|
 Esta seguidilla de ?items? est? dirigida a todos aquellos que vienen preguntando (generaciones enteras de chicos o novios/maridos) como seria posible conseguir una clave Hotmail, por supuesto que para el resto de la gente hay una serie de recomendaciones a seguir para no sufran una invasi?n de su privacidad.
Aqu? no se detallar? ninguno de los procedimientos ni se escribir? con
demasiados t?rminos inform?ticos dado al p?blico que esta dirigido >
usuarios comunes de PC c/ MSN +Hotmail
?
En s?ntesis: es imposible sacarla de los servidores de Hotmail a menos que
haya una falla en estos o en las aplicaciones/servicios que estan all?
funcionando, dado que cuentan con un grupo de los mejores administradores de
sistemas en dichas plataformas... dudo de que las habilidades de un chico que no
estudie sistemas, ni programe excelentemente o se dedique de lleno a la
Seguridad Inform?tica, pueda realmente hacer "algo" en
www.hotmail.com
?
Pero hay algunas alternativas, veamos:
?
Puesto n?mero 1: ?Probando passwords l?gicos y b?sicos?:
?
Esta t?cnica esta basada en un trabajo de inteligencia o research y
conocimiento del due?o de la cuenta, y se intenta introduciendo passwords/datos
como:
?
Comunes mas usados mundialmente: qwerty, 123456, abc123, password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos sobrinos novias
ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la persona, como ser
marcas.
Todos los anteriores seguidos de un numero X
?
Puesto n?mero 2: ?Probando passwords que utiliza en otros lados?
?
Este es un error muy t?pico de los usuarios de pc, utilizar reiteradamente
un password en diversos lugares tales como:
?
MSN ( casi obvio, salvo que algunos utilizan cuentas de otro tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook ( pop3 )
Documentos Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexi?n a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
?
Es muy posible y relativamente facil conseguir estos que son ? en mayoria -
iguales a los que utiliza en la cuenta Hotmail.
?
Puesto n?mero 3: El siempre vulnerable ?factor humano o ingenieria social?
?
Mediante enga?o al due?o de la cuenta, a un administrador o mesa de ayuda
es posible conseguir, o bien la clave o datos sensibles que nos llevaran a esta.
?
- Obtener clave directamente haciendose pasar por la novia, socio o ser
querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se generara una
nueva contrase?a )
- Obtenerla mediante el enga?o de un fake - falso - site o un fake mail tipo
postal de saludo. ( tipo los mensajes que llegan supuestamente desde
Gusanito.com ? estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave al introducirla )
- Enga?ando al personal de Hotmail mediante informacion certera sobre los
datos de registro
- Enga?ando a algun ser querido mediante mail, mensaje o telefono para
obtener algun dato relevante que nos lleve a la clave o a la pregunta secreta, o
bien, datos de registro.
- Enga?ando a empleados de ISP, foros, hostings, o bien para sacar datos
relevantes o bien cambiar la casilla y hacer retrieve de un password para probar
en otra cuenta
- Enga?ando al usuario mediante un mail ?oficial? fixticio de Hotmail o
MSN
- Enga?arlo mediante el traspaso de sofware malware ( .exe maliciosos u
otros ejecutables, ya sea troyanos indetectables, administradores remotos o
habilitadores de puertos para ejecuscon de comandos shell / de consola ), msn
fakes, juegos fakes, movies fakes etc
?
Puesto n?mero 4: ?Grabando las pulsaciones de su teclado... o de un
teclado que vaya a usar?
?
Keylogger es el nombre que se le da a una utilidad que graba las pulsaciones
de teclado, como ser las claves o passwords. Estos pueden ser usados en:
?
- En la casa ( con solo sentarse, descargar un .exe y dar dos clicks para
instalarle un programa que envie sus pulsaciones a una casilla de correo nuestra
) inclusive remotamente seria posible instalarle tal programa.
- En cibers ya sea desde una terminal especialmente monitoreada
- En en el trabajo desde una terminal especialmente monitoreada
- En la facultad desde una terminal especialmente monitoreada
- En la maquina de su hotel o residencia de paso en una terminal
especialmente monitoreada
- En cualquier otra maquina publica o privada preparada para tal fin, como
por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una terminal para chequear
su cuenta.
?
Salvo en la casa, en el resto el usuario puede ser facilmente inducido a
utilizar ?tal? maquina para navegar en internet y posterior chequeo de mails.
?
Puesto n?mero 5: ?Sacar claves almacenadas de su ISP?
?
El ISP es el proveedor de internet, generalmente al ser grandes entornos de
un gran n?mero de servidores y aplicaciones, mas una serie de errores ligados
al factor Humano ( administradores ), es muy com?n encontrar vulnerabilidades y
por consiguiente explotarlas, alli suelen estar guardados una serie de passwords
del due?o de la cuenta de Hotmail, estos passwords suelen ser en la mayoria de
las veces, iguales a los de la cuenta que buscamos, ya sea en entornos Windows,
Linux o Unix, es posible encontrarlas, en modo plano o encriptadas, pero de una
u otra forma es posible conseguirlas.
?
Lo que varia siempre es el tiempo que toma, suele tornarse arduo, pero el fin
siempre justifica(?) los medios.
?
Puesto n?mero 6: ?Sacando claves en tr?nsito desde servidores, sniffing.?
?
Con utilidades que se denominan sniffers, es posible tomar la sesion en
Hotmail de muchos modos y hasta incluso la clave codificada.
?
Ejemplo de log capturado con una cuenta de Yahoo utilizando la aplicacion
Dsniff:
?
--------
?
02/14/05 12:53:53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128 (http)
?
GET http://login.yahoo.com/config/login?.tries=&.src=ym&.md5=&.hash=
&.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&.
v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode= &pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX&
passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1
HTTP/1.0
?
Host: login.yahoo.com
?
-------
?
Esta t?cnica puede llevarse a cabo con tr?fico de red tr?nsito en
cualquier server o proxy del tipo ciber, trabajo, universidad o ISP. Solo se
trata de interferir el paso de los datos, analizarlo / capturarlo.
?
Puesto n?mero 7: ?Por retrieve: enviarla a otro mail del cual si tenemos
acceso.
?
Generalmente para registrar se da un mail alternativo o de alguna u otra
manera se lo puede colocar alli. A veces es mas facil tener acceso a ese mail
alternativo que al principal, con lo cual o bien: podemos conseguir datos
sensibles o finalmente la clave.
?
Puesto n?mero 8: ?Por explotaci?n mediante exploits a la m?quina del
user
?
Exploit remotos, programas de conexi?n mediante vulnerabilidades de algunos
servicios... ejecuci?n de comandos remotos con privilegios, esos permiten
hacerse de la terminal del usuario ( mal administrada, insegura ) por
consiguiente: robo de las claves o informaci?n sensible para conseguir esta.
?
Puesto n?mero 9: ?Por sustracci?n de claves en aplicaciones y servidores
de terceros:
?
Si tenemos acceso a un servidor que almacena claves, como en el caso del ISP,
es posible que estas coincidan con el password que se esta buscando.
?
Algunas databases de foros son facilmente extraibles como lo he demostrado
algunas veces, como asi tambien todos los datos de registro y hasta ip(s).
Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber los mails e
inclusive a quien pertenecen los mails y por consiguiente todos los datos reales
o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele proveer
tambien demasiada informacion util.
?
Puesto n?mero 10: ?Por sustracci?n de documentos mediante netbios u otro
servicio de una terminal descuidada o insegura.?
?
Windows tiene en su instalaci?n por defecto y por la accion de
administradores sin experiencia en seguridad, servicios o fallas que permiten
extraer documentos de texto y otros, de la misma m?quina. Si el usuario tiene
sus claves en un .txt este podria ser facilmente sustraido o copiado a una
maquina remota. Por ejemplo mediante el programa comercial Languard Scan ( fui
betatester de esta aplicaci?n hace 5 a?os cuando se llamaba R3x ) y alguna
carpeta compartida via Netbios. Un usuario avanzado de ms-dos podria hacerlo
solo mediante algunos comandos y algunas aplicaciones del resource kit.
?
En linux es similar la simplicidad de un server descuidado, dada las fallas
que tienen actualmente sus kernels y servicios de autentificacion.
?
Demistificando m?todos, no aplicables:
?
Fuerza Bruta
?
No es posible hacerlo ya que la cuenta se traba cada tantos intentos,
descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de attemps (
intentos ) como los ISP.
?
?
Mail falso de servicio de recuperacion de passwords
?
Ese cuento de enviar un supuesto mail a Hotmail con un user y un password no
se lo creen ni los ni?os, ademas no se cual es la gracia de conseguir el
password de una cuenta cualquiera de Hotmail, pudiendo registrar miles
gratuitamente.
?
Aplicaciones varias
?
Suelen ser troyanos o binarios (.exe) que se descargan de sitios que dicen
tener ?utilidades de hacking?, nada mas lejos que eso, son sitios de chicos
que tienen mucho tiempo de sobra y una muy buena dosis de fantasia. No existen
sitios de hacking en espa?ol, si ediciones tipo e-zines y estas son contadas
con los dedos de una mano. Los mas usuales ahora son los MSN 6 fakes, utilidades
que simulan ser el msn original y al ejecutarlos piden user contrase?a y los
guardan en un archivo.
?
?
La ins?lita historia de Jorge Machado y Hotmail
Esta seguidilla de ?items? est? dirigida a todos aquellos que vienen
preguntando (generaciones enteras de chicos o novios/maridos) como seria posible
conseguir una clave Hotmail, por supuesto que para el resto de la gente hay una
serie de recomendaciones a seguir para no sufran una invasi?n de su privacidad.
?
Aqu? no se detallar? ninguno de los procedimientos ni se escribir? con
demasiados t?rminos inform?ticos dado al p?blico que esta dirigido >
usuarios comunes de PC c/ MSN +Hotmail
?
En s?ntesis: es imposible sacarla de los servidores de Hotmail a menos que
haya una falla en estos o en las aplicaciones/servicios que estan all?
funcionando, dado que cuentan con un grupo de los mejores administradores de
sistemas en dichas plataformas... dudo de que las habilidades de un chico que no
estudie sistemas, ni programe excelentemente o se dedique de lleno a la
Seguridad Inform?tica, pueda realmente hacer "algo" en
www.hotmail.com
?
Pero hay algunas alternativas, veamos:
?
Puesto n?mero 1: ?Probando passwords l?gicos y b?sicos?:
?
Esta t?cnica esta basada en un trabajo de inteligencia o research y
conocimiento del due?o de la cuenta, y se intenta introduciendo passwords/datos
como:
?
Comunes mas usados mundialmente: qwerty, 123456, abc123, password...
Numero de DNI
Fecha de nacimiento: normal o invertida
Equipo de futbol favorito
Bandas de musica favoritas
Partes o segmentos de letras de canciones favoritas
Nombres de parientes o seres queridos:
Padres hermanos abuelos bisabuelos esposas amantes hijos sobrinos novias
ahijados o nietos...
Nombre de sus mascotas
Nombre de su barrio
Numero de asociado
Numeros de la suerte
Nombre del ISP
Canciones preferidas
Cosas relacionadas a sus estudios o hobbies
Titulos de libros leidos
Heroes favoritos reales, fixticios o historicos
Todo aquel otro gusto o preferencia que se le conozca a la persona, como ser
marcas.
Todos los anteriores seguidos de un numero X
?
Puesto n?mero 2: ?Probando passwords que utiliza en otros lados?
?
Este es un error muy t?pico de los usuarios de pc, utilizar reiteradamente
un password en diversos lugares tales como:
?
MSN ( casi obvio, salvo que algunos utilizan cuentas de otro tipo de correo )
ICQ
Yahoo
Sitios (FTP login)
Foros y listas online
Outlook ( pop3 )
Documentos Word Access y Excel
Otras cuentas de su poder
Cuentas de sistema
Formularios de IE
RASS (conexi?n a internet, dial up o adsl)
Cuenta maestra del ISP
Paneles de control
Pc de trabajo
Pc de estudio
?
Es muy posible y relativamente facil conseguir estos que son ? en mayoria -
iguales a los que utiliza en la cuenta Hotmail.
?
Puesto n?mero 3: El siempre vulnerable ?factor humano o ingenieria social?
?
Mediante enga?o al due?o de la cuenta, a un administrador o mesa de ayuda
es posible conseguir, o bien la clave o datos sensibles que nos llevaran a esta.
?
- Obtener clave directamente haciendose pasar por la novia, socio o ser
querido, mediante mail, telefono o mensaje.
- Obtener dato para descubrir pregunta secreta ( contra: se generara una
nueva contrase?a )
- Obtenerla mediante el enga?o de un fake - falso - site o un fake mail tipo
postal de saludo. ( tipo los mensajes que llegan supuestamente desde
Gusanito.com ? estos son enviados desde un sitio llamado
hackerloko.com - y son postales fakes para robar la clave al introducirla )
- Enga?ando al personal de Hotmail mediante informacion certera sobre los
datos de registro
- Enga?ando a algun ser querido mediante mail, mensaje o telefono para
obtener algun dato relevante que nos lleve a la clave o a la pregunta secreta, o
bien, datos de registro.
- Enga?ando a empleados de ISP, foros, hostings, o bien para sacar datos
relevantes o bien cambiar la casilla y hacer retrieve de un password para probar
en otra cuenta
- Enga?ando al usuario mediante un mail ?oficial? fixticio de Hotmail o
MSN
- Enga?arlo mediante el traspaso de sofware malware ( .exe maliciosos u
otros ejecutables, ya sea troyanos indetectables, administradores remotos o
habilitadores de puertos para ejecuscon de comandos shell / de consola ), msn
fakes, juegos fakes, movies fakes etc
?
Puesto n?mero 4: ?Grabando las pulsaciones de su teclado... o de un
teclado que vaya a usar?
?
Keylogger es el nombre que se le da a una utilidad que graba las pulsaciones
de teclado, como ser las claves o passwords. Estos pueden ser usados en:
?
- En la casa ( con solo sentarse, descargar un .exe y dar dos clicks para
instalarle un programa que envie sus pulsaciones a una casilla de correo nuestra
) inclusive remotamente seria posible instalarle tal programa.
- En cibers ya sea desde una terminal especialmente monitoreada
- En en el trabajo desde una terminal especialmente monitoreada
- En la facultad desde una terminal especialmente monitoreada
- En la maquina de su hotel o residencia de paso en una terminal
especialmente monitoreada
- En cualquier otra maquina publica o privada preparada para tal fin, como
por ejemplo
- Invitarlo a nuestra casa o donde sea y ofrecerle una terminal para chequear
su cuenta.
?
Salvo en la casa, en el resto el usuario puede ser facilmente inducido a
utilizar ?tal? maquina para navegar en internet y posterior chequeo de
mails.
?
Puesto n?mero 5: ?Sacar claves almacenadas de su ISP?
?
El ISP es el proveedor de internet, generalmente al ser grandes entornos de
un gran n?mero de servidores y aplicaciones, mas una serie de errores ligados
al factor Humano ( administradores ), es muy com?n encontrar vulnerabilidades y
por consiguiente explotarlas, alli suelen estar guardados una serie de passwords
del due?o de la cuenta de Hotmail, estos passwords suelen ser en la mayoria de
las veces, iguales a los de la cuenta que buscamos, ya sea en entornos Windows,
Linux o Unix, es posible encontrarlas, en modo plano o encriptadas, pero de una
u otra forma es posible conseguirlas.
?
Lo que varia siempre es el tiempo que toma, suele tornarse arduo, pero el fin
siempre justifica(?) los medios.
?
Puesto n?mero 6: ?Sacando claves en tr?nsito desde servidores, sniffing.?
?
Con utilidades que se denominan sniffers, es posible tomar la sesion en
Hotmail de muchos modos y hasta incluso la clave codificada.
?
Ejemplo de log capturado con una cuenta de Yahoo utilizando la aplicacion
Dsniff:
?
--------
?
02/14/05 12:53:53 tcp 10.1.2.11.1087 -> 10.1.2.121.3128 (http)
?
GET
http://login.yahoo.com/config/login?.tries=&.src=ym&.md5=&.hash=
&.js=1&.last=&promo=&.intl=us&.bypass=&.partner=&.u=2oj6do45aq4&.
v=0&.challenge=BwU2pez0HmHv4oNJ_3knCX2w&.yplus=&.emailCode=
&pkg=&stepid=&.ev=&hasMsgr=1&.chkP=Y&.done=&login=pepeXXX&
passwd=eb00617e428f7f4b8ea9cd1&.persistent=&.save=1&.hash=1&.md5=1
HTTP/1.0
?
Host: login.yahoo.com
?
-------
?
Esta t?cnica puede llevarse a cabo con tr?fico de red tr?nsito en
cualquier server o proxy del tipo ciber, trabajo, universidad o ISP. Solo se
trata de interferir el paso de los datos, analizarlo / capturarlo.
?
Puesto n?mero 7: ?Por retrieve: enviarla a otro mail del cual si tenemos
acceso.
?
Generalmente para registrar se da un mail alternativo o de alguna u otra
manera se lo puede colocar alli. A veces es mas facil tener acceso a ese mail
alternativo que al principal, con lo cual o bien: podemos conseguir datos
sensibles o finalmente la clave.
?
Puesto n?mero 8: ?Por explotaci?n mediante exploits a la m?quina del
user
?
Exploit remotos, programas de conexi?n mediante vulnerabilidades de algunos
servicios... ejecuci?n de comandos remotos con privilegios, esos permiten
hacerse de la terminal del usuario ( mal administrada, insegura ) por
consiguiente: robo de las claves o informaci?n sensible para conseguir esta.
?
Puesto n?mero 9: ?Por sustracci?n de claves en aplicaciones y servidores
de terceros:
?
Si tenemos acceso a un servidor que almacena claves, como en el caso del ISP,
es posible que estas coincidan con el password que se esta buscando.
?
Algunas databases de foros son facilmente extraibles como lo he demostrado
algunas veces, como asi tambien todos los datos de registro y hasta ip(s).
Nic.ar tiene hasta el dia de hoy serias fallas que permiten saber los mails e
inclusive a quien pertenecen los mails y por consiguiente todos los datos reales
o fixticios de registro, dni, etc. Google, Altavista y Yahoo suele proveer
tambien demasiada informacion util.
?
Puesto n?mero 10: ?Por sustracci?n de documentos mediante netbios u otro
servicio de una terminal descuidada o insegura.?
?
Windows tiene en su instalaci?n por defecto y por la accion de
administradores sin experiencia en seguridad, servicios o fallas que permiten
extraer documentos de texto y otros, de la misma m?quina. Si el usuario tiene
sus claves en un .txt este podria ser facilmente sustraido o copiado a una
maquina remota. Por ejemplo mediante el programa comercial Languard Scan ( fui
betatester de esta aplicaci?n hace 5 a?os cuando se llamaba R3x ) y alguna
carpeta compartida via Netbios. Un usuario avanzado de ms-dos podria hacerlo
solo mediante algunos comandos y algunas aplicaciones del resource kit.
?
En linux es similar la simplicidad de un server descuidado, dada las fallas
que tienen actualmente sus kernels y servicios de autentificacion.
?
Demistificando m?todos, no aplicables:
?
Fuerza Bruta
?
No es posible hacerlo ya que la cuenta se traba cada tantos intentos,
descartado de pleno. Solo es aplicable a cuentas pop3 sin limites de attemps (
intentos ) como los ISP.
?
?
Mail falso de servicio de recuperacion de passwords
?
Ese cuento de enviar un supuesto mail a Hotmail con un user y un password no
se lo creen ni los ni?os, ademas no se cual es la gracia de conseguir el
password de una cuenta cualquiera de Hotmail, pudiendo registrar miles
gratuitamente.
?
Aplicaciones varias
?
Suelen ser troyanos o binarios (.exe) que se descargan de sitios que dicen
tener ?utilidades de hacking?, nada mas lejos que eso, son sitios de chicos
que tienen mucho tiempo de sobra y una muy buena dosis de fantasia. No existen
sitios de hacking en espa?ol, si ediciones tipo e-zines y estas son contadas
con los dedos de una mano. Los mas usuales ahora son los MSN 6 fakes, utilidades
que simulan ser el msn original y al ejecutarlos piden user contrase?a y los
guardan en un archivo.
?
?
La ins?lita historia de Jorge Machado y Hotmail
?
http://www.perantivirus.com/sosvirus/pregunta/hotmail.htm
?
?
Fallas hist?ricas de Hotmail
?
http://search.securityfocus.com/swsearch?query=hotmail&sbm=archive%2F1%2F&sub
?
Recomendaciones para todo aquel que utilice MSN o Hotmail:
?
* Al registrar la cuenta no utilizar datos verdaderos y guardar estos.
* Utilizar una respuesta secreta totalmente incoherente y guardarla.
* No darle el mail a cualquiera
* Utilizar una clave alfanum?rica de mas de 8 digitos
* Guardar los datos de registro incluyendo repuesta secreta
* Tener el sistema Windows administrado, actualizado y disponer de un
antivirus, firewall y aplicaciones de mensaje o mails en su ultima versi?n.
* Utilizar IEprivacykeeper para no dejar archivos temporales de nuestros
correos
* No utilizar Internet Explorer, usar como m?nimo Firefox
* No guardar los passwords en texto plano y menos en la pc
* No utilizar correo pop3
* Si le llega una postal y al abrirla te pide clave y usuario de Hotmail no
los coloque, es un falso sitio para robarselo.
* Utilizar logueo seguro ( SSL )
* La beta 7 de MSN es muy estable actualmente y de usar algun patch para MSN
utilizar el messpatch.
* No acceder a nuestra cuenta desde m?quinas publicas
* No aceptar a cualquiera en nuestro listado de contactos MSN
* Hay prestadores de servicios de correo muy superiores como ser Gmail o
Lycos
|
|
Enviado el Miércoles, 13 abril a las 21:51:27 por messeger |
|
|
|
|
| |
|
| ¿Todavía no tienes una cuenta? Puedes crearte una. Como usuario registrado tendrás ventajas como seleccionar la apariencia de la página, configurar los comentarios y enviar los comentarios con tu nombre. |
|
|
|
|
|
Puntuación Promedio: 3.70
votos: 55
|
|
|
|
|
|
