Power Hacker 2003

home *** CD-ROM | disk | FTP | other *** search

/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / jjf / jjf008.txt < prev next >

Wrap

Text File | 2002-05-27 | 155.9 KB | 3,448 lines

╔────────────────────────────╗ │ ┌──────┐ │ │ │██████│ │ │ ┌──────┤██┌───┘ │ │ ┌──────┤██████│██└─┐ │ │ │██████├─┐██┌─┤████│ │ │ └─┐██┌─┴┐│██│J│██┌─┘ │ │ ┌──┐│██│██└┘██│J│██│ │ │ │██└┘██│██████│F├──┘ │ │ │██████├──────┴─┘ │ │ └──────┘ │ │ H A C K E R S T E A M │ │ J O U R N A L │ ╠────────────────────────────╣ │ VOL. #2, Nº8, 1999. │ ╚────────────────────────────╝ Of breaking into a computer:" The first time it's a hack. The second time it's a crime." Billsf. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Nota: - J.J.F. / HACKERS TEAM - no se hace responsable del mal uso de la informacion aqui expuesta y tampoco tiene que estar de acuerdo con lo que sus colaboradores opinen. Tampoco esperamos que la gente use la informacion aqui expuesta para hacer daño ya que tan solo es con fines didacticos. Recomendado el uso del editor del MS-DOS. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= #CURRENT MEMBERS : - CONDE VAMPIRO - CODER H/P/V EDITOR - MAC CRACK - CODER C/P WEBMASTER - ELEKTRO - H/P ADMIN - TASSLEHOFF - CODER H CO-WEBMASTER - Dr BINIX - CODER H/P/V ADMIN #WEB OFICIAL : - http://www.jjf.org #CANAL OFICIAL EN IRC-HISPANO : - #JJF #E-MAIL OFICIAL : - team@jjf.org #LLAVE PGP OFICIAL : -----BEGIN PGP PUBLIC KEY BLOCK----- - J.J.F. / Hackers Team - http://www.jjf.org Version: PGPfreeware 5.5.3i mQGiBDZqHkERBAD4s9uK0aNWwmeJH6f0FMiZKgH9S/cny5vhhKwbNuNSoPxEip2g +GNkBB0yCf/sSSdiwZBxrTk3IYzuZwF3LbdZPoimkKKxiGHX0s6kZ0zCT5/1kdQz FSFEx/fN6gBBPMZAIjgbYF0K7p5aixWe1CyWiowgmy30Cb8t1rn3+q+nNwCg//A8 N+74OrsDv1gc6eonMjAibB8D/RxTG9Afr8ORnc6lN0nuXP1kVLZ+nPDjMnL5P0os e8IDLe3kFnp8lwSYjgE5nGT0w5tzmjJV1DSTkHacUvVH2lio4JbJ0w7ylfonW9C6 aqjkV+lU45tFffP4iO+wM6/kSrxuQPROvDElWoYEZUWwRqpZZSaPM7Iw8wPeaR9M oT3oA/wK1bwpQlXK7rH0dG0DDUcgy3/pTX2DAmdAyIAmuU526VNBmGIODJDdDHCC mSTsxVhtDheTp8mBqwWt8TWTRfeKg1Ccm/mL7+oQI5TLPrS4msWfTsMTjQruFCAq p5SBcLvBZ9pPR4KjAzWf5kSVE/cLuP7Jj4f7HnFOqAw4y/ev57QoLSBKLkouRi4g LyBIYWNrZXJzIFRlYW0gLSA8dGVhbUBqamYub3JnPokASwQQEQIACwUCNmoeQQQL AwIBAAoJEOhzSELU8x87xCIAoLNY3rnGqxkDm970wixwOVH4H1rAAKCZsi8jqCco bjTOzvPesvCYwBhEM7QbRHIgQmluaXggPGRyX2Jpbml4QGpqZi5vcmc+iQBLBBAR AgALBQI2ah5lBAsDAgEACgkQ6HNIQtTzHzt74gCaAuhdloIMsjBDxQRDADe9L25m KlQAoL9Zw1zAv4y0VqPGZJJ/WEFJ4JfItBxNciBFbGVrdHJvIDxlbGVrdHJvQGpq Zi5vcmc+iQBLBBARAgALBQI2ah59BAsDAgEACgkQ6HNIQtTzHzv/4gCeKM0YdlTN ZiExhngl9fq/EZxA35QAn1b0hjcD7RI0MezP1U3aVRmogaDstB9UYXNzbGVob2Zm IDx0YXNzbGVob2ZmQGpqZi5vcmc+iQBLBBARAgALBQI2ah6QBAsDAgEACgkQ6HNI QtTzHzupLACdH60mXOsIcs759w3zmPeumj2eHD4An27x3t9nLXvpsC++kqX/uWnk 8c2BtBdNYWMgQ3JhY2sgPG1hY0BqamYub3JnPokASwQQEQIACwUCNmoeowQLAwIB AAoJEOhzSELU8x87gJYAoJxFRmMw2M9JyKkuiw7pgQwO86gfAKDQ8FBhSEHO6vqC i+gQucPt6FTziLQdQ29uZGUgVmFtcGlybyA8Y29uZGVAampmLm9yZz6JAEsEEBEC AAsFAjZqHrwECwMCAQAKCRDoc0hC1PMfO7AZAKCCvW3avqxvbIMqSMr6gAs6N1Yh EwCgxvh6XxV0UsliM0I9NiCRAh9+fm25Ag0ENmoeQRAIAPZCV7cIfwgXcqK61qlC 8wXo+VMROU+28W65Szgg2gGnVqMU6Y9AVfPQB8bLQ6mUrfdMZIZJ+AyDvWXpF9Sh 01D49Vlf3HZSTz09jdvOmeFXklnN/biudE/F/Ha8g8VHMGHOfMlm/xX5u/2RXscB qtNbno2gpXI61Brwv0YAWCvl9Ij9WE5J280gtJ3kkQc2azNsOA1FHQ98iLMcfFst jvbzySPAQ/ClWxiNjrtVjLhdONM0/XwXV0OjHRhs3jMhLLUq/zzhsSlAGBGNfISn CnLWhsQDGcgHKXrKlQzZlp+r0ApQmwJG0wg9ZqRdQZ+cfL2JSyIZJrqrol7DVeky CzsAAgIIANRtpu28Urbml240QB6rpLJwpRVamQJDb9bAdE1PmbFzw0g5u59lFV74 35cacXl0LvZgTY9m61Z+IUldIFflJO2bFnNRRVJPJO8uC84T4cHOge/+czhR1SUB FKa8MQj71aX3qnAAXjn3vDmfLIH7NUqkJ/XkvBU6yO4Bk3eNta0aHWBxsLboF69g mVhQ19OaP4MOPdNID6k85HW7IXzRdt8nwwcaUiTp2YNmn9DW4h/QLp8Tr/iTReko AmA89xzu9YQwc7Io5NmhqzrVYrfvEMXhlWLMZYUObnaifarKqUOwoeq2oUtLNqyE oV4r8uob/m740FixtcFpg8Npvha1kuqJAEYEGBECAAYFAjZqHkEACgkQ6HNIQtTz HzuP3gCfbzDnGPm9X2F4XOkV1lU0BZsiuYwAoKdHNilOKmpnKPmz2ApogjMfM1sc =HQVG -----END PGP PUBLIC KEY BLOCK----- #DISTRIBUIDORES OFICIALES DEL E-ZINE : - http://members.xoom.com/zine_store/ - http://travel.to/silence - http://hello.to/hacker_novatos - http://www.geocities.com/Colosseum/Sideline/9497/index2.html #MIEMBRO OFICIAL (web ring) DE : - Black Angels - Spanish Underground Web Ring #COLABORADORES CON ESTE NUMERO : - Estado+Porcino (WKT) - PoSiDoN - Skorpion (DarkMoon) - ToMaCHeLi - Perro Bombardero - Seth (TRAX) - Zhodiac #SALUDOS : - Metalslug - Rhino9 - ICEHOUSE - L0pth - Proyecto R - Kriptopolis - SET - BlackBrains - oioio - SHG Security <────────────────────────────────────────────────────────────────────────────> <────────────────────────────────────────────────────────────────────────────> <────────────────────────────────────────────────────────────────────────────> - INDICE. TITULO AUTOR ------------\_______________________________/------------ * EDITORIAL ................................ J.J.F. / HACKERS TEAM * COMO CRACKEAR MULTIMEDIA BUILDER 3.0 ..... ESTADO+PORCINO. * TROYANOS EN WINDOWS: BO, NETBUS Y DEEPTHROATH ............................ SKORPION. * CURSO DE HACK VIII ....................... CONDE VAMPIRO. * EL IN-OFF-BIRRIA PUS ..................... SETH. * COMO QUITARSE DE ENCIMA EL TROYANO DEL BACK ORIFICE v1.20 ................... TOMACHELI. * INSTALANDO BOTS EN EL IRC ................ POSIDON. * INGENIERIA INVERSA EN PSION SERIE 3 ...... CONDE VAMPIRO. * ATAQUE INDIRECTO A NTFS .................. PERRO BOMBARDERO. * ZHODIAC'S SOCKETS LESSON (I) ............. ZHODIAC. * EL LECTOR OPINA .......................... VARIOS. * NOTICIAS UNDERGROUND ..................... J.J.F. / HACKERS TEAM <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> ------------- ▌ EDITORIAL ▌ ------------- Bueno, aqui estamos otra vez, con el numero 8 y como va siendo habitual es del gusto de la gente y eso nos complace con agrado. Muchas cosas han pasado desde nuestro numero pasado, sobre todo el gran exito que esta tenido nuestro dominio, en el cual manifestamos, incluido aqui en el ezine, que - J.J.F. / Hackers Team - es el primer grupo de hackers blancos españoles, guste o no guste. Y aprovechando la ocasion os recormadamos que es importante que leais la seccion SOPORTE y contribuyais a ello ;-) Nuestro trabajo es investigar, documentar, desarrollar y sobretodo devolver el buen nombre que tenia la palabra Hacker en sus principios, esto lo conseguimos de la siguiente forma, siendo serios en nuestro trabajo, dedicarnos a la seguridad y no realizar estupidez como otros, sin animo de ofender a nadie (Si te lo tomas mal, por algo sera :) Es realmente asombroso las buenas criticas que estamos tenido que van desde nuestros queridos lectores a prestigiosos websites o revistas informaticas que nos señalan como un interesante grupo de hackers, esto no significa que seamos la bomba ni nada por el estilo, solamente somos un grupo de amigos con ganas de hacer cosillas, no somos expertos solo curiosos, emprendedores y en ocasiones (pero pocas :) innovadores. Hace poco cayo en mis manos un interesante papiro y desde aqui le enviamos un mensaje a su editor para que se ponga en contacto con nosotros si le apetece. Verdad ? ----il---- ---mili--- --emilio-- Deciros que en este numero hemos aprovechado para hacer limpieza en nuestro distribuidores oficiales, y todos aquellos websites que no tengan hasta el numero 7 y el logo oficial de nuestro ezine los hemos retirado de nuestra seccion de distribuidores. Con esto solo pretendemos que nuestros lectores sepan donde ir a encontrar nuestro ezine con la maxima calidad y fiabilidad posible. Para informacion sobre distribuidor oficial del ezine, os recomedamos el FAQ, disponible en nuestro website, ademas en este FAQ podreis resolver muchas de vuestras dudas referentes a - J.J.F. / Hackers Team -. Y un nuevo distribuidor que si cumple con nuestras exigencias es http://travel.to/silence llevado por Mr. Silence. Deciros que hemos creado un canal de IRC llamado #JJF (hhuum que raro ;-) en el IRC Hispano (el autentico y viejo) y esperamos que sea un punto de encuentro para todos en el cual podamos charlar tranquilamente y por favor nada de logeos, preguntar por soft pirata y demas tonterias, el canal de IRC queda bajo el cargo de Mac Crack. Ademas en nuestro website encontraras las cosillas que hemos estado trabajando durante las navidades y por supuesto estamos a tope con varios proyectos de software, que esperamos que en unos meses saldran las primeras versiones :) Ya se que vamos lentos, pero mala suerte ... NOTICIA: Para aquellos que la buena suerte o quizas la mala suerte les llevo a escuchar ese programa de radio el cual se emitia por Internet el verano pasado podran "seguramente" volver a oirlo y reirse incluso mas todavia. SSSIIII, estoy hablando de BOSTON RADIO PIRATES que vuelve a la carga de la mano de - J.J.F. / Hackers Team - y que esperamos que en breve el programa se emita, logicamente sera anunciado en nuestro website!!!!!! como siempre nuestros locutores favoritos borrachos hasta la medula como nuestras fotos del website XDDDD pero con muchas novedades que haran las delicias de todos. MAS MUSICA Y HACK QUE NUNCA!!!!!!! Pues aqui se acaba el rollo de la editorial y disfruta leyendo tranquilamente el ezine, que trae suculentos articulos. Y como siempre para cualquier duda, sugerencia, articulo lee el FAQ y si es algo del ezine escribe a la siguiente direccion: editor@jjf.org - J.J.F. / HACKERS TEAM - <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> >>>>> COMO CRACKEAR MULTIMEDIA BUILDER 3.0 <<<<< ------------------------------------------------ ----------------------- Nota para los lectores: ----------------------- Este Tutorial es el capitulo 5 de la serie "COMO CRACKEAR POR ESTADO+PORCINO". Los articulos de este curso han sido escritos por alguno de los miembros de WKT o bien nos han llegado a traves de estadoporcino@hotmail.com buzon al cual podeis escribirnos para vuestras dudas y consultas y tambien para enviarnos vuestros articulos. El Objetivo de nuestros tutoriales, recopilaciones, herramientas.... y en general de todo el contenido de nuestro Web Site consiste en proporcionar INFORMACION sobre el analisis de protecciones software/hardware: la Ingenieria Inversa. En definitiva: AMPLIAR NUESTRO/TU CONOCIMIENTO. Aunque parezca extraño, WKT estß dedicado a formar a los programadores, mostrandoles sus defectos y el camino para producir software de calidad. Ya se acabo el rollo. AL ATAKEEEE !!! -------------------------------------------- COLOR CRACK Como Crackear Multimedia Builder 3.0. Por Estado+Porcino Noviembre del 98 Site:www.mediachance.com Herramienta: Nuestro amado Sice y Zen crack. ------------ INTRODUCCION ------------ Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack en Color" que lo aplicaremos a nuestro conejillo de indias, el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen, video. Se programa al estilovisual de VB. No os perdais el reproductor de CD que viene con el ejemplo. UN PRIMER VISTAZO Realmente este programador se lo ha currado. Ha cerrado la mayoria de las puertas de entrada a los crackers, por tanto hay que abrir otras como el "Crack en Color". Veamos alguno de sus ingenios del autor: - Existe un numero de serie que se introduce desde "Help\About\Register" Cuando introducimos un numero de serie falso no aparece ninguna ventana de error. Por lo que queda descartado el clasico "bpx messageboxexa". Las cadenas de caracteres importantes las tiene encriptadas, por lo que no podemos buscarlas con el "Search and Replace", lo que impide un crack en 5 minutos. PRIMER OSTIAZO -------------- Desechados los ataques tipicos, vamos a entrar por la puerta clasica siguiendo la pista del Serial falso. Metemos un numero basura "12121212", Saltamos al sice y ponemos 's 30:00 l ffffffff "12121212"'. En cada ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al boton de OK y BOOM, aparecemos en el sice. Unos F12 llegamos a la rutina "GetwindowTextA". Dejamos esta linea de trabajo porque es muy aburrida. Al final conseguimos aislar una rutina en que devuelve 0 si estamos registrados y 1 en otro caso. Podemos falsearla para registrarnos. Y de hecho lo "conseguimos". Nuestro nombre aparece en la ventana de registro. Pero hay una sorpresita. Si ejecutamos Project/Run aparece "unregistered... ". ¿Como es posible? Pero SI estamos registrados!. La cosa es aun peor, si nos peleamos con el registro y generamos un numero de serie valido las cosas no mejorar. ¿Que esta pasando aqui? ZEN CRACK --------- Si hemos pasado el algoritmo de registro satisfactoriamente, ¿porque seguimos sin estar registrados?. Razonemos, la unica forma de no estar registrados es que no pasemos alguna verificacion. Sabemos que hemos pasado una, luego debe de haber otra verifiacion en otra parte del codigo. Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del serial. Y lo que es todavia mas interesante, en cada comprobacion analiza cosas diferentes. Asi, si se pasa completamente una comprobacion no se garantiza que se pase el resto. Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y otra no). Debe existir un nexo de union entre las comprobaciones: Una variable que guarde el serial que hemos introducido. Pero aqui las variantes son multiples: la primera comprobacion puede encriptar el serial para la segunda, modificar un flag para que siempre resulte falsa la segunda comprobacion... La pregunta que se plantea es ¿Como localizo la segunda comprobacion?. La unica pista es el horrible letrero amarillo ".. unregistered ..". Se podrian analizar todas las variables que modifica el primer algoritmo , pero eso es demasiado costoso. Debemos buscar otra forma. La unica forma de saber que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahi por donde debemos atacar. El mensaje esta encriptado ,luego desechamos esa via. El letrero parece un Label al estilo de JAVA o Delphi, por lo que no tiene entidad propia como una ventana. ¿Por donde atacamos? CRACK EN COLORES ---------------- Centremonos, ¿que es lo que mas llama la atencion del letrero? , su color amarillo. Este color debe de asignarse de alguna forma. Ademas el amarillo parece que es el color de fondo del letreo. Si desensamblamos a nuestro objetivo vemos que utiliza la funcion setbkcolor. Asi pues debemos localizar algo parecido a "setbkcolor(Amarillo)". Pero como se expresa exactamente el color amarillo. Normalmente los colores se forman a partir de la combinacion de los llamados "colores basicos". Lo normal es usar como colores basicos RGB="Rojo Verde y Azul." Nuestro problema es como expresar el amarillo del letrero en funcion de RGB. Por suerte nuestro amarillo es una simple combinacion. Podemos utilizar la paleta de colores de cualquier programa para comprobarlo. En mi caso he usado el Visual Cafe 2.5 (crackeado por supuesto). Introduciendo Rojo=255, Verde=255, Azul=0 obtenemos el mismo amarillo que el del letrero. Si el color hubiera sido mas complejo, capturamos la pantalla con el letrero y la importamos a un editor grafico como el Photoshop. Seleccionamos un pixel del color amarillo del letreo y vemos sus componentes en terminos de Rojo, Verde y Azul. Es posible que exista un programa que realize esta funcion mas sencilla. Si lo encontrais, por favor notificadmelo. Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)". Necesitamos conocer si existen mas parametros para el setbkcolor. Mirando el API tenemos: COLORREF SetBkColor(HDC hdc, // handle of device context COLORREF crColor // background color value ); The COLORREF value is a 32-bit value used to specify an RGB color. When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 0x00bbggrr Nuestro color es un entero y se pasa como segundo parametro. Dado que los numero se almacenan al reves debemos buscar SetBkColor(hdc,0000ffff). Desempolvemos los manuales del Sice, por lo que nos queda bpx setbkcolor if (*(esp+8)==ffff0000) Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica que se pare cuando se ejecute la rutina setbkcolor. Se para cuando (*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea 00ffff. Recordemos que los parametros a las funciones se pasan a traves de la pila (ESP=registro stack pointer): Concretamente es ESP+8 porque en se apilan dos palabra de 4 bytes cada uno. Antes de la llamada ESP=000 Llamada ESP=Direccion de retorno. (palabra de 4 bytes) ESP+4=parametro HDC.(palabra de 4 bytes) ESP+8=segundo parametro Aplicando nuestro bpx y pulsando "Proyect/Run" BOOM, aparecemos en el sice, para ver si estamos realmente ante el setbkcolor correcto, cambiemos el color "d esp+8" Y pasamos de "FFFF00" a "FFFFFF". Obtenemos un bonito color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de f12 despues obsevamos :460a15 cmp [ESI+378],43CA Si los valores no son iguales vemos el mensaje de error. Por tanto es este el flag que controla todo. Ya solo basta ver quien lo inicializa. Pero este es un trabajo conocido por todos que lo dejo como ejercicio. Fijaos como no se utiliza un clasico flag 1,0 sino un valor dificil 0x43CA. Un nuevo sintoma de que el autor ha leido sobre cracks. CONCLUSION ---------- Hemos aprendido una nueva tecnica: "Color Crack". Es recomendable que se aplique cuando el mensaje de "unregistered" no sea una ventana sino una cadena dentro de una ventana. Debemos averiguar el color que se aplica al mensaje y colocar en el Sice bpx nombreRutina if (*(esp+8)==00BBGGRR) Recordad que los valores de Blue(azul), Green (Verde), Red (rojo) estan hexa. Cuando apararezcamos en el Sice cambiar el color para ver si estamos en la ventana correcta. En tal caso buscar un salto que evite el mensaje. Este tecnica siempre es aplicable, pero se recomienda que se utilice cuando existan pocos colores en la ventana y el mensaje esta resaltado del resto (cosa bastante habitual). Una posible generalizacion de esta tecnica es aplicable al color del tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el aspecto (cursiva ...). Recordad de echar mano de una buena ayuda Api para win32. No olvidemos el esquema de proteccion tan original de SEPARACION DE COMPROBACIONES que ha implementado el autor. Relamente interesante, si señor. Recordad, Buscad a +ORC en la Red. GReeTz to: ---------- NIabI ( MEXELITE ) r00ster ( MEXELITE ) Dasavant ( ANTHRAX ) Klimpong ( ANTHRAX ) B_Thorne ( PHROZEN CREW ) Flu[X] ( PHROZEN CREW ) FLebbHuE ( DEMISE ) DrRhui ( CORE ) ALC ( THE NAMELESS ONES ) Iczelion ( ICZELION ) CrackZ ( CRACKZ ) SALUDOS Y AGRADECIMIENTOS A: ---------------------------- nIabI ( MEXELITE ) Gracias por esa traduccion. ;o) Mac Crack & Conde Vampiro ( - J.J.F. / Hackers Team - ) Gracias por cedernos un hueco en vuestro estupendo e-zine. JJF FOREVER !!!! A TI QUE ESTAS LEYENDO ESTO Gracias por haberte tragado todo este rooollo jeje ;o) 01010101001010101010101001010101010101001010101010 01 WKT ( WHISKEY KON TEKILA ) 01 01 e-mail: wkt@most-wanted.com 01 01 Web Site: 01 01 http://wkt.home.ml.org http://wkt.mypage.org 01 01 http://www.reversers.com/wkt 01 01 ECD ( ESTUDIO COLECTIVO DE DESPROTECCIONES) 01 01 http://wkt-tutorialz.home.ml.org 01 01010101001010101010101001010101010101001010101010 <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/ >>> Troyanos en windows: BO, Netbus y DeepThroath <<< \/\/\/\/\/\/\\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/ Os mando este articulo, en gran partee extraido de la revista Pc Actual nº 104 escrito por Antonio Ropero. Creo que no se ha tratado este tema, quizas por encima y he visto a algun lector preguntando sobre la eliminacion. Soy Skorpion, quizas Conde Vampiro me haya visto por el irc-hispano alguna vez. Estos programas han tenido un gran auge en los ultimos meses dada su facil utilizacion y no requerir ningun conocimiento (por lo cual, recomiendo a todos los que estamos en esto por el mero hecho de aprender). El programa originario fue Back Oriffice (BO) que pronto se hizo famoso dada la cobertura que se la ha dado en las publicaciones de informatica. Fue creado por el famoso grupo "Cult of the Dead Cow" al que pronto siguieron otros dos programas (que conozca) como Netbus (tb muy conocido) y DeepThroath. El funcionamiento de estos programas es simple, constan de dos partes: un servidor y un cliente. El fichero servidor es el encargado de abrir un puerto del ordenador "infectado" desde el cual se podra tener accesos a toda la informacion y el control total de dicho ordenador. El fichero cliente se encarga de realizar las ordenes en el ordenador "infectado" (NOTA AL EDITOR: pongo infectado al no ocurrirseme una palabra mas adecuada, si sabeis de alguna mejor, ya sabeis). Ahora voy a explicar los diferencias entre estos tres programas: * Back Oriffice: - Abre el puerto 31337 - El fichero servidor tiene el nombre de boserve.exe (aunque posiblemente este cambiado por uno como lista.exe o fotos.exe). Ocupa 124.928 bytes. - El fichero cliente se llama boclient.exe y tiene dos variantes una de forma grafica y otra en modo texto. No recuerdo el nombre exacto de la parte grafica. - El fichero servidor una vez cargado, cosa que nunca hay que hacer ;-), crea una copia en windows/system como *.exe y un archivo windll.dll de 8.192 bytes. Para rematar se mete en el registro para ejecutarse en el inicio de windows. * NetBus: - Abre el puerto 12345 y 12346 (facil, eh ;) - El programa servidor se llama patch.exe (pasa lo mismo que con el BO, tendra un nombre cambiado). - El cliente creo que se llama client.exe (aunque no recuerdo). * DeepThroath: - Abre el puerto 2140 y 3150. Supongo que algunos mas avanzados sabran como detectarlo. Para los que no se les ocurre hay que usar la herramienta netstat (por supuesto para ejecutar el programa hay que estar conectado a inet). Ahora voy a especificar para cada programa su deteccion y su eliminacion (lo pongo tal cual viene en la revista PcActual, ya que al no tener ninguno de estos programas instalados no he podido ver el porque de las diferentes ordenes de netstat): * BO: - Deteccion: Ejecutar netstat -an /find "UDP" si sale algo parecido a 0.0.0.0:31337*.* esta instalado. - Eliminación: borrar el fichero *.exe, recordar que esta en /windows/system [Supongo que el fichero se copiara con el nombre con el que fue cargado, asi que buscar los ficheros con extension exe, con nombres extraños y cuyo tamaño sea de 124.928 bytes y a borrar]. Igualmente se elimina el fichero windll.dll Como ultimo editar el registro (comando regedit.exe) y seleccionamos la clave HKey_local_machine\software\microsoft\windows\currentversion\runservices y se elimina la referencia a *.exe Reiniciamos y listo. * NetBus: - Deteccion: Ejecutar netstat -an |find "12345". Si netbus esta activo aparecera una cadena indicando su presencia - Eliminacion: Editamos el registro y buscamos la clave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run Una vez encontrado el nombre del ejecutable (tendremos que deducirlo nosotros, asi que hacer una copia del registro de windows antes de borrar nada) buscamos el archivo y lo ejecutamos con el parametro /remove Tb se puede quitar con el cliente de netbus, pero no lo voy a explicar ya que duda que alguien que use el netbus se lo hayan colado (y si es asi me alegro, por lamer). * DeepThroath: - Deteccion: otra vez lo mismo. ejecutamos netstat -an y si los puertos 2140 y 3150 estan listados lo tenemos dentro. - Eliminacion: Igual, regedit, clave \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run con el nombre SystemDLL32 y el valor [path]systempatch. Sólo nos queda borrar dicha clave y borrar el fichero del disco. Ahora quiero comentar las protecciones para no tener estos invitados ni otros mas. La principal fuente de transmision de troyanos es el Irc. Tb hay "virus" para el mirc y esas cosas, asi que hay que tener cuidado. No aceptar ningun fichero de un desconocido (a veces, al entrar a un canal automaticamente te intentan mandar el fichero dmsetup.exe o script.ini), para esto hay que tener la opcion auto-get file desactivada, pudiendo elegir entre "show get dialog" e "Ignore all". Cada uno que eliga lo que le convenga. Mucho cuidado con ficheros zip, tanto en canales de fotos y de cds, siempre evitar cargar ningun fichero .exe ni .com. Se me olvidaba comentar que los "virus" para el Mirc suelen hacer lo dicho anteriormente, mandar los ficheros .exe o .ini asi que no le echeis la bronca al emisor, ya que me he encontado casos en que no sabia ni lo que era. Estamos para ayudarnos. Otro punto a recordar es que se rumorea (hay quien afirma) que los clientes tb abren puertos y mandan informacion del disco duro del usuario a servidores. Asi que no jugueis a hackers con estos programas hechos para lamers. # Skorpion 1999 # Miembro de DarkMoon # E-mail: Skorpion@mixmail.com ********************************************** Fin del articulo El articulo no es gran cosa y mucha informacion no es mia pero espero hacer mejores articulos. Dado que mi nivel de hacking es bajo (aunque en ello estamos) y es mi primer articulo, espero no recibir muchas criticas. :) Antes de despedirme, podeis decirme las direcciones de los irc's donde se reunan gente del hacking. Un saludo. .oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo ============================================================ DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMO ============================================================ _____ ____ _ ___ .·"^"·. _ / \ __ / \| | / / *********** |\ | | | \ / \| O || |/ / · /\ /\· ___ ___ | \ | | | |\ | | | /| < / \/ \/ \/ \| \ | | | |_| | | \ | | \ / /\ /\ \ o | O ||\ \| | |________|__|_|_|__\|__|\__\ /_/ \/ \_\___/\___|| \___| ============================================================ ON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DAR ============================================================ @#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@# <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> - CURSO DE HACK - CHAPTER VIII Parece mentira, pero aqui estamos, con la octava entrega de este cursillo de hack y espero que este sirviendo para algo, sobre todo en el caso de los novicios para el cual este curso esta enfocado. Como sabeis la mejor forma de aprender es hackearse uno mismo o el ordenador de un amigo, ni que decir del que dispone de una pequeña red en casa ;-) Pero tambien existe otra forma de aprender la cual nos permite hackear un servidor y que encima se nos permita. Lo a que me estoy refiriendo son esos concursos para hackers que van desde romper un sistema criptografico (hhuumm JJF RC5 Crack Team) hasta romper la seguridad de un servidor. Pues en esta octava entrega he visitado el servidor de happy Hacker, el cual esta permitido hackearlo ;-) Para los que estan algo dormidos dire que este servidor esta llevado por la conocida para bien o para mal Carolyn Meinel, la autora de las tambien conocidas Guide to (mostly) Harmless Hacking. Este servidor esta activo con el proposito de que la gente aprenda a mejorar la seguridad. Es en realidad un juego conocido como Wargames, y puede ser de gran interes para aquellos que quieran hacer sus experimentos sin peligro alguno y con un autentico servidor en Internet. Logicamente el sistema operativo es una variante Unix, FreeBSD, por lo que para aquellos que quieran aprender Unix lo podran hacer y para aquellos que por cualquier motivo no dispongan en casa de Linux pues usando su Windows podran participar de todas formas, con un simple telnet a la maquina en cuestion. El juego consiste en entrar en la maquina, despues hacerse root del sistema. Los participantes pueden escribir en determinados directorios, crear cuentas y modificar las paginas webs del servidor. Pero esta prohibido hacer mal uso del sistema, borrar completamente las webs y sobre todo el uso de DoS (Denegacion de Servicio). Incluso en las reglas y al entrar tambien, nos advierten claramente que cualquier mal uso del sistema sera penalizada, debido a que informaran a nuestro ISP de nuestros actos o incluso ojo por ojo, diente por diente }:-) Pues nuestra pequeña incursion nocturna empieza logicamente en el web o haciendo un telnet al servidor. El url del website es: http://happyhacker.org Es interesante leerse las reglas, aunque solo estan disponibles en ingles :) ya que nos proporciona cierta informacion interesante y mos advierte de nuestros actos. Tambien nos dice que la finalidad del juego es ser root, parchear los agujeros que encuentres/usastes y mantener tu liderazgo el maximo de tiempo posible, incluso podras mantener contacto con el autentico administrador para contarle tus hallagos y soluciones. En la web principal del juego nos interesa un parrafo en concreto, que es el siguiente: ---- Currently, you can break into the only open account, guest on koan.happyhacker.org... We're just going to give you a quick hint: the password is very stupid. ---- No veo la necesidad de traducirlo y para aquellos que no lo entiendan pues diccionario en mano y a leer ;-) Y que empieze nuestra incursion con un telnet a la maquina!! $ telnet koan.happyhacker.org [ Bien, ahora ya hemos conectado con Koan y a partir de ahora escribire entre [], nos sale lo siquiente: ] FreeBSD (koan.happyhacker.org) (ttypg) login: guest s/key 98 ko112201 Password: [ Pues ya hemos conectado :) y he metido login 'guest' y el password es ........, mejor te estudias ese parrafo en ingles ;-) ] Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD 2.2.7-STABLE (KOAN) #2: Wed Dec 30 19:44:00 MST 1998 ok, i (typo) gained root access today(feb 4th). i've made 2 accounts, one for me and one for the rest of tg0d(the guardians 0f data). if any of the admins feels it's neccessary to contact me: my email is in ~typo/email. im also in #koan on undernet (as typo/tzpo). as many people asked for it: i'll post a complete bug description and how i got root using it on http://koan.happyhacker.org/~typo tomorrow. right now there is no intended bug installed, but i'd like to put one in if the other root users agree. so long, --typo (tg0d member list can be found in ~guest/public_html/member-list.tg0d) --schematic ---- Guest ppl: One note, try to make sure a binary is actually setuid (or setgid) before exploiting a buffer overflow in it in it -- try something that has at least a remote possibility of working:> - The fortune program is supported, in part, by user contributions and by a major grant from the National Endowment for the Inanities. ----------------------------------------------------------------------- Guest Account Rules: You can write anything you want into ~/tmp. (try not to leave directories full of junk though) You can write anything you want into ~/public_html (no pr0n) tag stuff to index.html, but don't delete the entire thing. But there are disk usage quotas. And the rules on the web page apply too. Avoid running denial of service attacks -- cpu quotas protect against them anyhow. obey or be lart(8)'ed. .ds. ----------------------------------------------------------------------- koan% [ Pues ya estamos dentro del servidor, y esto en ingles son las noticias del dia, podemos leer como otro hacker llamado "typo" a conseguido root y a creado dos cuentas, una para el y otra para su grupo. Y despues nos sale un resumen de las reglas del juego y por ultimo el prompt, que esta esperando a que meta algun comando ;-) ] koan% uname -a FreeBSD koan.happyhacker.org 2.2.7-STABLE FreeBSD 2.2.7-STABLE #2: Wed Dec 30 19:44:00 MST 1998 root@koan.happyhacker.org:/usr/src/sys/compile/KOAN i386 koan% [ Primero pido informacion sobre el servidor en cuestion, vemos que es FreeBSD, un magnifico s.o. y diversa informacion. ] koan% who guest ttyp0 Feb 9 15:40 (195.121.42.244) guest ttyp2 Feb 9 15:39 (trojan.neta.com) guest ttyp4 Feb 9 15:25 (62.144.135.172) guest ttyp6 Feb 9 15:41 (159.134.231.147) guest ttyp7 Feb 9 15:43 (thurman.clubi.ie) root ttyp9 Feb 9 15:36 (0.0.0.0) guest ttypb Feb 9 15:36 (24.104.1.16) guest ttypc Feb 9 15:32 (152.167.223.180) guest ttypd Feb 9 15:37 (207.236.51.45) guest ttype Feb 9 14:48 (152.205.164.95) guest ttypf Feb 9 14:09 (62.136.24.162) guest ttypg Feb 9 15:45 (204.166.150.75) guest ttyph Feb 9 15:47 (142.176.14.228) guest ttypj Feb 9 15:12 (144.32.100.82) koan% [ Ahora veamos quien esta en la maquina en este momento ;-) esto puede sernos util para ponermos en contacto con otro hackers e intercambiar experencias pero requiere que sepamos ingles logicamente, al igual que podemos ponemos en contacto con el admin y si, yo salgo por hay :) ] koan% id uid=100(guest) gid=31(guest) groups=31(guest) koan% [ Veamos quien soy yo y que ID tengo. Bien, estoy como 'guest' logicamente. Okis, todo perfecto y sigamos con el juego. ] koan% pwd /usr/home/guest koan% [ Ahora ya se donde estoy :) y veamos que hay dentro de este directorio. ] koan% ls -al total 22 drwxr-xr-x 9 root wheel 512 Feb 5 19:06 . drwxr-xr-x 11 root wheel 512 Feb 4 14:28 .. -rw-r--r-- 1 root wheel 0 Sep 23 16:51 .bash_history -rw-r--r-- 1 root wheel 540 Sep 22 11:04 .cshrc -rw-rw--w- 1 root wheel 42 Jan 27 18:57 .history -rw-r--r-- 1 root wheel 1222 Feb 4 18:24 .login -rw-r--r-- 1 root wheel 139 Sep 22 10:58 .login_conf -rw------- 1 root wheel 351 Sep 22 10:58 .mail_aliases -rw-r--r-- 1 root wheel 313 Sep 22 10:58 .mailrc -rw-r--r-- 1 root wheel 749 Sep 22 10:58 .profile -rw------- 1 root wheel 257 Sep 22 10:58 .rhosts -rw-r--r-- 1 root wheel 832 Sep 22 10:58 .shrc drwxr-xr-x 2 root wheel 512 Feb 5 19:25 .term drwxr-xr-x 2 root wheel 512 Dec 23 19:02 CVS drwxr--r-- 2 guestcvs guestcvs 512 Jan 7 22:54 gcvs drwxrwxrwt 23 root wheel 2560 Feb 9 14:53 public_html drwx------ 2 guestcvs wheel 512 Jan 23 09:16 tag drwxrwxrwt 6 root wheel 2048 Feb 9 15:49 tmp drwxr-x--x 4 root guestcvs 512 Dec 23 19:12 wwwcvs koan% [ Oki doki, tranquilamente miramos ficheros y directorios. Hhhuummm ahora que lo pienso en las reglas pude leer que podiamos escribir en el directorio /tmp, o sea que para haya vamos!! ] koan% cd tmp koan% ls -al total 762 -rwx--x--- 2 root users 32768 Sep 17 15:03 -i drwxrwxrwt 6 root wheel 2048 Feb 9 15:50 . drwxr-xr-x 9 root wheel 512 Feb 5 19:06 .. drwxr-xr-x 2 root wheel 512 Dec 25 20:29 CVS -rw-r--r-- 1 cmeinel wheel 341 Nov 17 13:19 READ_ME -rw-r--r-- 1 mac_x wheel 1147 Sep 29 19:42 bashh.c -rwx--x--- 2 root users 32768 Sep 17 15:03 baz -rwxr-xr-x 1 guest wheel 8858 Feb 9 09:57 buff -rw-r--r-- 1 guest wheel 1342 Feb 9 09:45 buffer.c -rw-r--r-- 2 root wheel 5175 Mar 9 1998 compat.c -rw------- 1 guestcvs wheel 14 Jan 18 15:58 cvsP10631 -rwxr-s--x 1 root guestcvs 8809 Dec 25 20:43 do_update -rwxr-xr-x 1 root wheel 8808 Feb 7 17:44 fart -rw-r--r-- 1 root wheel 49 Feb 7 17:43 fart.c -rw-r--r-- 1 root wheel 7 Dec 28 09:25 foo -rw------- 1 guestcvs wheel 160 Jan 23 08:54 ind5930 -rwx--x--x 5 root users 147456 Sep 15 16:40 koan -rwx--x--x 5 root users 147456 Sep 15 16:40 koan2 -rwx--x--x 5 root users 147456 Sep 15 16:40 localhost -rws--x--x 2 root wheel 8830 Jan 18 12:56 newroot -rw-r--r-- 1 root wheel 399 Feb 5 23:29 newroot.c -rwx-wx-wx 1 guest wheel 2048 Feb 7 15:31 root -rwxrwxrwx 1 nobody wheel 12288 Feb 5 23:38 security.check ---s--s--x 1 root wheel 16384 Dec 27 14:09 shell drwxr-xr-x 3 guest wheel 512 Feb 4 18:45 strobe -rwx--x--x 5 root users 147456 Sep 15 16:40 su drwxr-xr-x 3 guest wheel 1536 Feb 7 18:09 tmp2 -rw------- 1 guest wheel 0 Feb 9 13:09 vi.DpV775 -rw------- 1 guest wheel 0 Feb 9 14:49 vi.FL2743 -rw------- 1 guest wheel 0 Feb 9 13:25 vi.Fn1059 -rw------- 1 guest wheel 0 Feb 9 11:38 vi.O29563 -rw------- 1 guest wheel 0 Feb 9 13:27 vi.eg1115 -rw------- 1 guest wheel 0 Feb 9 13:18 vi.iPT958 -rw------- 1 guest wheel 0 Feb 9 14:45 vi.tI2574 drwxrwx--- 4 root guestcvs 512 Feb 9 15:51 www koan% [ Hemos entrado en /tmp y hemos hecho su correspondiente listado. Examinemos por un momento que tenemos aqui, podemos apreciar que la gente se mueve por aqui y ahi varios ficheros muy sospechosos ;-) Aqui es donde por un lado podremos pobrar nuestros experimentos, probrar los exploits que hayamos escrito o recopilar exploits que no tegamos para poder estudiarlos y saber que hacen!!! ] koan% ./shell # [ Ahora ejecutemos algun exploit, aunque debe ser mas bien una copia del shell de root, del directorio para ver que sucede, uuuppsss, ese '#' me suena mucho ;-) ] # id uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys), 4(tty), 5(operator), 20(staff), 31(guest) # [ Efectivamente ya somos root del sistema. En realidad nunca es asi de facil pero esto es un juego, verdad ? Y continuamos con nuestra pequeña incursion! ] # ls CVS public_html tmp gcvs tag wwwcvs # cd .. ls # cmeinel guest mysidia spagheti typo derr mac_x satori tg0d # cd .. # ls X11R6 db libdata ports src athena games libexec quota.user sup bin home local s tmp chroot include mdec sbin compat lib obj share # [ Pues me he dado un paseito por los directorios, para ver si veo algo interesante. ] # cd / # ls -al total 3669 drwxr-xr-x 17 root wheel 512 Feb 6 13:31 . drwxr-xr-x 17 root wheel 512 Feb 6 13:31 .. -rw-r--r-- 2 root wheel 421 Dec 26 07:26 .cshrc -rw-r--r-- 2 root wheel 244 Mar 24 1998 .profile -r--r--r-- 1 root wheel 3425 Mar 24 1998 COPYRIGHT drwxr-xr-x 2 root wheel 512 Jan 17 22:15 a drwxr-xr-x 2 bin bin 1024 Feb 7 18:03 bin -rw-r--r-- 1 root wheel 0 Mar 24 1994 boot.config -rw-r--r-- 1 root wheel 1030 May 11 1998 boot.help lrwxrwxrwx 1 root wheel 11 Mar 24 1994 compat -> /usr/compat drwxr-xr-x 3 root wheel 9728 Jan 17 22:25 dev drwxr-xr-x 10 root wheel 2048 Feb 8 10:17 etc drwxr-xr-x 10 root wheel 2048 Feb 5 21:56 etcx lrwxrwxrwx 1 root wheel 9 Mar 25 1994 home -> /usr/home -r-xr-xr-x 1 root wheel 1082501 Jan 16 18:51 kernel -rwxr-xr-x 1 root wheel 1510955 Mar 24 1998 kernel.GENERIC -rw-r--r-- 1 root wheel 0 Mar 24 1994 kernel.config -r-xr-xr-x 1 root wheel 1082501 Dec 30 19:48 kernel.old drwxr-xr-x 2 root wheel 512 Dec 27 22:25 krb drwxr-xr-x 2 bin bin 1024 Sep 17 15:17 lkm drwxr-xr-x 2 root wheel 512 Mar 24 1998 mnt dr-xr-xr-x 85 root wheel 512 Feb 9 16:11 proc drwxr-xr-x 9 root wheel 1024 Feb 8 07:41 root drwxr-xr-x 2 bin bin 1536 Feb 7 18:10 sbin drwxr-xr-x 4 root wheel 512 Sep 18 15:48 stand lrwxrwxrwx 1 root wheel 11 Sep 17 14:15 sys -> usr/src/sys drwxrwxr-t 2 root users 512 Feb 9 16:10 tmp drwxr-xr-x 23 root wheel 512 Jan 18 12:58 usr drwxr-xr-x 19 root wheel 512 Feb 6 02:17 var # [ Me he ido directamente a la raiz '/' para examinar que directorios existen y por si veo algo que me interese. ] # cd root # ls -al total 5626 drwxr-xr-x 9 root wheel 1024 Feb 8 07:41 . drwxr-xr-x 17 root wheel 512 Feb 6 13:31 .. -rw-r--r-- 1 root wheel 0 Oct 6 10:49 .addressbook -rw-r--r-- 1 root wheel 2285 Oct 6 10:49 .addressbook.lu -rw-r--r-- 1 root wheel 1 Feb 8 21:25 .bash_history -rw-r--r-- 2 root wheel 421 Dec 26 07:26 .cshrc -r-------- 1 root wheel 1 Feb 7 14:31 .history -rw------- 1 root wheel 158 Dec 27 21:59 .klogin -rw-r--r-- 1 root wheel 502 Dec 25 20:56 .login -rw-r--r-- 1 root wheel 9 Dec 27 22:06 .logout -rw------- 1 root wheel 12031 Dec 25 12:46 .lsof_koan -rw-r--r-- 1 root wheel 0 Jan 2 23:14 .of -rw-r--r-- 1 root wheel 10326 Feb 5 14:17 .pinerc -rw-r--r-- 1 root wheel 151 Sep 15 22:36 .plan -rw-r--r-- 2 root wheel 244 Mar 24 1998 .profile -rw-r--r-- 1 root wheel 4 Feb 5 18:54 .rhosts drwx------ 2 root wheel 512 Feb 6 13:12 .ssh drwxr----- 2 root wheel 512 Feb 6 11:09 .ssx drwxr-xr-x 2 root wheel 512 Dec 31 19:11 bin -rw-r--r-- 1 root wheel 76 Jan 13 14:53 bk33 -rw-r----- 1 root wheel 42425 Dec 30 00:12 bw.err -rw-r----- 1 root wheel 25092 Dec 30 07:01 bw.err.2 -rw-r----- 1 root wheel 5258017 Dec 30 00:12 bw.out -rw-r--r-- 1 root wheel 2070 Dec 26 07:22 di -rwxr----- 1 root wheel 17405 Dec 27 14:09 fk -rw------- 1 root wheel 9578 Dec 28 11:06 fk.c -rwxr-xr-x 1 root wheel 8826 Feb 5 20:52 g0nz0 -rw------- 1 root wheel 771 Oct 28 20:05 g0nz0.c -rw-r----- 1 root wheel 25 Dec 23 08:04 hl -rw-r--r-- 1 root wheel 723 Dec 27 22:39 lynx_bookmarks.html drwx------ 2 root wheel 512 Feb 5 14:18 mail -rwxr-xr-x 1 root wheel 8827 Jan 18 12:24 mask -rw-r----- 1 root wheel 860 Jan 18 12:24 mask.c -rw------- 1 root wheel 4914 Jan 23 10:50 mbox -rw------- 1 root wheel 10085 Oct 28 18:20 namedsploit.c -rw-r--r-- 1 root wheel 399 Feb 7 10:26 newroot.c -rw-r----- 1 root wheel 277321 Dec 28 17:43 p3 drwxr-x--- 3 root wheel 512 Feb 9 15:05 private drwx--x--x 2 root wheel 512 Feb 5 20:40 security -rwx------ 1 root wheel 21486 Dec 27 12:57 shell2 drwxr-xr-x 2 root wheel 512 Feb 9 16:05 tmp -rwx------ 1 root wheel 529 Dec 27 13:32 x.sh # [ hhhuummm, el directorio del root no esta mal, veo varias cosillas que podrian ser utiles, pero dejare que seas vosotros que penseis un poquito, y como no volvemos al directorio temporal. ] # cd /tmp # ls -al total 3 drwxrwxr-t 2 root users 512 Feb 9 16:10 . drwxr-xr-x 17 root wheel 512 Feb 6 13:31 .. -rw------- 1 guest guest 96 Feb 9 16:10 tkt_100 # [ Vaya, nada, pues demonos el piro, vampiro ] # cd /etc # ls -al total 625 drwxr-xr-x 10 root wheel 2048 Feb 8 10:17 . drwxr-xr-x 17 root wheel 512 Feb 6 13:31 .. -rw-r--r-- 1 root wheel 1341 Feb 6 13:31 adduser.conf -rw-r--r-- 1 root wheel 1335 Feb 6 13:31 adduser.conf.bak -rw-r--r-- 1 root wheel 1233 Feb 6 22:13 aliases -rw-r--r-- 1 root wheel 32768 Feb 6 13:31 aliases.db -rw-r--r-- 1 root wheel 124 Feb 6 13:31 amd.map -rw-r--r-- 1 root wheel 960 Feb 6 13:31 crontab -rw-r--r-- 1 root wheel 104 Feb 6 13:31 csh.cshrc -rw-r--r-- 1 root wheel 585 Feb 6 13:31 csh.login -rw-r--r-- 1 root wheel 106 Feb 6 13:31 csh.logout -rw-r--r-- 1 root wheel 211 Feb 6 13:31 cvsupfile -rwxr-xr-x 1 root wheel 4227 Feb 6 13:31 daily -rwxr-xr-x 1 root wheel 10 Feb 6 13:31 daily.local -rw-r--r-- 1 root wheel 6413 Feb 6 13:31 disktab -rw-r--r-- 1 root wheel 474 Feb 6 13:31 dm.conf -rw-r--r-- 1 root wheel 0 Feb 6 13:31 dumpdates -rw-r--r-- 1 root wheel 248 Feb 6 13:31 fstab -rw-r--r-- 1 root wheel 184 Feb 6 13:31 ftpusers -rw-r--r-- 1 root wheel 5510 Feb 6 13:31 gettytab drwxr-xr-x 2 root wheel 512 Feb 6 13:31 gnats -rw-r--r-- 1 root wheel 489 Feb 6 13:31 group -rw-r--r-- 1 root wheel 444 Feb 6 13:31 group.bak -rw-r--r-- 1 root wheel 225 Feb 6 13:31 host.conf -rw-r--r-- 1 root wheel 137 Feb 6 13:31 hosts -rw-r--r-- 1 root wheel 102 Feb 6 13:31 hosts.equiv -rw-r--r-- 1 root wheel 95 Feb 6 13:31 hosts.lpd -r--r--r-- 1 root wheel 3504 Feb 6 13:31 inetd.conf -rw-r--r-- 1 root wheel 3040 Feb 6 13:31 inetd.conf.unwrapped drwxr-xr-x 2 root wheel 512 Feb 6 13:31 kerberosIV -rw-r--r-- 1 root wheel 21 Feb 6 13:31 krb.conf -rw-r--r-- 1 root wheel 637 Feb 6 13:31 krb.equiv -rw-r--r-- 1 root wheel 11 Feb 6 13:31 krb.realms -r--r--r-- 1 root wheel 860 Feb 6 13:31 localtime -rw-r--r-- 1 root wheel 594 Feb 6 13:31 locate.rc -rw-r--r-- 1 root wheel 1846 Feb 6 13:31 login.access -rw-r--r-- 1 root wheel 5453 Feb 6 13:31 login.conf -rw-r--r-- 1 root wheel 32768 Feb 6 13:31 login.conf.db drwxr-xr-x 2 root wheel 512 Feb 6 13:31 mail -rw-r--r-- 1 root wheel 106 Feb 6 13:31 mail.rc -rw-r--r-- 1 root wheel 7282 Feb 6 13:31 make.conf -rw-r--r-- 1 root wheel 838 Feb 6 13:31 manpath.config -rw-r--r-- 1 root wheel 838 Feb 6 13:31 manpath.config.sample -rw------- 1 root wheel 1652 Feb 6 13:31 master.passwd -rw-r--r-- 1 root wheel 1475 Feb 6 13:31 modems -rwxr-xr-x 1 root wheel 584 Feb 6 13:31 monthly -rwxr-xr-x 1 root wheel 203 Feb 6 13:31 monthly.local -rw-r--r-- 1 root wheel 273 Feb 9 16:07 motd drwxr-xr-x 2 root wheel 512 Feb 6 13:31 mtree drwxr-xr-x 2 root wheel 512 Feb 6 13:31 namedb -rwxr-xr-x 1 root wheel 676 Feb 6 13:31 netstart -rw-r--r-- 1 root wheel 361 Feb 6 13:31 networks -rw-r--r-- 1 root wheel 757 Feb 6 13:31 newsyslog.conf -rw-r--r-- 1 root wheel 1393 Feb 6 13:31 passwd -rw-r--r-- 1 root wheel 10855 Feb 6 13:31 pccard.conf.sample -rwxr-xr-x 1 root wheel 1053 Feb 6 13:31 pccard_ether -rw-r--r-- 1 root wheel 283 Feb 6 13:31 phones drwxr-xr-x 2 root wheel 512 Feb 6 13:31 ppp -rw-r--r-- 1 root wheel 1790 Feb 6 13:31 printcap -rw-r--r-- 1 root wheel 818 Feb 6 13:31 profile -rw-r--r-- 1 root wheel 1663 Feb 6 13:31 protocols -rw-r--r-- 1 root wheel 40960 Feb 6 13:31 pwd.db -rw-r--r-- 1 root wheel 8113 Feb 8 06:41 rc -rw-r--r-- 1 root wheel 8189 Feb 6 13:31 rc.conf -rw-r--r-- 1 root wheel 8120 Feb 6 13:31 rc.conf.previous -rw-r--r-- 1 root wheel 6053 Feb 6 13:31 rc.firewall -rw-r--r-- 1 root wheel 2668 Feb 6 13:31 rc.i386 -rw-r--r-- 1 root wheel 804 Feb 6 13:36 rc.local -rw-r--r-- 1 root wheel 7795 Feb 6 13:31 rc.network -rw-r--r-- 1 root wheel 378 Feb 6 13:31 rc.pccard -rw-r--r-- 1 root wheel 3373 Feb 6 13:31 rc.serial -rw-r--r-- 1 root wheel 1531 Feb 6 13:31 remote -rw-r--r-- 1 root wheel 71 Feb 6 13:31 resolv.conf -r-xr-xr-x 1 root wheel 12288 Feb 6 13:31 rmt -rw-r--r-- 1 root wheel 847 Feb 6 13:31 rpc -rw-r--r-- 1 root wheel 2351 Feb 6 13:31 security -rw-r--r-- 1 root wheel 25 Feb 6 13:31 sendmail.cR -rw-r--r-- 1 root wheel 30721 Feb 6 13:31 sendmail.cf -rw-r--r-- 1 root wheel 37 Feb 6 13:31 sendmail.cw -rw-r--r-- 1 root wheel 62030 Feb 6 13:31 services -rw-r--r-- 1 root wheel 181 Feb 6 13:31 shells -rw-r--r-- 1 root wheel 161 Feb 6 13:31 shells.bak drwxr-xr-x 2 root wheel 512 Feb 6 13:31 skel -rw-r--r-- 1 root wheel 886 Feb 6 13:31 skey.access -rw------- 1 root wheel 133 Feb 8 06:19 skeykeys -rw------- 1 root wheel 40960 Feb 6 13:31 spwd.db -rwxr-xr-x 1 root wheel 661 Feb 6 13:31 sshdchk -rw-r--r-- 1 root wheel 723 Feb 6 13:31 syslog.conf -r--r--r-- 1 root wheel 188104 Feb 6 13:31 termcap -rw-r--r-- 1 root wheel 6241 Feb 6 13:31 ttys drwxrwx--- 2 root wheel 512 Feb 6 13:31 uucp -rw-r--r-- 1 root wheel 0 Feb 6 13:31 wall_cmos_clock -rwxr-xr-x 1 root wheel 2106 Feb 6 13:31 weekly # [ Je je je, ahora estoy en el conocido /etc y veamos que hay por aqui. ] # exit koan% koan% exit logout Aqui acaba este pequeña incursion, bueno en realidad no acaba aqui, pero queda entre el server y yo ;-) Esto en realidad es un hack de andar por casa ya que ha sido facil, por lo que no tiene merito alguno, lo bonito es currarse tu propio exploit, cosa que yo no he hecho ya que estoy ocupado con otros trabajos :), y mantener el dominio por el tiempo posible. Este articulo es simplemente para daros una idea de como moverse por el sistema, aunque yo en este caso no he modificado nada de nada, ni siquiera los logs porque para el caso aqui el hack es legal ;-) Disculparme si esta entrega del curso os parece lamer, y puede que lo sea, pero seguro que alquien le sera util, ademas esto es solo para introduciros en esos juegos para los hackers y que mucha gente no sabe que existen. Byes all y hasta la vista !! CONDE VAMPIRO - J.J.F. / HACKERS TEAM - <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> EL IN-OFF-BIRRIA PUS Sospechas habituales. por el archikonocido: Seth "The Shamen". ------------------------------------------------------------------------------ 1. Que putes es aixo? 2. Sospechas (hipotesis) 3. Analisis 3.1 Cambios. 3.2 La primera conexion. 3.3 El acceso telefonico. 3.4 Funcionamiento 4. El punto final 1. Ke es aixo Ja t'ho he dit!!! Bueno, este documento, texto, parida, etc, es una investigacion con sus hipotesis de lo nuevo?? de infovia... si, si, eso llamado infovia plus (pus). Este texto va dedicado a akellos ke siguen trabajando en sistemas y hackers o acegeceadores que no saben como se lo van a montar, y para ello se van a rete, ono o uni2 ese. La verdad es ke necesitabamos un documento como este, pues a los hacers nos lo han puesto mas dificil y a los admin mucho mas facil. Por eso es conveniente realizar algunas pruebas y series de investigaciones. 2. Hipotesis: Kien ha dicho ke no se puede acegecear???. La verdad es ke internet va a seguir igual, telnet seguira igual, las paginas: seguramente se veran igual, las pajas nos las haremos igual, pero hay algo en el interior de la red ke no sera igual. Si, ellos son los ojos, los ojos del gran hermano ke nos estaran vigilando. Ahora es mucho mas chungo utilizar el metodo de seguridad, vale. Lo mas dificil de acegecear es nuestra seguridad, tal vez entrar o probar de entrar sea algo dificil, pero lo mas dificil es hacerrlo sin ke te pillen. Pues esto ahora se multiplica X5. No pretendo asustar, antes borrabamos huellas, haciamos callbacks, nos amagabamos con proxies, etc. Ahora solo podemos borrar nuestras huellas. Y es preciso ke lo hagamos, pues con el nuevo infovia y los nuevos nodos es mucho mas facil ke nos localicen nuestras lllamadas :( Explico: El nuevo infovia persiste en los nuevos nodos, antes con el 055 era llamada internacional y podria haber muchos puntos de partida de akella llamada amenazadora, ahora los nodos o nuevos cambios telefonicos son locales y basta saber el primer prefijo para saber desde donde coño estamos haciendo la llamada. Esto no mola tanto. Sigo. El nuevo 055 ya no rula y debemos llamar desde la provincia ke nos indica, pues si tenemos una cuenta acegeceada por ejemplo de arrakis de un cliente de Madrid y nosotros somos de Bilbao los admin se darian cuenta enseguida ke esa cuenta ha sido pillada por otro ke no es de Madrid, entonces el admin llama a ese cliente y le explica la situacion. Nuestra desesperacion es tal, como si un galapago fueramos atrapados por cazadores furtivos. Entonces, aplicamos el cuento, sabemos que el cliente de esa cuenta es de Madrid, y como sabemos ke kualkier nodo cuesta lo mismo a esa cuenta de Madrid llamamos al nodo de Madrid, y huala!!! Pos no, ke te crees? que eso iba a funcionar? te ekivokas, para ke sirve entonces las centralitas de timofonica? Ellos son muy listos y se daran cuenta de seguida que tu, de Bilbao estas llamando al acceso infovia del nodo de Madrid estando en otro lugar ke no te corresponde, entonces infovia te cuelga la llamada y si sigues haciendo esto te van a llamar la atencion. Entonces, kual es la solucion?.: a) Aplicarte el cuento, hacerte la idea ke tienes ke llamar a ese nodo ke te corresponde. b) Utiliza Linux, es la solucion. c) Cuando entres en un sistema utiliza un borrador de huellas. d) Hackear cuentas de tu localidad. Es lo unico que se me ocurre, aunke seguiremos estudiando y buscando los bugs de infovia. Ahora vamos a estudiar mas a fondo como es el nuevo plus. 3. Analisis. Ya hemos planteado algunas premisas y estamos tan habrientos de acegecear como el hambre de un leon a la hora de su caza a la liebre. ;) Vamos a explicar detenidamente como funciona todo esto. Infovia plus funciona como antes, pero con unos cambios ke realmente son muy significantes para nuestra seguridad. El primer cambio ke observamos es el cambio de telefonos: Antes, con el famoso 055 lo teniamos bien a mano, ahora con sus nuevos 140 nodos nos la jodieron, y entonces ke, nos tenemos ke empollar esos 140 nodos? No hombre, solo la de tu provincia. Bueno, cada localidad tiene un nodo diferente con un numero de telefono diferente, creo ke esto ya lo sabes, si no, ahora lo sabes. Timofonica te dice que va a seguir manteniendo la tarifa metropolitana, pero cuidado, en este aspecto de precios puede haber cambios. Vale, tb hay ke destacar ke akellas lokalidades ke no dispongan de nodo, la TTD ofrecera un numero de este formato: 901 5XX XXX. Me sigues? ;) LA PRIMERA CONEXION. Cuando conectamos por primera vez nos sorprende el programita (kit de acceso a infovia plus) con un mensajito muy simpatico el numero de un centro servidor. Ahora alerta. Si trabajamos con una cuenta ke no es nuestra empieza a empollarte todos los numeros que los servidores ofrecen. Si tu cuenta es de CTV, por ejemplo, y trabajas una de Arrakis, coño, cuidado. No te ekivoken ke pillan. Ahora el n# del servidor es un 900 353 209 (uy! un numero 900, te suena?). Esto es necesario introducirlo en el nuevo kit de acceso al pus ese, en las opciones, si. Estas tan despistado como un buho ke ve el horizonte el amanecer de primavera. Bueeeno, y ahora ke? Introduces akello del nuevo tlf del servidor, y luego se descarga de forma automatica la lista de nodos, y se selecciona akel ke mas nos pueda interesar. ;) EL ACCESO TELEFONICO. Bueno, aki me voy a centrar en akel programa tan famoso del ventanukos, si, si, akel llamado "Acceso Telefenico a Redes". Piensa en poner a la hora de llamar ese maldito nodo ke nos ofrecen. Ahora debes joderte un poco. Estas mas liado que un caracol comiendo una lechuga fresca con el rocio de la mañana. Es necesario activar el parametro para ke se usen contraseñas cifradas. Esto no lo digo yo, lo dicen akellos de la timo. Sera ke todavia no es muy seguro el nuevo plus y por eso nos meten lo de las contraseñas cifradas? Ke pillines, hemos encontrado el primer bug. XDDD Debe ser ke sera mas facil de meter sniffers por eso del control exhaustivo de la red en pekeños agrupamientos. jeje. FUNCIONAMIENTO. El proveedor de acceso debe contratar con telefonica el pakete de Emulacion Infovia + Acceso a internet (eso me suena a estafa, normal en la timofo). Bueno, entonces me pregunto: Y si pillamos la emulacion de infovia del servidor nuestro por ejemplo??. Eso es un paso enorme, pues tendremos mas ventajas para trucar nuestras llamadas. Otro bug. XDD (esto es una hipotesis, tal vez muy acertada). El acceso a internet da un acceso conmutado, esto es, indica con ke direccion IP registrada debe establecer la conexion. El usuario conmutado conecta con su nodo de acceso oidentificondose como siempre: usuario@proveedor y la clave de acceso. Este nodo de acceso envia esta info al CVCA que comprueba en su base de datos UE, si el proveedor tiene contratado el servicio Infovia plus Directo. El CVCA determina la direccion IP del servidor de tuneles del proveedor y ordena al servidor de comunicaciones (SC) del nodo de acceso que establezca un tunel con el servidor de tuneles del proveedor. El SC enruta el protocolo de entunelado correspondiente y establece el tunel. Me estais pillando por donde voy? Ahora explico como funciona, pero a base de esto estableced vuestras propias hipotesis ;) Sigo: El SC vuelve a enviar los datos de identificacion del usuarios, pero esta vez sera el proveedor donde esta el servidor RADIUS quien realizara la ident del usuario. Y yo me pregunto: Donde pongo el sniffer? En el server RADIUS o en el SC? Por supuesto en el SC , pero no pinteis fantasmas donde no hay, hay pocas posibilidades de ke esto lo consigais. No creeis que este procedimiento da mas vueltas ke un herizo de montaña cuando se siente amenazado? Esta es la oportunidad de pillar datos ke "circulan por al red". Solo hay ke saber el camino correcto. Bueno, hablemos ke es lo ke pasa con las IP's. Los paketes IP, una vez en el proveedor, enrutan la conexion permanente que provee el servicio UNO_IP Basico con la Red IP, se podran dirigir a otros ISPs con presencia en esa misma red. Pillais por donde voy? 4. EL PUNTO FINAL. Bueno, aki akabo con mis cuentos para no dormir. Doy agradicimientos a: National Geographic, por haberme emparanoiado con sus historias y parecerme a Aznan en la serie de " La casa de los lios". A Pepe, kien es Pepe?, ah! Me he eskivoscao de nombre. A mi novia (Anubis), por hacerme disfrutar cuando mas lo necesito. A mis papas, ke no se diga. A la organizacion Trax, ke kon ellos estoy y seguire estando para aprender y experimentar, etc. A la buena vida: Vino y mujeres. Y por supuesto, a vosotros, akellos ke kreen ke pueden ser el futuro del underground y ke se da por supuesto ke entre nosotros formamos una gran hermandad. Si kieren escribirme para comentar algo razonable, podeis hacerlo en: chuky666@hotmail.com Seth "The Shamen". 1998 Dic. <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> **************************** * COMO QUITARSE DE ENCIMA * * EL TROYANO DEL * * BACK ORIFICE v1.20 * **************************** Bien, en este articulo voy a explicar algunas cosas interesantes experimentadas por mi mismo con el programa BO (Back Orifice). Este programa ofrece unas grandiosas posibilidades, pero tambien es vulnerable (como todo, je). Consta de una parte que es el SERVER (servidor) ;), y otra que es el CLIENT (cliente), asi que cuando alguien tiene instalado el SERVER en su maquina, esta puede ser vista por cualquier otra maquina que haya en inet sabiendo su IP. (y si tiene la contraseña por defecto). Una vez que se tiene contacto con la maquina que tiene el SERVER instalado, el CLIENT puede hacer mazo de cosas, lo mejor es que leas el documento que suele venir con el programa y veras sus posibilidades. (Esta en ingles pero circulan por hay algunos en español). ****************************************************************************** Bueno todo esto ha sido una pequeña explicacion a grandes rasgos de lo que es este programa. Ahora viene la jodienda: Muchas personas estan propagando por inet el programa SERVER de diversas maneras (lo mas extendido es por el IRC). Y aqui entra en papel el ignorante internauta que se dedica a ejecutarlo en su maquina creyendo que que es un autoextractor de fotos X :). Una vez ejecutado ¡SORPRESA!, el archivo desaparece ¿?¿?¿? otia ¿?¿?¿?, y la pobre victima piensa, (bah, me habra llegado defectuoso el archivo), y no le da importancia. Si, pues chaval FELICIDADES acabas de meter un troyano en tu sistema :), cualquiera que sepa tu IP podra hacer en tu PCera casi lo que le de la gana. Tas cubierto de gloria :)) (mas bien de mierda que OTROS te han tirao encima). Pos ahora te voy a decir los pasos que hace el troyano al ejecutarse: Pa que lo pilles rapido, el archivo se mueve del directorio donde esta y va a parar al directorio :\windows\system convertido en (espacio).exe y ademas en el editor registros (REGEDIT), carpeta RunServices (puede ser que este en otra carpeta) se incorpora la siguiente linea en DATOS: "(espacio).exe", para que nada mas arrancar el ventanucos el troyano quede en memoria. Y diras bah, pos entonces borro el archivo (espacio).exe y yasta. Si hijo si, prueba y veras, ni flowers, al tenerlo en memoria no deja borrarlo. Y entonces??, a jodese jejeje. NO, TRANQUILO HAY UNA SOLUCION (por lo menos a mi me va). Pero eso te lo dire mas adelante, ahora sigue leyendo.... ¿Como puedo saber si tengo el troyano en el sistema? ---------------------------------------------------- La manera mas facil que hay es utilizar el programa CLIENT (cliente) apuntando a la direccion IP 127.0.0.1 que es tu propia maquina, no se precisa que estes conectado a inet. Cuando ya hallas apuntado a esta IP, desde el cliente de BO manda un PING, si no te responde nada, vale estas limpio y no tienes el troyano, pero si te pone algo como esto: ------- Packet received from 127.0.0.1 port 31337 ------- !PONG!1.20!DEFAULT! ------- End of data ------- Opssss, estas jodio, tan colao el troyano... ****************************************************************************** Nota: Si no lo tienes en el sistema puedes metertelo y probar las maravillas y putadas que te pueden hacer los demas (haciendotelas a ti mismo) ;) y sin ningun peligro al no estar conectado a inet. ****************************************************************************** Vale lo tengo y estoy muy asustao ¿como coño me lo quito? --------------------------------------------------------- Puede que algunos ya lo hallais descubierto, para mi fue facil, la verdad. Ya sabemos que al ejecutar el archivo del SERVER, este se convierte en (espacio).exe y va a parar al directorio :\windows\system. (OJO, hay una manera de configurar este nombre y es posible que no siempre el troyano sea el (espacio).exe) Vale, como he dicho antes si intentas borrarlo, nanai, por que ya esta en memoria, asi que lo mas normal es pensar que puede haber una linea donde hace que se ejecute el troyano en el archivo SYSTEM.INI o WIN.INI al iniciar el ventanucos. Pos fui a buscarlo por alli y NOP nada de nada, lo siguiente que pense es buscarlo en el editor de registros (REGEDIT), pos palli voy, en el menu pincho: EDICION/BUSCAR/ pongo (espacio).exe y activo CLAVES, VALORES y DATOS y ¡TACHAN! en una carpeta llamada RunServices (sigo diciendo que puede estar en otra carpeta) aparece en DATOS el nombre del archivito ¡YA LO TENEMOS! solo queda eliminar la linea de DATOS para ello pincha donde pone el NOMBRE (suele ser (predeterminado)) y eliminalo, (la carpeta no la borres) una vez eliminado ya puedes cerrar la ventana del editor de registros (Nota: es posible que en la busqueda aparezcan mas (espacio).exe pero solo debes borrar el de la carpeta RunServices o otras en las que pueda estar y sepas que es la que carga el troyano). Con todo esto hemos conseguido que la proxima vez que iniciemos el ventanucos no se cargue en memoria el troyano, con lo que ya podras ir al directorio :windows\system y borrar el archivo (espacio).exe (no lo vuelvas a ejecutar o se te metera otra vez en el registro). Y por fin te has librado del troyano. Creo que hay algunas formas de detectarlo o borrarlo mediante programas que circulan por inet pero con lo que os he explicado aqui creo que vale NO? Pues espero que os halla servido de ayuda este documento y cuidado con lo que metis en vuestras maquinas ;) (Si alguien quiere hacer alguna correcion o añadir algo que me lo comunique por mail, THX) Un saludo. --- ToMaCHeLi --- http://members.tripod.com/~tomacheli tomacheli@geocities.com <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> ****************************************************************** ** ** ** Instalando Bots en el IRC ** ** ** ****************************************************************** Lo primero feliz año nuevo a todos/as ;). En este texto voy a intentar explicar como instalar y configurar un bot permanente en el irc, es decir, que este las 24 horas del dia, 365 dias al año. Para eso me voy a basar en el eggdrop 1.2.0, que es un bot de unix muy bueno. El codigo fuente lo podeis bajar de la pagina del canal #hacker_novatos: http://hello.to/hacker_novatos, seccion Archivos. Pues bien, como iba diciendo, el eggdrop es un bot programado en C pero que emplea el lenguaje TCL. Es un bot muy usado, por ejemplo en undernet. En el irc-hispano segun me han dicho Scytale es un eggdrop modificado y traducido por Goku. Pues bien, pasemos ya a los requisitos que necesita un sistema para tener un eggdrop. 1.- Requisitos: . Necesitas tener una cuenta en algun sistema Unix, que permita hacer ftps, y que no te anden matando el proceso cada poco. Para esto ultimo puedes usar tu imaginacion o usar alguna shell gratuita, etc. . Que el sistema permita compilar con el GCC. . Que este el TCL, version 7.4 o superior, instalado en la makina. Pues bien, una vez que ya tengas todo lo necesario tendras que subir el codigo fuente del eggdrop (eggdrop1.2.0.tgz) al servidor, por ftp por ejemplo. Si la makina tiene el puerto 21 cerrado haces un ftp a tu ordenata y lo bajas, si el comando ftp esta desactivado mejor buscate otra cuenta :). Una vez que tengas el fichero en el servidor, haces un telnet y lo descomprimes poniendo lo siguiente: "gzip -dr eggdrop1.2.0.tgz;tar -xf eggdrop1.2.0.tar". Se te creara un directorio con el nombre eggdrop1.2.0 (Ya se que lo estoy explicando todo, perdonenme los que controlan un poco de unix ;). Bueno, pues entras a ese directorio y pones "./configure" para que cree los archivos necesarios para la compilacion. Despues de que acabe pones "make" para compilarlo (todo esto sin las comillas claro). Bueno, si todo ha ido bien se te creara un ejecutable llamado eggdrop. Tb habra un archivo de configuracion llamado eggdrop.conf, renombralo a otro nombre mas comodo, como por ejemplo conf a secas (mv eggdrop.conf conf), y le das permiso de ejecucion con chmod +x conf. En la version 1.2.0 hay un bug en la instalacion, y es que los modulos tendrian que estar en el directorio modules, para corregirlo creas un link con "ln -s . modules", estando en el directorio donde esta el binario eggdrop. Pues bien, ahora vamos a ver el fichero de configuracion. 2.- Fichero de configuracion. Si hiciste lo que dije antes el fichero se llamara conf, lo editas con tu editor favorito (vi por ejemplo). La primera linea sera algo parecido a: #!/path/to/eggdrop, ahi tendras que poner la ruta completa al ejecutable eggdrop, por ejemplo #!/home/pepe/eggdrop1.2.0/eggdrop. Luego viene el apartado General Stuff. 2.1.- General Stuff. Vayamos linea por linea (Las que no sean importantes las saltare de comentar). set nick "Lamestbot" --> Aqui esta el nick que tendra el bot en el irc set altnick "Llamabot" --> Nick que tendra si el primero esta ocupado set username "lamest" --> Informacion que saldra al hacerle un whois set realname "/msg LamestBot hello" --> Informacion que saldra al hacerle un whois set admin "Lamer <email: lamer@lamest.lame.org>" --> Nombre y email del ad- ministrador del bot set learn-users 1 --> Lo comentare mas adelante, dejarlo en 1. set servers { --> Aqui hay que poner la lista de servidores a la que se conectara el bot, si uno falla salta al siguiente, y asi. irc.arrakis.es:6667 irc.jet.es:6667 } Al final de este apartado viene lo de los versions, userinfos,etc. Aqui podeis poner algo de este tipo, para que pase desapercibido. # several variables exist to better blend your egg in. they are # ctcp-version, ctcp-finger, and ctcp-userinfo. you can use set # to set them to values you like. set ctcp-version "Mirc 5.41" set ctcp-finger "Mirc 5.41" set ctcp-userinfo "Mirc 5.41" 2.2.- Channel Protection. Aqui es donde se le indican los canales a los que entrar, las opciones ,etc. Al principio por defecto estaran los canales #botcentral y #lamest. Para borrarlos borra estas lineas: channel add #lamest { chanmode "+nt-likm" idle-kick 0 -- need-op { putserv "PRIVMSG #lamest :op me please!" } l need-invite { putserv "PRIVMSG #lamest :let me in!" } l Todo esto es lo need-key { putserv "PRIVMSG #lamest :let me in!" } l que dira en el need-unban { putserv "PRIVMSG #lamest :let me in!" } l irc si necesita need-limit { putserv "PRIVMSG #lamest :let me in!" } l op, una key, etc. } -- channel add #botcentral { chanmode "+mntisl 1" idle-kick 1 } channel set #botcentral +bitch +clearbans +enforcebans -greet +revenge Y tendras que comentar con un "#", todas estas: channel set #lamest -clearbans channel set #lamest +enforcebans channel set #lamest +dynamicbans channel set #lamest +userbans channel set #lamest +autoop channel set #lamest -bitch channel set #lamest +greet channel set #lamest +protectops channel set #lamest +statuslog channel set #lamest +stopnethack channel set #lamest +revenge channel set #lamest -secret channel set #lamest -shared Pues bien, ahora que ya esto todo limpio vamos a crear nuestro canal. Imaginemos que nuestro canal se llama #micanal, y que queremos que el bot este todo el dia en ese canal. Lo primero sera añadir al fichero algo como esto: channel add #micanal { chanmode "+nt-likm" idle-kick 0 } No importa donde lo añadamos, siempre que es en la seccion de Channel Protection. Lo del chanmode es los modos que queremos que tenga el canal. Una vez que este creado el canal habra que añadirle las opciones que son todas estas: .clearbans: Quita todos los bans cuando el bot entra al canal .enforcebans: Si por ejemplo alguien banea a una persona, el bot le kickea automaticamente. .dynamicbans: Guardar que la lista de bans no sea demasiado larga, por ejemplo, quita bans de gente que no estan en el canal y si vuelven a enles pone el ban otra vez. .userbans: Permite poner bans directamente (sin ser a traves del bot). .autoop: Les da op a los que tienen el flag +o automaticamente al entrar al canal. .bitch: Solo los usuarios registrados en el bot con el flag +o pueden tener op. .greet: Dice el user's info de un usuario cuando entra al canal. .protectops: Si alguien con el flag +o pierde el op, se lo vuelve a dar. .statuslog: Logea el status del canal cada 5 minutos. .stopnethack: Si alguien entra con op al canal, por ejemplo de un netsplit, el bot se lo quita. .revenge: Si alguien le quita el op al bot, y luego lo recupera, le baneara del canal. .secret: El canal sera secreto. .shared: Esto no se lo que es XD. Una vez que tengas elegidas las opciones las declaras con una linea de este tipo: channel set #micanal +bitch +clearbans +enforcebans -greet +revenge, poniendo tu las opciones que quieras claro. Luego ya viene las opciones de Logs, que lo configuras a tu gusto, y de directorios y de File system, que sirve para hacer una especie de ftp con el bot, que si quieres usarlo pues investigas :) (este texto solo explica lo basico). 2.3.- Startup, Modules y BotNet. En el apartado Startup tendras que comentar(#) la linea que pone: dice "Please edit your config file." , por razones obvias :). En el apartado de los Modulos pues lo dejas como esta. Y en el de botnet hay una opcion que pone listen 3333 all, asi si por ejemplo el bot esta instalado en makina.com, y haces un telnet a makina.com al puerto 3333 pues podras manejar el bot igual que si estuvieras en el irc. 3.- Arrancando el bot por primera vez. Por fin! :D, una vez que ya esta todo configurado arrancaras el bot con el comando ./conf -m. Si todo va bien se conectara al irc y entrara al canal #micanal. La primera vez que arranca es especial, ya que el que le haga un query y le ponga la palabra "hello" pasara a ser el dueño del bot, asi que ya sabes.. a poner hello :). Una vez que lo hayas puesto el bot te dira que elijas un password, lo eliges. Una vez que ya esta todo matas el proceso del bot, la pid la guarda en un fichero llamado pid.conf o algo asi. Despues editas de nuevo el fichero conf y buscas la linea set learn-users 1, y lo cambias por 0. Esta linea lo que hace es habilitar lo del hello, y ahora que ya eres el dueño pues la desactivas :). Para arrancar el bot otra vez pones ./conf simplemente, lo del -m solo hace falta la primera vez. 4.- Manejando el bot desde el IRC. Pues hala, ahora que ya ta todo toca manejarlo, añadir usuarios, etc. Hay varios tipos de usuarios por defecto, el +n sera el owner del bot (el jefe), y podra ejecutar todos los comandos, asi como cambiar la configuracion. El siguiente sera el master +m, que podra ejecutar casi todos los comandos, añadir usuarios,etc., el op +o, es el que puede pedir op al bot, y este se lo dara, pero no puede ni añadir usuarios, ni nada. Para manejar el bot hay varios caminos, esta el query para usuarios normales (+o), ya que tiene muy pocos comandos, y el dcc, que trae muuchos mas comandos y que es para el +m y el +n. (Tb esta el telnet, pero es igual que el dcc). Para el dcc le haces un dcc chat normal al bot, lo que pasa que una vez dentro es una especie de partyline con los otros usuarios conectados al bot, por lo que los comandos siempre iran precedidos de un punto,ej: .help,.kick,etc. Con .help comando aparace una ayuda mas detallada del comando en cuestion. Aqui pongo una lista de comandos sacados de un articulo muy bueno de Axl. Comandos de uso Comun: op |nick| : Da op al Nick indicado. deop |nick| : Quita op. +ban |nick| : Banea a Nick. bans : Nos muestra la lista de Bans en el canal. -ban |ban_num| : Unbanea el numero de ban indicado. who : Muestra la gente conectada al Bot. bottree : Muestra el ßrbol de Bots. note |nick| #comentario# : Le escribe a Nick una nota. notes read : Lee las notas que te han escrito. notes erase : Borra todas tus notas. newpass : Cambia tu password. kick |nick| : Echa del canal a Nick. kickban |nick| : Echa y Banea a Nick. info #comentario# : Guarda tu comentario y lo dice cada vez que entras en el canal. Comandos para el Mantenimiento (solo para +m) chattr |nick| +/-flags : Cambia el status del usuario en el Bot, Ej: ".chattr tDyK +n" hace que el user tDyK pase a ser owner del Bot. adduser |nick| Hace que Nick sea usuario del Bot, por defecto sin privilegios. El Usuario ha de estar en el Canal. set |setting| flag : Cambia alguno de los sets internos del Bot. Si no ponemos el flag nos muestra el que tenga. Ej: ".set log-time 0" save : Guarda los cambios (de settings, de usuarios...) que hayamos hecho en el Bot. Por defecto guarda estos cambios cada hora. boot |user| : Echa a User del party line del Bot. status : Muestra el estado actual del Bot. dccstat : Muestra las conexiones via DCC que tiene el Bot actualmente. rehash : Vuelve a cargar el fichero de configuraci=n die : "Mata" al Bot. Solo +n jump : Hace que el Bot salte al siguiente Server en la lista de servers. Si tanto comando te lia, para añadir un usuario al bot, haz simplemente esto: hazle un dcc chat al bot, una vez dentro pones .match * para ver todos los usuarios que hay registrados en el bot, si por ejemplo quieres añadir a uno con el nick JUAN, pones .adduser JUAN, y luego .chattr +o JUAN. Ya esta, ahora JUAN debe hacer esto otro: hacerle un query al bot y poner: pass miclave, la clave pone la que quiera claro. Luego para que el bot le de op le hace un query y pone op miclave. Como al principio el bot solo guarda una mask de JUAN, si este entra un dia con una mask distinta el bot no le reconocera, para añadir la nueva mask debe poner ident miclave, y luego ya op miclave. Nota: Para añadir a alguien el usuario debe estar en ese momento en el canal. Nota: Todos los passwords estaran encriptados, de forma que ni el administrador sabra que clave eligen los usuarios. 5.- Formas de caskar un eggdrop. Hay varias formas de colgar un eggdrop, la mayoria son sobreescribiendo un buffer, armando un lio impresionante que el sistema no es capaz de arreglar. 5.1.- Note command: el comando .note sirve para mandar una especie de mails entre los usuarios del egg. Pues bien, si alguien hace un .note aaaaaaa(bastantes a's)@dummy, el bot se cuelga. 5.2.- Ban command: lo mismo pero con el comando +ban; .+ban aaaaaaa... 5.3.- Jump command: .jump irc.arrakis.es 6667 aaaaaaaaaaaaaa... 5.4.- Mkdir command: .mkdir aaaaaaaaaaaaa... funciona aunque no tengas permiso para crear directorios. 6.- Despedida. Pues venga, ya me voy. El articulo es un poco basico, pero es que el eggdrop es muy amplio, tendras que investigar lo que keda por tu cuenta ;). Hala, un saludo a toda la peña del #hacker_novatos, en especial a Sp4rk, ulan, kr0n0, RiSeHack, ^NewBie^, Freedom, Asturcon y a Conde Vampiro ;). Ah, y un saludo a mi novia. Byes. Nota: Ya se que el articulo se sale un poco de lo que es el hack en si, pero crei que podria ser util a alguien. PoSiDoN hacker_novatos@hello.to http://hello.to/hacker_novatos <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> |\/|-----------------------------|\/| <Ingenieria Inversa en PSION Serie 3> |\/|-----------------------------|\/| Me he dedicido a escribir este articulo por 2 motivos principalmente, que son los siguientes: 1- Para que aprendais ingenieria inversa. 2- Para hablar sobre esta maquina, la Psion Serie 3 (en mi caso, aquellos que me conozcan saben que adoro mi modelo 3c) y ademas tambien un vistazo a su lenguage parecido al Basic llamado OPL. Todavia no he visto en ningun medio tanto electronico como en papel, que haya tocado este tema de esta forma ;-) Ademas la ingenieria inversa es una parte muy importante para todo hacker que se precie, si realmente quiere aprender algo. ADVIERTO QUE ESTE ARTICULO ES SOLO PARA FINES EDUCACIONALES, EN NIGUN MOMENTO SE PRETENDE ENSEñAR A LA PIRATERIA INFORMATICA. Como ya he dicho yo tengo el modelo 3c, la serie 3 tiene el s.o. conocido EPOC16 (logicamente 16 bit), aunque la marca Psion hace ya tiempo saco su serie 5 con EPOC32, la cual tambien es una fantastica maquina (si alquien no sabe de que estoy hablando, los Psion Serie 3 y 5 son PDA, eson pequeños ordenadores de mano con los que se pueden hacer maravillas, desde guardar nuestros datos, procesador de textos, hoja de calculos, enviar mails y muchas mas cosas ... Date una vuelta por http://www.psion.com Empezamos por lo mas basico, como ya he dicho la Serie 3 tiene un lenguage conocido como OPL, es realmente util, potente y como ventaja es el unico lenguage en el cual podemos desarrollar directamente en el Psion sin la ayuda de un PC. El Psion Serie 3 cuenta con varios lenguages como C (conocido como SIBO) o incluso podemos conseguir en Internet un compilador ASM de la familia 8086. La Serie 5 es compatible con C++ y se esta trabajando para que tambien sea compatible con Java. Bien, imaginemos que estamos escribiendo un programa en OPL, yo para este articulo he escrito una pequeña calculadora con las tipicas operaciones ademas os sera muy util para familiarizaros con la programacion en OPL. Aqui esta la pequeña calcu :) ------------ Codigo Fuente --------------------------------------------------- REM Calcu.opl REM REM Conde Vampiro REM - J.J.F. / Hackers Team - REM 17/1/99 REM Todos los derechos reservados por - J.J.F. / Hackers Team -. 1999. REM REM Calculadora basica para Psion Serie 3. PROC calcu: REM Como el Main en C. GLOBAL num1%,num2%,total% REM Declarando variables. LOCAL opto$(1) REM " " PRINT "Introduce 1 numero:" REM Imprime en pantalla. INPUT num1% REM Para introducir datos. PRINT "Introduce 2 numero:" INPUT num2% PRINT "Introduce un signo +,-,*,/:" INPUT opto$ IF opto$="+" REM Condicional IF. sum: REM Llama al procedimiento sum ELSEIF opto$="-" res: REM " " " res ELSEIF opto$="*" mul: REM " " " mul ELSEIF opto$="/" div: REM " " " div ELSE GET REM Espera a que se pulse una ENDIF REM tecla para finalizar. ENDP PROC sum: REM Procedimiento suma. total%=num1%+num2% REM Realiza una suma. PRINT total% REM Imprime el resultado. GET REM Finaliza programa. ENDP PROC res: total%=num1%-num2% PRINT total% GET ENDP PROC mul: total%=num1%*num2% PRINT total% GET ENDP PROC div: total%=num1%/num2% PRINT total% GET ENDP ------------ FIN ------------------------------------------------------------- No os podeis quejar, os he dejado bastante comentado el programa para que no tengais ningun problema con el lenguage OPL, que quede constancia que este articulo es para daros base en la ingenieria inversa sin importar la plataforma. Ahora que ya tenemos escrito nuestro programa lo compilamos, aunque realmente lo estamos "traduciendo" para que la maquina lo pueda entender. Cuando escribimos un programa la extension del fichero en codigo fuente es .opl y cuando es traducido que lo podemos hacer de 2 formas, quedara como .opo (para programas) y .opa (para aplicaciones). Cuando digo que lo podemos traducir de 2 formas, es que podemos traducir en exclusiva para el modelo 3c o para cualquier modelo 3. Para los que estan algo despistados, aqui pongo una lista de lo que necesitamos: - Un Psion (modelo 3 preferiblemente) - Un Pc - El cable y software de conexion entre PC y Psion. - Programa REVTRAN 4.2/4.2a (Para descompilar) - HEXVIEW v.1.00 (Hexaeditor) - Y muchas ganas de aprender ;-) Hasta aqui todo claro. Ahora debemos pasar el programa RevTran (que tambien esta escrito en OPL) al Psion usando el software de conexion. Llegados a este punto, creamos un directorio en el Psion llamado \APP y alli metemos los programas que queremos descompilar, este es el directorio por defecto del RevTran, alli tambien debemos meter el fichero RevTran.tbl que acompaña al Rvtrn3.opa (ejecutable) En mi caso he metido mi programa calculadora en el directorio donde vamos a trabajar \APP. Ahora ejecutamos el Rvtrn3.opa y nos saldra una ventana en nuestra pantalla del Psion el la cual pone el nombre del programa, version, autor, etc ... le damos a Enter, y nos encontramos con otra ventana con un menu que pone: Open File, About, Exit. A nosotros nos interesa la primera opcion, la escogemos. Nos saldra otra ventana para escoger el fichero que queremos abir, aqui escogo Program.opo (mi calculadora, que esta compilada) y saldra otra ventana con el menu que nos interesa, con las siguientes opciones: #Write OPL: Para descompliar el programa a codigo fuente OPL. #Show File Details: Muestra diversa informacion del ejecutable. #Open Another File: Por si queremos cambiar de ejecutable. #About: Informacion sobre el programa RevTran. #Exit: Para salir del programa RevTran. Escojo la opcion Show File Details para que me muestra la informacion de mi calculadora y sale lo siguiente: ============ Input File Details: File type: S3 OPO <- Ejecutable para Serie 3 Pathname: LOC::M:\APP\PROGRAM.OPO <- Programa ejecutable Main PROC: Calcu: (1 of 5) <- Numero de procedimientos Original OPL: LOC::M:\OPL\PROGRAM.OPL <- Nombre original Translator version: 1.10F Required RTI version: 1.10F ============ Podemos ver que funciona de maravilla, basta que repasemos el codigo fuente y comparemos con el resultado. Ya conocemos la informacion que nos sera necesaria, ahora le damos a Write OPL, para comenzar a descompliar. Nos saldra otra ventana con lo siguiente: ============ File: Rtprogram.opl <- Como queremos llamar al fichero descompliado Disk: Internal <- Donde se haya el ejecutable, aqui en el HD M: Module type: OPO <- Tipo de ejecutable OPO u OPA Text features First PROC 1 Last PROC 5 ============ Le damos a Enter y veremos una ventana en la cual se comienza a descompilar el programa, para mi calculadora ha tardado 2 segundos +o-, logicamente los programas en Psion son muy pequeños, pero no por ellos malos, todo lo contrario ;-) Ahora ya esta descompilado y nos saldra el menu de Write OPL, Show File Details, Open Another File, About y Exit, como ya no quiero descompliar ningun progama mas elijo Exit. Y ya tenemos el fichero descompilido en el directorip \OPL (Aqui es donde se guardan el codigo fuente de los programas.) Podemos ver gran parte del codigo fuente si ejecutamos, por ejemplo el hexaeditor, el cual nos sera muy util para aplicar ingenieria inversa. Conviene que jugemos un ratito con el hexaeditor para cojerle el truco y luego nos sera de gran utilidad. Como hemos visto es realmente facil romper la seguridad de un programa escrito en OPL, pero tranquilos que existe otro programa llamado ReverseMeNot 1.0, para impedir que se pueda aplicar la ingenieria inversa tambien es gratis y disponible por Internet :) Si queremos escribir aplicaciones para Psion en OPL, debemos tener cuidado de no meter password, numeros de visas o informacion privada sin proteger correctamente nuestro programa, lo mas aconsajable es utilizar algun software que proteja nuestro codigo mediante encriptacion y ademas usar tecnicas anti-debuging. Bueno ya solo me queda decir unas cuantas cosillas, primero que existen varios emuladores Psion 3a para el PC, que yo sepa solo para Windows aunque existen varios programas en Linux para trabajar con el Psion. Incluso se esta desarrollando el proyecto PsiStack, para montar TCP/IP encima de la Serie 3. Todo esto lo podemos buscar por Internet mediante los buscadores. Por otro lado esto a sido una pequeña introduccion a la ingenieria inversa, aunque para este articulo he utilizado una plataforma poca conocida, es simplemente para daros base y poder aplicarselo al Linux o NT, utilizando herramientas especiales, hexaeditores, etc... Mi consejo, es que busques un emulador de Psion para el PC y aprendas algo nuevo y despues OPL, etc ... Y ahora me diras y para que ??? Pues simplemente por aprender, quien sabe si algun dia las maquinas Psion seran un estandar :) Byes all y hasta la vista !! CONDE VAMPIRO - J.J.F. / HACKERS TEAM - <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> /=====================\ <>ATAQUE INDIRECTO A NTFS<> \=====================/ Bueno compañeros, he decidido despues de algun tiempo escribir algo, quizas no sea muy grande, pero seguro que es mejor que nada, seguir asi... Un calambre para J.J.F. HACKERS TEAM ATAQUE INDIRECTO A NTFS Por Perro Bombardero. /H/P Bueno chavales "como diria Torrente", primero me presentare en sociedad, soy Perro Bombardero, un "Hack" o algo asi, la verdad es que me obsesiona la seguridad de los sistemas, los sistemas, los ordenadores, los servidores y toda puta maquina que tenga algo electronico dentro... Ya decia mi madre cuando era pequeño, este chaval no deja un juguete entero, siempre quiere ver que tiene dentro... Aclaracion: Ni soy escritor, ni redactor y ademas escribo con faltas de ortografia, lo siento. Este articulo es de nivel basico o sea que quizas no aprendas nada nuevo o quizas si, de todas formas seguro que hay a quien si le sirva de algo. Ni que decir tiene, que este articulo es de sumo interes educativo y que no debe usarse con fines maleficos o delictivos y todas esas cosas... Aqui esta la historia de un desengaño: Cuando consegui el ventanukos NT 4.0. Dije, ¡esto es la leche!, claro comparandolo con ventanukos 95/98 es la leche. Estaba en la biblioteca de la Uni. conversando con un amigo sobre mis sensaciones usando NT. Puesta en escena: Dos amigos en la biblioteca con libros de seguridad en redes abiertos y deborandolos a bocados. - Perro Bomb. He formateado el disco con NTFS, ahora mis archivos no pueden ser vistos por nadie desde el DOS, es mas, DOS ni siquiera ve la particion del NT. - Trancos. Pues aqui pone que hay un programa que se llama Ntfsdos que cargandolo sobre MS-DOS te permite ver las particiones y copiar archivos. - Perro Bomb. Se estudiara. Aqui estan los resultados: Cierto, el programa se llama Ntfsdos, y permite realizar lo comentado. En la red he encontrado dos versiones una un poco caca, solo permite ver algunos directorios, no precisamente los interesantes :-(. El otro si que permite ver todo, todo, todo... Se llama igual Ntfsdos y le acompaña Ntfshlp.vxd. Bueno y la pregunta del millon, para que me sirve todo esto, pues chaval "o chavalita" esta claro para espiar. Puedo robar todos los archivos que quiera. Quizas el mas interesante sea sam. tiene todas las password del sistema. Como realizar el ataque a un sistema NT, con acceso fisico. 1º Realizar un disco PATA-NEGRA de arranque DOS "cualquier soporte", no debe faltar: - Archivos basicos de arranque command.com, Msdos.sys... - Editor del dos - Attrib - Ntfsdos, Ntfshlp.vxd - Delpart - Cualquier aplicacion que nos facilite la labor... :-) Pregunta, ¿Porque necesitamos un disco de arranque? Porque, alguien sabe decir el porque, no!, bueno os lo dire, ventanukos NT tiene algunas cosas buenas o malas segun se mire. Una de ellas es que no deja acceder a las aplicaciones de forma directa al hardware. Esto impide que muchos programas puedan actuar, a pesar de poseer una consola de MS-DOS chula, bastante chula "a mi entender", no podran hacer nada. Hay que evitar la carga de NT. 2º El sistema que queremos burlar debe tener una disquetera de 1,44", un Zip un CD-ROM, lo que sea pero que te permita arrancar el sistema antes de comenzar la carga del sistema operativo "osea, que este activa en la BIOS una opcion de arranque distinta a C ONLY". Si el sistema no nos permite el auto arranque con ninguna unidad salvo un H.D. estamos levemente jodidos. Si esta opcion esta activa lo mas seguro es que el acceso a la BIOS tenga password, si es asi estamos bastante jodidos. En este punto entra en juego nuestra mente. Opcion 1 "No tenemos cuenta alguna para acceder al sistema": Nuestro objetivo es borrar el password del BIOS para ello debemos abrir la carcasa, quitar la pila que mantiene la BIOS, en su defecto, cortocircuitarla a lo bestia o utilizar los terminales apropiados que tiene la placa para esto. Si la placa tiene memoria FLASH "no pierde la informacion a pesar de no tener alimentacion, debe poseer unos terminales cerca de la pila para poder borrarla". El inconveniente de este sistema es claro, quien puede abrir el ordenador y ponerse de maniobras eh!!! Ademas el administrador o propietario del equipo se dara cuenta de que su sistema a sido abierto, su password a desaparecido del BIOS y la configuracion original a cambiado. La solucion seria poner otro password y el tio cuando intente entrar que se joda, jijijiji seguro que se pone }:-o> en fin, que dura es la vida. Pero que no se os olvide poner C ONLY, igual asi piensa que se le ha ido la olla al BIOS. Otro problema que podria presentar el sistema que violamos levantando la carcasa del ordenador, es que posea una SMART BOARD. ¿El que? Si hombre si, una placa inteligente, no os preocupeis os hartareis de comer el palabro SMART "SMART CARD, SMART ENGINE..." Estas placas posen algun fototransistor o fotodiodo que detecta variaciones de luz, y cuando quitas la carcasa del ordenador estando encendido "logicamente" este avisa al administrador de red, siempre y cuando posea el software adecuado. Joder, pero quien abre el ordenador estando encendido, eso digo yo, ¿quien? Teneis que tener en cuenta que ademas de avisar de esto el ordenador, avisa que esta encendido, si se apaga el administrador puede presentarse alli y preguntar por que esta apagado el ordenador. Bueno esto es un poco rayante, pero hay empresas en que controlan todo, todo, todo. Osea cuando entras a mear, tomas el cafe etc... Un sistema de SMART CARD que controla todo el edificio, como os decia hasta la puerta del retrete... Perez este año ha pasado 69h en el retrete, esta despedido por escaqueo... Opcion 2 "Tenemos cuenta en NT o el sistema tiene mas de un S.O.: Si el ordenador esta conectado en red "LAN o Internet, o tenemos correo electronico." podremos llevar algun programa hasta la maquina que nos permita saber la password del BIOS, el mayor problema es que estos programas no suelen funcionar sobre NT, al acceder de forma directa al hardware. Bueno que tendremos que buscar uno de los buenos, para NT. Pero quien coño hace programas para NT. Si tenemos arranque multiple y podemos cargar win95/98 u DOS, pues mejor, pero sera muy dificil que suceda esto. Si conseguimos la password pues nada, arrancamos el sistema, permitimos el arranque con disco, activamos la disquetera, la opcion de poder escribir en disco de 1,44 etc... Opcion 3 "Joder, pero si yo trabajo en un terminal sin disquetera, ni CD ni Na de Na": En este caso, estas muy fastidiao, pero que muy fastidiao, tendras que usar la red para llevar hasta ti los programas, pero si no tienes DOS o ventanukos 95/98 en tu H.D. puffffffff!!!!! Esto ya es una operacion de espionaje militar o industrial. Ademas luego tienes que llevarte la informacion, y como no sea el fichero de password o algo muy pequeño, chungo "lo largas por mail". Montale una disquetera al ordenador o ponle un ZIP portatil, pero esto te va a ser imposible, porque si tienes cuenta de administrador todo esto no lo haces verdad, es por que no tienes cuenta o tienes cuenta de usuario. No puedes instalar el soft de control para los cacharritos. Ohh!!!!!! :'(. Bueno no siempre es posible, quien dijo eso de que no siempre es posible, quien, pues si piensas asi quizas no llegues a Hacker. Hay una solucion, rula por ahi, por donde, si por ahi "Internet", un programa que con la cuenta de usuario normal, una vez dentro, lo ejecutas, reinicias y cuando regreses, you see the paradise, eres administrador, Ohhhhhh 8-D. Esta claro que en los registros de seguridad de ventanukos aparecera tu nuevo rango de administrador, osea, que tendras problemas. Tienes que borrar los registros y antes de cerrar la sesion cambiarte a usuario normal "borrar el registro despues de actualizarte a usuario normal, hasta que no cierres la sesion no pierdes los derechos de administrador". Si trabajas sobre un NT server la cosa ya es mas chunga, a demas si NT tiene el ultimo service pack, no creo que funcione. En fin, todo esto es hablar por hablar por que no lo he experimentado. Utiliza la opcion 1 o la 2 si no controlas mucho. No manipulas registros ni tienes que enfrentarte al sistema, asi le robas la cartera sin que se entere ;-) Bien si ya tienes acceso al H.D. puedes robar todos los fichero que quieras, el mas importante es sam. Algunos datos sobre los ficheros de password de NT y Unix - NT 4.0 algoritmo hash MD4 0-128 caracteres Unicode como maximo. - NT 4.0 Lan Manager algoritmo DES 0-14 caracteres estandar OEM. - Rutas de los ficheros, winnt\system32\config\sam, winnt\repair\sam - Unix algoritmo crypt(3) sobre el estandar DES 0-64 caracteres. Rutas de los ficheros, etc/passwd Los ficheros de password no pueden ser copiados desde dentro del sistema, por eso hemos preparado toda la movida anterior, quizas pueda haber programas que lo hagan pero con los ultimos service pack y los futuros esto se complica. Si no tienes cuenta que te permita instalar programas es dificil y seguro que dejas huellas. Una vez que tenemos el fichero, le someteremos a un ataque por fuerza bruta o diccionario. Hay muchos programas en la red, quizas escriba una comparativa algun dia y explique el manejo. Pero ya sabes que tu tambien puedes hacer algo... Aqui teneis algunas direcciones guapas sobre NT, de donde habran salido :-) http://l0pht.com/ http://207.98.195.250/ (Rhino9) http://www.ntshop.net http://ciac.llnl.gov/ciac/ToolsUnixSig.html#Md4 Codigo del MD4 Si quereis contactar con migo perrobomb@mixmail.com -----BEGIN PGP PUBLIC KEY BLOCK----- Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com> mQGiBDavomURBADVOcCWBm7LMogohrL6GfPj7OAo+nOuMP5U35HgPfI5N2g/4GsR IbwACzWYKPnbWTyHbu1bmY76evfvNy4XVYkqf8z0/X2l5wKqBL2+hwzndMpju3Ne /bpTVwddb7U//BoPXoJa+gn3vfEsfPgqWTRuHQOLUgZnwZl1UfjLj5TASQCg/4a4 0BZb2JHSB4+H0w+IU8J5ZAsEAM7ZbUeYwbDtFxYqCPn1K758QIN459ILD1XD0CCv IzVk0Uze5rJZdqeEZeR/ptdaDZ5KIIzRQMuYU5Nw713BDnm+EYnX0e/w4uvmsDPl N/a0AMZ2xlHhG3TMzcuRiwFqsPgYr4yvnezDs0VDq+XOphlV3zfcjBBBBdIqRZRs rUY+BACcar8Pha4x96P0PnJ/gyRiix6gAoNkYwz69Qu+qKRinCzQlwErhjC3tnRi W6vKV0f8984823EeeZsKcT8EVug6yLdgStAzvYz3JkieD2fNYzZoPS7jYICMi7oB I6B0TphDn2GEo6266EOW7OUi1W6FwoVaYO8uoT3f6bgqNvfY47QoUGVycm8gQm9t YmFyZGVybyA8cGVycm9ib21iQG1peG1haWwuY29tPokASwQQEQIACwUCNq+iZQQL AwIBAAoJELV3jtXOpHIvgaYAn3FymRGA7tdSN0oCIRxA8L5VorSEAJ9SN2YRjXbr nX8cgSQgsWV6ZMuGrbkCDQQ2r6JlEAgA9kJXtwh/CBdyorrWqULzBej5UxE5T7bx brlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/cdlJP PT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaClcjrU GvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD8KVb GI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZyAcp esqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAggAoOzJ 0uxcSJIdvT+k0SyH13A3kvXtwyC7BV1QDm1gLGcxUCbEzujWtjW64gQnVxeE73CO MgsCV4b0X94WZQhSG6WW5SYfcBk300LyxMCFN9pLlSJuKTKBsgbVtm8yuKNkKEk6 iT8SywgllC6Np3+nmqm7G/ahI+a8FGKn6Udstb0z8sThwhq9vTI57ly+O2rHkbBj lmyd/OSwk6weHoCfdLMP2UVkS3sHYrrrnxj76hMOvAm3kN7DccZ4NtXaUIuCfOn6 2ikH6y/XuDkC3t9n3YaD1csQ+KcXP8K6y6w/Lxow/wvcgKIv1ji0bwv4NZxQL60C omZD2D0+b5jhO4D5g4kARgQYEQIABgUCNq+iZQAKCRC1d47VzqRyL+T9AKCxrzBm 2dcXkezTaQ5ZFKklhukpUgCaAvtn4UBzsG1pjCgDnSreR/EOF+0= =DCFX -----END PGP PUBLIC KEY BLOCK----- <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> ---------------------------- |Zhodiac's Sockets Lesson (I)| ---------------------------- Aqui empiezan una serie de articulos que espero que os sean de utilidad para adentraros y comprender el apasionante mundo de los sockets. Cada numero vendra acompañado de uno o varios programas en el cual pondremos en practica todo lo visto anteriormente. Supondre que teneis unos conocimientos de C y un *nix con el que podais probar todo lo aqui explicado. Empezaremos desde un nivel basico (clientes tcp) pero, espero que en pocos articulos, nos pondremos a estudiar las cabeceras de los paquetes. Una breve introduccion acerca de los sockets no vendra mal. Existen dos tipos de sockets: - Servidores: Escuchan en un puerto peticiones de conexion por parte de los clientes. - Clientes: Son los que se conectan a los servidores al establecer la conexion. Para que una conexion tcp se de, deben existir un socket cliente y uno servidor. El cliente hara una peticion de conexion a un determinado puerto, y si un servidor esta escuchando en dicho puerto este aceptara la conexion. En caso contrario la conexion sera rechazada. El programa que acompa±a este numero sera un sencillo, y facilmente logueable, escaneador de puertos tcp. El protocolo tcp esta orientado a conexion y nos asegura que todo lo enviado a traves del socket llegara a su destino, en contraposicion con el protocolo udp que no esta orientado a conexion y hay que idear algun metodo para verificar que toda lo mandado a traves del socket llega (vease el protocolo TFTP). Creo que explicando el codigo sera la mejor y mas facil manera de comprender los clientes tcp. La parte que nos interesa sera la que esta dentro del bucle for: struct sockaddr_in direccion; /* * sockaddr_in tien una estructura tal que asi: * * struct sockaddr_in { * short sin_family; * u_short sin_port; * struct in_addr sin_addr; * char sin_zero[8]; * }; * * El primer campo es la familia de direcciones. Como vamos a utilizar * sockets orientados a conexiones en internet o red local, utilizaremos la * familia de direcciones AF_INET (protocolos de ARPA Internet). Tambien * existen otro tipo de familias de direcciones como AF_UNIX (protocolos * internos de Unix), AF_ISO (protocolos ISO), AF_NS(protocolos de Xerox * Network Systems) y AF_IMPLINK (capa de enlace IMP "anfitrin en IMP"). * * El segundo campo (sin_port) es el numero de puerto, en fomato network. * Para pasar del formato que use un SO al network (big-endinan) se * utilizan 2 funciones htonl() y htons(), para unsigned long y unsigned * short respectivamente. Del mismo modo se puede pasar de formato network * al que utilice tu SO con las funciones ntol() y ntos(). * * El tercer campo es una estructura entre la que estara la direccion IP a * la que queremos conectar el socket (concretamente en sin_addr.s_addr * como unsigned long). * * Al cuarto y ultimo campo no le hagais caso ya que es de relleno. * */ bzero( (char*)&direccion,sizeof(direccion)); /* * Rellenamos de ceros la estructura direccion. * */ direccion.sin_family=AF_INET; /* * Como anteriormente dijimos, la familia de direcciones utilizada va a ser * AF_INET. * */ direccion.sin_port=htons(puerto); /* * Como tambien dijimos en sin_port el numero de puerto en formato network, * por eso el uso de la funcion htons(). * */ if ((direccion.sin_addr.s_addr=inet_addr(argv[1]))==-1) { printf("La IP tiene que estar en formato de puntos aaa.bbb.ccc.ddd\n"); exit(1); } /* * En sin_addr.s_addr pondremos la direccion IP en formato unsigned long. En * este caso suponemos que la persona que ejecuta el programa tiene dos * dedos de frente, y a puesto una IP del tipo aaa.bbb.ccc.ddd (formato de * puntos) en el primer argumento. La funcion inet_addr nos devuelve los 32 * bits (formato network, big-endian) correspondientes a la direccion IP * pasada como argumento. Esta funcion devolvera -1 si el argumento no es * una IP en formatro de puntos. * */ s=socket(AF_INET,SOCK_STREAM,0); /* * Con esta funcion lo que hacemos es crear el socket. Dependiendo de los * parametros que le pasemos nos creara un tipo de socket u otro. Elprimer * parametro es el dominio de la comunicacion. Como vamos a crear un * socket orientado internet (o red local) le asignaremos AF_INET. Tambien * mencionar los otros tipos de dominios como AF_UNIX. Tambien los * encontrareis escritos como PF_INET y PF_UNIX pero a fin de cuentas la * definicion de todos ellos es la misma. * * El segundo parametro es el tipo de socket que vamos a crear. Existen * distintos tipos: como SOCK_STREAM (tcp), SOCK_DGRAM (udp), SOCK_RAW * (interfaz directa con ip), SOCK_PACKET (interfaz directa con ethernet) y * alguno mas que por ahora no nos interesan. Como nuestro cliente va a ser * tcp pues pondremos SOCK_STREAM. * * El tercer argumente es el protocolo, que normalmente se usa en la * creacion de sockets del tipo SOCK_RAW y SOCK_PAQUET. En este caso * ponemos 0 para que use el protocolo por defecto. * * El valor devuelto por la funcion socket es el descriptor de fichero (int) * asociado al socket. De esta forma es trivial leer y escribir en el * socket, ya que lo podeis tratar como un fichero. * * write(s,buffer,strlen(buffer)); * read(s,buffer,sizeof(buffer)); * * Dicho esto no resultara complicado hacer un cutre-agente de correo, no? * Estudiad el protocolo POP3 o IMAP que no son ni mucho menos dificlies. * * Ojo los read() son bloqueantes, sino llega nada al socket y haceis un * read(), el programa se quedara esperando indefinidamente a que llegue * algo al socket. Ya veremos en futuros articulos como hacer un socket * no-bloqueante. * */ if (connect(s,(struct sockaddr *)&direccion,sizeof(direccion))==0) { printf("[%i] Encontrada una novia en este puerto\n",puerto); } /* * Esta funcion nos sirve para conectar nuestro socket al socket servidor * que estara escuchando en la direccion Ip y puerto definidos en la * estructura "direccion". * * Esta funcion devuelve 0 si el socket ha sido conectado, en cambio, si * la conexi≤n ha sido rechazada devuelve -1. Este sera nuestro * rudimentario y obsoleto metodo de escaneo. * */ close(s); /* * Cerramos el socket como si se tratase de un archivo. * */ Espero que en el siguiente articulo os pueda presentar de una vez el servidor tcp, el cliente udp y el servidor udp (ya que tendre mas tiempo, no las 24 horas justas que tuve para hacer este articulo). De este modo para el tercer o el cuarto articulo esto se habra puesto mas que interesante. Cualquier: comentario/rectificacion a <zhodiac@usa.net> flames a <conde@jjf.org> :b Greets goes to all people how I know and appreciate, and to all the "White Hat Hackers" widespread all over the world. You know how you are, don't you? Saludos :) Zhodiac <zhodiac@usa.net> --------- |Programas| --------- Nota: Este programa ya va por la version 3.0 pero no es plan de meteros en el primer articulo forks, RAWsockets y tecnicas syn de escaneo. Credits: Zhodiac & Galactus Date: Hace mucho, mucho pero que mucho tiempo. ------------ Codigo Fuente --------------------------------------------------- /* Marinero v.1.0 * * Compiles with gcc -o marinero marinero.c * */ # include <strings.h> # include <netinet/in.h> # define PROGRAMA "Marinero" # define VERSION " v1.0 (c) zhodiac@usa.net & galactus@bigfoot.com" void main(int argc, char *argv[]) { struct sockaddr_in direccion; int s; int puerto, pinicial, pfinal; printf("\n%s %s\n",PROGRAMA, VERSION); if (argc <2) { printf("\nUso: %s <ip> [<puerto_inicial> [<puerto_final>]]\n\n", argv[0]); exit(-1); } pinicial=0; pfinal=65535; if (argc >=3) pinicial=atoi(argv[2]); if (argc >=4) pfinal=atoi(argv[3]); printf("Una novia en cada puerto...\n"); printf("\nBuscando las novias de %s en los puertos[%i..%i]\n", argv[1],pinicial,pfinal); for (puerto=pinicial;puerto<=pfinal;puerto++) { bzero( (char*)&direccion,sizeof(direccion)); direccion.sin_family=AF_INET; direccion.sin_port=htons(puerto); if ((direccion.sin_addr.s_addr=inet_addr(argv[1]))==-1) { printf("La IP tiene que estar en formato de puntos (aaa.bbb.ccc.ddd)\n"); exit(1); } s=socket(AF_INET,SOCK_STREAM,0); if (connect(s,(struct sockaddr*)&direccion,sizeof(direccion))==0) { printf("[%i] Encontrada una novia en este puerto\n",puerto); } close(s); } } ------------ FIN ------------------------------------------------------------- <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> ┌─────────────────┐ < EL LECTOR OPINA > └─────────────────┘ Como siempre decimos no envieis cosas que no hayas escrito vosotros diciendo que son vuestras, ya que tarde o temprano la gente se da cuenta de lo que falso que eres si lo haces!!! Por otro lado - J.J.F. / Hackers Team - no puede responsabilizarse de la mala fe de esta gente, lo unico que podemos decir es que son unos indeseables. Si no sabes que escribir, pues no escribas nada, mejor no decir nada que hacer el ridiculo. <────────────────────────────────────────────────────────────────────────────> HOlas!! Pues veamos. Hace ya algunas semanas que termine la traduccion de los archivos de ayuda de John the Ripper, pero la unica condicion que me puso Solar Designer (el autor) fue que fuera un texto libre y que intentara distribuirla en el maximo numero de sitios posibles. Por ahora, y de los sistios importantes, SET ya ha aceptado a ponerla, aparte de algunas paginas personales que he encontrado. Pues eso ¿Os interesa? un saludo cafo <------> [ Claro, envianoslo y lo ponemos en la seccion de FTP. Leete el FAQ. ] <────────────────────────────────────────────────────────────────────────────> Holas! Pues nada, comentar que el programilla ese que comentais para windous, tiene una especie de análogos suyos en linux: En linux tienes dos opciones (que yo sepa) para poder encriptar directorios: a) Usar CFS (Criptographif File System o algo asín) que básicamente lo que hace es encriptar un directorio y si quieres montarlo, has de desencriptarlo y montarlo por NFS, o algo asín. Era un chow parecido. b) Parchear el kernel y el mount para soportar filesystems encriptados. Esta es la opción que me parece más mejor, puesto que aquí lo que hacemos es que al hacer un fs, podemos decirle que este use encriptación de varios tipos (si no recuerdo mal creo que eran : la cutre XOR, DES, IDEA ) de forma que al montarlo tengas que decirle al mount que está encriptado, y pasarle la llave para que desencripte ...... Este último tiene la ventaja de que puedes encriptar una partición, un floppy, amos, lo que quieras, mientras sea un FS entero .. Y por supuesto, todo ello totalmente open source, con el código fuente disponible. Bueno, que eso es lo que quería comentar. No he probado (aun) ninguno de los dos , más que nada por falta de tiempo, y todo lo que pongo lo hago de memoria, por lo que puede que me deje cosas, o ponga mal otras. Dicho de otra forma: es tu responsabilidad si te lo crees todo sin comprobarlo :) See you ... Dr Slump OiOiO! <------> [ Pues ya sabeis gente ;-) ] <────────────────────────────────────────────────────────────────────────────> me gusta mucho su pagina, quiero pedirles un favor, necesito saber como violo las claves de seguridad de los archivos de microsoft office (word y excel ) , tengo un archivo con clave y necesitamos abrirlo, me pueden e scribir a : mialca@xxxxxxxxxxxxxx, si hay que bajar algun software, me podrian indicar donde esta. muchas gracias, amigos Miguel <------> [ Existen programas para ello, buscalos por Inet. http://www.kriptopolis.com ] <────────────────────────────────────────────────────────────────────────────> Hola mi nombre es alfredo, soy nuevo en todo esto de hackers pero quiero aprender a ser un buen hacker solo queria preguntar si me por favor me podrian enviar un mail diciendome lo basico de como hackear paginas web o algunas otras cosas mi e-mail es pikin@xxxxxxxxxxxxxx Chau ATTE. ALfredo <------> [ Leete este ezine con atencion!! ] <────────────────────────────────────────────────────────────────────────────> Hola amigos del JJF team, soy Roberto, y les escribo desde México. Estoy estudiando Ingeniería en Sistemas Electrónicos, en el Tec de Monterrey. (la mejor del país, a lo que ingeniería concierne). Siempre me ha llamado la atencíón todo lo referente a la electrónica, software, hardware. etc.; pero ahora estoy más interesado en el hacking. Saben hace poco en una cuenta de starmedia en un chat algun hacker se pirateo mi login y mi pssword y entro a mi cuenta, yo me di cuenta porque vi dos veces mi nombre en un chat, le reclame y se molesto y dejo trabada mi mákina, y es por eso que quiero aprender hacking, no me vayan a malinterpretar, lo que pasa es que: es conociendo como trabajan ustedes ( y ojala que yo también),sabre cual es la mejor opción para protegerme. Apenas estoy entrando de lleno a mi carrera, pero algo en que se trabajar es en C++. Es un gran compilador. Quisiera aprender unix, ya que dispongo de una cuenta de telnet, por parte del campus. Bueno esto es todo y sigan trabajando, su página está ahora más chingona.!! Y gracias a páginas tan buenas como las de ustedes es que uno puede aprender Una pregunta ¿qué es el irc? <------> [ Ya hemos dicho varias veces que no necesitar ser Hacker para protegerte de los indeseables, solamente ahi que tomar ciertas medidas de seguridad. IRC es Internet Relay Chat, el metodo preferido para chatear (hablar) por Internet. Un servicio de dialogo simplemente. ] <────────────────────────────────────────────────────────────────────────────> amigos del jjf, les vuelvo a molestar. Quisiera saber si alguno de vosotros me pudiera pasar el C, es que tuve que volver a instalar el windows y no tengo discos de instalación. De antemano gracias. rc. <------> [ Leete el FAQ. Existe compiladores C gratis pillatelos. Nuestro consejo es que busques el DJGPP. ] <────────────────────────────────────────────────────────────────────────────> Que tal desde los saludo desde Meéxico. Quiero felicitarlos por que tienen un e-zine chidisimo y aparte espero que me contestén este mail a mi dirección. Yo soy un wannabe que se dedica a pasear por todos los sitios relacionados con el hacking en Icq y prácticamente con todos los tipos de hacking menos el IRC menos yo soy de los que opinan como la mayoría de la gente a la que le gusta el hacking debe de haber acceso libre a TODA la información en internet. Yo tengo un pequeño problemilla la computadora donde tengo internernet es de mi papá y entonces no puedo usar mucho internet por que me regaña bien cabrón y por eso no aprendo sobre el hacking tan rápido como algunos de mis "amigos". Además mi jefe solo tiene windoze i eso me caga por que no me deja (mi jefe) ponerle otros sisitemas operativos y programas tengo que ponerles a los programas passwords y ocultarlos. Ah por poco se me olvida ay un guey en mi escuela que solo se dedica a nukear a lo pendejo no creeen que corre mucho riesgo si no conoce a quién va a nukear por ejemplo: Si nukea a un hacker experimentado (lo que el no es ya que solo es un wanabe como yo) lo podría practicamente aniquilar y borrarle toda su pc o cualquier chingadera no???? Bueno una última pregunta ¿Creen que un tipo como de 13 años pueda borrar a alguien del registro civil? Ya que eso dice un guey que conozco además dice que aprendió a programar por si solo. Espero que me conteste n pronto Les escribire muy pronto un wannabe mexicano emilla la computadora donde tengo internernet es de mi papá y entonces no puedo usar mucho internet por que me regaña bien cabrón y por eso no aprendo sobre el hacking tan rápido como algunos de mis "amigos". Además mi jefe solo tiene windoze i eso me caga por que no me deja (mi jefe) ponerle otros sisitemas operativos y programas tengo que ponerles a los programas passwords y ocultarlos. P.D. No conocen a algún hacker por aquí por méxico. Sergio Me Cagas <------> [ El IRC este lleno de pardillos y ahi que ir con cierto cuidado. Con un nuke no te borran nada de nada. Y sobre el chaval de 13, pues si tiene acceso al ordenador pues se puede hacer pero es poco probable. Claro que se puede aprender a programar por si solo, incluso en muchas ocasiones es lo recomendado. ] <────────────────────────────────────────────────────────────────────────────> como estas quisiera que me mandes algun archivo ensenandome a hacer hacker te admiro Toto <------> [ Leete el FAQ y este ezine a fondo!! ] <────────────────────────────────────────────────────────────────────────────> Primero que nada, un saludo desde URUGUAY para todo el stafff de JJF, una de las mejores publicaciones under en español, y a todos los hermanos españoles en gral. Les escribo para contarles que hace un largo tiempo que decidi meterme más en serio en esto del hacking, y cuando lo hice, me encontré con que el hacking en uruguay está increiblemnte adelantado (para lo que yo esperaba), y todos los dias conozco a gente con conocimientos muy avanzados en el tema, pero falta mucha organización... Los hackers estudian todos por separado, o en muy pequeños grupos que no se inter-relacionan entre sí, por eso, me propuse empezar a hacer reuniones, y cosas por el estilo, empezando por una página web, que sirva como punto de encuentro. Pero claro, para eso, necesito algo de ayuda para difundir la noticia, por eso les pido si pueden publicar este mail en su ezine =) Se que es una epoca complicada, por los examenes que muchos tenemos, pero, por lo menos, manden un mail para saber que podemos contar con ustedes, aunque sean newbies, por lo menos para saber si están interesados! En cuanto a la página, necesitariamos ayuda con material y tutoriales de C,Assambler,Linux,y passwords de tarifas planas de netgate(mejor 56k!), mutired, compuserve, montevideo, o cualquiera que sirva!(jeje), etc... Y demás está decir, que esto no se ve limitado a limites geográficos, cualquiera que le interese, ya sea en lo de las reuniones, o simplemente para darnos una mano con la página(que sería MUY bienvenida), manden un mail a: jajanarf@hotmail.com ¡A ver si nos empezamos a mover un poquito! PD: Y a ver si se dejan de JODER todos esos LAMERS de MIERDA que se auto etiquetan como hackers por todas partes, y después, en la intimidad, mandan e-mails a ezines dicendo "¿me enseñas a ser hacker?"... POR FAVOR!!!! ya es hora de crecer, y valerse por sus medios, no puede ser que quieran ser hackers, y le tengan FOBIA a leer los manuales de Linux (o directamente, a instalarlo!), y ni hablar de aprender a programar, eso es pecado!... Yo a estas alturas ya puedo decir que soy hacker, pero no me ando autoetiquetando como uno, lo unico que quería era aprender, busque textos, lei, y en una tarde, instale el linux y lo configuré, sin pedirle ayuda a nadie... pero no me mal entiendan, yo no digo que pedir ayuda está mal, solo digo que se deben valer por sus medios, los e-zines son para aprender, para afilar sus tenedores, no para que les den de comer con cuachara en la boca!!! (ellos saben de que hablo!) Arriba los que llegaron a ser hackers después de querer aprender, y a los imbeciles que quieren ser hackers porque la pelicula hackers les pareció fashion, que se queden jugando a joder a gente inocente con su Netbus. <------> [ Pues ya sabeis lectores enviad todo lo que podais al mail y ayudad al hacking Uruguayo!! Suerte ;-) ] <────────────────────────────────────────────────────────────────────────────> hola los saludo amigos la verdad es que encuentro su pagina increible es sencilla e impresionante y eso me gusto mucho yo soy de chile y ustedes son una inspiracionpara mi la verdad es que me impresionan y me gustaria a llegar a ser un gran hacker como ustedes por favor respondanme eso me alentaria mucho ya que el hacking en chile es muy pobre pero somos pocos los que sabemos algo.. el mail me lo mandan a xardon@xxxxxxxxxxxxxx chao gracias... <------> [ Cualquiera puede ser como nosotros simplemente debe ser curioso y con muchas ganas de trabajar duro!! ] <────────────────────────────────────────────────────────────────────────────> Hola: Su nueva Web esta genial..... realmente, me gustaria que ya este funcionanado al 100% pero para ser el primer mes esta super bien, una pregunta.... como se usa una llave publica, en que casos...espero que me respondan pronto.... gracais Nestor <------> [ Thx y nosotros tb queremos ver el website mas completo ;-) pero poco a poco lo iremos haciendo, despacio pero bien es nuestra filosofia. Una llave Publica es lo que debes distribuir a tus amigos para que te puedan enviar mail o ficheros encriptados, es muy sencillo. ] <────────────────────────────────────────────────────────────────────────────> Hola soy pachin de peru me interesa todo lo que he visto en su web, voy a participar y espero algun dia me consideren parte de tan selecto grupo. suerte <------> [ Participar ???? a que te refieres ?? Pues lo de unirte a nosotros lo tienes muy dificil, leete el FAQ. ] <────────────────────────────────────────────────────────────────────────────> hola mi nombre es DaveMust. quiero que por favor me den nombre de libros para poder hacerme hacker me gustaria que me den una lista de crackeadores. yo poseo algunos pero no los se usar :portscan, awcrack, passman, ami. desde ya muchas gracias espero su respuesta. <------> [ Para libros, mejor busca informacion en Inet y para crackeadores pasate por nuestro FTP. ] <────────────────────────────────────────────────────────────────────────────> Primero los saludo mi nombre es felipe chang soy un principiante en esto quisiera saber si de alguna forma me podrían enseñar soy de guayaquil-ecuador saludos Felipe Chang Mendoza <------> [ Pues claro, lee este ezine y todo lo que puedas, investiga, descubre, etc... Depende de ti ] <────────────────────────────────────────────────────────────────────────────> Podrian ayudarme quisiera aprender a ser Hacker saludos Felipe Chang guayaquil-ecuador <------> [ Hhhhummmm ya te hemos dicho la "formula secreta". ] <────────────────────────────────────────────────────────────────────────────> Me gustaria ser mimbro que tengo que hacer para eso Respondame al gioarg@xxxxxxxxxxxxxx <------> [ Lo primero seria leer nuestro FAQ con MUCHA ATENCION ] <────────────────────────────────────────────────────────────────────────────> I have de-encrypted the RC5 Questions to Dynamo78@xxxxxxxxxxxxxx:-)-: Saaay Hello to Cauchy (math...) U konw... <------> [ What ? ] <────────────────────────────────────────────────────────────────────────────> Can u put some info about Daemons and port surfing in your E-<sin>? See ya! Nice to meet ya! Cyber-PAL. I just want to share info. <------> [ Read the ezine again. ] <────────────────────────────────────────────────────────────────────────────> HOLA SALUDOS A TODOS MANTENGAN EL BUEN TRABAJO SI NECESITAN AYUDA COLABORACION O PREGUNTAS DE LOS HAKERS DE PUERTO RICO ME PUEDEN CONTACTAR SALUDOS A TODOS Y MANTENGAN AL BUEN TRABAJO QUE EL MUNDO Y TODO LO QUE HAY EN EL SEA LIBRE SALUDOS DESDE PUERTO RICO SINSE <------> [ Oki :) ] <────────────────────────────────────────────────────────────────────────────> Che locos soy de argentina envienme ayuda o todo lo posible sobre el netbus gracias mi email es martinzalazar@xxxxxxxxxxxxxx cualquier cosa pidanla <------> [ Paseate por nuestra seccion de FTP. ] <────────────────────────────────────────────────────────────────────────────> Hola: He encontrado tu página sobre detección de intrusos. Me parece estupenda. Te escribo el mail para decirte que tengo una traducción del "COMO" Seguridad en Linux, por si te puede interesar. Evidentemente está enfocado a Linux, pero también es válido para otro sistema Unix. Después de ofrecerte algo, ahora te pido. ¿Sabes donde conseguir información en castellano sobre los estándares de seguridad? B1, c2, ... Un saludo -- nº registro: 75339 http://www.arrakis.es/~pfabrega basura > /dev/null <------> [ Pues ahi mucha informacion sobre eso, tienes varios libros y web's en español. A. Ribagorda Garnacho \ A. Calvo Orra Seguridad en Unix, Sistemas abiertos e Internet. M. Angel Gallardo Ortiz / Editorial Parainfo, 1996. Aunque existen muchos mas, es cuestion de buscar ;-) ] <────────────────────────────────────────────────────────────────────────────> Gracias por adelantado... Me guataria haceros unas preguntas: - He pirateado una cuenta y me gustaria saber si mi victima puede darse cuenta, y si timofonica puede rastrear esa llamada, ¿como? - Corregidme si me equivoco pero alguna vez habeis hablado de los archivos de registro de los servidores ".log". ¿Podriais informarme?, ¿Como se puede acceder a esos archivos?, o en su defecto sería un estupendo articulo... - ¿Tb podrias informarme o hacer un arcticulo sobre el carding? <------> [ Claro que puede darse cuenta. Telefonica logicamente puede rastear llamadas. Sobre log hemos tocado algo si, te sugerimos que vuelvas a mirar los numeros anteriores. Por ahora ningun miembro de - J.J.F. / Hackers Team - escribira algo sobre Carding, pero si algun lector esta interesado pues ya sabe. ] <────────────────────────────────────────────────────────────────────────────> que onda: Tengo el so ventanukos, pero gracias al telnet puedo ejecutar el aix de ibm. Necesito su ayuda, ya tengo un login y un password, pero cuando trato de hacer algun telnet no puedo, tampoco un ftp, sale un pequeño diálogo ke me dice : acces denied. o algo parecido. necesito buscar otra cuenta? <------> [ Tu que crees ? ] <────────────────────────────────────────────────────────────────────────────> Saludos, A través de una lista de correo sobre seguridad me enteré de la existencia de vuestra página, fui a visitarla y me baje el Journal y algunos .zip del ftp .../Novell, y...: Panda Antivirus Virus: Getit.754 dentro de: C:\Windows\Temporary Internet Files\cache4\thiefnov.zip en GETIT.COM Información: Infecta = COM Caracteristicas = Residente Tamaño = 754 Fecha = Oct. 1997 Desinfección posible = NO Parece pues que el virus viene de getit.zip o de thiefnov.zip, o de ambos. Los bajé pero no se copiaron al directorio en que estaba guardando todo. ¿Se combinaron para formar un virus?. No lo abrí. Se que vosotros solo habeis puesto enlaces a http://members.xoom.com/jjf_ftp/hack/novell/thiefnov.zip y .../getit.zip y que lo desconoceis. El Panda Antivirus no lo desinfecta. ¿Alguna idea?, ¿alguna ayuda?, ¿conoceis el virus?, ¿que hace?, ¿como desinfectarlo?. Os agradecería mucho vuestra ayuda. Tréveris Linux SuSE 5.1 Kernel 2.0.33 [Cuando termine de configurarlo todo; ;-)] <------> [ Vaya, pues lo sentimos y ya corregiremos el error. ] <────────────────────────────────────────────────────────────────────────────> Sinceramente les pido ayuda en este momento por que acaba de entrar un hacker a mi sistema, primero dijo hacker jode a pequeño lammer, despues dijo hahahaha y despues dijo vamos di algo y se abrio una ventana de chat, yo dije como hiciste eso , y el me dijo todavia no he hecho nada y me borro todos los documentos menos mal que yo los habia guardado en un diskette por que si no hubiera perdido todo un mes de trabajo duro ya que estoy haciendo mi tesis. mI pregunta es como puedo evitar que vuelvban a entrar, como puedo detectar de donde se conecto y como hago yo para conectarme a una maquina con windows 98 como lo hizo el sin ser detectado. expliquenmelo por favor por que ya estoy harto de ser siempre la victima. mi e-mail es wakof@xxxxxxxxxxxxxx Amigo de la noche. <------> [ Seguramente tienes instalado el BO o el Netbus en tu maquina, asi es como ha entrado el pirata en NINGUN CASO HACKER, debes usar alguna herramienta que te permita borralo, como esta: http://www.genocide2600.com/~tattooman/new-uploads/boe.exe ] <────────────────────────────────────────────────────────────────────────────> Ok, estoy dispuesto a ayudarlos a lo del JJF crack RC5 pero necesito saber en lenguaje mas natural que es en realidad, osea de que se trata ya que yo trabajo en un centro de mantenimiento de computadoras y recibimos diariamente por lo menos 12 computadoras conectadas a internet nuestro servicio es muy barato por eso es que tenemos muchos clientes pero de todas formas no me atrevo a instalar en una computadora ajena algo que no se que daños pueda causar. En si mi pregunta es de que se trata todo eso de crack RC5. les agradesco una pronta respuesta. se despide just a friend. Antonio Guevara. <------> [ El RC5 no causa ningun tipo de daño al sistema, en nuestra pagina sobre el tema y en el numero anterior encontraras la informacion que quieres saber sobre el RC5. Byes y suerte :) ] <────────────────────────────────────────────────────────────────────────────> hi how r u? Jose Julian Buda <------> [ Fine thx. Why ? ] <────────────────────────────────────────────────────────────────────────────> hola, en mando este mail para felicitaros por la estupenda revista q estais llevando adelante, q yo pienso q es 100 veces mejor q SET, ya q lo q no he aprendido SET en los 12 primeros numeros (mucha tela para no poder sacar nada en claro) lo he aprendido en vuestro primer numero, por eso me gustaria q continuarais asi... les paso la revista a todos los amigos q conoces del tema y les ha parecido genial :)) espero q esta carta no kede entre otras tantas de felicitacion por el gran trabajo q haceis... tb tengo un amigo hacker q espero q a ver si me da algunas clases particulares del tema y asi poder escribir algun articulillo en la revista. Por ultimo preguntar cual es la diferencia exactamente entre un gusano y un virus q mas o menos lo entiendo, pero no lo tengo del todo claro. Saludos de divo_crash y ragnar_blackmane. <------> [ Thx pero nosotros no decimos que nosotros seamos peor o mejor, simplemente somos otro ezine, y el ezine es solo una pequeña parte de - J.J.F. / Hackers Team -. La diferencia entre un virus es que infecta ficheros para viajar de ordenador a ordenador, un gusano es un programa diseñado para infectar ordenadores usando las redes de telecomunicaciones. Aunque hoy en dia estan surgiendo nuevos engendros que estan cambiando el panaroma virico. ] <────────────────────────────────────────────────────────────────────────────> ¿proteccion? y como soltarse el bo 1º Buscarlo en el registro del windows y eliminarlo (busca C:/windows/system/.exe y elimina todo donde salga). Despues borra el server de win/system/.exe. 2º Monta lal particion en la que tengas el windows en el linux y eliminalo desde alli (no se puede ni desde msdos ni desde windows) 3º Pillate tu cliente de bo y ponte una clave (como por ejemplo me "me cago en tu puta madre, si la tuya, hijo de puta, si tu el ke me lo metio (ke fui yo mismo el gilipollas ke ejecuto el server pero por echar la culpa a alguien)) 4º Pilla un programa de proteccion contra el bo (ahora no me akuerdo de ninguno pero si buscais en el altavista mismo encontrareis un güebazo). 5º No ejecutes ningun programa "sin icono" ( bo server no lo tiene pero si no te fias de lo ke te mandan esta es una buena opcion) 6º Sigue el consejo de tu mama y no te ajuten con desconocidos (mas de un "amigo" me lo ha intentado colar") 7º Inventate tu este ke no tengo ni zorra de mas. Podria currarme esto mucho mas pero no tengo ganas, asi ke si alguien kiere hacerlo y ponerlo paso a paso ke lo haga y se apunte to el merito de este doc Por favor, no digais nada de mi (ni nick ni direccion de email ni na) Por supuesto no son todas las ideas mias (pero si 5 de ellas) <------> [ Pues aqui teneis el remedio contra el BO :) ] <────────────────────────────────────────────────────────────────────────────> Hola amigos,espero se encuentren bien, mi razon por la cual les envio este e-mail es por que tengo problemas con la seguridad de computadora, ya que en varias ocaciones se han metido y manipulan la informacion de mi computadora, soy tecnico en informatica y quisiera saber como proteger mis sistemas, si me pueden ayudar se los agradeceria muchisimo. Por mi parte es todo GRacias Jesus Chavez CD. Juarez Chih. Mexico <------> [ Pues primero no sabemos que s.o. usas, no nos proporcionas ningun tipo de informacion para hacernos una idea. Lo unico que podemos decirte es que leas este ezine y pases por el website a ver si ves algo que te pueda servir. ] <────────────────────────────────────────────────────────────────────────────> Hola, me gusta mucho la investigaciòn en software, pero se muy poco de programaciòn me gustarìa que alguien me enseñase aunque sea algunos trucos o al menos donde encontrarlos, mi e-mail es........ xalez20@xxxxxxxxxxxxxx <------> [ Para programar existe una cantidad de informacion brutal, tiene miles de libros y ademas por Internet millones de web dedicados a la programacion, es cuestion de buscar lo que te interese. ] <────────────────────────────────────────────────────────────────────────────> <------> <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> ------------------------ - NOTICIAS UNDERGROUND - ------------------------ - J.J.F. / HACKERS TEAM - <────────────────────────────────────────────────────────────────────────────> SE APROXIMA UNA VACUNA CONTRA LOS HACKERS. Feb. 05, 1999 (InternetWeek) -- Mediante Buffer Overflow es como muchos hackers ganan acceso en los servidores de las empresas. Encuentran una fallo en un sistema y despues insertan el codigo que les permite engañar al sistema para que les de privilegios de root. La compañia Memco Software Ltd. quieren parar esto. Recientemente esta compañia de software saco al mercado una linea de productos de deteccion de intrusos que soportan una nueva tecnologia llamada Stack Overflow Protection (STOP), que provee a las compañias de una capa extra de defensa contra ataques externos. Esta gama de productos, Secured, protegen desde servidores web, de correo y firewalls. Actualmente, los encargados de TI tiene que estar constantemente revisando los avisos del CERT y otras organizaciones, aplicando los parches en sus sistemas para prevenir ataques buffer overflow. Pero en estos dias los usuarios dicen que quieren ser mas proactivos. "No queremos estar revisando los avisos del CERT" dice Presley Acuna, director de tecnologia de Sakura Global Capital, un banco. Su compañia esta usando Secured para el correo para proteger el servidor de mail. Esta seguridad evitara incidentes como el que hace recientemente que una compañia rival envio una cantidad brutal de mail contra el servidor de Sakura (spamm), que bloquo el servidor de Sakura y los usuarios no pudieron recibir su correo. La tecnologia STOP previene contra importantes fallos porque puede colocar la pila del sistema en una area donde el hacker no puede conseguir root, dice Acuna. STOP basicamente situa la direccion de memoria en un area inpredecible, dice Eli Singer, Presidente de Memco. STOP funciona en conjuncion con Memco Dynamic Security Extension, que intercepta sospechosas actividades o accesos indevidos a los servidores. Estas dos tecnologias dan a los encargados de TI "una vacuna contra el tipico resfriado", dice Singer. Seguridad Rapida Con el crecimiento de los ataques en servidores web, como el recientemente ataque que dejo KO al servidor de la CIA, los encargados de TI estan buscando herramientas de seguridad que puedan ser instaladas facilmente, dice Chris O'Hara, un encargado de la seguridad en PriceWaterHouseCoopers. La nueva linea Secured para Internet consiste en un Secured servidor web, un Secured servidor mail y Secured para Firewalls. Este producto corre en las plataformas HP-UX, Sun Solaris y Windows NT. Cada licencia por servidor cuesta $1995. -- Prevencion de Intrusos La linea de productos Secured de Memco consta de: Secured para servidores web. -Para servidores Netscape y Apache. -Previene que se pueda apagar el servidor web. -Protege el contenido de las paginas locales. Secured para servidores de mail. -Para Sendmail. -Previene de ataques al sendmail. Secured para Firewalls -Para comprobar el Point Firewall-1 -Previene de que se puega apagar el firewall. -Protege la configuracion y los logs. Plataforma que soporta -Sun Solaris, HP-UX, Windows NT Precio -$1995 para cada licencia por servidor. <────────────────────────────────────────────────────────────────────────────> UN CHICO ISRAELI DE 14 AñOS TUMBA UN SERVIDOR DE SADDAM. Un colegial israelita se ha convertido en heroe nacional despues de dejar fuera de combate un servidor del gobierno Iraqui. Nir Zigdon, 14, natural de Tel Aviv, dice: "Contenia mentiras sobre los EE.UU., Gran Bretaña e Israel, y muchos comentarios contra los judios." El descrubrio el servidor en una revista israelita, PC-Media, despues creo un virus informatico y lo envio por mail al servidor. "Me supuse de que si Israel tiene miedo de asesinar a Saddam Hussein, por lo menos podria intentar destrozar este servidor." dice Nir. "Con la ayuda de un software especial localize la situacion geografica del servidor, en uno de los estados del Golfo." "En el mensaje del mail, me declaraba como un Palestino admirador de Saddam quien havia creado un virus capaz de atacar servidores Israelitas. Esto les persuadio de abrir el mensaje y ejecutar el fichero." "Unas horas mas tarde de que el servidor ya estuviera destrozado. Recibi un mail de respuesta del administrador del servidor, Fayiz, que me decia: 'vete al infierno'." Este servidor no se ha vuelto a poner on-line y se ha puesto otro en su defecto www.arabia.com, un periodico Arabe escrito en Ingles con un punto de vista mas moderado. Desde entonces, y varias apariciones en la television Israelita, Nir ha recibido cientos de llamadas telefonicas de Israelitas felicitando por su trabajo. Israel tiene una de las industrias informaticas mas modernas del mundo, la segunda en sofistificacion detras de Silicon Valley en California. Muchos tienen empresas a lo largo de la region costera entre Haifa y Herzliya, conocido como "Silicon Wadi". Nir ya trabaja en una de estas compañias, Cellcom, despues del colegio controla a 30 empleados, todos mayores que el, desarrollando software de Internet que no tenga fallos y virus. Nir, que maneja ordenadores desde los cuatro años y escribio su primer virus a los diez, es parte de una nueva generacion de informaticos protegidos Israelitas. Este "Internet Underground" ya ha identificado y destruido varios servidores, neo-Nazis, de pornografia infantil y anti-Israel. Pero Nir esta lejos de sentirse un "hacktivista" que le esta conviertiendo esta experiencia. El ultimo año, el FBI organizo una busqueda a nivel mundial para encontar al culpable del hackeo del sistema informatico del Pentagono. El cual fue realizado por Ehud Tenenbaum, de 18 años, operando desde casa de sus padres en Israel. Usando el sobrenombre de "The Analyser", Tenenbaum tambien hackeo el parlamento Israeli, el centro de submarinos de la marina amricana y la Nasa. Pero al contrario que Tenenbaum, Zir dice que el nunca atacaria instituciones de paises aliados. Pero dice que esta preparando una operacion contra el correo de grupos neo-Nazis. SUNDAY TELEGRAPH 07/02/1999 P26 <────────────────────────────────────────────────────────────────────────────> JAPON - EL PARAISO DE LOS HACKERS. 06/02/99 By CHESTER DAWSON TOKYO (AP) -- En algun lugar screto en Tokyo, docenas de especialistas en criptologia y medios electronicos en breve trabajaran duramente patrullando el cyberespacio. Se apertura se estima en Julio, el nuevo cuartel general de la Agencia Nacional de Policia encargada de delitos informaticos "cyber-cop" analizando señales sobre seguridad informatica debido al creciente uso en Japon de la revolucion online. Por el momento el delito informatico en Japon es muy bajo al contrario que en EE.UU., se han dado algunos casos de delitos relacionados con el uso de ordenadores y las autoridades se han concenciado de ello. La crecida no es ninguna sorpresa -- legalmente, Japon es el paraiso de los Hackers. Romper la seguridad de un ordenador no esta considerado un crimen en Japon, lo cual les separa de otros paises industrializados. Los Hackers son libres de pillar los datos sensitivos almacenados en mainframes siempre y cuando no los destruyan o vendan. "Nosotros nos hemos despistado en esta area al contrario que otros paises," dice Kei Hata, un miembro del Parlamento el cual sirve de abogado en el comite de la policia de Internet. "Es un problema que tiene que ser manejado rapidamente." Preocupados por el caos potencial generado en Tokyo por los ordenadores, y el borrador de la nueva legislacion contra el acceso sin autorizacion. Hay una cuenta pendiente mandada al parlamento, la cual termina en Junio. El movimiento viene de Washington para parar internacionalmente el crimen en el ciberespacio e impedir que Japon abuse de este privilegio, la transmision de pornografia infantil, e incluso veneno que se vende en web sites relacionadas con el suicidio. El problema todavia es relativamente nuevo en Japon En 1997, el numero de crimenes relacionados con tecnologia, conocidos por la policia japonesa, paso de 178 el año pasado hasta 263, y solo 32 en 1993. Todavia, una reciente encuesta, mostro que solo 4% de las compañias y universidades denunciaron casos de acceso no autorizado en sus sistemas bastante serios, incluso haber podido causar daños en sus sistemas. En comparacion el Instituto de Seguridad Informatica de San Francisco y el FBI encontraron que el 64% de 520 corporaciones americanas, agencias de gobierno, instituciones financieras y universidades respondieron a una encuesta en 1998, en la cul, por lo menos habian tenido una violacion en su seguridad en los previos 12 meses. Mas de un 70% sufrieron perdidas financieras. La policia japonesa sospecha que un gran numero de crimenes informaticos es mucho mas alto que los conocidos oficialmente, y que muchas empresas se guardan sus fallos de seguridad para no ser desprestigiadas. Muchas compañias evitan su asociacion a sindicatos del crimen, como por ejemplo los "Yakuza". "Los Yakuza se han adentrado de este campo," dijo Shunichi Kawabe, un oficial the la NPA. "Muchos estan muy interesados en hacer dinero en este tipo de negocios." Agentes de ventas que trafican con armas, web sites pornograficos, y distribucion de fraude financiero estan entre areas bajo vigilancia. Un hacker entro dentro de una red propiedad de la Univerisdad de Hokkaido, en el norte del Japon y ganando acceso y consiguiendo unas 1000 cuentas entre estudiantes y empleados. La universidad desconecto su red el mes pasado, y silencio el caso. Japon esta planeando impatir cursos de informatica entre sus agentes de policia, pero las autoridades creen que todavia estan muy lejos de adquirir el nivel tecnico que los de EEUU. Las buenas notocias para la policia japonesa es que los hackers japoneses todavia estan muy detras de sus homologos americanos. "Los cibercriminales domesticos todavia todavia no tienen el suficiente nivel tecnico ni conocimiento," dijo Kawabe. <────────────────────────────────────────────────────────────────────────────> ██████████████████████████████████████████████████████████████████████████████ <────────────────────────────────────────────────────────────────────────────> Bueno, pues aqui acaba otro de vuestro/nuestro ezine y que esperamos que os haya gustado. Logicamente no sabemos cuando saldra el siguiente numero, si es que sale ;-) pero seguro que lo hara. Como ya os hemos dicho millones de veces, a ver si os animais y nos enviais articulos!!! vale de todo siempre y cuando no sea gore, terrorismo o anarkia. SSSIII, aceptamos articulos de programacion y temas relacionados con la tecnologia, por una simple razon, a un hacker se interesa la tecnologia y su uso pero NUNCA por como explotar los fallos de un servidor para robar el correo o vete a saber que otra maldad!!! Pues lo dicho, no te olvides te pasar a menudo por el website para que veas las cosillas que vamos sacando y nuestras fotos XDDD Bueno, pues para cualquier comentario, duda, critica, escribe a la siguiente dirrecion: team@jjf.org ADIOS Y HASTA EL SIGUIENTE NUMERO!!! - J.J.F. / HACKERS TEAM - -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=