__________________________________________________________________

GUIDE TO (mostly) HARMLESS HACKING

Vol. 1 Number 4

Hur man ser till att sparka ut Usenet spammers från sina ISP:s
(Spammer= Personer som roar sig med att skicka reklam över Internet).
__________________________________________________________________

Vad gillar du när din nyhetsgrupp blir bombad med 900 sex-annonser
och annonser om hur du blir rik på pyramidspel? Om ingen såg till
att dessa figurer fick betala dyrt, skulle Usenet snart vara nerlusat
med skitannonser.

Det är verkligen frestande att använda våra nyvunna kunskaper till att
sparka ut dessa 'spammers'. Men många gånger är det som att använda en 
atombomb på en myra. Varför riskera att hamna i fängelse när det 
finns lagliga metoder att hindra dessa profitörer från att husera på Internet.

Den här delen av Happy Hacker skall visa dig några tricks för att motarbeta
Usenet 'spammers'.

'Spammers' förlitar sig helt på falsk epost och Usenets nyhetsgrupper. Som vi
lärde oss i andra delen av Guide till (för det mesta) laglig hacking, är det
lätt att skicka förfalskad epost. Det är också lätt att förfalska inlägg
till nyhetsgrupper.

*******************************************************************************
Nybörjartips #1: Usenet är en del av Internet som består av ett system av
'on-line' diskussions-grupper som kallas "news-groups". Exempel på nyhetsgrupper
är rec.humor, comp.misc, news.announce.newusers, sci.space.policy och alt.sex.
Det finns omkring 10000 nyhetsgrupper. Usenet startade 1980 som ett Unix-nätverk
som länkade ihop personer som ville diskutera Unix. Sedan började man tala om
andra saker, och resten är historia.
*******************************************************************************

Här kommer en snabb sammanfattning om hur man förfalskar Usenet-inlägg. Åter igen
använder vi tekniken att 'telnetta' till en viss port. Usenet-porten är vanligtvis
bara öppen för de som har konton på det systemet. Så du skall 'telnetta' från ditt
shell account tillbaks till din ISP med kommandot:

	telnet news.myISP.com nntp

där du byter ut 'myISP' till det som står efter @ i din epost-adress. Du kan också
använda "119" istället för "nntp".

Hos min ISP får jag svaret:

	Trying 198.59.115.25 ...
	Connected to sloth.swcp.com.
	Escape character is '^]'.
	200 sloth.swcp.com InterNetNews NNRP server INN 1.4unoff4 05-			Mar-96
	ready (posting)

Nu är vi helt plötsligt i ett program som vi inte känner till alltför väl. Så 
därför testar vi med 

 	help

Och vi får:

	100 Legal commands
  		authinfo user Name|pass Password|generic <prog> <args>
  		article [MessageID|Number]
  		body [MessageID|Number]
  		date
  		group newsgroup
 		head [MessageID|Number]
 		help
 		ihave
 		last
		list [active|newsgroups|distributions|schema]
		listgroup newsgroup
		mode reader
		newgroups yymmdd hhmmss ["GMT"] [<distributions>]
 		newnews newsgroups yymmdd hhmmss ["GMT"] 						[<distributions>]
  		next
  		post
  		slave
  		stat [MessageID|Number]
  		xgtitle [group_pattern]
  		xhdr header [range|MessageID]
  		xover [range]
  		xpat header range|MessageID pat [morepat...]
  		xpath MessageID
	Report problems to <usenet@swcp.com>

Använd din fantasi med dessa kommandon. Om du vill förfalska inlägg från en
annan ISP än din egen, kom ihåg att en del Internet datorer har en nntp-port
som inte kräver lösenord eller ett som är lätt att gissa tex "post". Men det kan
vara ett helsike att hitta en sådan dator. Så eftersom du är tvungen att använda
din egen ISP, är det svårare att förfalska inlägg till nyhetsgrupper än det är
att skicka förfalskad epost.

Kom dock ihåg att det är tämligen lätt att spåra förfalskade inlägg och falsk
epost - om du vet vad du ska titta efter. När du en gång identifierat från var
'spam' kommer, pga meddelandets ID, vet du vem du skall få utsparkad.

Normalt sett kan du inte själv ta reda på vem den skyldige är, men du kan 
kontakta dennes ISP och se till att personen blir av med sitt konto.

Visst - dessa 'spammers' dyker ofta upp via en annan ISP. Men de är alltid på flykt.
När fick du själv skit-post som "Amazing free offer" sist? Om det inte vore för oss
"nät-väktare", skulle din epost ständigt vara fylld av skit och nyhetsgrupperna ständigt
fyllda med idiotiska inlägg från 'spammers'.

Vad jag lär dig nu om attack mot 'spammers', är dessutom helt lagligt och
du blir betraktad som en "good guy". Vi behöver all hjälp vi kan få för att
bekämpa dessa 'spammers'.

Först och främst behöver vi lära oss hur vi läser "brevhuvudet" på inlägg och epost-
meddelanden.

'The Header' är någonting som visar oss vilken väg ett email eller ett inlägg har 
tagit för att nå oss. Det visar namnen på de datorer som har använts när meddelandet
har skapats och skickats. När någonting har förfalskats kan dock namnen vara fejkade.
Skickliga 'spammers' kan använda namnen på verkliga datorer, men en bra hackare
kan snabbt lista ut om datorerna som står i 'headern' verkligen är de som andvänts.

Först skall vi titta på ett förfalskat inlägg till Usenet-gruppen alt.personals. 
Den gruppen bevakas inte lika bra av anti-spammers som tex rec.aviation.military
(grupp för tex stridsflygare)

Här är ett exempel, som visas med Unix-programmet "Tin"(epost-program):

	Thu, 22 Aug 1996 23:01:56        alt.personals       Thread  134 of  450
	Lines 110   >>>>FREE INSTANT COMPATIBILITY CHECK FOR SEL   No responses
	ppgc@ozemail.com.au      glennys e clarke at OzEmail Pty Ltd - Australia
 
	CLICK HERE FOR YOUR FREE INSTANT COMPATIBILITY CHECK!
	http://www.perfect-partners.com.au
 
	WHY SELECTIVE SINGLES CHOOSE US
 
	At Perfect Partners (Newcastle) International we are private and
	confidential.  We introduce ladies and gentlemen for friendship
	and marriage.  With over 15 years experience, Perfect Partners is one
	of the Internet's largest, most successful relationship consultants.

Det första vi lägger märke till är retur-adressen. Vi 'nätväktare' brukar alltid
skicka en kopia av inlägget tillbaks till avsändaradressen.

Om en av hundra på en välbesökt nyhetsgrupp som alt.personals skulle skicka en
kopia tillbaks till avsändaren, skulle dennes brevlåda snabbt fyllas upp av
alla dessa kopior. Detta skulle i sin tur påkalla uppmärksamheten hos sysadmin
på den ISP:en som 'spammaren' använder, och 'spammaren' skulle förlora sitt konto.

Så för att undvika detta, använder de flesta 'spammers' falska epost-adresser.

För att kolla om adressen i inlägget ovan är falsk, går jag ur programmet Tin
och skriver kommandot vid prompten:

		whois ozemail.com.au

Jag får svaret:

	No match for "OZEMAIL.COM.AU"

Detta svar är dock inte mycket att lita på, därför att "au" på slutet av adressen
anger att det är en adress i Australien. Olyckligtvis funkar kommandot "whois"
inte speciellt bra utanför USA.

Nästa steg är att testa och skicka nåt eländigt till denna adress. En kopia på
'spammarens' meddelande brukar vara nog irriterande. Men naturligtvis kommer 
meddelandet tillbaks med texten - 'No such adress'.

Därefter går jag till den annonserade websidan. Hör och häpna - den har en
epost adress, "perfect.partners@hunterlink.net.au". Jag är inte förvånad att
adressen inte alls är lika som i inlägget till alt.personal.

Vi skulle kunna sluta här och tillbringa en timme eller två med att skicka 
filer på 5 Mb till perect.partners@hunterlink.net.an. Hm - kanske en gifbild
på parande noshörningar?

**********************************************************************************
Gå-i-fängelse-varning: 'Mailbombing' är ett sätt att skaffa sig bekymmer. Enligt
Ira Winkler (expert på datasäkerhet) kan det vara olagligt att 'bomba' även en 
'spammer' med allt för mycket post om det kan bevisas att du förorsakar ekonomisk
förlust och mängder med arbete. Om systemet inte är rätt konfigurerat, kan du
slå ut hela det systemet med alltför mycken post. Detta är kriminellt.
**********************************************************************************

Suck! Om medveten 'mailbombing' är olagligt, så kan jag inte skicka den där gif-bilden.
Så jag skickade därför bara en kopia på inlägget istället till perfect.partners.
Det här kan ju verka som en feg reträtt. Men vi skall snart se hur man kan göra mycket
mer. Bara att skicka en kopia tillbaks till perect.partners kan förorsaka en flodvåg
av protester som i sin tur sparkar ut 'spammarna' från Internet. Om bara en av tusen
skickar en kopia, blir det ändå tusentals kopior sända till deras epost-adress. Denna
volym kan få sysadmin där att börja fundera.

Kolla in här vad ISP-ägaren Dale Amon säger om styrkan i epost-protester:

"Man behöver inte ropa efter en 'mail bomb'. Det bara sker. Alltid när jag ser
en 'spam', skickar jag en kopia av meddelandet tillbaks till dem. Jag antar att
tusentals andra också gör det. Om de (spammarna) gömmer sig bakom en falsk adress,
letar jag fram den äkta, lägger ut den på nyhetsgruppen om jag har tid. Jag har
inga samvetskval över detta".

Dale är alltså ägare och teknisk ledare på en av de största och äldsta ISP:en 
på Irland, så han känner till många bra sätt att leta sig fram till äkta adresser.
Vi skall lära oss ett sätt.

Vårt mål är att hitta vem som är uppkopplad mot Internet, och stänga den förbindelsen.
När en ISP blir medveten om att han har en 'spammer' som kund, dröjer det inte länge
förrän han stänger det kontot.

Första steget är att analysera 'huvudet' på meddelandet för att försöka se hur det
är förfalskat och var.

Jag öppnar meddelandet i mitt epost-program "Pine" och det här är vad jag ser som 
'header'( brevhuvud):

	Path:
	sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s
	tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com
	!news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news
	From: glennys e clarke <ppgc@ozemail.com.au>
	NNTP-Posting-Host: 203.15.166.46
	Mime-Version: 1.0
	Content-Type: text/plain
	Content-Transfer-Encoding: 7bit
	X-Mailer: Mozilla 1.22 (Windows; I; 16bit)

Första adressen i 'headern' är definitivt äkta. Det är den datorn min ISP använder
som värd för nyhetsgrupper. Det är den sista länken i en rad av datorer som har
förmedlat detta 'spam'.

*************************************************************************************
Nybörjartips #2: Alla Internetdatorer har ett en namn som består av minst två led.
"Sloth" är namnet på en av datorerna som ägs av ett bolag som har domännamnet
swcp.com. Så "Sloth" funkar ungefär som nyhetsserverns förnamn och "swcp.com" 
dess efternamn. "Sloth" kan också ses som en gatuadress medan "swcp.com" är 
ortsnamnet och postnumret. "Swcp.com" är ett domännamn som ägs av Southwest
Cyberport. Alla Internetdatorer har också ett numeriskt 'namn' eller IP-adress
som tex 127.99.23.12
*************************************************************************************