__________________________________________________________________________________

 ¿Cómo se puede hacer desaparecer un web ofensivo?

La tercera edición del libro del Happy Hacker contiene mucha información detallada sobre cómo combatir (de forma legal) cuando encuentras un web que consideras que no tiene derecho a existir. Mucha gente que se hace llamar hacker se ha quejado y ha protestado de lo mala que soy por mostrarle a la gente cómo hacer desaparecer servidores. No obstante, pienso que el derecho a protestar contra lo que consideras incorrecto es una parte esencial de la libertad de expresión.

Ah, sí, también explico una forma divertida y legal de entrar en los servidores web de tus amigos en la tercera edición del libro The Happy Hacker :) ) - Carolyn Meinel.


¿Cómo se puede hacer desaparecer un web ofensivo?

Recuerda que Internet es libre. No hay ninguna ley que obligue a los ISPs a dar servicio a la gente que no les gusta. Como Jeff Slayton, Crazy Kevin, los reyes del spam, y, oh, sí, los artistas originales del spam Cantor y Seigal han aprendido, la vida del spammer es una vida en continua fuga. Bien, lo mismo se aplica a los webs que se pasan de la raya.

El motivo por el que saco a relucir este tema es porque un miembro de la lista Happy Hacker me ha dicho que le gustaría realizar actos de vandalismo en webs de pornografía infantil. Pienso que es una idea realmente buena, salvo por un problema: ¡puedes ir a la cárcel! No quiero que las herramientas de hacking que puedes conseguir en webs y FTPs públicos tienten a nadie para que vaya a prisión. Es fácil utilizarlas para atacar webs. ¡Pero es difícil utilizarlas sin que te pillen!


Aviso de cárcel: introducirse en una parte de un ordenador que no está abierta al público no es legal. Además, si utilizas las líneas telefónicas o Internet a través de una frontera estatal de los EEUU para irrumpir en una zona no pública de un ordenador, has cometido un delito federal. No es necesario causar ningún daño: aún así es ilegal. Aunque sólo consigas acceso de superusuario y desactives tu conexión de forma inmediata: aún así es ilegal. Aunque estés cumpliendo con tu deber cívico destruyendo pornografía infantil: aún así es ilegal.


Intentar enviar a los tíos de la pornografía infantil a prisión no suele funcionar. Internet es global. Muchos países carecen de leyes contra la pornografía infantil en Internet. Incluso si fuese ilegal en todas partes, en muchos países la policía sólo mete a la gente en la cárcel a cambio de que les pagues un soborno mayor que el que les pagan los criminales.

Además, soy una convencida defensora de la Primera Enmienda. Dadle al gobierno el poder para censurar hasta la pornografía infantil y le estaréis dando al gobierno demasiado poder. Por otra parte, el mismo tipo de rechazo masivo que hace que los spammers tengan que huir constantemente puede también echar la pornografía infantil de la Red. Pero nadie puede obligar a un ISP a alojar pornografía infantil. De hecho, la mayoría de los seres humanos se sienten tan disgustados por ella que saltarán a la primera oportunidad de clausurarla. Si el ISP es gestionado por algún pervertido que quiere ganar dinero ofreciendo pornografía infantil, entonces hay que subir al siguiente nivel de la cadena: hasta el ISP que suministra conectividad al ISP de pornografía infantil. Allí habrá alguien con conciencia que desactivará a esos bas***dos.

De modo que, ¿cómo encuentras a alguien que pueda poner un web en fuga? Empecemos con la URL.

Voy a utilizar una URL real. Pero por favor tened en cuenta que no estoy diciendo que esta dirección sea en realidad una dirección Web con pornografía infantil. La estoy utilizando sólo con fines ilustrativos.

http://www.phreak.org

Digamos ahora que alguien os ha dicho que es un web de pornografía infantil. ¿Lanzarías un ataque directamente? No.

Así es como empiezan las guerras de hackers. ¿Qué pasa si phreak.org es realmente un sitio de buena gente? Aunque alguna vez hayan mostrado pornografía infantil, quizá se hayan arrepentido. Como no quiero que me atrapen por actuar según un rumor estúpido, voy al web y me encuentro con el mensaje "no hay entrada DNS". O sea, que parece que esta sede Web no está disponible en este momento.

Pero podría ser simplemente que la máquina que tiene el disco donde está este web esté temporalmente desconectada. Hay un modo de determinar si el ordenador que sirve un nombre de dominio está funcionando: la orden ping:

/usr/etc/ping phreak.org

La respuesta es:

/usr/etc/ping: máquina desconocida phreak.org

Ahora bien, si este web hubiese estado disponible, habría respondido como lo hace mi web:

/usr/etc/ping techbroker.com

Esto da por respuesta:

techbroker.com is alive

Bien, ya hemos visto que, al menos de momento, http://phreak.org no existe o que el ordenador en el que está no está conectado a Internet.

¿Pero esta situación es transitoria o esá desactivado definitivamente? Podemos hacernos una idea de si ha estado disponible y ha sido muy consultado desde el motor de búsqueda http://altavista.digital.com/. Es capaz de buscar los enlaces de las páginas Web. ¿Hay muchos webs con vínculos a phreak.org? Introduzco en la búsqueda:

link: http://www.phreak.org
host: http://www.phreak.org

Pero no dan ningún resultado. De modo que parece que la dirección phreak.org no es muy popular.

Bien, ¿tiene phreak.org un registro en Internic? Probemos con un whois:

whois phreak.org
Phreaks, Inc. (PHREAK-DOM)
Phreaks, Inc.
1313 Mockingbird Lane
San Jose, CA 95132 US

Nombre de Dominio: PHREAK.ORG

Contacto Administrativo, Contacto de Facturación:
Connor, Patrick (PC61) pc@PHREAK.ORG
(408) 262-4142
Contacto Técnico, Contacto Local:
Hall, Barbara (BH340) rain@PHREAK.ORG
408.262.4142

Registro actualizado por última vez el 06-Feb-96.
Registro creado el 30-Apr-95.

Servidores de dominio listados por orden:

PC.PPP.ABLECOM.NET 204.75.33.33
ASYLUM.ASYLUM.ORG 205.217.4.17
NS.NEXCHI.NET 204.95.8.2

Intento hacer un telnet a la máquina:

telnet phreak.org

Probando 204.75.33.33 ...
Conectado a phreak.org.
La secuencia de escape es '^]'.

______________ _______________________________ __
___ __ \__ / / /__ __ \__ ____/__ |__ //_/____________________ _
__ /_/ /_ /_/ /__ /_/ /_ __/ __ /| |_ ,< _ __ \_ ___/_ __ `/
_ ____/_ __ / _ _, _/_ /___ _ ___ | /| |__/ /_/ / / _ /_/ /
/_/ /_/ /_/ /_/ |_| /_____/ /_/ |_/_/ |_|(_)____//_/ _\__, /
/____/

;
Conexión cerrada por la máquina remota

¡Ajá! ¡Alguien acaba de activar la máquina que aloja phreak.org!

El hecho de que esta máquina muestre sólo arte ASCII y ningún login para identificarse como usuario sugiere que este ordenador no acepta precisamente al visitante casual.

A continuación, intento hacer un finger a su contacto técnico:

finger rain@phreak.org

Su respuesta es:

[phreak.org]

A continuación aparece algo de arte ASCII más bien embarazoso. Haced un finger vosotros mismos si realmente queréis verlo. De todos modos, yo sólo lo calificaría de no apto para menores de 13 años.

El hecho de que phreak.org tenga activado un servicio de finger resulta interesante. Dado que finger es una de las vías más interesantes para entrar en el sistema para el hacker bien preparado, podemos extraer una de las siguientes conclusiones:

1) El administrador de sistema de phreak.org no está muy preocupado por la seguridad, o

2) Es tan importante para phreak.org enviar mensajes insultantes que el administrador de sistema no se preocupa del riesgo de ejecutar finger.

Bien, ¿qué pasa con su puerto HTML, que nos daría acceso a cualquier web albergada en phreak.org? Podemos comprobar si está activo con, lo habéis adivinado, un poquito de navegación de puertos:

telnet phreak.org 80

El resultado es:

Probando 204.75.33.33 ...
Conectado a phreak.org.
La secuencia de escape es '^]'.
HTTP/1.0 400 Bad Request
Server: thttpd/1.00
Content-type: text/html
Last-modified: Thu, 22-Aug-96 18:54:20 GMT

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>
<BODY><H2>400 Bad Request</H2>
Your request '' has bad syntax or is inherently impossible to satisfy.
<HR>
<ADDRESS><A HREF="http://www.acme.org/software/thttpd/">
thttpd/1.00</A></ADDRESS>
</BODY></HTML>
Conexión cerrada por el ordenador remoto.

Ahora sabemos que phreak.org tiene algo parecido a un servidor web en su ordenador. Este servidor se llama thttpd, versión 1.0. ¡Podemos sospechar que es un poco defectuoso! ¿Qué me hace pensar que es defectuoso? Mira el número de la versión: 1.0. Además, el mensaje de error es un tanto extraño.

Si fuese un administrador técnico de phreak.org, me conseguiría un mejor programa para el puerto 80 antes de que alguien descubra cómo conseguir acceso de superusuario con él. El problema es que el código defectuoso es a menudo código que toma la alternativa sencilla de utilizar llamadas a root. En el caso de un servidor web, se quiere dar acceso de sólo lectura a los usuarios remotos sobre los directorios o ficheros html de cualquier usuario. De modo que hay una fuerte tentación de utilizar llamadas a root.

Y un programa con llamadas a root puede colgarse y finalizar dejándote acceso a root.


Nota para principiantes: ¡Root! Es el Cielo del auténtico cracker. "Root" es la cuenta de una máquina multiusuario que te permite jugar a ser Dios. Es la cuenta desde la que puedes entrar y utilizar cualquier otra cuenta de usuario, leer y modificar cualquier fichero y ejecutar cualquier programa. Con acceso root, puedes destruir por completo todos los datos en ISP.aburrido.net (¡*no* estoy sugiriendo que hagáis eso!).


Oh, esto es demasiado tentador. Haré un pequeño experimento:

telnet phreak.org 80

Esto da como resultado:

Probando 204.75.33.33 ...
Conectado a phreak.org.
La secuencia de escape es '^]'.

Dado que el programa en el puerto 80 tiene un tiempo de espera que expira en un segundo o menos, ya estaba preparada para pegar una orden:

<ADDRESS><A HREF="http://www.phreak.org/thttpd/">
thttpd/1.00</A></ADDRESS></BODY></HTML>

Esto nos da información sobre el programa del puerto 80 de phreak.com:

HTTP/1.0 501 Not Implemented
Server: thttpd/1.00
Content-type: text/html
Last-modified: Thu, 22-Aug-96 19:45:15 GMT <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD>
<BODY><H2>501 Not Implemented</H2>
The requested method '<ADDRESS><A' is not implemented by this server. <HR> <ADDRESS><A HREF="http://www.acme.org/software/thttpd/">
thttpd/1.00</A></ADDRESS> </BODY></HTML>
Conexión cerrada por máquina remota.

¿De acuerdo, qué es thttpd? Hago una rápida búsqueda en Altavista y consigo la respuesta:

Un servidor HTTP pequeño, rápido y seguro. Este pequeño y ultrarrápido servidor HTTP no realiza ningún fork y es muy cuidadoso con la memoria...

Ah, pero ¿pudo el programador descubrir cómo hacer esto sin realizar llamadas a root? Sólo para probar, intento acceder a la URL acme.org y obtengo el mensaje "no tiene entrada DNS". De modo que también está desconectado. Pero whois me dice que está registrado con Internic. Hmm, esto suena aún más a software de marca X. Y está funcionando en un puerto. ¡Entrada libre! Que tentación... aaahhh...

¿Qué conclusiones podemos sacar? Parece que phreak.org tiene un web, pero es de naturaleza privada. Sólo se activa de tanto en tanto.

Ahora suponed que encontramos algo realmente malo en phreak.org. Suponed que alguien quiere cerrarlo. No, ¡no toquéis ese defectuoso puerto 80!


Aviso de cárcel: ¿Estáis tan tentados como yo? ¡Estos tíos tienen abierta una destacada autopista para crackers que es el puerto 79, y un puerto 80 defectuoso! Pero de nuevo os digo que va contra la ley irrumpir en la zona no pública de un ordenador. Si hacéis un telnet a través de las líneas estatales de los EEUU, es un delito federal. Aunque pensáseis que hay algo ilegal en ese servidor thttpd, sólo alguien armado con una orden de registro tendría el derecho de examinarlo.


En primer lugar, enviaría normalmente un correo electrónico de queja a los contactos técnicos y administrativos de los ISPs que suministran la conexión a Internet de phreak.org. De modo que tendré que ver quiénes son con whois:

whois PC.PPP.ABLECOM.NET

Obtengo la respuesta:

[No name] (PC12-HST)

Nombre de máquina: PC.PPP.ABLECOM.NET
Dirección: 204.75.33.33
Sistema: Sun 4/110 running SunOS 4.1.3

Registro actualizado por última vez el 30-Abr-95

En este caso, dado que no hay ningún contacto listado, enviaría un mensaje a postmaster@ABLECOM.NET.

Compruebo el siguiente ISP:

whois ASYLUM.ASYLUM.ORG

Y obtengo:

[No name] (ASYLUM4-HST)

Nombre de máquina: ASYLUM.ASYLUM.ORG
Dirección: 205.217.4.17
Sistema: ? running ?

Registro actualizado por última vez el 30-Abr-96.

Nuevamente, enviaría un mensaje a postmaster@ASYLUM.ORG

Compruebo el último ISP:

whois NS.NEXCHI.NET

Y obtengo:

NEXUS-Chicago (BUDDH-HST)
1223 W North Shore, Suite 1E
Chicago, IL 60626

Nombre de máquina: NS.NEXCHI.NET
Dirección: 204.95.8.2
Sistema: Sun running Unix

Coordinador:
Torres, Walter (WT51) walter-t@MSN.COM
312-352-1200

Registro actualizado por última vez el 31-Dic-95.

Así que en este caso enviaría un mensaje a walter-t@MSN.COM con pruebas del material ofensivo.

Esto es todo. En lugar de provocar guerras de hackers a gran escala, que pueden acabar enviando a gente a la prisión, documentad vuestro problema con un web y pedid a los que tienen poder para retirar el servicio a estos tíos que hagan algo. Recordad, podéis ayudar a luchar contra los malos del ciberespacio mucho mejor desde vuestro ordenador que desde una celda en prisión.

Ah, y si os pica la curiosidad sobre si se puede hacer que thttpd se cuelgue y os deje en la cuenta de root o no, NO hagáis experimentos en el ordenador de phreak.org. Notarán todos esos extraños accesos al puerto 80 en su fichero de registro de la shell. Averiguarán quiénes sois y cómo enviaros a prisión si conseguís entrar.

Pero este es el tipo de desafío intelectual que pide que instaléis Linux en vuestro PC. A continuación, en Linux, tendríais que instalar httpd. ¡Acto seguido conectad vuestra máquina Linux a Internet y empezad a hacer telnets!

Si encontráseis un defecto en thttpd que pusiese seriamente en compromiso la seguridad de cualquier máquina que lo esté ejecutando, ¿qué haríais? ¿Eliminar los ficheros html de phreak.org? ¡NO! Te pondrías en contacto con el Equipo de Respuesta a Emergencias Informáticas (CERT) con esta información. Ellos enviarán una alerta y os convertiréis en héroes y podríais cobrar 1.500 dólares al día como consultores de seguridad informática. Es mucho más divertido que ir a prisión. Creedme.

Pero si lo que queréis es encontrar una forma de que thttpd te dé acceso de root, ¡hacedlo rápido o yo lo conseguiré antes!

Bien, doy por concluida esta Guía. Espero vuestras contribuciones a esta lista. Feliz hacking, ¡y te dejes Atrapar!