newnews newsgroups yymmdd hhmmss ["GMT"] []
next
post
slave
stat [MessageID|Number]
xgtitle [group_pattern]
xhdr header [range|MessageID]
xover [range]
xpat header range|MessageID pat [morepat...]
xpath Message ID
Informar sobre posibles problemas a
Usa tu imaginación con estos comandos. Además, si pretendes hackear sites desde un PSI distinto al tuyo, ten presente que algunos Internet hosts tienen un puerto nntp que o no requiere password o uno fácilmente adivinable como "post" o "news". Pero puede ser un gran esfuerzo encontrar un puerto nntp que no esté defendido. Por ello, y porque normalmente tendrás que hacerlo en tu propio PSI, es mucho más difícil que hackear el email.
Sólo recuerda cuando estés "hackeando" Usenet sites que tanto el email como los Usenet sites trucados pueden ser detectados fácilmente, si sabes buscar para ello. Y es posible decir desde dónde fueron hackeados. Una vez que detectes de dónde viene realmente el "spam", puedes utilizar el Message-ID (Identificaci¢n del Mensaje) para enseñarle al sysadmin (administrador del sistema) a quién debe echar.
Normalmente no te será posible averiguar la identidad del culpable por ti mismo. ¡Pero puedes hacer que sus PSIs le cancelen sus cuentas!
Seguramente estos Reyes del Spamming volverán a aparecer en cualquier otro PSI inocentón. Siempre est n en activo. Y, hey, ¿cuando fue la última vez que recibiste una "Maravillosa Oferta de Descuentos en su Compra"? Si no fuese por nosotros, los vigilantes de la Red, vuestros buzones y newsgroups estarían continuamente llenos de basura.
Y además el ataque contra los spammers que estoy a punto de enseñarte es ¡perfectamente legal! Hazlo y te convertir s en un Chico Bueno oficialmente. Hazlo en una fiesta y enseña a tus amigos a hacerlo también. ¡Es difícil conseguir demasiados vigilantes anti-spam ahí fuera!
Lo primero que tenemos que hacer es revisar cómo leer los encabezamientos (headers) de los artículos de Usenet y el email.
El encabezamiento es lo que nos muestra la ruta que el email o el artículo de Usenet utilizó para llegar hasta tu ordenador. Nos da los nombres de los Internet hosts que han sido usados en la creación y la transmisión de un mensaje. Sin embargo, cuando algo ha sido falsificado puede que los nombres de esos hosts sean falsos también. Como alternativa para evitar esto, el avezado falsificador usar nombres de hosts reales. Pero el hacker experimentado es capaz de decir si los hosts listados en el encabezamiento fueron usados realmente.
Primero analizaremos un ejemplo de spamming en Usenet. Un lugar realmente bueno para encontrar basura de esta clase es alt.personals. No es un lugar tan patrullado por vigilantes anti-spam como por ejemplo digamos rec.aviation.military. (¡Los que se meten con pilotos de guerra lo hacen por su propia cuenta y riesgo, y asumiendo las consecuencias!)
Así que lo que tenemos aquí es un frecuente ejemplo de spamming descarado, tal y como es mostrado por el lector de News basado en Unix "tin":
Thu, 22 Aug 1996 23:01:56 alt.personals Tomados 134 de 450
Lines 110 >>>>TEST DE COMPATIBILIDAD GRATIS E INSTANTµNEO Sin responder
ppgc@ozemail.com.au glennys e clarke at OzEmail Pty Ltd - Australia
HAZ CLICK AQUÖ PARA TU TEST DE COMPATIBILIDAD GRATIS E INSTANTµNEO!
http://www.perfect-partners.com.au
POR QUÉ LOS SOLTEROS MÁS SELECTIVOS NOS ESCOGEN
En Perfect Partners (Newcastle) International somos privados y confidenciales. Presentamos damas y caballeros entre sí con propósitos de amistad y matrimonio. Con más de 15 años de experiencia, Perfect Partner es una de las agencias de contactos de amistad en Internet con más prestigio y éxito.
Por supuesto la primera cosa que resalta sobre el resto es la dirección de email de retorno. Nosotros los vigilantes de la red solíamos mandar siempre de retorno una copia del puñetero mensaje a la dirección de correo electrónico del spammer.
En un grupo de News tan consultado como alt.personals, si únicamente uno de cada cien lectores devuelve el mensaje a la cara del remitente (mejor dicho, a su buzón) obtendremos una avalancha de mail-bombing. Esta avalancha alerta inmediatamente a los sysadmins (administradores de sistema) del PSI de la presencia de un spammer, y "Hasta Luego Lucas" a la cuenta del capullo.
Por ello, para retrasar la inevitable respuesta de los vigilantes, hoy en día muchos spammers utilizan direcciones de email falsas o trucadas.
Para comprobar si la dirección de email es falsa, salgo de "tin" y en el prompt de Unix tecleo el comando:
whois ozemail.com.au
Obtengo la respuesta:
no match for "OZEMAIL.COM.AU" (no existe "OZEMAIL.COM.AU")
Sin embargo eso no prueba nada, porque el "au" del final de la dirección de email significa que es una dirección de Australia. Desafortunadamente, "whois" no funciona en la mayoría de Internet fuera de USA.
El siguiente paso es mandar algún email de queja a esta dirección. Una copia del propio spam es normalmente una protesta suficiente. Pero por supuesto le enviamos el email sin dirección del mensaje (nuestra).
A continuación voy a la Web que se anuncia. Llego y contemplo que hay una direcci¢n de email de esta compañía, perfect.partners@hunterlink.net.au. ¿Por qué no me sorprendo cuando veo que no es la misma que la que había en el mensaje de alt.personals?
Podríamos detenernos justo aqu¡ y tirarnos una o dos horas mandando 5 MB de emails con basura en los attachments a perfect.partners@hunterlink.net.au.
Hmmm, ¿mandamos gifs de hipopótamos apareándose?
Puedes-Ir-A-La-Cárcel-Nota: Mailbombing es una manera de meterse en serios problemas. Según la experta en seguridad informática Ira Winkler "Es ilegal hacer mail-bomb a un spammer. Si llega a ser demostrado que tu causaste maliciosamente cualquier pédida financiera, en las que se pueden incluir el provocar horas de trabajo recuperándose de un mail-bomb, tienes responsabilidad de tipo criminal (culpabilidad). Si un sistema no está configurado correctamente, y tiene el directorio de correo en el disco duro del sistema, puedes reventar el sistema entero. Esto te convierte en más criminal todavía".
Puff. Desde que el mailbombing intencionado es ilegal, no puedo mandar esos gifs de hipopótamos apareándose. Por esto lo que hice fue enviar de vuelta una copia del spam a perfect.partners. Puede que parezca una venganza estúpida, pero aprenderemos a hacer mucho más que eso. Incluso mandando un sólo email a esos tíos puede convertirse en el comienzo de una oleada de protestas que los eche de Internet de una vez por todas. Si únicamente una de mil personas que reciben el spamming van a la Web de los tíos esos y les envía un email de protesta, aún así recibirán miles de protestas a consecuencia de sus abusivos mensajes. Este gran volumen de email puede ser suficiente para alertar a los sysadmins del PSI de la presencia del spammer, y, como dije, "hasta luego lucas" a la cuenta del spammer.
Fíjate lo que dice Dale Amon (propietario/operador de un PSI) sobre el poder del email-protesta:
"Uno no tiene que pedir ayuda para hacer un mail-bomb. Simplemente ocurre y ya está. Cuando veo un spammer, automáticamente le mando una copia de su propio mensaje. Me imagino que un montón de gente más hará lo mismo al mismo tiempo. Si ellos (los spammers) ocultan su dirección de email (la verdadera), la averiguo y les mando el correspondiente mensaje si tengo tiempo. En absoluto me remuerde la conciencia al hacerlo."
Hoy en día Dale es el propietario y el director técnico del PSI más grande y antiguo de Irlanda del Norte, por ello conoce perfectamente los mejores modos de descubrir qué PSI está albergando al spammer. Y estamos a punto de aprender uno de ellos.
Nuestro objetivo es descubrir quién ofrece la conexión a Internet a estas personas, y también ¡quitarles esa conexión! Créeme, cuando la gente que controla un PSI encuentra que uno de sus clientes es un spammer, normalmente no tardan mucho en echarlos fuera.
Nuestro primer paso ser diseccionar el encabezamiento del mensaje para ver cómo y dónde fue falsificado.
Dado que mi lector de news (tin) no permite visualizar los encabezamientos, uso el comando "m" para enviar una copia de este mensaje a mi cuenta shell.
Llega unos pocos minutos después. Abro el mensaje con el programa de email "Pine" y obtengo un encabezamiento con todo lujo de detalles:
Path:
sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s
tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com
!news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news
From:glennys e clarke
NNTP-Posting-Host: 203.15.166.46
Mime-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Mozilla 1.22 (Windows; I; 16bit)
El primer elemento de este encabezamiento es rotundamente verdadero: sloth.swcp.com. Es el ordenador que mi PSI utiliza para albergar los newsgroups. Es el último enlace en la cadena de ordenadores que ha distribuido el mensaje-spam por el mundo.
Newbie-Nota #2: Los hosts de Internet tienen dos "nombres" con diferente significado referente a su dirección en la Red. "Sloth" es el nombre de uno de los ordenadores que posee la compañía con dominio swcp.com. Por ejemplo "sloth" es digamos el nombre del servidor de news, y "swcp.com" el apellido.
"Sloth" se puede interpretar también como el nombre de la calle, y "swcp.com" el nombre de la ciudad, estado y código zip. "Swcp.com" es el nombre del dominio que posee la compañía Southwest Cyberport. Todos los hosts tienen además versiones numéricas de sus nombres (n§ de IP) por ejemplo 203.15.166.46.
Lo siguiente que haremos es obvio. El encabezamiento dice que el mensaje tuvo como origen el host 203.15.166.46. Por ello hacemos telnet a su servidor de nntp (puerto 119):
telnet 203.15.166.46 119
Obtenemos:
Trying 203.15.166.46 ...
telnet: connect: Conexión rechazada
Parece ser a todas luces que este elemento del encabezamiento está falsificado. Si este realmente fuera un ordenador que alberga newsgroups, debería tener un puerto de nntp que aceptara visitantes. éticamente me aceptaría durante ese medio segundo que tarda en darse cuenta de que yo no estoy autorizado para usarlo, pero lo haría. Sin embargo en este caso rechaza cualquier tipo de conexión.
Aquí tenemos otra explicación: hay un firewall en este ordenador que filtra los paquetes de información y que sólo acepta a usuarios autorizados. Pero esto no es lo corriente en un PSI utilizado por un spammer. Esta clase de firewall se utiliza normalmente para conectar una red local de una empresa con Internet.
A continuación intento mandar un email (una copia del spam) a postmaster@203.15.166.46. Pero esto es lo que obtengo:
Fecha: Wed, 28 Aug 1996 21:58:13 -0600
From: Mail Delivery Subsystem
To: cmeinel@techbroker.com
Subject: Returned mail: Host desconocido (Name server: 203.15.166.46: host
no encontrado)
Fecha de recepci¢n del mensaje original: Wed, 28 Aug 1996 21:58:06 -0600
from cmeinel@localhost
----- Las siguientes direcciones presentan problemas de reparto -----
postmaster@203.15.166.46 (error irreparable)
----- Transcript of session follows ----- ("Transcripción de la sesión")
501 postmaster@203.15.166.46... 550 Host desconocido
(Name server: 203.15.166.46: host no encontrado)
----- Original message follows ----- ("Mensaje original")
Return-Path: cmeinel
Recibido: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id
OK, parece ser que la información sobre el servidor de nntp era falsa también.
A continuación comprobamos el segundo elemento de la línea inicial del encabezamiento. Como empieza con la palabra "news", me figuro que se tratará de un ordenador que alberga newsgroups. Compruebo su puerto nntp para asegurarme:
telnet news.ironhorse.com nntp
Y el resultado es:
Trying 204.145.167.4 ...
Conectado a boxcar.ironhorse.com.
Escape character is `^]ï.
502 Usted no posee permiso para hablar. Adios.
Conexión cerrada por host remoto.
OK, sabemos entonces que esa parte del encabezamiento hace referencia a un server de news real. Oh, sí, también hemos averiguado el nombre/dirección que el ordenador ironhorse.com usa para albergar las news: "boxcar".
Pruebo el siguiente elemento de la ruta:
telnet news.uoregon.edu nntp
Y obtengo:
Trying 128.223.220.25 ...
Conectado a pith.uoregon.edu.
Escape character is `^]ï.
502 Usted no posee permiso para hablar. Adios.
Conexión cerrada por el host remoto.
OK, este era también un server de news válido. Ahora saltemos hasta el último elemento el encabezamiento: in2.uu.net:
telnet in2.uu.net nntp
Conseguimos esta respuesta:
in2.uu.net: host desconocido
Aquí hay algo sospechoso. Este host del encabezamiento no est conectado ahora mismo a Internet. Probablemente sea falso. Ahora comprobemos el nombre de dominio:
whois uu.net
El resultado es:
UUNET Technologies, Inc. (UU-DOM)
3060 Williams Drive Ste 601
Fairfax, VA 22031
USA
Nombre de Dominio: UU.NET
Administrative Contact, Technical Contact, Zone Contact:
UUNET, Alternet [Technical Support] (OA12) help@UUNET.UU.NET
+1 (800) 900-0241
Billing Contact:
Payable, Accounts (PA10-ORG) ap@UU.NET
(703) 206-5600
Fax: (703) 641-7702
Record last updated on 23-Jul-96
Record created on 20-May-87.
Domain servers listed in order:
NS.UU.NET 137.39.1.3
UUCP-GW-1.PA.DEC.COM 16.1.0.18 204.123.2.18
UUCP-GW-2.PA.DEC.COM 16.1.0.19
NS.EU.NET 192.16.202.11
The InterNIC Registration Services Host contains ONLY Internet
Information (Networks, ASNïs, Domains, and POCïs)
Please use the whois server at nic.ddn.mil for MILNET Information.
Vemos que uu.net es un dominio real. Pero teniendo en cuenta que el host in2.uu.net que aparece en el encabezamiento no está conectado actualmente a Internet, puede que esta parte del encabezamiento sea falsa. (Puede haber también otras explicaciones para esto).
Volviendo al elemento anterior del encabezamiento, probamos a continuación:
telnet news.mindspring.com nntp
Obtengo:
Trying 204.180.128.185 ...
Conectado a news.mindspring.com
Escape character is `^]ï.
502 Usted no est registrado en mi archivo de acceso. Adios.
Conexión cerrada por host remoto.
Interesante. No obtengo ningún nombre de host específico para el puerto nntp (recordemos, como antes "boxcar", por ej.). ¿Qué significa esto? Bueno, hay una cosa que podemos hacer. Hagamos telnet al puerto que nos presenta la orden de que debemos hacer login. Ese puerto es el 23, pero telnet va automáticamente al 23 a menos que le digamos lo contrario:
telnet news.mindspring.com
Ahora ver s qu‚ divertido!:
Trying 204.180.128.166 ...
telnet: conectar a dirección 204.180.128.166: Conexión rechazada
Trying 204.180.128.167 ...
telnet: conectar a dirección 204.180.128.167: Conexión rechazada
Trying 204.180.128.168 ...
telnet: conectar a dirección 204.180.128.168: Conexión rechazada
Trying 204.180.128.182 ...
telnet: conectar a dirección 204.180.128.182: Conexión rechazada
Trying 204.180.128.185 ...
telnet: conectar a dirección 204.180.128.185: Conexión rechazada
Date cuenta ¡cuántos hosts son probados por telnet con este comando! Parece que todos ellos deben ser servers de news, ya que parece que ninguno de ellos presenta el menú de login.
Este parece ser un buen candidato como origen del spamming. Hay 5 servidores de news. Hagamos un whois del nombre de dominio:
whois mindspring.com
Obtenemos:
MindSpring Enterprises, Inc. (MINDSPRING-DOM)
1430 West Peachtree Street NE
Suite 400
Atlanta, GA 30309
USA
Nombre de Dominio: MINDSPRING.COM
Administrative Contact:
Nixon , J. Fred (JFN) jnixon@MINDSPRING.COM
404-815-0770
Technical Contact, Zone Contact:
Ahola, Esa (EA55) hostmaster@MINDSPRING.COM
(404) 815-0770
Billing Contact:
Peavler, K. Anne (KAP4) peavler@MINDSPRING.COM
(404) 815-0770 (FAX) 404-815-8805
Record last updated on 27-Mar-96
Record created on 21-Apr-94.
Domains servers listed in order:
CARNAC.MINDSPRING.COM 204.180.128.95
HENRI.MINDSPRING.COM 204.180.128.3
Newbie-Nota #3: El comando whois puede decirte quién es el propietario de un determinado dominio. El nombre de dominio son las dos últimas partes separadas por un punto que vienen después de la "@" en una dirección de email, o las dos últimas partes separadas por un punto en el nombre de un ordenador.
Yo diría que Mindspring es el PSI desde el que seguramente se falsificó el mensaje. La razón es que esta parte del encabezamiento parece verdadera, y ofrece montones de ordenadores desde los que falsificar un mensaje. Una carta a la consultoría técnica en hostmaster@mindspring.com con una copia del mensaje (del spam) puede que obtenga resultado.
Pero personalmente yo iría a su página Web y les mandaría un email de protesta desde allí. Hmmm, ¿tal vez 5MB gif de hipopótamos apareando? ¿Aunque sea ilegal?
Pero el sysadmin Terry McIntyre me advierte:
"No hace falta enviarles toneladas de megas de basura. Simplemente con enviarles una copia del spam es suficiente, para que el que lo envió primero (el spammer) sepa cuál es el problema."
"La Ley del Gran Número de Ofendidos va a tu favor. El spammer manda un mensaje para alcanzar/llegar/tantear al máximo número de consumidores potenciales posibles."
"Miles de Fastidiados mandan mensajes no-tan-amables al spammer criticando su conducta incorrecta. Y muchos spammers toman ejemplo rápidamente y se arrepienten".
"Una cosa que nunca debería hacerse es enviar (publicar) al newsgroup o la lista de correo una protesta por la incorrección del spam anterior. Siempre, siempre, hay que usar el email privado para hacer ese tipo de reclamaciones. De otro modo, el newbie sin darse cuenta aumenta el nivel de ruido (basura) que circula por el newsgroup o la lista de correo".
Bueno, la última frase significa que si realmente quieres tirar del enchufe del spammer, yo mandaría una amable nota incluyendo el mensaje-spam con los encabezamientos intactos a la consultoría técnica o al departamento de atención al cliente de cada uno de los links reales que encontré en el encabezamiento del spam. Seguramente te lo agradecerán.
Aquí tenemos un ejemplo de un email que me envió Netcom agradeciéndome la ayuda prestada en la detección de un spammer:
From: Netcom Abuse Department
Reply-To:
Subject: Gracias por su informe
Gracias por su información. Hemos informado a este usuario de nuestras normas y hemos tomado las medidas oportunas, incluyendo la cancelación de la cuenta. Si él o su empresa continúa transgrediendo las normas de Netcom, tomaremos acciones legales.
Los siguientes usuarios han sido informados:
santiago@ix.netcom.com
date-net@ix.netcom.com
jhatem@ix.netcom.com
kkooim@ix.netcom.com
duffster@ix.netcom.com
spilamus@ix.netcom.com
slatham@ix.netcom.com
jwalker5@ix.netcom.com
binary@ix.netcom.com
clau@ix.netcom.com
frugal@ix.netcom.com
magnets@ix.netcom.com
sliston@ix.netcom.com
aessedai@ix.netcom.com
readme@readme.net
captainx@ix.netcom.com
carrielf@ix.netcom.com
charlene@ix.netcom.com
fonedude@ix.netcom.com
prospnet@ix.netcom.com
noon@ix.netcom.com
sial@ix.netcom.com
thy@ix.netcom.com
vhsl@ix.netcom.com
Disculpe por la longitud de la lista.
Spencer
Investigador de Abusos
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
NETCOM Online Communication Services Asuntos de Abusos
L¡nea 24-horas: 408-983-5970 abuse@netcom.com
OK, ya estoy finalizando el artículo. ¡Feliz Hacking! ¡¡Y que no te atrapen!!
GUÍA DEL HACKING (mayormente) INOFENSIVO
Vol. 1 Número 5
¡Es el día divertido del vigilante! Como kickear a los spammers de Usenet de sus ISPs
Así que, ¿has estado por Usenet volando spammers? ¿Es divertido, no?
Pero si alguna vez has posteado mucho en los grupos de noticias de Usenet, te darás cuenta que poco después de que lo haces, recibes a menudo spam email. Esto es gracias al Lightning Bolt, un programa escrito por Jeff Slayton para sacar grandes volúmenes de direcciones email de los mensajes de Usenet.
Aquí va uno que recibí hace poco:
Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net
[165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id
BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
Message-Id: <199608170555.BAA14636@mail-e2b-service.gnn.com>
To:
Subject: Para siempre
From: FREE@Heaven.com
"GRATIS" Hogar y parcela en el "CIELO"
Reserva ya la tuya, hazlo hoy, no esperes. Es GRATIS simplemente por preguntar. Recibes una Acción personalizada y un mapa detallado de tu hogar en el CIELO. Manda tu nombre y dirección junto con una mínima y única donación de $1.98 en metálico, cheque, o giro para ayudar a cubrir los costes.
A: Saint Peter's Estates
P.O. Box 9864
Bakersfield,CA 93389-9864
Esta es una comunidad cerrada y es "GRATIS".
Satisfacción total por 2000 años desde hoy.
>De El Portero. (PD. Nos vemos en las Puertas de Perla)
DIOS te bendiga.
Es una buena deducción que este spam tiene una cabecera falsa. Para identificar al culpable, empleamos el mismo comando que usamos con el spam de Usenet.
whois heaven.com
La respuesta es:
Time Warner Cable Broadband Applications (HEAVEN-DOM)
2210 W. Olive Avenue
Burbank, CA 91506
Domain Name: HEAVEN.COM
Administrative Contact, Technical Contact, Zone Contact, Billing Contact:
Melo, Michael (MM428) michael@HEAVEN.COM
(818) 295-6671
Record last updated on 02-Apr-96.
Record created on 17-Jun-93.
Domain servers in listed order:
CHEX.HEAVEN.COM 206.17.180.2
NOC.CERF.NET 192.153.156.22
A partir de esto podemos deducir que o bien esto es genuino (lo más probable) o una falsificación mejor de lo normal. Así que tratemos de hacer finger a FREE@heaven.com.
Primero, comprobemos la dirección email de retorno:
finger FREE@heaven.com
Nos da:
[heaven.com]
finger: heaven.com: Connection timed out
Hay varias razones posibles para esto. Una es que el administrador de sistema de heaven.com haya deshabilitado en puerto de finge. Otra es que heaven.com este inactivo. Podría estar en un host que estuviese apagado, o quizás tal vez huérfano.
Nota para novatos: Puedes registrar nombres de dominio sin tenerlos montados en ningún ordenador. Simplemente pagas tu dinero e Internic, que registra nombres de dominio, lo apartara para que tú lo uses. Sin embargo, si no lo hospedas en un ordenador en Internet en unas semanas, podrías perder tu registro.
Podemos comprobar estas hipótesis con el comando ping. Este comando te dice si un ordenador esta actualmente conectado a Internet y la calidad de su conexión.
Ahora, el ping, como la mayoría de las buenas herramientas hacker, puede usarse o bien para recibir información o bien como un medio de ataque. Pero yo te voy a hacer esperar con desesperado suspense a una posterior Guía Del Hacking (casi) Inofensivo para decirte como algunas personas usan el ping. Además, si, seria *ilegal* usarlo como un arma.
Debido al potencial del ping para estos fines, tu cuenta shell puede tener deshabilitado el uso de ping para el usuario casual. Por ejemplo, con mi proveedor, debo ir al directorio correcto para usarlo. Así que doy el comando:
/usr/etc/ping heaven.com
El resultado es:
heaven.com is alive
Consejo técnico: En algunas versiones de UNIX, al dar el comando "ping" hará que tu ordenador comience a "pingear" al blanco una y otra vez sin parar. Para salir del comando ping, mantén presionada la tecla control y presiona "c". Y ten paciencia, la siguiente Guía Del Hacking (casi) Inofensivo te dirá mas acerca del serio uso hacking del ping.
Bueno, esta respuesta significa que heaven.com esta conectado a Internet ahora mismo. ¿Permite logins? Lo comprobamos con:
telnet heaven.com
Esto nos debería llevar a una pantalla que nos pediría que le diésemos un nombre de usuario y un password. El resultado es:
Trying 198.182.200.1 ...
telnet: connect: Connection timed out
Bien, ahora sabemos que la gente no puede hacer login a heaven.com. Así que parece que fuera un lugar poco probable para que el autor de este spam hubiese mandado el email.
¿Y qué hay de chex.heaven.com? ¿Quizás sea el lugar donde se origino el spam? Tecleo:
telnet chex.heaven.com 79
Este es el puerto de finger. Recibo:
Trying 206.17.180.2 ...
telnet: connect: Connection timed out
Entonces intento lo de la pantalla que me pida hacer un login con un nombre de usuario, pero una vez mas consigo "Connection timed out".
Esto sugiere que ni heaven.com ni chex.heaven.com son usados por la gente para mandar email. Así que probablemente esto sea un enlace falseado en la cabecera.
Comprobemos otro enlace de la cabecera:
whois gnn.com
La respuesta es:
America Online (GNN2-DOM)
8619 Westwood Center Drive
Vienna, VA 22182
USA
Domain Name: GNN.COM
Administrative Contact:
Colella, Richard (RC1504) colella@AOL.NET
703-453-4427
Technical Contact, Zone Contact:
Runge, Michael (MR1268) runge@AOL.NET
703-453-4420
Billing Contact:
Lyons, Marty (ML45) marty@AOL.COM
703-453-4411
Record last updated on 07-May-96.
Record created on 22-Jun-93.
Domain servers in listed order:
DNS-01.GNN.COM 204.148.98.241
DNS-AOL.ANS.NET 198.83.210.28
¡Vaya! GNN.com pertenece a America Online. America Online, como Compuserve, es una red de ordenadores por si misma que tiene entradas a Internet. Así que ¿no es muy probable que heaven.com estuviera enrutando email a través de AOL?, ¿no? Seria como encontrar una cabecera que afirmase que su email fue encaminado a través del amplio área de red de alguna corporación Fortune 500.
Así que, esto nos da aun más evidencias de que el primer enlace de la cabecera, heaven.com, fue falseado.
De hecho, esta empezando a ser una buena apuesta el que nuestro spammer sea un novato que se acaba de graduar de las ruedas de entrenamiento de AOL.
Habiendo decidido que se puede hacer dinero falseando spams, el o ella se ha hecho con una cuenta shell ofrecida por una filial de AOL, GNN. Entonces con la cuenta shell, el o ella puede seriamente meterse en el tema del falseo de email.
Suena lógico, ¿eh? Ah, pero no saquemos conclusiones. Esto es solo una hipótesis y puede no ser correcta. Así que comprobemos el enlace que falta en la cabecera:
whois att.net
La respuesta es:
AT&T EasyLink Services (ATT2-DOM)
400 Interpace Pkwy
Room B3C25
Parsippany, NJ 07054-1113
US
Domain Name: ATT.NET
Administrative Contact, Technical Contact, Zone Contact:
DNS Technical Support (DTS-ORG) hostmaster@ATTMAIL.COM
314-519-5708
Billing Contact:
Gardner, Pat (PG756) pegardner@ATTMAIL.COM
201-331-4453
Record last updated on 27-Jun-96.
Record created on 13-Dec-93.
Domain servers in listed order:
ORCU.OR.BR.NP.ELS-GMS.ATT.NET 199.191.129.139
WYCU.WY.BR.NP.ELS-GMS.ATT.NET 199.191.128.43
OHCU.OH.MT.NP.ELS-GMS.ATT.NET 199.191.144.75
MACU.MA.MT.NP.ELS-GMS.ATT.NET 199.191.145.136
¡Otro dominio válido! Así que esto es una falsificación razonablemente ingeniosa. El culpable podría haber mandado email desde cualquiera, entre heaven.com, gnn.com o att.net. Sabemos que heaven.com es poco probable ya que ni siquiera podemos hacer que el puerto de logins (23) funcione. Pero aun tenemos gnn.com y att.net como hogares sospechosos del spammer.
El siguiente paso es mandar vía email una copia del spam *incluyendo la cabecera* tanto a postmaster@gnn.com (normalmente la dirección email de la persona que recibe las quejas) y runge@AOL.NET, que esta en la lista cuando hemos hecho el whois como el contacto técnico. Deberíamos también mandarlo a postmaster@att.net o hostmaster@ATTMAIL.COM (contacto técnico).
Pero hay un atajo. Si este tío te ha mandado el spam, muchas otras personas también lo habrán recibido. Hay un grupo de noticias en Usenet donde la gente puede cambiar información acerca de spammers de email y de Usenet, news.admin.net-abuse.misc. Hagámosle una visita y veamos lo que la gente ha descubierto acerca de FREE@heaven.com. Seguro, encuentro un mensaje acerca de este spam de heaven:
From: bartleym@helium.iecorp.com (Matt Bartley)
Newsgroups: news.admin.net-abuse.misc
Subject: junk email - Free B 4 U - FREE@Heaven.com
Supersedes: <4uvq4a$3ju@helium.iecorp.com>
Date: 15 Aug 1996 14:08:47 -0700
Organization: Interstate Electronics Corporation
Lines: 87
Message-ID: <4v03kv$73@helium.iecorp.com>
NNTP-Posting-Host: helium.iecorp.com
(snip)
No hay duda, un inventado "From:" en la cabecera que parecía pertenecer a un nombre de dominio valido.
Los Postmasters de att.net, gnn.com y heaven.com lo notificaron. gnn.com ha afirmado ya que venia de att.net, falseado para parecer que venia de gnn. Claramente el primer "Received:" de la cabecera es inconsistente.
Ahora sabemos que si quieres quejarte acerca del spam, el mejor sitio para mandar tu queja es postmaster@att.net.
Pero ¿qué tal funciona actualmente lo de mandar una carta de queja? Le pregunte al dueño de un proveedor Dale Amon. Me contesto, "Del pequeño número de mensajes spam que he estado viendo -- dado el número de generaciones de crecimiento exponencial de la red que he visto en 20 años -- parece que el sistema sea *fuertemente* auto regulador. El Gobierno y los sistemas legales no trabajan tan bien.
"Felicito a Carolyn por sus esfuerzos en este área. Esta totalmente en lo cierto. Los spammers están controlados por el mercado. Si hay suficiente gente asombrada, responden. Si esa acción causa problemas a un proveedor, tienen en cuenta sus intereses económicos a la hora de desechar a clientes que causan dicho daño, por ejemplo los spammers. El interés económico es muchas veces un incentivo mucho mas fuerte y efectivo que los requerimientos legales.
"Y recuerda que digo esto como Director Técnico del mayor proveedor de Irlanda del Norte."
¿Qué tal demandar a los spammers? Quizás un puñado de nosotros pudiera unirse para llevar a cabo una acción y llevar a estos tíos a la bancarrota.
El administrador de sistema Terry McIntyre dice, "Me opongo a los intentos de demandar a los spammers. Ya tenemos un mecanismo de normas propio decente impuesto.
"Considerando que la mitad de todo Internet son novatos (debido a la tasa de crecimiento del 100%), yo diría que las normativas propias son maravillosamente efectivas.
"Invita al Gobierno a que haga nuestro trabajo, y algunos malditos burócratas fijaran Normas, Regulaciones, y Penas y todo ese sin sentido. Ya tenemos suficiente de eso en el mundo fuera de la red; no invitemos a nada de ello a perseguirnos en la red."
Así que parece que los profesionales de Internet prefieren controlar los spams teniendo vigilantes de red como nosotros que perseguimos a los spammers y avisamos de su presencia a sus proveedores. ¡Me suena como divertido! De hecho, seria justo decir que sin nosotros, vigilantes de la red, Internet se reduciría a una parada de la carga que estos spammers depositasen en "ella".
Bien, pues ya termino con esta columna. Espero tus contribuciones a esta lista. Pásatelo bien de vigilante y, ¡que no te pillen!
GUÍA DEL HACKING (mayormente) INOFENSIVO
Vol. 1 Numero 6
¡Es el día divertido del vigilante una vez mas! Como "joder" webs ofensivas
¿Cómo nos ocupamos de webs ofensivas?
Recuerda que Internet es voluntaria. No hay ley que fuerce a un proveedor a servir a gente que no les guste. Como los reyes del spam Jeff Slayton, Crazy Kevin, y, oh sí, los originales artistas del spam Cantor y Siegal han aprendido, la vida como spammer es una continua carrera. Lo mismo es aplicable a web sites que se pasan de la raya.
La razón por la que saco a relucir esto es que un miembro de la lista de Happy Hacker me ha dicho que le gustaría destrozar sites de porno infantil. Creo que esa es una idea muy, muy, buena -- excepto por un problema. ¡Puedes acabar en la cárcel! No quiero que las utilidades de hacking que puedas pillar de web y ftp sites públicos sean un aliciente para que te pillen. Es fácil usarlas para destrozar web sites. Pero es difícil usarlas sin ser ¡pillado!
PUEDES IR A LA CÁRCEL: Irrumpir en una parte no publica de un ordenador es ilegal. Adicionalmente, si usas las líneas de teléfono o Internet a lo largo de una línea de un estado de EEUU para irrumpir en una zona no publica de un ordenador, habrás cometido un delito Federal. No necesitas causar ningún daño -- es igualmente ilegal. Incluso si solo consigues acceso root e inmediatamente desconectas -- sigue siendo ilegal. Incluso si estas haciendo lo que tu ves como una obligación cívica mediante el destrozo de porno infantil -- sigue siendo ilegal.
Aquí va otro problema. Hicieron falta dos hackers cabreados para parar la lista esa de DC. Sí, volverá, eventualmente. Pero ¿y si Internet estuviera limitada a acarrear solamente material que fuese totalmente inofensivo para todo el mundo? De ahí el porqué esta contra la ley el "joder" proveedores y servidores web que no te gusten. Créeme, como pronto descubrirás, es realmente fácil el sacar a un host fuera de Internet. Es *tan* fácil que hacer este tipo de cosas ¡NO es élite!
Así que ¿cuál es la alternativa legal para luchar contra el porno infantil? El tratar de llevar a la cárcel a los tíos del web de porno infantil no siempre funciona. Mientras que hay leyes contra ello en los EEUU, el problema es que Internet es global. Muchos países no tienen leyes en contra del porno infantil en Internet. Incluso si fuese ilegal en todos sitios, en muchos países la policía solo caza a personas a cambio de que tu pagues un soborno mayor que el del criminal.
Pueden ir a la cárcel: En los EEUU y en muchos otros países, el porno infantil es ilegal. Si las imágenes están albergadas en un dispositivo de almacenamiento físico dentro de la jurisdicción de un país con leyes en contra de ello, la persona que ponga estas imágenes en el dispositivo de almacenamiento puede ir a la cárcel. Así que si sabes lo suficiente para ayudar a las autoridades a obtener una orden de registro, contacta con ellos sin lugar a dudas. En los EEUU, estos serian el FBI.
Pero la clase de ofensas masivas que mantiene a los spammers a la carrera puede también llevar al porno infantil fuera de la Red. *Tenemos* el poder.
La clave es que nadie puede forzar a un proveedor a llevar porno infantil-- o cualquier otra cosa. De hecho, la mayoría de los seres humanos están tan disgustados con el porno infantil que saltaran a la mínima oportunidad de acabar con ello. Si el proveedor es dirigido por algún pervertido que quiere hacer dinero ofreciendo porno infantil, entonces tu vas al siguiente nivel, al proveedor que ofrece la conexión al proveedor de porno infantil. Allí habrá alguien que estará encantado de parar los pies a los bastardos.
Así que, ¿cómo encuentras a la gente que pueda poner un web site en marcha? Comenzamos con la URL.
Voy a usar una URL real. Pero por favor ten en cuenta que no estoy diciendo que esta sea actualmente una dirección con porno infantil. Esto es usado solo con fines ilustrativos ya que esta URL es llevada por un host con muchas características hackeables. También, al menos por algunos estándares, tiene material calificado X. Así que visítala a tu propio riesgo.
http://www.phreak.org
Ahora digamos que alguien te dijo que este era un site de porno infantil. ¿Simplemente lanzas un ataque? No.
Así es como las guerras hacker comienzan. ¿Y si phreak.org es un buen sitio actualmente? Incluso si una vez mostraron porno infantil, tal vez se hayan arrepentido. No queriendo ser pillado actuando por un estúpido rumor, voy a la web y recibo el mensaje "no DNS entry". Así que parece que este web site no este allí ahora mismo.
Pero podría simplemente ser que la maquina que tiene el disco que alberga a este web site este temporalmente apagada. Hay un modo de decir si el ordenador que sirve un nombre de dominio esta funcionando: el comando ping:
/usr/etc/ping phreak.org
La respuesta es:
/usr/etc/ping: unknown host phreak.org
Ahora, si este web site hubiese estado funcionando, habría respondido como lo hace mi web site:
/usr/etc/ping techbroker.com
Esto da la respuesta:
techbroker.com is alive
Nota de genio maligno: El ping es una herramienta de diagnostico de red poderosa. Este ejemplo es de BSD UNIX. Quaterdeck Internet Suite y muchos otros paquetes de software también ofrecen esta versión del comando ping. Pero en su forma mas poderosa -- que la puedes obtener instalando Linux en tu ordenador -- el comando ping-f mandara fuera paquetes tan rápido como el host que usemos de blanco pueda responder por un periodo de tiempo indefinido. Esto puede mantener al blanco extremadamente ocupado y puede ser suficiente para poner al ordenador fuera de combate. Si varias personas hacen esto simultáneamente, el blanco casi seguro que será incapaz de mantener su conexión de red. Así que -- *ahora* ¿quieres instalar Linux?
Advertencia: "Pinging down" (el tirar abajo mediante ping) a un host es increíblemente fácil. Es muy fácil para ser considerado elite, así que no lo hagas para impresionar a tus amigos. Si de todas formas lo haces, prepárate para ser denunciado por el dueño de tu blanco y ser pateado de tu proveedor -- o ¡mucho peor! Si por accidente haces correr al comando ping en modo de asalto, puedes rápidamente apagarlo presionando la tecla control a la vez que la tecla "c".
Advertencia puedes ir a la cárcel: Si se puede probar que usaste el comando ping-f con el propósito de tirar al host al que apuntaste, esto es un ataque de denegaron de servicio y por lo tanto ilegal.
Bien, ahora ya hemos establecido que al menos en estos momentos, http://phreak.com o bien no existe, o que el ordenador que lo alberga no esta conectado a Internet.
¿Pero es esto temporal o se fue, se fue, se fue? Podemos hacernos alguna idea de si ha estado funcionando y de si ha sido ampliamente visitada por medio del motor de búsqueda en http://altavista.digital.com. Es capaz de buscar links fijados en páginas web. ¿Hay muchos web sites con links hacia phreak.org? En los comandos de búsqueda pongo:
link: http://www.phreak.org
host: http://www.phreak.org
Pero no aparece nada. Así que parece que el site phreak.org no es realmente popular.
Bueno, ¿tiene phreak.org un registro en Internic? Probemos con whois:
whois phreak.org
Phreaks, Inc. (PHREAK-DOM)
Phreaks, Inc.
1313 Mockingbird Lane
San José, CA 95132 US
Domain Name: PHREAK.ORG
Administrative Contact, Billing Contact:
Connor, Patrick (PC61) pc@PHREAK.ORG
(408) 262-4142
Technical Contact, Zone Contact:
Hall, Barbara (BH340) rain@PHREAK.ORG
408.262.4142
Record last updated on 06-Feb-96.
Record created on 30-Apr-95.
Domain servers in listed order:
PC.PPP.ABLECOM.NET 204.75.33.33
ASYLUM.ASYLUM.ORG 205.217.4.17
NS.NEXCHI.NET 204.95.8.2
Seguidamente espero unas pocas horas y hago ping a phreak.org de nuevo. Descubro que ahora esta "vivo". Así que ahora hemos aprendido que el ordenador que alberga a phreak.org esta a veces conectado a Internet y a veces no. (De hecho, pruebas posteriores demuestran que esta normalmente down.)
Trato de hacer telnet a su secuencia de login:
telnet phreak.org
Trying 204.75.33.33 ...
Connected to phreak.org.
Escape character is '^]'.
;
Connection closed by foreign host.
¡Ha! ¡Alguien ha conectado el ordenador que alberga a phreak.org a Internet!
El hecho de que esto solo nos dé el dibujo en ASCII y no el prompt de login sugiere que este host no de exactamente la bienvenida al visitante casual. Pudiera bien tener un firewall que rechazase intentos de login de cualquiera que "telnetease" desde un host que no este en su lista de aprobación.
Seguidamente hago un finger a tu contacto técnico:
finger rain@phreak.org
La respuesta es:
[phreak.org]
Entonces me da un scroll de gráficos ASCII desconcertantes. Haz un finger tu mismo si quieres verlo. Sin embargo yo solo lo calificaría como PG-13 (mayores de 13 años, creo).
El hecho de que phreak.org corra el servicio finger es interesante. Dado que el finger es una de las mejores formas de crackear un sistema, podemos concluir que o bien:
1) El administrador de phreak.org no esta muy concienzado con la seguridad, o
2) Es tan importante para phreak.org el mandar mensajes insultantes que al administrador no le importa el riesgo de seguridad de usar el finger.
Dado que hemos visto evidencias de un firewall, el punto 2 es probablemente cierto.
Uno de los miembros de la lista del Happy Hacker que me ayudo revisando esta Guía, William Ryan, decidió probar mas adelante el puerto finger de phreak.org:
"He estado prestando mucha atención a todas las cosas de "happy hacker" que has posteado. Cuando intente usar el método del puerto 79 en phreak.org, se conectaba y después mostraba una mano con su dedo del medio levantado y el comentario "UP YOURS". Cuando intente usar el finger, me conecte y se mostraba un mensaje un poco después "In real life???""
Oh, esto es simplemente *muy* tentador...ah, pero mantengámonos fuera de problemas y dejemos al puerto 79 en paz, ¿OK?
Ahora ¿qué tal su puerto HTML, que podría dar acceso a cualquier web site albergado por phreak.org? Podríamos simplemente ejecutar un browser y echar un vistazo. Pero somos hackers y los hackers nunca hacen nada del modo ordinario. Además, no quiero ver fotos sucias y malas palabras. Así que comprobamos para ver si tiene activado, lo has adivinado, un pequeño puerto de "surfing":
telnet phreak.org 80
Esto es lo que recibo:
Trying 204.75.33.33 ...
Connected to phreak.org.
Escape character is '^]'.
HTTP/1.0 400 Bad Request
Server: thttpd/1.00
Content-type: text/html
Last-modified: Thu, 22-Aug-96 18:54:20 GMT
400 Bad Request
). Lo prometo, este hack es espectacularmente fácil!