************************************************************************* *********** Gå-i-fängelse-varning: Om du har för avsikt att använda 'falsk' epost för att begå ett brott - tänk efter. Om du läser den här guiden, vet du inte tillräckligt mycket för att kunna förfalska epost, och du kan hamna i fängelse! ************************************************************************* *********** Här är ett exempel på ett annorlunda epost program, sendmail. Det ger en ide' om de små variationer som du kan stöta på när du hackar. Mitt kommando: telnet ns.Interlink.Net 25 Datorn svarar: Trying 198.168.73.8... Connected to NS.INTERLINK.NET. Escape character is '^]'. 220 InterLink.NET Sendmail AIX 3.2/UCB 5.64/4.03 ready at Fri, 12 Jul 1996 15:45 Så skriver jag: helo santa@north.pole.org Och den svarar: 250 InterLink.NET Hello santa@north.pole.org (plato.nmia.com) Den här versionen av Sendmail kan man inte alls lura. Kolla hur det lägger till (plat.nmia.com) - det är datorn jag använder för det här tricket - i brevet som visar vilken dator jag 'telnettar' från. Men va f-n, alla Internet värdar känner till den här typen av information. Jag kör vidare och skickar det fejkade meddelandet i alla fall: mail from:santa@north.pole.com 250 santa@north.pole.com... Sender is valid. rcpt to:cmeinel@nmia.com 250 cmeinel@nmia.com... Recipient is valid. data 354 Enter mail. End with the . character on a line by itself. It works! . 250 Ok quit 221 InterLink.NET: closing the connection. Ok - vilken sorts epost fick jag från det här datorn. Här är vad jag fick i Pine: Return Path: Received: from InterLink.NET by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueo7t 000LEKC; Fri, 12 Jul 96 13:43 MDT Received: from plato.nmia.com by InterLink.NET (AIX 3.2/UCB 5.64/4.03) id AA23900; Fri, 12 Jul 1996 15:43:20 0400 Oops! Här har InterLink.NET avslöjat vilken dator jag använde för att 'telnetta' till port 25. Men det spelar inte så stor roll, för de flesta använder sin ISP:s värddator. Date: Fri, 12 Jul 1996 15:43:20 0400 From: santa@north.pole.org Message Id: <9607121943.AA23900@InterLink.NET> Apparently To: cmeinel@nmia.com It worked! Ok! Här står det inte "Apparently From" så nu vet jag att datorn vid ns.Interlink.Net är hyfsat bra att använda för att skicka fejkad epost. En erfaren epost-användare skulle dock se att det är fråga om förfalskad epost pga raden "Received:". Men det framgår inte så tydligt som i programmen här ovan. Jag testar en annan dator. Berkeley-Universitetet är känd för sin dator-forskning. Jag undrar hur deras postprogram ser ut? Jag letar först fram den numeriska IP-adressen till en av Berkeley's maskiner och ger sedan kommandot: telnet 128.32.152.164 25 Den svarar med: Trying 128.32.152.164... Connected to 128.32.152.164. Escape character is '^]'. 220 remarque.berkeley.edu ESMTP Sendmail 8.7.3/1.31 ready at Thu, 11 Jul 1996 12 help 214 This is Sendmail version 8.7.3 214 Commands: 214 HELO EHLO MAIL RCPT DATA 214 RSET NOOP QUIT HELP VRFY 214 EXPN VERB 214 For more info use "HELP ". 214 To report bugs in the implementation send email to 214 sendmail@CS.Berkeley.EDU. 214 For local information send email to Postmaster at your site. 214 End of HELP info Här har vi en annan typ av post-program. Jag undrar vad jag kan få veta mer om dessa kommandon: HELP mail 214 MAIL FROM: 214 Specifies the sender. 214 End of HELP info F-n! Låt oss kolla vad den här datorn (namn=remarque) gör med fejkad epost. MAIL FROM:santa@north.pole.org 250 santa@north.pole.org... Sender ok Hm...! Intressant. Jag skrev inte "helo" och det här programmet gav mig inte en örfil. Undrar vad det betyder? RCPT TO:cmeinel@techbroker.com 250 Recipient ok DATA 354 Enter mail, end with "." on a line by itself This is fake mail on a Berkeley computer for which I do not have a password. . 250 MAA23472 Message accepted for delivery quit 221 remarque.berkeley.edu closing connection Nu går vi till Pine och kollar hur brevhuvudet ser ut: Return Path: Received: from nmia.com by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueRnW 000LGiC; Thu, 11 Jul 96 13:53 MDT Received: from remarque.berkeley.edu by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueRnV 000LGhC; Thu, 11 Jul 96 13:53 MDT Apparently To: Received: from merde.dis.org by remarque.berkeley.edu (8.7.3/1.31) id MAA23472; Thu, 11 Jul 1996 12:49:56 0700 (PDT) Kolla in de tre "received" raderna. Min ISP:s dator fick det här emailet inte direkt från Remarque.berkeley.edu utan från merde.dis.com som i sin tur fick brevet från Remarque. Hm! Jag känner till vem som äger datorn merde.dis.com. Berkeley-datorn skickar det här brevet via en dator som ägs av en berömd expert på dator-säkerhet - Pete Shipley. Tips: Namnet merde och dis.org är påhittade :) Så låt oss kolla hur brevet från remarque ser ut i epost-programmet Pine: Date: Thu, 11 Jul 1996 12:49:56 0700 (PDT) From: santa@north.pole.org Message Id: <199607111949.MAA23472@remarque.berkeley.edu> This is fake mail on a Berkeley computer for which I do not have a password. Det här var häftigt. Den här datorn varnar inte för att adressen Santa.... är falsk. Och ännu bättre - den talar inte om från vilken dator meddelandet härstammar. Så därför är remarque.berkeley.edu en bra dator att skicka falsk epost från. Obs: Sist jag kollade hade man fixat till remarque, så bryr er inte om att använda den. Men inte alla sendmail-program är så snälla. Kolla epostmeddelandet jag skapade i datorn adress - atropos.c2.org: telnet atropos.c2.org 25 Trying 140.174.185.14... Connected to atropos.c2.org. Escape character is '^]'. 220 atropos.c2.org ESMTP Sendmail 8.7.4/CSUA ready at Fri, 12 Jul 1996 15:41:33 help 502 Sendmail 8.7.4 HELP not implemented Här fick vi ingen hjälp alls. Men vi testar i alla fall: helo santa@north.pole.org 501 Invalid domain name Vad är det här? Andra sendmail-program ski..r i vilket namn jag använder under "helo". Ok! Jag skriver ett godkänt domän-namn. Men inte rätt användare! helo satan@unm.edu 250 atropos.c2.org Hello cmeinel@plato.nmia.com [198.59.166.165], pleased to meet you Jo, hej du! Jag skulle tro att du är glad att träffa mig. Varför i helsike behöver du ett godkänt domännamn för, när du i alla fall känner till vem jag är? mail from:santa@north.pole.com 250 santa@north.pole.com... Sender ok rcpt to: cmeinel@nmia.com 250 Recipient ok data 354 Enter mail, end with "." on a line by itself Oh, crap! . 250 PAA13437 Message accepted for delivery quit 221 atropos.c2.org closing connection Så vilken typ av e-post fixade den här otrevliga datorn till? Jag kollar in i mitt Pine-program: Return Path: Det var snällt att låta mig använda min förfalskade adress. Received: from atropos.c2.org by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueqxh 000LD9C; Fri, 12 Jul 96 16:45 MDT Apparently To: Received: from satan.unm.edu (cmeinel@plato.nmia.com [198.59.166.165]) Det var intressant! Datorn atropos.c2.org skrek inte bara ut min verkliga identitet, utan den talade också om min adress. Hum! Där lärde jag mig något nytt! by atropos.c2.org (8.7.4/CSUA) with SMTP id PAA13437 for cmeinel@nmia.com; Fri, 12 Jul 1996 15:44:37 0700 (PDT) Date: Fri, 12 Jul 1996 15:44:37 0700 (PDT) From: santa@north.pole.com Message Id: <199607122244.PAA13437@atropos.c2.org> Oh, crap! Så slutsatsen av informationen här ovan är, att det finns en mängd olika epost-program som flyter omkring i port 25 på Internet-datorer. Så om du vill leka med dem - kolla först hur de funkar innan du börjar skicka din falska epost. _________________________________________________________________________ ______________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 _________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers