GUIA DEL HACKING (casi) INOFENSIVO

Vol. 1 Numero 5

Es el dia divertido del vigilante! Como kickear a los spammers de Usenet de sus ISPs

___________________________________________________________________________

Asi que, has estado por Usenet volando spammers? Es divertido, no?

Pero si alguna vez has posteado mucho en los grupos de noticias de Usenet, te

daras cuenta que poco despues de que lo haces, recibes a menudo spam email.

Esto es gracias al Lightning Bolt, un programa escrito por Jeff Slayton para

sacar grandes volumenes de direcciones email de los mensajes de Usenet.

Aqui va uno que recibi hace poco:

Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net

[165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id

BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT)

Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT)

Message-Id: <199608170555.BAA14636@mail-e2b-service.gnn.com>

To:

Subject: Para siempre

From: FREE@Heaven.com

"GRATIS" Hogar y parcela en el "CIELO"

Reserva ya la tuya, hazlo hoy, no esperes. Es GRATIS simplemente

por preguntar. Recibes una Accion personalizada y un mapa detallado

de tu hogar en el CIELO. Manda tu nombre y direccion junto con una

minima y unica donacion de $1.98 en metalico, cheque, o giro para

ayudar a cubrir los costes.

A: Saint Peter's Estates

P.O. Box 9864

Bakersfield,CA 93389-9864

Esta es una comunidad cerrada y es "GRATIS".

Satisfaccion total por 2000 años desde hoy.

>De el Portero. (PD. Nos vemos en las Puertas de Perla)

DIOS te bendiga.

Es una buena deduccion que este spam tiene una cabecera falsa. Para identificar

al culpable, empleamos el mismo comando que usamos con el spam de Usenet.

whois heaven.com

La respuesta es:

Time Warner Cable Broadband Applications (HEAVEN-DOM)

2210 W. Olive Avenue

Burbank, CA 91506

Domain Name: HEAVEN.COM

Administrative Contact, Technical Contact, Zone Contact,Billing Contact:

Melo, Michael (MM428) michael@HEAVEN.COM

(818) 295-6671

Record last updated on 02-Apr-96.

Record created on 17-Jun-93.

Domain servers in listed order:

CHEX.HEAVEN.COM 206.17.180.2

NOC.CERF.NET 192.153.156.22

A partir de esto podemos deducir que o bien esto es genuino (lo mas probable) o una

falsificacion mejor de lo normal. Asi que tratemos de hacer finger a FREE@heaven.com.

Primero, comprobemos la direccion email de retorno:

finger FREE@heaven.com

Nos da:

[heaven.com]

finger: heaven.com: Connection timed out

Hay varias razones posibles para esto. Una es que el administrador de sistema de heaven.com

haya deshabilitado en puerto de finge. Otra es que heaven.com este inactivo. Podria estar

en un host que estuviese apagado, o quizas tal vez huerfano.

*********************

Nota para novatos: Puedes registrar nombres de dominio sin tenerlos montados en ningun

ordenador. Simplemente pagas tu dinero e Internic, que registra nombres de dominio, lo

apartara para que tu lo uses. Sin embargo, si no lo hospedas en un ordenador en Internet

en unas semanas, podrias perder tu registro.

*********************

Podemos comprobar estas hipotesis con el comando ping. Este comando te dice si un ordenador

esta actualmente conectado a Internet y la calidad de su conexion.

Ahora, el ping, como la mayoria de las buenas herramientas hacker, puede usarse o bien para

recibir informacion o bien como un medio de ataque. Pero yo te voy a hacer esperar con

desesperado suspense a una posterior Guia Del Hacking (casi) Inofensivo para decirte como

algunas personas usan el ping. Ademas, si, seria *ilegal* usarlo como un arma.

Debido al potencial del ping para estos fines, tu cuenta shell puede tener deshabilitado el

uso de ping para el usuario casual. Por ejemplo, con mi proveedor, debo ir al directorio

correcto para usarlo. Asi que doy el comando:

/usr/etc/ping heaven.com

El resultado es:

heaven.com is alive

***********************

Consejo tecnico: En algunas versiones de Unix, al dar el comando "ping" hara que tu ordenador

comience a "pingear" al blanco una y otra vez sin parar. Para salir del comando ping, manten

presionada la tecla control y presiona "c". Y ten paciencia, la siguiente Guia Del Hacking (casi)

Inofensivo te dira mas acerca del serio uso hacking del ping.

***********************

Bueno, esta respuesta significa que heaven.com esta conectado a Internet ahora mismo. Permite

logins? Lo comprobamos con:

telnet heaven.com

Esto nos deberia llevar a una pantalla que nos pediria que le diesemos un nombre de usuario y

un password. El resultado es:

Trying 198.182.200.1 ...

telnet: connect: Connection timed out

Bien, ahora sabemos que la gente no puede hacer login a heaven.com. Asi que parece que fuera

un lugar poco probable para que el autor de este spam hubiese mandado el email.

Y que hay de chex.heaven.com? Quizas sea el lugar donde se origino el spam? Tecleo:

telnet chex.heaven.com 79

Este es el puerto de finger. Recibo:

Trying 206.17.180.2 ...

telnet: connect: Connection timed out

Entonces intento lo de la pantalla que me pida hacer un login con un nombre de usuario, pero

una vez mas consigo "Connection timed out".

Esto sugiere que ni heaven.com ni chex.heaven.com son usados por la gente para mandar email.

Asi que probablemente esto sea un enlace falseado en la cabecera.

Comprobemos otro enlace de la cabecera:

whois gnn.com

La respuesta es:

America Online (GNN2-DOM)

8619 Westwood Center Drive

Vienna, VA 22182

USA

Domain Name: GNN.COM

Administrative Contact:

Colella, Richard (RC1504) colella@AOL.NET

703-453-4427

Technical Contact, Zone Contact:

Runge, Michael (MR1268) runge@AOL.NET

703-453-4420

Billing Contact:

Lyons, Marty (ML45) marty@AOL.COM

703-453-4411

Record last updated on 07-May-96.

Record created on 22-Jun-93.

Domain servers in listed order:

DNS-01.GNN.COM 204.148.98.241

DNS-AOL.ANS.NET 198.83.210.28

Vaya! GNN.com pertenece a America Online. America Online, como Compuserve, es una red

de ordenadores por si misma que tiene entradas a Internet. Asi que no es muy probable

que heaven.com estuviera enrutando email a traves de AOL, no? Seria como encontrar una

cabecera que afirmase que su email fue encaminado a traves del amplio area de red de

alguna corporacion Fortune 500. Asi que, esto nos da aun mas evidencias de que el primer

enlace de la cabecera, heaven.com, fue falseado.

De hecho, esta empezando a ser una buena apuesta el que nuestro spammer sea un novato

que se acaba de graduar de las ruedas de entrenamiento de AOL. Habiendo decidido que

se puede hacer dinero falseando spams, el o ella se ha hecho con una cuenta shell

ofrecida por una filial de AOL, GNN. Entonces con la cuenta shell, el o ella puede

seriamente meterse en el tema del falseo de email.

Suena logico, eh? Ah, pero no saquemos conclusiones. Esto es solo una hipotesis y puede

no ser correcta. Asi que comprobemos el enlce que falta en la cabecera:

whois att.net

La respuesta es:

AT&T EasyLink Services (ATT2-DOM)

400 Interpace Pkwy

Room B3C25

Parsippany, NJ 07054-1113

US

Domain Name: ATT.NET

Administrative Contact, Technical Contact, Zone Contact:

DNS Technical Support (DTS-ORG) hostmaster@ATTMAIL.COM

314-519-5708

Billing Contact:

Gardner, Pat (PG756) pegardner@ATTMAIL.COM

201-331-4453

Record last updated on 27-Jun-96.

Record created on 13-Dec-93.

Domain servers in listed order:

ORCU.OR.BR.NP.ELS-GMS.ATT.NET199.191.129.139

WYCU.WY.BR.NP.ELS-GMS.ATT.NET199.191.128.43

OHCU.OH.MT.NP.ELS-GMS.ATT.NET199.191.144.75

MACU.MA.MT.NP.ELS-GMS.ATT.NET199.191.145.136

Otro dominio valido! Asi que esto es una falsificacion razonablemente ingeniosa.

El culpable podria haber mandado email desde cualquiera, entre heaven.com, gnn.com

o att.net. Sabemos que heaven.com es poco probable ya que ni siquiera podemos hacer

que el puerto de logins (23) funcione. Pero aun tenemos gnn.com y att.net como hogares

sospechosos del spammer.

El siguiente paso es mandar via email una copia del spam *incluyendo la cabecera* tanto

a postmaster@gnn.com (normalmente la direccion email de la persona que recibe las quejas)

y runge@AOL.NET, que esta en la lista cuando hemos hecho el whois como el contacto tecnico.

Deberiamos tambien mandarlo a postmaster@att.net o hostmaster@ATTMAIL.COM (contacto tecnico).

Pero hay un atajo. Si este tio te ha mandado el spam, muchas otras personas tambien lo habran

recibido. Hay un grupo de noticias en Usenet donde la gente puede cambiar informacion acerca

de spammers de email y de Usenet, news.admin.net-abuse.misc. Hagamosle una visita y veamos

lo que la gente ha descubierto acerca de FREE@heaven.com. Seguro, encuentro un mensaje acerca

de este spam de heaven:

From: bartleym@helium.iecorp.com (Matt Bartley)

Newsgroups: news.admin.net-abuse.misc

Subject: junk email - Free B 4 U - FREE@Heaven.com

Supersedes: <4uvq4a$3ju@helium.iecorp.com>

Date: 15 Aug 1996 14:08:47 -0700

Organization: Interstate Electronics Corporation

Lines: 87

Message-ID: <4v03kv$73@helium.iecorp.com>

NNTP-Posting-Host: helium.iecorp.com

(snip)

No hay duda, un inventado "From:" en la cabecera que parecia pertenecer

a un nombre de dominio valido

Los Postmasters de att.net, gnn.com y heaven.com lo notificaron. gnn.com ha

afirmado ya que venia de att.net, falseado para parecer que venia de gnn.

Claramente el primer "Received:" de la cabecera es inconsistente.

Ahora sabemos que si quieres quejarte acerca del spam, el mejor sitio para mandar tu queja

es postmaster@att.net.

Pero que tal funciona actualmente lo de mandar una carta de queja? Le pregunte al dueño de

un proveedor Dale Amon. Me contesto, "Del pequeño numero de mensajes spam que he estado viendo

-- dado el numero de generaciones de crecimiento exponencial de la red que he visto en 20

años -- parece que el sistema sea *fuertemente* auto regulador. El Gobierno y los sistemas

legales no trabajan tan bien.

"Felicito a Carolyn por sus esfuerzos en este area. Esta totalmente en lo cierto. Los

spammers estan controlados por el mercado. Si hay suficiente gente asombrada, responden.

Si esa accion causa problemas a un proveedor, tienen en cuenta sus intereses economicos

a la hora de desechar a clientes que causan dicho daño, por ejemplo los spammers. El

interes economico es muchas veces un incentivo mucho mas fuerte y efectivo que los

requerimientos legales.

"Y recuerda que digo esto como Director Tecnico del mayor proveedor de Irlanda del Norte."

Que tal demandar a los spammers? Quizas un puñado de nosotros pudiera unirse para llevar

a cabo una accion y llevar a estos tios a la bancarrota.

El administrador de sistema Terry McIntyre dice, "Me opongo a los intentos de demandar a

los spammers. Ya tenemos un mecanismo de normas propio decente impuesto.

"Considerando que la mitad de todo Internet son novatos (debido a la tasa de crecimiento

del 100%), yo diria que las normativas propias son maravillosamente efectivas.

"Invita al Gobierno a que haga nuestro trabajo, y algunos malditos burocratas fijaran Normas

, Regulaciones, y Penas y todo ese sinsentido. Ya tenemos suficiente de eso en el mundo

fuera de la red; no invitemos a nada de ello a perseguirnos en la red."

Asi que parece que los profesionales de Internet prefieren controlar los spams teniendo

vigilantes de red como nosotros que perseguimos a los spammers y avisamos de su presencia

a sus proveedores. Me suena como divertido! De hecho, seria justo decir que sin nosotros

, vigilantes de la red, Internet se reduciria a una parada de la carga que estos spammers

depositasen en "ella".

Bien, pues ya termino con esta columna. Espero tus contribuciones a esta lista. Pasatelo bien

de vigilante -- y que no te pillen!

__________________________________________________________________

Quieres compartir material guay? Decirme que soy terrible? Flamearme? Para los

2 primeros, estoy en cmeinel@techbroker.com. Por favor dirige tus flames hacia

dev/null@techbroker.com. Happy hacking!

_______________________________________________________

Copyright 1996 Carolyn P. Meinel. Puedes distribuir esta GUÍA DEL HACKING (mayormente) INOFENSIVO siempre que dejes esta nota al final. Para suscribirse, email cmeinel@techbroker.com con el mensaje "subscribe hacker <joe_blow@boring.ISP.net>" sustituyendo tu dirección de correo electrónico real por la de Joe Blow.

_______________________________________________________