SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

SET 15

112186 visitas

IRC War

      6964

Autor: OmiKroN
-[ 0x04 ]--------------------------------------------------------------------
-[ IRC WAR ]------------------------------------------------------------------
-[ by OmiKroN ]-------------------------------------------------------SET-15-

		PELIGRO IRC-WAR!!!   by OmiKroM


   Sin duda uno de los servicios mas difundidos en la red es el Internet 
Relay Chat (IRC o simplemente chat para los amigos X-D) , como todos los que
leeis esto sabeis lo que es , no me voy a entretener en explicar como funciona
detalladamente ya que no es ese el objetivo del articulo aunque aqui teneis
un resumen de las ordenes mas usuales.

/list , Te da la lista de canales disponibles en el servidor.

/join #canal , Para entrar en un canal determinado.

/part #canal , Para salir del canal.

/quit , Con esta orden te desconectas del servidor.

/nick tu-apodo , Cambias tu apodo.

/query nick , Abre una conversacion privada con quien eligas.

/whois nick , Te muestra informacion sobre alquien (si esta en el IRC).

/topic #canal NuevoToPiC , Cambias el topic del canal.

/ping nick , Realiza un ping al nick elegido diciendote el tiempo que tarda
en responder.

/help , Muestra la ayuda del programa .

/ignore nick , Con esto dejas de recibir los mensajes de este nick.

/ignore off  , Sirve para volver a leer los mensajes de todos.

/invite nick #canal , Invitas a alguien a tu canal.

/mode #canal +o nick , Das el estatus de op a alguien (tienes que serlo tu
antes)

/mode #canal -o nick , Le quitas el OP , (si no eres operador no lo puedes
hacer)

/mode #canal +oo nick1 nick2 . (das el op a 2 usuarios)

/mode #canal -oo nick1 nick2 . (lo mismo pero quitandoselo)

/mode #canal +b nick , Baneas a "nick" del canal.

/mode #canal -b nick , Dejas que "nick" pueda volver al canal :-)

/mode #canal +bb nick1 nick2 . (baneos "multiples")

/mode #canal -bb nick1 nick2 . (desbaneos "multiples")


 Con la orden "/mode #canal modo" se pueden cambiar los modos del canal estos
son:

  i, para acceder al canal hay que ser invitado.

  p, canal privado.

  m, canal moderado , en el que no pueden hablar sin ser op.

  l, para limitar el numero de usuarios maximo. (ej : l 2600).

  s, canal secreto, es decir no apaerce en la lista de canales que se obtiene
mediante /list.

  t, solo los operadores pueden cambiar el topic del canal

  k, Protege el canal por contrase€a.(saludos a los del canal #hackers X-D)

Hasta aqui ningun problema ,no? :-)

-Algo sobre el BAN-
el ser baneado es ser expulsado del canal y que no puedas volver a entrar en
el. Esto en teoria es efectivo, pero vamos a ver que en la practica no lo es.
Hay diferentes niveles de ban, desde una prohibicion a tu nick a entrar a un
canal hasta la prohibicion a todo tu dominio , es decir a todos los ususarios
que se conecten desde tu mismo proveedor (jarl!).

Dependiendo del tipo de ban que nos hagan asi deberemos de actuar si queremos
volver al canal. Si te banean el nick no hay que pensar mucho para darse uno
cuenta de que si lo cambiamos podemos volver a canal , si el ban es a tu mask
es decir a tu mascara de ususario (ej: *!usernick@host.es) no tienes mas que
salir del server en que te encuentres , cambiar esta y volver a entrar para
darle en las narizes al "baneador" ;-). Como cambio mi mask? sencillo, si
usas el mirc en mirc setup existe una carpetilla con el nombre de ident, ahi
pones otro nobre distinto al que este y ya esta.

Todavia existen bans mas fuertes como el banear a todo un servidor, pero que
clase de "individuo" se atreveria a dejar sin entrar al canal a todo arrakis
o a todo redestb? este ban la verdad que es muy bestia y no se utiliza casi
nunca.


- Splitazos X-D -

 Las redes de irc como es el caso de la IRC-Hispano , estan compuestan por
muchos servidores independientes que mantienen comunicacion entre si , por lo
que si un susario esta en un server por ejemplo irc.lleida.net y otro en el
irc de arrakis (irc.arrakis.es) , pueden intercambiar mensajes entre ellos.
Hay ocasiones en que uno de estos servidores se descuelga del resto de servers
ya sea por motivos de reajuste , por problemas....(algun gracioso) , entonces
todos los usuarios que estuvieran conectados es este servidor "descolgado"
tambien quedarian fuera de la red de irc , pudiendo hablar solo con los que
estuvieran en ese server.

A esto se le llama split o net-split , y tambien se podria utilizar con fines
de ganar el OP, digo se podria porque ahora ya es dificil. La cuestion es que
por ejemplo estas en un canal (#informaticos) y no tienes el op y nadie te lo
da :-), puedes aprovechar un slipt de un server para conectarte a el , crear
alli el canal #informaticos y esperar a que el servidor se reajuste y vuelva
a la gran familia del IRC-hispano. Si todo va bien al volver seras otro OP mas
del canal.
Digo si todo va bien porque ahora los servers estan protejidos contra esto, al
volver a la red te quitan el status de op :-( .

Esto tambien podrias utilizarlo para entrar en canales que estan marcados con
modos +i o +k (ver los modos de arriba tio!!)  si , en esos que o requieren
que te inviten o que introduzcas una clave.
Para esto no tendrias mas que seguir el procedimiento anterior y con suerte
estaras dentro.


  Las formas de "guerrear" en IRC son de lo mas variadas y van desde los mas
simples ataques a base de floods de texto a las mas avanzadas tecnicas.

Bien , pero vayamos por partes.


Caidas por FLooD:

 Hoy en dia todos los IRC servers debido a su gran uso , regulan la cantidad
de informacion que producen los usuarios que esten conectados a el, esto lo
hacen para evitar colapsos y que el tiempo de respuesta del server sea
desmesurado. Como lo hacen? sencillo , no permitiendo que un usuario mande
mas de una cantidad maxima de informacion en un tiempo determinado. Cuando
un usuario rebasa esta cantidad maxima .... Bye Bye! , el server corta la
comunicacion con el.
 Ahora pensemos un poco , que pasaria si un "agresor" nos empezara a hacer
peticiones de informacion a lo bestia ?, por ejemplo si nos hiciera muchos
"/ctcp version" seguidos. Pues que nosotros si no tenemos proteccion contra
este ataque (ver como protegerse) generaremos tal cantidad de informacion que
el server simplemente nos echa.

 Para que este ataque tenga exito el agresor debe mandar muchas peticiones
en poco tiempo.
Imagina que lo pueden hacer 2 o mas tipos distintos a la vez contra ti....

El famoso "script.ini":

  Seguro que en mas de una ocasion algun tipo sin que viniera a cuento te ha
enviado un dcc con un archivo con un nombre especial , script.ini , pues bien
al aceptar sin mas este archivo, sobreescribe otro de igual nombre que existe
en tu ordenador con lo que se consigue que tu mirc se comprote de manera muy
distinta a la que lo hace normalmente quedando a disposicion de lo que quiera
hacer con el el agresor.
Asi que si os encontrais a alguien que os envia este fichero primero NO lo
acepteis y despues dile que se lo meta en.... bueno en su mIRC :-)


Caidas por Nukes:

 Nuke se le viene llamando a cualquier ataque contra un usuario para hacer
que se caiga del IRC , dentro de estos voy a comentar los Nukes ICMP y OOB.

  El nuke ICMP (Internet Control Message Protocol) basicamente consiste en
enviar mensajes ICMP a alguien haciendo pensar a su programa cliente de IRC
que el server no esta disponible cerrando asi la conexion. Tambien se puede
realizar este nuke enviando los mensajes al server , con lo que seria este
el que cerrara la conexion con el cliente , las dos formas nos llevan a lo
mismo , a la desconexion del usuario del IRC-server.

  El nuke OOB (Out Of Band) en realidad no es un nuke en el sentido estricto
de la palabra ya que aprovecha un bug de los protocolos de red que tienen los
guindos ya sea 3.X,95 o NT.
El caso es que gracias al Netbios :-) el puerto 139 queda abierto y enviandole
cierta informacion el sistema nos deleita con uno de sus "pantallazos azules"
pudiendo leer:

	Ocurrio una excepcion OE at 0028 de VxD MSCTP(01)+000041AE Fue
               llamado desde 0028 de VxD NDIS+00000D7C
                        (a que os suena? X-D)

 No explico con mas detalles este bug por la sencilla razon de que existen
muchos programas por internet que con solo indicarle la direccion IP del tipo
en cuestion hacen todo "el trabajo sucio" .
Este bug Out of Band (OOB) es mas que conocido por los usuarios que cierran
el puerto (o puertos) en cuestion o parchean sus protocolos de red. Esto lo
consigues renombrando un archivo que se encuentra en el directorio system de
windows , es decir renombra el archivo es c:\windows\system\vnbt.386 por
c:\windows\system\vnbt.bak , y ya estaras protegido del OOB. (facil no? X-D)

Ya que estamos con los bugs, hay que hacer mencion a otro de carcteristicas
parecidas al OOB , se trata del SSPING , si ,otro bug que afecta a nuestro
windows y que puede ser utilizado contra nosotros con solo conocer nuestra
direccion IP , el resultado es parecido al del OOB , cuelgue del sistema y
consiguiente reinicio de tu maquina. Se trata de enviar una seria de paquetes
fragmentados a tu ordenador con los que por decirlo asi , tu ordenador se
vuelve loco.

Y seguimos con mas bugs de windows aunque este tambien afecta a los linuxeros
asi que cuidadin pinguinos :-) , se trata del TEARDROP , la unica manera de
no sufrir ataques tear es parcheando tu kernel.

Existen mas bugs y por consiguiente cosas que explotar como el Bonk,SMB,Land
y segun parece esto no acaba aqui (recordais es pantallazo azul de w98 toda
una premonicion) :-)


Como me protejo?

 Despues de exponer estos tipos de ataques solo me resta decir las formas de
protegerse de " los malos " del IRC.

La forma mas inmediata de proteccion es el uso de un script que venga
configurado con las opciones minimas de seguridad y ataque.

Un script no es mas que un programa que se a€ade a tu cliente de IRC dandole
mas opciones de las que el cliente normal lleva por defecto. Como el programa
para IRC mas utilizado por los guindoseros es el mIRC , no es de extra€ar que
la mayoria de los scripts se realizen para este.

 Lo que debes pedirle a un script basicamente es una buena proteccion, contra
floods (ya sean por texto ,por pings ....),OOB,ICMP y demas ataques que se
puedan dar .A partir de aqui ya es a gusto de cada uno que el script tenga
mas o menos  "addons", como graficos ansi, wav's , midis y demas chorradillas
que si hablamos claro , no son necesarios.

 A la hora de elegir un script tenemos que tener cuidado , ya que algunos de
ellos , llevan escondidos , backdoors, es decir puertas traseras con las que
el que conozca la orden exacta puede ,desde tirarte del IRC , hasta borrar tu
disco duro (que los hay borricos X-D). Lo mejor es que te guies por la gente
del irc , es decir si 40 personas usan el MeGaMiX_SCRiPT y solo un par el
SuPeR_BaCKDooR script , es de logica cual descartar no?. Esto puede parecer
broma pero va en serio , ya que se han dado casos de scripts que llevaban
entre sus archivos (nukes ,escaneadores de puertos...)algun tipo de virus .

 Visto lo visto hasta ahora estos serian mis consejos finales para pasar un
rato agradable en el IRC sin que ningun agresor te moleste:

   1.No entres en canales como #irc-war #pruebas_scripts , alli van al tema!

   2.No empiezes peleas si no es totalmente necesario puede que con el que te
metas sepa mas que tu ( tenga un script mejor X-D).

   3.Parchea tu sistema operativo de bugs que puedan surgir como OOB.

   4. NUNCA aceptes nigun archivo por dcc si no sabes de antemano lo que es
y tener especial cuidado con uno , "script.ini".

   5.Consigue un buen script , es decir con protecciones a tope.


Bueno, con esto me despido espero que a "alguien" le sirva de "algo" esto que
aqui digo. ;-)

Salu2!