_________________________________________________________________________ Guide till (för det mesta) "laglig" hacking. Nybörjarkurs Del1 Nr2 Den här delen skall vi lära oss förfalska epost - och hur man ser att det är förfalskat. Det är inte alls svårt! _________________________________________________________________________ Hacking på en halvtimme! Vill du imponera på dina vänner? Ok - vad är det häftigaste du hört att hackare har gjort? Det är att fixa tillträde till en främmande dator, eller hur? Så vad skulle du tycka om att ta dig in i en annan dator och köra ett program på nästan vilken dator som helst som finns uppkopplad på Internet? Vad skulle du gilla att använda en sån dator på samma sätt som en av historiens mest notoriska hackare: Robert Morris? Det var "The Morris Worm" som nästan sänkte hela Internet 1990. Luckan som han uttnyttjade för att fylla upp datorerna med skräppost, har fixats till nu - på de flesta datorer! Men egenskapen hos Internet fortfarande kvar med många kul saker,spel och buggar. Vi skall idag ta det första steget mot att lära oss ett av många sätt som hackare använder, för att bryta sig in i datorer. Men jag skall inte lära dig hur du bryter dig in i de privata delarna av en dator. Det låter tröttsamt, men jag är allergisk mot fängelser. Så vad jag lär ut är lagligt, ofarligt och roligt. Så du behöver inte gömma dig bakom gardinerna när du visar dina polare hur det går till. Men för att klara det här tricket, behöver du kunna 'telnetta' till en viss port på en Internet-dator. Netcom tex, tillåter att du gör detta. Men Compuserve, AOL och många andra ISP:s tillåter inte att du gör detta. Bästa sättet är som vanligt, via ett shell account, så försök fixa ett sånt. ************************************************************************* ********* Tips: Ett shell account är ett Internet-konto som låter dig använda Unix-kommandon. Unix är likt Dos på ett sätt. Du skriver dina kommandon vid en prompt. Unix är det operativsystem som är vanligast på Internet-servrar. Lär dig Unix om du vill bli en seriös hackare.... ************************************************************************* ********* Även om du inte har 'telnettat' tidigare, så är det mycket enkelt. Även om det här ser avancerat ut, så kan du lära dig det på en halvtimme. Och du behöver bara lära dig två kommandon. För att kolla om din ISP (Internet Service Provider = din Internetleverantör) låter dig 'telnetta', testar du detta kommando: telnet callisto.unm.edu 25 Detta är till en dator i New Mexico. Mitt Compuserve-konto får spader när jag testar det här kommandot. Det kraschar telnet-programmet utan en viskning. Men Netcom fixar detta kommando. Och de flesta leverantörer av Internet-tjänster låter dig köra telnet. ************************************************************************* ************ Nybörjartips #2: Hur du fixar ett 'shell account'. (Konto där du kan använda Unix-kommandon) Kolla in gula sidorna i telefonkatalogen. Titta under Internet. Ring och hör om du kan få ett 'shell account'. Vanligtvis får du till svar att det kan ordnas. Men många gånger ljuger de. Eller också vet personen du pratar med ingenting. Ett sätt är att fråga om ett 'gäst-konto'. De flesta Internet-leverantörer låter dig få ett sånt konto. Testa sedan att köra telnet. OBS! (Detta är en översättning från en amerikansk text, så ovanstående uppgifter får tas med en nypa salt. Hör med tex Telia, Tele2, Algonet osv om du kan få testa ett 'shell-account' eller fråga hur du bär dig åt för att få ett konto där du kan testa Unix-kommandon.) ************************************************************************* ***************** Ok! Låt oss anta att du har ett konto som tillåter dig att använda programmet Telnet. Så testa kommandot: telnet callisto.unm.edu 25 Om du har använt telnet tidigare, har du antagligen skrivit som ovan men utan siffrorna längst till höger. Men dessa siffror utgör skillnaden mellan en snäll, men tråkig Internet-användare och en som är på god väg in i hackervärlden. Detta nummer - 25, säger åt Telnet att öppna en viss port på den uppringda datorn. ************************************************************************* ******************* Nybörjartips #3: Portar En dator-port är en ingång där information går in i datorn. Exempel på portar i din egen pc är skärmingången, serieportarna till musen och modemet, parallellporten till skrivaren, och utgången till ditt tangentbord. Men en dator som funkar som server på Internet, har betydligt fler portar. Dessa portar identifieras av olika nummer. Skillnaden är att de kallas för virtuella portar, dvs de är mjukvaruberoende (programstyrda) och är inte 'fysiska' portar som t.ex en serieport. ************************************************************************* ******************** Port 25 är en 'kul' port. När du 'telnettar' till den, får du svaret "access denied" när du stöter på en brandvägg (datorn är skyddad bakom en programstyrd 'vägg'), eller också får du ett svar som nedan: Trying 129.24.96.10... Connected to callisto.unm.edu. Escape character is '^]'. 220 callisto.unm.edu Smail3.1.28.1 #41 ready at Fri, 12 Jul 96 12:17 MDT Kolla! Programmet bad oss inte att logga in. Det bara släppte in oss! Lägg märke till att programmet som körs heter Smail3.1.28.1 - ett program som skapar och sänder e-post. Hjälp! Vad gör man nu? Om du vill verka riktigt sofistikerad, frågar du callisto.unm.edu vilka kommandon du kan använda. När du når en främmande dator finns det åtminstone ett kommando av dessa tre, som du kan använda: "help" "?" "man". Jag testar: help och det här får jag till svar: 250 The following SMTP commands are recognized: 250 250 HELO hostname startup and give your hostname 250 MAIL FROM: start transaction from sender 250 RCPT TO: name recipient for message 250 VRFY
verify deliverability of address 250 EXPN
expand mailing list address 250 DATA start text of mail message 250 RSET reset state, drop transaction 250 NOOP do nothing 250 DEBUG [level] set debugging level,default 1 250 HELP produce this help message 250 QUIT close SMTP connection 250 250 The normal sequence of events in sending a message is to state the 250 sender address with a MAIL FROM command, give the recipients with 250 as many RCPT TO commands as are required (one address per command) 250 and then to specify the mail message text after the DATA command. 250 Multiple messages may be specified. End the last one with a QUIT. Att få denna radda av information är ganska häftigt. Det får dig att verka cool därför att du vet hur du skall få den andra datorn att svara på ditt kommando och hur du skall göra för att 'hacka' den. Och det betyder att det enda kommando du behöver lära dig är 'telnet 25' och 'help'. Sedan kan du kolla in de kommandon som visas härovan och som du kan använda. Så även om ditt minne är gott men kort,(som mitt) så kan du lära dig det här hackertricket snabbt. Så vad gör vi nu med dessa kommandon? Yep - du gissade rätt. Det här är ett mycket primitivt epost-program. Och gissa varför du kan komma in här utan att logga in? Gissa varför det här var den svagheten som gjorde att Robert Morris kunde sänka nästan hela Internet? Port 25 flyttar epost från en nod till en annan på Internetdatorer. Den tar automatiskt mot epost och om det inte finns någon användare med ett konto som svarar mot epost-adressen, skickar den mailen vidare till nästa dator på nätet osv osv till det når den rätta adressaten. Oftast går ditt email direkt från sändaren till mottagaren, men om mottagaren finns långt bort, eller Internet är nerlastat av trafik, går ditt email genom många olika datorer. Det finns miljoner av datorer på Internet som transporterar e-post. Och du kan använda nästan alla dessa datorer utan lösenord! Dessutom är det lätt att hitta adressen till alla dessa datorer och jag skall visa dig hur. Ok- nu befinner vi oss i Robert Morris 'wormland'. Vad gör vi nu? Jag testade att skriva följande: helo santa@north.pole.org 250 callisto.unm.edu Hello santa@north.pole.org mail from:santa@north.pole.org 250 ... Sender Okay rcpt to:cmeinel@nmia.com 250 ... Recipient Okay data 354 Enter mail, end with "." on a line by itself It works!!! . 250 Mail accepted Här ovan visar jag hur jag skickar fejkad epost till mig själv. Jag kollade i mitt epost program Eudora och här är vad jag fick: X POP3 Rcpt: cmeinel@socrates Den här raden talar om för mig att min ISP:s postprogram heter X-POP3 och att datorn socrates tog hand om mitt email. ************************************************************************* *********** Tips: Inkommande post går genom port 110. Testa att 'telnetta' dit någon gång! Men vanligtvis gör programmet POP inte mycket för att hjälpa dig och du blir snabbt utsparkad om du ger fel kommando. ************************************************************************* *********** Return Path: Raden ovan visar min fejkade epost-adress. Apparently From: santa@north.pole.org Date: Fri, 12 Jul 96 12:18 MDT Men här ser man på raden - "Apparently From" - att det är fråga om fejkad mail. Apparently To: cmeinel@nmia.com X Status: It works!!! Här ser man någonting intressant. Olika mail-program visar olika typer av 'brevhuvud'. Så hur bra ditt fejkade mail blir, beror mycket på vad som visas just där. Vissa program visar mindre och är därför bättre att använda om man vill skicka förfalskad epost. Här visas vad programmet Pine skriver ut med samma mail som skickades ovan: Return Path: Received: from callisto.unm.edu by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0uemp4 000LFGC; Fri, 12 Jul 96 12:20 MDT Dessa rader identifierar datorn som jag skrev mailet på och det talar också om vilken version av programmet som användes. (Linux Smail3.1.28.1 #4) Apparently From: santa@north.pole.org Och här visas "apparently from"- meddelandet igen. Så både Eudora och Pine visar alltså att det är frågan om fejkad epost. Received: from santa@north.pole.org by callisto.unm.edu with smtp (Smail3.1.28.1 #41) id m0uemnL 0000HFC; Fri, 12 Jul 96 12:18 MDT Message Id: Nej,nej! Här visas inte bara att det är fråga om förfalskad epost, utan meddelandet har ett ID-nummer. Detta betyder att det finns en logfil på datorn Callisto som visar vem som har använt smail-programmet i port 25. Så varje gång någon loggar in på port 25 på den datorn, finns deras epost-adress kvar och ID-numret på mailet. Date: Fri, 12 Jul 96 12:18 MDT Apparently From: santa@north.pole.com Apparently To: cmeinel@nmia.com It works!!! Om någon skulle använda den här datorns epost-program för att tex skicka olaglig epost, är det inte svårt för polisen att spåra upp vem som har gjort det, tack vare att varje meddelande har sitt eget ID-nummer. Så om du vill fejka epost till någon är det svårare att försöka dölja det om programmet som används är Pine. Det är lite enklare med Eudora. Du kan kolla vilket program avsändaren använder genom att kolla in 'brevhuvudet'. Där står programmets namn. Men på många Internet-datorer är inte epost-programmet på port 25 så väl skyddat som hos callisto. En del är mer skyddade, andra mindre. Hos en del datorer finns ingen logfil som registerar användare vid port 25, och dessa datorers epost-program är perfekta att använda då man vill skicka 'falsk' post. Bara för att du får epost med perfekt utseende på 'brevhuvudet', behöver det inte innebära att det är ett äkta mail. ************************************************************************* *********** Gå-i-fängelse-varning: Om du har för avsikt att använda 'falsk' epost för att begå ett brott - tänk efter. Om du läser den här guiden, vet du inte tillräckligt mycket för att kunna förfalska epost, och du kan hamna i fängelse! ************************************************************************* *********** Här är ett exempel på ett annorlunda epost program, sendmail. Det ger en ide' om de små variationer som du kan stöta på när du hackar. Mitt kommando: telnet ns.Interlink.Net 25 Datorn svarar: Trying 198.168.73.8... Connected to NS.INTERLINK.NET. Escape character is '^]'. 220 InterLink.NET Sendmail AIX 3.2/UCB 5.64/4.03 ready at Fri, 12 Jul 1996 15:45 Så skriver jag: helo santa@north.pole.org Och den svarar: 250 InterLink.NET Hello santa@north.pole.org (plato.nmia.com) Den här versionen av Sendmail kan man inte alls lura. Kolla hur det lägger till (plat.nmia.com) - det är datorn jag använder för det här tricket - i brevet som visar vilken dator jag 'telnettar' från. Men va f-n, alla Internet värdar känner till den här typen av information. Jag kör vidare och skickar det fejkade meddelandet i alla fall: mail from:santa@north.pole.com 250 santa@north.pole.com... Sender is valid. rcpt to:cmeinel@nmia.com 250 cmeinel@nmia.com... Recipient is valid. data 354 Enter mail. End with the . character on a line by itself. It works! . 250 Ok quit 221 InterLink.NET: closing the connection. Ok - vilken sorts epost fick jag från det här datorn. Här är vad jag fick i Pine: Return Path: Received: from InterLink.NET by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueo7t 000LEKC; Fri, 12 Jul 96 13:43 MDT Received: from plato.nmia.com by InterLink.NET (AIX 3.2/UCB 5.64/4.03) id AA23900; Fri, 12 Jul 1996 15:43:20 0400 Oops! Här har InterLink.NET avslöjat vilken dator jag använde för att 'telnetta' till port 25. Men det spelar inte så stor roll, för de flesta använder sin ISP:s värddator. Date: Fri, 12 Jul 1996 15:43:20 0400 From: santa@north.pole.org Message Id: <9607121943.AA23900@InterLink.NET> Apparently To: cmeinel@nmia.com It worked! Ok! Här står det inte "Apparently From" så nu vet jag att datorn vid ns.Interlink.Net är hyfsat bra att använda för att skicka fejkad epost. En erfaren epost-användare skulle dock se att det är fråga om förfalskad epost pga raden "Received:". Men det framgår inte så tydligt som i programmen här ovan. Jag testar en annan dator. Berkeley-Universitetet är känd för sin dator-forskning. Jag undrar hur deras postprogram ser ut? Jag letar först fram den numeriska IP-adressen till en av Berkeley's maskiner och ger sedan kommandot: telnet 128.32.152.164 25 Den svarar med: Trying 128.32.152.164... Connected to 128.32.152.164. Escape character is '^]'. 220 remarque.berkeley.edu ESMTP Sendmail 8.7.3/1.31 ready at Thu, 11 Jul 1996 12 help 214 This is Sendmail version 8.7.3 214 Commands: 214 HELO EHLO MAIL RCPT DATA 214 RSET NOOP QUIT HELP VRFY 214 EXPN VERB 214 For more info use "HELP ". 214 To report bugs in the implementation send email to 214 sendmail@CS.Berkeley.EDU. 214 For local information send email to Postmaster at your site. 214 End of HELP info Här har vi en annan typ av post-program. Jag undrar vad jag kan få veta mer om dessa kommandon: HELP mail 214 MAIL FROM: 214 Specifies the sender. 214 End of HELP info F-n! Låt oss kolla vad den här datorn (namn=remarque) gör med fejkad epost. MAIL FROM:santa@north.pole.org 250 santa@north.pole.org... Sender ok Hm...! Intressant. Jag skrev inte "helo" och det här programmet gav mig inte en örfil. Undrar vad det betyder? RCPT TO:cmeinel@techbroker.com 250 Recipient ok DATA 354 Enter mail, end with "." on a line by itself This is fake mail on a Berkeley computer for which I do not have a password. . 250 MAA23472 Message accepted for delivery quit 221 remarque.berkeley.edu closing connection Nu går vi till Pine och kollar hur brevhuvudet ser ut: Return Path: Received: from nmia.com by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueRnW 000LGiC; Thu, 11 Jul 96 13:53 MDT Received: from remarque.berkeley.edu by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueRnV 000LGhC; Thu, 11 Jul 96 13:53 MDT Apparently To: Received: from merde.dis.org by remarque.berkeley.edu (8.7.3/1.31) id MAA23472; Thu, 11 Jul 1996 12:49:56 0700 (PDT) Kolla in de tre "received" raderna. Min ISP:s dator fick det här emailet inte direkt från Remarque.berkeley.edu utan från merde.dis.com som i sin tur fick brevet från Remarque. Hm! Jag känner till vem som äger datorn merde.dis.com. Berkeley-datorn skickar det här brevet via en dator som ägs av en berömd expert på dator-säkerhet - Pete Shipley. Tips: Namnet merde och dis.org är påhittade :) Så låt oss kolla hur brevet från remarque ser ut i epost-programmet Pine: Date: Thu, 11 Jul 1996 12:49:56 0700 (PDT) From: santa@north.pole.org Message Id: <199607111949.MAA23472@remarque.berkeley.edu> This is fake mail on a Berkeley computer for which I do not have a password. Det här var häftigt. Den här datorn varnar inte för att adressen Santa.... är falsk. Och ännu bättre - den talar inte om från vilken dator meddelandet härstammar. Så därför är remarque.berkeley.edu en bra dator att skicka falsk epost från. Obs: Sist jag kollade hade man fixat till remarque, så bryr er inte om att använda den. Men inte alla sendmail-program är så snälla. Kolla epostmeddelandet jag skapade i datorn adress - atropos.c2.org: telnet atropos.c2.org 25 Trying 140.174.185.14... Connected to atropos.c2.org. Escape character is '^]'. 220 atropos.c2.org ESMTP Sendmail 8.7.4/CSUA ready at Fri, 12 Jul 1996 15:41:33 help 502 Sendmail 8.7.4 HELP not implemented Här fick vi ingen hjälp alls. Men vi testar i alla fall: helo santa@north.pole.org 501 Invalid domain name Vad är det här? Andra sendmail-program ski..r i vilket namn jag använder under "helo". Ok! Jag skriver ett godkänt domän-namn. Men inte rätt användare! helo satan@unm.edu 250 atropos.c2.org Hello cmeinel@plato.nmia.com [198.59.166.165], pleased to meet you Jo, hej du! Jag skulle tro att du är glad att träffa mig. Varför i helsike behöver du ett godkänt domännamn för, när du i alla fall känner till vem jag är? mail from:santa@north.pole.com 250 santa@north.pole.com... Sender ok rcpt to: cmeinel@nmia.com 250 Recipient ok data 354 Enter mail, end with "." on a line by itself Oh, crap! . 250 PAA13437 Message accepted for delivery quit 221 atropos.c2.org closing connection Så vilken typ av e-post fixade den här otrevliga datorn till? Jag kollar in i mitt Pine-program: Return Path: Det var snällt att låta mig använda min förfalskade adress. Received: from atropos.c2.org by nmia.com with smtp (Linux Smail3.1.28.1 #4) id m0ueqxh 000LD9C; Fri, 12 Jul 96 16:45 MDT Apparently To: Received: from satan.unm.edu (cmeinel@plato.nmia.com [198.59.166.165]) Det var intressant! Datorn atropos.c2.org skrek inte bara ut min verkliga identitet, utan den talade också om min adress. Hum! Där lärde jag mig något nytt! by atropos.c2.org (8.7.4/CSUA) with SMTP id PAA13437 for cmeinel@nmia.com; Fri, 12 Jul 1996 15:44:37 0700 (PDT) Date: Fri, 12 Jul 1996 15:44:37 0700 (PDT) From: santa@north.pole.com Message Id: <199607122244.PAA13437@atropos.c2.org> Oh, crap! Så slutsatsen av informationen här ovan är, att det finns en mängd olika epost-program som flyter omkring i port 25 på Internet-datorer. Så om du vill leka med dem - kolla först hur de funkar innan du börjar skicka din falska epost. _________________________________________________________________________ ______________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 _________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers