Errores de ciberseguridad en Nakatomi

Examinamos la primer entrega de la saga de Die Hard (Duro de matar) desde una perspectiva de la ciberseguridad.

Muchas familias pasan estas fiestas viendo juntas sus películas preferidas, en muchos casos las mismas año tras año, lo que hace de esto una tradición de Navidad y Año Nuevo. A algunas personas les encantan las comedias navideñas; otras prefieren los dramas. En cuanto a mí, mi película favorita de Navidad es Duro de matar. Después de todo, 60% de los enfrentamientos de John McClane con terroristas tuvieron lugar en la víspera de Navidad, y no soy el único que asocia este clásico de acción con esta celebración.

Seguro, en Live Free or Die Hard (también conocido como Duro de matar 4.0) hay una trama realmente centrada en la ciberseguridad de la infraestructura crítica (ya hablaremos de esto), pero si miras detenidamente la primer película también, encontrarás muchos ejemplos de buena y mala ciberseguridad.

Después de todo, Nakatomi Corporation utiliza las tecnologías de punta de su tiempo: una computadora central que se sincroniza con los servidores de Tokio, una cerradura automatizada en la bóveda e incluso una terminal informativa con pantalla táctil en el pasillo (no olvides que estamos hablando de 1988).

 

Seguridad física en Nakatomi Plaza

Los problemas de seguridad saltan a primera vista. John McClane, nuestro protagonista, entra en el edificio y se dirige al guardia, y menciona el nombre de su esposa, a quien vino a ver. Nunca dice su nombre ni muestra una identificación. Incluso dando el nombre de su esposa, él no debería pasar: su matrimonio está desmoronándose y ella ha vuelto a usar su nombre de soltera en el trabajo.

En vez de cuestionar al intruso, el guardia descuidado le señala simplemente la dirección de la terminal informativa y luego los  elevadores. Así pues, prácticamente cualquier persona puede entrar en el edificio. Además, a medida que la acción avanza, varias veces vemos en el edificio computadoras sin protección por contraseña, todas abiertas a ataques de evil-maid.

 

Acceso a los sistemas de ingeniería

Poco después, los criminales se adentran en el edificio, matan a los guardias (solo hay dos en turno en la víspera de Navidad), y toman control del edificio. Naturalmente, todos los sistemas de ingeniería en el Nakatomi Plaza se controlan desde una computadora que está en la sala de seguridad, junto a la entrada.

El único hacker entre los terroristas, Theo, pulsa algunas teclas y listo: los elevadores y las escaleras se detienen, y el estacionamiento se bloquea. La computadora ya está encendida (si bien la sala está vacía) y no cuenta con la protección contra el acceso no autorizado; ¡la pantalla ni siquiera está bloqueada! Para un empleado de la empresa (en el departamento de seguridad) dejar la pantalla sin bloqueo es simplemente imperdonable.

 

Seguridad de la red

Lo primero que los terroristas le exigen al presidente de Nakatomi Trading es la contraseña de la computadora central de la empresa. Takagi, quien cree que los criminales desean información, da un dato interesante sobre las prácticas de seguridad de la empresa: cuando amanezca en Tokio, dice, todos los datos a los que los atacantes ganen acceso se cambiarán, lo que socavará los intentos de chantaje. Podemos extraer dos conclusiones de esto:

  1. Los sistemas informáticos de Nakatomi en Tokio mantienen un registro sobre quién acceso a qué y cuándo. Este es un sistema de seguridad bastante bien implementado (desde luego, es posible que el Sr. Takagi esté alardeando).
  2. Además, Takagi desconoce en absoluto las zonas horarias. En Los Ángeles ya es de noche (los intrusos ingresan en el edificio en el crepúsculo y durante la conversación en cuestión, vemos por la ventana que afuera ya ha oscurecido). Por lo tanto, tienen que sea al menos las 10:30 del día siguiente en Tokio.

 

Seguridad de las estaciones de trabajo de Nakatomi

Los mafiosos explican que no son exactamente terroristas, sino que les interesa acceder a la bóveda, no a la información. Takagi se niega a entregar el código y sugiere que los villanos vuelen a Tokio y lo intenten allí, y como consecuencia, lo matan.

Pero aparte del asesinato, la secuencia interesante está en otra parte. Una toma de acercamiento en la estación de trabajo de Takagi revela que su sistema operativo, Nakatomi Socrates BSD 9.2 (claramente un descendiente ficticio Berkeley Software Distribution) requiere dos contraseñas: Ultra-Gate Key y Daily Cypher.

Como sus nombres lo sugieren, uno es estático y el otro cambia diariamente. Aquí tenemos un ejemplo brillante de la autenticación de dos factores, por lo menos para los estándares de 1988.

 

Acceso a la bóveda

Siete cerraduras protegen la bóveda. La primera es computarizada, cinco son mecánicas y la última es electromagnética. Si el hacker Theo tiene razón, necesitará media hora para quebrar el código de la primer cerradura, luego de dos a dos y media horas para taladrar las cerraduras mecánicas. La séptima se activa automáticamente en ese punto y sus circuitos no se pueden cortar localmente.

Dejemos de lado esa noción altamente dudosa (mis conocimientos de física pueden estar anticuados, pero la electricidad se suministra a través de los cables, que siempre pueden cortarse) y centrémonos en la siguiente falla grave: si el sistema de seguridad de la bóveda puede enviar una señal para activar la cerradura, ¿por qué no puede notificar a la policía de un intento de acceso no autorizado? ¿O al menos activar una alarma? Claro, los maleantes cortaron las líneas telefónicas, pero la alarma antiincendios logró transmitir una señal al 911.

Si ignoramos esto, resulta absolutamente interesante ver cómo Theo vulnera el código. Inexplicablemente, en la primera computadora que prueba, accede al archivo personal del presidente (no mencionado) del grupo de inversionistas, incluyendo información sobre su servicio militar. Recordemos que, en 1988, el Internet como lo conocemos no existe, así que la información se almacena probablemente en la red interna de Nakatomi, en una carpeta compartida.

Según la información en el archivo, este militar sin nombre prestó servicio en 1940 en Akagi (un verdadero portaaviones japonés) y participó en varias operaciones militares, incluyendo el ataque contra Pearl Harbor. ¿Por qué dicha información se almacenaría públicamente en la red corporativa? Es extraño, especialmente porque el portaaviones también sirve como pista para la contraseña de la bóveda.

La propia computadora ayuda a traducir Akagi al inglés Red Castle y, ¿qué crees? Esa es exactamente la contraseña. Theo hizo una tonelada de investigación y tuvo suerte, pero incluso en teoría, el proceso fue terriblemente rápido. No está claro cómo sabía de antemano que podría hacerlo en media hora.

Aquí, los guionistas deben haberse olvidado sobre el Daily Cypher, el código que cambia periódicamente, lo que lo hace más interesante. La cerradura se abre sin ella.

Ingeniería social

Los criminales emplean de vez en cuando técnicas de ingeniería social en los guardias, los bomberos y la policía. Desde una perspectiva de la ciberseguridad, llama particularmente la atención la llamada al 911. McClane acciona la alarma antiincendios, pero los intrusos anticipadamente llaman al servicio de rescate, se introducen haciéndose pasar por guardias y cancelan la alarma.

Un poco más adelante, la información del Nakatomi Plaza (en particular, el número de teléfono y el código para supuestamente cancelar la alarma antiincendios) aparece en la computadora del 911. Si los atacantes pudieron cancelar la venida de la brigada de bomberos, eso significa que consiguieron ese código de alguna parte. Y los guardias ya estaban muertos, así que el código debió haber sido escrito y guardado a la mano (a juzgar por la presteza de la cancelación). No se recomienda esta práctica.

 

Conclusiones prácticas

  • No dejes pasar extraños, incluso en la víspera de Navidad, y especialmente si el edificio está lleno de computadoras que guardan información valiosa.
  • Recuerda continuamente a los empleados que bloqueen sus equipos. O mejor aún, establece sistemas de bloqueo automático después de un periodo breve. Participar en un curso de concientización de ciberseguridad es asimismo una excelente idea.
  • No compartas documentos que contienen pistas de la contraseña ni los almacenes en ubicaciones compartidas.
  • Usa contraseñadas difíciles de adivinar y generadas de modo aleatorio para acceder a datos altamente valiosos.
  • Almacena contraseñas (y códigos de cancelación de alarmas) de modo seguro, no en notas de papel.

 

Posdata

Inicialmente, íbamos a analizar ambas películas de Navidad en la saga, pero tras volver a Duro de matar 2, concluimos con que en realidad es una falla en la arquitectura de la infraestructura de información del aeropuerto. Los terroristas desentierran las líneas eléctricas debajo de una iglesia local y toman el control de los sistemas del aeropuerto, incluyendo la torre de control. En 1990, algunos de estos sistemas no estarían en absoluto computarizados. Una lástima, pero no es posible ir a fondo sin una explicación detallada de la película, pero todos están muy ocupados como para dar una.

Consejos