EL A R TE DE
LA INTRUSIÓN
La Verdadera Historia de las Hazañas de Hackers, Intrusos e Impostores
Kevin D. Mitnick
William L. Simón
Alfaomega
Ra-Ma
Ra-Ma
Datos catalográficos
Mitnick, Kevin y Simón, William
El arte de la Intrusión
Primera Edición
Alfaomega Grupo Editor, S.A. de C.V., México
ISBN: 978-970-15-1260-9
Formato: 17 x 23 cm
Páginas: 380
El arte de la Intrusión
Kevin D. Mitnick y William L. Simón
ISBN: 84-7897-748-1, edición original publicada por RA-MA Editorial, Madrid, España
Derechos reservados © RA-MA Editorial
Primera edición: Alfaomega Grupo Editor, México, abril 2007
© 2007 Alfaomega Grupo Editor, S.A. de C.V.
Pitágoras 1139, Col. Del Valle, 03100, México D.F.
Miembro de la Cámara Nacional de la Industria Editorial Mexicana
Registro No. 2317
Pág. Web: http://www.alfaomega.com.mx
E-mail:
[email protected]
ISBN: 978-970-15-1260-9
Derechos reservados:
La información contenida en esta obra tiene un fin exclusivamente didáctico y, por lo tanto, no está
previsto su aprovechamiento a nivel profesional o industrial. Las indicaciones técnicas y programas
incluidos, han sido elaborados con gran cuidado por el autor y reproducidos bajo estrictas normas
de control. ALFAOMEGA GRUPO EDITOR, S.A. de C.V. no será jurídicamente responsable
por errores u omisiones; daños y perjuicios que se pudieran atribuir al uso de la información compren(cid:173)
dida en este libro, ni por la utilización indebida que pudiera dársele.
Edición autorizada para venta en México y todo el continente americano.
Impreso en México. Printed in México.
Empresas del grupo:
México: Alfaomega Grupo Editor, S.A. de C.V. - Pitágoras 1139, Col. Del Valle, México, D.F. - CP. 03100.
Tel.: (52-55) 5089-7740 - Fax: (52-55) 5575-2420 / 2490. Sin costo: 01-800-020-4396
E-mail:
[email protected]
Colombia: Alfaomega Colombiana S.A. - Carrera 15 No. 64 A 29 - PBX (57-1) 2100122
Fax: (57-1) 6068648 - E-mail:
[email protected]
Chile: Alfaomega Grupo Editor, S.A. - Dr. Manuel Barros Borgoño 21 Providencia, Santiago, Chile
Tel.: (56-2) 235-4248 - Fax: (56-2) 235-5786 - E-mail:
[email protected]
Argentina: Alfaomega Grupo Editor Argentino, S.A. - Paraguay 1307 P.B. "11", Capital Federal,
Buenos Aires, CP. 1057 -Tel.: (54-11) 4811-7183 / 8352, E-mail:
[email protected]
Para Shelly Jaffe, Reba Vartanian, Chickie Leventhal, Mitchell Mitnick
Para Darci y Briannah
Y para los fallecidos Alan Mitnick, Adam Mitnick, Sydney Kramer, Jack
Biello.
Para Arynne, Victoria, Sheldon y David y para Vincent y Elena
CONTENIDO
AGRADECIMIENTOS
PRÓLOGO
INTRUSIÓN EN LOS CASINOS POR UN MILLÓN DE
DÓLARES
Investigación
El desarrollo del plan
Reescritura del código
De vuelta a los casinos, esta vez para jugar
El nuevo método
El nuevo ataque
¡Pillados!
Repercusiones
DILUCIDACIÓN
XVII
XXVII
1
3
6
8
11
15
18
22
25
27
| VIII
EL ARTE DE LA INTRUSIÓN
© RAMA
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
27
29
Cl ANDO LOS TERRORISTAS ENTRAN POR LA PUERTA. 31
Khalid el terrorista lanza el anzuelo
El objetivo de esta noche: SIPRNET
Momento de preocuparse
Cae Comrade
Se investiga a Khalid
Muyahidín islámicos de Harkat-ul
Después del 11-S
Intrusión en la Casa Blanca
Repercusiones
Cinco años después
La gravedad de la amenaza
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
LOS HACKERS DE LA PRISIÓN DE TEXAS
Dentro: el descubrimiento de los ordenadores
Las prisiones federales son diferentes
William consigue las llaves del castillo
Conectarse sin
La solución
Casi pillados
Estuvieron cerca
La adolescencia
Libres de nuevo
riesgos
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
:
33
39
40
42
44
46
47
49
55
56
58
60
62
65
67
68
70
70
73
75
77
79
81
82
85
86
91
RA-MA
CONTENIDO
IX
POLICÍAS Y LADRONES
Phreaking
En los tribunales
Clientes del hotel
Abrir una puerta
Custodiando las barricadas
Bajo vigilancia
Cerrando el círculo
Alcanzados por el pasado
En las noticias
Detenidos
El fin de la buena suerte
Phreaks en la cárcel
El periodo en prisión
Qué hacen hoy
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
EL ROBÍN HOOD HACKER
Rescate
Sus raíces
Encuentros a media noche
MCI WorldCom
Dentro de Microsoft
Un héroe pero no un santo: la intrusión en el New York Times
La naturaleza única de las habilidades de Adrián
Información fácil
Actualmente
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
93
95
96
98
99
101
107
109
109
110
111
112
114
116
118
118
119
121
123
124
126
127
134
135
136
145
146
147
150
150
155
| X
EL ARTE DE LA INTRUSIÓN
© RAMA
LA SABIDURÍA Y LA LOCURA DE LAS AUDITORÍAS DE
SEGURIDAD
UNA FRÍA NOCHE
La reunión inicial
Las reglas del juego
¡Al ataque!
Apagón
Revelaciones de los mensajes de voz
Informe final
UN JUEGO ALARMANTE
Las reglas del acuerdo
Planificación
¡Al ataque!
lOphtCrack en marcha
Acceso
La alarma
El fantasma
Sin obstáculos
El truco de los calentadores de manos
Fin de la prueba
Vista atrás
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
SU BANCO ES SEGURO, ¿NO?
EN LA LEJANA ESTONIA
El banco de Perogie
Opinión personal
INTRUSIÓN EN UN BANCO LEJANO
Un hacker se hace, no nace
La intrusión en el banco
¿A alguien le interesa una cuenta bancaria en Suiza?
Posteriormente
157
159
160
161
163
166
168
168
170
171
173
174
176
177
179
180
182
182
183
185
185
186
189
191
192
194
196
197
197
199
203
204
RA-MA
CONTENIDO XI
DILUCIDACIÓN
CONTRAMEDIDAS
LA ÚLTIMA LÍNEA
SU PROPIEDAD INTELECTUAL NO ESTÁ SEGURA
DOS AÑOS PARA UN GOLPE
Comienza la búsqueda
El ordenador del Director General
Entrar en el ordenador del Director General
El Director General advierte una intrusión
Accediendo a la aplicación
¡Pillado!
De nuevo en territorio enemigo
Todavía no
ROBERT, EL AMIGO DEL SPAMMER
Consecución de las listas de correo
Los beneficios del porno
ROBERT, EL HOMBRE
La tentación del software
Averiguar los nombres de los servidores
Con una pequeña ayuda de helpdesk.exe
De la caja de trucos de los hackers: el ataque "inyección SQL"
El peligro de las copias de seguridad de los datos
Observaciones sobre las contraseñas
Obtener acceso absoluto
Enviar el código a casa
COMPARTIR:
EL
MUNDO
DEL
CRACKER
DILUCIDACIÓN
CONTRAMEDIDAS
Cortafuegos de empresas
Cortafuegos personales
Sondeo de los puertos
Conozca su sistema
Respuesta a un incidente y envío de alertas
205
206
207
209
211
212
216
217
219
220
223
224
225
226
227
229
230
231
232
234
236
242
244
245
246
248
252
253
253
254
255
256
257
| XII
EL ARTE DE LA INTRUSIÓN
© RAMA
Detección de cambios no autorizados de las aplicaciones
Permisos
Contraseñas
Aplicaciones de terceros
Protección de los recursos compartidos
Evitar que se adivinen los DNS
Protección de los servidores Microsoft SQL
Protección de archivos confidenciales
Protección de las copias de seguridad
Protección contra los ataques de inyección de MS SQL
Uso de los Servicios VPN de Microsoft
Eliminación de los archivos de instalación
Cambio de los nombres de las cuentas de administrador
Fortalecimiento de Windows para evitar que almacene ciertas
credenciales
Defensa en profundidad
LA ÚLTIMA LÍNEA
EN EL CONTINENTE
En algún rincón de Londres
La zambullida
Búsquedas en la red
Identificación de un router
El segundo día
Examen de la configuración del dispositivo 3COM
El tercer día
Reflexiones sobre la "intuición de los hackers "
El cuarto día
Acceso al sistema de la compañía
Objetivo cumplido
DILUCIDACIÓN
CONTRAMEDIDAS
Soluciones provisionales
El uso de los puertos superiores
257
258
258
259
259
260
260
261
261
262
262
263
263
263
264
265
267
268
268
270
271
272
275
276
282
283
288
293
293
294
294
295
CRA-MA
CONTENIDO XIII
Contraseñas
Protección de los portátiles personales
Autentifícación
Filtro de servicios innecesarios
Fortalecimiento
LA ÚLTIMA LÍNEA
INGENIEROS SOCIALES: CÓMO TRABAJAN Y CÓMO
DETENERLOS
UN INGENIERO SOCIAL MANOS A LA OBRA
DILUCIDACIÓN
Los rasgos de un rol
Credibilidad
Causar que el objetivo adopte un rol
Desviar la atención del pensamiento sistemático
El impulso de la conformidad
El deseo de ayudar
Atribución
Ganarse la simpatía
Miedo
Reactancia
CONTRAMEDIDAS
Directrices para la formación
Programas para contraatacar la ingeniería social
Un añadido informal: conozca a los manipuladores de su propia
familia, sus hijos
LA ÚLTIMA LÍNEA
ANÉCDOTAS BREVES
EL SUELDO PERDIDO
VEN A HOLLYWOOD, PEQUEÑO MAGO
MANIPULACIÓN DE UNA MÁQUINA DE REFRESCOS
MERMA DEL EJÉRCITO IRAQUÍ DURANTE LA "TORMENTA DEL
DESIERTO"
EL CHEQUE REGALO DE MIL MILLONES DE DÓLARES
295
295
296
297
297
297
299
300
313
313
314
315
316
317
318
318
319
320
320
321
322
324
328
330
333
334
335
337
338
341
| XIV
EL ARTE DE LA INTRUSIÓN
© RAMA
EL ROBOT DEL PÓQUER
EL JOVEN CAZADOR DE PEDÓFILOS
...
TIENES
SIQUIERA
Y
NI
QUE
SER HACKER
343
344
347
EL AUTOR
KEVIN D. MITNIK es un célebre hacker que ha "enderezado su
camino" y ahora consagra sus considerables habilidades a ayudar a
empresas, organizaciones y organismos gubernamentales a protegerse de
los tipos de ataques descritos en este libro y en su anterior bestseller, The
Art ofDeception (Wiley Publishing, Inc., 2002).
Es cofundador de Defensive Thinking (defensivethinking.com),
una consultoría de seguridad informática dedicada a ayudar a emp
Comentarios de: El Arte de la Intrusión - Kevin Mitnick - Cómo ser un hacker o evitarlos (2)