Este
artículo fue enviado por Maritxa a la lista de correo del grupo
HackIndex, siendo su autor LOKUTUS. Dada la alta calidad del
artículo, paso a reproducirlo integramente, con mis
agradecimientos a Lokutus por su redacción y a Maritxa por
compartirlo.
La
web de Lokutus es:
http://www.airtel.net/hosting/00013/lokutus/
De Maritxa, tengo en mi espacio web su artículo
"sistema de venta electrónica con tarjetas de crédito". Se puede
descargar en formato *.pdf, comprimido con winzip. Próximamente
voy a dedicarle una sección completa a Maritxa, dada la alta
calidad de sus artículos.
From: "\(...\)"
< maritxa1998@hotpop.com >
Subject: RV: [HackIndex] Técnicas de CiberDetective
Reenvío este mail por que lo lei y me pareció interesante.
(...)
-----Mensaje original-----
De: Lokutus [mailto: lokutus69@yahoo.com ]
Enviado el: Domingo, 11 de Marzo de 2001 10:48 P.M.
Para: hackindex@elistas.net
Asunto: [HackIndex] Técnicas de CiberDetective
.........................................................
Atención:
Declino toda responsabilidad, del mal uso que cualquier lector pueda dar a la información contenida en este
documento. Mi fin no es el de incitar al delito o romper la intimidad de las personas en la red, si no únicamente lo presento con fines didácticos.
.........................................................
Técnicas de ciberdetective en la red.
1 - Introducción.
2 - ¿Qué podemos esperar conseguir?.
3 - La dirección IP.
3.1 - De un mensaje de correo electrónico.
3.2 - De un mensaje enviado a las news.
3.3 - De una conexión al IRC.
3.4 - De un fichero de trazas.
3.5 - Tenemos la IP, ¿Y ahora qué?
4 - Otros datos básicos.
4.1 - El Nick.
4.2 - Nombre y apellidos.
5 - Pasando a la acción.
5.1 - Buscando su "entorno".
5.1.1 - Investigando en las news.
5.1.2 - Investigando el Nick en el IRC.
5.2 - Buscando su email, (LDAP).
5.3 - Husmeando en su empresa.
5.4 - Buscando su o sus página(s) web.
5.5 - Buscando su número de teléfono y o su dirección.
5.6 - ¿Existe una dirección de correo?.
6 - Técnicas de espionaje.
6.1 - KeyLogger.
6.2 - Troyanos, sniffers, y herramientas de cracker.
6.3 - Espiando la caché del navegador.
6.4 - Usando un proxi.
7 - Recopilación de URLs.
1 - Introducción.
Ultimamente proliferan en la red, sobre todo en USA, ciertas utilidades de Pagoware, que se anuncian como perfectas para
conseguir todos los datos de alguien.
Su funcionamiento sería el siguiente, le pasas uno o más datos de entrada, como un mensaje de email que has recibido de
alguien, y la aplicación se pone a buscar en la red, al cabo de un par de horas, o antes si la red está en buenas condiciones,
es posible que tengas la dirección completa del emisor del mensaje, con su número de teléfono. en otros casos, algunos
datos parciales, que pueden ser o no ser suficientes.
¿Como lo hacen?, su funcionamiento interno se basa en la consulta de bases de datos públicas accesibles a todo el mundo
en la red. Esas aplicaciones, sólo funcionan, en el supuesto de que quieras buscar a alguien de USA.
Los demás, tendremos que conformarnos con saber donde están esas bases de datos, y usarlas manualmente, de esta forma
podremos ahorrarnos el coste del pagoware o usar su correspondiente crack. :)
2 - ¿Qué podemos esperar conseguir?
Hacer una investigación en la red, es una tarea que aparentemente es compleja, aunque una vez que se conoce su
mecanismo, puede ser realizada por cualquier usuario. Uno de los aspectos más curiosos, es que los resultados que se pueden
obtener, son de lo más variados, según el cuidado que tenga un usuario de la red en ocultar sus huellas, puede que no
consigamos absolutamente nada, o puede que lo consigamos todo.
En la mayoría de los casos, lo más que conseguiremos, será, el
ISP desde el que se conecta el usuario, aunque en muchas ocasiones, buscando conseguiremos buenos resultados.
Lo primero a tener en cuenta, al empezar una investigación, es que cualquier dato, por insignificante que parezca, puede
ser importante, incluso si conoces alguno de los gustos o
aficiones de la persona a la que quieres investigar, puede ser importante para saber por donde buscar. Existen muchas reglas
fijas o procedimientos para llevar a cabo la investigación, pero, también es importante la intuición y la imaginación y eso
es muy difícil de plasmar aquí.
MUY IMPORTANTE: A veces, los cruces de datos que hagamos, pueden no ser correctos, por ejemplo, puede darse el caso de dos usuarios con el mismo nick, alguien con el Nick "celedonio" en el IRC, puede no ser un "Celedonio" que escribe en las news.
3 - La dirección IP.
Número de 32 bits, representado de la forma a.b.c.d, donde
a.b.c.d son números que van del 0 al 255. En un momento dado,
no pueden existir en la red dos usuarios con la misma IP.
Algunas veces, un usuario puede tener dirección IP fija, o
bién se conecta desde una empresa, o un cibercafé, o bién es
usuario de cable. En otras ocasiones, se conecta mediante módem
analógico o RDSI, por lo que su dirección IP, cambia de
conexión a conexión. Cuando un usuario desconecta o se cae, su
dirección IP pasa a disposición de otros usuarios que se
conecten a partir de ese momento.
Una dirección IP se puede obtener a partir de:
3.1 - De un mensaje de correo electrónico.
Mirando la cabecera, del mensaje, podemos hallar la IP desde
la que se envía un mensaje. Es probable, que un usuario
avanzado use alguna técnica para enmascarar su IP, como un
proxi o un software anonimizador. Aunque la mayoría de los
usuarios, no usan ni saben usar técnicas de ocultación.
Para ver la cabecera de un mensaje:
En Outlook Express, pinchar con el botón derecho en el
mensaje, y en el menú que aparece seleccionar "propiedades",
y pinchar en pestaña "Detalles", si queremos ver la cabecera
con mayor comodidad, pinchamos en el botón "Cód fuente del
mensaje".
En el lector de correo de Netscape, para ver la cabecera de
un mensaje, lo seleccionamos, y vamos al menú "ver->fuente".
La dirección IP la encontraremos en la primera línea que
comienza con la palabra "Received".
Un ejemplo:
Received: from mail.kamikaze.es (218.57.116.10)
En este caso tenemos la IP 218.57.116.10
3.2 - Un mensaje enviado a las news.
Los mensajes enviados a las news, son muy similares a los de
correo electrónico, y tienen cabecera, como los de correo
electrónico.
Las cabeceras de los mensajes de news, se consiguen de la
misma forma que en el correo electrónico, el campo de la
cabecera a mirar es "NNTP-Posting-Host:"
Un ejemplo:
NNTP-Posting-Host: usuario36.uni2.es (62.36.147.81)
3.3 - Una conexión al IRC.
Según la red en la que estemos, podemos hayar la IP de otro
usuario mediante la órden /whois. En algunas redes, usan un
sistema de IPs virtuales, que impide que se pueda ver la IP
de otro usuario, o sustituyen el último número por XXX. En
esta último caso, al menos conocemos el dominio, algo es
algo, veremos que podemos hacer con eso.
3.4 - Un fichero de trazas.
Un servidor proxi o un cortafuegos, suelen dejar ficheros de
trazas con los intentos de conexión recibidos. No conviene
fiarse al 100x100 de los ficheros de trazas, en muchas
ocasiones las tramas recibidas no son intentos de conexión,
si no ataques DoS y este tipo de ataques suelen usar IP
spoofing. Si se trata de varios escaneos al mismo tiempo
desde varias IP, es posible que se trate de un escaneo con
señuelo y solo una o ninguna de las IPs sea autentica.
3.5 - Tenemos la IP, ¿Y ahora qué?
Ya tenemos la dirección IP, ¿y ahora qué?. Mirando en la
base de datos RIPE, bien sea desde su página web,
(www.ripe.net), o haciendo un telnet, o usando un cliente de
"whois" se puede hallar, a qué empresa o usuario pertenece
esa IP.
En la mayoría de las ocasiones, tendremos que esa IP,
pertenece a un ISP, y es muy probable que sea lo máximo que
podamos conseguir. De todas formas, no os preocupeis,
todavía quedan algunas cartas por jugar.
De momento, anotamos cuidadosamente en un papel o en un TXT
todo lo que sabemos hasta ahora y proseguimos con la
investigación, ya encajaremos datos.
Si vamos detras de un spammer, basta con enviar un mensaje
de queja a la persona de contacto que aparece en la base de
datos RIPE. Adjuntando la cabecera del mensaje como muestra.
Para más detalles, ver la FAQ de spam.
4 - Otros datos básicos.
De momento, sea cual sea el caso, si tenemos suerte, es
probable que tengamos algunos datos interesantes:
Si lo que tenemos es un correo electrónico o un mensaje de
las news, aparte de la dirección IP, podemos extraer los
siguientes datos:
- El nick del usuario.
- Nombres y apellidos, (en muy pocas ocasiones).
- ISP o empresa, (tratado en un punto anterior)
En cualquier caso, conviene fijarse bién, en todos los
campos, pues a veces podemos encontrarnos con sorpresas
tales como una segunda dirección de correo, o incluso, el
campo "organización", puede ser autentico, "a veces".
4.1 - El Nick
Si se trata de un troll o alguien que ha aparecido de
repente para flamearnos en las news y que nunca hayamos
visto antes, ¿para que engañarnos?, no nos sirve de nada,
en los demás casos, nos quedamos con el nick.
En muchas ocasiones, el nick es un personaje de película, o
tebeo, o dibujos animados. En otra, es una contracción del
nombre y apellidos, por ejemplo, la primera letra del
nombre más el primer apellido. Quizás podamos deducir algo
a partir de ahí.
4.2 - Nombre y apellidos.
Muchos usuarios, suelen publicar nombres y apellidos en la
red, es bastante probable incluso, que suelan la URL de su
web, donde podemos encontrar su curriculum, y hasta su
número de teléfono. Este es el caso contrario a un troll,
que intenta ocultarse deliberadamente.
Por supuesto, también existe el riesgo de que sean falsos o
que siendo ciertos, el segundo nombre (si es compuesto) o
un apellido, hayan sido sustituidos por una inicial, o que
estando completo, sea muy común.
5 - Pasando a la acción.
5.1 - Buscando su "entorno".
5.1.1 - Investigando en las news.
Si es alguien que envía mensajes a los foros de news,
es posible, que también frecuente otros foros, aunque con
otro nombre y otra personalidad y cambiando de servidor de
news.
Intentar hacer indagaciones, comparando mensajes, es
bastante laborioso, y por eso os propongo la siguiente
técnica: "Usar un antivirus para encontrar similitudes", si
como suena, un antivirus.
Algunos antivirus, permiten que el usuario pueda definir
sus propias cadenas de búsqueda, de tal forma, que si
defino la cadena "aaabbbccc MiVirus", cada vez que
encuentre esa cadena en un fichero, obtendré una alerta
avisandome de la existencia del virus "MiVirus".
Como antivirus, puede usar alguna versión antigua para DOS
del scan de McAfee, probablemente tenga un disquette
antiguo de alguna revista de informática o conozca a
alguien que lo tenga.
Para usar esta técnica, nos bajamos las cabeceras de todos
los foros y escaneamos con el antivirus, los ficheros donde
el lector de news, almacena las cabeceras de los mensajes
leidos.
Podemos intentar buscar coincidencias diversas, por ejemplo
mensajes que posean la misma dirección IP de origen,
podemos encontrarnos, con que el usuario Bartolo que
escribe en el foro de jardineria con el NetScape Navigator,
a una hora determinada, tiene la misma IP que el usuario
"[^DeStRoZoN^]" en el foro de hackers, en este caso, si hay
muy poco tiempo entre los mensajes de "[^DeStRoZoN^]" y los
mensajes de "Bartolo", es muy posible que sean la misma
persona, y si hay alguna coincidencia más, pues son la
misma persona.
Hasta hace poco, también podiamos buscar a alguien en el
IRC Hispano, usando la órden /who, de tal forma, que si ves
aparecer, un mensaje en las news, si además está conectada
al IRC, deberíamos saber en qué canales está y con qué
nick.
Aunque esto no sea ya posible hacerlo en el IRC Hispano,
debido a las direcciones virtuales, si es posible hacerlo
en otras redes.
Por otro lado, también es una buena idea, buscar listas de
correo que puedan ser del gusto del objetivo, si por
ejemplo alguien se mueve por el foro de motos, buscamos
listas de correo de motos.
5.1.2 - Investigando el Nick en el IRC.
Si tenemos localizado al objetivo en el IRC, existen
algunas preguntas que podríamos hacernos:
¿Qué canales frecuenta?
En la mayoría de las redes, podemos usar la órden:
/whois objetivo
Siendo "objetivo" el nick que estamos investigando.
¿Tiene su nick registrado?
En el caso del IRC Hispano,
/msg nick info objetivo
Si se trata de otras redes, consultar el manual del bot
correspondiente.
¿Es habitual de algún canal de IRC?,
¿Ese canal de IRC tiene página web?.
Si un canal de IRC tiene página web, suelen ponerla en
el topic, o en el mensaje de entrada. Quiás hasta podamos
ver una foto del "objetivo".
¿De qué va ese canal?, ¿Algún hobby quizá?,
¿Existen listas de correo para ese hobby?
Quizá vaya siendo hora de entrar de incognito en esos
canales, si es conocido en esos canales, para que no lo
reconozcan, mejor, cambie de cliente de IRC, o reconfigure
el que tiene totalmente. Ojo con los mensajes de entrada y
salida, y lo que hace el script.
5.2 - Buscando su email, (LDAP)
Existen bases de datos públicas con direcciones de correo,
estas bases de datos, son accesibles mediante el protocolo
LDAP, tanto el cliente de correo de NetScape como OutLook,
disponen de clientes LDAP que permiten hacer búsquedas en
varias de estas bases de datos.
En OutLook, seleccione "Edicción -> Buscar -> Personas" o
"Control + O", y seleccione alguna base de datos LDAP como
Four 11 o Bigfoot.
Existe otra forma de buscar a alguien en Internet, es muy
básica, y muy elemental, tanto, que a casi todos se le pasa
por alto. Esta forma es "Un buscador".
Uno de ellos, muy potente es "google", introduciendo un
Nick, es muy probable que encontremos algo. Los resultados
son muy diversos.
Algunos Nick, son también palabras de algo muy común, un
objeto, un protocolo de red, etc, si por ejemplo buscamos a
alguien cuyo nick sea "PC", tendríamos miles de resultados,
y la búsqueda sería infructuosa.
Sin embargo, otras veces, podemos encontrar mensajes que
envió hace tiempo a listas de correo, algunas de sus
páginas web, etc.
5.3 - Husmeando en su empresa.
A veces, indagando una dirección IP, un mensaje de correo o
de news, llegamos hasta una empresa o a una facultad. A
veces es fácil debido a que se puede obtener el URL a
partir de la dirección de correo, si un mensaje tiene como
dirección de respuesta pepe@pepe.com, es probable que
exista un servidor web en pepe.com o en www.pepe.com.
En otras ocasiones, si la dirección de correo es falsa, o
bién resolviendo la IP o consultando en RIPE, también
llegamos.
Si la empresa consiste en un proveedor de Internet, un ISP,
nos olvidamos del tema, pero si se trata del servidor web
de un campus, o de una pequeña o mediana empresa, a veces
nos encontramos con listados de profesores, de algunos
alumnos, o incluso boletines de notas. Si se trata de una
empresa a veces nos encontramos con un apartado donde
vienen nombres y apellidos de trabajadores, normalmente
equipos de desarrollo, de I+D, de directivos, etc.
Recordareis, que en el apartado 4.1, dije que en muchas
ocasiones, el nick es una contracción del nombre más
apellidos, pues si disponemos de esos listados, podemos
intentar buscar coincidencias. Haciendo este tipo de
búsquedas he obtenido buenos resultados dos veces:
- En una ocasión, encontré a un troll, como se trataba de
alguien que en teoría era muy culto, le envié un mensaje
avisandole de que un alumno suyo, le estaba haciendo un
mal favor, usando su dirección de correo para hacer de
troll en las news. Probablemente encontraron al culpable,
por que no ha vuelto a aparecer.
- En otra ocasión, encontré en una página de contactos, un
anuncio que me "molaba" bastante, investigando un poco,
la presunta chica en realidad era un director de una
empresa de I+D de Barcelona. Le avisé de la broma que le
habían gastado, probablemente algún trabajador
descontento o despedido.
5.4 - Buscando su o sus página(s) web.
En otras ocasiones, tenemos que un usuario se conecta
usando un ISP, y como todos sabemos, la mayoría de los ISP
proporcionan a sus usuarios, un espacio en web. Es bastante
probable que en esa página encontramos datos interesantes.
La técnica es la siguiente, ¿como están construidas las
URLs de las páginas personales de un ISP dado?, por
ejemplo, si se trata de un ISP llamado "ISP", tendríamos
alguna de las siguientes direcciones base:
http://www.ISP.es
http://www.ISP.es/Personales
http://personales.ISP.es
A lo que sumamos el nick, si estamos buscando la web de un
usuario con el nick "objetivo", entonces su página web,
podría ser http://web.ISP.es/objetivo/index.html
En el siguiente listado, pongo unos cuantos ejemplos
de ISPs españoles. Cambiar NICK por el nick que
estais buscando. Donde veais una interrogación, va
un número que cambia de usuario a usuario.
http://web.jet.es/NICK/index.html
http://personales.jet.es/NICK/index.html
http://www.teleline.es/personal/NICK/home.htm
http://teleline.terra.es/Personal/NICK
http://www.airtel.jet/personal/NICK/index.html
http://home.worldonline.es/NICK
http://www.jazzbohemios.com/jazz?/NICK
http://www.inicia.es/de/NICK <-- Puede que el directorio
cambie según usuario.
Si se trata de un proveedor de páginas gratuitas, la
búsqueda se complica un poco más, pues no todas las páginas
tienen la misma base y usen una función hash o nombres de
paises, ciudades o las web estén agrupadas por temas, una
forma de saber si al menos está alguien en esa web consiste
en ir al formulario para dar de alta una página nueva e
intentar dar de alta su página
5.5 - Buscando su número de teléfono y o su dirección.
Existen bases de datos que permiten consultar el titular
de un número de teléfono o hallar el número de teléfono de
alguien.
Hay muchas páginas de este tipo, sobre todo de las
operadoras de telefonía. En la sección 7 podrá encontrar
algunos URLs interesantes. Recuerde que en muchas ocasiones
un usuario solicitan no aparecer en las páginas blancas.
5.6 - ¿Existe una dirección de correo?.
En un documento similar a este que escribí hace un año
o más, indiqué un método que consistía en acceder a un
servidor SMTP mediante un Telnet y usar la órden VRFY
cuenta@servidor.com, aunque esta opción está desactivada
debido a que era usada por los spammers.
Existe otra técnica, que fué descrita hace no mucho por kriptopolis. Se trata de que un documento, al ser abierto,
haga un acceso a algún sitio, y actualize un contador.
- Cree en algún proveedor gratuito, una página, que no
esté dada de alta en ningúyn sitio, y que no esté
referenciada desde ninguna página. De tal forma que
nadie pueda llegar a esa página por accidente.
- Añada un contador de tipo CGI.
- La página debe de tener algún contenido, aunque sea
malo.
- Cree algún redireccionador de correo, por ejemplo:
Gema454@iname.com
Y redireccionelo a la cuenta de correo que piense
que puede ser del objetivo.
Envie un mensaje de correo con un contenido similar al
siguiente:
........................................
Este es un mensaje multipartes en formato MIME.
--------------F5B1EBFCEA4BDC3617969778
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
---------------------------------------------------
Gema, esta es una prueba, no se que pasa con el correo
que funciona tan mal. Dime si te llega porfa.
Te envio el URL que buscabas.
--------------F5B1EBFCEA4BDC3617969778
Content-Type: text/html; charset=us-ascii; name="visita"
Content-Transfer-Encoding: 7bit
Content-Disposition: inline; filename="visita"
<HTML>
<HEAD>
<TITLE>Ventana=window</TITLE>
</HEAD>
<BODY LINK="#0000ff" VLINK="#800080">
<P>
<SCRIPT LANGUAJE="JavaScript">
Ventana=window.open("http://pagina.web.com/eoeo");
</SCRIPT></P>
</BODY>
</HTML>
¿Que es lo que pasará cuando alguien abra ese mensaje?,
si una un lector como el OutLook o NetScape, se le abrirá
su navegador que irá automáticamente a la página:
http://pagina.web.com/eoeo.
Y por supuesto, el contador se incrementará, este
truquillo también vale para saber si alguien está leyendo
tu correo.
Simplemente envie un mensaje a su cuenta del trabajo,
y cuando alguien lo abra, sorpresaaaa.
6 - Técnicas de espionaje.
En esta sección se mencionan nombres de algunas
herramientas que podrían ser usadas en ciberespionaje,
aunque queda fuera del propósito de este manual enseñar a
usarlas.
6.1 - KeyLogger.
Un keylogger es una herramienta, por hartware o software que captura las pulsaciones de teclado y las almacena.
El keylogger por hartware se enchufa en el conector de
teclado, y dispone de un conector hembra para conectar el
teclado.
6.2 - Troyanos, sniffers, y herramientas de cracker.
Troyano, software que se instala en la máquina del
objetivo sin que este se entere, (usando a veces técnicas
similares a los virus), y que permite acceder de forma
furtiva a sus ficheros y/o indagar que es lo que está
haciendo. Los troyanos conocidos, suelen ser detectados
por los antivirus.
Los sniffers permiten monitorizar la información que
circula en una red local. Algunas redes son inmunes a los
sniffers e incluso existen detectores de sniffers.
6.3 - Espiando la caché del navegador.
Existen utilidades que permiten saber por qué páginas
a estado navegando alguien que ha estado usando un
ordenador.
6.4 - Usando un proxi.
Si está investigando a alguien que está usando la red
de la que es administrador, puede consultar los ficheros de
trazas de un proxi para ojear todos los accesos que hace un
usuario.
7 - Recopilación de URLs.
http://eu-info.kapitol.com/Spain
http://www.infobel.com
Buscadores que permiten saber a quién pertenece un
número de teléfono.
http://www.paginas-blancas.net/jsp/index.html
Buscador de páginas blancas de telefónica, con enlaces a
las páginas blancas de los diferentes paises. Búsqueda por
provincias y con callejero.
http://www.paginas-amarillas.es/buscador/home-f/html
Páginas amarillas de telefónica.
http://www.ripe.net/db/whois
http://www.arin.net/whois
http://www.iana.org/ip-addresses.html
http://www.nic.gov/cgi-bin/whois
http://ipindex.dragonstar.net
http://www.nic.mx/cgi/whois
http://www.iana.org
¿A quien pertenece una IP?
http://www.networksolutions.com
http://www.checkdomain.com
¿A quien pertenece un nombre de dominio?
http://www.nic.???
??? puede ser .es, .fr. .com, .ar, .cl, etc.
Busca el propietario de un dominio del tipo ???
http://www.iaf.net
Internet@address.finder
Mete un email, y a ver si sale algo.
http://www.metacrawler.com
http://www.google.com
Buscadores ...
Agradecimientos a CrinO y Seldon por sus sugenencias
y mejoras del presente documento.
