Tim Berners-Lee fundó el Consorcio World Wide Web (W3C) en octubre de 1994, después de crear las tres uves dobles, desarrollar el servidor original, el lenguaje HTML y el primer navegador.
El organismo internacional, que establece los estándares de la Web –desde los parámetros de diseño hasta las reglas semánticas−, se gestó en el MIT, con la colaboración del CERN, DARPA y la Comisión Europea. Actualmente engloba a 415 organizaciones, centros de investigación y empresas.
El W3C está ya en la veintena, pero, paradójicamente, “parece tener un problemilla con la seguridad básica de las cuentas”, según explica el responsable de la comunidad The Krusty Krab, formada por “defensores del ‘software’ libre y las herramientas de dominio público”.
Ni la experiencia ni los conocimientos de todos los integrantes del consorcio han servido para prever la ocurrencia de este individuo, apodado 'wowaname': ha conseguido acceder al sistema interno de la organización obteniendo la contraseña de su fundador y director.
Un método sencillo
“Tim Berners-Lee usa la red de IRC igual que el resto del equipo y, como otras personas, ha configurado mal su cliente”, asegura el incursor. El IRC (de ‘Internet Relay Chat’) es un protocolo de comunicación creado en los años 80 que permite chatear en diferentes salas o canales, como el que utiliza el W3C para comunicarse internamente.
Las redes IRC se componen de uno o varios servidores a los que se conecta cada usuario a través de un cliente −antes, programas que debían instalar en su ordenador para intercambiar los mensajes; ahora, también clientes 'online' que funcionan desde el navegador. El interlocutor elige el canal al que quiere unirse y se registra con su nombre de usuario y contraseña (si el canal no es público) para comunicarse con los otros presentes en la sala.
El intruso se identificó como ‘NickServ’ y esperó. Estaba engañando al sistema haciéndose pasar por un ‘bot’ homónimo, una herramienta usada en condiciones normales “para legitimar al usuario que se conecta a un canal de chat IRC”, tal y como explica a HojaDeRouter.com el experto en seguridad Omar Benbouazza. Si uno de los miembros del chat perdiera la conexión o el servidor fallase, su ordenador enviaría automáticamente la contraseña a ‘NickServ’ (el verdadero) para confirmar su identidad.
“No todos los servidores de IRC tienen configurado un servicio como este”, afirma Benbouazza, pero, por defecto, los clientes están diseñados para obedecer sus peticiones sin rechistar. En W3C no utilizaban la herramienta, así que, cuando el atacante llamó a la puerta con el nombre de ‘NickServ’, uno de los clientes de mensajería dio por hecho que se trataba del servicio y le envió una clave.
“La primera contraseña que recibí fue la de un usuario llamado 'timbl'”, cuenta el atacante. Sin buscarlo, había obtenido la que parecía pertencer a Berners-Lee −utiliza el mismo apodo en su correo y otras partes de la web−. La usó para acceder al chat IRC de la organización y ojear los canales. Además, comprobó que las mismas credenciales le servían para entrar en las entrañas de la página del W3C, así que, para dejar huella, añadió algunos enlaces a su web en el perfil del director.
A la caza del intruso
Los miembros del consorcio no tardaron en detectar el rastro que había dejado en los canales IRC a los que se había unido y saber, por tanto, que había conseguido las credenciales de su fundador.
Pese a que cambiaron la contraseña a las pocas horas, el atacante volvió a obtenerla con el mismo método y a registrarse esta vez únicamente en la web, desde donde logró llegar a las listas de correo, las entradas en los chats y otros archivos, antes de que ‘timbl’ volviera a modificar su clave.
Además de dejar disponibles los documentos para que quien quiera pueda descargárselos, plasmó una firma digital cifrada con PGP en el código fuente de la página –la encontrarás aquí si buscas “PGP”−. El resultado es un pequeño texto, en este caso solo un mensaje en blanco que no se manifiesta en la interfaz pública.
Como consecuencia de esta segunda incursión, los de la organización eligieron de nuevo otra contraseña y bloquearon el alias ‘NickServe’ en el chat IRC, para que no volviera a pasar. De haberlo hecho mucho antes, se habrían evitado problemas. “En el caso de no emplear ciertos servicios o ‘bots’, deberían bloquear sus nombres para que nadie pueda hacerse pasar por ellos”, advierte Benbouazza.
Por otro lado, si el servidor que aloja las conversaciones es exclusivamente interno, “se podría limitar el acceso mediante listas blancas [solo entraría quien lo necesitase], certificados o bien configurar el sistema para que no permita registrarse directamente desde internet”, indica el ingeniero.
Y en cuanto a las contraseñas, utilizar una sola clave para todo un dominio es una práctica “relativamente recomendada”, según Benbouazza, porque la web se gestiona de manera centralizada. No obstante, existe el riesgo de que alguien la publique y abra la puerta a todo el sistema. “Es importante tener una contraseña diferente en IRC que en el resto de servicios de la empresa u organización”, aconseja.
Evidentemente, el espía de The Krusty Krab −un homenaje al restaurante de Fondo de Biquini donde trabaja Bob Esponja− no proporciona más datos ni su identidad porque, como nos asegura Benbouazza, “es un ataque y podría ir a la cárcel”.
----------------------------------------------------------------------------
Todas las imágenes del artículo son capturas de pantalla distribuidas por el atacante