È nel 1985 che un astronomo di Berkeley si trova alle prese con un’investigazione informatica raccontata in un bel libro, The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. Sono passati ventisette anni e, trascurando l’evoluzione tecnologica, rimane una lezione di sicurezza modernissima.
Cliff Stoll viene incaricato di indagare su una discrepanza di 75 centesimi nella contabilizzazione degli accessi; identifica l’account responsabile e lo cancella. Poco dopo arriva una segnalazione di un tentativo di accesso non autorizzato ad un sistema della NSA. Stoll scopre un altro account responsabile. A questo punto programma il proprio terminale UNIX in modo che un beep lo avvisi di ogni tentativo di login. Dopo molti beep arriva l’utente incriminato, ma da quale delle 50 linee esterne? Stoll collega una stampante ad aghi a ciascuna linea e in una notte, dagli output decifra le modalità dell’attacco.
Realizing that there was an intruder in the system, we installed line printers and recorders on all incoming ports, and printed out the traffic. Within a few days, the intruder showed up again. We captured all of his keystrokes on a printer and saw how he used a subtle bug in the Gnu-Emacs text editor to obtain system-manager privileges.
Per controllare l’incursore, Stoll realizza con materiale elettronico di basso costo un analizzatore da collegare alle linee, in grado di chiamarlo su un cercapersone al momento del login dello stesso. Inutile chiedersi cosa pensasse la sua compagna di questa brillante idea!
La chiamata viene finalmente tracciata fino nella vecchia Germania Ovest, dove però per localizzarla hanno bisogno di tempo: almeno un’ora! D’altronde provateci voi, con un sistema a rotori che data agli albori del 1900. La compagna di Stoll ha un’idea semplice e brillante: preparare materiale fasullo che faccia indugiare l’intruso nella connessione. Funziona talmente bene che anche una spia ungherese abbocca all’amo e rischia di depistare le indagini!
Dopo sei mesi di lavoro e molta perseveranza, Cliff Stoll potrà testimoniare in Germania al processo contro gli imputati Dirk Brezinski, Peter Carl (contatto con il KGB), Karl Koch (suicida in circostanze oscure) e Markus Hess (l’operatore).
È una storia attualissima. Monitoraggio, documentazione, logging centralizzato da un lato. Dall’altro, attacchi basati su debolezze delle credenziali, configurazioni di default approssimative, una monocultura – all’epoca UNIX – intrinsecamente rischiosa nonostante le convinzioni degli amministratori. Anche allora molte più vittime di quanto reso pubblico, scarsa collaborazione all’indagine. Come spesso oggi, tenacia e creatività dell’attaccante vinte solo da una persona almeno altrettanto capace e creativa.
Cliff Stoll dichiarò anche che mai un database online avrebbe potuto sostituire i quotidiani e che nessuna rete avrebbe mai potuto influenzare un governo. Una topica clamorosa sbeffeggiata da Wired quindici anni dopo. L’uomo è però grande ed umile e ha commentato come lo svarione gli abbia insegnato a prevedere con più prudenza. Guardate il suo intervento a TED per apprezzarlo.