guia1_5

GUï¿½A DEL HACKING (mayormente) INOFENSIVO

Vol. 1 Nï¿½mero 5

ï¿½Es el dï¿½a divertido del vigilante! Como kickear a los spammers de Usenet de sus ISPs

Asï¿½ que, ï¿½has estado por Usenet volando spammers? ï¿½Es divertido, no?

Pero si alguna vez has posteado mucho en los grupos de noticias de Usenet, te darï¿½s cuenta que poco despuï¿½s de que lo haces, recibes a menudo spam email. Esto es gracias al Lightning Bolt, un programa escrito por Jeff Slayton para sacar grandes volï¿½menes de direcciones email de los mensajes de Usenet.

Aquï¿½ va uno que recibï¿½ hace poco:

Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net

[165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id

BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT)

Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT)

Message-Id: <[email protected]>

To:

Subject: Para siempre

From: [email protected]

"GRATIS" Hogar y parcela en el "CIELO"

Reserva ya la tuya, hazlo hoy, no esperes. Es GRATIS simplemente por preguntar. Recibes una Acciï¿½n personalizada y un mapa detallado de tu hogar en el CIELO. Manda tu nombre y direcciï¿½n junto con una mï¿½nima y ï¿½nica donaciï¿½n de $1.98 en metï¿½lico, cheque, o giro para ayudar a cubrir los costes.

A: Saint Peter's Estates

P.O. Box 9864

Bakersfield,CA 93389-9864

Esta es una comunidad cerrada y es "GRATIS".

Satisfacciï¿½n total por 2000 aï¿½os desde hoy.

>De El Portero. (PD. Nos vemos en las Puertas de Perla)

DIOS te bendiga.

Es una buena deducciï¿½n que este spam tiene una cabecera falsa. Para identificar al culpable, empleamos el mismo comando que usamos con el spam de Usenet.

whois heaven.com

La respuesta es:

Time Warner Cable Broadband Applications (HEAVEN-DOM)

2210 W. Olive Avenue

Burbank, CA 91506

Domain Name: HEAVEN.COM

Administrative Contact, Technical Contact, Zone Contact, Billing Contact:

Melo, Michael (MM428) [email protected]

(818) 295-6671

Record last updated on 02-Apr-96.

Record created on 17-Jun-93.

Domain servers in listed order:

CHEX.HEAVEN.COM 206.17.180.2

NOC.CERF.NET 192.153.156.22

A partir de esto podemos deducir que o bien esto es genuino (lo mï¿½s probable) o una falsificaciï¿½n mejor de lo normal. Asï¿½ que tratemos de hacer finger a [email protected].

Primero, comprobemos la direcciï¿½n email de retorno:

finger [email protected]

Nos da:

[heaven.com]

finger: heaven.com: Connection timed out

Hay varias razones posibles para esto. Una es que el administrador de sistema de heaven.com haya deshabilitado en puerto de finge. Otra es que heaven.com este inactivo. Podrï¿½a estar en un host que estuviese apagado, o quizï¿½s tal vez huï¿½rfano.

Nota para novatos: Puedes registrar nombres de dominio sin tenerlos montados en ningï¿½n ordenador. Simplemente pagas tu dinero e Internic, que registra nombres de dominio, lo apartara para que tï¿½ lo uses. Sin embargo, si no lo hospedas en un ordenador en Internet en unas semanas, podrï¿½as perder tu registro.

Podemos comprobar estas hipï¿½tesis con el comando ping. Este comando te dice si un ordenador esta actualmente conectado a Internet y la calidad de su conexiï¿½n.

Ahora, el ping, como la mayorï¿½a de las buenas herramientas hacker, puede usarse o bien para recibir informaciï¿½n o bien como un medio de ataque. Pero yo te voy a hacer esperar con desesperado suspense a una posterior Guï¿½a Del Hacking (casi) Inofensivo para decirte como algunas personas usan el ping. Ademï¿½s, si, seria *ilegal* usarlo como un arma.

Debido al potencial del ping para estos fines, tu cuenta shell puede tener deshabilitado el uso de ping para el usuario casual. Por ejemplo, con mi proveedor, debo ir al directorio correcto para usarlo. Asï¿½ que doy el comando:

/usr/etc/ping heaven.com

El resultado es:

heaven.com is alive

Consejo tï¿½cnico: En algunas versiones de UNIX, al dar el comando "ping" harï¿½ que tu ordenador comience a "pingear" al blanco una y otra vez sin parar. Para salir del comando ping, mantï¿½n presionada la tecla control y presiona "c". Y ten paciencia, la siguiente Guï¿½a Del Hacking (casi) Inofensivo te dirï¿½ mas acerca del serio uso hacking del ping.

Bueno, esta respuesta significa que heaven.com esta conectado a Internet ahora mismo. ï¿½Permite logins? Lo comprobamos con:

telnet heaven.com

Esto nos deberï¿½a llevar a una pantalla que nos pedirï¿½a que le diï¿½semos un nombre de usuario y un password. El resultado es:

Trying 198.182.200.1 ...

telnet: connect: Connection timed out

Bien, ahora sabemos que la gente no puede hacer login a heaven.com. Asï¿½ que parece que fuera un lugar poco probable para que el autor de este spam hubiese mandado el email.

ï¿½Y quï¿½ hay de chex.heaven.com? ï¿½Quizï¿½s sea el lugar donde se origino el spam? Tecleo:

telnet chex.heaven.com 79

Este es el puerto de finger. Recibo:

Trying 206.17.180.2 ...

telnet: connect: Connection timed out

Entonces intento lo de la pantalla que me pida hacer un login con un nombre de usuario, pero una vez mas consigo "Connection timed out".

Esto sugiere que ni heaven.com ni chex.heaven.com son usados por la gente para mandar email. Asï¿½ que probablemente esto sea un enlace falseado en la cabecera.

Comprobemos otro enlace de la cabecera:

whois gnn.com

La respuesta es:

America Online (GNN2-DOM)

8619 Westwood Center Drive

Vienna, VA 22182

USA

Domain Name: GNN.COM

Administrative Contact:

Colella, Richard (RC1504) [email protected]

703-453-4427

Technical Contact, Zone Contact:

Runge, Michael (MR1268) [email protected]

703-453-4420

Billing Contact:

Lyons, Marty (ML45) [email protected]

703-453-4411

Record last updated on 07-May-96.

Record created on 22-Jun-93.

Domain servers in listed order:

DNS-01.GNN.COM 204.148.98.241

DNS-AOL.ANS.NET 198.83.210.28

ï¿½Vaya! GNN.com pertenece a America Online. America Online, como Compuserve, es una red de ordenadores por si misma que tiene entradas a Internet. Asï¿½ que ï¿½no es muy probable que heaven.com estuviera enrutando email a travï¿½s de AOL?, ï¿½no? Seria como encontrar una cabecera que afirmase que su email fue encaminado a travï¿½s del amplio ï¿½rea de red de alguna corporaciï¿½n Fortune 500.

Asï¿½ que, esto nos da aun mï¿½s evidencias de que el primer enlace de la cabecera, heaven.com, fue falseado.

De hecho, esta empezando a ser una buena apuesta el que nuestro spammer sea un novato que se acaba de graduar de las ruedas de entrenamiento de AOL.

Habiendo decidido que se puede hacer dinero falseando spams, el o ella se ha hecho con una cuenta shell ofrecida por una filial de AOL, GNN. Entonces con la cuenta shell, el o ella puede seriamente meterse en el tema del falseo de email.

Suena lï¿½gico, ï¿½eh? Ah, pero no saquemos conclusiones. Esto es solo una hipï¿½tesis y puede no ser correcta. Asï¿½ que comprobemos el enlace que falta en la cabecera:

whois att.net

La respuesta es:

AT&T EasyLink Services (ATT2-DOM)

400 Interpace Pkwy

Room B3C25

Parsippany, NJ 07054-1113

Domain Name: ATT.NET

Administrative Contact, Technical Contact, Zone Contact:

DNS Technical Support (DTS-ORG) [email protected]

314-519-5708

Billing Contact:

Gardner, Pat (PG756) [email protected]

201-331-4453

Record last updated on 27-Jun-96.

Record created on 13-Dec-93.

Domain servers in listed order:

ORCU.OR.BR.NP.ELS-GMS.ATT.NET 199.191.129.139

WYCU.WY.BR.NP.ELS-GMS.ATT.NET 199.191.128.43

OHCU.OH.MT.NP.ELS-GMS.ATT.NET 199.191.144.75

MACU.MA.MT.NP.ELS-GMS.ATT.NET 199.191.145.136

ï¿½Otro dominio vï¿½lido! Asï¿½ que esto es una falsificaciï¿½n razonablemente ingeniosa. El culpable podrï¿½a haber mandado email desde cualquiera, entre heaven.com, gnn.com o att.net. Sabemos que heaven.com es poco probable ya que ni siquiera podemos hacer que el puerto de logins (23) funcione. Pero aun tenemos gnn.com y att.net como hogares sospechosos del spammer.

El siguiente paso es mandar vï¿½a email una copia del spam *incluyendo la cabecera* tanto a [email protected] (normalmente la direcciï¿½n email de la persona que recibe las quejas) y [email protected], que esta en la lista cuando hemos hecho el whois como el contacto tï¿½cnico. Deberï¿½amos tambiï¿½n mandarlo a [email protected] o [email protected] (contacto tï¿½cnico).

Pero hay un atajo. Si este tï¿½o te ha mandado el spam, muchas otras personas tambiï¿½n lo habrï¿½n recibido. Hay un grupo de noticias en Usenet donde la gente puede cambiar informaciï¿½n acerca de spammers de email y de Usenet, news.admin.net-abuse.misc. Hagï¿½mosle una visita y veamos lo que la gente ha descubierto acerca de [email protected]. Seguro, encuentro un mensaje acerca de este spam de heaven:

From: [email protected] (Matt Bartley)

Newsgroups: news.admin.net-abuse.misc

Subject: junk email - Free B 4 U - [email protected]

Supersedes: <[email protected]>

Date: 15 Aug 1996 14:08:47 -0700

Organization: Interstate Electronics Corporation

Lines: 87

Message-ID: <[email protected]>

NNTP-Posting-Host: helium.iecorp.com

(snip)

No hay duda, un inventado "From:" en la cabecera que parecï¿½a pertenecer a un nombre de dominio valido.

Los Postmasters de att.net, gnn.com y heaven.com lo notificaron. gnn.com ha afirmado ya que venia de att.net, falseado para parecer que venia de gnn. Claramente el primer "Received:" de la cabecera es inconsistente.

Ahora sabemos que si quieres quejarte acerca del spam, el mejor sitio para mandar tu queja es [email protected].

Pero ï¿½quï¿½ tal funciona actualmente lo de mandar una carta de queja? Le pregunte al dueï¿½o de un proveedor Dale Amon. Me contesto, "Del pequeï¿½o nï¿½mero de mensajes spam que he estado viendo -- dado el nï¿½mero de generaciones de crecimiento exponencial de la red que he visto en 20 aï¿½os -- parece que el sistema sea *fuertemente* auto regulador. El Gobierno y los sistemas legales no trabajan tan bien.

"Felicito a Carolyn por sus esfuerzos en este ï¿½rea. Esta totalmente en lo cierto. Los spammers estï¿½n controlados por el mercado. Si hay suficiente gente asombrada, responden. Si esa acciï¿½n causa problemas a un proveedor, tienen en cuenta sus intereses econï¿½micos a la hora de desechar a clientes que causan dicho daï¿½o, por ejemplo los spammers. El interï¿½s econï¿½mico es muchas veces un incentivo mucho mas fuerte y efectivo que los requerimientos legales.

"Y recuerda que digo esto como Director Tï¿½cnico del mayor proveedor de Irlanda del Norte."

ï¿½Quï¿½ tal demandar a los spammers? Quizï¿½s un puï¿½ado de nosotros pudiera unirse para llevar a cabo una acciï¿½n y llevar a estos tï¿½os a la bancarrota.

El administrador de sistema Terry McIntyre dice, "Me opongo a los intentos de demandar a los spammers. Ya tenemos un mecanismo de normas propio decente impuesto.

"Considerando que la mitad de todo Internet son novatos (debido a la tasa de crecimiento del 100%), yo dirï¿½a que las normativas propias son maravillosamente efectivas.

"Invita al Gobierno a que haga nuestro trabajo, y algunos malditos burï¿½cratas fijaran Normas, Regulaciones, y Penas y todo ese sin sentido. Ya tenemos suficiente de eso en el mundo fuera de la red; no invitemos a nada de ello a perseguirnos en la red."

Asï¿½ que parece que los profesionales de Internet prefieren controlar los spams teniendo vigilantes de red como nosotros que perseguimos a los spammers y avisamos de su presencia a sus proveedores. ï¿½Me suena como divertido! De hecho, seria justo decir que sin nosotros, vigilantes de la red, Internet se reducirï¿½a a una parada de la carga que estos spammers depositasen en "ella".

Bien, pues ya termino con esta columna. Espero tus contribuciones a esta lista. Pï¿½satelo bien de vigilante y, ï¿½que no te pillen!

Copyright 1996 Carolyn P. Meinel. Puedes distribuir la GUï¿½A DEL HACKING (mayormente) INOFENSIVO mientras dejes esta nota al final. Para suscribirse, email [email protected] con el mensaje "subscribe hacker <[email protected]>" sustituyendo tu direcciï¿½n de correo electrï¿½nico real por la de Joe Blow.