Esta seguidilla de “items” está dirigida a todos aquellos que vienen preguntando (generaciones enteras de chicos o novios/maridos) como seria posible conseguir una clave Hotmail, por supuesto que para el resto de la gente hay una serie de recomendaciones a seguir para no sufran una invasión de su privacidad.
Aquí no se detallará ninguno de los procedimientos ni se
escribirá con demasiados términos informáticos dado al público que esta
dirigido > usuarios comunes de PC c/ MSN +Hotmail
En síntesis: es imposible sacarla de los servidores de
Hotmail a menos que haya una falla en estos o en las aplicaciones/servicios que
estan allí funcionando, dado que cuentan con un grupo de los mejores
administradores de sistemas en dichas plataformas... dudo de que las habilidades
de un chico que no estudie sistemas, ni programe excelentemente o se dedique de
lleno a la Seguridad Informática, pueda realmente hacer "algo" en
www.hotmail.com
Pero hay algunas alternativas, veamos:
Puesto número 1: “Probando passwords lógicos y básicos”:
Esta técnica esta basada en un trabajo de inteligencia o
research y conocimiento del dueño de la cuenta, y se intenta introduciendo
passwords/datos como:
Comunes mas usados mundialmente: qwerty, 123456, abc123,
password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos
sobrinos novias ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la
persona, como ser marcas.
Todos los anteriores seguidos de un numero X
Puesto número 2: “Probando passwords que utiliza en
otros lados”
Este es un error muy típico de los usuarios de pc,
utilizar reiteradamente un password en diversos lugares tales como:
MSN ( casi obvio, salvo que algunos utilizan cuentas de
otro tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook
( pop3 )
Documentos
Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexión a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
Es muy posible y relativamente facil conseguir estos que
son – en mayoria - iguales a los que utiliza en la cuenta Hotmail.
Puesto número 3: El siempre vulnerable “factor humano o
ingenieria social”
Mediante engaño al dueño de la cuenta, a un administrador
o mesa de ayuda es posible conseguir, o bien la clave o datos sensibles que nos
llevaran a esta.
- Obtener clave directamente haciendose pasar por la novia,
socio o ser querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se
generara una nueva contraseña )
- Obtenerla mediante el engaño de un fake - falso - site o
un fake mail tipo postal de saludo. ( tipo los mensajes que llegan supuestamente
desde Gusanito.com – estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave
al introducirla )
- Engañando al personal de Hotmail mediante informacion
certera sobre los datos de registro
- Engañando a algun ser querido mediante mail, mensaje o
telefono para obtener algun dato relevante que nos lleve a la clave o a la
pregunta secreta, o bien, datos de registro.
- Engañando a empleados de ISP, foros, hostings, o bien
para sacar datos relevantes o bien cambiar la casilla y hacer retrieve de un
password para probar en otra cuenta
- Engañando al usuario mediante un mail “oficial”
fixticio de Hotmail o MSN
- Engañarlo mediante el traspaso de sofware malware ( .exe
maliciosos u otros ejecutables, ya sea troyanos indetectables, administradores
remotos o habilitadores de puertos para ejecuscon de comandos shell / de consola
), msn fakes, juegos fakes, movies fakes etc
Puesto número 4: “Grabando las pulsaciones de su
teclado... o de un teclado que vaya a usar”
Keylogger es el nombre que se le da a una utilidad que
graba las pulsaciones de teclado, como ser las claves o passwords. Estos pueden
ser usados en:
- En la casa ( con solo sentarse, descargar un .exe y dar
dos clicks para instalarle un programa que envie sus pulsaciones a una casilla
de correo nuestra ) inclusive remotamente seria posible instalarle tal programa.
- En cibers ya sea desde una terminal especialmente
monitoreada
- En en el trabajo desde una terminal especialmente
monitoreada
- En la facultad desde una terminal especialmente
monitoreada
- En la maquina de su hotel o residencia de paso en una
terminal especialmente monitoreada
- En cualquier otra maquina publica o privada preparada
para tal fin, como por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una
terminal para chequear su cuenta.
Salvo en la casa, en el resto el usuario puede ser
facilmente inducido a utilizar “tal” maquina para navegar en internet y
posterior chequeo de mails.
Puesto número 5: “Sacar claves almacenadas de su ISP”
El ISP es el proveedor de internet, generalmente al ser
grandes entornos de un gran número de servidores y aplicaciones, mas una serie
de errores ligados al factor Humano ( administradores ), es muy común encontrar
vulnerabilidades y por consiguiente explotarlas, alli suelen estar guardados una
serie de passwords del dueño de la cuenta de Hotmail, estos passwords suelen
ser en la mayoria de las veces, iguales a los de la cuenta que buscamos, ya sea
en entornos Windows, Linux o Unix, es posible encontrarlas, en modo plano o
encriptadas, pero de una u otra forma es posible conseguirlas.
Lo que varia siempre es el tiempo que toma, suele tornarse
arduo, pero el fin siempre justifica(?) los medios.
Puesto número 6: “Sacando claves en tránsito desde
servidores, sniffing.”
Con utilidades que se denominan sniffers, es posible tomar
la sesion en Hotmail de muchos modos y hasta incluso la clave codificada.
Ejemplo de log capturado con una cuenta de Yahoo utilizando
la aplicacion Dsniff:
--------
02/14/05 12:53:53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128
(http)
GET
http://login.yahoo.com/config/login?.tries=&.src=ym&.md5=&.hash=
&.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&.
v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode=
&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX&
passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1
HTTP/1.0
Host:
login.yahoo.com
-------
Esta técnica puede llevarse a cabo con tráfico de red tránsito
en cualquier server o proxy del tipo ciber, trabajo, universidad o ISP. Solo se
trata de interferir el paso de los datos, analizarlo / capturarlo.
Puesto número 7: “Por retrieve: enviarla a otro mail del
cual si tenemos acceso.
Generalmente para registrar se da un mail alternativo o de
alguna u otra manera se lo puede colocar alli. A veces es mas facil tener acceso
a ese mail alternativo que al principal, con lo cual o bien: podemos conseguir
datos sensibles o finalmente la clave.
Puesto número 8: “Por explotación mediante exploits a
la máquina del user
Exploit remotos, programas de conexión mediante
vulnerabilidades de algunos servicios... ejecución de comandos remotos con
privilegios, esos permiten hacerse de la terminal del usuario ( mal
administrada, insegura ) por consiguiente: robo de las claves o información
sensible para conseguir esta.
Puesto número 9: “Por sustracción de claves en
aplicaciones y servidores de terceros:
Si tenemos acceso a un servidor que almacena claves, como
en el caso del ISP, es posible que estas coincidan con el password que se esta
buscando.
Algunas databases de foros son facilmente extraibles como
lo he demostrado algunas veces, como asi tambien todos los datos de registro y
hasta ip(s). Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber
los mails e inclusive a quien pertenecen los mails y por consiguiente todos los
datos reales o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele
proveer tambien demasiada informacion util.
Puesto número 10: “Por sustracción de documentos
mediante netbios u otro servicio de una terminal descuidada o insegura.”
Windows tiene en su instalación por defecto y por la
accion de administradores sin experiencia en seguridad, servicios o fallas que
permiten extraer documentos de texto y otros, de la misma máquina. Si el
usuario tiene sus claves en un .txt este podria ser facilmente sustraido o
copiado a una maquina remota. Por ejemplo mediante el programa comercial
Languard Scan ( fui betatester de esta aplicación hace 5 años cuando se
llamaba R3x ) y alguna carpeta compartida via Netbios. Un usuario avanzado de
ms-dos podria hacerlo solo mediante algunos comandos y algunas aplicaciones del
resource kit.
En linux es similar la simplicidad de un server descuidado,
dada las fallas que tienen actualmente sus kernels y servicios de
autentificacion.
Demistificando métodos, no aplicables:
Fuerza Bruta
No es posible hacerlo ya que la cuenta se traba cada tantos
intentos, descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de
attemps ( intentos ) como los ISP.
Mail falso de servicio de recuperacion de passwords
Ese cuento de enviar un supuesto mail a Hotmail con un user
y un password no se lo creen ni los niños, ademas no se cual es la gracia de
conseguir el password de una cuenta cualquiera de Hotmail, pudiendo registrar
miles gratuitamente.
Aplicaciones varias
Suelen ser troyanos o binarios (.exe) que se descargan de
sitios que dicen tener “utilidades de hacking”, nada mas lejos que eso, son
sitios de chicos que tienen mucho tiempo de sobra y una muy buena dosis de
fantasia. No existen sitios de hacking en español, si ediciones tipo e-zines y
estas son contadas con los dedos de una mano. Los mas usuales ahora son los MSN
6 fakes, utilidades que simulan ser el msn original y al ejecutarlos piden user
contraseña y los guardan en un archivo.
La insólita historia de Jorge Machado y Hotmail
Esta seguidilla de “items” está dirigida a todos aquellos
que vienen preguntando (generaciones enteras de chicos o novios/maridos) como
seria posible conseguir una clave Hotmail, por supuesto que para el resto de la
gente hay una serie de recomendaciones a seguir para no sufran una invasión de
su privacidad.
Aquí no se detallará ninguno de los procedimientos ni se
escribirá con demasiados términos informáticos dado al público que esta
dirigido > usuarios comunes de PC c/ MSN +Hotmail
En síntesis: es imposible sacarla de los servidores de
Hotmail a menos que haya una falla en estos o en las aplicaciones/servicios que
estan allí funcionando, dado que cuentan con un grupo de los mejores
administradores de sistemas en dichas plataformas... dudo de que las habilidades
de un chico que no estudie sistemas, ni programe excelentemente o se dedique de
lleno a la Seguridad Informática, pueda realmente hacer "algo" en
www.hotmail.com
Pero hay algunas alternativas, veamos:
Puesto número 1: “Probando passwords lógicos y básicos”:
Esta técnica esta basada en un trabajo de inteligencia o
research y conocimiento del dueño de la cuenta, y se intenta introduciendo
passwords/datos como:
Comunes mas usados mundialmente: qwerty, 123456, abc123,
password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos
sobrinos novias ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la
persona, como ser marcas.
Todos los anteriores seguidos de un numero X
Puesto número 2: “Probando passwords que utiliza en otros
lados”
Este es un error muy típico de los usuarios de pc, utilizar
reiteradamente un password en diversos lugares tales como:
MSN ( casi obvio, salvo que algunos utilizan cuentas de otro
tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook (
pop3 )
Documentos
Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexión a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
Es muy posible y relativamente facil conseguir estos que son
– en mayoria - iguales a los que utiliza en la cuenta Hotmail.
Puesto número 3: El siempre vulnerable “factor humano o
ingenieria social”
Mediante engaño al dueño de la cuenta, a un administrador o
mesa de ayuda es posible conseguir, o bien la clave o datos sensibles que nos
llevaran a esta.
- Obtener clave directamente haciendose pasar por la novia,
socio o ser querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se
generara una nueva contraseña )
- Obtenerla mediante el engaño de un fake - falso - site o
un fake mail tipo postal de saludo. ( tipo los mensajes que llegan
supuestamente desde Gusanito.com – estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave al
introducirla )
- Engañando al personal de Hotmail mediante informacion
certera sobre los datos de registro
- Engañando a algun ser querido mediante mail, mensaje o
telefono para obtener algun dato relevante que nos lleve a la clave o a la
pregunta secreta, o bien, datos de registro.
- Engañando a empleados de ISP, foros, hostings, o bien para
sacar datos relevantes o bien cambiar la casilla y hacer retrieve de un
password para probar en otra cuenta
- Engañando al usuario mediante un mail “oficial” fixticio
de Hotmail o MSN
- Engañarlo mediante el traspaso de sofware malware ( .exe
maliciosos u otros ejecutables, ya sea troyanos indetectables, administradores
remotos o habilitadores de puertos para ejecuscon de comandos shell / de
consola ), msn fakes, juegos fakes, movies fakes etc
Puesto número 4: “Grabando las pulsaciones de su teclado...
o de un teclado que vaya a usar”
Keylogger es el nombre que se le da a una utilidad que graba
las pulsaciones de teclado, como ser las claves o passwords. Estos pueden ser
usados en:
- En la casa ( con solo sentarse, descargar un .exe y dar
dos clicks para instalarle un programa que envie sus pulsaciones a una casilla
de correo nuestra ) inclusive remotamente seria posible instalarle tal
programa.
- En cibers ya sea desde una terminal especialmente
monitoreada
- En en el trabajo desde una terminal especialmente
monitoreada
- En la facultad desde una terminal especialmente
monitoreada
- En la maquina de su hotel o residencia de paso en una
terminal especialmente monitoreada
- En cualquier otra maquina publica o privada preparada para
tal fin, como por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una
terminal para chequear su cuenta.
Salvo en la casa, en el resto el usuario puede ser
facilmente inducido a utilizar “tal” maquina para navegar en internet y
posterior chequeo de mails.
Puesto número 5: “Sacar claves almacenadas de su ISP”
El ISP es el proveedor de internet, generalmente al ser
grandes entornos de un gran número de servidores y aplicaciones, mas una serie
de errores ligados al factor Humano ( administradores ), es muy común encontrar
vulnerabilidades y por consiguiente explotarlas, alli suelen estar guardados una
serie de passwords del dueño de la cuenta de Hotmail, estos passwords suelen
ser en la mayoria de las veces, iguales a los de la cuenta que buscamos, ya sea
en entornos Windows, Linux o Unix, es posible encontrarlas, en modo plano o
encriptadas, pero de una u otra forma es posible conseguirlas.
Lo que varia siempre es el tiempo que toma, suele tornarse
arduo, pero el fin siempre justifica(?) los medios.
Puesto número 6: “Sacando claves en tránsito desde
servidores, sniffing.”
Con utilidades que se denominan sniffers, es posible tomar
la sesion en Hotmail de muchos modos y hasta incluso la clave codificada.
Ejemplo de log capturado con una cuenta de Yahoo utilizando
la aplicacion Dsniff:
--------
02/14/05 12:53:53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128
(http)
GET
http://login.yahoo.com/config/login?.tries=&.src=ym&.md5=&.hash=
&.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&.
v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode= &pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX&
passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1
HTTP/1.0
Host:
login.yahoo.com
-------
Esta técnica puede llevarse a cabo con tráfico de red
tránsito en cualquier server o proxy del tipo ciber, trabajo, universidad o
ISP. Solo se trata de interferir el paso de los datos, analizarlo / capturarlo.
Puesto número 7: “Por retrieve: enviarla a otro mail del
cual si tenemos acceso.
Generalmente para registrar se da un mail alternativo o de
alguna u otra manera se lo puede colocar alli. A veces es mas facil tener
acceso a ese mail alternativo que al principal, con lo cual o bien: podemos
conseguir datos sensibles o finalmente la clave.
Puesto número 8: “Por explotación mediante exploits a la
máquina del user
Exploit remotos, programas de conexión mediante
vulnerabilidades de algunos servicios... ejecución de comandos remotos con
privilegios, esos permiten hacerse de la terminal del usuario ( mal
administrada, insegura ) por consiguiente: robo de las claves o información
sensible para conseguir esta.
Puesto número 9: “Por sustracción de claves en aplicaciones
y servidores de terceros:
Si tenemos acceso a un servidor que almacena claves, como en
el caso del ISP, es posible que estas coincidan con el password que se esta
buscando.
Algunas databases de foros son facilmente extraibles como lo
he demostrado algunas veces, como asi tambien todos los datos de registro y
hasta ip(s). Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber
los mails e inclusive a quien pertenecen los mails y por consiguiente todos los
datos reales o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele
proveer tambien demasiada informacion util.
Puesto número 10: “Por sustracción de documentos mediante
netbios u otro servicio de una terminal descuidada o insegura.”
Windows tiene en su instalación por defecto y por la accion
de administradores sin experiencia en seguridad, servicios o fallas que
permiten extraer documentos de texto y otros, de la misma máquina. Si el
usuario tiene sus claves en un .txt este podria ser facilmente sustraido o
copiado a una maquina remota. Por ejemplo mediante el programa comercial
Languard Scan ( fui betatester de esta aplicación hace 5 años cuando se llamaba
R3x ) y alguna carpeta compartida via Netbios. Un usuario avanzado de ms-dos
podria hacerlo solo mediante algunos comandos y algunas aplicaciones del
resource kit.
En linux es similar la simplicidad de un server descuidado,
dada las fallas que tienen actualmente sus kernels y servicios de
autentificacion.
Demistificando métodos, no aplicables:
Fuerza Bruta
No es posible hacerlo ya que la cuenta se traba cada tantos intentos,
descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de attemps (
intentos ) como los ISP.
Mail falso de servicio de recuperacion de passwords
Ese cuento de enviar un supuesto mail a Hotmail con un user
y un password no se lo creen ni los niños, ademas no se cual es la gracia de
conseguir el password de una cuenta cualquiera de Hotmail, pudiendo registrar
miles gratuitamente.
Aplicaciones varias
Suelen ser troyanos o binarios (.exe) que se descargan de
sitios que dicen tener “utilidades de hacking”, nada mas lejos que eso, son
sitios de chicos que tienen mucho tiempo de sobra y una muy buena dosis de
fantasia. No existen sitios de hacking en español, si ediciones tipo e-zines y
estas son contadas con los dedos de una mano. Los mas usuales ahora son los MSN
6 fakes, utilidades que simulan ser el msn original y al ejecutarlos piden user
contraseña y los guardan en un archivo.
La insólita historia de Jorge Machado y Hotmail
http://www.perantivirus.com/sosvirus/pregunta/hotmail.htm
Fallas históricas de Hotmail
http://search.securityfocus.com/swsearch?query=hotmail&sbm=archive%2F1%2F&sub
Recomendaciones para todo aquel que utilice MSN o Hotmail:
* Al registrar la cuenta no utilizar datos verdaderos y
guardar estos.
* Utilizar una respuesta secreta totalmente incoherente y
guardarla.
* No darle el mail a cualquiera
* Utilizar una clave alfanumérica de mas de 8 digitos
* Guardar los datos de registro incluyendo repuesta secreta
* Tener el sistema Windows administrado, actualizado y
disponer de un antivirus, firewall y aplicaciones de mensaje o mails en su
ultima versión.
* Utilizar IEprivacykeeper para no dejar archivos temporales
de nuestros correos
* No utilizar Internet Explorer, usar como mínimo Firefox
* No guardar los passwords en texto plano y menos en la pc
* No utilizar correo pop3
* Si le llega una postal y al abrirla te pide clave y
usuario de Hotmail no los coloque, es un falso sitio para robarselo.
* Utilizar logueo seguro ( SSL )
* La beta 7 de MSN es muy estable actualmente y de usar
algun patch para MSN utilizar el messpatch.
* No acceder a nuestra cuenta desde máquinas publicas
* No aceptar a cualquiera en nuestro listado de contactos
MSN
* Hay prestadores de servicios de correo muy superiores como
ser Gmail o Lycos