Ejército alemán: datos clasificados a precios de descuento

Una y otra vez, los discos duros, los registros de pacientes y la información de recursos humanos terminan donde no pertenecen: en el contenedor. Hemos examinado un caso en el que los datos clasificados todavía estaban presentes en una computadora portátil fuera de servicio del ejército alemán.

Cuando se trata de datos clasificados, los funcionarios suelen ser muy discretos, y con razón. Algunos datos simplemente no están destinados al público (todavía). Por otra parte, hay cierta información que nunca tuvo la intención de ser “reconocida por el público en general”, como se podría decir en el lenguaje legal oficial. Aún así, una computadora portátil fuera de servicio utilizada anteriormente por las fuerzas armadas alemanas terminó en eBay, incluidos todos los periféricos, así como su disco duro original por un precio de “Comprar ahora” de 90 euros (aprox. 100 USD).
Alexandra Stehr y Tim Berghoff han echado un vistazo más de cerca y han descubierto algunos datos realmente interesantes.

La empresa "roda computer GmbH", con sede en Lichtenau, fabrica "Cuadernos totalmente robustos" para aplicaciones industriales y militares.  (Click para agrandar)
La empresa “roda computer GmbH”, con sede en Lichtenau, fabrica “Cuadernos totalmente robustos” para aplicaciones industriales y militares. (Click para agrandar)

Maquinaria pesada

Es lunes a las 4 de la tarde cuando entro en la oficina de mi colega Alexandra. Nuestro plan es examinar el disco duro de la máquina. La computadora portátil ya pasó su mejor momento en este momento y ya no es apta para ningún trabajo significativo. Dentro de este gigante de una computadora portátil hay un procesador Pentium III de 600 MHz, acompañado de 128 MB de RAM. Este era el “estado del arte” a principios de la década de 2000, y definitivamente no era barato. Sin embargo, para una máquina de juegos retro, esto todavía es suficiente. El dispositivo es incluso compatible con Soundblaster. Pero esto no es para lo que estamos aquí, al menos todavía no. Lo que hace que esta máquina sea tan interesante es de dónde vino. Una etiqueta en la parte inferior de la computadora portátil lo delata. Dice “Unidad de visualización de datos Roda Rocky II + LeFlaSys”. El dispositivo solía estar en servicio en las fuerzas armadas alemanas. Vino con un montón de periféricos, tales como una unidad de disquete de 3.5 “, baterías de repuesto (que, como era de esperar, ya habían muerto hace mucho tiempo), el adaptador de corriente del vehículo y otras posibilidades. La computadora portátil por sí sola pesa poco menos de 5 kilogramos (aproximadamente 11 libras), no exactamente lo que llamaría “portátil” hoy. Pero esto no es una sorpresa. La máquina es una computadora portátil llamada “totalmente resistente”. Paragolpes gruesos de goma alrededor, tapas de goma que cubren todos los puertos externos y un asa de transporte muy resistente lo hacen ideal para su uso en el campo. Es a prueba de salpicaduras y polvo. Esta cosa seguramente puede recibir una paliza. Pero esto no es una sorpresa. La máquina es una computadora portátil llamada “totalmente resistente”. Paragolpes gruesos de goma alrededor, tapas de goma que cubren todos los puertos externos y un asa de transporte muy resistente lo hacen ideal para su uso en el campo. Es a prueba de salpicaduras y polvo. Esta cosa seguramente puede recibir una paliza. Pero esto no es una sorpresa. La máquina es una computadora portátil llamada “totalmente resistente”. Paragolpes gruesos de goma alrededor, tapas de goma que cubren todos los puertos externos y un asa de transporte muy resistente lo hacen ideal para su uso en el campo. Es a prueba de salpicaduras y polvo. Esta cosa seguramente puede recibir una paliza.  

Liberación

Desafortunadamente, quitar el disco duro de su carcasa fue un proceso destructivo.  Los puntos negros son los amortiguadores que debían cortarse.
Desafortunadamente, quitar el disco duro de su carcasa fue un proceso destructivo. Los puntos negros son los amortiguadores que debían cortarse.

Alexandra y yo inmediatamente nos pusimos a trabajar. Desatornilla uno de los paneles en la parte inferior, esperando encontrar un disco duro allí. Lo que encontramos es una carga de goop blanco. Pasta térmica, por lo que parece. Esto tiene sentido: esta máquina se enfría pasivamente y no tiene ventiladores. En cambio, un bloque de enfriamiento de metal masivo es lo que está debajo de esta cubierta. Después de reemplazarlo (y lavar la grasa térmica pegajosa de nuestros dedos), finalmente encontramos lo que estábamos buscando. Quitar el disco duro solo requiere deshacer un tornillo, usando una moneda. Lo que sacamos es un carrito que sostiene el disco en sí. Esto es muy similar a lo que se usaba en los modelos anteriores de IBM Thinkpad, por lo que el concepto no es completamente nuevo para nosotros. El carrito está hecho de plástico y encierra completamente la unidad. Alexandra asume que está unida por pequeños broches de plástico y comienza a entrometerse con cuidado en una esquina con una navaja de bolsillo. La cubierta no se moverá. Luego resulta que el plástico está asegurado en su lugar por un par de broches, y muy frágil. De repente, un gran trozo de plástico sale volando mientras intenta ampliar la pequeña abertura que hemos logrado hasta ahora. “Bueno, ese plástico no mejora con el tiempo”, dice Alexandra encogiéndose de hombros. “Está bien, es una entrada destructiva, entonces”, le digo y me hago cargo de la acción indiscreta. Debajo del plástico quebradizo, aparece el disco duro de 2.5 ”. Y mi corazonada inicial está confirmada. Observo: „La unidad está prácticamente pegada allí, hay estas cositas de goma y espuma por todas partes. Bueno, al menos no está en maceta … eso realmente habría sido un dolor. “Intento liberar el disco duro a modo de palanca adicional, pero … sin dados. “Intentaré cortar estos parachoques”. Alexandra me advierte: “¡Ten cuidado, no te acerques demasiado a ese cable plano!” Su advertencia está justificada: los cables de cinta como este son bastante sensibles y no manejan el daño muy bien. Incluso doblarlos en el lugar equivocado puede dañarlos irreparablemente.

“No lo haré, no te preocupes”. Trabajo rápidamente con las ocho almohadillas de goma que protegen la unidad de golpes y que la mantienen en su lugar. Finalmente, el disco duro está libre de su carcasa. Estamos viendo una unidad IDE de 6 GB hecha por Fujitsu. Los pines finos y delicados del conector terminan en un adaptador que sale de la carcasa y se conecta a otro conector, que luego conecta la unidad a la computadora.

Der Waffenträger Ozelot (Bild: Wikipedia; CC-BY 2.0)
Der Waffenträger Ozelot (Bild: Wikipedia; CC-BY 2.0)

Asegurando

Hasta aquí todo bien. “Veamos qué tienes”, dice Alexandra. Busca en su bolso y saca un adaptador especial que conecta el viejo disco duro a una nueva PC a través de una conexión USB. Por supuesto, habíamos considerado usar un bloqueador de escritura que normalmente usan nuestros especialistas forenses. Esto es para garantizar que el contenido del disco duro permanezca inalterado. Después de todo, no queríamos estropear esto. Pero luego nos dijeron que “solo necesitaría esto si desea asegurar los datos para que sean pruebas admisibles de la corte”. Como este no era nuestro plan, decidimos no hacerlo. Alexandra ahora conecta el disco a su máquina Linux y en cuestión de minutos crea una copia byte por byte del disco duro. De esa manera, tenemos los contenidos de la unidad, incluso si el hardware decide renunciar al fantasma después de esto.

A partir de este momento, estamos trabajando en paralelo: mientras Alexandra se pone a trabajar en la imagen que creó, vuelvo a poner la unidad en la máquina. Lo que quiero ver es si esto todavía funciona o no. “Correcto, es hora de la prueba de humo: aquí no pasa nada …”, digo y presiono el botón de encendido. Y, he aquí, la vieja computadora cobra vida e inmediatamente siento nostalgia, cuando me recibe una pantalla de arranque de Windows 2000 en una pantalla que aún funciona perfectamente. “Está bien, no veo una pantalla de inicio de sesión”, llamo al otro escritorio, donde está sentada Alexandra. “Ya hemos comenzado bien …” De hecho, no hay protección de contraseña en el sistema.

Una vez que se completa el arranque, veo un escritorio ordenado en ese azul claro inconfundible que era tan común en las versiones de Windows de antaño.

Buscando datos

Vista de la ventana de inicio de sesión del programa de documentación
Vista de la ventana de inicio de sesión del programa de documentación

Mientras tanto, en el escritorio junto a mí, Alexandra me llama: “¡Estoy buscando datos que puedan haberse eliminado!” Este es un buen plan. Los propietarios de máquinas antiguas a menudo eliminan sus archivos antes de deshacerse de ellos o venderlos. Hay un problema: en muchos casos, los archivos se “eliminan” moviéndolos a la Papelera de reciclaje de Windows y eliminándolos desde allí. Sin embargo, este método de eliminación de datos no es muy efectivo. La mayoría de las veces, especialmente en los discos duros que usan platos magnéticos en su interior, los datos aún están presentes después de “eliminarlos”. Lo que sucede en segundo plano es esto: el sistema operativo simplemente elimina la referencia para el archivo y permite que otras aplicaciones usen el espacio anteriormente ocupado por el archivo supuestamente eliminado. Mientras no se escriban otros datos en ese espacio, en la mayoría de los casos los archivos son completamente recuperables. Las unidades SSD modernas manejan esto de manera diferente. Tan pronto como se marque un archivo para su eliminación, la unidad se encargará automáticamente de que se sobrescriba el área. Ni siquiera cortar el poder evitará esto. Tan pronto como la unidad se vuelva a encender, la unidad retomará automáticamente donde la dejó y borrará los datos. “Hasta ahora no pude encontrar ningún archivo eliminado”, Alexandra llama. La decepción en su voz claramente visible. “Si hubo algún dato para empezar, se eliminó realmente o no se eliminó nada. “Hasta ahora no pude encontrar ningún archivo eliminado”, Alexandra llama. La decepción en su voz claramente visible. “Si hubo algún dato para empezar, se eliminó realmente o no se eliminó nada. “Hasta ahora no pude encontrar ningún archivo eliminado”, Alexandra llama. La decepción en su voz claramente visible. “Si hubo algún dato para empezar, se eliminó realmente o no se eliminó nada.

Mientras tanto, estoy echando un vistazo a la vieja máquina. Hay una versión de Outlook instalada. Estoy emocionado y lo abro, pero me recibe el asistente de configuración, que solo aparece si no se ha configurado una cuenta de correo. Gorrón. ¿O es eso? Otro programa despierta mi interés: un software llamado MODIS, creado por una empresa con sede en Munich. Al abrirlo, aparece un mensaje de contraseña. Nombre de usuario; “INVITADO”. Alexandra acerca su silla a mi lado. Nos miramos y tenemos el mismo pensamiento. Rápidamente, la contraseña “INVITADO” se ingresa en la máquina, y estamos dentro.

Alexandra Stehr

La eliminación correcta de datos no es ciencia de cohetes, pero alguien necesita hacerlo realmente. Aquí es donde muchas empresas y organizaciones públicas fallan. Esto está completamente más allá de mí.

Alexandra Stehr

Desarrollador, Análisis automatizado de amenazas

Clasificado

Después de un breve vistazo, tenemos pruebas: lo que tenemos aquí es una documentación completa llamada TDv 1425 / 027-18. “TDv” significa “Technische Dienstvorschrift”, traducido de forma aproximada “Normas de servicio técnico”. Es el equivalente militar de un Manual de usuario. Este pertenece a un sistema ligero de misiles Surface to Air llamado „Ozelot“ (Ocelot).
Miramos a nuestro alrededor y encontramos instrucciones completas de mantenimiento, planos e instrucciones de funcionamiento. Incluso hay esquemas para la electrónica allí, pero aparentemente no se almacenan localmente, sino en un sistema externo. Así que no podemos echar un vistazo a esos. Esta plataforma de armas, de acuerdo con el manual, puede equiparse con misiles guiados “Mistral” y también tiene, como es habitual en vehículos del ejército de este tipo, un soporte de ametralladora.
Alexandra es incrédula y comenta “¡Estas cosas nunca fueron pensadas para el público!”

Gatos y el ejército alemán

Siguiendo las tradiciones de nombres de la Bundeswehr, los vehículos de combate a menudo reciben los nombres de gatos depredadores. Las fuerzas armadas alemanas tienen (y anteriormente tenían) vehículos llamados Leopard, Puma o Panther, y por supuesto, el ocelote.
Pero otros animales también están presentes en este esquema: Weasle, Buffalo, Beaver, Boar, Badger o Marten.

Cada página individual está marcada "Clasificado - Uso oficial solamente" (Haga clic para ampliar)
Cada página individual está marcada como “Clasificada – Solo para uso oficial”

Ella tiene razón: en la parte superior derecha, en cada página de esta documentación, hay un marcador “clasificado”: “Clasificado: sólo para uso oficial”. En otras palabras, nada de lo que encontramos aquí estaba destinado a ser visto por el público. Recuerde: habíamos comprado la máquina por una corazonada, por unos 100 USD (más gastos de envío). Esta es realmente una lección sobre lo que no se debe hacer al deshacerse del hardware.

¿Es peligrosa la información que encontramos? No. Es un manual de operaciones para un equipo militar al que nadie fuera de las fuerzas armadas tiene (o nunca tendrá) acceso. Parte de la información también puede adquirirse a través de otras fuentes. Otros datos pueden ser interesantes desde un punto de vista técnico (o simplemente como “curiosidades aleatorias”), como el hecho de que el buscador de alcance láser de este sistema de misiles contiene un recipiente presurizado lleno de gas metano. Pero no podemos ver cómo cualquier posible atacante podría obtener una ventaja al adquirir esta información. Las instrucciones son muy detalladas y explican exactamente cómo operar el sistema de misiles. Hay capítulos como “Vigilancia del espacio aéreo, manual / automático”, “Adquisición de objetivos / Adquisición de objetivos de fuentes externas”, “Implementación / Plataforma segura de armas”,

¿Deberían haberse destruido estos datos al desmantelar el dispositivo? Sí definitivamente.

Infokasten: ¿Qué se clasifica?

En Alemania, cualquier pieza de información clasificada cae en una de cuatro categorías. Esas se basan en las consecuencias que resultarían de que la información se haga pública:

  1. Clasificado: solo para uso oficial: la publicación de estos datos puede causar desventajas menores
  2. Clasificado – Confidencial – Publicar los datos puede causar daños
  3. Clasificado – Secreto – la publicación de los resultados de los datos pone en peligro la seguridad
  4. Clasificado – Alto secreto – Amenaza existencial inmediata cuando esta información se hace pública

Los datos contenidos en esta computadora portátil del ejército pueden haber sido clasificados en el nivel más bajo; sin embargo, los responsables deberían haber tenido mayor cuidado al desmantelarlo y eliminarlo del inventario al garantizar la destrucción de los datos.
No es extraño que se vendan medios de almacenamiento en los que no se han limpiado y que aún contienen información crítica, por lo que esto no es exclusivo de este caso particular.

Una búsqueda más reciente para máquinas similares resultó que aparentemente tuvimos suerte. En casi todas las acciones que analizamos, no se incluyó ningún disco duro con el dispositivo. Entonces este caso puede ser una excepción a la regla. Una cosa es segura: todavía hay muchos discos duros que nunca se borraron y que aún contienen datos personales o relacionados con el negocio que no tienen ningún negocio abierto.

La protección de datos no termina con la eliminación de un dispositivo de la lista de inventario.

Tim Berghoff

Evangelista de seguridad

Cómo desechar correctamente los medios de almacenamiento

La destrucción física de un disco duro hace que cualquier información sea 100% irrecuperable
La destrucción física de un disco duro hace que cualquier información sea 100% irrecuperable

Si tiene la intención de cancelar y deshacerse del hardware antiguo en su hogar o en su negocio, hay algunos pasos simples que puede seguir. No causan muchos problemas, pero pueden ahorrarle muchos.

  • Retire los discos duros del dispositivo.
    Las impresoras de red modernas también suelen contener discos duros, que incluso pueden contener copias de la información impresa con el dispositivo.
  • Si los medios de almacenamiento se van a reutilizar o vender:
    esto funciona mejor cuando se sobrescribe la unidad con números aleatorios. Existen herramientas especializadas para esto, como Darik’s Boon and Nuke (DBAN). Esto asegura que no se puedan recuperar datos. E incluso si es así, el costo superará ampliamente cualquier beneficio potencial.
  • Destruya los medios de almacenamiento
    Si no tiene la intención de reutilizar o revender el medio en cuestión, debe ser destruido. Hay varias formas de lograr esto. Los discos duros magnéticos se pueden limpiar pasando un imán fuerte sobre él. Para uso comercial, así como para destruir material clasificado, hay disponibles máquinas trituradoras de disco duro, que cortarán físicamente el disco duro en pequeños trozos de metal y plástico, incluida una documentación automática de la destrucción.  

Por cierto: la documentación que vimos también contenía un capítulo sobre cómo inutilizar el sistema para evitar el uso del misil por parte de un adversario militar. Además de los pasos obvios, tales como “destruir el vehículo con cualquier explosivo disponible”, “destruir las matrices de sensores con martillos o hachas” y “cortar las líneas de combustible en el compartimiento del motor y encender cualquier combustible que drene”, también hay una sección que establece “Eliminar cualquier disco duro”.

Comentarios

comments

Powered by Facebook Comments