[HACK] CURSO DE INGENIERIA SOCIAL 2

LeStEr ThE TeAcHeR lgros at airtel.net
Mon Aug 19 13:29:07 CEST 2002 

         INGENIERIA SOCIAL

                        POR

          LeStEr ThE TeAcHeR
          FrOm ThE DaRk SiDe
   lester_the_teacher at hotmail.com

Nota del autor ( Disclaimer que dicen los americanos)

Todos los contenidos de este documento son propiedad del autor. Este
documento
puede distribuirse libremente bajo cualquier soporte siempre y cuando se
respeten
los siguientes requisitos:

1 .- No podrán utilizarse en ningún caso para la obtención de beneficio
económico
alguno.

2 .- Su utilización deberá comunicársele al autor.

3 .- Deberá citarse siempre tanto al autor como la dirección de mail a
través de la
cual podrán ponerse en contacto con él.

4.- El documento original no podrá ser modificado.

El autor se hace responsable de todos lo aquí escrito, no así de las
acciones que
utilizando las técnicas aquí descritas puedan realizar terceros.

Algunas de las cosas que se citan en este documento pueden ser constitutivas
de
uno o varios delitos. No pretendo con esto hacer ninguna clase de apología,
ni
tampoco incitar de forma alguna a la comisión de los mismos. Simplemente
expongo
algunas técnicas utilizadas tanto por consumados delincuentes como por los
servicios de inteligencia del mundo con ánimo de estar protegido ante ellas.


CAPITULO II

Cuando Nace la Ingeniería Social en España

Corre el año 1986/87 se empiezan a instalar algunos sistemas BBS en Madrid,
Barcelona, Zaragoza, había acceso a Internet mas allá de las universidades
( En
estas solo el profesorado tenia acceso, es el nacimiento de Rediris)  y de
las
conexiones UUCP (http://www.learnthenet.com/spanish/glossary/uucp.htm) que,
mas
tarde, montaría la compañía Goya Servicios Telemáticos y que eran carísimos
para
la mayoría de los usuarios. Recordemos que no existía Web, únicamente News,
Mail
y los protocolos de búsqueda de información tipo gopher o archie.

Los servidores estaban instalados sobre todo en USA. Para los amantes de la
historia de la informática comentaré que es en 1983 cuando la red ARPANET se
desconecta de los servidores militares que hacia 1971 comenzaron a trabajar
enlazados. Este año de 1983 se considera realmente el del nacimiento de
Internet (
si alguno está interesado  y lo pide puedo dedicar un capitulo a contar la
historia de
UNIX y de Internet ya que la red no existiría sin él y ambos sin en
nacimiento del
lenguaje "C" )

Lo que uno podía encontrar en una BBS de aquella época eran ficheros
agrupados
por temas y mensajes que corrían de unos usuarios a otros utilizando la base
de lo
que después seria la red Fidonet (http://perso.wanadoo.es/cnb/r34.htm) u
otras
basadas en la misma tecnología. En estas redes las llamadas entre los nodos
las
realizaban usuarios "mecenas" que corrían con el precio de esas llamadas. En
esta
etapa los módems eran muy lentos, 1200 o 2400 bps. los mas rápidos y las
llamadas
eran muy muy caras. Esto tenía como consecuencia que un usuario no pudiera
bajarse toda la información que quería ni conectarse a demasiadas BBS so
pena de
arruinarse con la factura del teléfono..... o arruinar a sus padres.

Así las cosas, era difícil compartir información propia con otros usuarios y
mas aun
conseguir información técnica interesante que si se podía encontrar en otros
lugares
de Europa y Estados Unidos.

Los grupos de hackers ( en general personas con un buen nivel técnico y
muchísima
sed de conocimientos ) buscaban formas de abaratar las llamadas de teléfono
y
conectarse a otros lugares. En su mayoría menores con edades entre los 11 y
los 20
años no disponían de mas ingresos que la paga del domingo. El Phreaking era
casi
una necesidad y así había en nuestro país verdaderos magos del sistema
telefónico
que proveían de "soluciones" para que los demás pudieran pasar el mayor
tiempo
posible conectados con el menor coste. Es importante entender que si un
usuario
español deseaba una información de una BBS finlandesa, debía llamar a
Finlandia y
conectarse a dicha BBS ya que no había redes que compartieran la información
de
las BBS del Underground.

Se utilizaban muchas técnicas para no pagar las llamadas, desde el uso de
"blue
box" que eran útiles cuando el sistema de tarificación emitía para su
control tonos en
la "banda vocal" esto es, en la que se transmitía la voz. Hasta accesos a
través de
sistemas PAD (Packet Assembler Dissasembler
http://www.codner.com.ar/glosariohtml.htm#GlossP ). Sistemas casi siempre de
grandes compañías, que permitían desde una conexión de teléfono normal
conectarse a redes de paquetes como la española X.25 y a los que se accedía
desde números 900 ( Cuantos hackers de la época utilizaron el famoso PAD de
la
shell oil? ) y también números de tarjetas de teléfono americanas, las
llamadas
"callings cards" de MCI o de At&t que se conseguían de forma mas o menos
ilegal....
Algunos recordaran el nombre de "Virgin Boy" un Danés que con sus 15 años
había
descifrado el algoritmo de creación de los códigos de 14 dígitos de las
tarjetas de
AT&T y se dedico durante años a vender dichos números al módico precio de
100 $
USA hasta que desapareció de las redes hacia el año 1.995.

En muchos casos para conseguir informaciones de cómo utilizar ciertas
funcionalidades de una central de telefónica, o el acceso a una red era
necesario el
uso de ingeniería social. Así, algunos hackers comenzaron a especializarse
en esas
tareas. El abanico de posibilidades se multiplico, no solo el propio sistema
telefónico
sino las configuraciones de servidores, contraseñas de sistemas, datos de
compañías empezaron a ser objetivo de los ingenieros sociales, que al
facilitárselos
a otros  hackers les facilitaban en mucho sus tareas ya que se podían
dedicar a lo
que realmente les interesaba, aprender sistemas.

Son los tiempos en los que nacen Hispahack, Apostols, AFL, KhK Conspiradores
y
muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un
experto en ingeniería social o bien buscan a especialistas en esta materia
para
temas concretos.

Esto supone un importante cambio sociológico pues los hackers son, en su
mayoría,
autodidactas que han aprendido muchísimo en la soledad de su habitación,
leyendo
manuales, conectándose a lugares de los que aprendían ; sin embargo, es
cuando
comienzan a trabajar en equipo cuando sus logros se hacen mas importantes y
aunque existe el "Celo" por la información, aunque dentro de la "célula" del
grupo
esta se comparte de una manera fluida.

Se produce un fenómeno interesante a este respecto: la practica de técnicas
de
ingeniería social para conseguir información de otros grupos de Hackers.

Estos  grupos de hackers crecían de 2 formas: la primera porque los
componentes
estaban en la misma ciudad o eran usuarios de la misma BBS, y en reuniones
de
usuarios de las BBS  se conocían hablando de sus temas favoritos y se ponían
a
trabajar juntos. La otra era cuando en alguno de esos grupos se te invitaba
a entrar
porque habían leído un documento escrito por ti en alguna BBS, o algún
mensaje
dejado en las áreas de hackers que estaban abiertas a todo el mundo. (En
casi
todas las BBS se abrían áreas "ocultas" solo para un grupo determinado de
usuarios
y otras abiertas que servían un poco como "cantera" o filtro) y dichos
documentos
parecían interesantes para el grupo.

Continuara...

Espero ahora vuestros comentarios y preguntas antes de enviar la tercera
entrega del curso.

LeStEr ThE TeAcHeR
lester_the_teacher at hotmail.com
http://lestertheteacher.cjb.net ( donde encontraras los documentos del curso
anteriores )
FrOm ThE DaRk SiDe

More information about the hacking mailing list