PDF de programación - El Arte de la Intrusión - Kevin Mitnick - Cómo ser un hacker o evitarlos

EL A R TE DE
LA INTRUSIÓN

La Verdadera Historia de las Hazañas de Hackers, Intrusos e Impostores

Kevin D. Mitnick
William L. Simón

Alfaomega

Ra-Ma
Ra-Ma

Datos catalográficos

Mitnick, Kevin y Simón, William
El arte de la Intrusión
Primera Edición

Alfaomega Grupo Editor, S.A. de C.V., México

ISBN: 978-970-15-1260-9

Formato: 17 x 23 cm

Páginas: 380

El arte de la Intrusión
Kevin D. Mitnick y William L. Simón
ISBN: 84-7897-748-1, edición original publicada por RA-MA Editorial, Madrid, España
Derechos reservados © RA-MA Editorial

Primera edición: Alfaomega Grupo Editor, México, abril 2007

© 2007 Alfaomega Grupo Editor, S.A. de C.V.
Pitágoras 1139, Col. Del Valle, 03100, México D.F.

Miembro de la Cámara Nacional de la Industria Editorial Mexicana
Registro No. 2317

Pág. Web: http://www.alfaomega.com.mx
E-mail: [email protected]

ISBN: 978-970-15-1260-9

Derechos reservados:
La información contenida en esta obra tiene un fin exclusivamente didáctico y, por lo tanto, no está
previsto su aprovechamiento a nivel profesional o industrial. Las indicaciones técnicas y programas
incluidos, han sido elaborados con gran cuidado por el autor y reproducidos bajo estrictas normas
de control. ALFAOMEGA GRUPO EDITOR, S.A. de C.V. no será jurídicamente responsable
por errores u omisiones; daños y perjuicios que se pudieran atribuir al uso de la información compren(cid:173)
dida en este libro, ni por la utilización indebida que pudiera dársele.

Edición autorizada para venta en México y todo el continente americano.

Impreso en México. Printed in México.

Empresas del grupo:

México: Alfaomega Grupo Editor, S.A. de C.V. - Pitágoras 1139, Col. Del Valle, México, D.F. - CP. 03100.
Tel.: (52-55) 5089-7740 - Fax: (52-55) 5575-2420 / 2490. Sin costo: 01-800-020-4396
E-mail: [email protected]

Colombia: Alfaomega Colombiana S.A. - Carrera 15 No. 64 A 29 - PBX (57-1) 2100122
Fax: (57-1) 6068648 - E-mail: [email protected]

Chile: Alfaomega Grupo Editor, S.A. - Dr. Manuel Barros Borgoño 21 Providencia, Santiago, Chile
Tel.: (56-2) 235-4248 - Fax: (56-2) 235-5786 - E-mail: [email protected]

Argentina: Alfaomega Grupo Editor Argentino, S.A. - Paraguay 1307 P.B. "11", Capital Federal,
Buenos Aires, CP. 1057 -Tel.: (54-11) 4811-7183 / 8352, E-mail: [email protected]

Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal, Mitchell Mitnick

Para Darci y Briannah

Y para los fallecidos Alan Mitnick, Adam Mitnick, Sydney Kramer, Jack

Biello.

Para Arynne, Victoria, Sheldon y David y para Vincent y Elena

CONTENIDO

AGRADECIMIENTOS

PRÓLOGO

INTRUSIÓN EN LOS CASINOS POR UN MILLÓN DE

DÓLARES

Investigación
El desarrollo del plan
Reescritura del código
De vuelta a los casinos, esta vez para jugar
El nuevo método
El nuevo ataque
¡Pillados!
Repercusiones

DILUCIDACIÓN

XVII

XXVII

1

3
6
8
11
15
18
22
25
27

| VIII

EL ARTE DE LA INTRUSIÓN

© RAMA

CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

27
29

Cl ANDO LOS TERRORISTAS ENTRAN POR LA PUERTA. 31

Khalid el terrorista lanza el anzuelo
El objetivo de esta noche: SIPRNET
Momento de preocuparse
Cae Comrade
Se investiga a Khalid
Muyahidín islámicos de Harkat-ul
Después del 11-S
Intrusión en la Casa Blanca
Repercusiones
Cinco años después
La gravedad de la amenaza

DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

LOS HACKERS DE LA PRISIÓN DE TEXAS

Dentro: el descubrimiento de los ordenadores
Las prisiones federales son diferentes
William consigue las llaves del castillo
Conectarse sin
La solución
Casi pillados
Estuvieron cerca
La adolescencia
Libres de nuevo

riesgos

DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

:

33
39
40
42
44
46
47
49
55
56
58
60
62
65

67

68
70
70
73
75
77
79
81
82
85
86
91

RA-MA

CONTENIDO

IX

POLICÍAS Y LADRONES

Phreaking
En los tribunales
Clientes del hotel
Abrir una puerta
Custodiando las barricadas
Bajo vigilancia
Cerrando el círculo
Alcanzados por el pasado
En las noticias
Detenidos
El fin de la buena suerte
Phreaks en la cárcel
El periodo en prisión
Qué hacen hoy

DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

EL ROBÍN HOOD HACKER

Rescate
Sus raíces
Encuentros a media noche
MCI WorldCom
Dentro de Microsoft
Un héroe pero no un santo: la intrusión en el New York Times
La naturaleza única de las habilidades de Adrián
Información fácil
Actualmente
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

93

95
96
98
99
101
107
109
109
110
111
112
114
116
118
118
119
121

123

124
126
127
134
135
136
145
146
147
150
150
155

| X

EL ARTE DE LA INTRUSIÓN

© RAMA

LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE

SEGURIDAD

UNA FRÍA NOCHE

La reunión inicial
Las reglas del juego
¡Al ataque!
Apagón
Revelaciones de los mensajes de voz
Informe final

UN JUEGO ALARMANTE
Las reglas del acuerdo
Planificación
¡Al ataque!
lOphtCrack en marcha
Acceso
La alarma
El fantasma
Sin obstáculos
El truco de los calentadores de manos
Fin de la prueba
Vista atrás

DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

SU BANCO ES SEGURO, ¿NO?

EN LA LEJANA ESTONIA

El banco de Perogie
Opinión personal

INTRUSIÓN EN UN BANCO LEJANO

Un hacker se hace, no nace
La intrusión en el banco
¿A alguien le interesa una cuenta bancaria en Suiza?
Posteriormente

157

159
160
161
163
166
168
168
170
171
173
174
176
177
179
180
182
182
183
185
185
186
189

191

192
194
196
197
197
199
203
204

RA-MA

CONTENIDO XI

DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA

SU PROPIEDAD INTELECTUAL NO ESTÁ SEGURA

DOS AÑOS PARA UN GOLPE

Comienza la búsqueda
El ordenador del Director General
Entrar en el ordenador del Director General
El Director General advierte una intrusión
Accediendo a la aplicación
¡Pillado!
De nuevo en territorio enemigo
Todavía no

ROBERT, EL AMIGO DEL SPAMMER
Consecución de las listas de correo
Los beneficios del porno

ROBERT, EL HOMBRE

La tentación del software
Averiguar los nombres de los servidores
Con una pequeña ayuda de helpdesk.exe
De la caja de trucos de los hackers: el ataque "inyección SQL"
El peligro de las copias de seguridad de los datos
Observaciones sobre las contraseñas
Obtener acceso absoluto
Enviar el código a casa
COMPARTIR:
EL

MUNDO

DEL

CRACKER

DILUCIDACIÓN
CONTRAMEDIDAS

Cortafuegos de empresas
Cortafuegos personales
Sondeo de los puertos
Conozca su sistema
Respuesta a un incidente y envío de alertas

205
206
207

209

211
212
216
217
219
220
223
224
225
226
227
229
230
231
232
234
236
242
244
245
246
248
252
253
253
254
255
256
257

| XII

EL ARTE DE LA INTRUSIÓN

© RAMA

Detección de cambios no autorizados de las aplicaciones

Permisos
Contraseñas
Aplicaciones de terceros
Protección de los recursos compartidos
Evitar que se adivinen los DNS
Protección de los servidores Microsoft SQL
Protección de archivos confidenciales
Protección de las copias de seguridad
Protección contra los ataques de inyección de MS SQL
Uso de los Servicios VPN de Microsoft
Eliminación de los archivos de instalación
Cambio de los nombres de las cuentas de administrador
Fortalecimiento de Windows para evitar que almacene ciertas

credenciales

Defensa en profundidad

LA ÚLTIMA LÍNEA

EN EL CONTINENTE

En algún rincón de Londres
La zambullida
Búsquedas en la red
Identificación de un router
El segundo día
Examen de la configuración del dispositivo 3COM
El tercer día
Reflexiones sobre la "intuición de los hackers "
El cuarto día
Acceso al sistema de la compañía
Objetivo cumplido

DILUCIDACIÓN
CONTRAMEDIDAS

Soluciones provisionales
El uso de los puertos superiores

257

258
258
259
259
260
260
261
261
262
262
263
263

263
264
265

267

268
268
270
271
272
275
276
282
283
288
293
293
294
294
295

CRA-MA

CONTENIDO XIII

Contraseñas
Protección de los portátiles personales
Autentifícación
Filtro de servicios innecesarios
Fortalecimiento
LA ÚLTIMA LÍNEA

INGENIEROS SOCIALES: CÓMO TRABAJAN Y CÓMO

DETENERLOS

UN INGENIERO SOCIAL MANOS A LA OBRA
DILUCIDACIÓN

Los rasgos de un rol
Credibilidad
Causar que el objetivo adopte un rol
Desviar la atención del pensamiento sistemático
El impulso de la conformidad
El deseo de ayudar
Atribución
Ganarse la simpatía
Miedo
Reactancia

CONTRAMEDIDAS

Directrices para la formación
Programas para contraatacar la ingeniería social
Un añadido informal: conozca a los manipuladores de su propia

familia, sus hijos

LA ÚLTIMA LÍNEA

ANÉCDOTAS BREVES

EL SUELDO PERDIDO
VEN A HOLLYWOOD, PEQUEÑO MAGO
MANIPULACIÓN DE UNA MÁQUINA DE REFRESCOS
MERMA DEL EJÉRCITO IRAQUÍ DURANTE LA "TORMENTA DEL

DESIERTO"

EL CHEQUE REGALO DE MIL MILLONES DE DÓLARES

295
295
296
297
297
297

299

300
313
313
314
315
316
317
318
318
319
320
320
321
322
324

328
330

333

334
335
337

338
341

| XIV

EL ARTE DE LA INTRUSIÓN

© RAMA

EL ROBOT DEL PÓQUER
EL JOVEN CAZADOR DE PEDÓFILOS
...
TIENES

SIQUIERA

Y

NI

QUE

SER HACKER

343
344
347

EL AUTOR

KEVIN D. MITNIK es un célebre hacker que ha "enderezado su
camino" y ahora consagra sus considerables habilidades a ayudar a
empresas, organizaciones y organismos gubernamentales a protegerse de
los tipos de ataques descritos en este libro y en su anterior bestseller, The
Art ofDeception (Wiley Publishing, Inc., 2002).

Es cofundador de Defensive Thinking (defensivethinking.com),
una consultoría de seguridad informática dedicada a ayudar a emp