5 WebMail HacK
|-----------------------------------------------------------------------------------------------|
| WebMail HacK |
|-----------------------------------------------------------------------------------------------|
| 21-01-2003 | | XyborG |
|-----------------------------------------------------------------------------------------------|
| _____ ___ _ _ _____ _ |
| | ___|_ _| | | | | ____|___(_)_ __ ___ |
| | |_ | || |_| | | _| |_ / | '_ \ / _ \ |
| | _| | || _ | | |___ / /| | | | | __/ |
| |_| |___|_| |_| |_____/___|_|_| |_|\___| |
| xyborg@bigfoot.com |
| |
|-----------------------------------------------------------------------------------------------|
========= ==== == ====== = ======
( WebMail HacK By XyborG © 2003 )
========= ==== == ====== = ======
Indice
- Introduccion
- Via Ingenieria Social
- Via Cookies (HotMail)
- Trampitas de Lamers
- Con acceso fisico a la PC de la Victima
- Sin acceso fisico a la PC de la Victima (Acceso Remoto)
- Usando Crackeadores
- Explotando Fallas
- Despedida
[0x00] Introduccion
Mediante el siguiente texto, veremos de que formas podemos hackear una cuenta de correo, del tipo llamado Web Mail, tales como: HotMail, Yahoo!, Lycos, etc. Hasta les proporcionare un Exploit para ciertos servicios de correo vulnerables.
Se debe tener en cuenta que el hecho de querer hackear una cuenta de correo, esto tiene la casi la misma dificultad que el tratar de acceder a cualquier sistema; por lo tanto si no es facil hacer lo ultimo, porque lo va a ser lo primero?
Otra cosa a tener en cuenta es el hecho de que este texto es solo a modo educativo y no es el objetivo del mismo el que cometas actos que van en contra de la legislacion de ciertos paises, donde el robar cuentas ajenas es considerado un delito.
[0x01] Via Ingenieria Social
La "Ingenieria Social", es muy conocida en el ambiente de la Seguridad Informatica y/o derivados, ya que se llama asi al hecho de aplicar ciertos conocimientos psicologicos sobre la gente, conocimientos que radican sobre todo en las relaciones sociales, por llamarlo asi, ya que para la obtencion de datos de una persona, utilizamos distintas artimañas y/o engaños para obtener los datos que necesitemos de una persona.
Por ejemplo:
Si quisieramos saber el numero de DNI - que en Argentina, ese es el nombre que se le da al Documento Nacional de Identidad - de cierta persona, podriamos tomar ciertos hechos de la vida cotidiana para obtener el mismo.
Les hablare de como hice esto una vez, aprovechando ciertos hechos ocurridos en mi ciudad. Hace unos años, en el Registro Civil, se habian extraviados ciertos papeles, relacionados a actas de nacimientos, y esto fue dado en el noticiero local, por lo tanto casi toda la ciudad lo supo.
En esos dias, yo queria ingresar a la cuenta de una persona, un adolescente de 15 años aprox. del que tenia varios datos, pero no poseia su DNI el cual supuestamente, como acostumbra muchas personas lo utilizan como password ya que todos deber saber el suyo; como los Yankees su numero de Seguro Social. Como les iba diciendo, al enterarme de esta noticia, se me ocurrio hacer una llamado, en un horario en el que estuviera solamente su madre, ya que debido a su edad y falta de experiencia en informatica, seria mas facil obtener los datos. Al llamar, dije ser del Registro Civil, y que estabamos revisando ciertos archivos personales, para ver si estaba todo completo, y que yo le haria ciertas preguntas y ella deberia responderme si eran correctas; entonces comence una largo cuestionario, realizado con anterioridad, sobre datos que ya poseia, de manera de confirmarlos, y una vez de haber hecho varias preguntas, y que la madre de la victima entro un poco en confianza, ya que al hacerle preguntas sobre datos personales correctos, creyo que efectivamente yo era un empleado del Reg. Civil, entonces le pregunte si el numero de DNI era XX.XXX.XXX y ella, respondio que no, como debia ser, porque le habia dicho cualquier numero, entonces le dije si podia decirme el DNI correcto, y ella con mucho gusto dijo: "... si es 28.456.???" y asi, obtuve el DNI, y para que la madre no sospechara, hice un par de preguntas mas, y luego me despedi muy amablemente.
Luego de 10 segundos, ya habia ingresado a la cuenta de la victima y habia obtenido lo que queria mediante el uso de una rama de la Ing. Social.
Como dije anteriormente, solo utilice una rama de la Ingenieria Social, ya que, otra forma de aplicar esta, es mediante el estudio de los gustos personales y la vida de la victima, ya que es muy habitual el uso de nombre de mascotas, novias/os, universidades, artistas, cantantes, deportistas, sobrenombres, fechas, aniversarios, etc. Y con obtener estos datos en ciertas ocasiones basta y sobra, y no hace falta la interaccion con la victima.
Otra forma de utilizar la Ing. Social es interactuando con la victima, y poniendonos en contacto con esta, con ciertas excusas, como por ejemplo en el caso de ser la victima concurrente a ciertos canales de Chat, y si utilizara un nick que conocemos, podriamos hacer contacto con ella diciendole que estamos buscando amigos, etc. De esta forma podriamos 'hacernos amigos' y charlar sobre gustos personales, entre otras cosas con el unico objetivo de reunir informacion.
Tambien podriamos buscarla mediante el Mensajero ICQ, de saber que la victima es usuaria de este; y siempre con la misma excusa, de la que (casi) nadie sospecha, la de hacer amigos :). Una cosa para tener en cuenta, es que si debemos tener contacto con la victima, o sea chatear o algo asi, nos conviene hacernos pasar por otra persona, pero en especial por una mujer, ya que muy pocos sospecharian de ellas. (Ojo! esto ultimo no es para ofender al sexo femenino, solo lo digo, porque funciona en la mayoria de los casos ;)
Algo que se me olvidaba, y que a algunos les sonara medio Lamo, seria intentar utilizar el servicio que ofrecen todos los webmail's, que es el del recordatorio de contraseña, que comunmente es mediante una pregunta secreta; y de ser asi nos resultaria facil si tuviesemos los datos necesarios. Por ejemplo si la victima coloco como pregunta secreta: ¿Como es el apellido de soltera de mi madre? (muy comun), y lo sabemos listo!, ya estamos adentro..
Bueno esto de la Ingenieria Social, depende de cada uno, ya que como su nombre lo dice, es cuestion de Ingenio, que nos es igual para todas las personas :)
[0x02] Via Cookies (HotMail)
Nota: El metodo siguiente, ha sido extraido de una web de noticias, esta falla, al parecer sigue vigente.
Para obtener acceso a una cuenta de Hotmail solo hace falta es capturar el archivo de cookies del navegador del usuario cuya cuenta queramos hackear.
En concreto las cookies de MSN.com, "MSPAuth" y "MSPProf" son las llaves digitales que le permiten a un presunto hacker acceder al correo de la víctima sin necesidad de contraseña.
No hace falta disponer de la contraseña, de hecho los cambios de contraseña por parte del usuario legal, no afectan a la vulnerabilidad, dado que una vez en poder de las cookies los hackers pueden volver a obtener la nueva.
Una vez que disponemos de la cookies de alguien tenemos acceso eterno a la cuenta de la víctima.
Además y dado los fallos de seguridad de Internet Explorer es bastante fácil emplear uno de ellos para robar cookies sin necesidad de tener acceso físico a la máquina de la víctima.
El boquete de seguridad ha sido descubierto por Eric Glover, un programador de Nueva Jersey doctorado en ciencias de la computación en la Universidad de Michigan.
Los empleados de Microsoft anunciaron que estaban trabajando frenéticamente para solucionar el problema de seguridad, y que esperan en breve tenerlo solucionado.
[0x03] Trampitas de Lamers
Se me estaba olvidando algo, existen muchas personas que para obtener cuentas ajenas de HotMail, Yahoo!, etc. sin importar a quienes le pertenezcan; crean cuentas con nombre del tipo: retrievepwd@hotmail.com, pwd_bot@yahoo.com, forgotten_pwd@hotmail.com, etc. Y luego colocan y/o dejan mensajes en varios sitios, foros, etc. diciendo que si envias un mensaje a una de esas cuentas y pones TU user y TU pass, junto con el de la supuesta victima, te devuelven el pass de la victima.
Todo esto no es otra cosa que trampas creadas por ciertos individuos que se la dan de 'hackers' cuando no son mas que Lamers aprovechandose de la inocencia de los novatos hambrientos de conocimientos y con ganas de 'hackear'.
Asi que ya saben, no existe tal servicio de tales caracteristicas, el cual permita obtener la contraseña de otra persona enviando la nuestra (???), es solo cuestion de razonar un poco, y de no confiar demasiado.
[0x04] Con acceso fisico a la PC de la Victima
En el caso de tener acceso fisico al equipo de la victima y el tiempo necesario como para realizar ciertas tareas en el, podriamos fijarnos si la victima utiliza algun cliente de correo, estilo Outlook Express, The Bat!, etc. seria facil de obtener su contraseña si esta persona por razones de comodidad y por no andar ingresando su password cada vez que chequea una cuenta, tiene seleccionada la opcion 'Guardar contraseña'. De ser asi, solo deberiamos valernos de alguna aplicacion del tipo 'Revealer' que nos permite ver el contenido de campos en asteriscos con solo arrastrar l cursor del Mouse sobre el.
Puedes obtener el 'Revealer' en la seccion descargas de mi web: http://www.rzweb.com.ar
Otra manera seria instalando un keylogger, solo debes buscar en la red, existen de todos los gustos y sabores :)
[0x05] Sin acceso fisico a la PC de la Victima (Acceso Remoto)
En caso de no tener acceso fisico a la PC de la victima, y no haber podido lograr nada con los otros metodos, puedes intentar algo un poco mas Lamer, o sea la utilizacion de Troyanitos :), y asi despues mediante un keylogger, obtener los datos necesarios.
Pero de tener acceso a su PC puedes mirar sus documentos, ya que muchas personas guardan sus contraseñas en archivos de texto, y casi siempre usan nombres para ellos como: pas.txt, pass.doc, contraseñas.txt, etc. Solo es cuestion de buscar un poco.
Nota: Ciertos troyanos, por no decir todos, son detectados por los antivirus mas comunes al igual que algunos keyloggers, asi que dependera de tu ingenio como lograr esto. Tambien debes tener en cuenta que de tener la victima un FireWall, sera informado rapidamente de una nueva actividad y/o de algun nuevo programa/aplicacion que intente acceder a Internet.
[0x06] Usando Crackeadores
Este metodo, puede resultar cansador y tambien puede consumirnos mucho tiempo, dependiendo del password de la victima. Estamos hablando de utilizar algun crackeador de passwords, o aplicacion que nos permita, mediante el uso de 'Fuerza Bruta', WordList, etc. obtener la contraseña correcta.
WordList:
Para comenzar esta tarea, deberiamos reunir ciertos datos de la victima, que de ser alguien conocido para nosotros, no deberia ser de mucha dificultad; de esta forma asi podriamos generar una especie de lista de posibles contraseñas, tomando en cuenta datos como la fecha de nacimiento, nombre de su/sus mascota/s, apellido de la madre, deportista favorito, nombre de su colegio o facultad/universidad, su barrio, ciudad, nombre del padre, actor favorito, cantante o grupo preferido, etc. Para formar una lista de supuestas contraseñas o mejor conocida como WordList (lista de palabras). Tambien puedes bajarte algunos archivos de cotraseñas comunes, que podras encontrar en miles de sitios under en la red.
Una vez que haz recopilado la informacion necesaria, solo deberias valerte de una herramienta como el HotHack, el cual es facil de usar y esta realizado especialmente para realizar este tipo de tareas.
Brute Force:
Al hablar de 'Brute Force' o 'Fuerza Bruta', nos estamos refiriendo al hecho de crackear una cuenta mediante el uso de fuerza bruta, ya que este metodo intenta loguearse usando contraseñas (o sea cadenas de caracteres) generadas automaticamente, y de esta forma intentar con todas las combinaciones posibles de numeros, letras y hasta simbolos.
El uso de este metodo suele consumir mas tiempo, ya que dependera del ancho de caracteres del password y de su complejidad. Siempre es recomendable utilizar este metodo bajo una conexion a Internet de alta velocidad o del tipo ADSL, y con una PC lo bastante rapida tambien.
[0x07] Explotando Fallas
Bueno, con esto me voy despidiendo. Tambien podemos ingresar a cuentas ajenas, mediante la explotacion de ciertas fallas, como la de las cookies mencionada anteriormente.
Hoy en dia, existen varios servicios de correo que tienen cierta fallas, la cual nos permite ingresar a una cuenta determinada, con solo obtener la URL de algun mensaje o carpeta de la cuenta de la victima. Este es el caso de GMX.Net, MixMail (en su momento), Terra en algunos paises y por ultimo sitios como 'http://www.com.ar' que brindan el servicio de webmail gratuito utilizando para esto un sistema llamado 'VisualOffice 4.0' cuyo aplicacion para webmail es el 'VisualMail'.
La falla a la que me refiero es la que permite lo siguiente: (Lo veremos con un ejemplo)
EL usuario 'A' tiene una cuenta 'X' de email en el server 'Y'. Si el usuario 'A' entra a su cuenta 'X'; y otra persona 'B' obtiene la URL de cualquier carpeta o de algun mensaje de la cuenta 'X' del usuario 'A' en el server 'Y'; y el usuario 'A' no cierra su sesion al terminar de leer sus mensajes; podriamos decir que la cuenta 'X' queda abierta, o sea la sesion, y como la persona 'B' obtuvo la URL de un mensaje por ejemplo, esta puede ingresar a la cuenta 'X' del usuario 'A' sin la autorizacion de 'A', y sin saber la contraseña.
Las URL's a las que me refiero son del tipo:
http://sitio_vulnerable/cgi-bin/global?id=XXXXXXXXXXXXXXXXXXXXXXX&xsl=today.xsl
http://sitio_vulnerable/cgi-bin/inbox?id=XXXXXXXXXXXXXXXXXXXXXXX
Donde XXXXXXXXXXXXXXXXXXXXXXX es el ID del usuario generado cuando el mismo inicia sesion, el cual sigue siendo valido hasta que el propietario de la cuenta cierra sesion o, en caso de quedar abierta, cuando la inicia nuevamente.
Para obtener esta URL, puedes valerte de algun exploit realizado en lenguajes como PHP, desde el cual podrias obtener el $http_referer haciendo que la victima ingrese a cierto sitio desde su casilla de correo mediante algun mensaje falso que podrias enviarle y luego guardarias dicha contenido de la variable en una base de datos, un archivo o hasta incluso enviartelo por email. De esta forma obtendrias estas URL's.
Otra cosa a tener en cuenta en el tema de fallas, es que te suscribas a listas de correo del tipo de la BugTraq, donde hora a hora aparecen decenas de fallas, y sobre cualquier tipo de aplicacion, no solamente sobre servicios de correo. Asi podras estar al tanto de como explotar ciertas fallas no solucionadas para obtener esa bendita cuenta de correo AJENA.
[0x08] Despedida
Bueno, eso es todo, y espero que les sea de gran utilidad. Y como dije anteriormente: [...] "este texto es solo a modo educativo" [...] asi que Ojo! con lo que haces por ahi.
Y desde Argentina les mando un saludo; en especial a la gente FIH.
========= ==== == ====== = ======
( WebMail HacK By XyborG © 2003 )
========= ==== == ====== = ======
================== = ============
xyborg@bigfoot.com | rzweb.com.ar
================== = ============