El caso Tim Lloyd/Omega

Lo único con lo que Lloyd no contaba era que había investigadores con suficientes conocimientos informáticos para volver a unir las piezas de lo que los fiscales describieron como su "plan elaborado y maquiavélico" y rastrear la evidencia hasta la puerta de entrada de Lloyd.

En un sentido puramente legal, la condena de Lloyd en un tribunal federal de Newark, N.J. el mes pasado fue una victoria precedente que demuestra que el gobierno es capaz de rastrear y enjuiciar con éxito los delitos informáticos corporativos.

En términos humanos, se trata de un caso en el que un empleado que con 11 años de confianza en la empresa salió malparado. Lloyd construyó la red de computadoras Novell NetWare en Omega South y luego explotó una bomba de tiempo de software después de que cayera en desgracia corporativa y finalmente fuera despedido por problemas de desempeño y comportamiento. Hoy enfrenta una sentencia de hasta cinco años en prisión.

Desde el punto de vista comercial, la pérdida de sus programas clave de fabricación le costó a Omega, que construye dispositivos de medición e instrumentación para clientes como la NASA y la Marina de los Estados Unidos, más de $ 10 millones, desplazaron su base en la industria y finalmente provocaron 80 despidos.

El incidente de 1996 desencadenó una intensa investigación que reunió al Servicio Secreto de EE. UU. Y uno de los mejores expertos forenses y de recuperación de datos del mundo para juntar las pruebas que finalmente llevarían al arresto y condena de Lloyd.

"Es un caso único incluso hasta el día de hoy", dice Leo Jackson, asistente del agente especial a cargo del Servicio Secreto de EE. UU. "Este fue probablemente el primer tipo de investigación [de este tipo] que el servicio hizo alguna vez ... Se trataba de computadoras, pero este caso fue un buen trabajo de un detective duro".

El choque

31 de julio de 1996

Planta de fabricación de Omega South, Bridgeport, N.J.

Entre las 8 y las 8:30 de la mañana, un trabajador de la planta de fabricación de Omega Engineering comenzó el día iniciando sesión en el servidor de archivos central. En lugar de arrancar, apareció un mensaje en la pantalla que decía que un área del sistema operativo estaba siendo reparada. Luego, el servidor colapsó y, en un instante, desaparecieron todos los 1.000 programas de herramientas y fabricación de la planta.

"No sabía por qué el servidor no funcionaba", dijo Jim Ferguson, gerente de planta de Omega South, quien fue alertado inmediatamente del accidente. "Solo sabía que teníamos que recuperarlo. Necesitábamos esos programas".

Pero el servidor no volvía. Entonces Ferguson ordenó que las máquinas de fabricación se mantuvieran funcionando con programas que habían sido cargados el día anterior. No importaba si las órdenes ya se habían llenado. Tenía que mantener las máquinas en funcionamiento.

Entonces Ferguson fue a buscar su salvación: la cinta de respaldo. Si el servidor de archivos no volvía, aún tendría todos los programas almacenados de forma segura en una cinta de respaldo guardada en un archivador en el departamento de recursos humanos.

Pero las cintas ya no estaban. Más tarde se descubrió que Lloyd había ido al departamento de recursos humanos de Omega South el 1 de julio, sacó las cintas de respaldo y nunca las devolvió, según el testimonio.

Ferguson luego se dirigió a las estaciones de trabajo conectadas al servidor de archivos. Los programas, al menos una buena parte de ellos, deberían haberse almacenado localmente en las estaciones de trabajo individuales. Pero los programas no estaban allí.

Ferguson supo que Lloyd había eliminado los programas de las estaciones de trabajo días antes de que lo despidieran y que había centralizado todo en el único servidor de archivos.

"Fue una sensación horrible", recordó Ferguson. Telefoneó rápidamente a Lloyd. "Tim, Tim, ¿tienes las cintas de respaldo?", Dijo el fiscal federal adjunto V. Grady O'Malley, describiendo al jurado la llamada desesperada de Ferguson a Lloyd ese día . "Tim, necesitamos esas cintas. ¿Estás seguro de que no tienes las cintas?

Ferguson dijo que Lloyd le dijo que no tenía las cintas de respaldo. Según el testimonio, Lloyd dijo que los dejó en el cajón de la esquina superior izquierda de su escritorio en Omega. Pero el propio Ferguson había ayudado a limpiar el escritorio de Lloyd. No había cinta de respaldo.

Las consecuencias

En los días que siguieron al accidente, Omega convocó a tres personas diferentes para intentar la recuperación de datos, y Ferguson llamó a Lloyd una y otra vez.

Ferguson incluso fue a la casa de Lloyd para declararse en persona. Lloyd le entregó a Ferguson algunas piezas de propiedad de Omega durante la visita, pero ninguna cinta.

"Confié completamente en Tim Lloyd", dijo Ferguson al jurado. "Confiamos en Tim Lloyd. Él era responsable de la seguridad del sistema".

Lloyd, era el único empleado de Omega responsable de mantener, proteger y hacer una copia de seguridad del servidor de archivos, y no fue reemplazado después de que fuera despedido. Eso significaba que Ferguson y otros ejecutivos de Omega tuvieron que acudir a expertos externos en busca de ayuda.

Cinco días después del accidente, otro técnico de recuperación de datos le dijo a Ferguson que los programas habían desaparecido y que no parecía haber ninguna forma de recuperarlos. Ferguson comenzó a desplazar a los trabajadores por el departamento y cerró las máquinas que se estaban quedando sin materias primas o creando un exceso de inventario. Tomó medidas para contratar una flota de programadores para comenzar a reconstruir algunos de los 1.000 programas perdidos.

Y llamó a Ontrack Data International, una firma de recuperación de datos de Eden Prairie, Minn. Technicians de Ontrack, que manejó 25,000 recuperaciones de datos solo en 1999, hizo una copia de imagen especular de los discos duros dañados de Omega en la oficina local del Servicio Secreto y comienza lo que sería una búsqueda de meses de duración para los programas faltantes.

"Estábamos haciendo todo lo posible. El otro paso habría sido cerrar y despedir a todos", dijo Ferguson al jurado. "Estábamos empezando a tener una idea de todo el impacto y lo que esto iba a significar y cómo nos iba a afectar".

El choque todavía afecta a Omega.

Ralph Michel, director financiero de Omega, testificó que la bomba de software destruyó todos los programas y generadores de códigos que permitieron a la compañía fabricar 25,000 productos diferentes y personalizar esos productos básicos en hasta 500,000 diseños diferentes.

"Ese departamento nos dio flexibilidad para modificar nuestros productos y nos dio la posibilidad de reducir nuestros costos", dijo Michel, quien señaló que Omega había mostrado 34 años de crecimiento pero comenzó a resbalar después de que las computadoras se cayeran. "Perdimos ambas ventajas en julio de 1996 ...No creo que la caída del servidor fue una de las razones principales de la caída en las ventas, sino el motivo".

"Nunca nos recuperaremos", dijo Ferguson al jurado.

La investigación criminal

12 de agosto de 1996

Oficina del Servicio Secreto, Washington, D.C.

Los ejecutivos de Omega llamaron al Servicio Secreto de EE. UU. Y les dijeron que sospechaban que el bloqueo del servidor de archivos era el resultado de un acto delictivo.

Dos días después, el agente especial William Hoffman llegó a Omega South. En ese momento, un estatuto relativamente nuevo convertía el sabotaje informático en una ofensa federal si afectaba a una computadora utilizada en el comercio interestatal y causaba un daño de más de $ 5,000 a la compañía en un lapso de 12 meses.

"Esta no fue solo una simple investigación de la PC de un chico en su casa", dijo Hoffman en una entrevista exclusiva después del juicio. "Estábamos mirando la red de una corporación importante ... La gran magnitud de la misma estaba más allá de nuestra experiencia en ese momento".

Hoffman, que ha estado en el Servicio Secreto durante cuatro años, dividiendo su tiempo entre investigaciones criminales y servicios de protección, comenzó su investigación entrevistando a unas 50 personas en Omega, desde los propietarios de la compañía hasta las personas que trabajan en el taller.

"Desde el principio, me resultó evidente que esto no fue un accidente", dijo Hoffman. "Los archivos que se habían eliminado, se eliminaron quirúrgicamente de la base de datos. Específicamente fueron los archivos que la empresa necesitaba para sobrevivir".

Y desde el principio, todos los caminos condujeron a Lloyd. Hoffman señaló que Lloyd era la única persona que estaba atada a varias facetas clave del incidente: tenía acceso completo a la red, tenía entrenamiento de Novell y era el último que se sabía que tenía la cinta de respaldo.

La orden de búsqueda

21 de agosto de 1996

La casa de Timothy Lloyd en Delaware

En este punto, Hoffman puso suficiente empeño para obtener una orden de registro y llegó a la casa de Lloyd temprano por la mañana.

Hoffman, trabajando con varios otros agentes del Servicio Secreto, pasó por la casa y el garaje de Lloyd, confiscando alrededor de 700 piezas de evidencia potencial. Ese recorrido incluyó computadoras, placas base, teclados, más de 500 discos, CD-ROM, 12 discos duros y cintas. "Fue enorme", dijo Hoffman.

Lo que inmediatamente se destacó fueron dos cintas de respaldo, que habían sido borradas. Uno fue etiquetado como "Copia de seguridad" con las fechas "5/14/96" y "1/7/96" y el nombre de Tim Lloyd. (El 1 de julio de 1996 fue la fecha que solicitó Lloyd y se le entregó la cinta de respaldo de Omega.) Ambas cintas habían sido reformateadas, un proceso que borra los datos, el día antes de que Ferguson visitara la casa de Lloyd buscando las cintas.

"En el momento en que descubrí que las cintas de respaldo habían sido reformateadas, mi nivel de sospecha se elevó dramáticamente", dijo Hoffman, quien actuó como guardián de la evidencia.

Con las cintas, los 12 discos duros extraídos de la casa de Lloyd, y las imágenes en espejo de los discos duros dañados de la planta de Omega, Hoffman llamó a Ontrack.

Descifrando el código

Febrero de 1997

Oficinas de Ontrack en Minnesota

Cuando los especialistas en recuperación de datos de Ontrack se dieron cuenta de que los programas habían volado y eran dispersados en fragmentos aleatorios a través de los millones de espacios de almacenamiento diferentes en el sistema operativo NetWare 3.12, contactaron a Greg Olson, su director de Worldwide Data Recovery Services.

"Hacemos recuperaciones de datos cuando las empresas pierden millones de dólares al día", dijo Olson, que ha escrito herramientas de recuperación de datos para el sistema operativo NetWare de Novell e incluso fue contratado por el gobierno de los EE. UU. Para recuperar archivos de algunas computadoras de Kuwait dañadas durante la Guerra del Golfo "No es raro para mí estar trabajando con personas en modo de pánico, pero nunca habia visto esta eliminación masiva en mis 10 años de experiencia".

Olson dijo que algunas rarezas sobre la forma en que se configuró el servidor de archivos inmediatamente levantaron señales de alerta para él. "Fue extraño que las cuentas de usuario, la mayoría de ellas, tuvieran derechos de supervisión", explicó. "Es extraño que la Cuenta 12345 tenga derechos de supervisión y ninguna contraseña".

Olson comenzó haciendo búsquedas de comandos comunes o frases usadas en eliminaciones, como DEL / S; \ *. *, DEL F :, DELTREE F: y PURGE F: \.

"Estaba pensando en cosas comunes para buscar y estas estaban recibiendo éxitos", dijo Olson. "Inmediatamente, supe que estaba caliente cuando vi que PURGE recibía un golpe".

Olson siguió sacando cadenas de programación de forma sistemática de los restos del código hasta que reconstruyó seis líneas que parecían poder hacer un daño real.

"Lo que es inusual son estas seis cuerdas juntas", dijo. "Antes que nada, la fecha era significativa porque la pérdida de datos era al día siguiente. Lo segundo era esta cuenta de inicio de sesión 12345, que tenía derechos de supervisión y ninguna contraseña. Lo siguiente inusual es la quinta línea que se refiere a todos los datos el servidor, y / Y es un cambio de línea de comando común para hacer que el programa predeterminado sea sí.

"Este es el tipo de cosas que encontrarías en una utilidad para hacer algo masivo", agregó Olson. "Lo último es el PURGA. Tener el PURGA allí con la F: \ se refiere al servidor y todo lo que contiene. Y combinado con esa fecha, era muy inusual. No vas a ingresar al servidor de archivos de otra compañía y encuentra esa combinación de cuerdas. Esa fue definitivamente una situación de bandera roja ".

A continuación, Olson se propuso determinar qué parte FIX.EXE, que no es un ejecutable de NetWare y que normalmente no se encontraría en un sistema NetWare, se reproduce en la cadena. La forma en que se establecieron las cadenas, dijo que sabía que FIX.EXE debía tener poderes de eliminación, pero que ahora era cuestión de probarlo.

Así que Olson salió al disco y sacó 670 ejecutables crudos. Probó cada uno y encontró uno que parecía ser DELTREE.EXE, un comando basado en DOS que permite a los administradores eliminar archivos de los sistemas operativos Windows.

"Saqué DELTREE y lo ejecuté con estas líneas de comando para ver qué pasaría", dijo Olson. "Me sorprendió cuando la función normal DELTREE, diciendo 'eliminar esto, eliminar esto', fue reemplazado por 'arreglar esto, arreglar esto'. Sabía que estaba en algo allí ".

Lo que sabía era que el ejecutable DELTREE se había modificado para ocultar su mensaje de eliminación al colocar un mensaje de 'arreglo' en su lugar. Eso fue FIX.EXE. Ese primer paso camuflaba el proceso de eliminación para que el usuario que inicia sesión en el sistema nunca supiera lo que realmente estaba sucediendo.

Esas seis líneas de código, que formaban la bomba de tiempo, se escribieron para que detonen en el arranque, sin importar qué usuario inició sesión primero.

Olson explicó que el programa eliminó todo excepto las utilidades específicas de NetWare, que están diseñadas para ser no recuperables. Y los archivos eliminados normalmente van a una carpeta específica, donde aún podrían recuperarse si alguien supiera cómo buscarlos.

El comando de purga, sin embargo, borra cualquier rastro de las 'direcciones' para esos archivos eliminados, por lo que, aunque los datos todavía están en el servidor, ya no hay forma de encontrarlos.

"Purge borra toda evidencia de dónde están los datos", dijo Robert Hackett, supervisor remoto de operaciones de recuperación de datos para Ontrack. "Si haces una eliminación, es como si alguien pusiera papel en el basurero. Purgar es como triturar el papel en pedazos ... y tomar los cientos de miles de piezas y arrojarlas al aire".

Poniendo el código a prueba

Para probar el código, Olson tomó una copia exacta del servidor de archivos Omega y configuró un entorno de prueba con una estación de trabajo adjunta. Luego estableció la configuración del sistema para varias fechas anteriores a la fecha del 30 de julio de 1996 al comienzo de la cadena de código.

Olson configuró el sistema para el 1 de enero de 1996 y se conectó. Nada inusual sucedió.

Luego lo intentó el 30 de abril de 1996 y se conectó. Nada inusual sucedió. Luego, el 30 de julio de 1996. Nada.

Luego configuró el sistema para el 31 de julio de 1996, la fecha exacta del accidente en Omega. "Entré y todo en el sistema fue eliminado", le dijo al jurado. "En la pantalla, se dice que fue fijado para un área del sistema, pero en realidad fue borrando todo. 'El rompecabezas había sido elaborado', agregó." No hay absolutamente ninguna duda de que esto es lo que causó la pérdida de datos."

Junto con las seis líneas de código que hicieron el daño, Olson también encontró tres cadenas de prueba similares.

Esos tres programas, cada uno similar a las seis líneas de código en el programa dañino, estaban fechados el 21 de febrero, el 21 de abril y el 30 de mayo de 1996. Uno sustituyó una carpeta de prueba simple, que podría haber tenido tan solo una palabra, para el línea en el código dañino que requería que se borrara todo en el servidor. El tercer programa de prueba fechado para el 30 de mayo se configuró exactamente como el código que derribó el sistema.

"Si quería probar [mi código] y no quería afectar el uso del servidor, lo probaría usando una carpeta de prueba", dijo Olson. "Si fuera el 30 de mayo de 1996, y sabía que iba a activarse desde el día siguiente, iría manualmente y movería la fecha".

Intento criminal

"Cuando Ontrack encuentra la cadena de datos, supe que era ella", dijo Hoffman, quien voló a Minnesota para estar en Ontrack durante tres días en febrero de 1997. "Necesitaba saber si podría haber sido un mal funcionamiento del hardware. Error de usuario. Error humano ... Cuando todas estas cosas fueron refutadas, sabíamos que teníamos un crimen aquí ".

Con el código en la mano, Olson revisó el resto de los discos duros que Hoffman le había dado para examinar. Y en ese montón, encontró exactamente las mismas seis líneas de código en uno de los discos duros personales de Lloyd, que también almacenaba sus fotos de relaciones públicas, su software de chequera y cartas personales.

"Fue entonces cuando supe que teníamos a nuestro hombre", dijo Hoffman. "Entonces Grady O'Malley entra en escena, y se trata de obtener la acusación".

La prueba

17 de abril de 2000

Tribunal de Distrito de los Estados Unidos, Newark, N.J.

O'Malley recibió la acusación el 28 de enero de 1998, y después de varios aplazamientos, el juicio comenzó el 17 de abril. Duró cuatro semanas.

La defensa de Lloyd era que los ejecutivos de Omega lo culpaban por sus propios defectos. "Las computadoras fallan. Las redes se bloquean. A veces no se puede recuperar. Eso es lo que sucedió en Omega", argumentó el abogado Edward Crisinino de Westmont, N.J.

"Estos son los tipos que no tenían un administrador de red. Estos son los tipos cuyas cabezas están en el tajo", agregó durante sus argumentos finales. "Se trata de ir a su jefe y explicar por qué no tenía un administrador de red. Se trata de explicar por qué no tenía un protocolo de respaldo".

Lloyd, quien no testificó en la corte, dijo durante una entrevista exclusiva con Network World después del juicio que no cometió el crimen.

"No hay forma de que lo haga en el mundo", dijo Lloyd. "Tenía acceso completo al sistema mainframe desde casa ... Si fuera una persona vengativa, ¿crees que iría en busca de una pequeña red pequeñita?"

Lloyd incluso negó que él fuera el administrador de la red en Omega. "Nunca tuve una posición de TI en ninguna parte", dijo Lloyd, quien agregó que ahora está trabajando como maquinista en una empresa de Delaware. "Siempre he sido un maquinista. El servidor de archivos era tan simplista que no necesitaba ser mantenido. Las declaraciones más ridículas que se hicieron durante el juicio fueron que yo era el administrador de la red".

O'Malley, sin embargo, señaló que Lloyd fue quien construyó la red para Omega. Lloyd estaba a cargo de repartir contraseñas y derechos de acceso en el servidor. Lloyd instaló el software de virus y mantuvo toda la LAN.

Hoffman agregó: "Estaba claro para cada persona que entrevisté que Tim Lloyd estaba a cargo y mantenía el sistema".

Y O'Malley le dijo al jurado que no podría haber sido otra persona que no fuera Lloyd quien hubiera podido tomar ese servidor de archivos de una manera tan estratégica y calculada.

"¿Estaba el verdadero tipo sentado junto a Tim Lloyd y jugando con el sistema y cambiando las fechas?" O'Malley le preguntó al jurado. "Sugiero que no. ¿Quién podría hacer todo esto y que el administrador no le haga preguntas? Nadie. Era el administrador. Lo estaba preparando meses antes".

¿Y cuál era el motivo de Lloyd? Aproximadamente un año antes del accidente, Lloyd se había encontrado perdiendo estatus y peso a medida que la compañía se convertía en una corporación global, adquiriendo negocios y agregando plantas y oficinas en todo el mundo. La estrella de la tecnología se estaba reduciendo a solo otro miembro del equipo, según testigos de la acusación.

Los testigos agregaron que el ego y los celos dañados de Lloyd eventualmente tomaron la forma de intimidación física a sus compañeros de trabajo, sabiendo que ejecutaron diseños defectuosos para hacer que sus compañeros de trabajo se vieran mal, y obstaculizando un proyecto porque no estaba a su cargo.

La fiscalía sostuvo que Lloyd planeaba abandonar Omega meses antes de que lo despidieran, que había estado yendo a entrevistas de trabajo y que había probado el código malicioso meses antes del accidente real.

"Este fue el disparo de despedida de [Lloyd] a una compañía de la que se iba, un regalo de despedida ... Y fue casi un crimen perfecto", dijo O'Malley. "Aquí hay dos fallas. Una fue la investigación y búsqueda de su casa por parte del Servicio Secreto. La otra fue que alguien desenredaría la red de su plan que creía había sido limpiada del servidor de archivos".

El jurado condenó a Lloyd por el cargo de sabotaje informático después de tres días de deliberación, pero lo absolvió de la segunda acusación de transporte interestatal de bienes robados.

Lloyd, quien mantiene su inocencia y dice que apelará, es enviado a su estado natal de Delaware hasta su sentencia programada para el 31 de julio, cuatro años después del día en que el servidor se estrelló en Omega Engineering.