El huevo del cuco (45 page)
Esto era grave. Significaba que cada vez que le había visto copiar un archivo de contraseñas, era capaz de descubrir la contraseña legítima de cada usuario. ¡Malas noticias! Consulté mi cuaderno. Había copiado el archivo de contraseñas de nuestro Unix, del sistema de Anniston y de los sistemas de comandancia de la armada. Me preguntaba si habría regresado a dichos ordenadores.
¡Diablos! Había demostrado que descifraba contraseñas en su ordenador. Hay unas cien mil palabras en el diccionario inglés y habían transcurrido aproximadamente tres semanas desde que copió mi archivo de contraseñas. En el supuesto de que su descifrador operara permanentemente durante tres semanas, ¿habría podido averiguar la contraseña de Marv?
En cualquier ordenador Vax se tarda aproximadamente un segundo en codificar una palabra. Por consiguiente, cien mil palabras tardarían más o menos un día. En un PC IBM, tal vez un mes. Un superordenador Cray puede que lo resolviera en una hora.
Pero Marv opinaba que aquel individuo había tardado menos de tres semanas, lo que significaba que no utilizaba un pequeño ordenador doméstico. Debía de utilizar su programa descifrador en un Vax o en un Sun. Pero no debía dar excesivo crédito a mi conclusión. Era posible que el hacker hubiera resuelto el problema con mayor rapidez y esperado unos días antes de utilizar la contraseña de Marv.
No obstante me felicité a mí mismo. Por el hecho de darme cuenta de que descifraba contraseñas, sabía el tipo de ordenador que utilizaba. Trabajo de detective por control remoto.
Esto explicaba por qué copiaba siempre los archivos de contraseñas; las descifraba en Alemania.
Una sola contraseña descubierta suponía ya un peligro. Ahora, si anulaba la cuenta de Sventek, entraría por cualquier otra cuenta. Menos mal que no le había cerrado la puerta. Mis contraseñas, que yo creía a prueba de balas, habían resultado estar repletas de orificios.
La decodificación de contraseñas era algo nuevo para mí, pero supuse que no para los expertos. ¿Cuál sería su opinión al respecto? Decidí llamar a Bob Morris, el jefazo de la NSA que había inventado el sistema de codificación Unix.
—Creo que el hacker descifra mis contraseñas —le dije a Bob.
—¿Cómo? —exclamó, claramente interesado—. ¿Utiliza un diccionario o ha llegado a invertir el algoritmo de codificación de datos?
—Creo que utiliza un diccionario.
—¡Vaya gracia! Yo tengo tres programas para la decodificación de contraseñas. Uno de ellos pre informatiza las contraseñas y, por tanto, funciona unas doscientas veces más rápido. ¿Quieres que te mande una copia?
¡Diablos, me ofrecía una copia de un programa decodificador de contraseñas!
—Pues..., creo que no —respondí—. Pero si alguna vez necesito descifrar alguna contraseña, te llamaré. A propósito, ¿desde cuándo se sabe cómo descifrar contraseñas?
—¿Por fuerza bruta? Quizá cinco o diez años. Es un juego de niños.
¿Descifrar contraseñas un juego de niños? ¿Con qué tipo de individuo estaba hablando?
—Intentar adivinar no sirve de nada cuando se eligen unas buenas contraseñas —prosiguió Bob—. Lo que verdaderamente nos preocupa son los programas de codificación. Si alguien descubre la forma de invertir dicho software, tendremos graves problemas.
Ahora comprendí a lo que se refería. El programa que traduce
«Messiah»
a
«p3kqznqiewe»
es unidireccional. Le basta un segundo para codificar la palabra. Pero si alguien descubría la forma de hacer funcionar la máquina a la inversa, es decir, de modo que convirtiera
«p3kqznqiewe»
en
«Messiah»
, podría averiguar cualquier contraseña, sin necesidad de adivinar.
Bien, por lo menos se lo había comunicado a la NSA. Tal vez hacía años que conocían aquellas técnicas, pero ahora sabían oficialmente que alguien las utilizaba. ¿Divulgarían la noticia? Pensándolo bien, si hacía años que lo sabían, ¿por qué no lo habían divulgado antes?
Los diseñadores de sistemas deberían de conocer este problema, a fin de construir sistemas operativos más sólidos. Los técnicos informáticos también tendrían que saberlo. Y habría que advertir a toda persona que utiliza una contraseña. Hay una norma muy sencilla, la de no utilizar contraseñas que aparezcan en el diccionario. ¿Por qué no me lo había dicho nunca nadie?
Al centro nacional de seguridad informática no parecían interesarle los problemas del mundo real de millares de ordenadores Unix en funcionamiento. Yo quería conocer los puntos débiles de mi sistema Unix. ¿Cuáles eran los problemas conocidos? Anteriormente, había descubierto ya un defecto en el Gnu-Emacs, una brecha ampliamente difundida en el sistema de seguridad, que había denunciado al centro nacional de seguridad informática. Pero ellos no se lo habían comunicado a nadie. Ahora acababa de descubrir que las contraseñas que aparecen en el diccionario no son seguras.
¿Cuántas otras brechas del sistema de seguridad alberga mi ordenador?
Puede que el centro nacional de seguridad informática lo sepa, pero no lo divulga.
El lema de la NSA,
«Nunca digas nada»
14
, parecía ser cierto. Sin embargo, al guardar silencio sobre estos problemas de seguridad informática, nos perjudican a todos. Había podido comprobar que los hackers habían descubierto y explotaban dichos defectos desde hacía mucho tiempo. ¿Por qué no se lo contaba nadie a los buenos?
—No es de nuestra competencia —respondió Bob—. Nosotros recopilamos esta información a fin de diseñar mejores ordenadores en el futuro.
De algún modo y en algún lugar algo fallaba. Los tipos de sombrero negro conocían la combinación de nuestras cajas fuertes. Pero los de sombrero blanco guardaban silencio.
En todo caso, debía olvidarme por ahora de la NSA. ¿Qué más podía hacer? Hurgar en las demás agencias.
A fines de abril el Bundespost todavía no había recibido los documentos necesarios de Estados Unidos. Sus escuchas telefónicas se apoyaban en una denuncia oficial de la Universidad de Bremen.
Pero, a pesar de que el Bundespost había realizado varios seguimientos completos, no estaban dispuestos a revelarme los nombres, ni los números de teléfono, de los sospechosos. La legislación alemana se lo impedía. Me resultaba familiar. De pronto me pregunté si mi hermana Jeannie estaría dispuesta a husmear un poco por Hannover. Hasta ahora había demostrado ser la investigadora más fiable.
Llamé a Mike Gibbons.
—Hemos dejado de considerar este asunto como un caso criminal —dijo.
—¿Por qué abandonarlo cuando los alemanes han localizado la línea y conocen los nombres de los sospechosos?
—No he dicho que lo hubiéramos abandonado, sino que el FBI no lo trata como caso criminal.
¿Y eso qué significaba? Como de costumbre, Mike se cerró como una ostra cuando comencé a formularle preguntas.
¿Habían realizado los de las fuerzas aéreas algún progreso? Divulgaban discretamente la noticia de que había reptiles que se arrastraban por Milnet, intentando introducirse en ordenadores militares. Uno tras otro, los sistemas aumentaban la seguridad.
Pero las fuerzas aéreas dependían del FBI para capturar al hacker. A Ann Funk y Jim Christy les habría gustado ayudar, pero no podían.
—Dime cualquier cosa, a excepción de «no es de mi competencia» —le dije a Ann.
—De acuerdo —respondió—. No está en mis manos.
No me gustaba alejarme de Berkeley, en parte porque echaba de menos a mi compañera, pero también porque dejaba al hacker sin que nadie le vigilara.
Iba a dar una conferencia en el NTISSIC, organización gubernamental cuyas siglas no han sido nunca decodificadas. Según Bob Morris, su función era la de elaborar una política de seguridad para la información y las telecomunicaciones, lo que permitía adivinar algunas de sus iniciales.
—Para aprovechar tu visita a esta zona —dijo Teejay—, ¿qué te parecería pasarte por nuestro cuartel general en Langley?
¿Yo? ¿Visitando la CIA? Estaba ya metido hasta la coronilla, reuniéndome con los espías en su propio terreno. Imaginaba a centenares de espías de gabardina al acecho por los pasillos.
Entonces la NSA me invitó también a visitar Fort Meade, pero de un modo mucho menos informal.
—Nos gustaría que prepararas una conferencia para el departamento X-1 —me dijo Zeke Hanson por teléfono—. Te mandarán las preguntas con antelación.
¿El departamento X-1 de la National Security Agency? Esto sí que era ya de capa y espada. Como de costumbre, no logré que me ampliaran la información... Zeke se negó a revelarme lo que X-1 significaba.
Cuando llegué a la NSA, Bob Morris me recibió en su despacho. Las tres pizarras estaban cubiertas de grafía rusa, que según me explicó representaban rimas de acertijos, y algunas ecuaciones matemáticas. ¿Dónde sino en la NSA?
Escribí una breve nota en chino y Bob contraatacó con un sencillo problema numérico: UDTCCSS.
—¿Cuál es la próxima letra, Cliff?
Era un viejo problema.
—La próxima letra es la «O» —respondí.
Uno, dos, fres, cuatro, cinco, seis, siete, ocho.
Jugamos un rato con acertijos y palíndromos, hasta que Bob escribió la siguiente serie:
1, 11, 21, 1211, 111221
10
.
—Completa esta serie, Cliff.
La observé durante cinco minutos y me di por vencido. Estoy seguro de que debe de ser fácil, pero hasta el día de hoy no lo he resuelto.
Me producía una extraña sensación. Había venido con la intención de sacudir a la NSA y ahí estaba con Bob Morris, su gran maestro, jugando a números. Era indudablemente divertido, pero desconcertante.
Entonces fuimos a Washington, al Departamento de Justicia. Durante el viaje hablamos de la seguridad informática y le señalé que ellos no podían estar seguros de que no hubiera inventado toda la historia.
—La NSA no puede comprobar la veracidad de mi relato.
—No es necesario. Somos una cámara de espejos: cada sección verifica a otra.
—¿Se espían entre ellos?
—No, no, no. Verificamos permanentemente nuestros resultados. Por ejemplo, cuando resolvemos un problema matemático por medios teóricos, comprobamos el resultado en un ordenador. Entonces puede que otra sección intente resolver el mismo problema, con otra técnica diferente. Todo es cuestión de abstracción.
—¿Le importará a alguien que no use corbata?
Me había puesto unos vaqueros limpios, pensando que habría gente importante, pero todavía no tenía traje ni corbata.
—No te preocupes —respondió Bob—. A tu nivel de abstracción, no tiene la menor importancia.
No se me permitió estar presente en la reunión, puesto que era altamente secreta y sólo me autorizaron a entrar en la sala cuando llegó el momento de mi intervención. En una pequeña estancia, iluminada sólo por la luz del proyector, había unas treinta personas, en su mayoría de uniforme; generales y almirantes, como en las películas.
Durante media hora describí cómo el hacker se infiltraba en ordenadores militares y navegaba por nuestras redes. Un general me interrumpía constantemente con preguntas, desde el fondo de la sala. Lo que le interesaba no eran cosas sencillas como: «¿Cuándo descubrimos al hacker?», sino más bien: «¿Cómo podía demostrar que la correspondencia electrónica no había sido falsificada?», y: «¿Por qué no había resuelto el FBI el caso?»
Las preguntas duraron otra media hora, hasta que por fin decidieron dejar de torturarme. Mientras comíamos unos bocadillos de queso, Bob Morris me habló de lo ocurrido.
—Nunca había visto tanto
«laton»
bajo el mismo techo —dijo—. El personaje que formulaba las preguntas más interesantes era uno de los de menor graduación en la sala, sólo general de brigada.
Mi desconocimiento del mundo militar era tan supino como el de la mayoría.
—Supongo que estoy impresionado, pero no sé exactamente por qué —respondí.
—Debes estarlo —agregó Bob—. Todos los reunidos eran oficiales de cinco estrellas. El general John Paul Hyde forma parte del estado mayor de los tres ejércitos. Y el individuo de la primera fila es uno de los jefazos del FBI. Es muy interesante que te haya oído.
Yo no estaba tan seguro. Imaginaba lo incómodo que podía sentirse un pez gordo del FBI cuando era consciente de que su agencia debía estar haciendo algo en lugar de ocultar la realidad. No debía de caerle bien que un melenudo de Berkeley le complicara la vida; lo que quería era nuestro apoyo y cooperación.
De pronto me puse nervioso. Repasé mentalmente lo ocurrido. ¿Había metido la pata? Es extraño sentirse nervioso, después de haber hecho algo. Cuanto más reflexionaba, más impresionado me sentía por los militares. Se habían concentrado en los puntos débiles de mi charla, con una comprensión perfecta tanto de los detalles como de la importancia de lo que decía.
Había recorrido un largo camino. Un año antes habría considerado a aquellos oficiales como marionetas belicistas de los capitalistas de Wall Street. Esto era, después de todo, lo que había aprendido en la universidad. Ahora las cosas ya no me parecían tan claras. Tenía la impresión de estar entre gente inteligente con un grave problema entre manos.
Por la mañana del día siguiente tenía que pronunciar una conferencia en el departamento X-1 de la NSA. Tal como estaba previsto, habían preparado una lista de preguntas y deseaban que me concentrara en los temas siguientes:
1) ¿Cómo ha sido detectado el intruso?
2) ¿Cuáles son las medidas de control existentes?
3) ¿Cómo se controla a alguien con plenos privilegios en el sistema?
4) Facilitar detalles técnicos sobre la forma de penetrar en los ordenadores.
5) ¿Cómo se obtuvieron las contraseñas para los Cray de Livermore?
6) ¿Cómo se consiguieron, los privilegios de superusuario?
7) ¿Tomó el intruso medidas para impedir ser detectado?
Leí los enunciados y casi me atraganté. Comprendía perfectamente lo que me preguntaban, pero había algo que no cuadraba.
¿Sería que las respuestas a sus preguntas podrían utilizarse para infiltrarse en los sistemas? No, no era eso lo que me inquietaba: hacían referencia, esencialmente, a temas defensivos.
Cuando los leí por tercera vez, intuí que manifestaban un supuesto subyacente que me resultaba ofensivo. Me rasqué la cabeza, intentando descubrir lo que me molestaba.
