[HACK] lectura de verano II

merce at grn.es merce at grn.es
Tue Jul 9 14:30:54 CEST 2002 


VIERNES TARDE EN NUEVA YORK


Viernes.  16.20. Planta 32 de un edificio en Park Avenue. La empresa X
celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana.
Se  abre la puerta del ascensor y entra un técnico. Lleva tejanos, una
gorra  de  la compañía telefónica y un cinturón lleno de herramientas.
En   sus   manos,   una  extraña  pieza  electrónica.  Le  dice  a  la
recepcionista:  "Vaya  día...". Ella está más interesada en la fiesta:
"Sí, gracias a Dios es viernes".
-Odio  estas  emergencias  de último minuto, estaba a punto de irme de
fin de semana..
-¿Qué pasa?
-Nada  por  lo  que  tenga  que  preocuparse  -sonríe-. ¿Dónde está la
habitación de los teléfonos?
-Oh,  sí,  es  aquella. Y, ¿puede hacerme un favor? -dice ella dándole
las llaves.
-Lo que sea.
-Si  no  estoy  cuando haya acabado, ¿volverá a dejar las llaves en mi
cajón?
-No hay problema.
-Gracias -dice ella, con una gran sonrisa
El hombre entra en la habitación, donde están también los controles de
la  red.  "Pincha"  algunos cables y lo empalma todo a una cajita, que
esconde.  Abre  la puerta, cierra las luces y devuelve las llaves a la
recepcionista.
-¿Ya está?
-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.
El falso técnico ha instalado un programa espía en la red corporativa,
con un radiotransmisor que envía todos los datos a un receptor remoto.


Fuente: Michael Noonan. Intel



MITNICK, EL RÁPIDO


Kevin  trabajaba en una oficina de Denver administrando sistemas, pero
pasaba  la  mayor parte del tiempo llamando a empresas, para ponerse a
prueba. Una noche que nevaba, al salir del trabajo, paseando de camino
a  su  casa,  llamó desde el teléfono móvil a un directorio de números
800  de  una  gran  compañía  de  celulares. Antes de haber cruzado la
manzana  ya  había  conseguido  un  número interno del departamento de
ingenieros.  Llamó y, al momento, estaba hablando con un técnico sobre
el  código  fuente  de  unos  programas  y dándole una dirección donde
enviárselo.  Cuando  llegó  a  casa,  con el frío en los huesos, en su
ordenador  tenía  el código propietario completo del teléfono móvil de
una  de  las  mayores compañías electrónicas del mundo. Cinco manzanas
andando,  un  móvil  y  una  directorio  de  números  800, todo lo que
necesitó.


Fuente: Brian Martin, en el juicio de Kevin Mitnick



TAMPOCO HOY FUNCIONA LA RED


-Buenas  tardes,  llamo  de  la  red  X. ¿Tuvo problemas con su cuenta
últimamente?
La respuesta era obvia, ya que la red nunca funcionaba bien.
-Sí, el otro día traté de acceder y me decía CLR NC y un número.
-¡Otro  caso!  Exactamente  lo  que  suponíamos. El problema es que se
borraron  algunas  claves  de  nuestra  máquina,  por  eso las estamos
ingresando a mano. ¿Puede darnos su contraseña?
-Sí, como no. N91...
El usuario confiaba en la voz del teléfono. Si hubiese leído el manual
que le entregaron con su cuenta, hubiera sabido que CLR NC significaba
que la red estaba congestionada.

Fuente: "Llaneros solitarios". Raquel Roberti



¿CUÁL ES SU CONTRASEÑA?

Mendax  había  encontrado  en la red una lista parcial de usuarios del
sistema  Minerva.  Ya tenía dos años y era incompleta, pero había unas
treinta  páginas  de  nombres  de  usuario,  direcciones  y teléfonos.
Algunos sería aún válidos.
Necesitaba  sonido  de  fondo  de  oficina para ser creíble. Grabó una
cinta  en  su  casa,  con  teléfonos, impresoras, teclados y voces del
televisor, y empezó con la lista hasta que encontró un número válido.
-Soy  John Keller, operador de la red Minerva. Uno de nuestros DO90 se
ha  estropeado.  Hemos  recuperado  los datos y creemos que tenemos la
información  correcta,  aunque  puede  haberse  corrompido. ¿Podríamos
comprobarla?
-Sí, por supuesto
Mendax  leyó  la  información  que  tenía  en  su lista, pero dio, con
intención,  un número de fax incorrecto. La víctima le avisó del error
y le dió el correcto. Había llegado el momento de la Gran Pregunta.
-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?
-Sí, es: L-U-R-C-H


Fuente: "Underground". Suelette Dreyfus y Julian Assange



MENTIRAS EN EL CHAT


Lugar: canal de chat
Hora: domingo por la tarde (hora ideal)
Sujeto: José Luis Vera, casado, cuarentaitantos


JLuis> Hola. ¿Alguien es de Alicante?
Maria> sí yo
JLuis> Encantado de conocerte ¿qué edad tienes?
Maria> cumplo 23 en julio

[siguen hablando y vuelven a quedar dos veces más]

Maria> El otro día me dijiste que había que poner la contraseña que te
Maria> da el proveedor en la casilla de abajo, pero salen asteriscos y
Maria> no se ve nada
JLuis> Sí, en el mío también salen. Mira, por ejemplo mi configuración
JLuis> es: Usuario: JLuis at X, Clave... Bueno, eso no te lo digo.

[casi...]

Maria> Pues  estoy  usando  la  cuenta de mi hermano, pero se le acaba
Maria> dentro de un par de semanas y dice que no la va a renovar
JLuis> Es una pena
Maria> A lo mejor si me dejaras tu clave podríamos seguir hablando
JLuis> Es que no sé...  me dijeron que no se la diese a nadie..
Maria> venga, si nadie se va a enterar..
JLuis> bueno, es XXXXX pero no se lo dejes a nadie


Fuente: eljaker. SET 4




CÓMO LO HACEN


*Por teléfono

"La ingeniería social no es un proceso sencillo y espontáneo, requiere
una  gran  cantidad  de  preparación. Por ejemplo, si quieres saber la
contraseña  de alguien sólo basta con llamarle, pero tiene que parecer
que  sabes de lo que hablas. Siempre hay que hacerle creer que tenemos
gran  conocimiento  y  mantener una presencia dominante. Nunca hay que
ponerse  nervioso y se debe pensar bien lo que se dirá y cómo. Planear
un  guión  y  preguntas  inesperadas. Lo más importante es mantener la
calma y, si algo va mal, colgar".

Fuente: Carlos Truco. Raregazz 6



*En el chat 

"Aquí  no  te  ven  ni  te  oyen, puedes hacerte pasar por una persona
totalmente  opuesta  y soltar la mentira más gorda, ya que no perciben
tu  reacción  al  mentir.  Empieza  por donde se reúna la gente que no
controle  mucho.  Ante  una chica o novato, se debe mostrar seguridad,
aparentando  un  cargo  importante. Al tratar con "chulillos", hay que
cambiar  de  estrategia, debe creer que no tienes ni idea. Así se hará
el  listo,  hasta  que  suelte  algo  importante.  Ser convincente, no
parecer  dudoso, hacerle hablar de lo que le guste, para que se confíe
y, cuando esté despistado, le sueltas la pregunta gorda. Promete cosas
a cambio, contraseñas, una cita, un fichero".

Fuente: eljaker. SET 1


*En vivo 

"Ésta  es la única ocasión en la cultura hacker donde el aspecto juega
un  gran  papel.  Viste  con  dignidad. Ponte un traje. Sé educado. Si
quieres  que  parezca  que  trabajas en una oficina, debes actuar como
ellos.  Es  fácil  construirse una tarjeta de identificación falsa con
foto  o  un pase de visitante plastificado. Haz como si supieras donde
vas".

Fuente: "The Complete Social Engineering FAQ"







TÉCNICAMENTE, ESTAFA


Para  Alfons  Cano,  jefe de la Unidad de Delitos en Tecnologías de la
Información de los Mossos d'Esquadra, la IS no es más que la estafa de
toda   la  vida:  "Se  usa  especialmente  para  atentados  contra  la
intimidad,  como  conseguir  contraseñas  de  gente  o,  en canales de
adolescentes,  el  adulto  que pide el teléfono a una niña y la acosa.
También  hay  estafas  lucrativas,  de  antes de Internet, como el que
compra  una  radio y le llega un ladrillo. El medio, por su opacidad y
anonimato,   es   más   propicio.   Alguien  que  hace  transferencias
fraudulentas no se atrevería a hacer un atraco a mano armada".

Uno  de  los  más  viejos  fraudes  traspasados  a  Internet es el del
gobierno  Nigeriano  que  necesita  guardar  dinero  fuera  del país y
pregunta  si puede hacerlo en la cuenta de la víctima, a cambio de una
comisión.  Cuando  ésta  envía  sus  datos, se la vacían. Más de 3.000
estadounidenses  cayeron en la trampa el pasado año, según el Internet
Fraud  Complaint  Center.  Otro clásico son las webs pornográficas que
ofrecen  un  programa  para  acceder gratuitamente. En realidad, es un
"troyano"  que  llama  a  un  número  internacional  o  un 906. En las
subastas  online, los fraudes en compras y con tarjetas de crédito son
moneda corriente.

Algunos de estos engaños bailan en el filo de la ilegalidad, cuando lo
que   se  roba  no  es  dinero  sino  datos,  explica  Noelia  García,
especialista  en Derecho Informático: "Generalmente, el gancho para la
obtención de datos es un regalo por cumplimentar un formulario y otras
promociones.  Con  estos datos se pueden hacer registros de usuarios y
bases  de  datos de gran valor para envío de publicidad, o venderlos a
compañías de márketing".

More information about the hacking mailing list