___________________________________________________________________________ GUIA DEL HACKING (casi) INOFENSIVO Vol. 1 Numero 5 Es el dia divertido del vigilante! Como kickear a los spammers de Usenet de sus ISPs ___________________________________________________________________________ Asi que, has estado por Usenet volando spammers? Es divertido, no? Pero si alguna vez has posteado mucho en los grupos de noticias de Usenet, te daras cuenta que poco despues de que lo haces, recibes a menudo spam email. Esto es gracias al Lightning Bolt, un programa escrito por Jeff Slayton para sacar grandes volumenes de direcciones email de los mensajes de Usenet. Aqui va uno que recibi hace poco: Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net [165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT) Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT) Message-Id: <199608170555.BAA14636@mail-e2b-service.gnn.com> To: Subject: Para siempre From: FREE@Heaven.com "GRATIS" Hogar y parcela en el "CIELO" Reserva ya la tuya, hazlo hoy, no esperes. Es GRATIS simplemente por preguntar. Recibes una Accion personalizada y un mapa detallado de tu hogar en el CIELO. Manda tu nombre y direccion junto con una minima y unica donacion de $1.98 en metalico, cheque, o giro para ayudar a cubrir los costes. A: Saint Peter's Estates P.O. Box 9864 Bakersfield,CA 93389-9864 Esta es una comunidad cerrada y es "GRATIS". Satisfaccion total por 2000 años desde hoy. >De el Portero. (PD. Nos vemos en las Puertas de Perla) DIOS te bendiga. Es una buena deduccion que este spam tiene una cabecera falsa. Para identificar al culpable, empleamos el mismo comando que usamos con el spam de Usenet. whois heaven.com La respuesta es: Time Warner Cable Broadband Applications (HEAVEN-DOM) 2210 W. Olive Avenue Burbank, CA 91506 Domain Name: HEAVEN.COM Administrative Contact, Technical Contact, Zone Contact,Billing Contact: Melo, Michael (MM428) michael@HEAVEN.COM (818) 295-6671 Record last updated on 02-Apr-96. Record created on 17-Jun-93. Domain servers in listed order: CHEX.HEAVEN.COM 206.17.180.2 NOC.CERF.NET 192.153.156.22 A partir de esto podemos deducir que o bien esto es genuino (lo mas probable) o una falsificacion mejor de lo normal. Asi que tratemos de hacer finger a FREE@heaven.com. Primero, comprobemos la direccion email de retorno: finger FREE@heaven.com Nos da: [heaven.com] finger: heaven.com: Connection timed out Hay varias razones posibles para esto. Una es que el administrador de sistema de heaven.com haya deshabilitado en puerto de finge. Otra es que heaven.com este inactivo. Podria estar en un host que estuviese apagado, o quizas tal vez huerfano. ********************* Nota para novatos: Puedes registrar nombres de dominio sin tenerlos montados en ningun ordenador. Simplemente pagas tu dinero e Internic, que registra nombres de dominio, lo apartara para que tu lo uses. Sin embargo, si no lo hospedas en un ordenador en Internet en unas semanas, podrias perder tu registro. ********************* Podemos comprobar estas hipotesis con el comando ping. Este comando te dice si un ordenador esta actualmente conectado a Internet y la calidad de su conexion. Ahora, el ping, como la mayoria de las buenas herramientas hacker, puede usarse o bien para recibir informacion o bien como un medio de ataque. Pero yo te voy a hacer esperar con desesperado suspense a una posterior Guia Del Hacking (casi) Inofensivo para decirte como algunas personas usan el ping. Ademas, si, seria *ilegal* usarlo como un arma. Debido al potencial del ping para estos fines, tu cuenta shell puede tener deshabilitado el uso de ping para el usuario casual. Por ejemplo, con mi proveedor, debo ir al directorio correcto para usarlo. Asi que doy el comando: /usr/etc/ping heaven.com El resultado es: heaven.com is alive *********************** Consejo tecnico: En algunas versiones de Unix, al dar el comando "ping" hara que tu ordenador comience a "pingear" al blanco una y otra vez sin parar. Para salir del comando ping, manten presionada la tecla control y presiona "c". Y ten paciencia, la siguiente Guia Del Hacking (casi) Inofensivo te dira mas acerca del serio uso hacking del ping. *********************** Bueno, esta respuesta significa que heaven.com esta conectado a Internet ahora mismo. Permite logins? Lo comprobamos con: telnet heaven.com Esto nos deberia llevar a una pantalla que nos pediria que le diesemos un nombre de usuario y un password. El resultado es: Trying 198.182.200.1 ... telnet: connect: Connection timed out Bien, ahora sabemos que la gente no puede hacer login a heaven.com. Asi que parece que fuera un lugar poco probable para que el autor de este spam hubiese mandado el email. Y que hay de chex.heaven.com? Quizas sea el lugar donde se origino el spam? Tecleo: telnet chex.heaven.com 79 Este es el puerto de finger. Recibo: Trying 206.17.180.2 ... telnet: connect: Connection timed out Entonces intento lo de la pantalla que me pida hacer un login con un nombre de usuario, pero una vez mas consigo "Connection timed out". Esto sugiere que ni heaven.com ni chex.heaven.com son usados por la gente para mandar email. Asi que probablemente esto sea un enlace falseado en la cabecera. Comprobemos otro enlace de la cabecera: whois gnn.com La respuesta es: America Online (GNN2-DOM) 8619 Westwood Center Drive Vienna, VA 22182 USA Domain Name: GNN.COM Administrative Contact: Colella, Richard (RC1504) colella@AOL.NET 703-453-4427 Technical Contact, Zone Contact: Runge, Michael (MR1268) runge@AOL.NET 703-453-4420 Billing Contact: Lyons, Marty (ML45) marty@AOL.COM 703-453-4411 Record last updated on 07-May-96. Record created on 22-Jun-93. Domain servers in listed order: DNS-01.GNN.COM 204.148.98.241 DNS-AOL.ANS.NET 198.83.210.28 Vaya! GNN.com pertenece a America Online. America Online, como Compuserve, es una red de ordenadores por si misma que tiene entradas a Internet. Asi que no es muy probable que heaven.com estuviera enrutando email a traves de AOL, no? Seria como encontrar una cabecera que afirmase que su email fue encaminado a traves del amplio area de red de alguna corporacion Fortune 500. Asi que, esto nos da aun mas evidencias de que el primer enlace de la cabecera, heaven.com, fue falseado. De hecho, esta empezando a ser una buena apuesta el que nuestro spammer sea un novato que se acaba de graduar de las ruedas de entrenamiento de AOL. Habiendo decidido que se puede hacer dinero falseando spams, el o ella se ha hecho con una cuenta shell ofrecida por una filial de AOL, GNN. Entonces con la cuenta shell, el o ella puede seriamente meterse en el tema del falseo de email. Suena logico, eh? Ah, pero no saquemos conclusiones. Esto es solo una hipotesis y puede no ser correcta. Asi que comprobemos el enlce que falta en la cabecera: whois att.net La respuesta es: AT&T EasyLink Services (ATT2-DOM) 400 Interpace Pkwy Room B3C25 Parsippany, NJ 07054-1113 US Domain Name: ATT.NET Administrative Contact, Technical Contact, Zone Contact: DNS Technical Support (DTS-ORG) hostmaster@ATTMAIL.COM 314-519-5708 Billing Contact: Gardner, Pat (PG756) pegardner@ATTMAIL.COM 201-331-4453 Record last updated on 27-Jun-96. Record created on 13-Dec-93. Domain servers in listed order: ORCU.OR.BR.NP.ELS-GMS.ATT.NET199.191.129.139 WYCU.WY.BR.NP.ELS-GMS.ATT.NET199.191.128.43 OHCU.OH.MT.NP.ELS-GMS.ATT.NET199.191.144.75 MACU.MA.MT.NP.ELS-GMS.ATT.NET199.191.145.136 Otro dominio valido! Asi que esto es una falsificacion razonablemente ingeniosa. El culpable podria haber mandado email desde cualquiera, entre heaven.com, gnn.com o att.net. Sabemos que heaven.com es poco probable ya que ni siquiera podemos hacer que el puerto de logins (23) funcione. Pero aun tenemos gnn.com y att.net como hogares sospechosos del spammer. El siguiente paso es mandar via email una copia del spam *incluyendo la cabecera* tanto a postmaster@gnn.com (normalmente la direccion email de la persona que recibe las quejas) y runge@AOL.NET, que esta en la lista cuando hemos hecho el whois como el contacto tecnico. Deberiamos tambien mandarlo a postmaster@att.net o hostmaster@ATTMAIL.COM (contacto tecnico). Pero hay un atajo. Si este tio te ha mandado el spam, muchas otras personas tambien lo habran recibido. Hay un grupo de noticias en Usenet donde la gente puede cambiar informacion acerca de spammers de email y de Usenet, news.admin.net-abuse.misc. Hagamosle una visita y veamos lo que la gente ha descubierto acerca de FREE@heaven.com. Seguro, encuentro un mensaje acerca de este spam de heaven: From: bartleym@helium.iecorp.com (Matt Bartley) Newsgroups: news.admin.net-abuse.misc Subject: junk email - Free B 4 U - FREE@Heaven.com Supersedes: <4uvq4a$3ju@helium.iecorp.com> Date: 15 Aug 1996 14:08:47 -0700 Organization: Interstate Electronics Corporation Lines: 87 Message-ID: <4v03kv$73@helium.iecorp.com> NNTP-Posting-Host: helium.iecorp.com (snip) No hay duda, un inventado "From:" en la cabecera que parecia pertenecer a un nombre de dominio valido Los Postmasters de att.net, gnn.com y heaven.com lo notificaron. gnn.com ha afirmado ya que venia de att.net, falseado para parecer que venia de gnn. Claramente el primer "Received:" de la cabecera es inconsistente. Ahora sabemos que si quieres quejarte acerca del spam, el mejor sitio para mandar tu queja es postmaster@att.net. Pero que tal funciona actualmente lo de mandar una carta de queja? Le pregunte al dueño de un proveedor Dale Amon. Me contesto, "Del pequeño numero de mensajes spam que he estado viendo -- dado el numero de generaciones de crecimiento exponencial de la red que he visto en 20 años -- parece que el sistema sea *fuertemente* auto regulador. El Gobierno y los sistemas legales no trabajan tan bien. "Felicito a Carolyn por sus esfuerzos en este area. Esta totalmente en lo cierto. Los spammers estan controlados por el mercado. Si hay suficiente gente asombrada, responden. Si esa accion causa problemas a un proveedor, tienen en cuenta sus intereses economicos a la hora de desechar a clientes que causan dicho daño, por ejemplo los spammers. El interes economico es muchas veces un incentivo mucho mas fuerte y efectivo que los requerimientos legales. "Y recuerda que digo esto como Director Tecnico del mayor proveedor de Irlanda del Norte." Que tal demandar a los spammers? Quizas un puñado de nosotros pudiera unirse para llevar a cabo una accion y llevar a estos tios a la bancarrota. El administrador de sistema Terry McIntyre dice, "Me opongo a los intentos de demandar a los spammers. Ya tenemos un mecanismo de normas propio decente impuesto. "Considerando que la mitad de todo Internet son novatos (debido a la tasa de crecimiento del 100%), yo diria que las normativas propias son maravillosamente efectivas. "Invita al Gobierno a que haga nuestro trabajo, y algunos malditos burocratas fijaran Normas , Regulaciones, y Penas y todo ese sinsentido. Ya tenemos suficiente de eso en el mundo fuera de la red; no invitemos a nada de ello a perseguirnos en la red." Asi que parece que los profesionales de Internet prefieren controlar los spams teniendo vigilantes de red como nosotros que perseguimos a los spammers y avisamos de su presencia a sus proveedores. Me suena como divertido! De hecho, seria justo decir que sin nosotros , vigilantes de la red, Internet se reduciria a una parada de la carga que estos spammers depositasen en "ella". Bien, pues ya termino con esta columna. Espero tus contribuciones a esta lista. Pasatelo bien de vigilante -- y que no te pillen! __________________________________________________________________ Quieres compartir material guay? Decirme que soy terrible? Flamearme? Para los 2 primeros, estoy en cmeinel@techbroker.com. Por favor dirige tus flames hacia dev/null@techbroker.com. Happy hacking! _______________________________________________________ Copyright 1996 Carolyn P. Meinel. Puedes distribuir esta GUÍA DEL HACKING (mayormente) INOFENSIVO siempre que dejes esta nota al final. Para suscribirse, email cmeinel@techbroker.com con el mensaje "subscribe hacker " sustituyendo tu dirección de correo electrónico real por la de Joe Blow. _______________________________________________________ Traducido por Tosh & ReK2WiLdS BBK "Big Bro Killerz" http://www.geocities.com/SiliconValley/Pines/7347 bigbrokill@hotmail.com