Roda computer GmbH / Crédito: Tim Berghoff.

Tim Berghoff y Alexandra Stehr son dos desarrolladores de seguridad de la compañía alemana G Data CyberDefense. La misma se trata de una antigua empresa que lleva el honor de haber creado uno de los primeros sistemas de antivirus en los ochenta.

Ambos trabajadores son parte de un staff de 500 que diariamente trabajan para hacer funcionar la compañía. Por lo general, el tipo de equipos antiguos que se desechan de la milicia no son los principales objetivos de compra de la empresa.

Después de todo, los mismos suelen ser muy viejos como para poder ser utilizados funcionalmente en el trabajo. Sin embargo, el par decidió dar el salto y hacer la compra de 90 euros (unos 100 dólares) en eBay de la Roda computer GmbH del ejército alemán que allí se ofertaba.

Explican ahora que el motivo de su compra fue más por curiosidad que por cualquier otro motivo. Y que, parte de ellos lo había hecho con la esperanza de descubrir “secretos” en la antigua computadora. Sorprendentemente, su corazonada resultó cierta y se toparon con los mismísimos instructivos de manejo de un portador de armas que aún está activo en Alemania, el Ozelot.

¿Cómo terminó este disco duro intacto en eBay?

Roda computer GmbH / Crédito: Tim Berghoff y Alexandra Stehr.

Se supone que el proceso de desecho de los antiguos equipos del ejército alemán se lleva a cabo a través de la compañía VEBEG. Ellos son los encargados de eliminar los datos del disco duro de los equipos y de determinar a qué entidades estos se pueden redirigir.

Por lo general, no es un procedimiento común que este tipo de PCs terminen en eBay. De hecho, hasta este momento hay poca información sobre la forma en la que esta computadora pudo haber llegado a la plataforma de ventas digitales.

Pero, sí se sabe que no se trata de la única que ha sido vendida de esta forma. Asimismo, gracias a las declaraciones de Berghoff en su blog, tenemos una idea muy detallada de lo que había en la PC y de cómo se podía acceder a ello.

Así se revelaron los planos del portador de armas Ozelot

Porta armas alemán Ozelot.

Por lo que parece, desde que la computadora fue desechada, nadie se había dado a la tarea de corroborar su contenido. Un claro ejemplo de ello es que incluso el vendedor de eBay desconocía el contenido de la computadora portátil.

La misma se trata de un antiguo modelo de poco menos de 5 kg de peso, procesador Pentium III y memoria de almacenamiento de 128MB. Claramente, el equipo se vendía como una curiosidad más que por cualquier utilidad práctica.

Sin embargo, las ganas de saber de Berghoff y Stehr los llevaron a seguir indagando en el contenido del computador. Para ello, debieron desmontar por completo casi toda su estructura hasta que tuvieron en sus manos el preciado disco duro de Fujitsu con conexión IDE y 6 GB de procesamiento.

Especificaciones de la Roda computer GmbH / Crédito: Tim Berghoff y Alexandra Stehr.

Al hacer las conexiones necesarias para conectarlo al ordenador, se puso a funcionar el disco y sus contenidos quedaron expuestos a la vista de los dos desarrolladores. En la mayoría de los casos, la información estaba simplemente allí, lista para ser utilizada con un simple clic.

Sin embargo, un detalle particular llamó la atención de los desarrolladores, no tuvieron que hacer ningún proceso de recuperación de datos, lo que implicaba que los mismos nunca fueron borrados en primer lugar.

Dentro de todos los programas encontrados un sistema de administración llamado MODIS llamó su atención. Para acceder, se encontraron con dos casillas: usuario y contraseña. En la primera ya estaba escrito “GAST” (invitado en alemán), sin dudarlo mucho, y como para probar suerte, el par escribió “GAST” en la casilla de la contraseña.

Lo que contenía el antiguo instructivo

Texto confidencial del instructivo de uso del Ozelot / Crédito: Tim Berghoff y Alexandra Stehr.

Para la sorpresa de ambos, la corazonada nuevamente dio frutos, pues se les concedió el acceso al sistema. Desde allí, pudieron notar que tenían completo acceso al TDv 1425 / 027-18, lo que se podría identificar como un manual detallado de uso.

Alemania levanta restricciones para parques infantiles, zoológicos e iglesias

El objeto de las instrucciones era el porta armas Ozelot, del cual estaban específicados todos los datos y posibilidades de uso. Asimismo, en el instructivo también se encontraban explicados diferentes protocolos de vigilancia y ataque así como el modo de llevarlos a cabo desde el Ozelot. Incluso, estaban los detalles sobre qué tipo de armamento podía añadirse al porta armas, entre los más destacados estuvieron los misiles antiaéreos “Mistral”, que también se encuentran aún en el repertorio de armas de Alemania.

Claramente, esta no era una información que debería estar en manos del público. Pero, tal parece que no tuvo el menor inconveniente en aparecer en todo su esplendor ante los ojos de Berghoff y Stehr.

La información pertenece al nivel más bajo de confidencialidad

En cada una de las páginas que se encontraban en el sistema, aparecía el encabezado “Grado VS: solo para uso oficial”. Ello simplemente corroboraba la percepción de que definitivamente estos no eran datos para el público, pero ello definitivamente no evitó que llegaran al mismo.

Según el propio sistema de clasificación de archivos confidenciales alemán (VS-nfD / VS confidencial / VS-Secret / VS-Top Secret) estos datos pertenecen a la categoría más baja (VS-nfD) la cual implica que el conocimiento de los datos no pone en peligro a la nación.

Ello se entiende debido a que, de todos modos, estos equipos (el Ozelot) solo pueden ser utilizados por la Bundeswehr (fuerzas armadas unificadas de Alemania), por lo que, que se conozcan algunos de sus detalles no es un riesgo. Otra prueba de ello es que algunos de estos pueden ser encontrados por otros medios en la web.

Sin embargo, aunque esta falla de seguridad no haya sido grave, deja al descubierto un claro flanco débil en el sistema de protección de datos de la milicia alemana.

Eliminación de datos: un proceso delicado… se supone

El hecho de que datos como estos no solo hayan podido colarse fuera de los complejos militares, sino que además hayan terminado su camino en una plataforma tan pública como eBay puede llegar a ser muy preocupante.

Se supone, según los propios procedimientos establecidos en Alemania que, para poder descartar un equipo el primer paso a dar debe ser la eliminación de los datos de su disco duro. Además, ahora se sabe que incluso ello puede ser insuficiente y que los datos borrados se pueden recuperar.

Por ello, es incluso vital que se proceda a la destrucción física del disco duro para evitar que la información pueda ser recuperada de cualquier modo. Esto se trata de un procedimiento obligatorio sobre todo para las instancias en las que se maneja información clasificada o delicada que no deba llegar al público.

Incluso, tanto Berghoff como Stehr reconocen esto en su blog y ofrecen un instructivo detallado que explica cómo eliminar adecuadamente la información de los discos duros.

¿Podría haber más de donde vino este?

Entre los pocos datos que se conocen sobre la venta de este equipo en la web, se ha podido determinar que no es el único. El vendedor ha admitido haber distribuido otros 15 equipos iguales antes del descubrimiento de los instructivos.

Por ahora, no se sabe qué ha pasado con ellos ni cuál es su paradero. Pero, si con estos se tuvo tan poco cuidado al eliminar la información de su sistema como se tuvo con el ordenador que contenía el instructivo del Ozelot, no sería muy sorprendente que nuevos instructivos pronto comiencen a hacer su camino a la web.

Más en TekCrispy