_______________________________________________________

GUIDE TILL (för det mesta) HARMLÖS HACKING

Vol. 1 Number 5

Dags för nya kunskaper! Hur man ser till att epost-marodörer 
blir av med sina Internet-uppkopplingar.
_______________________________________________________

Jaha - har du varit ute på jakt efter 'spammers'? Det kan vara kul,
eller hur?

Om du ofta skickar inlägg till nyhetsgrupper, har du nog också lagt 
märke till att du helt plötsligt börjar få en massa skit via epost.
Detta är tack vare ett program som heter Lightning Bolt, skrivet av
Jeff Slayton, och som går ut på olika nyhetsgrupper och laddar hem
en massa adresser där ifrån.

Här är ett 'spam' jag fick nyligen:

Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net 
[165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id 
BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
Message-Id: <199608170555.BAA14636@mail-e2b-service.gnn.com>
To: 
Subject: Forever
From: FREE@Heaven.com

                       "FREE"   House and lot in   "HEAVEN"

    Reserve yours now, do it today, do not wait. It is  FREE 
just for the asking. You receive a Personalized Deed and detailed Map to
your home  in  HEAVEN. Send your name and address along with a one time
minimum donation of $1.98 cash, check, or money order to
help cover s/h cost

       TO:  Saint Peter's Estates      
          P.O. Box 9864
          Bakersfield,CA 93389-9864       

This is a gated community and it is "FREE".   

Total satisfaction for 2 thousand years to date.           
                    
>From the Gate Keeper.         (PS. See you at the Pearly Gates)
                     GOD will Bless you.

Det är inte så svårt att lista ut att den här 'spammen' har ett förfalskat
'brevhuvud' (header). För att identifiera boven, testar vi samma kommando
som vi använde tidigare:

	whois heaven.com

Vi får svaret:

	Time Warner Cable Broadband Applications (HEAVEN-DOM)
	   2210 W. Olive Avenue
	   Burbank, CA 91506
 
	   Domain Name: HEAVEN.COM
 
	   Administrative Contact, Technical Contact, Zone Contact, 	Billing Contact:
 	     Melo, Michael  (MM428)  michael@HEAVEN.COM
	      (818) 295-6671
 
 	  Record last updated on 02-Apr-96.
 	  Record created on 17-Jun-93.
 
	   Domain servers in listed order:

 	  CHEX.HEAVEN.COM              206.17.180.2
 	  NOC.CERF.NET                 192.153.156.22

Från detta kan vi dra slutsatsen att det här är fråga om en bättre förfalskning
än vanligt. Så vi testar att 'finger' till FREE@heaven.com

Först kollar vi retur adressen:

	finger FREE@heaven.com

Vi får:

	[heaven.com]
	finger: heaven.com: Connection timed out

Det finns en mängd anledningar till det här svaret. En kan vara att sysadmin på
heaven.com har sett till att 'finger-porten' är inaktiverad. En annan anledning
kan vara att heaven.com inte är uppkopplad mot Internet. Domänen kan ligga på
en värddator som just nu är avstängd.

*********************************************************************************
Nybörjartips: Du kan registrera ett domännamn utan att för den skull använda 
namnet på någon dator. Du kan betala för namnet och Internic, som registrerar
namnet, och lägga det åt sidan för framtida användande. Emellertid är du tvungen
att inom en viss tidsrymd, lägga upp namnet på en Internet-dator, annars löper
du risken att förlora registreringen.
*********************************************************************************

Du kan testa dessa hypoteser med ett ping. Detta kommando visar om en dator är
uppkopplad till Internet eller ej, och det visar också kvalite'n på förbindelsen.

Ping kan användas som ett hacker-verktyg för att endera hämta information eller
också för en attack. Men jag återkommer till ping i en senare upplaga av Happy Hacker.
Dessutom är det olagligt att använda ping som ett "vapen" på Internet.

Eftersom ping kan förorsaka mycken skada, kan ditt shell account sakna möjlighet
att använda det kommandot. Hos min ISP är jag tvungen att leta mig fram till
rätt katalog för att kunna använda ping (/usr/ect/ping heaven.com). Detta sätt
att gömma ping är just för att programmet kan vara lätt att missbruka. Under
Win 95 ligger programmet i huvudkatalogen för Windows, så du kan själv testa det.
Starta ett Dos-fönster, gå till windows-katalogen, skriv sedan ping och en IP-
adress, tex till din Internet-leverantör. IP-numret bör du hitta i dina papper
från leverantören. Kom ihåg att du skall vara uppkopplad mot Internet för att
kommandot skall funka.

Jag använder alltså kommandot ping:

	ping heaven.com

Jag får svaret:

  	heaven.com is alive

************************************************************************************
Tekniskt tips: På en del versioner av Unix (bla Linux - översättarens anm.), gör
kommandot ping att din dator pingar och pingar utan att göra uppehåll. För att 
"stänga av" ping, ger du kommandot CTRL+C. Detta kommando används ofta i Unix-
världen för att bryta ett program.
Jag återkommer mer med ping framöver. Hav tålamod!!!!
************************************************************************************

Svaret ovan ger vid handen att heaven.com lever och är uppkopplad mot Internet just
nu. Tillåter den att man loggar in? Vi testar:

		telnet heaven.com

Detta kommando borde ge oss ett fönster där vi skall logga in med användarnamn och 
lösenord. Vi får som svar:

	Trying 198.182.200.1 ...
	telnet: connect: Connection timed out

Ok - nu vet vi att man inte kan logga in på heaven.com. Så det verkar högst osannolikt
att det här är datorn som 'spammern' har använt för att skicka sitt meddelande.

Hur är det med chex.heaven.com? Kanske det är härifrån 'spammet' härstammar:

	telnet  chex.heaven.com 79

Det här är 'finger'-porten. Jag fick:

	Trying 206.17.180.2 ...
	telnet: connect: Connection timed out

Jag försökte återigen få ett inloggningsfönster, men icke sa Nicke. 

Detta antyder att varken heaven.com eller chex.heaven.com används för att 
skicka epost. så det här är antagligen en påhittad länk i 'headern'.

Låt oss testa en annan adress i 'headern':

		whois gnn.com

Svaret blir:

   America Online (GNN2-DOM)
   8619 Westwood Center Drive
   Vienna, VA 22182
   USA
 
   Domain Name: GNN.COM
 
   Administrative Contact:
      Colella, Richard  (RC1504)  colella@AOL.NET
      703-453-4427
   Technical Contact, Zone Contact:
      Runge, Michael  (MR1268)  runge@AOL.NET
      703-453-4420
   Billing Contact:
      Lyons, Marty  (ML45)  marty@AOL.COM
      703-453-4411
 
   Record last updated on 07-May-96.
   Record created on 22-Jun-93.
 
   Domain servers in listed order:
 
   DNS-01.GNN.COM               204.148.98.241
   DNS-AOL.ANS.NET              198.83.210.28

Jaha! - GNN.com ägs av America Online. America Online är som Compuserve
ett eget nätverk som har olika vägar(gateways) in på Internet.
Det verkar inte troligt att heaven.com skulle vidarebefodra sin epost via
AOL, eller hur? Det skulle vara som om din epost skulle vandra genom ett
privat nätverk utanför Internet innan det skulle nå din epost-server. Inte
troligt, som sagt. Det borde i sin tur innebära att heaven.com är en 
påhittad dator.

Det ser faktiskt ut som om vår 'spammare' skulle vara en nybörjare som är
uppkopplad via AOL (America Online). Och eftersom han tydligen tror att det
går att tjäna pengar via 'spams', så har han/hon fixat ett shell account hos
AOL-leverantören GNN. Och med ett shell account kan han eller hon ge sig 
på 'spamming'.

Låter logiskt, eller hur? Men låt oss inte dra förutfattade slutsatser. Detta är
bara en hypotes och den kan vara fel. Så låt oss därför testa den återstående
adressen i 'headern':

	whois att.net

Svaret blir:

   AT&T EasyLink Services (ATT2-DOM)
   400 Interpace Pkwy
   Room B3C25
   Parsippany, NJ 07054-1113
   US
 
   Domain Name: ATT.NET
 
   Administrative Contact, Technical Contact, Zone Contact:
      DNS Technical Support  (DTS-ORG)  hostmaster@ATTMAIL.COM
      314-519-5708
   Billing Contact:
      Gardner, Pat  (PG756)  pegardner@ATTMAIL.COM
      201-331-4453
 
   Record last updated on 27-Jun-96.
   Record created on 13-Dec-93.
 
   Domain servers in listed order:
 
   ORCU.OR.BR.NP.ELS-GMS.ATT.NET199.191.129.139
   WYCU.WY.BR.NP.ELS-GMS.ATT.NET199.191.128.43
   OHCU.OH.MT.NP.ELS-GMS.ATT.NET199.191.144.75
   MACU.MA.MT.NP.ELS-GMS.ATT.NET199.191.145.136

En annan giltig domän. Så detta 'spam' kanske inte är så genialt. Inlägget 
kan ha blivit sänt från någon av datorerna heaven.com, gnn.com eller
att.net. Vi kan utesluta heaven.com eftersom inte ens inloggningen
fungerar. Då återstår gnn.com och att.net.

Nästa steg är att skicka en kopia på 'spammet', med 'headern' inkluderad, 
till postmaster@gnn.com (en bra gissning på en person som tar emot klagomål),
och till runge@AOL.net, som listas då vi kör whois. Vi kan också skicka
kopian till postmaster@att.net.

Förhoppningsvis kommer någon av dessa personer att kolla upp Id-numret som
finns i 'headern' och plocka fram vem som har sänt 'spammet'. När förövaren
en gång är känd, brukar det inte dröja länge förrän han/hon blir av med
sitt konto.

Det finns dock en genväg. Om du har blivit 'spammad' av den här figuren, så
är du nog inte den ende. Det finns en nyhetsgrupp på Usenet där man kan utbyta
information om både epost- och nyhetsinläggs-'spam'. Den gruppen heter
news.admin.net-abuse.misc. Vi går till den gruppen och kollar upp vad som
finns om FREE@heaven.com. Mycket riktigt - jag hittar ett inlägg som
handlar om det här 'spammet':

	From: bartleym@helium.iecorp.com (Matt Bartley)
	Newsgroups: news.admin.net-abuse.misc
	Subject: junk email - Free B 4 U - FREE@Heaven.com
	Supersedes: <4uvq4a$3ju@helium.iecorp.com>
	Date: 15 Aug 1996 14:08:47 -0700
	Organization: Interstate Electronics Corporation
	Lines: 87
	Message-ID: <4v03kv$73@helium.iecorp.com>
	NNTP-Posting-Host: helium.iecorp.com

	(snip)

No doubt a made-up From: header which happened to hit a real domain
name.

Postmasters at att.net, gnn.com and heaven.com notified.  gnn.com has
already stated that it came from att.net, forged to look like it came from
gnn.  Clearly the first Received: header is inconsistent.

Så nu vet vi vart vi skall skicka vårt klagomål - till postmaster@att.net.

Men hur mycket hjälper ett klagomål egentligen? Jag frågar ISP-ägaren Dale
Amon:
 " - Med tanke på hur få 'spams' man ser, trots den kraftiga tillväxten
av Internet, visar det sig att nätet är självsanerande. Lagar och regler 
hjälper inte speciellt mycket.
Jag applåderar Carolyn's mödor på det här området. Hon har rätt. 'Spammers'
kontrolleras av marknaden. Om tillräckligt många blir förbannade på 'spam',
reagerar de. Om denna reaktion skapar ekonomiska problem för en ISP,
kommer han göra sig av med kunder som skickar 'spam'. Ekonomiska intressen
är mycket starkare än lagar och regler."

Kan man stämma 'spammers'? Kanske några av oss skulle gå ihop och åtala
dessa marodörer och driva dem till ekonomisk ruin.

System administratören Terry McIntyre:
" - Jag är emot att man stämmer 'spammers'. Vi har en hygglig mekanism som
tar hand om dessa problem. Med tanke på att nästan hälften av alla Internet-
användare är nybörjare, funkar det här alldeles utmärkt. Bjud in myndigheterna
för att reglera det här, och byråkraterna kommer att ösa över oss lagar och regler
och allt det där. Vi har nog av det utanför "nätet", så låt oss slippa
det här."

Så det verkar som Internet-proffsen föredrar att 'spammers' kontrolleras av
oss och att vi själv jagar fram dem och rapporterar dem till respektive ISP.
Det låter bra. Så utan oss "nät-väktare", skulle antagligen Internet rasa
ihop av all skit från 'spammers'.

Ok - tack för idag. Jag ser fram mot bidrag från er. Happy Hacking och - åk inte fast!!

_______________________________________________________________________________________________

Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna:

http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan)
http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan)
http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] 
http://www.silitoad.org 
http://www.anet-chi.com/~dsweir 
http://www.ilf.net/brotherhood/ 
http://www.magnum44.com/orion/entry.htm 
http://home.pages.de/~ristridin 
http://www.axess.com/users/wookie/Hack.htm 
http://home2.swipnet.se/~w-25277/ 
http://w1.340.telia.com/~u34002171/hhd.html 
(Svenska happy hacker sidan)
http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html

Du kan prenumerera på diskussions listan genom att skicka 
e-post till hacker@techbroker.com med meddelandet "subscribe"  . 
Det här är den amerikanska sidan och all info är på engelska.

Om du vill dela med dig av tips eller rätta saker du tycker är fel-
skicka meddelande till hacker@techbroker.com  
Om du vill skicka konfidentiell post (på engelska) - inga frågor
om illegal hacking - till mig - skicka till cmeinel@techbroker.com 
och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. 
Skicka alla flames till /dev/null.

Copyright 1997 Carolyn P. Meinel. 
Du kan lägga upp den här guiden på din sida om du 
behåller de här sista raderna:
_____________________________________________________________________________________

Svensk översättning: Björn Lindblom Februari 1998
______________________________________________________________________________________

Carolyn Meinel
M/B Research -- The Technology Brokers