-[ 0x05 ]--------------------------------------------------------------------
-[ ASALTO AL WEB DEL DINERO ]------------------------------------------------
-[ by FCA00000]-------------------------------------------------------SET-20-
Esta historia es real. Podria agregar que como la vida misma, pero la vida no
siempre es real.
Su argumento: el robo a un banco.
Los protagonistas: una persona (que llamaremos YO para mantener la tension),
una entidad bancaria (denominado BANCO JONES para darle un toque gracioso),
un poco de tiempo por perder, una aficion apasionante, una razon podero$a, y
un mucho de tecnologia.
La historia se cuenta en primera persona para que cualquier pardillo (en
ingles, lamer) se crea capaz de hacerlo.
Escenario: un cuarto de una persona juvenil.
Atrezzo: ordenador DX2-66, Modem 14.4, Sistema operatorio Win98 (porque no?),
Navegador IE4.0 (la version gratuita), compilador TurboC 2.0 , grep.exe ,
impresora matricial (y papel reciclado),
Ambientacion musical: Sisters Of Mercy, The Cure, Wedding Present, Cramps,
Decima Victima, Nikis, Aviador Dro, Paralisis Permanente, La Dama se Esconde
Schubert, Brahms, Haendel, Bach, Prokofiev, Pachebel. Total 15 horas.
Ambientacion luminosa: la que salga del monitor de 14'. Bombilla de 60W.
Ambientacion alimenticia: Croissants, Nocilla y Te con limon
Ambientacion olfativa: Ambi-pur de rosas. Es importante, aunque no lo creais.
Calor: 25º (me gusta trabajar asi). Ambiente seco.
Todas estas cosas influyen. Para hacer algo, lo mejor es hacerlo en
condiciones idoneas.
Por supuesto, tiene moraleja.
Verano del 97. Recibo una carta del Banco JONES (en el cual tengo ahorros) en
la que, entre otras informaciones inutiles, se me informa que por el hecho de
tener una tarjeta de credito, tengo derecho a una cuenta de correo Internet.
Llamo al numero de telefono (gratix) y, tras pedirme el numero de tarjeta, me
dan una clave de acceso a Internet y una direccion de correo. Lamentablemente,
no dan espacio para paginas Web.
La pruebo, funciona bien, y la adopto como direccion de correo habitual.
Diciembre del 97. Una nueva informacion. Ahora puedo realizar mis operaciones
bancarias con un producto de tipo Home-Banking, o banco en casa. Lo visito,
me doy de alta, y espero confirmacion. Como no llega, la reclamo, y me dicen
que solo faltaba activarla. Por cierto, para verificar que de verdad quien
llama por telefono soy yo, me preguntan cantidad de datos personales (para
contrastarlos con los que ya tienen): Cuantos fondos tengo, fechas de
contratacion, Numero de tarjeta, domicilio, ...
En ese mismo instante, y gracias a que tengo 2 lineas, compruebo que funciona.
Guais. Ahora puedo consultar el dinerito que tengo.
Es facil de manejar, y parece ser seguro.
Paso mucho tiempo sin usar el servicio.
Julio del 98. Harto de tener que esperar a fin de mes para ver mis
extractos, me conecto de nuevo al HB y como mi clave sigue funcionando, pues
consulto mis datos. Bonito, facil y no demasiado lento.
Agosto del 98. Escribo mi primer articulo en SET. Me gusta como ha quedado,
asi que empiezo a pensar en otros temas interesantes para la audiencia. De
paso intentare sacar provecho, ya sea aprendiendo mucho (este es el concepto
idealista de un hacker), bien fastidiando a alguien (concepto que tiene la
gente de un hacker), o bien ganando dinero y/o poder (concepto practico y
materialista. A mi siempre me gusto practicar el materialismo)
Noviembre del 98. Ya tengo la idea perfecta. Intentare ver cuanto de seguro es
el banco JONES. Parece un proyecto sencillo, del que se puede sacar provecho.
Primera sesion. Vispera de difuntos:
Una conexion simple, navego por sus paginas, pierdo 10 minutos.
Miro el cache de paginas visitadas, y me hago una idea.
Entre las cosas destacables:
-Los saltos de linea con CHR$(10), y no CHR$(13)+CHR$(10), asi que hay un UNIX
de por medio
-Algunos documentos tienen
lo que indica que hay un Netscape Gold o similar.
-Algunos no lo tienen, lo cual indica que hay varias herramientas de trabajo
-Las validaciones de fechas, numero de cuentas corrientes, campos obligatorios
y similares estan en JavaScript. Se tienen en cuenta los casos mas comunes, con
tecnicas de programacion bastante simples, de alguien que trabaja con bases de
datos. La gente de VisualBasic mete muchos mas controles, y los de C meten
controles mas complejos de entender
-Todas las imagenes se guardan en un mismo directorio
-Hay varios programas que responden a las peticiones, todos en /cgi-bin
-La comunicacion se hace a traves de una conexion segura, usando SSL.2 y
superior, a traves del puerto (estandar) 443
-Todos los CGIs se hacen por el metodo POST
-Los CGIs generan muchas de las paginas. Quiero decir que las paginas se
generan en marcha. Esto implica un servidor potente, pensado en multiproceso
para multiples peticiones
-Las solicitudes que mando (peticion de extractos, fundamentalmente) incluyen
varios campos ocultos, llama mucho la atencion uno que se llama SessionID.
-Se me solicita nombre y password para acceder al servicio, otra vez para hacer
transferencias, pero no para hacer consultas (una vez que estoy dentro)
Segunda sesion. 7 de Noviembre:
Ya se unos cuantos directorios, asi que me centro en ellos para sacar todo
lo que pueda. Ademas, practico el tema de las transferencias, que es un sitio
con muchas posibilidades.
A continuacion detallo solicitudes (GET) y sus respuestas. Por si alguien no
lo sabe, el protocolo HTTP consiste en una peticion de cliente (el navegador)
de unos datos a traves del puerto seleccionado, normalemente el 80.
El servidor escucha las peticiones, manda una solicitud de envio de respuesta,
abre un nuevo puerto con el cliente (normalmente aleatorio, y >=6000 ) y le
manda los datos. Si hay un proxy de por medio, los datos pueden resultar
filtrados y/o almacenados.
Asi que simplemente arranco la conexion, abro una ventana de MS-DOS, y escribo
telnet www.bancojones.com 80
GET /
Invalid request
Vaya, mala suerte. Las cosas hay que pedirlas bien
GET / HTTP 1.0
Netscape-Enterprise 3.0K
Invalid request
Bueno, algo es algo. La maquina usa un servidor de Netscape.
GET /index.html HTTP 1.0
Bienvenido al Banco Jones
y un monton de rollo mas. esto es lo mismo que se ve desde la ventana del
navegador, con la opcion View Source. (por supuesto, lo que no se ve es que
el servidor es de Netscape).
Ya hay una ense~anza: un navegador intenta coger la pagina denominada /
y luego intenta coger /index.html si la anterior respuesta es negativa.
La pagina que se presenta no contiene mas que unos linkados a otras
paginas; la que nos interesa se llama "Banca Electronica"
Pongo el navegador para que me informe de cualquier cosa relacionada con la
seguridad (modo paranoico), y salto a la pagina.
El InternetExplorer me avisa de que voy a conectar con una pagina segura.
Perfecto. Le pido ver el certificado, y este es:
Numero de serie = xx:yy:zz: ..... (numeros ocultos por respeto al Banco Jones)
Algoritmo hash = RSA/MD5
Fecha de inicio = Jueves, Abril 12, 1998 (datos cambiados)
Fecha de finalizacion = Lunes, Agosto 16, 1999 (datos cambiados)
Informacion del emisor
O=VeriSign Trust Network (estos son autenticos)
OU=VeriSign Inc.
OU=VeriSign International Server CA - Class 3
OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)98 VeriSign
Informacion del asunto (me encantan estas traducciones)
C=es
S=Madrid
L=Madrid
OU=DTS
CN=www.bancojones.es
Bueno, unas cuantas cosas para aprender:
Caduca dentro de un a~o. A ver si entonces van a anular el servicio!
El Centro Autentificador es Verisign. Alguien de renombre.
Es un certificado de clase 3. O sea, de tipo medio.
Por lo demas, parace que los datos son los estandar. Esto quiere decir que no
han querido complicarse la vida.
Bien, permito que el navegador acceda a la pagina.
Veo que estan usando cifrado SSL.3 (es la mas alta que permite mi navegador) a
traves del puerto 443. Nada fuera de lo normal.
En pruebas posteriores compruebo que tambien puede usar SSL.2, pero no permite
trabajar sin cifrado (en espa~ol, "encriptar" significa meter en una cripta).
Entonces se me presenta la pagina de peticion de clave.
Lo primero que se ve: la genera /cgi-bin/index.cgi
se compone de 2 frames: /BJ/hostlogin.html y /BJ/security.html
(por supuesto que BJ son las iniciales de BancoJones)
/BJ/security.html contiene unas cuantas validaciones de fechas, algunas rutinas
de proposito general, variables globales, y un par de linkados sosos. El
lenguaje es JavaScript. El estilo de programacion es sencillo y directo. Se
pueden evitar muchos pasos. Las variables tienen nombres muy representativos.
Esta bien organizado, hecho primero el esquema sobre papel.
las notas con *** son mias. El resto es el original
Banca Personalizada [Security]
*** y aqui se acaba
/BJ/hostlogin.html contiene tambien codigo JavaScript, un generador de paginas,
llamadas a CGIs y, areas de click, comprobaciones, la peticion de usuario y
password, y accesos a otras paginas. Aqui esta:
Bienvenida a Banco Jones
|
*** no lo he dicho antes, pero el Banco Jones se precia de tener el
*** certificado AENOR de calidad. Espero que para obtener este certificado
*** la seguridad informatica no cuente mucho, porque pienso romperla.
|
BANCO JONES es el primer banco en el mundo en obtener el Certificado de Calidad UNE-EN ISO 9002 para sus actividades de Banca por Internet
*** si, y yo voy a arruinarselo
|
|
|
|
- Su oficina bancaria en Internet - |
Posición Integral.
Cuentas:
- Saldos y movimientos de los últimos 18 meses.
- Solicitud de apertura de Cuenta.
- Transferencias y Traspasos.
- Domiciliación de Recibos.
- Solicitud de Talonario.
Fondos de Inversión:
- Saldos y movimientos.
- Contratación.
- Aportaciones, Reembolsos, Traspasos.
Tarjetas de Crédito:
- Movimientos de los últimos 12 meses.
- Solicitud de Tarjeta/Tarjeta adicional.
- Cambio Modalidad de Pago.
- Petición Número Secreto.
Tarjetas de Débito:
- Movimientos de los últimos 12 meses.
- Petición Número Secreto.
- Solicitud Tarjeta/Tarjeta alternativa.
Planes de Pensiones:
- Saldos y Movimientos.
- Contratación.
- Modificación de cuota.
- Aportaciones extraordinarias.
Bolsa de Valores:
- Saldos de las Custodias de Valores.
- Cotizaciones.
- Compra-Venta.
- Consulta Situación Órdenes.
- Información del Boletín Financiero.
*** vaya, vaya, se pueden hacer cantidad de cosas.
Divisas:
- Solicitud de moneda extranjera.
Informes de Mercados Financieros.
Ademas, Banca Jones le permite PERSONALIZAR el estilo de sus páginas y la información bancaria de acuerdo a sus necesidades y preferencias.
Introduzca su clave de acceso para entrar en Banca Jones y disfrutar de su nueva oficina en Internet. Si aún no es cliente, pulse ALTA para registrarse en Banca Jones.
*** si, voy a disfruta bastante
|
Si usted no está en su propio ordenador personal, para garantizar
la confidencialidad de la información, le recomendamos
borre la caché del navegador al finalizar la sesión.
*** ;-}
|
|
una de las cosas que mas llama la atencion es
Bienvenida a Banco Jones
Observar esto --^-- . O sea, el codigo lo ha escrito una chica. Es importante.
Mas cosas: