Te hacemos fácil la tecnología

Hackeos Memorables: El código fuente del Half-Life 2

axelgameAxel Gembe alias “Ago”, era un joven hacker de apenas 18 años amante del Half Life, tal era su pasión que un día decidió comprobar si era capaz de colarse en la red de la compañía que lo desarrollaba. Empezaba el verano del 2003 y se produciría una de las intrusiones más importantes de la década.
Según el mismo declaró, mediante una transferencia de zona DNS localizó un servidor de una compañía externa (Tangis.com) ubicada dentro de la red del popular juego. Este sistema tenía una configuración incorrecta en el servidor web que permitía la subida de ficheros de forma arbitraría. Guardó un ASP y consiguió ejecución de comandos. Aquel servidor que debía estar en una DMZ aislado mediante el cortafuegos, tenía acceso directo a la red interna y al resto de equipos que la componían. Demasiados fallos que no pasaron desapercibidos.

Más tarde, mediante un usuario llamado “Build”, con derechos de administrador del dominio  y sin contraseña, volcó los hashes del PDC, que crackeó usando tablas rainbow. En aquel momento Valve había agregado un nuevo empleado sin nómina y ellos no lo sabían.

Desde junio hasta octubre Gembe se dedicó a comprometer sistemáticamente y sin ningún tipo de precaución hasta 13 sistemas distintos. En los sistemas Linux montaba el rootkit adore, con el que ocultaba procesos y sus accesos, también hacia uso de vtun, para establecer comunicación directa con el PC de su casa, al que llamaba desde direcciones DNS dinámicas.  En las estaciones de trabajo Windows instalaba una versión modificada de PuTTy, el cliente de SSH, que guardaba un registro de todas las pulsaciones de los administradores. También se comentó, que podría haber infectado con otros mecanismos los equipos usando PcAnywhere, aunque Axel siempre lo desmintió.

Valve no era el primer sitio que sufría un ataque, tras Ago ya había abierta una investigación anterior del Servicio Secreto de los Estados Unidos por llevar a cabo denegaciones de servicio a principios de Enero del 2003 a varios ISPs y portales online, entre ellos Tiscali UK, eBay o Aeneas Internet and Telephone.

Las denegaciones de servicio se ejecutaron usando una red de PCs infectados con AgoBot, su propio gusano y famoso por explotar varias vulnerabilidades críticas de la época, como el LSSAS (ms03-026) o RPC DCOM (ms04-011). Incluso durante la propia investigación se llegó a pensar que Gembe era el autor de Sasser, otro bicho similar creado por otro joven aleman: Sven Jaschan.

Un londinense, Lee Graham Walker, declaró que había usado una red de Gembe para lanzar un ataque, que   le había sido contratado por Jay Echouafni, para tumbar a su competencia.

Captura

De Agobot (también conocido como Gaobot, se conocen muchos detalles. Las autoridades llegaron a estimar que había de 50.000 a 100.000 equipos infectados, lo que podía generar hasta 30 ó 35 gigabits por segundo de tráfico en un ataque y eso que hablamos de hace 10 años. La red tenía las características típicas de la época: command&control por IRC, distribución mediante la explotación de vulnerabilidades, credenciales predecibles, redes p2p, etcétera. Este software, era vendido usando Paypal.

En una de las versiones, se incluyó un listado de la gente que participaba en su creación una foto del propio Axel y su correo electrónico.

La desgracia para Gembe llegó cuando el 1 de Octubre de 2003 se filtró en Internet el código fuente del Half-Life 2, el buque insignia de Valve. El juego más esperado de los últimos tiempos.

postEn la central no sabían que había ocurrido y el escándalo ya era conocido por todo Internet. Tal era el susto, que Gabe Newell, uno de los fundadores de la compañía, publicó en un foro una petición de ayuda a los miembros de la comunidad. Esperaba obtener información sobre lo que había ocurrido y consiguió su propósito.  Meses más tarde, se supo que dos personas mandaron un correo electrónico con registros de un chat de IRC en el que aparecía Ago, con direcciones IP y fechas.

En la nota de Newell, hablaba de un exploit para Outlook y uso del PcAnyware, por lo lo que Ago siempre pensó que no era el único que había penetrado sus sistemas, ya que el no hizo uso de esos ataques.

Cuatro meses más tarde, en febrero de 2004, Axel decidió escribir un correo electrónico a Newell en el que se ofrecía para trabajar con ellos. Esto llevo a un intercambio de correspondencia continuado durante varias semanas.

Acordaron hacer una entrevista telefónica en la que Newell averiguó como se había producido la intrusión, luego hicieron preguntas normales de un proceso de selección y quedaron en llamarle para concretar una entrevista en las oficinas centrales de Valve.

Gracias a aquellas conversaciones se ha sabido que Ago programó su propio cliente de visual sourcesafe para transferir el código fuente hasta su casa de una forma más eficaz y rápida, también hace mención a un supuesto exploit remoto para el SSH de Linux y a otros de Serv-U 4.1; dos públicos y dos privados. Axel también defendió a capa y espada que él nunca publicó el código fuente en Internet y que fue el grupo   “myg0t”, al que él se conectaba para chatear por IRC, el que capturó el código con un sniffer mientras se lo mandaba a un amigo suyo.

Half-Life_2_coverEn un comunicado de myg0t declaró que uno de sus miembros “hitman8” era amigo personal de Gembe y había sido la persona que subió a un FTP de Warez el código fuente.

Pero toda la entrevista era un montaje, el FBI estaba detrás de aquellas preguntas y solo querían que pusiera los pies en suelo estadounidense para detenerle. Los federales calcularon unas pérdidas de más de 250 Millones de dólares por aquel desastre y querían su cabeza.

Para formalizar la detención, antes de que viajará a Estados Unidos el FBI mandó toda la información a las autoridades alemanas, advirtiendo además, que pensaban que Axel Gembe podía ser hijo de un juez magistrado alemán.

La policía alemán decidió actuar, realizaron la detención ellos mismos, no dejándolo viajar. Axel Gembe fue condenado a dos años de prisión.

Aunque hay muchas incógnitas y como en todos los casos siempre hay distintas versiones de lo sucedido, tanto Axel como Valve nos han enseñado grandes lecturas que hoy por hoy parecen increibles: ¿un usuario administrador sin contraseña? ¿un servidor en la DMZ con acceso a la red interna? ¿Nombres, correos y fotos en el código fuente de un malware?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s