GU�A DEL HACKING (mayormente) INOFENSIVO
Vol. 1 N�mero 4
�Hoy es el d�a de la diversi�n del vigilante!
C�mo echar a los capullos fuera de sus PSIs.
�Cu�nto te gustar�a hacer eso cuando tu discreto newsgroup queda de repente invadido por anuncios de n�meros 900 de sexo y Haz-Dinero-R�pidamente? Si nadie nunca hubiera hecho que esos t�os pagasen por su insolencia, pronto Usenet habr�a estado invadida de ordinarieces.
Es realmente tentador, no crees, usar nuestros conocimientos sobre hacking para echar a esos t�os de una vez por todas. Pero muchas veces hacer eso es igual que usar una bomba at�mica para cargarte una hormiga. �Para qu� arriesgarse a ir a la c�rcel cuando existen caminos legales para poner en huida a esas sabandijas?
Este cap�tulo de Happy Hacking te ense�ar� algunas maneras de luchar contra la escoria en Usenet.
Los spammers (nombre dado a quienes realizan este tipo de publicidad abusiva) dependen del email falsificado y los sitios de Usenet. Tal y como aprendimos en el segundo n�mero de la Gu�a Del Hacking (mayormente) Inofensivo es f�cil falsificar el correo electr�nico. Bueno, pues tambi�n es f�cil divertirse con Usenet.
Newbie-Nota #1: Usenet es una parte de Internet que est� formado por el sistema de grupos de discusi�n on-line llamado "newsgroups". Ejemplos de newsgroups son rec.humor, comp.misc, news.announce.newusers, sci.space.policy y alt.sex. Existen m�s de 10,000 newsgroups. Usenet comenz� en 1980 como una red Unix que un�a a personas que quer�an (lo adivinaste) hablar sobre Unix. Entonces alguna de esa gente quiso hablar de otros asuntos, como f�sica, vuelo espacial, humor de bar, y sexo. El resto es historia.
Aqu� tenemos un r�pido sumario de c�mo trucar los Usenet sites. Una vez m�s, usaremos la t�cnica de hacer telnet a un puerto espec�fico. El puerto Usenet s�lo suele estar abierto a aquellas personas que poseen cuentas en ese sistema. Por ello necesitar�s hacer telnet desde tu cuenta shell a tu propio PSI de esta manera:
telnet news.myISP.com nntp
donde tienes que sustituir la parte de tu direcci�n de email que viene detr�s de la @ por "myISP.com". Tambi�n tienes la posibilidad de usar "119" en lugar de "nntp".
Con mi PSI obtengo lo siguiente:
Trying 198.59.115.25 ...
Conectado a sloth.swcp.com.
Escape character is `^]�.
200 sloth.swcp.com InterNetNews NNRP server INN 1.4unoff 05-ready (posting)
Ahora, cuando entremos en un programa que no sepamos muy bien c�mo funciona, tecleamos:
help
Y obtendremos:
100 Legal comands
authinfo user Name|pass Password|generic <prog> <args>
article [MessageID|Number]
body [MessageID|Number]
date
group newsgroup
head [MessageID|Number]
help
ihave
last
list [active|newsgroups|distributions|schema]
listgroup newsgroup
mode reader
newsgroups yymmdd hhm mss ["GMT"] [<distributions]
newnews newsgroups yymmdd hhmmss ["GMT"] [<distributions>]
next
post
slave
stat [MessageID|Number]
xgtitle [group_pattern]
xhdr header [range|MessageID]
xover [range]
xpat header range|MessageID pat [morepat...]
xpath Message ID
Informar sobre posibles problemas a <[email protected]>
Usa tu imaginaci�n con estos comandos. Adem�s, si pretendes hackear sites desde un PSI distinto al tuyo, ten presente que algunos Internet hosts tienen un puerto nntp que o no requiere password o uno f�cilmente adivinable como "post" o "news". Pero puede ser un gran esfuerzo encontrar un puerto nntp que no est� defendido. Por ello, y porque normalmente tendr�s que hacerlo en tu propio PSI, es mucho m�s dif�cil que hackear el email.
S�lo recuerda cuando est�s "hackeando" Usenet sites que tanto el email como los Usenet sites trucados pueden ser detectados f�cilmente, si sabes buscar para ello. Y es posible decir desde d�nde fueron hackeados. Una vez que detectes de d�nde viene realmente el "spam", puedes utilizar el Message-ID (Identificaci�n del Mensaje) para ense�arle al sysadmin (administrador del sistema) a qui�n debe echar.
Normalmente no te ser� posible averiguar la identidad del culpable por ti mismo. �Pero puedes hacer que sus PSIs le cancelen sus cuentas!
Seguramente estos Reyes del Spamming volver�n a aparecer en cualquier otro PSI inocent�n. Siempre est n en activo. Y, hey, �cuando fue la �ltima vez que recibiste una "Maravillosa Oferta de Descuentos en su Compra"? Si no fuese por nosotros, los vigilantes de la Red, vuestros buzones y newsgroups estar�an continuamente llenos de basura.
Y adem�s el ataque contra los spammers que estoy a punto de ense�arte es �perfectamente legal! Hazlo y te convertir s en un Chico Bueno oficialmente. Hazlo en una fiesta y ense�a a tus amigos a hacerlo tambi�n. �Es dif�cil conseguir demasiados vigilantes anti-spam ah� fuera!
Lo primero que tenemos que hacer es revisar c�mo leer los encabezamientos (headers) de los art�culos de Usenet y el email.
El encabezamiento es lo que nos muestra la ruta que el email o el art�culo de Usenet utiliz� para llegar hasta tu ordenador. Nos da los nombres de los Internet hosts que han sido usados en la creaci�n y la transmisi�n de un mensaje. Sin embargo, cuando algo ha sido falsificado puede que los nombres de esos hosts sean falsos tambi�n. Como alternativa para evitar esto, el avezado falsificador usar nombres de hosts reales. Pero el hacker experimentado es capaz de decir si los hosts listados en el encabezamiento fueron usados realmente.
Primero analizaremos un ejemplo de spamming en Usenet. Un lugar realmente bueno para encontrar basura de esta clase es alt.personals. No es un lugar tan patrullado por vigilantes anti-spam como por ejemplo digamos rec.aviation.military. (�Los que se meten con pilotos de guerra lo hacen por su propia cuenta y riesgo, y asumiendo las consecuencias!)
As� que lo que tenemos aqu� es un frecuente ejemplo de spamming descarado, tal y como es mostrado por el lector de News basado en Unix "tin":
Thu, 22 Aug 1996 23:01:56 alt.personals Tomados 134 de 450
Lines 110 >>>>TEST DE COMPATIBILIDAD GRATIS E INSTANT�NEO Sin responder
[email protected] glennys e clarke at OzEmail Pty Ltd - Australia
HAZ CLICK AQU� PARA TU TEST DE COMPATIBILIDAD GRATIS E INSTANT�NEO!
http://www.perfect-partners.com.au
POR QU� LOS SOLTEROS M�S SELECTIVOS NOS ESCOGEN
En Perfect Partners (Newcastle) International somos privados y confidenciales. Presentamos damas y caballeros entre s� con prop�sitos de amistad y matrimonio. Con m�s de 15 a�os de experiencia, Perfect Partner es una de las agencias de contactos de amistad en Internet con m�s prestigio y �xito.
Por supuesto la primera cosa que resalta sobre el resto es la direcci�n de email de retorno. Nosotros los vigilantes de la red sol�amos mandar siempre de retorno una copia del pu�etero mensaje a la direcci�n de correo electr�nico del spammer.
En un grupo de News tan consultado como alt.personals, si �nicamente uno de cada cien lectores devuelve el mensaje a la cara del remitente (mejor dicho, a su buz�n) obtendremos una avalancha de mail-bombing. Esta avalancha alerta inmediatamente a los sysadmins (administradores de sistema) del PSI de la presencia de un spammer, y "Hasta Luego Lucas" a la cuenta del capullo.
Por ello, para retrasar la inevitable respuesta de los vigilantes, hoy en d�a muchos spammers utilizan direcciones de email falsas o trucadas.
Para comprobar si la direcci�n de email es falsa, salgo de "tin" y en el prompt de Unix tecleo el comando:
whois ozemail.com.au
Obtengo la respuesta:
no match for "OZEMAIL.COM.AU" (no existe "OZEMAIL.COM.AU")
Sin embargo eso no prueba nada, porque el "au" del final de la direcci�n de email significa que es una direcci�n de Australia. Desafortunadamente, "whois" no funciona en la mayor�a de Internet fuera de USA.
El siguiente paso es mandar alg�n email de queja a esta direcci�n. Una copia del propio spam es normalmente una protesta suficiente. Pero por supuesto le enviamos el email sin direcci�n del mensaje (nuestra).
A continuaci�n voy a la Web que se anuncia. Llego y contemplo que hay una direcci�n de email de esta compa��a, [email protected]. �Por qu� no me sorprendo cuando veo que no es la misma que la que hab�a en el mensaje de alt.personals?
Podr�amos detenernos justo aqu� y tirarnos una o dos horas mandando 5 MB de emails con basura en los attachments a [email protected].
Hmmm, �mandamos gifs de hipop�tamos apare�ndose?
Puedes-Ir-A-La-C�rcel-Nota: Mailbombing es una manera de meterse en serios problemas. Seg�n la experta en seguridad inform�tica Ira Winkler "Es ilegal hacer mail-bomb a un spammer. Si llega a ser demostrado que tu causaste maliciosamente cualquier p�dida financiera, en las que se pueden incluir el provocar horas de trabajo recuper�ndose de un mail-bomb, tienes responsabilidad de tipo criminal (culpabilidad). Si un sistema no est� configurado correctamente, y tiene el directorio de correo en el disco duro del sistema, puedes reventar el sistema entero. Esto te convierte en m�s criminal todav�a".
Puff. Desde que el mailbombing intencionado es ilegal, no puedo mandar esos gifs de hipop�tamos apare�ndose. Por esto lo que hice fue enviar de vuelta una copia del spam a perfect.partners. Puede que parezca una venganza est�pida, pero aprenderemos a hacer mucho m�s que eso. Incluso mandando un s�lo email a esos t�os puede convertirse en el comienzo de una oleada de protestas que los eche de Internet de una vez por todas. Si �nicamente una de mil personas que reciben el spamming van a la Web de los t�os esos y les env�a un email de protesta, a�n as� recibir�n miles de protestas a consecuencia de sus abusivos mensajes. Este gran volumen de email puede ser suficiente para alertar a los sysadmins del PSI de la presencia del spammer, y, como dije, "hasta luego lucas" a la cuenta del spammer.
F�jate lo que dice Dale Amon (propietario/operador de un PSI) sobre el poder del email-protesta:
"Uno no tiene que pedir ayuda para hacer un mail-bomb. Simplemente ocurre y ya est�. Cuando veo un spammer, autom�ticamente le mando una copia de su propio mensaje. Me imagino que un mont�n de gente m�s har� lo mismo al mismo tiempo. Si ellos (los spammers) ocultan su direcci�n de email (la verdadera), la averiguo y les mando el correspondiente mensaje si tengo tiempo. En absoluto me remuerde la conciencia al hacerlo."
Hoy en d�a Dale es el propietario y el director t�cnico del PSI m�s grande y antiguo de Irlanda del Norte, por ello conoce perfectamente los mejores modos de descubrir qu� PSI est� albergando al spammer. Y estamos a punto de aprender uno de ellos.
Nuestro objetivo es descubrir qui�n ofrece la conexi�n a Internet a estas personas, y tambi�n �quitarles esa conexi�n! Cr�eme, cuando la gente que controla un PSI encuentra que uno de sus clientes es un spammer, normalmente no tardan mucho en echarlos fuera.
Nuestro primer paso ser diseccionar el encabezamiento del mensaje para ver c�mo y d�nde fue falsificado.
Dado que mi lector de news (tin) no permite visualizar los encabezamientos, uso el comando "m" para enviar una copia de este mensaje a mi cuenta shell.
Llega unos pocos minutos despu�s. Abro el mensaje con el programa de email "Pine" y obtengo un encabezamiento con todo lujo de detalles:
Path:
sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s
tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com
!news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news
From:glennys e clarke <[email protected]>
NNTP-Posting-Host: 203.15.166.46
Mime-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Mozilla 1.22 (Windows; I; 16bit)
El primer elemento de este encabezamiento es rotundamente verdadero: sloth.swcp.com. Es el ordenador que mi PSI utiliza para albergar los newsgroups. Es el �ltimo enlace en la cadena de ordenadores que ha distribuido el mensaje-spam por el mundo.
Newbie-Nota #2: Los hosts de Internet tienen dos "nombres" con diferente significado referente a su direcci�n en la Red. "Sloth" es el nombre de uno de los ordenadores que posee la compa��a con dominio swcp.com. Por ejemplo "sloth" es digamos el nombre del servidor de news, y "swcp.com" el apellido.
"Sloth" se puede interpretar tambi�n como el nombre de la calle, y "swcp.com" el nombre de la ciudad, estado y c�digo zip. "Swcp.com" es el nombre del dominio que posee la compa��a Southwest Cyberport. Todos los hosts tienen adem�s versiones num�ricas de sus nombres (n� de IP) por ejemplo 203.15.166.46.
Lo siguiente que haremos es obvio. El encabezamiento dice que el mensaje tuvo como origen el host 203.15.166.46. Por ello hacemos telnet a su servidor de nntp (puerto 119):
telnet 203.15.166.46 119
Obtenemos:
Trying 203.15.166.46 ...
telnet: connect: Conexi�n rechazada
Parece ser a todas luces que este elemento del encabezamiento est� falsificado. Si este realmente fuera un ordenador que alberga newsgroups, deber�a tener un puerto de nntp que aceptara visitantes. �ticamente me aceptar�a durante ese medio segundo que tarda en darse cuenta de que yo no estoy autorizado para usarlo, pero lo har�a. Sin embargo en este caso rechaza cualquier tipo de conexi�n.
Aqu� tenemos otra explicaci�n: hay un firewall en este ordenador que filtra los paquetes de informaci�n y que s�lo acepta a usuarios autorizados. Pero esto no es lo corriente en un PSI utilizado por un spammer. Esta clase de firewall se utiliza normalmente para conectar una red local de una empresa con Internet.
A continuaci�n intento mandar un email (una copia del spam) a [email protected]. Pero esto es lo que obtengo:
Fecha: Wed, 28 Aug 1996 21:58:13 -0600
From: Mail Delivery Subsystem <[email protected]>
Subject: Returned mail: Host desconocido (Name server: 203.15.166.46: host
no encontrado)
Fecha de recepci�n del mensaje original: Wed, 28 Aug 1996 21:58:06 -0600
from cmeinel@localhost
----- Las siguientes direcciones presentan problemas de reparto -----
[email protected] (error irreparable)
----- Transcript of session follows ----- ("Transcripci�n de la sesi�n")
501 [email protected]... 550 Host desconocido
(Name server: 203.15.166.46: host no encontrado)
----- Original message follows ----- ("Mensaje original")
Return-Path: cmeinel
Recibido: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id
OK, parece ser que la informaci�n sobre el servidor de nntp era falsa tambi�n.
A continuaci�n comprobamos el segundo elemento de la l�nea inicial del encabezamiento. Como empieza con la palabra "news", me figuro que se tratar� de un ordenador que alberga newsgroups. Compruebo su puerto nntp para asegurarme:
telnet news.ironhorse.com nntp
Y el resultado es:
Trying 204.145.167.4 ...
Conectado a boxcar.ironhorse.com.
Escape character is `^]�.
502 Usted no posee permiso para hablar. Adios.
Conexi�n cerrada por host remoto.
OK, sabemos entonces que esa parte del encabezamiento hace referencia a un server de news real. Oh, s�, tambi�n hemos averiguado el nombre/direcci�n que el ordenador ironhorse.com usa para albergar las news: "boxcar".
Pruebo el siguiente elemento de la ruta:
telnet news.uoregon.edu nntp
Y obtengo:
Trying 128.223.220.25 ...
Conectado a pith.uoregon.edu.
Escape character is `^]�.
502 Usted no posee permiso para hablar. Adios.
Conexi�n cerrada por el host remoto.
OK, este era tambi�n un server de news v�lido. Ahora saltemos hasta el �ltimo elemento el encabezamiento: in2.uu.net:
telnet in2.uu.net nntp
Conseguimos esta respuesta:
in2.uu.net: host desconocido
Aqu� hay algo sospechoso. Este host del encabezamiento no est conectado ahora mismo a Internet. Probablemente sea falso. Ahora comprobemos el nombre de dominio:
whois uu.net
El resultado es:
UUNET Technologies, Inc. (UU-DOM)
3060 Williams Drive Ste 601
Fairfax, VA 22031
USA
Nombre de Dominio: UU.NET
Administrative Contact, Technical Contact, Zone Contact:
UUNET, Alternet [Technical Support] (OA12) [email protected]
+1 (800) 900-0241
Billing Contact:
Payable, Accounts (PA10-ORG) [email protected]
(703) 206-5600
Fax: (703) 641-7702
Record last updated on 23-Jul-96
Record created on 20-May-87.
Domain servers listed in order:
NS.UU.NET 137.39.1.3
UUCP-GW-1.PA.DEC.COM 16.1.0.18 204.123.2.18
UUCP-GW-2.PA.DEC.COM 16.1.0.19
NS.EU.NET 192.16.202.11
The InterNIC Registration Services Host contains ONLY Internet
Information (Networks, ASN�s, Domains, and POC�s)
Please use the whois server at nic.ddn.mil for MILNET Information.
Vemos que uu.net es un dominio real. Pero teniendo en cuenta que el host in2.uu.net que aparece en el encabezamiento no est� conectado actualmente a Internet, puede que esta parte del encabezamiento sea falsa. (Puede haber tambi�n otras explicaciones para esto).
Volviendo al elemento anterior del encabezamiento, probamos a continuaci�n:
telnet news.mindspring.com nntp
Obtengo:
Trying 204.180.128.185 ...
Conectado a news.mindspring.com
Escape character is `^]�.
502 Usted no est registrado en mi archivo de acceso. Adios.
Conexi�n cerrada por host remoto.
Interesante. No obtengo ning�n nombre de host espec�fico para el puerto nntp (recordemos, como antes "boxcar", por ej.). �Qu� significa esto? Bueno, hay una cosa que podemos hacer. Hagamos telnet al puerto que nos presenta la orden de que debemos hacer login. Ese puerto es el 23, pero telnet va autom�ticamente al 23 a menos que le digamos lo contrario:
telnet news.mindspring.com
Ahora ver s qu‚ divertido!:
Trying 204.180.128.166 ...
telnet: conectar a direcci�n 204.180.128.166: Conexi�n rechazada
Trying 204.180.128.167 ...
telnet: conectar a direcci�n 204.180.128.167: Conexi�n rechazada
Trying 204.180.128.168 ...
telnet: conectar a direcci�n 204.180.128.168: Conexi�n rechazada
Trying 204.180.128.182 ...
telnet: conectar a direcci�n 204.180.128.182: Conexi�n rechazada
Trying 204.180.128.185 ...
telnet: conectar a direcci�n 204.180.128.185: Conexi�n rechazada
Date cuenta �cu�ntos hosts son probados por telnet con este comando! Parece que todos ellos deben ser servers de news, ya que parece que ninguno de ellos presenta el men� de login.
Este parece ser un buen candidato como origen del spamming. Hay 5 servidores de news. Hagamos un whois del nombre de dominio:
whois mindspring.com
Obtenemos:
MindSpring Enterprises, Inc. (MINDSPRING-DOM)
1430 West Peachtree Street NE
Suite 400
Atlanta, GA 30309
USA
Nombre de Dominio: MINDSPRING.COM
Administrative Contact:
Nixon , J. Fred (JFN) [email protected]
404-815-0770
Technical Contact, Zone Contact:
Ahola, Esa (EA55) [email protected]
(404) 815-0770
Billing Contact:
Peavler, K. Anne (KAP4) [email protected]
(404) 815-0770 (FAX) 404-815-8805
Record last updated on 27-Mar-96
Record created on 21-Apr-94.
Domains servers listed in order:
CARNAC.MINDSPRING.COM 204.180.128.95
HENRI.MINDSPRING.COM 204.180.128.3
Newbie-Nota #3: El comando whois puede decirte qui�n es el propietario de un determinado dominio. El nombre de dominio son las dos �ltimas partes separadas por un punto que vienen despu�s de la "@" en una direcci�n de email, o las dos �ltimas partes separadas por un punto en el nombre de un ordenador.
Yo dir�a que Mindspring es el PSI desde el que seguramente se falsific� el mensaje. La raz�n es que esta parte del encabezamiento parece verdadera, y ofrece montones de ordenadores desde los que falsificar un mensaje. Una carta a la consultor�a t�cnica en [email protected] con una copia del mensaje (del spam) puede que obtenga resultado.
Pero personalmente yo ir�a a su p�gina Web y les mandar�a un email de protesta desde all�. Hmmm, �tal vez 5MB gif de hipop�tamos apareando? �Aunque sea ilegal?
Pero el sysadmin Terry McIntyre me advierte:
"No hace falta enviarles toneladas de megas de basura. Simplemente con enviarles una copia del spam es suficiente, para que el que lo envi� primero (el spammer) sepa cu�l es el problema."
"La Ley del Gran N�mero de Ofendidos va a tu favor. El spammer manda un mensaje para alcanzar/llegar/tantear al m�ximo n�mero de consumidores potenciales posibles."
"Miles de Fastidiados mandan mensajes no-tan-amables al spammer criticando su conducta incorrecta. Y muchos spammers toman ejemplo r�pidamente y se arrepienten".
"Una cosa que nunca deber�a hacerse es enviar (publicar) al newsgroup o la lista de correo una protesta por la incorrecci�n del spam anterior. Siempre, siempre, hay que usar el email privado para hacer ese tipo de reclamaciones. De otro modo, el newbie sin darse cuenta aumenta el nivel de ruido (basura) que circula por el newsgroup o la lista de correo".
Bueno, la �ltima frase significa que si realmente quieres tirar del enchufe del spammer, yo mandar�a una amable nota incluyendo el mensaje-spam con los encabezamientos intactos a la consultor�a t�cnica o al departamento de atenci�n al cliente de cada uno de los links reales que encontr� en el encabezamiento del spam. Seguramente te lo agradecer�n.
Aqu� tenemos un ejemplo de un email que me envi� Netcom agradeci�ndome la ayuda prestada en la detecci�n de un spammer:
From: Netcom Abuse Department <[email protected]>
Reply-To: <[email protected]>
Subject: Gracias por su informe
Gracias por su informaci�n. Hemos informado a este usuario de nuestras normas y hemos tomado las medidas oportunas, incluyendo la cancelaci�n de la cuenta. Si �l o su empresa contin�a transgrediendo las normas de Netcom, tomaremos acciones legales.
Los siguientes usuarios han sido informados:
Disculpe por la longitud de la lista.
Spencer
Investigador de Abusos
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
NETCOM Online Communication Services Asuntos de Abusos
L�nea 24-horas: 408-983-5970 [email protected]
OK, ya estoy finalizando el art�culo. �Feliz Hacking! ��Y que no te atrapen!!
Copyright 1996 Carolyn P. Meinel. Puedes distribuir la GU�A DEL HACKING (mayormente) INOFENSIVO mientras dejes esta nota al final. Para suscribirse, email [email protected] con el mensaje "subscribe hacker <[email protected]>" sustituyendo tu direcci�n de correo electr�nico real por la de Joe Blow.