¿Qué es un hacker?

Por "hacker" queremos referirnos a programadores fervientemente dedicados, por hobby, a explotar sus ordenadores al máximo, con resultados útiles para otras personas. Este concepto es contrario al habitualmente aceptado, que dice que un "hacker" es un pirata informático.

Los hackers son personas autodidactas. Les apasiona la informática y hacen todo lo posible para aprender, pero aprender por ellos mismos. Gozan intentando acceder a otros ordenadores. Cuanto más difícil sea el objetivo, cuanto más complejos parezcan los sistemas de seguridad, más disfrutan. Su única meta es divertirse y aprender. A menudo, cuando consiguen acceder, avisan a la empresa responsable y les explican cómo lo hicieron. Así, mejoran el sistema de seguridad de la empresa.

Principios básicos del hacker.

Al principio de la andadura, los pioneros elaboraron sus propias reglas, que aun hoy se consideran básicas aunque no haya un Colegio de Hackers ni un Colegio Profesional. Las más conocidas son las que Steven Levy dicta en su libro Hackers, Heroes of the Computer Revolution (Hackers, Heroes de la Revolución Informática), un clásico en la definición del hacking:

El acceso a las computadoras y a cualquier cosa que pueda enseñarte algo acerca de la forma en que funciona el mundo, debe ser total e ilimitado.
Apelar siempre a la imperativa: ¡Manos a la obra!
Toda información debe ser libre y/o gratuita.
Hay que desconfiar de la autoridad. Hay que promover la descentralización.
Los hackers deberán ser juzgados por sus "hackeos", no por falsos criterios como títulos, edad, raza, o posición.
En un ordenador se puede crear arte y belleza.
Los ordenadores pueden cambiar la vida para mejor.

¿Cuál es la diferencia entre hacker y cracker?

¿Qué es un Cracker?

El tema no es simple. Todos los hackers son crakers en potencia. Un craker hace lo mismo que un hacker, con una salvedad. El craker no lo hace de forma altruista ni por amor al arte. Los crakers suelen tener ideales políticos o filosóficos, suelen estar movidos por su arrogancia, orgullo, egoísmo, necesidad de darse a conocer, o simplemente ambición y avaricia. Un cracker cumple igual que un hacker, pero una vez que accede al sistema, no se da por satisfecho, sino que le “rompe”. Las hazañas típicas de los crakers son la copia de información confidencial, movimientos de pequeñas sumas de dinero y compras a nombre de otros.

Suelen atribuirse los programas crakeadores a los crakers. Esto no es del todo correcto. Los crakers no sólo pueden hacer programas crakeadores, sino mucho más.

¿Qué es un Pirata?

Contrariamente a lo que todo el mundo cree, "pirata" no es la traducción literal de hacker. En España llamamos "piratas informáticos" a los que se dedican a la copia y distribución de software ilegal. Por lo tanto, los piratas informáticos son aquellos que simplemente pinchan sobre el icono copiar disco, siendo el programa y la grabadora los que hacen el resto del trabajo.

El problema que tiene este grupo tal como está actualmente, es la convivencia entre hackers y crackers. Para solucionarlo, se está comenzando a implantar que todos los mensajes referidos realmente a hacking contengan un [H] en el subject. Esto posibilitará en el futuro, cuando todos los hackers lo hayan aceptado (si lo aceptan, claro), colocar los filtros necesarios para recibir sólo este tipo de mensajes.

¿Qué webs tengo que visitar?

http://hispahack.ccc.de
http://underhack.islatortuga.com
http://mail0bscur0.home.ml.org
http://www.arrakis.es\~espadas
http://members.tripod.com/~kaligula/index.html http://www.geocities.com/SiliconValley/Pines/7347
http://jamonyvino.islatortuga.com
http://darkside.islatortuga.com
http://www.geocities.com/SiliconValley/8726
http://bbs.seker.es/~alvy/cripto.html
http://www.geocities.com/SiliconValley/Peaks/9445/
http://www.hackersclub.com/km/
http://ras.netvision.es/bbs
http://members.harborcom.net/~skilskyj/hack.htm
http://www.larc.net/Bloodworld/TRAX
http://www.redestb.es/personal/mih
http://www.hedgie.com/passwords/index.html
http://www.quik.guate.com/liclusky
http://www.geocities.com/Eureka/3588
http://www.espanet.com/metacrak/craks.htm
http://personales.mundivia.es/personales/fharo
http://www.ins-france.com/~bebox/t.htm
http://www.geocities.com/Athens/Olympus/4098/delta.html
http://hack.box.sk/crackz.html
http://eol.grolen.com/diode/cracks/cracka-m.htm
http://www.dlc.fi/~opa69/cracks/cracksr_z.htm
http://www.imn.htwk-leipzig.de/~baumann/crackpro.htm
http://members.tripod.com/~MasterCrack/index.htm
http://www.rootshell.com

Visita otros grupos de news
alt.hack*.*
alt.2600.*

Subscríbete a las siguientes listas de correo

* The happy hacker list [ esta es fundamental para principiantes]:
hacker@techbroker.com
majordomo@techbroker.com

* Bugtraq [ reportes, fallos de seguridad ]
bugtraq@netspace.org
majordomo@netspace.org

* Computer Underground :
cu-digest-request@weber.ucsd.edu
majordomo@weber.ucsd.edu


NOTA: La mayoría de los majordomos envían un fichero con ayuda cuando reciben un mensaje (VACIO).

¿Qué es un buscador?

Un buscador es un megaordenador que guarda información sobre las distintas páginas disponibles en la www. Puedes acceder a él mediante tu navegador y darle una o varias palabras clave sobre los temas que te interesan. Él te proporcionará una serie de links para que puedas seguir investigando sobre el tema.

Preguntar sobre información que puedes encontrar con un buscador esta TERRIBLEMENTE MAL VISTO. El típico ejemplo es el ingenuo que entra a #hackers y pregunta:
"¿alguien me puede dar direcciones de páginas de hack en español?"

Procura asegurarte que no puedes encontrar la información por ti mismo antes de molestar a los demás con preguntas que han oído mil veces. Aunque no encuentres lo que buscas, probablemente encontrarás algo que pueda serte útil en el futuro.

¿Cómo aprendo a hackear?

Recopila todos los datos posibles sobre el sistema que quieras hackear. Enciérrate en una habitación y comienza a leer y tomar notas. Encuentra un trabajo haciendo cualquier cosa en una tienda que tenga el ordenador que quieras hackear. Trabaja gratis si es necesario.

Habla con todo el mundo, pregunta cosas, preséntate voluntario para trabajar hasta tarde y los fines de semana, sólo para que te sea posible aprender más. Recuérdalo TODO. Compra equipamiento e instálalo en tu casa, ataca tu propio sistema con lo que recientemente hayas aprendido. Luego siéntate en el otro lado de la consola y prueba a detectar tu propia intrusión. Vuelve al otro lado y prueba de nuevo ... ¡Como puedes ver este método de hackear es sencillo!

¿Aun sigues preguntando por URL's con tutoriales?, ¿sigues pidiendo instrucciones para hackear?, ¿sigues preguntando cómo se puede aprender a hackear?... Aquí hay una pista: búscalo en la web. Hay un gran número de lugares donde llenar tu cerebro hasta reventar con conocimientos sobre hacking. Deberías aprender ensamblador.

Si tu visión del hacking es como el espejismo que aparece en la televisión o en las novelas... estás completamente equivocado. Hackear requiere:

1) Café
2) Café
3) Nada de alcohol
4) Mas cafeína.

Esto mantendrá tus músculos lo suficiente estimulados para esas horas y horas de trabajo. Hackear no es el agolparse de adrenalina, hackear en un banco está muy lejos del alcance de cualquiera. Así que si quieres hacerlo, te llevará mucho tiempo dominarlo.¡HACKEAR LLEVA AÑOS DE TRABAJO!

No esperes convertirte en un hacker sólo porque has usado un COM para crackear el mIRC... también, si quieres hackear... aprende a trabajar por ti mismo, no vayas preguntando MUCHAS cosas y dando por ahí tu identidad.


Mucha gente quiere leer un libro y aprender a hackear. Pero el hacking no trata de eso. Creo que no habrás hackeado verdaderamente hasta que no encuentres un método por ti mismo. Si aprendes a hackear de un libro o de algún otro tutorial no estas hackeando con tu propio estilo. En la mayoría de los casos esto lleva a un hacking de bajo nivel. Y si eres un hacker de bajo nivel tiendes a ser cogido. Y si te cogen, eso desagradará a la comunidad de hackers. Así que si realmente quieres ser un hacker, no vayas “posteando” mensajes pidiendo que alguien te enseñe algún experimento, y prueba las cosas por ti mismo.

¿Qué son las boxes?

No voy a recitar aquí todas las boxes porque hay muchas. Por citar algunas de las mas conocidas, la Blue Box o la Black Box. Las "cajas" en cuestión son unos trastos que permiten llamadas gratis por teléfono, bien sea desde tu casa o cabina hacia el exterior (las Blue Box) o al revés del exterior hacia el interior o sea de una cabina a tu casa gratis (las Black Box). Se suele decir que la mayoría de las Box no funcionan bien porque se han importado directamente de USA y utilizan una frecuencia diferente, o bien, si funcionan, Telefónica lo advierte casi de inmediato.

¿Qué es la Ingeniería Social?

La ingeniería social es una técnica para obtener passwords; se trata de hacer pasarte por otra persona para obtener el password de una tercera.

¿Qué es la BSA?

> Adobe Systems, Inc.
> Apple Computer Inc.
> Autodesk, Inc.
> Bentley Systems, Inc.
> Lotus Development Corp.
> Microsoft Corp.
> Novell, Inc.
> Symantec Corp.
> The Santa Cruz Operation, Inc.

Es una empresa creada por las empresas que figuran arriba.

Significa Bussines Software Aliance.

Sus verdaderos objetivos son preservar el beneficio económico de las empresas que le sostienen, obligando a los usuarios a consumir sus productos. Estas empresas se están enriqueciendo gracias a que poseen información privilegiada, que debería ser de libre acceso por el bien de la comunidad.

En España es conocida, entre otras cosas, por haber estado espiando durante meses el correo electrónico de usuarios, por haber colaborado con la policía para catalogar como ilegales las páginas del Jamón y el Vino, así como para censurar varios servidores poco afines. http://www.asertel.es/cs/grafico.htm

¿Qué es un spammer y como se le trata?

El spammer es la persona que manda spam, a las news o a los buzones electrónicos. Se considera mensaje spam al que está fuera de la temática del grupo, es decir que es “off topic”, y que además es comercial, por tanto que el que lo postea está intentando sacar con él un beneficio económico.

La forma de tratar el spam depende de qué tipo sea. Si el spammer es un newbie, es decir, si no sabe qué es el spam, basta con decirle que lo está haciendo y mandarle a leer las FAQs. Eso se puede hacer en un e-mail a su dirección electrónica. Si bastante gente se lo manda se puede encontrar con unos cuantos mensajes en su buzón de noticias, no es grave y como aviso es suficiente. Además también se le puede avisar en las news. Eso puede hacer que más personas se animen a hacerlo con otros spammers, pero si todo el mundo contesta al mismo spam se llenaría el grupo de mensajes de queja; con uno que haya basta.

Si el spammer es de verdad, se trata entonces de averiguar cuál es su proveedor de Internet, para mandarle una e-mail de queja en el que se incluya, el propio mensaje spam, y la cabecera. Eso se puede conseguir, de modo fácil, yéndose a la siguiente dirección: http://spamcop.net/hosttracker.shtml y metiendo allí lo que pone en el campo NNTP de la cabecera del mensaje spam. Esa dirección también vale para las páginas web, y para los buzones electrónicos, que pudieran venir en el spam.

Se reconoce al spammer newbie, en general, porque está anunciado una pertenencia propia, porque no enmascara su dirección, etc. No hay una regla definitiva, y más que nada funciona la intuición.

Por otro lado, si posteas algo en el grupo quizás quieras modificar la dirección que viene puesta en la cabecera de tu mensaje para que los robots de los spammers, que inspeccionan las news en busca de direcciones que spammear, no puedan recolectar la tuya de forma correcta. Eso se puede hacer añadiendo algo que, quien lo lea, pueda fácilmente remover.

Y así, por ejemplo, si tu dirección es incauto@servi.es, bastaría que fueras al campo donde tu cliente de news pone tu dirección electrónica y pusieras:

incauto@servi.esxxxQUITADESDELASxxx

Es mejor poner el añadido a remover después de la arroba. Si puedes, incluye mayúsculas y minúsculas, es decir, intenta evitar que pueda ser fácilmente “limpiable” por un programa que edite las direcciones recolectadas. Quizás el mejor método sea poner allí una dirección totalmente falsa, y añadir la buena en la firma, de modo que en vez de poner incauto@servi.es ponga, por ejemplo:

--------------------------------------------------------
ANTI-SPAM incauto at servi.es
Para enviarme mails sustituye *at* por @ y júntalo todo.
--------------------------------------------------------

¿Qué dice la legislacion española sobre hacking?

Ni el hacking, el craking ni la piratería son legales. Sin embargo, de los tres, el más admirado y mejor considerado es el hacking. De hecho, a menudo, las empresas de seguridad informática contratan o consultan a grupos de hackers, ya que son personas muy preparadas y dispuestas a colaborar.

Podéis creer que el hacking es beneficioso y debería ser legal. Pensad que un sábado noche entráis en un banco, forzáis la caja fuerte y llamáis al director de la sucursal para advertirle de lo penoso que es el sistema de seguridad. Puede que el director os esté enormemente agradecido (o puede que se enfadase), pero habéis atentado contra una propiedad privada. En nuestro caso, la propiedad intelectual. Dependiendo del ordenador al que se acceda se pueden aplicar diversas acusaciones (si es de un organismo oficial, atentado contra la seguridad nacional). En el peor de los casos, el hacking se puede considerar como un delito frustrado (un craking incompleto).

Aquí esta el código penal:

Artículo 256.

El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses. Delitos relacionados directa o indirectamente con el hacking.

Artículo 197.

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años.

Artículo 248.

1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.

Artículo 249.

Los reos de estafa serán castigados con la pena de prisión de seis meses a cuatro años, si la cuantía de lo defraudado excediere de cincuenta mil pesetas. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre éste y el defraudador, la medios empleados por éste y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.

Artículo 264.

1. (...)
2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

Artículo 278.

1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos.

Artículo 279.

La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior.

Artículo 623.

Serán castigados con arresto de dos a seis fines de semana o multa de uno a dos meses :
1. (...)
2. (...)
3. (...)
4. Los que cometan estafa, apropiación indebida, o defraudación de electricidad, gas, agua u otro elemento, energía o fluido, o en equipos terminales de telecomunicación, en cuantía no superior a cincuenta mil pesetas.

¿Qué es y como mandar fake-mail?

En primer lugar te aconsejaría que utilizases el Forté Agent (No el Forté Free Agent, sino la versión comercial). Este programa unifica un cliente de News con uno de e-mail y te deja, entre otras muchas cosas, cambiar el From, el Reply y varias cosas más. Como es para las news y para e-mails lo puedes cambiar en las dos cosas, además con un simple Agent.ini en el mismo directorio o en otro directorio puedes cambiar de identidad y de servidor de news o de correo, y puedes tener tantas configuraciones como quieras. Es un poco complicado de configurar bien, y la ayuda y el programa está en inglés, pero nada es imposible y pidiendo ayuda por aquí es bastante fácil. Va por la versión 3.01 de 32 bits.

Para mandar mails anónimos puedes utilizar un programa que se llama AnonyMail; sólo tienes que ponerle el HOST por el que quieres mandarlo (POP.ARRAKIS.ES, SMTP.CTV.ES, o cualquier otro, no te preocupes por que no sea el tuyo) y rellenar el From , el TO, el Subject y el propio mensaje en sí. También puedes hacerte con una cuenta de tipo gratismail (no te aconsejo gratismail porque no vale nada y no recibes correo, mejor una cuenta en hotmail - http://www.hotmail.com - ) da datos falsos de tu nombre, dirección y demás y ya tienes para mandar mensajes anónimos. Aunque todo esto es muy relativo y no hay forma de que sea totalmente anónimo, la anonimicidad no existe en Internet, te pueden rastrear.

Existen también los llamados REMAILERS que son servidores que te mandan mensajes de correo a través de ellos anonimizando tus datos, claro está que si alguien se pone a mirar el correo que les llega a los remailers puede encontrar tu dirección verdadera, como ya te he dicho es del todo imposible anonimizar un mensaje. Lo que puedes hacer es mandar los mensajes desde servidores diferentes cada vez y/o tener varias cuentas de Internet. Pero no te preocupes que no creo que las cosas que vayas a mandar requieran la atención de los Cyberpolicías. Si es para comunicarte con un amigo podéis utilizar el PGP (un encriptado de doble llave muy potente y casi imposible de descifrar) - http://www.pgpi.org - creo que la versión última es 5.5.3. (es para Windows 95/98/NT y si vas a utilizar el Agent te aconsejo PGPn_123 que es un shell que puedes configurar para el Agent).

La única manera de anonimato bien hecha que yo sepa es con Remailer. Doble si se puede. Los programas como Anonmail no valen de mucho. El correo vía Hotmail es en sí un remailer, pero tampoco es 100%. La mejor manera es conseguirse el Private Idaho, el PGP, y abrir acceso a una máquina.

El remailer es lo más inseguro que te puedes encontrar (sobre todo los que tienes que darte de alta para poder recibir correo). Cualquiera que esté delante de la máquina que hace de remailer puede saber tus datos. Se ha dado el caso que algún que otro remailer, de los que te tienes que dar de alta, ha sido "asaltado" por la policía y cogida toda la lista de usuarios. Es más seguro una cuenta HotMail, con los datos falsos, naturalmente.

El sistema de Remailer más completo que se usa es el que mediante combinación con PGP se crea una dirección determinada, la cual puede rebotarse en dos o tres máquinas más también usando PGP. El ntercambio de información con las máquinas relativa a las cuentas es encriptado. Es otra historia. Es muy difícil hacer el seguimiento de este caso, casi imposible. Es casi 100%. Nada que ver con otros bastante más simples que lo único que hacen es poner una chaqueta encima de otra. Normalmente, en éstos, la dirección de correo queda archivada para poder enviarte el correo.

La diferencia es el PGP.

La forma más sencilla de hacerlo más o menos anónimo que he encontrado es conectando directamente a Infovía (usuario 'infovia', password 'infovia', DNS 10.0.1.1), permitir que Telefónica te asigne una de sus IPs, desde ahí conectar con algún servidor (que los hay, bastantes) de SMTP que se pueda acceder desde allí (o sea, que sea el mismo servidor para web que servidor de correo, etc.), y enviar desde allí tu 'correo anónimo'. Tu IP será una de las de la Intranet de Infovía, cierto... y en teoría, Telefónica guarda los números de quien llama... pero sólo en teoría. Lo tiene mucho más difícil.

Desde luego, con ese método he descubierto bastantes más cosas (telnets “bastante” anónimos, conexiones a IRC, etc.). ¡Haced la prueba!

¿Cómo postear en news anónimamente?

Para postear anónimo en las news se puede utilizar un remailer como para e-mail:

1. Localizar un remailer (hay listas, solo hay que molestarse un poco...)
2. Componer el mensaje como sigue:

>To: remailer@remailer.com
>Subject: El que sea
>
>::
>Anon-Post-To: es.comp.hackers
>
>Texto (poner un remailer aquí)
(obligatorio)
(linea en blanco obligada)

( " )

Imagino que esto se puede automatizar con Private Idaho. Al postear anónimo, nadie puede responder a los mensajes, salvo que se especifique el e-mail.

¿Qué es PGP? ¿cómo configuro esto para que funcione?

Las llaves públicas sirven para poder mantener correspondencia encriptada con la gente mediante el uso de un maravilloso programa llamado PGP (Pretty Good Privacy). Es altamente recomendable cuando uno va a decir algo que nuestra querida gente de la BSA pueda considerar ilegal.

El sistema es sencillo: El autor de un mensaje emplea la llave pública del receptor para encriptar el mensaje. El receptor tiene que tener su llave privada para poder desencriptar un mensaje destinado a él. Dicho de otra forma, hace que el correo sea totalmente confidencial. Te lo recomiendo.

Consulta en:

http://www.kriptopolis.com/pgp.html
http://www.redestb.es/personal/alakarga/pgp.htm
http://www.lander.es/~jgomez/

¿Qué son las cookies?

Puede ser que la palabra no diga realmente mucho. Quienes sepan algo de inglés se darán cuenta que es sólo eso: galletas. Pero en el World Wide Web una cookie es mucho más, es un mecanismo mediante el cual un servidor puede espiar tu propio comportamiento. Es más, haciendo una búsqueda dentro de tu propio sistema seguramente encontrarás más de un documento denominado "cookie".

Por algún motivo no revelado, las cookies han existido ocultas por mucho tiempo. Browsers como el Navigator y el Explorer las incluyen desde sus primeras versiones. Pero ahora, Netscape ha presentado las especificaciones dentro de su propio web (aunque recomienda utilizarlas con precaución) y el Navigator puede ser configurado para alertar a los usuarios cuando un servidor trata de escribir una cookie en su directorio local.

Según Netscape, una cookie es un mecanismo que funciona del lado del servidor en una conexión determinada, mediante el cual se puede guardar o importar información desde el lado del cliente. Un servidor, al enviar un objeto HTTP (por ejemplo una página HTML), puede también enviar un paquete de información que es guardada por el cliente sin que este se dé cuenta.

Incluído dentro del paquete hay un rango de URLs para los cuales el cookie funciona. De esta manera, cada vez que el cliente accede a una dirección dentro de ese rango especificado, el cookie se pone en funcionamiento y envía la información al servidor.

Otra de las variables que se pueden incluir dentro de una cookie es el tiempo de permanencia en el disco del cliente, algo así como una fecha de vencimiento.

Al acceder a un web site con protección, dadas las características de las conexiones tcp/ip, la única forma que tiene el servidor de conocer que es la misma persona la que salta de una página a otra es a través de un archivo en el ordenador del cliente.

Configurando este archivo para que solamente exista durante dos horas, una vez que el cliente deja de navegar por el web se pierde todo rastro de la conexión.

Las cookies por sí mismas no pueden ser utilizadas para encontrar la identidad de un cliente, algo que sí logrará la identificación digital, y dado su rango limitado de uso a URLs específicas es imposible controlar el paso de un web a otro, ya que ambos servidores no tienen la posibilidad de utilizar la misma cookie. A pesar de todas estas limitaciones, estos pequeños agentes pueden controlar los movimientos de un determinado navegante dentro de una web.

Existen ya en el mercado una serie de programas capaces de realizar esta tarea mediante la utilización de esta tecnología.

Empresas como Focalink se dedican exclusivamente a controlar que un determinado cliente no vea un mismo anuncio más de una vez al acceder a un website. Cada vez que ingresa el servidor de Focalink, el que contiene los avisos, se comunica con una cookie depositada dentro del disco duro y le envía un banner diferente al enviado la última vez que ingresó.

Sites como HotWired utilizan esta tecnología para que los navegantes no tengan que ingresar sus datos cada vez que acceden al web. Aunque hay que destacar el caso de HotWired en especial, ya que ellos sí alertan que guardarán información en un disco que no es el de ellos, aunque sea con el simple motivo de aliviar la navegación no requiriendo el ingreso por parte del cliente de sus datos cada vez que accede.

Aún así, las cookies no son un buen elemento de seguridad, ya que cualquiera que conozca mínimamente su funcionamiento podría acceder a los datos guardados en una cookie dentro de unordenador y utilizar todos los servicios a los que permite ingresar.

Sería importante que cada site que utiliza una cookie advierta a sus clientes que lo está haciendo. No todos tenemos ni queremos ofrecer información sobre nuestros hábitos de navegación.

Queda bien claro que internet está generando nuevas tecnologías constantemente. Aunque no todas sean para beneficio del cliente, sino también del anunciante.

Más información...

http://home.netscape.com/newsref/std/cookie_spec.html
http://www.vuw.ac.nz/~amyl/recipes/cookies/

¿Cómo navegar anónimamente?

Puedes añadir http://www.anonymizer.com:8080/ al principio de la navegación.

Por ejemplo, si queres ir a Yahoo para buscar algo, escribe: http://www.anonymizer.com:8080/http://www.yahoo.com/

a partir de ahí toda la navegación será anónima. El anonimizador es como un proxy de una organizacion por los derechos civiles en la red.

Más información...

http://www.anonymizer.com/

¿Qué es el Free Agent?

Programa para la lectura de las news.

Lista de puertos más comunes...

auth (113)

conference (531)

courier (530)

daytime (13)

discard (9)

domain (53)

echo (7)

efs (520)

exec (512)

finger (79)

ftp (21)

gopher (70)

hostnames (101)

http (80)

ingreslock (1524)

link (87)

login (513)

mtp (57)

nameserver (42)

netnews (532)

netstat (15)

nntp (119)

pop2 (109)

pop3 (110)

proxy (8080)

qotd (17)

remotefs (556)

rje (77)

sftp (115)

shell (514)

smtp (25)

spooler (515)

sunrpc (111)

supdup (95)

systat (11)

telnet (23)

tempo (526)

tftp (69)

time (37)

uucp (540)

uucp-path (117)

whois (43)

www (80)

netbios (139)

Protocolos internet

Pueden ser bajados de muchos sitios. Desde yahoo a internic.

Clásicos:

HTML RFC Index - from CMU

IP (Internet Protocol) - RFC 791, .html">760

ICMP (Internet Control Message Protocol) - RFC 792, 777

UDP (User Datagram Protocol) - RFC 768

TCP (Transmission Control Protocol) - RFC 793, 761, 675

ARP (Address Resolution Protocol) - RFC 826

RARP (Reverse Address Resolution Protocol) - RFC 903

RIP (Routing Information Protocol)

EGP (External-Gateway Protocol) - RFC 904

GGP (Gateway-Gateway Protocol)

TELNET - RFC 854, 764

RLOGIN (Remote Login)

SMTP (Simple Mail Transfer Protocol) - RFC 822, 821, 788

FTP (File Transfer Protocol) - RFC 959, 542, 354, 265, 172, 114

FINGER (Finger protocol) - RFC 742

WHOIS - RFC 954, 812

RUSERS (Remote Users) - RFC 866

NTP (Network Time Protocol) - RFC 958, 957, 956

QUOTE (Quote of the Day protocol) - RFC 865

ECHO - RFC 862, 361, 347

XDR (eXternal Data Protocol, from Sun)

RPC (Remote Procedure Call, from Sun)

NFS (Network Filing System, from Sun)

RFS (Remote File System, from HP/Apollo)

Más actuales:

XWindow

SNMP (Simple Network Management Protocol)

SMI

POP3 (Post Office Protocol 3) - RFC 1725, 937

NNTP (Network News Transfer Protocol) - RFC 977

HTTP

ARCHIE

GOPHER - RFC 1436

VERONICA

WAIS (Wide Area Indexing System)

NetBIOS (Network Basic Input Output System)

SLIP

PPP (Point-to-Point Protocol)1661,1670

PAP (PPP Authentication Protocol)

DHCP (Dynamic Host Configuration Procotcol) - RFC 1541

LCP (Link Control Protocol)

IPXCP - RFC 1552

ATPCP

La RFC ( especificaciones de protocolos), nos las podemos pillar bastante cerquita:
http://www.cs.us.es

¿Qué es, cómo se accede, y para qué sirve telnet?

Telnet( Network terminal protocol ó remote login) , es como acceder con un terminal a otro ordenador. Es decir durante la conexión tu ordenador es completamente transparente, los comandos que tecleas van directamente al ordenador remoto y la salida a pantalla es la del ordenador remoto. Se puede acceder mediante telnet a cualquiera de los servicios haciéndolo por el socket correcto, ftp, www, smtp, pop, etc

Quizás ya estén un poco anticuados, pero te remito al RFC 854 y 855 para que veas las especificaciones del Telnet. Si quieres ver los más actuales traete el rfc-index.txt ( busca con archie o con ftpsearch) en el encontrarás el índice de todos los rfcs así como cuál sustituye a otro o complementa a otro.

¿Dónde conseguir las instrucciones para usar en el puerto 110 vía telnet para ver el correo?

Una vez que tengas el acceso:

USER nombre_usuario
PASS password
LIST te lista todos los mensajes (identificador más el tamaño)
TOP # ALL para ver las cabeceras (# es el numero del mensaje que quieras ver p ej: TOP 1 ALL)
RETR # para ver el mensaje
DELE # borra el mensaje elegido
RSET recupera los mensajes marcados para borrado
QUIT cierra la conexión

Más información...
leete la RFC 1725 (POP3)

¿Qué es una cuenta shell y donde las dan de manera gratuita?

Una cuenta shell es un acceso a un ordenador en modo línea de órdenes del sistema operativo...principalmente Unix. Hay gente que las ofrece porque las ha pillado por ahí y algunos que las dan para probar seguridad del servidor.

De todas maneras consulta algún libro sobre Unix. ¿Y no hay manera de conseguir una legalmente? Es decir, que si hay proveedores en España que la ofrezcan...prueba en redestb.

¿Qué significa Distroz?

"Distro Zite"

Maquina OFICIAL para DISTRIBUCION de algo (pirateo, normalmente)

Sobre Passwords en UNIX...

Si alguien no sabe cómo funciona lo del password en UNIX, aquí va algún consejo. Para encriptarlo y desencriptarlo usa el método DES, con la llamada al sistema crypt (3). La funcion toma el password del usuario como llave de encriptación, usando un bloque de 64 bits. El resultado de esta encriptación, se vuelve a encriptar hasta un total de 25 veces. Esto queda guardado en una cadena de 11 caracteres imprimibles y lo guarda en el /etc/passwd o en el /etc/shadow, según corresponda.

Si os fijáis, las paswords tienen 13 caracteres. Los dos primeros son la semilla que toma el sistema para la encriptación de la clave. Siendo esta semilla un numero de 12 bits, o lo que es lo mismo, un numero entre 0 y 4095.

Lo que ocurre cuando metes un password es que coge la semilla, y el passwd y lo encripta 25 veces. Si el resultado coincide con lo que tiene guardado en el /etc/passwd o en el /etc/shadow, te dejaría entrar a tu cuenta. Sí no coincide, te saldría el típico "Login incorrecto".

El /etc/passwd tiene la forma:
login:passwd:UID:GID:nombre usuario:home:shell

siendo UID el identificativo del usuario, y GID el identificativo del grupo al que pertenece el usuario.

¿Qué es el S-ice y donde puedo conseguirlo?

El softice es un debugger que corre como un driver en modo kernel para el caso de NT y como una VxD para el caso de Win'95-98. Nos permiten un acceso total a las entrañas del sistema, así como a todo programa que se esté ejecutando en los sistemas operativos. Muy bueno para saltar claves, protecciones y demás historias.

¿Cómo conseguirlo? En Nu-Mega Technologies Inc:
Contact our BBS @ 603-595-0386 to download.

¿Qué es un sniffer?

Es un programa que captura paquetes de datos que pasan por un servidor (para capturar los logins y passwords)

Programa que nos permite espiar el tráfico que va por la red. Los más clásicos “rulan” encima de las ethernet. Por ejemplo, para UNIX tenemos el tcpdump. Para Win está el NetXRay.

¿Qué es un spoofer y hacer Spoofing?

Primero un spoofer es un programa que te permite hacer spoffing y ahora ¿que es spoofing? Spoofing básicamente es conectarse a un servidor de la manera que sea, darle un IP falso al servidor. Básicamente esta técnica se usa mucho para evitar ser traceado o saltarse firewalls, aunque es una técnica bastante complicada de realizar, pero con la ayuda de programas la cosa es más fácil.

¿Qué es el Satan?

Es un programa que pueden utilizar los administradores para comprobar la seguridad de su sistema. En el otro lado, puede ser utilizado por los hackers para estudiar los puntos débiles de dicho sistema.

¿Qué es nukear?

Básicamente es meterte un gran número de datos en la salida del modem. Esto se usa en los IRC's. Al nukearte se bloquea la salida de datos de tu modem y el servidor de IRC cree que te has desconectado y por tanto te acaba echando del chat.
Nukear es tirar a cualquiera de la red. No sólo se hace plantándole un montón de datos a alguien en el modem. Hay otras técnicas, como fallos en implementación de protocolos.

¿Qué es un wardialer?

Programa que marca números de teléfono de forma automática y guarda en una base de datos los números en los que le ha respondido un modem o un fax. En España es ilegal usar un wardialer.

Hackeando http

En Netscape u otro browser , es posible cambiar el fichero que se ve cuando se accede a un web site. Normalmente obtienes index.html , pero puedes cambiarlo para ver el directorio entero u otro fichero. Puedes probar "index.txt" "00_index.txt". Algunos servidores usan estos para contener la estructura de directorios.

¿Qué es el avalanche?

Te hablo de la versión 3.0. Sí es verdad que es rápido, pero los mailing-lists están totalmente desactualizados, y además, las direcciones incluídas no valen de mucho pues las verificaciones de los robots exigen una segunda y posterior suscripción. Vaya, que no rulan ni la mitad. Como mailbomber, es del montón. Le falta un mailchecker. Los hosts propuestos, están, por supuesto, desfasados.

Particularmente, prefiero el Kaboom! 3.0. Messiah es muy bueno.

¿Qué es un BUG?

Son errores que hay en programas y sistemas operativos que son "explotados" por los hackers para entrar en sistemas o tener más nivel ( ROOT )

¿Qué es un Debugger?

Un debugger es un programa que descompila programas para ver como están hechos. Un ejemplo de debugger es el DEBUG del MS-DOS, el S-Ice o el turbo debugger de borland.

¿Cómo crackear contraseñas?

Normalmente, las contraseñas son encriptadas siguiendo un algoritmo (conjunto de instrucciones) determinado, y una vez encriptadas son muy difíciles de desencriptar, hasta el punto que se considera imposible (al menos por ahora). Los crackeadores de contraseñas lo que hacen en encriptar siguiendo el mismo algoritmo encriptador, una serie de caracteres, y los comparan con la contraseña encriptada. Es lo mismo que hace el programa para comprobar si la contraseña que le introduces es válida: la encripta y la compara con la que tiene guardada y ya encriptada.

© 2002 Javier de Lucas Linares