GUÍA DEL HACKING (mayormente) INOFENSIVO Vol 1. Número 4
Hoy es el día de la diversión del vigilante! Cómo echar a los capullos fuera de sus PSI's.
Cuánto te gustaría hacer eso cuando tu discreto newsgroup queda de repente invadido por anuncios de números 900 de sexo y Haz-Dinero-Rápidamente? Si nadie nunca hubiera hecho que esos tíos pagasen por su insolencia, pronto Usenet habría estado invadida de ordinarieces.
Es realmente tentador, no crees, usar nuestros conocimientos sobre hacking para echar a esos tíos de una vez por todas. Pero muchas veces hacer eso es igual que usar una bomba atómica para cargarte una hormiga. Para qué arriesgarse a ir a la cárcel cuando existen caminos legales para poner en huida a esas sabandijas?
Este capítulo de Happy Hacking te enseñará algunas maneras de luchar contra la escoria en Usenet.
Los spammers (nombre dado a quienes realizan este tipo de publicidad abusiva) dependen del email falsificado y los sitios de Usenet. Tal y como aprendimos en el segundo número de la Guía Del Hacking (mayormente) Inofensivo es fácil falsificar el correo electrónico. Bueno, pues también es fácil divertirse con Usenet.
***********************************
Newbie-Nota #1: Usenet es una parte de Internet que está formado por el sistema de grupos de discusión on-line llamado "newsgroups". Ejemplos de newsgroups son rec.humor, comp.misc, news.announce.newusers, sci.space.policy y alt.sex. Existen más de 10,000 newsgroups. Usenet comenzó en 1980 como una red Unix que unía a personas que querían (lo adivinaste) hablar sobre Unix. Entonces alguna de esa gente quiso hablar de otros asuntos, como física, vuelo espacial, humor de bar, y sexo. el resto es historia.
***********************************
Aquí tenemos un rápido sumario de cómo trucar los Usenet sites. Una vez más, usaremos la técnica de hacer telnet a un puerto específico. El puerto Usenet sólo suele estar abierto a aquellas personas que poseen cuentas en ese sistema. Por ello necesitarás hacer telnet desde tu cuenta shell a tu propio PSI de esta manera:
telnet news.myISP.com nntp
donde tienes que sustituir la parte de tu dirección de email que viene detrás de la @ por "my.ISP.com". También tienes la posibilidad de usar "119" en lugar de "nntp".
Con mi PSI obtengo lo siguiente:
Trying 198.59.115.25 ...
Conectado a sloth.swcp.com.
Escape character is `^]'.
200 sloth.swcp.com InterNetNews NNRP server INN 1.4unoff 05-ready (posting)
Ahora, cuando entremos en un programa que no sepamos muy bien cómo funciona, tecleamos:
help
Y obtendremos:
100 Legal comands
authinfo user Name|pass Password|generic <prog> <args>
article [MessageID|Number]
body [MessageID|Number]
date
group newsgroup
head [MessageID|Number]
help
ihave
last
list [active|newsgroups|distributions|schema]
listgroup newsgroup
mode reader
newsgroups yymmdd hhm mss ["GMT"] [<distributions]
newnews newsgroups yymmdd hhmmss ["GMT"]
[<distributions>]
next
post
slave
stat [MessageID|Number]
xgtitle [group_pattern]
xhdr header [range|MessageID]
xover [range]
xp at header range|MessageID pat [morepat...]
xp ath Message ID
Informe sobre posibles problemas a <usenet@swcp.com>
Usa tu imaginación con estos comandos. Además, si pretendes hackear sites desde un PSI distinto al tuyo, ten presente que algunos Internet hosts tienen un puerto nntp que o no requiere password o uno fácilmente adivinable como "post" o "news". Pero puede ser un gran esfuerzo encontrar un puerto nntp que no esté defendido. Por ello, y porque normalmente tendrás que hacerlo en tu propio PSI, es mucho más difícil que hackear el email.
Sólo recuerda cuando estés "hackeando" Usenet sites que tanto el email como los Usenet sites trucados pueden ser detectados fácilmente, si sabes buscar para ello. y es posible decir desde dónde fueron hackeados. Una vez que detectes de dónde viene realmente el "spam", puedes utilizar el Message-ID (Identificación del Mensaje) para enseñarle al sysadmin (administrador del sistema) a quién debe echar.
Normalmente no te será posible averiguar la identidad del culpable por ti mismo. Pero puedes hacer que sus PSI's le cancelen sus cuentas!
Seguramente estos Reyes del Spamming volverán a aparecer en cualquier otro PSI inocentón. Siempre están en activo. Y, hey, cuando fue la última vez que recibiste una "Maravillosa Oferta de Descuentos en su Compra"? Si no fuese por nosotros, los vigilantes de la Red, vuestros buzones y newsgroups estarían continuamente llenos de basura.
Y además el ataque contra los spammers que estoy a punto de enseñarte es perfectamente legal! Hazlo y te convertirás en un Chico Bueno oficialmente. Hazlo en una fiesta y enseña a tus amigos a hacerlo también. Es difícil conseguir demasiados vigilantes anti-spam ahí fuera!
Lo primero que tenemos que hacer es revisar cómo leer los encabezamientos (headers) de los artículos de Usenet y el email.
El encabezamiento es lo que nos muestra la ruta que el email o el artículo de Usenet utilizó para llegar hasta tu ordenador. Nos da los nombres de los Internet hosts que han sido usados en la creación y la transmisión de un mensaje. Sin embargo, cuando algo ha sido falsificado puede que los nombres de esos hosts sean falsos también. Como alternativa para evitar esto, el avezado falsificador usará nombres de hosts reales. Pero el hacker experimentado es capaz de decir si los hosts listados en el encabezamiento fueron usados realmente.
Primero analizaremos un ejemplo de spamming en Usenet. Un lugar realmente bueno para encontrar basura de esta clase es alt.personals. No es un lugar tan patrullado por vigilantes anti-spam como por ejemplo digamos rec.aviation.military. (Los que se meten con pilotos de guerra lo hacen por su propia cuenta y riesgo, y asumiendo las consecuencias!)
Así que lo que tenemos aquí es un frecuente ejemplo de spamming descara-do, tal y como es mostrado por el lector de News basado en Unix "tin":
Thu, 22 Aug 1996 23:01:56 alt.personals Tomados 134 de 450
Lines 110 >>>>TEST DE COMPATIBILIDAD GRATIS E INSTANT¡NEO Sin responder
ppgc@ozemail.com.au glennys e clarke at OzEmail Pty Ltd - Australia
HAZ CLICK AQUÍ PARA TU TEST DE COMPATIBILIDAD GRATIS E INSTANT¡NEO!
http://www.perfect-partners.com.au
POR QU… LOS SOLTEROS MAS SELECTIVOS NOS ESCOGEN
En Perfect Partners (Newcastle) International somos privados y confiden-ciales. Presentamos damas y caballeros entre sí con propósitos de amistad y matrimonio. Con más de 15 años de experiencia, Perfect Partner (N. del T.: el nombre significa "Compañero Perfecto", jajaja, encima cachondeos) es una de las agencias de contactos de amistad en Internet con más prestigio y éxito.
Por supuesto la primera cosa que resalta sobre el resto es la dirección de email de retorno. Nosotros los vigilantes de la red solíamos mandar siempre de retorno una copia del puñetero mensaje a la dirección de correo electrónico del spammer.
En un grupo de News tan consultado como alt.personals, si únicamente uno de cada cien lectores devuelve el mensaje a la cara del remitente (mejor dicho, a su buzón) obtendremos una avalancha de mail-bombing. Esta avalancha alerta inmediatamente a los sysadmins (administradores de sistema) del PSI de la presencia de un spammer, y Hasta Luego Lukas a la cuenta del kapullo.
Por ello, para retrasar la inevitable respuesta de los vigilantes, hoy en día muchos spammers utilizan direcciones de email falsas o trucadas.
Para comprobar si la dirección de email es falsa, salgo de "tin" y en el prompt de Unix tecleo el comando:
whois ozemail.com.au
Obtengo la respuesta:
no match for "OZEMAIL.COM.AU" (no existe "OZEMAIL.COM.AU")
Sin embargo eso no prueba nada, porque el "au" del final de la dirección de email significa que es una dirección de Australia. Desafortunadamente, "whois" no funciona en la mayoría de Internet fuera de USA. (Nota del Traductor : jajajaaaa , eso lo dice la gilipollas que escribió el artículo este
;-D ).
El siguiente paso es mandar algún email de queja a esta dirección. Una copia del propio spam es normalmente una protesta suficiente. Pero por supuesto le enviamos el email sin dirección del mensaje (nuestra).
A continuación voy a la Web que se anuncia. Llego y contemplo que hay una dirección de email de esta compañía, perfect.partners@hunterlink.net.au. Por qué no me sorprendo cuando veo que no es la misma que la que había en el mensaje de alt.personals?
Podríamos detenernos justo aquí y tirarnos una o dos horas mandando 5 MB de emails con basura en los attachments a perfect.partners@hunterlink.net.au.
Hmmm, mandamos gifs de hipopótamos apareando?
***********************************
Puedes-Ir-A-La-Cárcel-Nota: Mailbombing es una manera de meterse en serios problemas. Según la experta en seguridad informática Ira Winkler "Es ilegal hacer mail-bomb a un spammer. Si llega a ser demostrado que tú causaste maliciosamente cualquier pérdida financiera, en las que se pueden incluir el provocar horas de trabajo recuperándose de un mail-bomb, tienes responsabilidad de tipo criminal (culpabilidad). Si un sistema no está configurado correctamente, y tiene el directorio de correo en el disco duro del sistema, puedes reventar el sistema entero. Esto te convierte en más criminal todavía".
***********************************
Puff. Desde que el mailbombing intencionado es ilegal, no puedo mandar esos gifs de hipopótamos apareando. Por esto lo que hice fue enviar de vuelta una copia del spam a perfect.partners. Puede que parezca una venganza estúpida, pero aprenderemos a hacer mucho más que eso. Incluso mandando un sólo email a esos tíos puede convertirse en el comienzo de una oleada de protestas que los eche de Internet de una vez por todas. Si únicamente una de mil personas que reciben el spamming van a la Web de los tíos esos y les envía un email de protesta, aún así recibirán miles de protestas a consecuencia de sus abusivos mensajes. Este gran volumen de email puede ser suficiente para alertar a los sysadmins del PSI de la presencia del spammer, y , como dije, hasta luego lukas a la cuenta del spammer.
Fíjate lo que dice Dale Amon (propietario/operador de un PSI) sobre el poder del email-protesta:
"Uno no tiene que pedir ayuda para hacer un `mail-bomb'. Simplemente ocurre y ya está. Cuando veo un spammer, automáticamente le mando una copia de su propio mensaje. Me imagino que un montón de gente más hará lo mismo al mismo tiempo. Si ellos (los spammers) ocultan su direccion de email (la verdadera), la averiguo y les mando el correspondiente mensaje si tengo tiempo. En absoluto me remuerde la conciencia al hacerlo."
Hoy en día Dale es el propietario y el director técnico del PSI más grande y antiguo de Irlanda del Norte, por ello conoce perfectamente los mejores modos de descubrir qué PSI está albergando al spammer. Y estamos a punto de aprender uno de ellos.
Nuestro objetivo es descubrir quién ofrece la conexión a Internet a estas personas, y también quitarles esa conexión! Créeme, cuando la gente que controla un PSI encuentra que uno de sus clientes es un spammer, nomalmente no tardan mucho en echarlos fuera.
Nuestro primer paso será diseccionar el encabezamiento del mensaje para ver cómo y dónde fue falsificado.
Dado que mi lector de news (tin) no permite visualizar los encabezamientos, uso el comando "m" para enviar una copia de este mensaje a mi cuenta shell.
Llega unos pocos minutos después. Abro el mensaje con el programade email "Pine" y obtengo un encabezamiento con todo lujo de detalles:
Path:
sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s
tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com
!news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news
From:glennys e clarke <ppgc@ozemail.com.au>
NNTP-Posting-Host: 203.15.166.46
Mime-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Mozilla 1.22 (Windows; I; 16bit)
El primer elemento de este encabezamiento es rotundamente verdadero: sloth.swcp.com. Es el orednador que mi PSI utiliza para albergar los newsgroups. Es el último enlace en la cadena de ordenadores que ha distribuido el mensaje-spam por el mundo.
***********************************
Newbie-Nota #2: Los hosts de Internet tienen dos "nombres" con diferente significado referente a su dirección en la Red. "Sloth" es el nombre de uno de los ordenadores que posee la compañía con dominio swcp.com. Por ejemplo "sloth" es digamos el nombre del servidor de news, y "swcp.com" el apellido. "Sloth" se puede interpretar también como el nombre de la calle, y "swcp.com" el nombre de la ciudad, estado y código zip. "Swcp.com" es el nombre del dominio que posee la compañía Southwest Cyberport. Todos los hosts tienen además versiones numéricas de sus nombres (n∫ de IP) por ejemplo 203.15.166.46.
***********************************
Lo siguiente que haremos es obvio. El encabezamiento dice que el mensaje tuvo como origen el host 203.15.166.46. Por ello hacemos telnet a su servidor de nntp (puerto 119):
telnet 203.15.166.46 119
Obtenemos:
Trying 203.15.166.46 ...
telnet: connect: Conexión rechazada
Parece ser a todas luces que este elemento del encabezamiento está falsificado. Si este realmente fuera un ordenador que alberga newsgroups, debería tener un puerto de nntp que aceptara visitantes. Unicamente me aceptaría durante ese medio segundo que tarda en darse cuenta de que yo no estoy autorizado para usarlo, pero lo haría. Sin embargo en este caso rechaza cualquier tipo de conexión.
Aquí tenemos otra explicación: hay un firewall en este ordenador que filtra los paquetes de información y que sólo acepta a usuarios autorizados. Pero esto no es lo corriente en un PSI utilizado por un spammer. Esta clase de firewall se utiliza normalmente para conectar una red local de una empresa con Internet.
A continuación intento mandar un email (una copia del spam) a postmaster@203.15.166.46. Pero esto es lo que obtengo:
Fecha: Wed, 28 Aug 1996 21:58:13 -0600
From: Mail Delivery Subsystem <MAILER-DAEMON@techbroker.com>
To: cmeinel@techbroker.com
Subject: Returned mail: Host desconocido (Name server: 203.15.166.46: host
no encontrado)
Fecha de recepción del mensaje original: Wed, 28 Aug 1996 21:58:06 -0600
from cmeinel@localhost
----- Las siguientes direcciones presentan problemas de reparto -----
postmaster@203.15.166.46 (error irreparable)
----- Transcript of session follows ----- ("Transcripción de la sesión")
501 postmaster@203.15.166.46... 550 Host desconocido (Name server: 203.15.166.46:
host no encontrado)
----- Original message follows ----- ("Mensaje original")
Return-Path: cmeinel
Recibido: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id
OK, parece ser que la información sobre el servidor de nntp era falsa también.
A continuación comprobamos el segundo elemento de la línea inicial del encabezamiento. Como empieza con la palabra "news", me figuro que se tratará de un ordenador que alberga newsgroups. Compruebo su puerto nntp para asegurarme:
telnet news.ironhorse.com nntp
Y el resultado es:
Trying 204.145.167.4 ...
Conectado a boxcar.ironhorse.com.
Escape character is `^]'.
502 Usted no posee permiso para hablar. Adiós.
Conexión cerrada por host remoto.
OK, sabemos entonces que esa parte del encabezamiento hace referencia a un server de news real. Oh, sí, también hemos averiguado el nombre/dirección que el ordenador ironhorse.com usa para albergar las news: "boxcar".
Pruebo el siguiente elemento de la ruta:
telnet news.uoregon.edu nntp
Y obtengo:
Trying 128.223.220.25 ...
Conectado a pith.uoregon.edu.
Escape character is `^]'.
502 Usted no posee permiso para hablar. Adiós.
Conexión cerrada por el host remoto.
OK, este era también un server de news válido. Ahora saltemos hasta el último elemento el encabezamiento: in2.uu.net:
telnet in2.uu.net nntp
Conseguimos esta respuesta:
in2.uu.net: host desconocido
Aquí hay algo sospechoso. Este host del encabezamiento no está conectado ahora mismo a Internet. Probablemente sea falso. Ahora comprobemos el nombre de dominio:
whois uu.net
El resultado es:
UUNET Technologies, Inc. (UU-DOM)
3060 Williams Drive Ste 601
Fairfax, VA 22031
USA
Nombre de Dominio: UU.NET
Administrative Contact, Technical Contact, Zone Contact:
UUNET, Alternet [Technical Support] (OA12) help@UUNET.UU.NET
+1 (800) 900-0241
Billing Contact:
Payable, Accounts (PA10-ORG) ap@UU.NET
(703) 206-5600
Fax: (703) 641-7702
Record last updated on 23-Jul-96
Record created on 20-May-87.
Domain servers listed in order:
NS.UU.NET 137.39.1.3
UUCP-GW-1.PA.DEC.COM 16.1.0.18 204.123.2.18
UUCP-GW-2.PA.DEC.COM 16.1.0.19
NS.EU.NET 192.16.202.11
The InterNIC Registration Services Host contains ONLY Internet Information
(Networks, ASN's, Domains, and POC's)
Please use the whois server at nic.ddn.mil for MILNET Information.
Vemos que uu.net es un dominio real. Pero teniendo encuenta que el host in2.uu.net que aparece en el encabezamiento no está conectado actualmente a Internet, puede que esta parte del encabezamiento sea falsa. (Puede haber también otras explicaciones para esto).
Volviendo al elemento anterior del encabezamiento, probamos a continuación:
telnet news.mindspring.com nntp
Obtengo:
Trying 204.180.128.185 ...
Conectado a news.mindspring.com
Escape character is `^]'.
502 Usted no está registrado en mi archivo de acceso. Adiós.
Conexión cerrada por host remoto.
Interesante. No obtengo ningún nombre de host específico para el puerto nntp (recordemos, como antes "boxcar", por ej.). Qué significa esto? Bueno, hay una cosa que podemos hacer. Hagamos telnet al puerto que nos presenta la orden de que debemos hacer login. Ese puerto es el 23, pero telnet va automáticamente al 23 a menos que le digamos lo contrario:
telnet news.mindspring.com
Ahora verás qué divertido!:
Trying 204.180.128.166 ...
telnet: conectar a dirección 204.180.128.166: Conexión rechazada
Trying 204.180.128.167 ...
telnet: conectar a dirección 204.180.128.167: Conexión rechazada
Trying 204.180.128.168 ...
telnet: conectar a dirección 204.180.128.168: Conexión rechazada
Trying 204.180.128.182 ...
telnet: conectar a dirección 204.180.128.182: Conexión rechazada
Trying 204.180.128.185 ...
telnet: conectar a dirección 204.180.128.185: Conexión rechazada
Date cuenta cuántos hosts son probados por telnet con este comando! Parece que todos ellos deben ser servers de news, ya que parece que ninguno de ellos presenta el menú de login.
Este parece ser un buen candidato como origen del spamming. Hay 5 servidores de news. Hagamos un whois del nombre de dominio:
whois mindspring.com
Obtenemos:
MindSpring Enterprises, Inc. (MINDSPRING-DOM)
1430 West Peachtree Street NE
Suite 400
Atlanta, GA 30309
USA
Nombre de Dominio: MINDSPRING.COM
Administrative Contact:
Nixon , J. Fred (JFN) jnixon@MINDSPRING.COM
404-815-0770
Technical Contact, Zone Contact:
Ahola, Esa (EA55) hostmaster@MINDSPRING.COM
(404) 815-0770
Billing Contact:
Peavler, K. Anne (KAP4) peavler@MINDSPRING.COM
(404) 815-0770 (FAX) 404-815-8805
Record last updated on 27-Mar-96
Record created on 21-Apr-94.
Domains servers listed in order:
CARNAC.MINDSPRING.COM 204.180.128.95
HENRI.MINDSPRING.COM 204.180.128.3
***********************************
Newbie-Nota #3: El comando whois puede decirte quién es el propietario de un determinado dominio. El nombre de dominio son las dos últimas partes separadas por un punto que vienen después de la "@" en una dirección de email, o las dos últimas partes separadas por un punto en el nombre de un ordenador.
***********************************
Yo diría que Mindspring es el PSI desde el que seguramente se falsificó el mensaje. La razón es que esta parte del encabezamiento parece verdadera, y ofrece montones de ordenadores desde los que falsificar un mensaje. Una carta a la consultoría técnica en hostmaster@mindspring.com con una copia del mensaje (del spam) puede que obtenga resultado.
Pero personalmente yo iría a su página Web y les mandaría un email de protesta desde allí. Hmmm, tal vez 5MB gif de hipopótamos apareando? Aunque sea ilegal?
Pero el sysadmin Terry McIntyre me advierte:
"No hace falta enviarles toneladas de megas de basura. Simplemente con enviarles una copia del spam es suficiente, para que el que lo envió primero (el spammer) sepa cuál es el problema."
"La Ley del Gran Número de Ofendidos va a tu favor. El spammer manda un mensaje para ´alcanzar/llegar/tantear' al máximo número de consumido-res potenciales posibles."
"Miles de Fastidiados mandan mensajes no-tan-amables al spammer criticando su conducta incorrecta. Y muchos spammers toman ejemplo rápidamente y se ´arrepienten'".
"Una cosa que nunca debería hacerse es enviar (publicar) al newsgroup o la lista de correo una protesta por la incorrección del spam anterior. Siempre, siempre, hay que usar el email privado para hacer ese tipo de reclamaciones. De otro modo, el newby sin darse cuenta aumenta el nivel de ruido (basura) que circula por el newsgroup o la lista de correo".
Bueno, la última frase significa que si realmente quieres tirar del enchufe del spammer, yo mandaría una amable nota incluyendo el mensaje-spam con los encabezamientos intactos a la consultoría técnica o al departamento de atención al cliente de cada uno de los links reales que encontré en el encabezamiento del spam. Seguramente te lo agradecerán.
Aquí tenemos un ejemplo de un email que me envió Netcom agradeciéndome la ayuda prestada en la detección de un spammer:
From: Netcom Abuse Department <abuse@netcom.com>
Reply-To: <abuse@netcom.com>
Subject: Gracias por su informe
Gracias por su información. Hemos informado a este usuario de nuestras normas y hemos tomado las medidas oportunas , incluyendo la cancelación de la cuenta. Si él o su empresa continúa transgrediendo las normas de Netcom, tomaremos acciones legales.
Los siguientes usuarios han sido informados:
santiago@ix.netcom.com
date-net@ix.netcom.com
jhatem@ix.netcom.com
kkooim@ix.netcom.com
duffster@ix.netcom.com
spilamus@ix.netcom.com
slatham@ix.netcom.com
jwalker5@ix.netcom.com
binary@ix.netcom.com
clau@ix.netcom.com
frugal@ix.netcom.com
magnets@ix.netcom.com
sliston@ix.netcom.com
aessedai@ix.netcom.com
readme@readme.net
captainx@ix.netcom.com
carrielf@ix.netcom.com
charlene@ix.netcom.com
fonedude@ix.netcom.com
prospnet@ix.netcom.com
noon@ix.netcom.com
sial@ix.netcom.com
thy@ix.netcom.com
vhsl@ix.netcom.com
Disculpe por la longitud de la lista.
Spencer
Investigador de Abusos
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
NETCOM Online Communication Services Asuntos de Abusos
Línea 24-horas: 408-983-5970 abuse@netcom.com
OK, ya estoy finalizando el artículo. Feliz Hacking! Y que no te atrapen!!
_____________
Quieres compartir algo de información sobre hacking? Decirme que soy un coñazo? Flamearme? Para las primeras dos cosas, estoy en cmeinel@techbroker.com. Por favor, envía tus flames a dev/null@techbroker.com. Feliz Hacking!
______________
Copyright 1996 Carolyn P. Meinel. Puedes distribuir esta GUÍA DEL HACKING (mayormente) INOFENSIVO siempre que dejes esta nota al final. Para suscribirse, email cmeinel@techbroker.com con el mensaje "subscribe hacker <joe_blow@boring.ISP.net>" sustituyendo tu dirección de correo electrónico real por la de Joe Blow.
______________
TRADUCIDO POR:
IPghost IPghost 1997 "The Power Of The Net-Phantom"
The truth is out there...