viernes, 9 de septiembre de 2011

Las otras guerras del IRC


El protocolo IRC es un veterano de los servicios orientados a proporcionar comunicaciones tipo Chat. Según explica la Wikipedia el IRC fue creado por Jarkko Oikarinen (alias «WiZ») en agosto de 1988 con el motivo de reemplazar al programa MUT (talk multiusuario) en un BBS llamado OuluBox en Finlandia. Oikarinen se inspiró en el Bitnet Relay Chat el cual operaba en BitNet (Bitnet era una antigua red internacional de computadoras de centros docentes y de investigación utilizando un protocolo de almacenaje y envío basado en los protocolos Network Job Entry de IBM)



El IRC se popularizo rápidamente como sistema de comunicación durante los 90 y fue especialmente favorecido por la comunidad de hackers, phreakers y traficantes de software pirata (warez en la jerga) de la época. Estos últimos, por ejemplo, intercambiaban ficheros mediante servidores ftp privados o hackeados a terceros para ser utilizados como almacén temporal, aunque también hacían uso de la función envió de ficheros DCC de persona a persona una forma primitiva de intercambio P2P.

Los hackers de aquellos tiempos comparados con los de la actualidad respondían a un tipo más romántico: motivados por el ansia de conocimientos y la superación de retos. Era común una fuerte competitividad entre grupos de hackers que acabo derivando en las llamadas guerras de IRC, pequeñas luchas en las que los contendientes intentaban principalmente hacerse notar más que los demás o incordiar a los grupos enemigos.

Estas guerras consistían en acciones para bloquear o hacerse con el control de las salas de chat de los rivales o de determinada temática, llamados canales de IRC. O bien en la realización de ataques de denegación de servicio contra usuarios para sacarlos temporalmente del servidor de IRC.

En aquella época, en la que un modem de 56Kbps era tecnología punta, la practica totalidad de los usuarios se conectaba mediante dial-up ppp lo que suponía conectar directamente su equipo a Internet. Y esta IP estaba normalmente visible para cualquier usuario del IRC o se podía obtener si la victima aceptaba una conexión tipo DCC. Así que no tardaron en aparecer diversos tipos de ataques de denegación de servicio que permitían desconectar a otros usuarios del chat bloqueando su maquina remotamente. Algunos atacaban al sistema operativo como los famosos Nukes (OOB,nestea,land,etc) que soliar provocar el temido "pantallazo azul". Otros ataques afectaban en cambio al cliente de IRC como el CTCP Flood, o incluso al propio modem como el caso del bug ATH+++.

Como en toda guerra se inicio una carrera armamentistica: Fueron surgiendo diversos scripts para añadir funcionalidades de ataque al mIRC , el cliente de IRC mas empleado. Estos script, que automatizaban las tareas de ataque y defensa, tenían nombres tan sugerentes como “TDP Power AZeZino" o "Borde Flooder".

Las guerras de IRC se fueron haciendo cada vez más sofisticadas. Se instalaban bots destinados a proteger canales de los ataques, se usaban los llamados bouncer para esconder la IP de origen. Incluso se comprometían servidores DNS de terceros o se explotaba el DNS Spoofing para acceder al IRC con resoluciones inversas que resultaran “cool”, cosas como “soy.muy.peligr.oso.com”. Algunos grupos mas avanzados técnicamente llegaron incluso a comprometer los servidores que soportaban las mismas redes de IRC para pinchar las comunicaciones de los rivales o a los administradores de las mismisimas redes de IRC los conocidos como IRcop.

Sala de chat del IRC Hispano visto con el cliente mIRC
Hoy en dia quedan relativamente pocas referencias en la web de aquella época, con excepciones como las "Tácticas de guerra en el IRC" de Romansoft (disponible en Hackstory) o la colección de scripts de Chevalierr.

Sin embargo en la actualidad el IRC ha vuelto a tener relevancia en los medios al constituir la vía principal de comunicación de colectivos hacktivistas como Anonymous, que manejan su propia red de IRC Anonops, que emplean como punto de reunión para coordinar sus acciones reivindicativas, debatir nuevos objetivos y estrategias. Cada una de las operaciones de protesta de Anonymous suele tener su propio canal, ademas de canales que aglutinan a los Anonymous de un mismo país o idioma, como el caso de #Hispano.

Dada la familiaridad de los hackers con el protocolo IRC no es de extrañar que muchos troyanos y las primeras Botnet de maquinas zombies usaran este medio como sistema de comunicación y control con su creador. Exactamente el mismo canal de comunicación de LOIC , la herramienta de denegacion de servicio empleada por anonymous en sus ataques. LOIC puede funcionar de modo autonomo o bien mediante un sistema centralizado llamado HiveMind , conectándose a un canal específico de IRC para recibir los comandos que indican la web objetivo a bloquear.

Ahora bien no todos los usuarios de IRC son hacktivistas, intrusos informáticos y otra gente de mal vivir, algunos son simples internautas que disfrutan del chat de diversas temáticas en este vetusto protocolo, probablemente llamados por el minimalismo del chat en texto plano. Pero existen otros usuarios del IRC, digamos, mas especiales: por ejemplo los controladores militares que coordinan en estos momentos ataques aéreos desde aviones AWACS en Afganistan o Libia. Ya que por surrealista que pueda parecer en un principio las comunicaciones entre estos controladores y los centros de mando en tierra para autorizar y coordinar bombardeos aéreos se realizan mediante salas de IRC.
Una de las referencias más recientes de este uso militar del IRC la tenemos en un artículo del mes pasado de la prestigiosa revista Aviation Week, bajo el titulo Air Superiority For NATO Over Libya. Nos revela que los AWACS británicos y de la OTAN desplegados sobre Libia usan el IRC para conectar con el centro de operaciones aéreas de la OTAN CAOC-5 en Poggio Renatico, Italia. En conflictos belicos actuales donde los daños colaterales pueden tener un importante efecto ante la opinión pública que cada ataque debe ser convenientemente ser autorizado. En este caso lo más probable es que los controladores militares a bordo del AWACS y en comunicación directa con los pilotos de cazabombarderos y fuerzas especiales en tierra , hablan con ellos vía radio convencional al tiempo que solicitan permiso para el empleo de la fuerza mediante el chat IRC a instancias superiores.

No es la de Libia la única referencia a este mismo uso del IRC y si buscamos un poco podemos encontrar un artículo en la web de la USAF donde se comenta el uso operativo ya en 2008. Así como otras múltiples referencias en Irak y Afganistán.

Es evidente que estas comunicaciones se realizan en redes cifradas, altamente segregadas y por supuesto totalmente separadas de Internet. Pero ¿Se imaginan el caos que se podría crear si un grupo de hackers obtuviera acceso a este tipo de redes IRC y usara las "técnicas de guerra en el IRC" con consecuencias en conflictos del mundo real? ¿Y si en lugar de simples hackers fueran un comando de operaciones de intrusion informática enemigo?. Sin duda una de las implicaciones de la migración de protocolos propietarios militares hacia el uso de protocolos del ámbito civil, algo que ya tratamos en el artículo sobre vulnerabilidades COTS.


Aunque finalmente parece que igual que ocurrió con el IRC en el mundo civil este veterano protocolo empieza a ser reemplazado por otras alternativas más modernas. Así por ejemplo el interesante "paper" del organismo NC3A de la alianza atlántica Extending the Mission: NATO AEW Beyond Line-of-Sight Airborne IP Communications (Vista Rapida Google) ya contempla el uso de protocolos de chat basados en XMPP, un protocolo abierto basado en XML, para el que existen servidores y clientes libres. Es el usado por Facebook, Tuenti o GoogleTalk, por lo que aunque carezca de la aureola romántica del IRC a buen seguro no será un protocolo desconocido entre los hackers.