Compartir
Seguridad: utilizando viejas glorias
Seguridad: utilizando viejas glorias con Windows XP, 98 y 95

Cuando hablamos de la seguridad de un país, nos vienen a la cabeza siglas como el CNI, el Pentágono, el Air Force One… cuando pensamos en estos grandes departamentos de seguridad, imaginamos lo último en tecnología y defensa cibernética… ¿O no?

Como en miles de empresas a nivel internacional, el Departamento de Defensa del Pentágono debería ser lo más de lo más en defensa cibernética… Pero realmente, esto no es así.

Seguridad: utilizando viejas glorias
Seguridad: utilizando viejas glorias con Windows 95
Como confirman en publicaciones digitales y no digitales especialistas en temas de defensa y de índole militar del National Journal Group INC. , como Defense One en una entrevista al Program Manager de la Oficina del Subsecretario de Defensa y Energía, Instalaciones y Medio Ambiente, Daryl Haegley, quien confirmó que la sede del Departamento de Defensa de los Estados Unidos aún a día de hoy sigue utilizando versiones XP, 98 y 95 del sistema operativo Windows… Aproximadamente, un 75% del sistema de control se ejecuta bajo estas versiones ya obsoletas y sin soporte de Windows.

Y lo peor es que no sólo se limita al Pentágono… otras 15 instalaciones militares del propio Departamento de Defensa siguen utilizando versiones de Windows como XP (sin soporte de Microsoft desde 2014), Windows 98 (sin soporte desde 2006) y Windows 95 (sin soporte desde 2001). Según argumenta Daryl Haegley, los equipos que tienen estos sistemas obsoletos no tienen nada más que conexión a la red interna, evitando el acceso a Internet, lo que conlleva un descenso de posibilidades reales de ataque (por debajo del 5% ya que antes habría que hackear sistemas de defensa tipo Honey Pot y similares). Según Defense One, entre otra publicaciones, se menciona que la infraestructura crítica del Pentágono sigue operando bajo Windows obsoletos y están conectados a Internet para el intercambio de información entre instalaciones, un punto de vulnerabilidad que deja los sistemas, literalmente, al aire.

La cuestión es que el Departamento de Defensa tiene contratados servicios de soporte y servicios exclusivos de Microsoft para tareas militares sobre estos sistemas operativos, además de varios proyectos de migración de las actuales plataformas a la última versión de Microsoft Windows: Windows 10.

Claro está que la falta de conexión y acceso a Internet es un gran escollo a saltar por cualquier atacante, pero no se garantiza un 100% de seguridad en hackeo y robo de la información que diariamente maneja este departamento.

Por otro lado, el propio Pentágono asegura que dispone de programas de recompensa para usuarios que encuentren agujeros de seguridad en la propia plataforma del Departamento de Defensa, identificando vulnerabilidades en los sistema críticos y mejorando los sistemas de protección actuales para evitar ataques como el que sucedió entre junio y octubre de 1999 por parte de C0mrade, Jonathan Joseph James (primer cracker menor de edad en ser sentenciado por delitos cibernéticos en Estados Unidos), quien logró vulnerar la seguridad y acceder a los sistemas privados de la NASA (accedió a 13 PCs y robó software de control de elementos críticos de supervivencia dentro de la Estación Espacial Internacional como la temperatura y humedad e información por valor de 1’7 millones de dólares), lo que provocó el apagado de los sistemas por 21 días con un gasto por reparaciones y pérdidas de 41.000 dólares.

En Agosto de ese mismo año, C0mrade vulneraba sistemas de la compañía de Telecomunicaciones Bellsouuth, el Centro de Vuelo Espacial Marshall en Huntsville (Alabama) y el sistema escolar del contado de Miami-Dade, además de realizar una intrusión en los ordenadores del Departamento de Defensa en el Pentágono. C0mrade pasó a ser la primera persona en el mundo en entrar en el sistema de la Agencia de Reducción de Amenazas a la Defensa (DTRA), división del Departamento de Defensa encargada de analizar las posibles amenazas a Estados Unidos aprovechando una puerta trasea de uno de los servers de Dulles (Virginia), donde instaló un programa de tipo sniffer para espiar llamadas y mensajes del personal del DTRA, logrando interceptar más de 3000 mensajes entre empleados de la DTRA y obteniendo usuarios y passwords de acceso a otros 10 PCs militares.

La detención de Jonathan Joseph James no tuvo lugar hasta el 26 de Enero del año 2.000, momento en el que agentes del Departamento de Defensa, la NASA y el Departamento de Policía (Pinecrest) conseguían la orden para entrar en el domicilio y arrestar a este joven cracker de tan sólo 16 años. Si hubiese sido un adulto, Jonathan Joseph James hubiese pasado hasta 10 años en prisión y hubiese pagado varios miles de dólares de multa. Tan solo fue sancionado con 6 meses de arresto domiciliario, la prohibición de acceder a ordenadores para uso recreativo, libertad condicional hasta que cumpliera 18 años, y la obligación de escribir cartas de disculpa tanto a la NASA como al DOD.

En posteriores entrevistas mencionó que “El gobierno no tenía demasiadas medidas de seguridad en la mayor parte de sus ordenadores, careciendo de una verdadera seguridad informática, y siendo la parte más complicada que se den cuenta de ello. Aprendí Unix y C como la palma de mi mano, y esto porque he estudiado una gran cantidad de libros y he estado pegado a un ordenador durante todo este tiempo. La parte difícil no es entrar, esto se trata de aprender y realmente saber qué es lo que se está haciendo.

El 17 de enero de 2.007 se dió a conocer unos de los ataques cibernéticos más grandes en Estados Unidos hasta el momento: TJX Companies,BJ’s Wholesale Club, Boston Market, Barnes & Noble, Sports Authority, Forever 21, DSW, OfficeMax, y Dave & Buster’s, eran víctimas de un robo de información personal y crediticia de millones de clientes, ataque por el que fue acusado Jonathan Joseph James y que posteriormente se descubriría que era inocente y que el ataque había sido realizado por Albert González (hacker estadounidense acusado de organizar el robo y la posterior reventa de más de 170 millones de tarjetas y números de cajeros automáticos entre 2005 y 2007). Este ataque utilizó un método de inyección de código SQL utilizado para abrir la puerta trasera de los sistemas corporativos para que el paquete enviado pudiera inspeccionar los archivos (ARP Spoofing), robando toda la información.

Después de tan grave acusación, hacia el 18 de mayo de 2.008, Jonathan Joseph James (25 años), fue encontrado muerto en la ducha de su casa víctima de suicidio. Jonathan Joseph James había dejado una nota que incluía mensajes personales a su padre, hermano, y novia, así como las contraseñas a su cuenta de PayPal y MySpace. En 2.009, Robert James (su padre), rompería el silencia al mencionar que Jonathan Joseph James sufría depresión, describiéndo a su hijo como geek apasionado desde los 6 años.

Ahora bien, ¿tan sólo la actualización de un sistema operativo podría salvar a toda una gran compañía de un ataque externo? Iremos viendo….

SIN COMENTARIOS

DEJA UNA RESPUESTA