[HACK] CURSO DE INGENIERIA SOCIAL 3 - 4

[LeStEr ThE TeAcHeR]

En este capítulo cuento algo que no dejan de preguntar en muchos foros, como
sonseguí una contraseña real de hotmail.

Quizá, una vez que se lean este documento dejen de preguntarlo una y otra y
otra y otra vez  y se ocupen de otras cosas mas interesantes
desde el punto de vista técnico.

Solo recordaros a los que no estabais que en mi web :

http://lestertheteacher.cjb.net

Podeis encontrar todos los documentos atrasados del curso de ingenieria
social.

He añadido a la web una seccion de "varios" en la que se puden ver algunos
documentos propios , varios ya posteados aqui, y algun documento sobre
hacking mas o
menos historico.

Un saludo a todos y espero que sigais disfrutando con la lectura tanto como
yo lo hago escribiendo.

INGENIERIA SOCIAL

CAPITULO III

Algunos Ingenieros sociales del panorama español mas antiguo - parte  4

LeSteR ThE TeAcHeR ( Perdónenme la inmodestia)


Caso 1

Durante aquella época me encontraba desarrollando proyectos para un operador
de telefonía cuyo nombre omito.

Por razones del corto tiempo para el desarrollo total del proyecto y la
escasez de personal ( dos males endémicos de los proyectos tecnológicos en
nuestro país), no era raro que saliéramos del edificio a altas horas de la
madrugada.

El trabajo se desarrollaba en un lugar de aquel edificio situado en los
sótanos, muy cerca de la cafetería donde las chicas de atención al cliente
tomaban sus cafés nocturnos, y también muy cerca de la maquina fotocopiadora
descomunal que servia a todo el edificio. Así las cosas no era difícil
entablar conversación en algún momento de descanso con aquellas chicas tan
simpáticas que un poco cansadas de sus condiciones de trabajo contaban con
tranquilidad casi cualquier cosa que se les preguntara abiertamente. El
simple hecho de encontrarse en aquel edificio a las 3 de la mañana, como
ellas, era razón suficiente para que te incluyeran en la lista de
"profesionales maltratados que comparten sus penas".

Días después de que el azar me hiciera conocer a aquella chica menudita de
ojos despiertos aunque un poco tristes la vi aparecer por el pasillo un poco
despistada con un montón de papel en la mano, por fin asomo la cabeza por
nuestro despacho un poco vacilante.

.- Hola, me puedes decir donde esta la maquina de fotocopias? Llevo poco
aquí y tengo que fotocopiar esto.

"esto" era el manual completo de operador del sistema de facturación de
aquella operadora de telefonía. Mas o menos unas 150 paginas a 2 caras cuya
importancia no radicaba en que explicara como debían hacerse los procesos
operativos sino, y esto es a veces mas normal de lo que se puede uno
imaginar, porque explicaba con pelos y señales las cosas que "nunca" debían
hacerse. Se detallaban cosas como la manera de conectarse desde un PC de
aquella compañía a diferentes direcciones IP donde se encontraban las
maquinas que almacenaban todo el sistema de cobros y facturación a los
usuarios y los programas que debían ejecutarse. Como modificar la
facturación de un cliente o eliminar sus llamadas, como darlo de baja o de
alta, como modificar los parámetros de facturación, precio por paso, etc.

Para "facilitarle las cosas" a mi nueva amiga la acompañe al cuarto de las
copias y tras pedirle el manual yo mismo me encargue de hacer las copias.
Mientras ella charlaba tranquilamente conmigo y tomábamos un café haciendo
tiempo, la maquina realizo las 2 copias que aquella chica necesitaba y solo
me quedo entregárselas al terminar.

¿ Se hicieron solo 2 copias de aquel manual? ... Permitidme que me guarde el
secreto que, al fin y al cabo es ya menos importante pues el hecho es que
"pudieron haberse hecho mas" y eso es lo verdaderamente grave de la
historia.

¿porque un documento confidencial tan importante estaba tan mal custodiado?

¿porque nadie le dijo a aquella jovencita tan simpática la importancia de
aquellos papeles?

¿porque las copias de algo así no estaban controladas y numeradas por un
departamento de seguridad física o lógica?

La respuesta es la de casi siempre en estos casos y es que "a nadie se la
habría ocurrido" o peor aun "como nunca pasa nada no nos imaginamos que
fuera importante". Juzgar vosotros.

Caso 2

Se trataba esta vez de verificar uno de los  sistemas de correo mas
importante del mundo ( www.hotmail.com de Microsoft ) era verdaderamente
seguro y me marque el objetivo de conseguir la contraseña de una cuenta
concreta de la que tenia algunos datos ( esta cuenta se creo hace unos años
pero se uso muy poco y era un nicho perfecto para experimentos).  Se han
encontrado diversos problemas de seguridad en los servidores de Hotmail,
todos han sido reportados por listas de seguridad como  "bugtraq"  o incluso
el CERT y en la mayoría de los casos se han subsanado los mismos por la
compañía propietaria del servicio, sin embargo no había documentados ataques
de ingeniería social que pudieran demostrar una vulnerabilidad de sus
servicio de atención al cliente.

Lo primero que se hace es enviar un mail utilizando el servicio de
recuperación de la contraseña. Se supone que la hemos perdido y por lo tanto
rellenamos un formulario en la web y cubrimos mas o menos los datos que
sabemos de la cuenta que nos interesa ( esta cuenta puede ser o no
nuestra ), los mails que incluyo son reales pero se han modificado los
nombres de personas y cuentas de correo.

La primera respuesta tarda solo unas horas :

From: "MSN Hotmail Customer Support" <service_x_es at css.one.microsoft.com>
To: <pepito at mimail.com >
Sent: Sunday, February 15, 2002 8:30 PM
Subject: RE: CST50216034ID - Passport

> Gracias por escribir a MSN Hotmail.  Apreciamos su interés en nuestros
servicios.
>
> Hemos revisado la información que usted nos ha enviado sobre la cuenta
>objetivo at hotmail.com con la que se encuentra en nuestra base de datos.
Verifique los datos >que envió, ya que tenemos algunas diferencias; por
consiguiente y hasta no poder verificar >su autenticidad no le podremos dar
acceso a su cuenta.
>
> No dude en contactarnos de nuevo con cualquier duda, pregunta o
sugerencia.
> Antony
> --- Original Message ---
> From:    < pepito at mimail.com >
> To:      "MSN Hotmail Customer Support"
<service_x_es at css.one.microsoft.com>
> Sent:    Sun Feb 15 08:43:46 PST 2002
> Subject: Passport
>
>
> SignInDate : 11 o 12 de Febrero 2001
> ContactEmailAddress : objetivo at hotmail.com
> CustomerName : Perico de los palotes
> UpdateCountry : false, false
> CUBirthdate : 28-09-1957
> CreateDate : en el ao 1999
> Submit : Enviar
> Country : ES
> FirstName : Ingrid
> LastName : fernandez
> Region : 10111302

Como veis no conozco los datos de país, y el mensaje que me envía Microsoft
me aclara que debería conocer todo lo concerniente a la cuenta para
recuperar la contraseña.


Segundo intento : Para afianzar mi postura de usuario real creo un fichero
".iaf" ( fichero de exportación de cuenta de correo de Outlook Express que
les envió para que verifiquen que aunque con otra contraseña yo accedía a mi
cuenta que "ya no funciona" y lo que ocurre es que me indican también por
mail que mejor me abra otra cuenta de correo ya que no pueden darme datos
para recuperar mi contraseña hablan de confidencialidad y seguridad, esta es
la respuesta :

----- Original Message -----
From: "MSN Hotmail Customer Support" <service_x_es at css.one.microsoft.com>
To: <pepito at mimail.com >
Sent: Thursday, February 24, 2002 5:51 AM
Subject: RE: Re: CST50216034ID - Passport

> Gracias por escribir a MSN Hotmail.  Apreciamos su interés en nuestros
servicios.
>
> Debido a la privacidad que hotmail brinda a sus clientes los datos deben
ser lo más exactos >posible. Si recuerda la pregunta y respuesta
secreta,algunos de sus contactos,y también >algunas de sus carpetas por
favor envíelas.
> Le agradecemos el envío de su información, sin embargo, los datos no
coinciden con lo >registrado al iniciar su cuenta. Le recordamos que
Passport & Hotmail requieren que usted >registre correctamente su
información personal, así, en caso de olvidar su contraseña >podemos
verificar los datos correspondientes. Esta información la necesitamos por la
>seguridad de la cuenta y por su propio beneficio.  Por favor verifique que
la información >suministrada sea correcta.
>
> Le invitamos a abrir una nueva cuenta.  Por favor llene adecuadamente los
espacios pertinentes a información personal.
>
> No dude en contactarnos de nuevo con cualquier duda, pregunta o
sugerencia.
>
> Roger B.

Parece que la cosa esta cerrada pero este mail nos brinda una información
muy importante y es que cada vez que enviamos un mail, la persona que
responde es diferente y por lo tanto querrá quitarse en problema de encima
lo antes posible pues no "tiene el caso asignado" sino que seguramente su
rendimiento se mida en numero de respuestas correctas dadas o en soluciones
positivas conseguidas, etc.

Así que envió un tercer mail con un tono completamente enfadado con la
compañía :

----- Original Message -----
From: "Perico de los palotes " <pepito at mimail.com>
To: "MSN Hotmail Customer Support" <service_x_es at css.one.microsoft.com>
Sent: Saturday, February 23, 2002 7:21 PM
Subject: Re: Re: Re: CST50216034ID - Passport

> Estoy muy enfadado con su servicio, son ustedes unos ineptos ya que
mientras
> alguien esta utilizando mi cuenta de forma fraudulenta habiendome robado
la
> contraseña en un ciber-cafe no con capaces simplemente de cerrarla y
> enviarme una contraseña nueva. ¿ ustedes creen de veras que si la cuenta
no
> fuera mia estaria enviando mensajes y  mensajes tratando de que ustedes me
> hagan caso ?
>
> Por segunda vez les envió el fichero .IAF  con el que yo configuro mis
> ordenadores para leer mi mail.
>
> Dejen ya de dar vueltas y envienme una contraseña de nueva para mi cuenta
> objetivo at hotmail.com ya que esto me esta causando graves perjuicios.
>
> Me pregunto si tendre que publicar toda esta historia en alguna revista
para
> que la gente se de cuenta de lo malo que es su servicio.

Bingo, la receta a funcionado y el mensaje que recibo de la compañía es
entonces el siguiente :

----- Original Message -----
From: "MSN Hotmail Customer Support" <service_x_es at css.one.microsoft.com>
To: <perpito at mimail.com>
Sent: Saturday, February 25, 2002 11:50 PM
Subject: RE: Re: Re: Re: CST50216034ID - Passport

> Gracias por escribir a MSN Hotmail.  Apreciamos su interés en nuestros
servicios.
>
>
> Hemos restablecido la contraseña de su cuenta
> como: ganaste2001
>
> Cuando tenga de nuevo acceso a su cuenta, cambie la contraseña. Haga clic
en el botón >"Opciones" en la barra de exploración horizontal. En "Su
información", haga clic en el >vínculo "Passport". Cree una pregunta para
recuperar la contraseña y una respuesta a esa >pregunta para poder utilizar
el sistema automático de recuperación de contraseñas.
> Hotmail garantiza la privacidad de su correo electrónico al pedirle una
contraseña para >entrar en su cuenta de Hotmail. NO comparta su contraseña
con nadie, incluso si afirma >trabajar en Hotmail. Ningún empleado de
Hotmail le pedirá su contraseña, ni por teléfono ni >correo electrónico.<p>
> MSN Hotmail dispone de una completa ayuda en línea para el usuario. Para
obtener más >información acerca de las características, funciones y
problemas de Hotmail, haga clic en el >botón "Ayuda" en la barra de
exploración horizontal.
>
> Si los pasos anteriores no han solucionado su problema, responda a este
mensaje y hágame >saber qué pasos del proceso fallaron o si el problema
persiste.  Quiero ayudarle a obtener el >mayor provecho de MSN Hotmail.
>
> Ann R.
> Su satisfacción con mi servicio al cliente es muy importante para mí. Si
usted considera que >el problema fue resuelto, ingrese al hipervínculo
incluido para hacerme conocer mi >desempeño. En sus comentarios incluya mi
nombre y el número de caso, los cuales se >encuentran  en la línea de tema o
asunto del correo. De esta forma podré llevar un control de >mi servicio.

Como vemos la cosa no ha sido tan complicada, las técnicas utilizadas en
estos mails son las que se denominan "ingeniería social inversa" que ya
explicare mas adelante.

¿ porque dieron una contraseña nueva si no podían verificar la propiedad de
la cuenta ?

En muchas compañías siguiendo la norma "El cliente siempre tiene razón"
zanjan problemas simplemente cediendo ante la insistencia de un usuario que
"como hemos demostrado" no siempre tiene razón. Esto ocurre porque el numero
de casos en los que el cliente no cuenta la verdad es muy bajo y el coste de
un problema no resuelto por ajustarse a la normativa puede ser peor para una
compañía que la metedura de pata en caso de que el cliente este mintiendo

El truco desde el punto de vista del IS es que sea conocedor de este hecho y
lo pueda aprovechar a mi favor.

LeStEr ThE TeAcHeR
FrOm ThE DaRk SiDe
lester_the_teacher at hotmail.com