Page 1

.......................................................... Atención: Declino toda reponsabilidad, del mal uso que cualquier lector pueda dar a la información contenida en este documento. Mi fin no es el de incitar al delito o romper la intimidad de las personas en la red, si no únicamente lo presento con fines didácticos. .......................................................... Técnicas de ciberdetective en la red. 1 - Introducción. 2 - ¿Qué podemos esperar conseguir?. 3 - La dirección IP. 3.1 - De un mensaje de correo electrónico. 3.2 - De un mensaje enviado a las news. 3.3 - De una conexión al IRC. 3.4 - De un fichero de trazas. 3.5 - Tenemos la IP, ¿Y ahora qué? 4 - Otros datos básicos. 4.1 - El Nick. 4.2 - Nombre y apellidos. 5 - Pasando a la acción. 5.1 - Buscando su "entorno". 5.1.1 - Investigando en las news. 5.1.2 - Investigando el Nick en el IRC. 5.2 - Buscando su email, (LDAP). 5.3 - Husmeando en su empresa. 5.4 - Buscando su o sus página(s) web. 5.5 - Buscando su número de teléfono y o su dirección. 5.6 - ¿Existe una dirección de correo?. 6 - Técnicas de espionaje. 6.1 - KeyLogger. 6.2 - Troyanos, sniffers, y herramientas de cracker. 6.3 - Espiando la caché del navegador. 6.4 - Usando un proxi. 7 - Recopilación de URLs. 1 - Introducción. Ultimamente proliferan en la red, sobre todo en USA, ciertas utilidades de Pagoware, que se anuncian como perfectas para conseguir todos los datos de alguien. Su funcionamiento sería el siguiente, le pasas uno o más datos de entrada, como un mensaje de email que has recibido de alguien, y la aplicación se pone a buscar en la red, al cabo de un par de horas, o antes si la red está en buenas condiciones, es posible que tengas la dirección completa del emisor del mensaje, con su número de teléfono. en otros casos, algunos datos parciales, que pueden ser o no ser suficientes. ¿Como lo hacen?,

su

funcionamiento

interno

se

basa

en

la


consulta de bases de datos públicas accesibles a todo el mundo en la red. Esas aplicaciones, sólo funcionan, en el supuesto de que quieras buscar a alguien de USA. Los demás, tendremos que conformarnos con saber donde están esas bases de datos, y usarlas manualmente, de esta forma podremos ahorrarnos el coste del pagoware o usar su correspondiente crack. :) 2 - ¿Qué podemos esperar conseguir? Hacer una investigación en la red, es una tarea que aparentemente es compleja, aunque una vez que se conoce su mecanismo, puede ser realizada por cualquier usuario. Uno de los aspectos más curiosos, es que los resultados que se pueden obtener, son de lo más variados, según el cuidado que tenga un usuario de la red en ocultar sus huellas, puede que no consigamos absolutamente nada, o puede que lo consigamos todo. En la mayoría de los casos, lo más que conseguiremos, será, el ISP desde el que se conecta el usuario, aunque en muchas ocasiones, buscando conseguiremos buenos resultados. Lo primero a tener en cuenta, al empezar una investigación, es que cualquier dato, por insignificante que parezca, puede ser importante, incluso si conoces alguno de los gustos o aficciones de la persona a la que quieres investigar, puede ser importante para saber por donde buscar. Existen muchas reglas fijas o procedimientos para llevar a cabo la investigación, pero, también es importante la intuición y la imaginación y eso es muy difícil de plasmar aquí. MUY IMPORTANTE: A veces, los pueden no ser correctos, por de dos usuarios con el mismo "celedonio" en el IRC, puede escribe en las news.

cruces de datos que hagamos, ejemplo, puede darse el caso nick, alguien con el Nick no ser un "Celedonio" que

3 - La dirección IP. Número de 32 bits, representado de la forma a.b.c.d, donde a.b.c.d son números que van del 0 al 255. En un momento dado, no pueden existir en la red dos usuarios con la misma IP. Algunas veces, un usuario puede tener dirección IP fija, o bién se conecta desde una empresa, o un cibercafé, o bién es usuario de cable. En otras ocasiones, se conecta mediante módem analógico o RDSI, por lo que su dirección IP, cambia de conexión a conexión. Cuando un usuario desconecta o se cae, su dirección IP pasa a disposición de otros usuarios que se conecten a partir de ese momento. Una dirección IP se puede obtener a partir de: 3.1 - De un mensaje de correo electrónico. Mirando la cabecera, del mensaje, podemos hallar la IP desde la que se envía un mensaje. Es probable, que un usuario avanzado use alguna técnica para enmascarar su IP, como un proxi o un software anonimizador. Aunque la mayoría de los usuarios, no usan ni saben usar técnicas de ocultación. Para ver la cabecera de un mensaje:


En Outlook Express, pinchar con el botón derecho en el mensaje, y en el menú que aparece seleccionar "propiedades", y pinchar en pestaña "Detalles", si queremos ver la cabecera con mayor comodidad, pinchamos en el botón "Cód fuente del mensaje". En el lector de correo de Netscape, para ver la cabecera de un mensaje, lo seleccionamos, y vamos al menú "ver->fuente". La dirección IP la encontraremos en comienza con la palabra "Received".

la

primera

línea

que

Un ejemplo: Received: from mail.kamikaze.es (218.57.116.10) En este caso tenemos la IP 218.57.116.10 3.2 - Un mensaje enviado a las news. Los mensajes enviados a las news, son muy similares a los de correo electrónico, y tienen cabecera, como los de correo electrónico. Las cabeceras de los mensajes de news, se misma forma que en el correo electrónico, cabecera a mirar es "NNTP-Posting-Host:"

consiguen el campo

de de

la la

Un ejemplo: NNTP-Posting-Host: usuario36.uni2.es (62.36.147.81) 3.3 - Una conexión al IRC. Según la red en la que estemos, podemos hayar la IP de otro usuario mediante la órden /whois. En algunas redes, usan un sistema de IPs virtuales, que impide que se pueda ver la IP de otro usuario, o sustituyen el último número por XXX. En esta último caso, al menos conocemos el dominio, algo es algo, veremos que podemos hacer con eso. 3.4 - Un fichero de trazas. Un servidor proxi o un cortafuegos, suelen dejar ficheros de trazas con los intentos de conexión recibidos. No conviene fiarse al 100x100 de los ficheros de trazas, en muchas ocasiones las tramas recibidas no son intentos de conexión, si no ataques DoS y este tipo de ataques suelen usar IP spoofing. Si se trata de varios escaneos al mismo tiempo desde varias IP, es posible que se trate de un escaneo con señuelo y solo una o ninguna de las IPs sea autentica. 3.5 - Tenemos la IP, ¿Y ahora qué? Ya tenemos la dirección IP, ¿y ahora qué?. Mirando en la base de datos RIPE, bien sea desde su página web, (www.ripe.net), o haciendo un telnet, o usando un cliente de "whois" se puede hallar, a qué empresa o usuario pertenece esa IP. En la mayoría de las ocasiones, tendremos que esa pertenece a un ISP, y es muy probable que sea lo máximo

IP, que


podamos conseguir. De todas formas, no todavía quedan algunas cartas por jugar.

os

preocupeis,

De momento, anotamos cuidadosamente en un papel o en un todo lo que sabemos hasta ahora y proseguimos con investigación, ya encajaremos datos.

TXT la

Si vamos detras de un spammer, basta con enviar un mensaje de queja a la persona de contacto que aparece en la base de datos RIPE. Adjuntando la cabecera del mensaje como muestra. Para más detalles, ver la FAQ de spam. 4 - Otros datos básicos. De momento, sea cual sea el caso, si tenemos suerte, probable que tengamos algunos datos interesantes:

es

Si lo que tenemos es un correo electrónico o un mensaje de las news, aparte de la dirección IP, podemos extraer los siguientes datos: - El nick del usuario. - Nombres y apellidos, (en muy pocas ocasiones). - ISP o empresa, (tratado en un punto anterior) En cualquier caso, conviene fijarse bién, en todos los campos, pues a veces podemos encontrarnos con sorpresas tales como una segunda dirección de correo, o incluso, el campo "organización", puede ser autentico, "a veces". 4.1 - El Nick Si se trata de un troll o alguien que ha aparecido de repente para flamearnos en las news y que nunca hayamos visto antes, ¿para que engañarnos?, no nos sirve de nada, en los demás casos, nos quedamos con el nick. En muchas ocasiones, el nick es un personaje de película, o tebeo, o dibujos animados. En otra, es una contracción del nombre y apellidos, por ejemplo, la primera letra del nombre más el primer apellido. Quizás podamos deducir algo a partir de ahí. 4.2 - Nombre y apellidos. Muchos usuarios, suelen publicar nombres y apellidos en la red, es bastante probable incluso, que suelan la URL de su web, donde podemos encontrar su curriculum, y hasta su número de teléfono. Este es el caso contrario a un troll, que intenta ocultarse deliveradamente. Por supuesto, también existe el riesgo de que sean falsos o que siendo ciertos, el segundo nombre (si es compuesto) o un apellido, hayan sido sustituidos por una inicial, o que estando completo, sea muy común. 5 - Pasando a la acción. 5.1 - Buscando su "entorno". 5.1.1 - Investigando en las news. Si es alguien que envía

mensajes

a

los

foros

de

news,


es posible, que también frecuente otros foros, aunque con otro nombre y otra personalidad y cambiando de servidor de news. Intentar hacer indagaciones, comparando mensajes, es bastante laborioso, y por eso os propongo la siguiente técnica: "Usar un antivirus para encontrar similitudes", si como suena, un antivirus. Algunos antivirus, permiten que el usuario pueda definir sus propias cadenas de búsqueda, de tal forma, que si defino la cadena "aaabbbccc MiVirus", cada vez que encuentre esa cadena en un fichero, obtendré una alerta avisandome de la existencia del virus "MiVirus". Como antivirus, puede usar alguna versión antigua para DOS del scan de McAfee, probablemente tenga un disquette antiguo de alguna revista de informática o conozca a alguien que lo tenga. Para usar esta técnica, nos bajamos las cabeceras de todos los foros y escaneamos con el antivirus, los ficheros donde el lector de news, almacena las cabeceras de los mensajes leidos. Podemos intentar buscar coincidencias diversas, por ejemplo mensajes que posean la misma dirección IP de origen, podemos encontrarnos, con que el usuario Bartolo que escribe en el foro de jardineria con el NetScape Navigator, a una hora determinada, tiene la misma IP que el usuario "[^DeStRoZoN^]" en el foro de hackers, en este caso, si hay muy poco tiempo entre los mensajes de "[^DeStRoZoN^]" y los mensajes de "Bartolo", es muy posible que sean la misma persona, y si hay alguna coincidencia más, pues son la misma persona. Hasta hace poco, también podiamos buscar a alguien en el IRC Hispano, usando la órden /who, de tal forma, que si ves aparecer, un mensaje en las news, si además está conectada al IRC, deberíamos saber en qué canales está y con qué nick. Aunque esto no sea ya posible hacerlo en el IRC Hispano, debido a las direcciones virtuales, si es posible hacerlo en otras redes. Por otro lado, también es una buena idea, buscar listas de correo que puedan ser del gusto del objetivo, si por ejemplo alguien se mueve por el foro de motos, buscamos listas de correo de motos. 5.1.2 - Investigando el Nick en el IRC. Si tenemos localizado al objetivo en el algunas preguntas que podríamos hacernos:

IRC,

¿Qué canales frecuenta? En la mayoría de las redes, podemos usar la órden: /whois objetivo

existen


Siendo "objetivo" el nick que estamos investigando. ¿Tiene su nick registrado? En el caso del IRC Hispano. /msg nick info objetivo Si se trata de otras redes, consultar el correspondiente.

manual

del

bot

¿Es habitual de algún canal de IRC?, ¿Ese canal de IRC tiene página web?. Si un canal de IRC tiene página web, suelen ponerla en el topic, o en el mensaje de entrada. Quiás hasta podamos ver una foto del "objetivo". ¿De qué va ese canal?, ¿Algún hobby quizá?, ¿Existen listas de correo para ese hobby? Quizá vaya siendo hora de entrar de incognito en esos canales, si es conocido en esos canales, para que no lo reconozcan, mejor, cambie de cliente de IRC, o reconfigure el que tiene totalmente. Ojo con los mensajes de entrada y salida, y lo que hace el script. 5.2 - Buscando su email, (LDAP) Existen bases de datos públicas con direcciones de correo, estas bases de datos, son accesibles mediante el protocolo LDAP, tanto el cliente de correo de NetScape como OutLook, disponen de clientes LDAP que permiten hacer búsquedas en varias de estas bases de datos. En OutLook, seleccione "Edicción -> Buscar -> Personas" o "Control + O", y seleccione alguna base de datos LDAP como Four 11 o Bigfoot. Existe otra forma de buscar a alguien en Internet, es muy básica, y muy elemental, tanto, que a casi todos se le pasa por alto. Esta forma es "Un buscador". Uno de ellos, muy potente es "google", introduciendo un Nick, es muy probable que encontremos algo. Los resultados son muy diversos. Algunos Nick, son también palabras de algo muy común, un objeto, un protocolo de red, etc, si por ejemplo buscamos a alguien cuyo nick sea "PC", tendríamos miles de resultados, y la búsqueda sería infructuosa. Sin embargo, otras veces, podemos encontrar mensajes envió hace tiempo a listas de correo, algunas de páginas web, etc.

que sus

5.3 - Husmeando en su empresa. A veces, indagando una dirección IP, un mensaje de correo o de news, llegamos hasta una empresa o a una facultad. A veces es fácil debido a que se puede obtener el URL a partir de la dirección de correo, si un mensaje tiene como dirección de respuesta pepe@pepe.com, es probable que


exista un servidor web en pepe.com o en www.pepe.com. En otras ocasiones, si la dirección de correo es falsa, o bién resolviendo la IP o consultando en RIPE, también llegamos. Si la empresa consiste en un proveedor de Internet, un ISP, nos olvidamos del tema, pero si se trata del servidor web de un campus, o de una pequeña o mediana empresa, a veces nos encontramos con listados de profesores, de algunos alumnos, o incluso boletines de notas. Si se trata de una empresa a veces nos encontramos con un apartado donde vienen nombres y apellidos de trabajadores, normalmente equipos de desarrollo, de I+D, de directivos, etc. Recordareis, que en el apartado 4.1, dije que en muchas ocasiones, el nick es una contracción del nombre más apellidos, pues si disponemos de esos listados, podemos intentar buscar coincidencias. Haciendo este tipo de búsquedas he obtenido buenos resultados dos veces: - En una ocasión, encontré a un troll, como se trataba de alguien que en teoría era muy culto, le envié un mensaje avisandole de que un alumno suyo, le estaba haciendo un mal favor, usando su dirección de correo para hacer de troll en las news. Probablemente encontraron al culpable, por que no ha vuelto a aparecer. - En otra ocasión, encontré en una página de contactos, un anuncio que me "molaba" bastante, investigando un poco, la presunta chica en realidad era un director de una empresa de I+D de Barcelona. Le avisé de la broma que le habían gastado, probablemente algún trabajador descontento o despedido. 5.4 - Buscando su o sus página(s) web. En otras ocasiones, tenemos que un usuario se conecta usando un ISP, y como todos sabemos, la mayoría de los ISP proporcionan a sus usuarios, un espacio en web. Es bastante probable que en esa página encontramos datos interesantes. La técnica es la siguiente, ¿como están construidas las URLs de las páginas personales de un ISP dado?, por ejemplo, si se trata de un ISP llamado "ISP", tendríamos alguna de las siguientes direcciones base: http://www.ISP.es http://www.ISP.es/Personales http://personales.ISP.es A lo que sumamos el nick, si estamos buscando la web de un usuario con el nick "objetivo", entonces su página web, podría ser http://web.ISP.es/objetivo/index.html En el siguiente listado, pongo unos cuantos ejemplos de ISPs españoles. Cambiar NICK por el nick que estais buscando. Donde veais una interrogación, va un número que cambia de usuario a usuario. http://web.jet.es/NICK/index.html http://personales.jet.es/NICK/index.html


http://www.teleline.es/personal/NICK/home.htm http://teleline.terra.es/Personal/NICK http://www.airtel.jet/personal/NICK/index.html http://home.worldonline.es/NICK http://www.jazzbohemios.com/jazz?/NICK http://www.inicia.es/de/NICK <-- Puede que el directorio cambie según usuario. Si se trata de un proveedor de páginas gratuitas, la búsqueda se complica un poco más, pues no todas las páginas tienen la misma base y usen una función hash o nombres de paises, ciudades o las web estén agrupadas por temas, una forma de saber si al menos está alguien en esa web consiste en ir al formulario para dar de alta una página nueva e intentar dar de alta su página 5.5 - Buscando su número de teléfono y o su dirección. Existen bases de datos que permiten consultar el titular de un número de teléfono o hallar el número de teléfono de alguien. Hay muchas páginas de este tipo, sobre todo de las operadoras de telefonía. En la sección 7 podrá encontrar algunos URLs interesantes. Recuerde que en muchas ocasiones un usuario solicitan no aparecer en las páginas blancas. 5.6 - ¿Existe una dirección de correo?. En un documento similar a este que escribí hace un año o más, indiqué un método que consistía en acceder a un servidor SMTP mediante un Telnet y usar la órden VRFY cuenta@servidor.com, aunque esta opción está desactivada debido a que era usada por los spammers. Existe otra técnica, que fué descrita hace no mucho por kriptopolis. Se trata de que un documento, al ser abierto, haga un acceso a algún sitio, y actualize un contador. - Cree en algún proveedor gratuito, una página, que no esté dada de alta en ningúyn sitio, y que no esté referenciada desde ninguna página. De tal forma que nadie pueda llegar a esa página por accidente. - Añada un contador de tipo CGI. - La página debe de tener algún contenido, aunque malo.

sea

- Cree algún redireccionador de correo, por ejemplo: Gema454@iname.com Y redireccionelo a la cuenta de que puede ser del objetivo. Envie un mensaje de correo con un siguiente:

correo

contenido

que

piense

........................................

similar

Este es un mensaje multipartes en formato MIME.

al


--------------F5B1EBFCEA4BDC3617969778 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit --------------------------------------------------Gema, esta es una prueba, no se que pasa con el correo que funciona tan mal. Dime si te llega porfa. Te envio el URL que buscabas. --------------F5B1EBFCEA4BDC3617969778 Content-Type: text/html; charset=us-ascii; name="visita" Content-Transfer-Encoding: 7bit Content-Disposition: inline; filename="visita" <HTML> <HEAD> <TITLE>Ventana=window</TITLE> </HEAD> <BODY LINK="#0000ff" VLINK="#800080"> <P> <SCRIPT LANGUAJE="JavaScript"> Ventana=window.open("http://pagina.web.com/eoeo"); </SCRIPT></P> </BODY> </HTML> ¿Que es lo que pasará cuando alguien abra ese mensaje?, si una un lector como el OutLook o NetScape, se le abrirá su navegador que irá automáticamente a la página: http://pagina.web.com/eoeo. Y por supuesto, el contador se incrementará, este truquillo también vale para saber si alguien está leyendo tu correo. Simplemente envie un mensaje a su cuenta del trabajo, y cuando alguien lo abra, sorpresaaaa. 6 - Técnicas de espionaje. En esta sección se mencionan nombres de algunas herramientas que podrían ser usadas en ciberespionaje, aunque queda fuera del proposito de este manual enseñar a usarlas. 6.1 - KeyLogger. Un keylogger es una herramienta, por hartware o software que captura las pulsaciones de teclado y las almacena. El keylogger por hartware se enchufa en el teclado, y dispone de un conector hembra para teclado.

conector conectar

de el

6.2 - Troyanos, sniffers, y herramientas de cracker. Troyano, software que se instala en la máquina del objetivo sin que este se entere, (usando a veces técnicas similares a los virus), y que permite acceder de forma


furtiva a sus ficheros y/o indagar haciendo. Los troyanos conocidos, por los antivirus.

que es lo que está suelen ser detectados

Los sniffers permiten monitorizar la información circula en una red local. Algunas redes son inmunes a sniffers e incluso existen detectores de sniffers.

que los

6.3 - Espiando la caché del navegador. Existen utilidades que permiten saber por qué páginas a estado navegando alguien que ha estado usando un ordenador. 6.4 - Usando un proxi. Si está investigando a alguien que está usando la red de la que es administrador, puede consultar los ficheros de trazas de un proxi para ojear todos los accesos que hace un usuario. 7 - Recopilación de URLs. http://eu-info.kapitol.com/Spain http://www.infobel.com Buscadores que permiten número de teléfono.

saber

a

quién

pertenece

un

http://www.paginas-blancas.net/jsp/index.html Buscador de páginas blancas de telefónica, con enlaces a las páginas blancas de los diferentes paises. Búsqueda por provincias y con callejero. http://www.paginas-amarillas.es/buscador/home-f/html Páginas amarillas de telefónica. http://www.ripe.net/db/whois http://www.arin.net/whois http://www.iana.org/ip-addresses.html http://www.nic.gov/cgi-bin/whois http://ipindex.dragonstar.net http://www.nic.mx/cgi/whois http://www.iana.org ¿A quien pertenece una IP? http://www.networksolutions.com http://www.checkdomain.com ¿A quien pertenece un nombre de dominio? http://www.nic.??? ??? puede ser .es, .fr. .com, .ar, .cl, etc. Busca el propietario de un dominio del tipo ??? http://www.iaf.net Internet@address.finder


Mete un email, y a ver si sale algo. http://www.metacrawler.com http://www.google.com Buscadores ... Agradecimientos a CrinO y Seldon por sus sugenencias y mejoras del presente documento.

Prueba  

Esta es una prueba

Read more
Read more
Similar to
Popular now
Just for you