lo largo de la red y evitar que terceros lo eliminasen. Como habréis comprobado, ésta es una de las características principales de cualquier gusano. Este malware en concreto no fue creado para producir daño alguno. Sin embargo, un error de programación hizo que se multiplicaran las infecciones desde un ordenador único sobrecargando al servidor. ¿No os suena al típico ataque DDoS?
Para difundirse en Internet, el gusano usaba la misma tecnología que su futuro bisnieto: explotar las vulnerabilidades. En el caso de Morris, se aprovechaban tres vulnerabilidades diferentes. Los bugs de Finger y la implementación de Sendmail en los sistemas Unix permitían ejecutar el código de forma remota. Se necesitaba utilizar rsh para el usuario y contraseña, pero el gusano Morris utilizaba ataques de fuerza bruta para averiguar las credenciales. Con tan solo 400 palabras del diccionario, se consiguieron grandes resultados. Además se utilizaron otros trucos como probar el mismo nombre para el usuario y la contraseña o escribir la clave al revés. Todavía existen muchos usuarios que no son conscientes de lo importante que son las contraseñas robustas; hace dos décadas, incluso los administradores de sistemas no eran conscientes de ello.
Una vez se había introducido en el equipo, el gusano cambiaba el nombre del proceso, eliminaba los archivos temporales y tomaba otras precauciones para evitar que lo descubrieran (por ejemplo, cifrando sus datos en la memoria). Una de las primeras cosas que hacía era comprobar si el ordenador ya había sido infectado. Cuando se descubría otra copia, se “lanzaban los dados” para decidir cuál eliminar. Tal vez era un error de Morris o simplemente una medida para contrarrestar las vacunas. No obstante, una de las siete copias dejaba de jugar a la “ruleta rusa” y continuaba sus operaciones sin importarle el resto. Esto era lo que provocaba el efecto DDoS. Un coeficiente de 1/7 era demasiado alto y muchos ordenadores se infectaron docenas de veces.
A pesar de no estar preparados, técnicamente y conceptualmente, para este gusano; los administradores de sistemas estadounidenses actuaron rápidamente. Se establecieron dos grupos de trabajo en el MIT y la Universidad de Berkley; y en tan solo dos días encontraron y solucionaron las vulnerabilidades que utilizaba el gusano. Éste fue, en líneas generales, el fin de Morris. No obstante, se estima que el coste total de estas operaciones de limpieza rondaron entre los cien mil y diez millones de dólares.
Es curioso como el esfuerzo de Morris por pasar desapercibido obtuvo sus frutos. La persona que cambió esto fue su padre, Robert Morris, coautor de UNIX y científico jefe del Centro Nacional de Seguridad Informática de la NSA; convenciendo al joven para que confesara. Los tribunales tuvieron esto en cuenta y solo le condenaron a 3 años de libertad condicional, una multa de diez mil dólares y 400 horas de servicio a la comunidad. Esta lección le fue de gran utilidad a Morris, quien se convirtió en un miembro respetado de la sociedad informática. Entre sus logros se encuentra la creación de una de las primeras plataformas de e-commerce, Viaweb (que vendió, posteriormente, a Yahoo y se renombró como Yahoo Store); la creación de la startup Y Combinator; la participación en el desarrollo de un lenguaje de programación nuevo y una profesión como profesor del MIT.
Consejos