PDF de programación - Técnicas de ciberdetective en la red

..........................................................

Atención:

Declino toda reponsabilidad, del mal uso que cualquier
lector pueda dar a la información contenida en este
documento. Mi fin no es el de incitar al delito o
romper la intimidad de las personas en la red, si no
únicamente lo presento con fines didácticos.

..........................................................

Técnicas de ciberdetective en la red.

1 - Introducción.

2 - ¿Qué podemos esperar conseguir?.

3 - La dirección IP.
3.1 - De un mensaje de correo electrónico.
3.2 - De un mensaje enviado a las news.
3.3 - De una conexión al IRC.
3.4 - De un fichero de trazas.
3.5 - Tenemos la IP, ¿Y ahora qué?

4 - Otros datos básicos.
4.1 - El Nick.
4.2 - Nombre y apellidos.

5 - Pasando a la acción.
5.1 - Buscando su "entorno".
5.1.1 - Investigando en las news.
5.1.2 - Investigando el Nick en el IRC.
5.2 - Buscando su email, (LDAP).
5.3 - Husmeando en su empresa.
5.4 - Buscando su o sus página(s) web.
5.5 - Buscando su número de teléfono y o su
dirección.
5.6 - ¿Existe una dirección de correo?.

6 - Técnicas de espionaje.
6.1 - KeyLogger.
6.2 - Troyanos, sniffers, y herramientas de cracker.
6.3 - Espiando la caché del navegador.
6.4 - Usando un proxi.

7 - Recopilación de URLs.

1 - Introducción.

Ultimamente proliferan en la red, sobre todo en USA, ciertas
utilidades de Pagoware, que se anuncian como perfectas para
conseguir todos los datos de alguien.

Su funcionamiento sería el siguiente, le pasas uno o más
datos de entrada, como un mensaje de email que has recibido de
alguien, y la aplicación se pone a buscar en la red, al cabo de
un par de horas, o antes si la red está en buenas condiciones,
es posible que tengas la dirección completa del emisor del
mensaje, con su número de teléfono. en otros casos, algunos
datos parciales, que pueden ser o no ser suficientes.

¿Como lo hacen?, su funcionamiento interno se basa en la

consulta de bases de datos públicas accesibles a todo el mundo
en la red. Esas aplicaciones, sólo funcionan, en el supuesto de
que quieras buscar a alguien de USA.

Los demás, tendremos que conformarnos con saber donde están
esas bases de datos, y usarlas manualmente, de esta forma
podremos ahorrarnos el coste del pagoware o usar su
correspondiente crack. :)

2 - ¿Qué podemos esperar conseguir?

Hacer una investigación en la red, es una tarea que
aparentemente es compleja, aunque una vez que se conoce su
mecanismo, puede ser realizada por cualquier usuario. Uno de
los aspectos más curiosos, es que los resultados que se pueden
obtener, son de lo más variados, según el cuidado que tenga un
usuario de la red en ocultar sus huellas, puede que no
consigamos absolutamente nada, o puede que lo consigamos todo.
En la mayoría de los casos, lo más que conseguiremos, será, el
ISP desde el que se conecta el usuario, aunque en muchas
ocasiones, buscando conseguiremos buenos resultados.

Lo primero a tener en cuenta, al empezar una investigación,
es que cualquier dato, por insignificante que parezca, puede
ser importante, incluso si conoces alguno de los gustos o
aficciones de la persona a la que quieres investigar, puede ser
importante para saber por donde buscar. Existen muchas reglas
fijas o procedimientos para llevar a cabo la investigación,
pero, también es importante la intuición y la imaginación y eso
es muy difícil de plasmar aquí.

MUY IMPORTANTE: A veces, los cruces de datos que hagamos,
pueden no ser correctos, por ejemplo, puede darse el caso
de dos usuarios con el mismo nick, alguien con el Nick
"celedonio" en el IRC, puede no ser un "Celedonio" que
escribe en las news.

3 - La dirección IP.

Número de 32 bits, representado de la forma a.b.c.d, donde
a.b.c.d son números que van del 0 al 255. En un momento dado,
no pueden existir en la red dos usuarios con la misma IP.

Algunas veces, un usuario puede tener dirección IP fija, o
bién se conecta desde una empresa, o un cibercafé, o bién es
usuario de cable. En otras ocasiones, se conecta mediante módem
analógico o RDSI, por lo que su dirección IP, cambia de
conexión a conexión. Cuando un usuario desconecta o se cae, su
dirección IP pasa a disposición de otros usuarios que se
conecten a partir de ese momento.

Una dirección IP se puede obtener a partir de:

3.1 - De un mensaje de correo electrónico.

Mirando la cabecera, del mensaje, podemos hallar la IP desde
la que se envía un mensaje. Es probable, que un usuario
avanzado use alguna técnica para enmascarar su IP, como un
proxi o un software anonimizador. Aunque la mayoría de los
usuarios, no usan ni saben usar técnicas de ocultación.

Para ver la cabecera de un mensaje:


En Outlook Express, pinchar con el botón derecho en el
mensaje, y en el menú que aparece seleccionar "propiedades",
y pinchar en pestaña "Detalles", si queremos ver la cabecera
con mayor comodidad, pinchamos en el botón "Cód fuente del
mensaje".

En el lector de correo de Netscape, para ver la cabecera de
un mensaje, lo seleccionamos, y vamos al menú "ver->fuente".

La dirección IP la encontraremos en la primera línea que
comienza con la palabra "Received".

Un ejemplo:

Received: from mail.kamikaze.es (218.57.116.10)

En este caso tenemos la IP 218.57.116.10

3.2 - Un mensaje enviado a las news.

Los mensajes enviados a las news, son muy similares a los de
correo electrónico, y tienen cabecera, como los de correo
electrónico.

Las cabeceras de los mensajes de news, se consiguen de la
misma forma que en el correo electrónico, el campo de la
cabecera a mirar es "NNTP-Posting-Host:"

Un ejemplo:

NNTP-Posting-Host: usuario36.uni2.es (62.36.147.81)

3.3 - Una conexión al IRC.

Según la red en la que estemos, podemos hayar la IP de otro
usuario mediante la órden /whois. En algunas redes, usan un
sistema de IPs virtuales, que impide que se pueda ver la IP
de otro usuario, o sustituyen el último número por XXX. En
esta último caso, al menos conocemos el dominio, algo es
algo, veremos que podemos hacer con eso.

3.4 - Un fichero de trazas.

Un servidor proxi o un cortafuegos, suelen dejar ficheros de
trazas con los intentos de conexión recibidos. No conviene
fiarse al 100x100 de los ficheros de trazas, en muchas
ocasiones las tramas recibidas no son intentos de conexión,
si no ataques DoS y este tipo de ataques suelen usar IP
spoofing. Si se trata de varios escaneos al mismo tiempo
desde varias IP, es posible que se trate de un escaneo con
señuelo y solo una o ninguna de las IPs sea autentica.

3.5 - Tenemos la IP, ¿Y ahora qué?

Ya tenemos la dirección IP, ¿y ahora qué?. Mirando en la
base de datos RIPE, bien sea desde su página web,
(www.ripe.net), o haciendo un telnet, o usando un cliente de
"whois" se puede hallar, a qué empresa o usuario pertenece
esa IP.

En la mayoría de las ocasiones, tendremos que esa IP,
pertenece a un ISP, y es muy probable que sea lo máximo que

podamos conseguir. De todas formas, no os preocupeis,
todavía quedan algunas cartas por jugar.

De momento, anotamos cuidadosamente en un papel o en un TXT
todo lo que sabemos hasta ahora y proseguimos con la
investigación, ya encajaremos datos.

Si vamos detras de un spammer, basta con enviar un mensaje
de queja a la persona de contacto que aparece en la base de
datos RIPE. Adjuntando la cabecera del mensaje como muestra.

Para más detalles, ver la FAQ de spam.

4 - Otros datos básicos.

De momento, sea cual sea el caso, si tenemos suerte, es
probable que tengamos algunos datos interesantes:

Si lo que tenemos es un correo electrónico o un mensaje de
las news, aparte de la dirección IP, podemos extraer los
siguientes datos:

- El nick del usuario.
- Nombres y apellidos, (en muy pocas ocasiones).
- ISP o empresa, (tratado en un punto anterior)

En cualquier caso, conviene fijarse bién, en todos los
campos, pues a veces podemos encontrarnos con sorpresas
tales como una segunda dirección de correo, o incluso, el
campo "organización", puede ser autentico, "a veces".

4.1 - El Nick

Si se trata de un troll o alguien que ha aparecido de
repente para flamearnos en las news y que nunca hayamos
visto antes, ¿para que engañarnos?, no nos sirve de nada,
en los demás casos, nos quedamos con el nick.

En muchas ocasiones, el nick es un personaje de película, o
tebeo, o dibujos animados. En otra, es una contracción del
nombre y apellidos, por ejemplo, la primera letra del
nombre más el primer apellido. Quizás podamos deducir algo
a partir de ahí.

4.2 - Nombre y apellidos.

Muchos usuarios, suelen publicar nombres y apellidos en la
red, es bastante probable incluso, que suelan la URL de su
web, donde podemos encontrar su curriculum, y hasta su
número de teléfono. Este es el caso contrario a un troll,
que intenta ocultarse deliveradamente.

Por supuesto, también existe el riesgo de que sean falsos o
que siendo ciertos, el segun