—Le estamos siguiendo la pista a alguien que nunca ha utilizado el Unix de Berkeley. Un hereje —susurró, después de aspirar hondo.
A Wayne le importaba un comino el Unix. Como entusiasta del VMS, era un apóstata. Además, estaba convencido de que el hacker no aprendería nada de nuestro fichero de contraseñas.
—Estoy seguro de que nadie logrará descifrar esas contraseñas. Lo único que ha descubierto son nuestros nombres. ¿Por qué preocuparse?
Yo había estado reflexionando sobre el tema. Las contraseñas son el núcleo de la seguridad en un gran ordenador. Los ordenadores personales no las necesitan; tienen un solo usuario. Quien maneje el teclado puede acceder a cualquier programa. Pero cuando diez o veinte personas utilizan el mismo sistema, el ordenador debe asegurarse de que el individuo que utiliza una terminal determinada no es un impostor.
Como si se tratara de una firma electrónica, la contraseña verifica la autenticidad de determinada transacción. Los cajeros automáticos, las tarjetas de crédito telefónico e incluso ciertos contestadores automáticos dependen de determinadas contraseñas. Con el robo o falsificación de contraseñas, un hacker puede crear una fortuna fraudulenta, robar servicios o cubrir cheques sin fondos. Cuando el dinero se guardaba en las cajas fuertes, los atracadores forzaban la combinación de las mismas. Ahora, que la seguridad son simples bits en la memoria de un ordenador, el objetivo de los ladrones son las contraseñas.
Cuando un ordenador tiene cincuenta o cien usuarios, lo más práctico es archivar la contraseña de cada individuo en un fichero. Cuando alguien intenta conectar, el ordenador le pregunta por su contraseña y la compara con la que figura en el fichero. En un ambiente amigable, no hay ningún problema. Pero ¿cómo evitar que alguien le eche una ojeada al fichero de las contraseñas? La solución estriba en proteger dicho fichero de modo que sólo el sistema pueda leerla.
Aun protegiendo el fichero de contraseñas, de vez en cuando todas los archivos se copian en cintas de seguridad. Entonces cualquier programador novato puede leer dichas cintas en otro ordenador y obtener una lista del contenido de los ficheros de contraseñas. No basta con proteger el archivo.
En 1975 Bob Morris y Fred Grampp, de los laboratorios Bell, desarrollaron un sistema de protección de contraseñas, incluso cuando el archivo no estaba en lugar seguro. En lugar de protegerlo, lo que hicieron fue codificarlo. Si uno elige la palabra
«cradle»
, el ordenador no se limita a archivarla en el fichero de contraseñas. Lo que hace el Unix es codificarla, para convertirla por ejemplo en
«pn6yywersyq»
. Lo que se archiva entonces es la palabra codificada, en lugar del texto original.
El fichero de contraseñas de un Unix puede parecerse al siguiente:
Cada nombre va seguido de una contraseña codificada. Como dijo Wayne, robar el fichero de contraseñas sólo sirve para obtener una lista de nombres.
El programa que codifica la palabra «cradle», para convertirla en «pn6yywersyq», está construido sobre una puerta giratoria algorítmica; es decir, un proceso de fácil realización, pero difícil de invertir. Cuando Sally Blatz conecta su terminal, escribe el nombre de su cuenta, Blatz, seguido de su contraseña, «cradle». Entonces el sistema la codifica y la convierte en pn6yywersyq, y la compara con la que está archivada. Si las contraseñas codificadas no coinciden, Sally es expulsada del ordenador. La comparación no se hace con el propio texto, sino con su versión codificada. La seguridad de las contraseñas depende de la función de puerta giratoria.
Las funciones de dicha puerta son trinquetes matemáticos: capaces de girar en un sentido, pero no en el opuesto, codificando velozmente el texto. Para impedir que dichos cerrojos puedan forzarse, ha de ser imposible invertir el algoritmo.
Nuestras puertas giratorias se basaban en el Data Encryption Standard (DES), creado por IBM y la National Security Agency. Circulaban rumores de que los expertos electrónicos de la NSA habían debilitado el DES lo suficiente para que ellos pudieran descifrarlo, pero conservando la dureza necesaria para que resistiera los esfuerzos de los meros mortales. Se decía que de ese modo la NSA podía descifrar el código y leer mensajes sin que nadie más fuera capaz de hacerlo.
El programa criptográfico DES de nuestro ordenador Unix era público. Todo el mundo podía estudiarlo. La NSA había analizado sus virtudes y debilidades, pero sus informes eran secretos. De vez en cuando circulaba el rumor de que alguien había descifrado el código, pero nunca se confirmaba. Hasta que la NSA publicara su análisis del DES, no nos quedaba más remedio que confiar en que nuestra codificación era lo suficientemente segura.
Wayne y yo habíamos visto cómo el hacker irrumpía clandestinamente en el ordenador y se apropiaba de nuestro fichero de contraseñas. Ahora el hacker conocía los nombres de unos centenares de científicos. También podía haber consultado nuestro listín telefónico, en el que por lo menos se incluían las direcciones. A no ser que dispusiera de un superordenador Cray, no lograría invertir la función de puerta giratoria y nuestras contraseñas estarían a salvo.
—Puede que ese individuo haya descubierto alguna forma brillante de invertir la función de puerta giratoria —dijo Wayne, todavía preocupado—. Seamos precavidos y cambiemos nuestras contraseñas importantes.
Yo no tenía nada que objetar. Hacía más de dos años que no se cambiaba el sistema de contraseñas, durante los cuales algunos empleados habían llegado y otros habían sido despedidos. No me importó cambiar mi contraseña; para mayor seguridad, utilicé una contraseña distinta para cada ordenador. Si el hacker lograba descifrar mi contraseña para el ordenador Unix-4, de nada le serviría para los demás ordenadores.
Antes de montar en la bicicleta para regresar a casa, examiné una vez más la impresión de la sesión del día anterior. En aquellas diez páginas de papel impreso había pistas relacionadas con la personalidad, la procedencia y las intenciones del hacker. Pero las contradicciones eran excesivas; por una parte le habíamos localizado en la sucursal de Tymnet en Oakland, California, pero por otra Dave no creía que fuera de Berkeley. Había copiado nuestro fichero de contraseñas, cuando la codificación las convertía en un galimatías indescifrable. ¿Qué estaba haciendo con nuestras contraseñas codificadas?
En cierto modo, aquello era como la astronomía, en la que observamos pasivamente algún fenómeno y a partir de pocas pistas intentamos descifrarlo y averiguar su procedencia. Los astrónomos estamos acostumbrados a acumular pacientemente datos, generalmente muertos de frío detrás de un telescopio, en la cima de una montaña. Aquí los datos aparecían de un modo esporádico y procedencia desconocida. En lugar de termodinámica y óptica, necesitaba comprender la criptografía y los sistemas operativos. De algún modo existía una conexión física entre nuestro sistema y una terminal lejana. Aplicando la física común, debería ser posible comprender lo que ocurría.
La física: he ahí la clave. Anotar nuestras observaciones. Aplicar los principios físicos. Especular, pero confiar sólo en las conclusiones demostradas. De la única forma en que lograría progresar sería planteándomelo como un problema elemental de física. Había llegado el momento de actualizar mi cuaderno.
A la hora precisa, el miércoles día 10 de setiembre, a las 7.51 de la mañana, el hacker apareció en nuestro sistema durante seis minutos. Tiempo suficiente para que sonara la alarma en mi terminal, pero no para hacer algo al respecto. Aquella noche la había pasado en casa.
—Cinco días en el laboratorio es suficiente —me dijo Martha.
No estaba en mi despacho para observarlo, pero la impresora había conservado tres páginas con las huellas del hacker. Había conectado con nuestro ordenador Unix-4 como Sventek. Parecía perfectamente comprensible, conocía la clave de Sventek y había entrado a través de Tymnet.
Pero en lugar que permanecer en el Unix-4, se había limitado a utilizarlo como puente para pasar al Milnet. La existencia del Milnet no es ningún secreto; forma parte de Internet, una red informática conectada a otro centenar de redes. Desde nuestro ordenador Unix podemos llegar a Internet y de allí al Milnet.
El Milnet forma parte del Departamento de Defensa.
El hacker conectó con la dirección de Milnet 26.0.0.113, se introdujo como
«Hunter»
, comprobó que disponía de una copia de Gnu-Emacs y desapareció.
Cuando llegué al despacho a eso de las doce del mediodía, no quedaba ninguna pista para seguir río arriba. Sin embargo, el hacker había dejado una pista indeleble en el sentido de la corriente. ¿Dónde se encontraba aquella dirección de Milnet? El centro de información de la red me la decodificó: Almacén del ejército de Estados Unidos en Anniston, Alabama, sede del complejo de misiles Redstone del ejército, a 3200 kilómetros de Berkeley.
En un par de minutos había conectado con una base del ejército mediante nuestro laboratorio. La impresión de sus movimientos dejaba poco lugar a dudas, en cuanto a que se trataba del hacker. Nadie, aparte de él, habría utilizado la cuenta de Sventek. ¿Y a quién se le habría ocurrido verificar la brecha de seguridad en el Gnu-Emacs en un ordenador de Alabama?
Puesto que no había nadie para impedírmelo, llamé al servicio de información de Anniston. Previsiblemente, había un centro de informática en el almacén del ejército y por fin logré hablar con Chuck McNatt, experto del Unix en Anniston.
—Hola, Chuck. Tú no me conoces, pero creo que hemos descubierto a alguien que merodeaba por tu ordenador.
—¿Quién eres? ¿Cómo sé que no eres tú quien intenta introducirse clandestinamente?
Después de unos minutos de desconfianza, me pidió el número de teléfono, colgó y me llamó. Está claro que no confiaba en los desconocidos. ¿O habría preferido llamarme por una línea de seguridad?
—Malas noticias —le dije—. Creo que he visto a alguien introduciéndose clandestinamente en tu sistema.
—¡Maldita sea! ¿Se trataba de ese cabrón de Hunter?
—Eso es. ¿Cómo lo sabes?
—No es la primera vez que asoma el culo.
Chuck McNatt me explicó, con su fuerte acento de Alabama, que el arsenal de misiles Redstone del ejército tenía su inventario archivado en un par de ordenadores Unix y que, a fin de procesar sus pedidos con rapidez, los habían conectado al ordenador de Chuck en el depósito de Anniston. La mayor parte de su tráfico lo constituía la actualización de noticias y eran pocos los que conectaban desde lugares remotos.
El sábado por la mañana, para huir del calor veraniego, Chuck había ido a su oficina y comprobado los usuarios en su sistema. Alguien llamado Hunter estaba utilizando una cantidad desmesurada de tiempo en el ordenador. Sorprendido por la presencia de alguien un sábado por la mañana, Chuck había mandado un mensaje a la pantalla de Hunter, diciéndole: «¡Hola! ¡Identifícate!»
El misterioso Hunter le había contestado: «¿Quién crees que soy?»
Chuck, que no pecaba de ingenuo, le había respondido: «¡Identifícate inmediatamente o te excluiré del sistema!»
A lo que Hunter respondió: «No puedo contestarte.»
—De modo que le eché de la máquina —dijo Chuck—. Llamamos al FBI, pero no les importó un comino. Entonces convencimos al CID para que localizara todas las llamadas a nuestras líneas telefónicas.
—¿Qué es el
CID
?
5
¿El departamento de inspección de castañas?
—No digas bobadas —protestó Chuck—. El CID es la policía militar. La división de investigación criminal. Pero no están haciendo gran cosa.
—Claro, no debéis haber perdido ninguna información reservada.
El FBI en Montgomery, Alabama, le contó a Chuck más o menos lo mismo que me habían contado a mí los de Oakland. Se pondrían a investigar cuando desapareciera un millón de dólares. Hasta entonces no querían que se los molestara. Los delitos informáticos carecían de atractivo sexual.
—Lo más curioso —prosiguió Chuck— es que he sorprendido a Hunter husmeando por mi ordenador en otras dos o tres ocasiones, pero en las grabadoras de las líneas telefónicas no había rastro de él.
—Apuesto a que sé por qué. Se ha estado colando por la puerta trasera. Vuestra conexión con Milnet. Un hacker se ha estado introduciendo en nuestro sistema y ha llegado a tu ordenador esta mañana.
Chuck echó una maldición, se había perdido los tres minutos de conexión. Había puesto trampas en todas sus líneas telefónicas, pero no se le había ocurrido vigilar sus conexiones con la red.
—Estamos intentando averiguar quién irrumpe clandestinamente en nuestro sistema —le dije—. Sospechamos que se trata de un estudiante aquí en Berkeley y estamos decididos a localizarle. Los primeros indicios apuntan a Oakland o Berkeley.
—Sé cómo te sientes. Aquí también todos sospechamos que se trata de un estudiante —respondió Chuck—. Pensamos en aislarnos, pero hemos decidido ir por él. Prefiero verle entre rejas que entre terminales.
Por primera vez me preocupó la seguridad de aquel hacker. Si el ejército le atrapaba, pasaría un mal rato.
—Oye, Chuck: estoy seguro de que esto te hará gracia. Apuesto a que ese individuo se ha convertido en superusuario en vuestro sistema.
—No. Puede que haya robado una cuenta, pero no lograría en modo alguno convertirse en superusuario. Esto es una base militar y no una universidad de pacotilla.
—He visto que se interesaba por vuestro archivo Gnu-Emacs —le dije, haciendo caso omiso de su indirecta referida a Berkeley.
—¿Y qué?
—¿Estás familiarizado con el sistema de reproducción de los cucos? —agregué, explicándole a continuación el funcionamiento de la brecha de seguridad del Gnu-Emacs.
Chuck se llevó un buen susto.
—¿Quieres decir que hemos tenido esa brecha desde que White Sands nos mandó ese archivo Gnu? —silbó Chuck—. Me pregunto desde cuándo merodea por nuestro sistema.
Comprendía perfectamente la gravedad de la brecha y sus consecuencias. El hacker se había dedicado a obtener listados en el sistema de Anniston y, a juzgar por la fecha del archivo, merodeaba por sus ordenadores desde principios de junio. Durante cuatro meses un administrador de sistema clandestino había utilizado un ordenador del ejército en Alabama. Y no había sido una bomba lógica ni la pérdida de información lo que había permitido que se le descubriera, sino un mero accidente.