El huevo del cuco (libro)

El huevo del cuco: rastreando a un espía a través del laberinto del espionaje informático es un libro de 1989 escrito por Clifford Stoll. Es su relato en primera persona de la búsqueda de un pirata informático que irrumpió en una computadora en el Laboratorio Nacional Lawrence Berkeley (LBNL).

El uso del término por parte de Stoll extendió la metáfora del huevo de cuco del parasitismo de cría en aves al malware.

Resumen

El autor Clifford Stoll, astrónomo de formación, gestionaba ordenadores en el Laboratorio Nacional Lawrence Berkeley (LBNL) en California. Un día de 1986 su supervisor le pidió que solucionara un error contable de 75 céntimos en las cuentas de uso de ordenadores. Stoll rastreó el error hasta un usuario no autorizado que aparentemente había utilizado nueve segundos de tiempo de computadora y no pagó por ello. Stoll finalmente se dio cuenta de que el usuario no autorizado era un hacker que había adquirido acceso de superusuario al sistema LBNL explotando una vulnerabilidad en la función movemail del GNU Emacs original.

Al principio, y durante un largo fin de semana, Stoll reunió cincuenta terminales, así como teleimpresores, en su mayoría "prestados" desde los escritorios de los compañeros de trabajo que están fuera durante el fin de semana. Estos los conectó físicamente a las cincuenta líneas telefónicas entrantes en LBNL. Cuando el hacker marcó ese fin de semana, Stoll localizó la línea telefónica utilizada, que provenía del servicio de enrutamiento Tymnet. Con la ayuda de Tymnet, finalmente rastreó la intrusión hasta un centro de llamadas de MITRE, un contratista de defensa en McLean, Virginia. Durante los siguientes diez meses, Stoll dedicó enormes cantidades de tiempo y esfuerzo a rastrear el origen del hacker. Vio que el hacker estaba utilizando una conexión de 1200 baudios y se dio cuenta de que la intrusión se producía a través de una conexión de módem telefónico. Los colegas de Stoll, Paul Murray y Lloyd Bellknap, ayudaron con las líneas telefónicas.

Después de devolver su "prestado" terminales, Stoll dejó una teleimpresora conectada a la línea de intrusión para poder ver y registrar todo lo que hacía el hacker. Observó cómo el hacker buscaba (y en ocasiones obtenía) acceso no autorizado a bases militares en todo Estados Unidos, buscando archivos que contuvieran palabras como "nuclear"; o "IDE" (Iniciativa de Defensa Estratégica). El hacker también copió archivos de contraseñas (para realizar ataques de diccionario) y configuró caballos de Troya para encontrar contraseñas. Stoll se sorprendió de que en muchos de estos sitios de alta seguridad el hacker pudiera adivinar fácilmente las contraseñas, ya que muchos administradores de sistemas nunca se habían molestado en cambiar las contraseñas predeterminadas de fábrica. Incluso en bases militares, el hacker a veces podía iniciar sesión como "invitado" sin contraseña.

Este fue uno de los primeros ⁠— ⁠si no el primero ⁠— casos documentados de robo de computadora, y Stoll parece haber sido el primero en llevar un diario de registro del hacker& #39;s actividades. Durante el transcurso de su investigación, Stoll se puso en contacto con varios agentes de la Oficina Federal de Investigaciones (FBI), la Agencia Central de Inteligencia (CIA), la Agencia de Seguridad Nacional (NSA) y la Oficina de Investigaciones Especiales (OSI) de la Fuerza Aérea de los Estados Unidos. Al principio hubo confusión en cuanto a la jurisdicción y una renuencia general a compartir información; El FBI en particular no estaba interesado ya que no se trataba de una gran suma de dinero y no se accedió a ningún servidor de información clasificada.

Al estudiar su libro de registro, Stoll vio que el hacker estaba familiarizado con VAX/VMS, así como con AT&T Unix. También señaló que el hacker tendía a estar activo alrededor del mediodía, hora del Pacífico. Finalmente, Stoll planteó la hipótesis de que, dado que las facturas del módem son más baratas por la noche y la mayoría de la gente tiene escuela o trabajo diurno y sólo tendría mucho tiempo libre para hackear por la noche, el hacker estaba en una zona horaria a cierta distancia al este, probablemente más allá. la costa este de Estados Unidos.

Con la ayuda de Tymnet y agentes de varias agencias, Stoll descubrió que la intrusión procedía de Alemania Occidental vía satélite. La oficina de correos de Alemania Occidental, el Deutsche Bundespost, tenía autoridad sobre el sistema telefónico allí y rastreaba las llamadas hasta una universidad en Bremen. Para incitar al hacker a que se revelara, Stoll montó un elaborado engaño (conocido hoy como honeypot) inventando un departamento ficticio en LBNL que supuestamente había sido formado recientemente por una "SDI" contrato, también ficticio. Cuando se dio cuenta de que el hacker estaba particularmente interesado en la entidad SDI falsa, llenó la página "SDInet" cuenta (operada por una secretaria imaginaria llamada "Barbara Sherwin") con grandes archivos llenos de burocráticos que suenan impresionantes. La estrategia funcionó y el Deutsche Bundespost finalmente localizó al hacker en su casa de Hannover.

El nombre del hacker era Markus Hess y se había dedicado durante algunos años a vender los resultados de su piratería a la agencia de inteligencia de la Unión Soviética, la KGB. Otra prueba de ello fue que un agente húngaro se puso en contacto por correo con la ficticia SDInet de LBNL, basándose en información que sólo pudo obtener a través de Hess. Aparentemente, este era el método de la KGB para verificar dos veces si Hess estaba inventando la información que estaba vendiendo. Más tarde, Stoll voló a Alemania Occidental para testificar en el juicio de Hess.

Referencias en la cultura popular

• El libro fue crónico en un episodio de WGBH NOVA titulado "El KGB, el ordenador y yo", que se publicó en las estaciones del PBS el 3 de octubre de 1990. Stoll y varios de sus colaboradores participaron en las recreaciones de los eventos descritos.
• Otro documental, Spycatcher, fue hecho por Yorkshire Television.
• La secuencia número mencionada en el Capítulo 48 se ha convertido en un rompecabezas popular de matemáticas, conocido como el huevo del Cuckoo, la secuencia de Morris Number, o la secuencia de look-and-say.
• En el verano de 2000 se utilizó el nombre "Cuckoo's Egg" para describir un intento de hackeo compartido de archivos que sustituyó el ruido blanco o los archivos de efectos de sonido para archivos de canciones legítimos en Napster y otras redes.
• Estos eventos se refieren a la novela de ficción especulativa de Cory Doctorow "Las cosas que me hacen débiles y extrañas se enrollan a Away", como "(a) sysadmin que había rastreado un $0.75 facturando anomalía de regreso a un espía extranjero que estaba utilizando sus sistemas para hackear su ejército".