GUÍAS DEL HACKING (mayormente) INOFENSIVO

GUÍAS DEL HACKING (mayormente) INOFENSIVO

Vol. 3 Nº 1

Cómo protegerte de email-bombing

_____________________________________________________________

Email bombs! Gente como el cabreado Johny [xcaotic], AKA el "Unamailer", inundó recientemente muchos medios de comunicación simplemente mandando 20 MB o más de email (decenas de miles de mensajes) para floodear las cuentas de correo de sus víctimas.

Email bombing puede ser una putada por dos razones. Una, la víctima no puede encontrar fácilmente los mensajes legítimos entre tanta montaña de basura. Dos, el flood de mensajes revienta los servers de correo y jode (perdón, reduce, X-DDD) mucho el ancho de banda disponible.

Por supuesto, esan son las dos razones principales por las que los mail-bombers cometen sus ataques: para joder el email de la gente y/o dañar el PSI que tengan como objetivo. El mail-bomb es un arma común de guerra contra los hosts controlados por spammers y artistas subrrealistas (N. del T.: joder, cada vez me doy más cuenta del gran sentido del humor que la que escribió el texto tiene, he.. X-D).

Las noticias sensacionalistas ponen a las víctimas de un mail-bombing como si fuesen , ehem, digamos abandonados por la suerte. Pero a nosotros la suerte no nos ha abandonado. Lo sabemos porque johny xcaotic (que prefiere ser llamado "cabreado johny", a propósito) -- el mail-bomber de Navidad-- le dijo a la prensa que se había fijado como objetivo la Suprema Comandante de Happy Hacker, Carolyn Meinel. (Alguien mientras tanto atacó a la lista de Happy Hacker, pero nadie ha asumido la autoría de ese ataque.)

Pero como sabes por el hecho de que la Revisión de Happy Hacker estuvo cerrada después del ataque, y por el hecho de que Carolyn Meinel continuó respondiendo a su email con normalidad, existen maneras de contraatacar a los mail-bombers.

Ahora muchas de ellas son técnicas que sólo están al alcance de los expertos. Pero si tú eres, como la mayoría de nosotros en la lista, un newbie, puedes ser capaz de ganar puntos con tu PSI distribuyendo esta información entre la gente que conozcas. Puede ser que entonces te perdonen si accedes a sus log-files para curiosear!

Mi primera línea de defensa es usar varios servicios on-line. De esa manera, en cualquier momento que una cuenta es hackeada, atacada, etc. , puedo simplemente mandar emails a todos los que suelen mandarme correo electrónico y decirles mi nueva dirección. Yo nunca he sufrido un ataque de mail-bombing que me haya hecho rendirme, pero só he sido hackeada y muchas veces lo suficiente como para que una vez le tuviese que protestar seriamente a un PSI. O, puede que tu PSI se ponga un poco nervioso ante tus experimentos de hacking. Por ello es buena idea estar preparado para saber volver a poner en funcionamiento tus cuentas.

Pero ese es un modo demasiado inocente de tratar el tema del mail-bombing. Además, un miembro de la lista Happy Hacker dice que la razón por la que Cabreado Johny no atacó todas las cuentas que yo normalmente suelo usar es porque él persuadió a Johny para que sólo hiciera mail-bomb a una con propósitos de publicidad. Pero inclso si Johny hubiese atacado todas mis cuentas favoritas, podría haberme repuesto del golpe inmediatamente.

Hay varias maneras para que tú o tu PSI podáis deshaceros de estos ataques.

La defensa más simple es que tu PSI bloquee los mail-bombs en el router. Sin embargo, esto sólo funciona si el ataque proviene de uno o de pocos hosts. También sólo funcionará si tu PSI está de acuerdo con ayudarte. Tu PSI puede sencillamente hacerse el sordo y cerrarte la cuenta.

***********************************

Nota para el newbie: Los routers (en español el término es "encaminadores") son ordenadores especializados en dirigir el tráfico. Un host es un ordenador conectado a Internet.

***********************************

Pero qué pasa si el ataque proviene de muchos sitios diferentes de Internet? Eso fue lo que me pasó en Navidad cuando Cabreado Johny asumió la autoría de un ataque de mail-bomb que también afectó a varias conocidas figuras en los EEUU como por ejemplo el evangelista Billy Graham, el presidente Bill Clinton y el congresista Newt Gingrich. (me ruborizo al encontrarme entre semejante compañía).

La manera en que Cabreado Johny cometió su ataque fue utilizar un programa que iría a un host que posee un programa para manejar listas de correo y automáticamente suscribir a sus víctimas en todas las listas registradas en ese host. Entonces su programa iría a otro ordenador que maneje listas de correo y suscribiría a sus víctimas en todas las listas, y así todo el rato.

Yo fui capaz de arreglar mi problema después de pocos minutos de descubrirlo. Xcaotic me había suscrito en todas esas listas con la dirección cmeinel@swcp.com. Pero yo uso mi dominio privado, techbroker.com, para recibir mi email. Entonces lo que hice fue enviar todo el email desde mi server en Highway Technologies a cualquier otra cuenta que creyese conveniente por entonces. Por tanto todo lo que tuve que hacer fue ir a la Web de Highway Technologies y configurar mi server de correo electrónico para que reenviase todo mi correo a otra cuenta.

***********************************

Nota para el newbie: Un mail server (servidor de correo) es un ordenador que maneja el email. Es el ordenador que te manda el email cuando conectas con tu ordenador a Internet y le das órdenes para bajate o enviar el correo de tu buzón.

***********************************

Nota de endiablado ingenio: Puedes hacer algo parecido a eso creando un archivo en tu cuenta shell (tienes una cuenta shell, verdad? CUENTA SHELL! Todos los buenos hackers deberían tener una CUENTA SHELL!) llamado .forward . Este archivo dirige tu email a otra cuenta de correo que tu quieras.

***********************************

Si Cabreado Johny hubiese atacado cmeinel@techbroker.com, me habría desecho de toda esa basura reenviando el correo a dev/null y solicitado que se me enviase el mail a carolyn@techbroker.com, etc. Es un modo bastante flexible de llevar las cosas. Y mis cuentas en swcp.com funcionan de la misma manera. Ese PSI, Southwest Cyberport, ofrece a cada usuario varias cuentas todas por el mismo precio, y con total libertad de uso. Por tanto puedo crear nuevas direcciones de correo cuando lo necesite.

Cuidado , esta y todas las técnicas que tratemos aquí no te librarán de perder una pequeña cantidad de email. Pero digo yo, por qué obsesionarnos con eso? De acuerdo con un estudio realizado por una importante compañía de estadísticas, un porcentaje sustancial de email simplemente desaparece. Sin mensajes del daemon de correo de que el mensaje falló, nada. Simplemente se va a un agujero negro. Por esto, si cuentas cada email que te envía la gente, ya puedes soñar.

Pero esto no resuelve mi problema con mi PSI. Ellos todavía se las tienen que ver con el problema del ancho de banda con toda esa basura ocupando espacio, fluyendo por ahí. Y es una importante cantidad de basura. Uno de los sysadmins de Southwest Cyberport que casi todos los días alguien ataca a sus clientes. De hecho, es sorprendente que Cabreado Johny consiguiese toda la publicidad que logró, considerando lo común que es el mail-bombing. Por tanto esencialmente todos los PSI´s tienen de alguna manera que tratar el problema del mail-bomb.

Cómo fue capaz Cabreado Johny de conseguir toda la fama que obtuvo? Puedes hacerte una idea con esta carta de Lewis Koch, el periodista que sacó a la luz la historia (imprimida aquí con su permiso):

**************

Desde: Lewis Z. Koch <lzkoch@mcs.net>

Asunto: Cuestión

Carolyn:

Primero, y puede que más importante, cuando te llamé para comprobar si verdaderamente habías sido atacada con un mail-bomb, fuiste tan amable que me diste abundante información. Pienso que fue un poco presuntuoso por tu parte decir que "por cortesía profesional le he dejado a Lewis Koch la exclusiva completa." Esta fue una historia que fue, de hecho, exclusiva.

(Nota de Carolyn: como víctima que era conocía detalles técnicos sobre el ataque que Koch no conocía. Pero desde que Koch me dijo que estaba en contacto con Cabreado Johny en las semanas siguientes a los email-bombings masivos de las navidades de 1996, supe que él conocía claramentemucho mejor que yo la lista de objetivos de Johny. Yo también soy periodista, pero me diferencio de Koch en que yo no voy buscando conseguir las exclusivas.)

Segundo, sí soy un suscriptor y sí estoy interesado en las ideas que adelantas. Pero ese interés no se extiende a proveerte --como grupo o individuo--: "montones de detalles judiciales". Los detalles de cualquier historia residen en el escrito y el comentario que ofrezco al público. "Judicial" es otra palabra para el sensacionalismo, una aproximación resumida , y algo que evito cuidadosamente.

(Nota de Carolyn: Si deseas ver lo que Koch escribió sobre Cabreado Johny, puedes verlo en la Revisión de Happy Hacker del 28 de Dic. de 1996, publicada en el forum de hackers en http://www.infowar.com/cgi-shl/login.exe)

El hecho es que yo estoy extraordinariamente sorprendido por algunas de las reacciones que he recibido de algunos individuos, algunos de los cuales fueron víctimas, otros eran simples curiosos.

Lo más importante es que existen extradordinarios puntos vulnerables en la Red , puntos débiles que están siendo ignorados, a nuestro propio riesgo.

Continuando: "Sin embargo, esta última línea significa que el email bomber empleó una técnica que es ridículamente lamer, tan lamer que incluso Carolyn Meinel pudo salir del ataque en simples minutos. Arde en dev/null, email bomber!"

Johny hizo la puntualización varias veces de que el ataque fue "simple". Fue deliberadamente diseñado para ser simple. Me imagino (sé) que si él , u otros hackers se hubiesen propuesto hacer daño, serio, daño real, lo hubieran echo sin problemas. Pero ellos no tomaron esa opción.

Hubo una persona que fue atacada y que estaba enfadada con mi reportaje. Él uso expresiones como "su campaña de terror", "la retorcida mente de `johny´", "psicópatas como `johny´", "algunos microencefálicos chorizos", "un gangster baboso" para describir a Johny.

Esta clase de pensamiento ignora la historia y la realidad. Si uno quiere usar un término como "campaña de terror" debería pensar en la historia del Unabomber, o el grupo que atentó contra Trade Center, o el Edificio Federal de Oklahoma City... o mirar lo que ha pasado en Irlanda o Israel. Allí uno encuentra "terrorismo".

Lo que pasó fue una molestia (equivalente, según opino yo, al mismo tipo de molestias que la gente experimenta cuando los jóvenes bloquean las calles principales de las grandes ciudades en protesta contra la guerra de Vietnam. La gente fue molestada ) pero los protestantes estaban expresando su opinión sobre una guerra illegal e innecesaria que incluso los que no estaban de acuerdo con ella, como Robert McNamara supieron desde el principio que sería una causa perdida. Cientos de miles de personas perdieron sus vidas en esa guerra.

Gracias por distribuir mis comentarios en tu lista.

*******************

Ahem. Estoy halagada. Estas sugiriendo que la lista Happy Hacker (con su costumbre de evitar palabras estúpidas) y el evangelista Billy Graham (cuya fe comparto) son una fábrica de noticias que sacuden el mundo entero comparable a la Guerra del Vietnam? Estoy segura de que realmente no piensas eso. Pero veamos las cosas desde otro punto de vista, OK?

Así que, qué otros modos existen de luchar contra email bombs?

Para bombardeos usando listas de correo, una posibilidad es usar un programa que arregla el flood inicial del email bomb de esos "Bienvenido a la Lista Tomate-Twaddler!" mensajes que te dirán cómo desuscribirte. Estos programas entonces componen automáticamente mensajes de desuscripción y los envían.

Damien Sorder (jericho@dimensional.com) ha puesto en funcionamiento un server de ftp para distribuir uno de esos programas. Para conseguirlo, haz ftp a:

ftp.nova.dimensional.com

/pub/security/security.utils/unix/unsubscribe.mailist.perl

Otra manera de que tu PSI te ayude es que ofrezca un programa llamado Procmail (que funciona en el sistema operativo Unix. Para más detalles, Zach Babayco (zachb@netcom.com) ha puesto a disposición del público el siguiente artículo. Gracias, Zach!

************************

Defensa contra Email-Bombing y Mail No-deseado

[Antes de que comience este artículo, me gustaría agradecer a Nancy McGough por dejarme sacar notas de su Filtering Mail FAQ, disponible en http://www.cis.ohio-state.edu/hypertext/faq/usenet/mail/filtering-faq/faq.html. Este es uno de los mejores FAQ´s sobre filtración de email que existen, y si tienes algún problema con esas direcciones o quieres aprender más sobre filtrado de email, es aquí donde deberías mirar.]

Últimamente, existe más y más gente ahí fuera enviándote email que simplemente no deseas, como "Haz Dinero Rápidamente!" basura o lamer-zines que nunca has deseado recibir. O peor todavía, está el email bomb.

Existen dos clases de email bomb, el Mail-masivo y el , email bomb empleando listas de correo:

1) Ataques de Mail-masivo. Esto es cuando el atacante te envía cientos, o puede que incluso miles de piezas de email, normalmente con la ayuda de un script y de mail falso. De los dos tipos, este es del que más fácilmente nos podemos defender, ya que los mensajes provendrán de sólo unas pocas direcciones como mucho.

2) Mail bombs usando Listas de Correo. En este caso, el atacante te suscribirá a todas las listas de correo que él o ella pueda. Esto es mucho peor que un ataque por email masivo porque estarás recibiendo email desde muchas listas de correo distintas, y tendrás que guardar alguna cantidad de ellos para poder averiguar cómo desuscribirte de cada lista.

Aquí es donde Procmail entra en acción. Procmail (pronunciado prok-mail) es un programa de filtrado de email que puede hacer varias cosas muy ingeniosas con tu email, como por ejemplo, si te suscribes a varias listas de correo que producen un gran volumen de mensajes, puede configurarse para clasificar el email en distintas carpetas de manera que todos los mensajes no estén mezclados en tu buzón. Procmail puede también ser configurado para borrar el email recibido de ciertas personas y direcciones.

Configurando Procmail

-----------------------

Primero, necesitas ver si tu sistema tiene instalado Procmail. En el prompt, teclea:

>which procmail

Si tu sistema tiene instalado Procmail, este comando te dirá dónde está localizado el programa. Apunta esto, lo necesitarás más tarde.

*NOTA* Si tu sistema te da una respuesta como "Comando desconocido: which" entonces prueba a sustituir `which´ por `type´, `where´ o `whereis´.

Si todavía no encuentras Procmail, entonces seguramente es que tu sistema no lo tiene instalado. Sin embargo, la suerte no te ha abandonado completamente (mira el FAQ mencionado al comienzo de este archivo y mira si tu sistema tiene alguno de los programas sobre los que se habla allí.)

A continuación, tienes que configurar el archivo sobre el que trabajará Procmail. Durante el resto de este documento, usaré el editor Pico. Tú puedes usar cualquier editor con el que te sientas cómodo.

Asegúrate de que estás en el directorio raíz, y entonces arranca tu editor.

>cd

>pico .procmailrc

Introduce lo siguiente en el archivo .procmailrc:

#Esta línea le dice a Procmail lo que tiene que poner en su archivo de registro. Ponlo en on cuando estés #haciendo el debugging.

VERBOSE=off

#Sustituye "mail" por tu directorio de email.

MAILDIR=$HOME/mail

#Aquí es donde el archivo de registro (logfile) y el archivo rc serán guardados

PMDIR=$HOME/.procmail

LOGFILE=$PMDIR/log

#INCLUDERC=$PMDIR/rc.ebomb

(sí, teclea la línea INCLUDERC CON el #)

Ahora que has tecleado eso, guárdalo y regresa al directorio raíz.

> cd

> mkdir .procmail

Ahora ve al directorio que acabas de crear, y arranca tu editor con un nuevo archivo: rc.ebomb:

IMPORTANTE: Asegúrate que desactivas la opción de ajuste de palabras de tu editor en esta parte. Necesitarás tener la segunda, tercera y cuarta línea del siguiente ejemplo todas en una sola línea. Con Pico, usa el modificador -w. Consulta el manual de uso de tu editor para desactivar la opción de ajuste de palabras. Asegúrate de que cuando lo edites, NO DEJES ESPACIOS en esa línea.

> cd

> pico -w rc.noebomb

#noebomb = bloqueador de email bomb

*!^((((Resent-)?(From|Sender)|X-Envelope-From):|From)(.*[^.%@a-z0-9])?

* ! ^TO(netstuff|computing|pcgames)

/dev/null

Veamos qué es lo que hace lo anterior. Las primeras líneas le dicen a Procmail que este es el principio de un archivo "receta". Una receta consiste básicamente en lo que suena, le dice al programa lo que debe buscar en cada mensaje de email, y si encuentra lo que estaba buscando, realiza una acción con su correspondiente mensaje: dirigiendo el mensaje a alguien, colocándolo en una carpeta determinada, o en este caso, borrarlo.

La segunda, tercera y cuarta líneas (las que empiezan con *) se llaman CONDICIONES. El asterisco (*) le dice a Procmail que ese es el comienzo de una condición. El ! le dice que haga lo CONTRARIO de lo que normalmente haría.

Condición 1:

* ! ^((((Resent-)?(From|Sender)|X-Envelope-From):|From)(.*[^.%@a-z0-9])?

No te desmoralices con esto, es más simple de lo que parece a primera vista. Esta condición le dice a Procmail que mire el encabezamiento del mensaje, y que vea si proviene de direcciones de administración como root o postmaster, y que también compruebe si proviene de un mailer-daemon (la cosa que te envía el mensaje cuando tú envías uno). Si el mensaje SÍ proviene de una de estas direcciones, la receta pondrá el mensaje en tu buzón y no lo borrará.

Nota para el Usuario Avanzado: Aquellos de vosotros que estéis familiarizados con Procmail os estareis preguntando seguramente por qué digo que es necesario que el usario teclee esa línea de comandos tan larga entera, en vez de usar el comando FROM_MAILER. Bueno, parecía una buena idea al principio, pero hace unos días descubrí que FROM_MAILER comprueba también la Prioridad en el encabezamiento para las palabras "junk", "bulk" y "list". Muchos (si no todos) los servers de listas de correo ponen en el apartado de Prioridad: bulk o Prioridad: list, por tanto si alguien te subscribe a varios cientos de listas, FROM_MAILER dejará pasar la mayoría de los mensajes, lo cual NO es lo que deseamos.

Condición 2:

* ! ^From:.*(listproc|majordomo|cmeinel|johnb)

Esta condición hace una revisión más exhaustiva de la línea From: del encabezamiento. En este ejemplo, busca las palabras listserv, majordomo, cmeinel, y johnb. Si es de cualquiera de esa gente, le permite pasar a tu buzón. Si no, lo echa a patadas. Aquí es donde pondrías los nombres de usuario de la gente que normalmente te envía mensajes, y tanbién los nombres de los servidores de listas de correo , como por ejemplo listproc y majordomo. Cuando edites esta línea, acuérdate de: únicamente poner el nombre de usuario en la condición, no la dirección de email completa de la persona, y acuérdate también de poner una | entre cada nombre.

Condición 3:

* ! ^TO(netnews|crypto-stuff|pcgames)

Esta condición final es donde pondrías los nombres de usuario de las listas de correo a las que estas suscrito (si es que estás suscrito a alguna). Por ejemplo, yo estoy suscrita a las listas netnews, crypto-stuff y pcgames. Cuando recibes una mensaje desde una lista de correo la mayoría de las veces la lista de direcciones vendrá en la parte To: o Cc: del encabezamiento, en vez de en la parte From:. Esta línea buscará esos nombres de usuario y pasará los mensajes que concuerden a tu buzón. Las instrucciones de edición son las mismas que para la Condición 2.

La línea final, /dev/null, es esencialmente la papelera de tu sistema. Si una pieza de email no concuerda con ninguna de las condiciones (por ejemplo, no provien de un administrador de sistema, ni de ninguna de tus listas de correo ni de nadie que conozcas) Procmail arrojará ese mensaje a dev/null, para que nunca vuelva a ser visto.

Ok. Ahora deberías tener ya creados dos archivos: .procmailrc y rc.noebomb. Necesitamos uno más antes de poner a funcionar todo apropiadamente. Guarda rc.noebomb y sal de tu editor, y ve a tu directorio raíz. Una vez allí, arranca tu editor otra vez con la opción de ajuste de palabra desactivada.

> cd

> pico -w .forward

Ahora vamos a ver un extracto del FAQ sobre Filtrado de Email de Nancy M.:

Introduce una versión modificada de lo siguiente en tu ~/.forward:

"|IFS=‘ ‘ && exec /usr/local/bin/procmail -f- || exit 75 #nancym"

== NOTAS IMPORTANTES ==

* Asegúrate de que incluyes todas estos símbolos, comillas dobles(") y simple (‘).

* La barra vertical es un adorno.

* Sustituye /usr/local/bin por la ruta de acceso correcta para procmail en tu sistema (ver paso 1).

* Sustituye `nancym´ por tu userid. Necesitas poner tu userid en tu .forward para que sea diferente de

cualquier otro .forward que exista en tu sistema.

* NO USES ~ o variables como $HOME en tu archivo .forward. Si Procmail reside bajo tu directorio

raíz escribe la ruta de acceso *completa*.

En muchos sistemas necesitarás poner permisos de lectura universales en tu archivo .forward y tu

directorio raíz navegable para permitir al cliente de correo transportar los mensajes. Para hacer esto,

teclea:

chmod 644 .forward

chmod a+x.

Si el archivo .forward de arriba no funciona, las siguientes alternativas pueden ser de ayuda:

En un mundo perfecto:

"|exec /usr/local/bin/procmail #nancym"

En un mundo casi perfecto:

"|exec /usr/local/bin/procmail USER=nancym"

En otro mundo:

"|IFS=‘ ‘; exec /usr/local/bin/procmail #nancym"

En un mundo diferente:

"|IFS=‘ ‘; exec /usr/local/bin/procmail USER=nancym"

En un mundo smrsh:

"|/usr/local/bin/procmail #nancym"

Ahora que tienes creados todos los archivos necesarios, es hora de probar este filtro. Ves a tu lector de mail y crea una nueva carpeta llamada Ebombtest. Este procedimiento difiere según cada programa, por lo que puede que tengas que experimentar un poco. Entonces abre tu archivo rc.noebomb y cambia /dev/null por Ebombtest. (Deberías haber cambiado ya las Condiciones 2 y 3 según tus preferencias; si no, ves y hazlo ahora!) Finalmente, abre .procmailrc y quita el # de la última línea.

Necesitarás dejar esto así un rato para probarlo. Dile a gente que tengas en la Condición 2 que te mande algún mensaje de prueba. Si los mensajes acceden a tu buzón, entonces esa condición está correcta. Envíate a ti mismo algunos mensajes falsos con un nombre cambiado para comprobar si van a parar a la carpeta Ebombtest. También, mándate algún mensaje a ti mismo desde la dirección root@loquequieras.com para asegurarte de que la condición 1 funciona. Si estás en alguna lista de correo, sus mensajes deberían ir a tu buzón también.

Si todo esto sale bien, entonces felicidades! Ahora tienes una defensa activa contra mail bombs! Por el momento, carga la línea Ebombtest en el archivo .procmailrc. Si alguien decide alguna vez atacarte con un mail bomb, sólo necesitarás quitar el #, y te habrás desecho de la gran cantidad de mensajes que de otra manera irían a parar a tu buzón, dándote un momento para respirar antes de empezar a desuscribirte de todas las listas de correo, o empezar a tracear a los idiotas que hicieron eso, y echarlos de sus PSI´s.

si tienes algún comentario o preguntas sobre esto, mandame un email a zachb@netcom.com. Email bombs IRÁN a tu /dev/null, así que no te preocupes!

Disclaimer: Cuando activas este programa es inevitable que una pequeña cantidad de tu correo "legal" sea puesto en /dev/null debido a que es casi imposible saber los nombres de todas las personas que te mandan mensajes. Además, no asumo ninguna responsabilidad por las irresponsabilidades de la pérdida de email, ni por ningún daño que puedan causar esos mensajes perdidos.

************************

Un agradecimiento para Damien Sorder (jericho@dimensional.com) por su ayuda en la revisión de esta guía.

_____________________________________________________________

TRADUCIDO POR:

IPghost IPghost 1997 "The Power Of The Net-Phantom"

The truth is out there...