__________________________________________________________________________________
![]() |
¡Bombardeos de correo! Personas como "Angry Johnny" (Johnny el enfadado), alias "the Unamailer", han sido recientemente noticia por preparar 20 MBytes o más de correo electrónico -decenas de miles de mensajes- para inundar cada día las cuentas de correo electrónico de sus víctimas.
Los bombardeos de mensajes pueden ser problemáticos por dos razones. Una, la víctima no puede encontrar fácilmente el correo legítimo en su buzón entre la gran cantidad de correo spam no solicitado que recibe. Dos, el diluvio de mensajes bloquea los servidores de correo y se come el ancho de banda de la línea de comunicaciones.
Por supuesto, estas son las dos causas principales por las que se ataca con bombardeos de mensajes: para causar un desbarajuste en el correo de las personas y/o hacer daño a los proveedores de servicio del blanco. Los bombardeos de mensajes son una arma común utilizada en la guerra contra los servidores de Internet que albergan a spammers. También son utilizados por los perdedores resentidos.
Las noticias parecen dar a entender que las víctimas de bombardeos de mensajes son gente con falta de suerte. Pero no lo somos. Lo sabemos, porque "angry" -el atacante de Navidades-, dijo a la prensa que había atacado a Carolyn Meinel, la "Comandante Suprema" de la Lista de "Happy Hacker". (Alguien simultáneamente intentó atacar con mensajes bomba la lista Happy Hacker, pero nadie lo ha reivindicado).
Como puedes comprobar, después de haber superado el ataque a Happy Hacker, y visto que sigo contestando mi correo electrónico, hay maneras de deshacerse de los remitentes de bombardeos.
Pero la mayoría de estas técnicas sólo pueden ser usadas por expertos. Pero si tú eres, como la gran mayoría de esta lista, un novato, puedes ganar puntos con tu ISP si envías a su grupo de técnicos algo de la información que aparece en esta guía. Además puede que te perdone el que tu fichero de log sea con frecuencia demasiado excitante.
Mi primera línea de defensa es el uso de distintas cuentas. De este modo, cuando una cuenta está siendo atacada por hackers, bombardeada, etc. puedo mandar un correo electrónico a todos mis destinatarios y decirles dónde me pueden encontrar. Hasta ahora nunca me he visto bombardeada hasta tener que renunciar, pero he sido atacada por hackers tanto y con tanta frecuencia que incluso una vez tuve un disgusto con un ISP. O puede que un ISP se ponga demasiado nervioso con tus experimentos de hacking. Así que es una buena idea estar preparado para poder cambiar de cuenta.
Pero esa es una manera cobarde de atajar el problema del bombardeo de mensajes. Además, un miembro de la lista Happy Hacker dice que la razón por la que "Angry Johnny" no bombardeó todas las cuentas que uso normalmente es porque él le convenció para que sólo lo hiciera para obtener algo de publicidad. Pero incluso si Johnny hubiera bombardeado todas mis cuentas favoritas, me hubiera podido recuperar rápidamente.
Hay varias formas, que puedes utilizar tú, o tu ISP, de combatir los ataques.
La defensa más fácil es que tu ISP bloquee el bombardeo en el router. Esto funciona, en todo caso, si el ataque proviene de uno o pocos hosts. Además, solo funcionará si tu ISP quiere ayudarte. Puede que tu ISP simplemente se desentienda y cancele tu cuenta.
Nota para principiantes: Los routers son equipos especializados que se emplean para encaminar el tráfico de red. Un host es un ordenador conectado a Internet.
Pero, ¿qué pasa si el ataque procede desde muchos puntos?. Eso me pasó a mí el día de Navidad cuando "angry Johnny" se atribuyó un ataque que incluso afectó a algunas figuras conocidas de los EE.UU., como son el evangelista Billy Grahan, el presidente Bill Clinton y el portavoz del Congreso de Estados Unidos, Newt Gringrich (me aterra tener esta compañía).
La forma en que "Angry Johnny" atacó fue preparando un programa que fuera a un ordenador que mantuviera listas de correo y que automáticamente suscribiera a sus objetivos a todas las listas que mantuviera ese ordenador. Luego este programa se iría a otro ordenador que mantuviera listas de correo y suscribiría a sus objetivos a todas las listas y así continuamente.
Yo pude solucionar mi problema al poco tiempo después de descubrirlo. Johnny había suscrito todas estas listas a mi dirección de correo cmeinel@swcp.com. Pero yo utilizo mi dominio privado techbroker.com, para recibir el correo. Entonces redirigí todo el tráfico desde mi servidor de nombres en Highway Technologies a la cuenta que escogí en ese momento. Entonces, todo lo que tuve que hacer fue ir al sitio web de Highway Technologies y configurar mi servidor de correo para enviar el correo a otra cuenta.
Nota para principiantes: Un servidor de correo es un ordenador que se encarga del correo. Es un ordenador al que se conecta tu ordenador cuando recoges o envías tu correo.
Truco para genios malignos: Puedes redireccionar tu correo rápidamente creando un fichero en tu cuenta shell (tienes una cuenta shell ¿no? ¡Una cuenta shell! Todos los buenos hackers deberían tener una cuenta shell) llamado ".forward". Este fichero redireccionará tu correo electrónico a otra cuenta de correo que elijas.
Si "Angry Johnny" hubiera bombardeado cmeinel@techbroker.com, yo habría enviado todo el correo a /dev/null y hubiera pedido a todos los que me escriben que me escribieran a carolyn@techbroker.com, etc. Puede ser una manera fácil de manejar la situación. Mi cuenta swcp.com actúa del mismo modo. Ese ISP, Southwest Cyberport, ofrece a cada usuario varias cuentas por el mismo precio, basándose en el uso total. Así, puedo crear nuevas direcciones de correo según las necesite.
Atención: esta técnica -cada una de las técnicas que describimos aquí- no conseguirá evitar la perdida de algún mensaje. Pero ¿por qué obsesionarse con ello? De acuerdo con un estudio de una gran compañía de buscapersonas, un porcentaje importante de correos simplemente desaparece. Ningún servicio de correo avisa de que el mensaje ha fallado, nada. Simplemente desaparecen en un agujero negro. Así que si cuentas con recibir todos los mensajes que te envían, sigue soñando.
Pero eso no soluciona el problema de mi ISP. Continúan con el problema del ancho de banda de todo esa oleada. Y es mucho, mucho caudal. Uno de los administradores de Southwest Cyberport me dijo que casi todos los días algún pesado bombardeaba a alguno de sus clientes. De hecho, es asombroso que "Angry Johnny" obtuviera tanta publicidad, teniendo en cuenta lo común que es el bombardeo de correo. Por eso, todos los ISPs tienen que atajar el problema de los bombardeos de algún modo.
¿Cómo fue posible que "Angry Johnny" tuviera tanta publicidad como tuvo?. Puedes hacerte a la idea con esta carta de Lewis Koch, el periodista que destapó la historia (transcrita aquí con su permiso):
De: Lewis Z. Koch
lzkoch@mcs.net Carolyn:
Primero, y puede que lo más importante, cuando te llamé
para comprobar si habías sido bombardeada con mensajes, fuiste
lo suficientemente cortés como para informarme. Me parece que
es un poco presuntuoso de tu parte pensar que "por cortesía
profesional voy a dejar a Lewis Koch enterarse de todo". Esta
era una historia, de hecho, exclusiva.
(Nota de Carolyn: como víctima, yo sabía detalles
técnicos acerca del ataque que Koch no sabía. Pero dado que
Koch me dijo que estuvo en contacto con "Angry Johnny" en las
semanas previas al ataque de las Navidades del 96, él
claramente sabía mucho más que yo de la lista de objetivos de
Johnny. Y aunque yo también soy periodista, pero le hice una
concesión a Koch, y no intenté arrebatarle la exclusiva).
En segundo lugar, sí, yo soy subscriptor y estoy interesado
en las ideas que adelantas. Pero ese interés no implica
proporcionarte -o a otras personas o grupos- "un montón de
detalles jugosos". Los detalles de cualquier historia se ven
en lo escrito o en los comentarios que se dan al publico.
"Jugosa" es otra palabra para el sensacionalismo, una
planteamiento propio de la prensa amarilla - algo que evito.
(Nota de Carolyn: Si quieres ver qué fue lo que Koch
escribió de "Angry Johnny", puedes leerlo en el Happy Hacker
Digest del 28 de Diciembre de 1996.)
El caso es que estoy muy sorprendido por algunas de las
reacciones individuales que he recibido de alguno de los que
fueron objetivo y otros que fueron sólo espectadores.
El punto importante es que hay vulnerabilidades
extraordinarias en la red -vulnerabilidades que se han
ignorado- que nos ponen en peligro.
Continuando: "Sin embargo, en la base de todo está que la
técnica utilizada por el atacante fue ridículamente simple -
tan simple que incluso Carolyn Meidel pudo cortar el ataque en
unos pocos minutos. ¡Muérete en dev/null!"
Johnny puntualizó varias veces que el ataque era "simple".
Fue diseñado deliberadamente para ser simple. Supongo -sé- que
si él, u otros hackers hubieran decidido hacer daño, serio y
real, podrían haberlo hecho fácilmente. Decidieron no hacerlo.
Una persona que fue atacada y estaba enfadada con mi
reportaje, utilizaba palabras como "su campaña de terror", "la
mente enrevesada de Johnny", "psicópatas como Johnny", "algún
imbécil", "un macarra insignificante", etc. para describir a
Johnny.
Este tipo de pensamiento ignora la historia y la realidad.
Si alguien quiere utilizar un concepto como el de "campaña de
terror" debería recordar la historia de Unabomber, o la del
grupo que puso una bomba en el World Trade Center o en el
Edificio Federal de Oklahoma... o ver lo que ha pasado en
Israel o en Irlanda. Ahí uno encuentra "terrorismo".
Lo que pasó fue una inconveniencia, equivalente, en mi
opinión, al mismo tipo de inconveniencia que se experimentó
cuando la gente joven bloqueó las calles de las principales
ciudades para protestar en contra de la guerra del Vietnam. La
gente se sintió molesta, pero los que protestaban se
manifestaban contra una guerra ilegal e innecesaria, e incluso
los partidarios de la misma, como Robert McNamara, sabían
desde el principio que era una batalla perdida. Cientos de
miles de personas perdieron su vida en la guerra - y si
alguien se sintió molesto porque se protestara contra ella, a
j******. Muchas gracias por reenviar mis puntualizaciones a tu
lista.
Asunto: Pregunta
¡Ejem! Me siento adulada, supongo. ¿Está Koch sugiriendo que la lista Happy Hacker (y su costumbre de j**** tacos) y el evangelista Billy Grahan (cuya fe comparto) están al mismo nivel de noticias políticas comparables a la guerra del Vietnam?
Entonces digamos que no te agrada que cualquier aspirante a hacker de tres al cuarto te prive de recibir correo. ¿Qué más maneras hay de evitar el bombardeo de mensajes?
Para los bombardeos que utilizan listas de correo, una opción es preparar un programa que busque entre el montón inicial de mensajes los del tipo "¡Bienvenido a la lista de Tomato Twaddler!" que te dicen cómo borrarse de la lista. Estos programas entonces escriben automáticamente mensajes para borrarse y los envían.
Otra forma de que tu ISP te pueda ayudar es proveyéndote de un programa llamado Procmail, que se ejecuta en sistemas Unix. Para mas detalles, Zach Babayco (zachb@netcom.com) ha proporcionado el siguiente artículo. ¡Muchas Gracias Zach!
Cómo defenderse de bombardeos de correo y correo no solicitado
Copyright Zach Babayco, 1996
[Antes de comenzar este artículo, quiero agradecer a Nancy McGough el haberme dejado citar suFAQ sobre Filtrado de Correo, disponible en http://www.cis.ohio-satate.edu/hypertext/faq/usenet/mail/filtering-faq/faq.html. Esta es una de las mejores FAQs de filtrado de correo disponibles, y si tienes algún problema con mi dirección, o quieres aprender más acerca de filtrar correo, aquí es donde debes buscar].
Ultimamente hay más y más gente ahí fuera mandándote correo que tú simplemente no quieres, basura del tipo "¡Gane dinero rápido!" o estúpidas revistas electrónicas que nunca has solicitado. Y peor aún, también hay bombardeos de correo.
Hay dos tipos de bombardeos de correo, el bombardeo por correo masivo y el bombardeo por las listas de correo:
Bombardeos de correo masivo: en este caso el atacante envía cientos o incluso miles de correos, normalmente empleando scripts y cuentas falsas de correo. De los dos tipos, de éste es del que más fácilmente te puedes defender, ya que los mensajes vendrán de unas pocas direcciones en la mayoría de los casos.
Bombardeos de listas de noticias: en este caso, el atacante te suscribirá a cuantas listas de correo pueda. Este es peor que el correo masivo, ya que te llegará correo de diferentes listas, y tendrás que guardar alguno de estos para saber cómo borrarte de cada una de las listas.
Aquí es donde actúa Procmail. Procmail (pronunciado prok-mail) es un programa de filtrado de correo que puede hacer algunas tareas bonitas con tu correo. Por ejemplo, si te has suscrito a varias listas de correo de gran volumen, puede ser configurado para clasificar el correo en distintas carpetas. De este modo los mensajes no estarán revueltos en tu Bandeja de Entrada. Procmail también se puede configurar para borrar correo procedente de ciertas direcciones o de cierta gente.
Configuración de Procmail
En primer lugar, tienes que ver si tu sistema tiene instalado Procmail. Desde la línea de órdenes, teclea:
> which procmail
Si tu sistema tiene instalado Procmail, esta orden te dirá dónde está instalado. Toma nota, lo necesitarás más tarde.
Nota: si tu sistema te devuelve el mensaje "Unknown Command: which" entonces inténtalo sustituyendo "which" por "type", "where" o "whereis".
Si aún así no encuentras Procmail, puede que el sistema no lo tenga instalado. No obstante, no te rindas- echa un vistazo a la FAQ que mencioné al principio de este fichero y mira si tu sistema tiene alguno de los programas de los que se habla.
Luego tienes que crear un fichero de configuración para Procmail. En el resto de este documento, utilizare el editor Pico. Puedes utilizar cualquier editor de texto con el que trabajes a gusto.
Asegúrate de que estás en tu directorio base, y abre el editor.
> cd
> pico .procmailrc
Introduce lo siguiente en el fichero .procmailrc.
# Esta línea le indica a Procmail que debe registrar en su fichero de log. Ponlo en On #cuando estés depurando
VERBOSE=off# Sustituye 'mail' por tu dirección de correo electrónico
MAILDIR=$HOME/mail# Aquí es donde se almacenarán los ficheros rc y ficheros de log
PMDIR=$HOME/.procmail
LOGFILE=$PMDIR/log# INCLUDERC=$PMDIR/rc.ebomb
(Sí: teclea la línea de INCLUDERC con el #)
Ahora que ya has tecleado esto, sálvalo y vuelve a tu directorio raíz.
> cd
> mkdir .procmail
Ahora entra en el directorio que acabas de crear, y abre el editor con un fichero nuevo: rc.ebomb.
IMPORTANTE: asegúrate de que tienes desactivado el ajuste de línea del editor durante este proceso. Necesitaras que las líneas que siguen a cada uno de los asteriscos del siguiente ejemplo estén todas en una línea. Con Pico, utiliza la opción "-w". Consulta el manual del editor que utilices para saber cómo quitar el ajuste de línea. Asegúrate cuando estés editándolo de NO dejar espacios en blanco en esa línea.
> cd .procmail
> pico -w rc.noebomb# noebomb - bloqueo de bombardeo de correo
:0
* ! ^((((Resent-)?(From|Sender)|X-Envelope-From):|From )
(.*[^.%@a-z09])?(Post(ma?(st(e?r)?|n)|office)|Mail(er)?|daemon
|mmdf|root|uucp|LISTSERV|owner |request|bounce|serv(ices?|er))
([^.!:a-z0-9]|$)))
* ! ^From:.*(postmaster|Mailer|listproc|
majordomo|listserv|cmeinel|johnb)
! ^TO(netstuff|computing|pcgames)
/dev/null
Veamos qué hace esto. La primera línea le dice a procmail que esto es el principio de un fichero de configuración. Las fórmulas son, básicamente, eso - le dicen al programa qué es lo que tiene que buscar en cada uno de los mensajes electrónicos, y si encuentra lo que busca, ejecutará una función con el mensaje - reenviarlo a alguien, guardarlo en una carpeta, o como en este caso, borrarlo.
Las líneas que comienzan con * se llaman "condiciones". El asterisco (*) le dice a procmail que este es el inicio de una condición. La admiración (!) le dice que tiene que hacer lo contrario de lo que normalmente hace.
Condición 1 (todo en la misma línea):
!
^((((Resent-)?(From|Sender)|X-Envelope-From):|From
)
(.*[^.%@a-z0-9])?
(Post(ma?(st(e?r)?|n)|office)|Mail(er)?|daemon
|mmdf|root|uucp|LISTSERV|owner|request|bounce|serv(ices?|er))
([^.!:a-z0-9]|$)))
No te asustes con esto, es más simple de lo que parece a primera vista. Esta condición le dice a Procmail que mire a la cabecera del mensaje, que vea si es la dirección de correo del root o del postmaster, y que compruebe si procede de un daemon de correo (el programa que envía tu correo). Si el mensaje es de una de esas direcciones, la función pondrá el mensaje en tu bandeja de entrada y no lo borrará.
Nota para usuarios avanzados: aquellos de vosotros que estéis familiarizados con Procmail os preguntaréis por qué quiero que el usuario teclee todas estas largas líneas de órdenes, en lugar de utilizar la orden FROM_MAILER. Bueno, puede parecer una buena idea al principio, pero he descubierto hace pocos días que FROM_MAILER también comprueba la cabecera "Precedence: " en busca de palabras como "junk", "bulk" y "list". Muchos (si no todos) los servidores de listas de correo tienen "Precedence:bulk" o "Precedence:list", así que si alguien te suscribe a muchas listas, FROM_MAILER dejará pasar la mayoría de los mensajes; esto es lo que NO queremos.
Condición 2:
* !
^From:.*(listproc|majordomo|cmeinel|johnb)
Esta condición hace más comprobaciones en la línea del "From:" de la cabecera. En este ejemplo comprueba si existen las palabras "listproc", "majordomo", "cmeinel", y "johnb". Si es alguna de estas personas, dejará pasar el mensaje a la bandeja de entrada. Si no, está muerto. Aquí es donde debes poner los nombres de usuario de la gente que te escribe normalmente, y también los nombres de usuario de los servidores de listas de correo, como puede ser "listproc" y "majordomo". Cuando edites esta línea, recuerda: pon sólo el nombre de usuario en la condición, no la dirección de correo electrónica entera de la persona, y recuerda poner un '|' entre cada nombre.
Condición 3:
*! ^TO(netnews|crypto-stuff|pcgames)
Esta condición final es donde pondrás los nombres de usuario de las listas de correo a las que estás suscrito (si lo estás). Por ejemplo, yo estoy suscrito a las listas "netnews", "crypto-stuff" y "pcgames". Cuando te llega un mensaje de una lista, la mayoría de las veces la dirección de correo de la lista aparecerá en el "To:" o en el "Cc:" del encabezamiento, en lugar de en el apartado del "From:". Con esta línea se comprueban esos nombres de usuario y los deja pasar a tu bandeja de entrada si coincide. Las instrucciones para la edición son las mismas que para la condición 2.
La ultima línea, /dev/null, es esencialmente la papelera de tu sistema. Si alguno de tus mensajes no cumple ninguna de las condiciones, (por ejemplo, no es un mensaje del administrador, no es un mensaje de una lista de noticias o no es de alguien a quien escribes, y no es un mensaje de alguna de tus listas de distribución) Procmail depositará el mensaje en /dev/null, para no ser visto nunca más.