guia1_6

GUï¿½A DEL HACKING (mayormente) INOFENSIVO

Vol. 1 Numero 6

ï¿½Es el dï¿½a divertido del vigilante una vez mas! Como "joder" webs ofensivas

ï¿½Cï¿½mo nos ocupamos de webs ofensivas?

Recuerda que Internet es voluntaria. No hay ley que fuerce a un proveedor a servir a gente que no les guste. Como los reyes del spam Jeff Slayton, Crazy Kevin, y, oh sï¿½, los originales artistas del spam Cantor y Siegal han aprendido, la vida como spammer es una continua carrera. Lo mismo es aplicable a web sites que se pasan de la raya.

La razï¿½n por la que saco a relucir esto es que un miembro de la lista de Happy Hacker me ha dicho que le gustarï¿½a destrozar sites de porno infantil. Creo que esa es una idea muy, muy, buena -- excepto por un problema. ï¿½Puedes acabar en la cï¿½rcel! No quiero que las utilidades de hacking que puedas pillar de web y ftp sites pï¿½blicos sean un aliciente para que te pillen. Es fï¿½cil usarlas para destrozar web sites. Pero es difï¿½cil usarlas sin ser ï¿½pillado!

PUEDES IR A LA Cï¿½RCEL: Irrumpir en una parte no publica de un ordenador es ilegal. Adicionalmente, si usas las lï¿½neas de telï¿½fono o Internet a lo largo de una lï¿½nea de un estado de EEUU para irrumpir en una zona no publica de un ordenador, habrï¿½s cometido un delito Federal. No necesitas causar ningï¿½n daï¿½o -- es igualmente ilegal. Incluso si solo consigues acceso root e inmediatamente desconectas -- sigue siendo ilegal. Incluso si estas haciendo lo que tu ves como una obligaciï¿½n cï¿½vica mediante el destrozo de porno infantil -- sigue siendo ilegal.

Aquï¿½ va otro problema. Hicieron falta dos hackers cabreados para parar la lista esa de DC. Sï¿½, volverï¿½, eventualmente. Pero ï¿½y si Internet estuviera limitada a acarrear solamente material que fuese totalmente inofensivo para todo el mundo? De ahï¿½ el porquï¿½ esta contra la ley el "joder" proveedores y servidores web que no te gusten. Crï¿½eme, como pronto descubrirï¿½s, es realmente fï¿½cil el sacar a un host fuera de Internet. Es *tan* fï¿½cil que hacer este tipo de cosas ï¿½NO es ï¿½lite!

Asï¿½ que ï¿½cuï¿½l es la alternativa legal para luchar contra el porno infantil? El tratar de llevar a la cï¿½rcel a los tï¿½os del web de porno infantil no siempre funciona. Mientras que hay leyes contra ello en los EEUU, el problema es que Internet es global. Muchos paï¿½ses no tienen leyes en contra del porno infantil en Internet. Incluso si fuese ilegal en todos sitios, en muchos paï¿½ses la policï¿½a solo caza a personas a cambio de que tu pagues un soborno mayor que el del criminal.

Pueden ir a la cï¿½rcel: En los EEUU y en muchos otros paï¿½ses, el porno infantil es ilegal. Si las imï¿½genes estï¿½n albergadas en un dispositivo de almacenamiento fï¿½sico dentro de la jurisdicciï¿½n de un paï¿½s con leyes en contra de ello, la persona que ponga estas imï¿½genes en el dispositivo de almacenamiento puede ir a la cï¿½rcel. Asï¿½ que si sabes lo suficiente para ayudar a las autoridades a obtener una orden de registro, contacta con ellos sin lugar a dudas. En los EEUU, estos serian el FBI.

Pero la clase de ofensas masivas que mantiene a los spammers a la carrera puede tambiï¿½n llevar al porno infantil fuera de la Red. *Tenemos* el poder.

La clave es que nadie puede forzar a un proveedor a llevar porno infantil-- o cualquier otra cosa. De hecho, la mayorï¿½a de los seres humanos estï¿½n tan disgustados con el porno infantil que saltaran a la mï¿½nima oportunidad de acabar con ello. Si el proveedor es dirigido por algï¿½n pervertido que quiere hacer dinero ofreciendo porno infantil, entonces tu vas al siguiente nivel, al proveedor que ofrece la conexiï¿½n al proveedor de porno infantil. Allï¿½ habrï¿½ alguien que estarï¿½ encantado de parar los pies a los bastardos.

Asï¿½ que, ï¿½cï¿½mo encuentras a la gente que pueda poner un web site en marcha? Comenzamos con la URL.

Voy a usar una URL real. Pero por favor ten en cuenta que no estoy diciendo que esta sea actualmente una direcciï¿½n con porno infantil. Esto es usado solo con fines ilustrativos ya que esta URL es llevada por un host con muchas caracterï¿½sticas hackeables. Tambiï¿½n, al menos por algunos estï¿½ndares, tiene material calificado X. Asï¿½ que visï¿½tala a tu propio riesgo.

http://www.phreak.org

Ahora digamos que alguien te dijo que este era un site de porno infantil. ï¿½Simplemente lanzas un ataque? No.

Asï¿½ es como las guerras hacker comienzan. ï¿½Y si phreak.org es un buen sitio actualmente? Incluso si una vez mostraron porno infantil, tal vez se hayan arrepentido. No queriendo ser pillado actuando por un estï¿½pido rumor, voy a la web y recibo el mensaje "no DNS entry". Asï¿½ que parece que este web site no este allï¿½ ahora mismo.

Pero podrï¿½a simplemente ser que la maquina que tiene el disco que alberga a este web site este temporalmente apagada. Hay un modo de decir si el ordenador que sirve un nombre de dominio esta funcionando: el comando ping:

/usr/etc/ping phreak.org

La respuesta es:

/usr/etc/ping: unknown host phreak.org

Ahora, si este web site hubiese estado funcionando, habrï¿½a respondido como lo hace mi web site:

/usr/etc/ping techbroker.com

Esto da la respuesta:

techbroker.com is alive

Nota de genio maligno: El ping es una herramienta de diagnostico de red poderosa. Este ejemplo es de BSD UNIX. Quaterdeck Internet Suite y muchos otros paquetes de software tambiï¿½n ofrecen esta versiï¿½n del comando ping. Pero en su forma mas poderosa -- que la puedes obtener instalando Linux en tu ordenador -- el comando ping-f mandara fuera paquetes tan rï¿½pido como el host que usemos de blanco pueda responder por un periodo de tiempo indefinido. Esto puede mantener al blanco extremadamente ocupado y puede ser suficiente para poner al ordenador fuera de combate. Si varias personas hacen esto simultï¿½neamente, el blanco casi seguro que serï¿½ incapaz de mantener su conexiï¿½n de red. Asï¿½ que -- *ahora* ï¿½quieres instalar Linux?

Advertencia: "Pinging down" (el tirar abajo mediante ping) a un host es increï¿½blemente fï¿½cil. Es muy fï¿½cil para ser considerado elite, asï¿½ que no lo hagas para impresionar a tus amigos. Si de todas formas lo haces, prepï¿½rate para ser denunciado por el dueï¿½o de tu blanco y ser pateado de tu proveedor -- o ï¿½mucho peor! Si por accidente haces correr al comando ping en modo de asalto, puedes rï¿½pidamente apagarlo presionando la tecla control a la vez que la tecla "c".

Advertencia puedes ir a la cï¿½rcel: Si se puede probar que usaste el comando ping-f con el propï¿½sito de tirar al host al que apuntaste, esto es un ataque de denegaron de servicio y por lo tanto ilegal.

Bien, ahora ya hemos establecido que al menos en estos momentos, http://phreak.com o bien no existe, o que el ordenador que lo alberga no esta conectado a Internet.

ï¿½Pero es esto temporal o se fue, se fue, se fue? Podemos hacernos alguna idea de si ha estado funcionando y de si ha sido ampliamente visitada por medio del motor de bï¿½squeda en http://altavista.digital.com. Es capaz de buscar links fijados en pï¿½ginas web. ï¿½Hay muchos web sites con links hacia phreak.org? En los comandos de bï¿½squeda pongo:

link: http://www.phreak.org

host: http://www.phreak.org

Pero no aparece nada. Asï¿½ que parece que el site phreak.org no es realmente popular.

Bueno, ï¿½tiene phreak.org un registro en Internic? Probemos con whois:

whois phreak.org

Phreaks, Inc. (PHREAK-DOM)

Phreaks, Inc.

1313 Mockingbird Lane

San Josï¿½, CA 95132 US

Domain Name: PHREAK.ORG

Administrative Contact, Billing Contact:

Connor, Patrick (PC61) [email protected]

(408) 262-4142

Technical Contact, Zone Contact:

Hall, Barbara (BH340) [email protected]

408.262.4142

Record last updated on 06-Feb-96.

Record created on 30-Apr-95.

Domain servers in listed order:

PC.PPP.ABLECOM.NET 204.75.33.33

ASYLUM.ASYLUM.ORG 205.217.4.17

NS.NEXCHI.NET 204.95.8.2

Seguidamente espero unas pocas horas y hago ping a phreak.org de nuevo. Descubro que ahora esta "vivo". Asï¿½ que ahora hemos aprendido que el ordenador que alberga a phreak.org esta a veces conectado a Internet y a veces no. (De hecho, pruebas posteriores demuestran que esta normalmente down.)

Trato de hacer telnet a su secuencia de login:

telnet phreak.org

Trying 204.75.33.33 ...

Connected to phreak.org.

Escape character is '^]'.

;

Connection closed by foreign host.

ï¿½Ha! ï¿½Alguien ha conectado el ordenador que alberga a phreak.org a Internet!

El hecho de que esto solo nos dï¿½ el dibujo en ASCII y no el prompt de login sugiere que este host no de exactamente la bienvenida al visitante casual. Pudiera bien tener un firewall que rechazase intentos de login de cualquiera que "telnetease" desde un host que no este en su lista de aprobaciï¿½n.

Seguidamente hago un finger a tu contacto tï¿½cnico:

finger [email protected]

La respuesta es:

[phreak.org]

Entonces me da un scroll de grï¿½ficos ASCII desconcertantes. Haz un finger tu mismo si quieres verlo. Sin embargo yo solo lo calificarï¿½a como PG-13 (mayores de 13 aï¿½os, creo).

El hecho de que phreak.org corra el servicio finger es interesante. Dado que el finger es una de las mejores formas de crackear un sistema, podemos concluir que o bien:

1) El administrador de phreak.org no esta muy concienzado con la seguridad, o

2) Es tan importante para phreak.org el mandar mensajes insultantes que al administrador no le importa el riesgo de seguridad de usar el finger.

Dado que hemos visto evidencias de un firewall, el punto 2 es probablemente cierto.

Uno de los miembros de la lista del Happy Hacker que me ayudo revisando esta Guï¿½a, William Ryan, decidiï¿½ probar mas adelante el puerto finger de phreak.org:

"He estado prestando mucha atenciï¿½n a todas las cosas de "happy hacker" que has posteado. Cuando intente usar el mï¿½todo del puerto 79 en phreak.org, se conectaba y despuï¿½s mostraba una mano con su dedo del medio levantado y el comentario "UP YOURS". Cuando intente usar el finger, me conecte y se mostraba un mensaje un poco despuï¿½s "In real life???""

Oh, esto es simplemente *muy* tentador...ah, pero mantengï¿½monos fuera de problemas y dejemos al puerto 79 en paz, ï¿½OK?

Ahora ï¿½quï¿½ tal su puerto HTML, que podrï¿½a dar acceso a cualquier web site albergado por phreak.org? Podrï¿½amos simplemente ejecutar un browser y echar un vistazo. Pero somos hackers y los hackers nunca hacen nada del modo ordinario. Ademï¿½s, no quiero ver fotos sucias y malas palabras. Asï¿½ que comprobamos para ver si tiene activado, lo has adivinado, un pequeï¿½o puerto de "surfing":

telnet phreak.org 80

Esto es lo que recibo:

Trying 204.75.33.33 ...

Connected to phreak.org.

Escape character is '^]'.

HTTP/1.0 400 Bad Request

Server: thttpd/1.00

Content-type: text/html

Last-modified: Thu, 22-Aug-96 18:54:20 GMT

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY><H2>400 Bad Request</H2>

Your request '' has bad syntax or is inherently impossible to satisfy.

<HR>

<ADDRESS><A

HREF="http://www.acme.org/software/thttpd/">thttpd/1.00</A></ADDRESS

</BODY></HTML>

Connection closed by foreign host.

Ahora sabemos que phreak.org tiene un servidor web en su ordenador host. Este servidor se llama thttpd, versiï¿½n 1.0. ï¿½Tambiï¿½n podemos sospechar que tiene unos pocos bugs!

ï¿½Quï¿½ me hace pensar que tiene bugs? Mira el numero de versiï¿½n: 1.0. Tambiï¿½n, ese es un mensaje de error bastante raro.

Si yo fuese el administrador tï¿½cnico de phreak.org, pillarï¿½a un mejor programa para que corriese en el puerto 80 antes de que alguien se diera cuenta de como hacerse root con ï¿½l. El problema es que el cï¿½digo con bugs es normalmente un sï¿½ntoma de cï¿½digo que toma el acercamiento inï¿½til de usar llamadas a root. En el caso de un servidor web, deseas dar acceso de solo lectura a usuarios remotos en cualquier directorio de usuario de archivos HTML. Asï¿½ que hay una gran tentaciï¿½n de hacer llamadas a root.

Y un programa con llamadas a root simplemente podrï¿½a venirse abajo y ponerte en root.

Nota para novatos: ï¿½Root! Es el Walhalla del cracker duro. "Root" es la cuenta de un ordenador multi-usuario que te permite jugar a ser Dios. ï¿½Te conviertes en el "superusuario"! Es la cuenta desde la que puedes entrar y usar cualquier otra cuenta, leer y modificar cualquier fichero, ejecutar cualquier programa. Con acceso root, puedes destruir completamente todos los datos de boring.ISP.net o de cualquier otro host en el que ganes acceso root. (ï¿½*No* estoy sugiriendo que lo hagas!)

Oh, esto es simplemente muy tentador. Hago un pequeï¿½o experimento:

telnet phreak.org 80

Esto nos da:

Trying 204.75.33.33 ...

Connected to phreak.org.

Escape character is '^]'.

Ya que el programa del puerto 80 "caduca" a los comandos en un segundo o menos, yo estaba listo para hacer un paste (pegar) al comando del host, que rï¿½pidamente inserto el siguiente comando:

<ADDRESS><A

HREF="http://www.phreak.org/thttpd/">thttpd/1.00</A></ADDRESS</BODY></HTML>

Esto da informaciï¿½n acerca del programa del puerto 80 de phreak.org:

HTTP/1.0 501 Not Implemented

Server: thttpd/1.00

Content-type: text/html

Last-modified: Thu, 22-Aug-96 19:45:15 GMT

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD>

<BODY><H2>501 Not Implemented</H2>

The requested method '<ADDRESS><A' is not implemented by this server.

<HR>

<ADDRESS><A HREF="http://www.acme.org/software/thttpd/">thttpd/1.00</A></ADDRESS

</BODY></HTML>

Connection closed by foreign host.

Bien, ï¿½quï¿½ es thttpd? Hago una bï¿½squeda rï¿½pida en Altavista y recibo la respuesta:

Un pequeï¿½o, portable, rï¿½pido, y seguro servidor HTTP. El pequeï¿½o/turbo/rï¿½pido servidor HTTP no se bifurca y es muy cuidadoso con la memoria...

ï¿½Pero supo el programador como hacer todo esto sin llamadas a root? Solo por diversiï¿½n trato de acceder a la URL acme.org y recibo el mensaje "does not have a DNS entry". Asï¿½ que esta off-line, tambiï¿½n. Pero el whois me dice que esta registrado con Internic. Hmm, esto suena aun mï¿½s a marca X de software. Y esta corriendo en un puerto. ï¿½Asalto a la ciudad! Que tentaciï¿½n...arghhh...

Tambiï¿½n, una vez mas vemos una interesante personalidad dividida. Al administrador de phreak.org le importa lo suficiente la seguridad como para coger un servidor web anunciado como "seguro". Pero ese software muestra grandes sintamos de ser un riesgo para la seguridad.

Asï¿½ que ï¿½cï¿½mo podemos concluir? Parece como si phreak.org tiene un web site. Pero estï¿½ sï¿½lo esporï¿½dicamente conectado a Internet.

Ahora supï¿½n que encontramos algo realmente malo en phreak.org. Supï¿½n que alguien pudiera cerrarlo. ï¿½Ah-ah-ah, no toques ese puerto 80 con bugs!

ï¿½O ese tentador puerto 79! ï¿½Haz ping con moderaciï¿½n, solo!

Puedes ir a la cï¿½rcel: ï¿½Estï¿½s tan tentado como lo estoy yo? Estos tï¿½os tienen la autopista de crackers, puerto 79 abierto, ï¿½Y un puerto 80 con bugs! Pero, una vez mas, te lo estoy diciendo, va en contra de la ley el irrumpir en zonas no publicas de un ordenador. Si haces telnet sobre las lï¿½neas estatales de los EEUU, es un delito federal. Incluso si crees que hay algo ilegal en ese servidor thttpd, solo alguien armado con una orden de registro tiene derecho a observarlo desde la cuenta root.

Primero, si de hecho hubiese un problema con phreak.org (recuerda, esto esta siendo usado solo como ilustraciï¿½n) mandarï¿½a un email con quejas al contacto tï¿½cnico y administrativo del proveedor que da a phreak.org conexiï¿½n a Internet. Asï¿½ que miro para ver quienes son:

whois PC.PPP.ABLECOM.NET

Recibo la respuesta:

[No name] (PC12-HST)

Hostname: PC.PPP.ABLECOM.NET

Address: 204.75.33.33

System: Sun 4/110 running SunOS 4.1.3

Record last updated on 30-Apr-95

En este caso, ya que no hay contactos listados, mandarï¿½a un email a [email protected].

Compruebo el siguiente proveedor:

whois ASYLUM.ASYLUM.ORG

Y recibo:

[No name] (ASYLUM4-HST)

Hostname: ASYLUM.ASYLUM.ORG

Address: 205.217.4.17

System: ? running ?

Record last updated on 30-Apr-96.

De nuevo, mandarï¿½a un email a [email protected]

Compruebo el ï¿½ltimo proveedor:

whois NS.NEXCHI.NET

Y recibo:

NEXUS-Chicago (BUDDH-HST)

1223 W North Shore, Suite 1E

Chicago, IL 60626

Hostname: NS.NEXCHI.NET

Address: 204.95.8.2

System: Sun running UNIX

Coordinator:

Torres, Walter (WT51) [email protected]

312-352-1200

Record last updated on 31-Dec-95.

Asï¿½ que en este caso mandarï¿½a un email a [email protected] con evidencias del material ofensivo. Tambiï¿½n mandarï¿½a las quejas por email a [email protected] y [email protected].

Esto es. En vez de librar guerras de hacker escalonadas que pueden terminar con gente en la cï¿½rcel, documenta tu problema con un web site y pide a aquellos que tienen el poder de acabar con estos tï¿½os que hagan algo. Recuerda, puedes ayudar a luchar contra los tï¿½os malos del cyberespacio mucho mejor desde tu ordenador de lo que puedas hacerlo desde una celda en la cï¿½rcel.

Nota de genio maligno: Los sintamos de ser hackeable que vemos en thttpd son la clase de desafï¿½os intelectuales que llaman a instalar Linux en tu sistema.

Una vez tengas Linux listo podrï¿½s instalar thttpd. Entonces podrï¿½s experimentar con total impunidad.

Si encontrases un bug en thttpd que comprometiera seriamente la seguridad de cualquier ordenador que lo usase, entonces ï¿½quï¿½ haces? ï¿½Aniquilar los ficheros HTML de phreak.org? ï¿½NO! Contactas con el Computer Emergency Response Team (CERT) en http://cert.org con esta informaciï¿½n. Mandaran una alerta. Te convertirï¿½s en un hï¿½roe y serï¿½s capaz de cobrar muchos pavos como experto en seguridad de ordenadores. Esto es mucho mï¿½s divertido que ir a la cï¿½rcel.

Crï¿½eme.

Bien, pues ya termino con esta columna. Espero tus contribuciones a esta lista. Pï¿½satelo bien de vigilante y, ï¿½que no te pillen!

Copyright 1996 Carolyn P. Meinel. Puedes distribuir la GUï¿½A DEL HACKING (mayormente) INOFENSIVO mientras dejes esta nota al final. Para suscribirse, email [email protected] con el mensaje "subscribe hacker <[email protected]>" sustituyendo tu direcciï¿½n de correo electrï¿½nico real por la de Joe Blow.