__________________________________________________________________ GUIDE TO (mostly) HARMLESS HACKING Vol. 1 Number 4 Hur man ser till att sparka ut Usenet spammers från sina ISP:s (Spammer= Personer som roar sig med att skicka reklam över Internet). __________________________________________________________________ Vad gillar du när din nyhetsgrupp blir bombad med 900 sex-annonser och annonser om hur du blir rik på pyramidspel? Om ingen såg till att dessa figurer fick betala dyrt, skulle Usenet snart vara nerlusat med skitannonser. Det är verkligen frestande att använda våra nyvunna kunskaper till att sparka ut dessa 'spammers'. Men många gånger är det som att använda en atombomb på en myra. Varför riskera att hamna i fängelse när det finns lagliga metoder att hindra dessa profitörer från att husera på Internet. Den här delen av Happy Hacker skall visa dig några tricks för att motarbeta Usenet 'spammers'. 'Spammers' förlitar sig helt på falsk epost och Usenets nyhetsgrupper. Som vi lärde oss i andra delen av Guide till (för det mesta) laglig hacking, är det lätt att skicka förfalskad epost. Det är också lätt att förfalska inlägg till nyhetsgrupper. ******************************************************************************* Nybörjartips #1: Usenet är en del av Internet som består av ett system av 'on-line' diskussions-grupper som kallas "news-groups". Exempel på nyhetsgrupper är rec.humor, comp.misc, news.announce.newusers, sci.space.policy och alt.sex. Det finns omkring 10000 nyhetsgrupper. Usenet startade 1980 som ett Unix-nätverk som länkade ihop personer som ville diskutera Unix. Sedan började man tala om andra saker, och resten är historia. ******************************************************************************* Här kommer en snabb sammanfattning om hur man förfalskar Usenet-inlägg. Åter igen använder vi tekniken att 'telnetta' till en viss port. Usenet-porten är vanligtvis bara öppen för de som har konton på det systemet. Så du skall 'telnetta' från ditt shell account tillbaks till din ISP med kommandot: telnet news.myISP.com nntp där du byter ut 'myISP' till det som står efter @ i din epost-adress. Du kan också använda "119" istället för "nntp". Hos min ISP får jag svaret: Trying 198.59.115.25 ... Connected to sloth.swcp.com. Escape character is '^]'. 200 sloth.swcp.com InterNetNews NNRP server INN 1.4unoff4 05- Mar-96 ready (posting) Nu är vi helt plötsligt i ett program som vi inte känner till alltför väl. Så därför testar vi med help Och vi får: 100 Legal commands authinfo user Name|pass Password|generic article [MessageID|Number] body [MessageID|Number] date group newsgroup head [MessageID|Number] help ihave last list [active|newsgroups|distributions|schema] listgroup newsgroup mode reader newgroups yymmdd hhmmss ["GMT"] [] newnews newsgroups yymmdd hhmmss ["GMT"] [] next post slave stat [MessageID|Number] xgtitle [group_pattern] xhdr header [range|MessageID] xover [range] xpat header range|MessageID pat [morepat...] xpath MessageID Report problems to Använd din fantasi med dessa kommandon. Om du vill förfalska inlägg från en annan ISP än din egen, kom ihåg att en del Internet datorer har en nntp-port som inte kräver lösenord eller ett som är lätt att gissa tex "post". Men det kan vara ett helsike att hitta en sådan dator. Så eftersom du är tvungen att använda din egen ISP, är det svårare att förfalska inlägg till nyhetsgrupper än det är att skicka förfalskad epost. Kom dock ihåg att det är tämligen lätt att spåra förfalskade inlägg och falsk epost - om du vet vad du ska titta efter. När du en gång identifierat från var 'spam' kommer, pga meddelandets ID, vet du vem du skall få utsparkad. Normalt sett kan du inte själv ta reda på vem den skyldige är, men du kan kontakta dennes ISP och se till att personen blir av med sitt konto. Visst - dessa 'spammers' dyker ofta upp via en annan ISP. Men de är alltid på flykt. När fick du själv skit-post som "Amazing free offer" sist? Om det inte vore för oss "nät-väktare", skulle din epost ständigt vara fylld av skit och nyhetsgrupperna ständigt fyllda med idiotiska inlägg från 'spammers'. Vad jag lär dig nu om attack mot 'spammers', är dessutom helt lagligt och du blir betraktad som en "good guy". Vi behöver all hjälp vi kan få för att bekämpa dessa 'spammers'. Först och främst behöver vi lära oss hur vi läser "brevhuvudet" på inlägg och epost- meddelanden. 'The Header' är någonting som visar oss vilken väg ett email eller ett inlägg har tagit för att nå oss. Det visar namnen på de datorer som har använts när meddelandet har skapats och skickats. När någonting har förfalskats kan dock namnen vara fejkade. Skickliga 'spammers' kan använda namnen på verkliga datorer, men en bra hackare kan snabbt lista ut om datorerna som står i 'headern' verkligen är de som andvänts. Först skall vi titta på ett förfalskat inlägg till Usenet-gruppen alt.personals. Den gruppen bevakas inte lika bra av anti-spammers som tex rec.aviation.military (grupp för tex stridsflygare) Här är ett exempel, som visas med Unix-programmet "Tin"(epost-program): Thu, 22 Aug 1996 23:01:56 alt.personals Thread 134 of 450 Lines 110 >>>>FREE INSTANT COMPATIBILITY CHECK FOR SEL No responses ppgc@ozemail.com.au glennys e clarke at OzEmail Pty Ltd - Australia CLICK HERE FOR YOUR FREE INSTANT COMPATIBILITY CHECK! http://www.perfect-partners.com.au WHY SELECTIVE SINGLES CHOOSE US At Perfect Partners (Newcastle) International we are private and confidential. We introduce ladies and gentlemen for friendship and marriage. With over 15 years experience, Perfect Partners is one of the Internet's largest, most successful relationship consultants. Det första vi lägger märke till är retur-adressen. Vi 'nätväktare' brukar alltid skicka en kopia av inlägget tillbaks till avsändaradressen. Om en av hundra på en välbesökt nyhetsgrupp som alt.personals skulle skicka en kopia tillbaks till avsändaren, skulle dennes brevlåda snabbt fyllas upp av alla dessa kopior. Detta skulle i sin tur påkalla uppmärksamheten hos sysadmin på den ISP:en som 'spammaren' använder, och 'spammaren' skulle förlora sitt konto. Så för att undvika detta, använder de flesta 'spammers' falska epost-adresser. För att kolla om adressen i inlägget ovan är falsk, går jag ur programmet Tin och skriver kommandot vid prompten: whois ozemail.com.au Jag får svaret: No match for "OZEMAIL.COM.AU" Detta svar är dock inte mycket att lita på, därför att "au" på slutet av adressen anger att det är en adress i Australien. Olyckligtvis funkar kommandot "whois" inte speciellt bra utanför USA. Nästa steg är att testa och skicka nåt eländigt till denna adress. En kopia på 'spammarens' meddelande brukar vara nog irriterande. Men naturligtvis kommer meddelandet tillbaks med texten - 'No such adress'. Därefter går jag till den annonserade websidan. Hör och häpna - den har en epost adress, "perfect.partners@hunterlink.net.au". Jag är inte förvånad att adressen inte alls är lika som i inlägget till alt.personal. Vi skulle kunna sluta här och tillbringa en timme eller två med att skicka filer på 5 Mb till perect.partners@hunterlink.net.an. Hm - kanske en gifbild på parande noshörningar? ********************************************************************************** Gå-i-fängelse-varning: 'Mailbombing' är ett sätt att skaffa sig bekymmer. Enligt Ira Winkler (expert på datasäkerhet) kan det vara olagligt att 'bomba' även en 'spammer' med allt för mycket post om det kan bevisas att du förorsakar ekonomisk förlust och mängder med arbete. Om systemet inte är rätt konfigurerat, kan du slå ut hela det systemet med alltför mycken post. Detta är kriminellt. ********************************************************************************** Suck! Om medveten 'mailbombing' är olagligt, så kan jag inte skicka den där gif-bilden. Så jag skickade därför bara en kopia på inlägget istället till perfect.partners. Det här kan ju verka som en feg reträtt. Men vi skall snart se hur man kan göra mycket mer. Bara att skicka en kopia tillbaks till perect.partners kan förorsaka en flodvåg av protester som i sin tur sparkar ut 'spammarna' från Internet. Om bara en av tusen skickar en kopia, blir det ändå tusentals kopior sända till deras epost-adress. Denna volym kan få sysadmin där att börja fundera. Kolla in här vad ISP-ägaren Dale Amon säger om styrkan i epost-protester: "Man behöver inte ropa efter en 'mail bomb'. Det bara sker. Alltid när jag ser en 'spam', skickar jag en kopia av meddelandet tillbaks till dem. Jag antar att tusentals andra också gör det. Om de (spammarna) gömmer sig bakom en falsk adress, letar jag fram den äkta, lägger ut den på nyhetsgruppen om jag har tid. Jag har inga samvetskval över detta". Dale är alltså ägare och teknisk ledare på en av de största och äldsta ISP:en på Irland, så han känner till många bra sätt att leta sig fram till äkta adresser. Vi skall lära oss ett sätt. Vårt mål är att hitta vem som är uppkopplad mot Internet, och stänga den förbindelsen. När en ISP blir medveten om att han har en 'spammer' som kund, dröjer det inte länge förrän han stänger det kontot. Första steget är att analysera 'huvudet' på meddelandet för att försöka se hur det är förfalskat och var. Jag öppnar meddelandet i mitt epost-program "Pine" och det här är vad jag ser som 'header'( brevhuvud): Path: sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com !news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news From: glennys e clarke NNTP-Posting-Host: 203.15.166.46 Mime-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 7bit X-Mailer: Mozilla 1.22 (Windows; I; 16bit) Första adressen i 'headern' är definitivt äkta. Det är den datorn min ISP använder som värd för nyhetsgrupper. Det är den sista länken i en rad av datorer som har förmedlat detta 'spam'. ************************************************************************************* Nybörjartips #2: Alla Internetdatorer har ett en namn som består av minst två led. "Sloth" är namnet på en av datorerna som ägs av ett bolag som har domännamnet swcp.com. Så "Sloth" funkar ungefär som nyhetsserverns förnamn och "swcp.com" dess efternamn. "Sloth" kan också ses som en gatuadress medan "swcp.com" är ortsnamnet och postnumret. "Swcp.com" är ett domännamn som ägs av Southwest Cyberport. Alla Internetdatorer har också ett numeriskt 'namn' eller IP-adress som tex 127.99.23.12 ************************************************************************************* Vi testar det mest uppenbara. I 'huvudet' sägs det att meddelandet var skrivet och skickat från 203.15.166.46. Så vi 'telnettar' till denna nntp-server (port 119): telnet 203.15.166.46 119 Vi får som svar: Trying 203.15.166.46 ... telnet: connect: Connection refused Det här visar att det är nåt galet. Om det här var en dator som skötte nyhetsgrupper, skulle den ha en nntp-port som accepterar besökare. Den kollar snabbt om jag är användare på just den datorn, och om inte, bryter den förbindelsen. Men i det här fallet kopplas jag aldrig fram. Det finns en annan förklaring. Datorn har en brandvägg som filtrerar bort icke-användare. Men det är inte vanligt hos en dator som sköter 'dating'-tjänster. Brandväggar används av stora bolag för att skydda sina interna nätverk mot Internet. Härnäst testar jag att skicka epost till postmaster@203.15.166.46 med en kopia av 'spammet'. Men som svar får jag: Date: Wed, 28 Aug 1996 21:58:13 -0600 From: Mail Delivery Subsystem To: cmeinel@techbroker.com Subject: Returned mail: Host unknown (Name server: 203.15.166.46: host not found) The original message was received at Wed, 28 Aug 1996 21:58:06 -0600 from cmeinel@localhost ----- The following addresses had delivery problems ----- postmaster@203.15.166.46 (unrecoverable error) ----- Transcript of session follows ----- 501 postmaster@203.15.166.46... 550 Host unknown (Name server: 203.15.166.46: host not found) ----- Original message follows ----- Return-Path: cmeinel Received: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id Det verkar som nntpserver-informationen också var förfalskad. Nu testar vi nästa adress i 'headern'. Eftersom den börjar med ordet "news", så bör det vara en dator som hyser nyhetsgrupper. Så jag kollar in dess nntp-port: telnet news.ironhorse.com nntp Och svaret blev: trying 204.145.167.4 ... Connected to boxcar.ironhorse.com. Escape character is '^]'. 502 You have no permission to talk. Goodbye. Connection closed by foreign host Ok - då vet vi att den adressen åtminstone är en news-server. Och vi fick också lära oss namnet/adressen till datorn ironhorse.com, som i sin tur sköter nyhetsgruppen "boxcar". Jag testar nästa adress: telnet news.uoregon.edu nntp Och får: Trying 128.223.220.25 ... Connected to pith.uoregon.edu. Escape character is '^]'. 502 You have no permission to talk. Goodbye. Connection closed by foreign host. OK, det här är också en giltig nyhetsserver. Vi hoppar till sista adressen "in2.uu.net": telnet in2.uu.net nntp Och får svaret: in2.uu.net: unknown host Någonting är skumt här. Värddatorn i 'headern' är inte uppkopplad mot Internet just nu. Den är antagligen påhittad. Låt oss testa domännamnet: whois uu.net Resultatet blir: UUNET Technologies, Inc. (UU-DOM) 3060 Williams Drive Ste 601 Fairfax, VA 22031 USA Domain Name: UU.NET Administrative Contact, Technical Contact, Zone Contact: UUNET, AlterNet [Technical Support] (OA12) help@UUNET.UU.NET +1 (800) 900-0241 Billing Contact: Payable, Accounts (PA10-ORG) ap@UU.NET (703) 206-5600 Fax: (703) 641-7702 Record last updated on 23-Jul-96. Record created on 20-May-87. Domain servers in listed order: NS.UU.NET 137.39.1.3 UUCP-GW-1.PA.DEC.COM 16.1.0.18 204.123.2.18 UUCP-GW-2.PA.DEC.COM 16.1.0.19 NS.EU.NET 192.16.202.11 The InterNIC Registration Services Host contains ONLY Internet Information (Networks, ASN's, Domains, and POC's). Please use the whois server at nic.ddn.mil for MILNET Information. Så uu.net är ett riktigt domännamn. Men eftersom värddatorn in2.uu.net som listas i 'headern', inte är uppkopplad mot Internet, är den här delen med största sannolikhet också förfalskad. (Det kan finns andra förklaringar också). Vi arbetar oss uppåt i 'headern': telnet news.mindspring.com nntp Jag får: Trying 204.180.128.185 ... Connected to news.mindspring.com. Escape character is '^]'. 502 You are not in my access file. Goodbye. Connection closed by foreign host. Intressant. Jag får inte en värddator till namnet på nntp-porten. Vad betyder detta? Det finns ett sätt att testa. Låt oss 'telnetta' till porten som ger oss inloggnings sekvensen. Det är port 23, som telnet automatiskt går till om vi inte anger någon annan port: telnet news.mindspring.com Det här börjar bli intressant! Trying 204.180.128.166 ... telnet: connect to address 204.180.128.166: Connection refused Trying 204.180.128.167 ... telnet: connect to address 204.180.128.167: Connection refused Trying 204.180.128.168 ... telnet: connect to address 204.180.128.168: Connection refused Trying 204.180.128.182 ... telnet: connect to address 204.180.128.182: Connection refused Trying 204.180.128.185 ... telnet: connect: Connection refused Notera hur detta kommando testar fler datorer. De är alla nyhetsservrar eftersom ingen av dem har inloggning. Det här ser ut som en bra kandidat till orginaldatorn där 'spammet' skapades. Det finns 5 nyhetsservrar. Vi testar med ett "whois"-kommando på domännamnet: whois mindspring.com Vi får: MindSpring Enterprises, Inc. (MINDSPRING-DOM) 1430 West Peachtree Street NE Suite 400 Atlanta, GA 30309 USA Domain Name: MINDSPRING.COM Administrative Contact: Nixon, J. Fred (JFN) jnixon@MINDSPRING.COM 404-815-0770 Technical Contact, Zone Contact: Ahola, Esa (EA55) hostmaster@MINDSPRING.COM (404)815-0770 Billing Contact: Peavler, K. Anne (KAP4) peavler@MINDSPRING.COM 404-815-0770 (FAX) 404-815-8805 Record last updated on 27-Mar-96. Record created on 21-Apr-94. Domain servers in listed order: CARNAC.MINDSPRING.COM 204.180.128.95 HENRI.MINDSPRING.COM 204.180.128.3 ************************************************************************ Nybörjartips: Kommandot "whois" kan användas för att se vem som äger ett domännamn. Domännamn är de tex två sista delerna av din epost-adress efter @, tex telia.com eller de två sista delarna i en dators namn, tex netcom.com från datorn ix.netcom.com. ************************************************************************ Jag skulle påstå att Mindspring är den ISP vartifrån det här inlägget är postat. Anledningen är att den delen av 'headern' ser äkta ut, och den erbjuder en rad datorer varifrån man kan skicka falska inlägg. En kopia till teknikerna på hostmaster@mindspring.com med en kopia på inlägget, kan ge resultat. Personligen skulle jag dock bara gå till deras websida, och skicka dem ett protestbrev. Parande noshörningar? Även om det är olagligt? Min system administratör Terry McIntyre varnar mig: "Man behöver inte skicka megabyte-stora filer tillbaks. (om man inte skickar en kopia på 'spammet' för att låta mottagaren förstå vad det handlar om) Det stora antalet ofredade, är till din fördel. 'Spammers' skickar ett meddelande eller inlägg och han når tusentals potentiella kunder. Dessa skickar tillbaks epost-meddelande till 'spammern" och säger vad de tycker om 'spamming'. De flesta 'spammers' fattar då galoppen kvickt. Man skall undvika att skicka klagomål till den nyhetsgrupp där 'spammet' från början postades. Ditt klagomål bidrar bara till att belamra den nyhetsgruppen med ännu mer skit som du tvingar på andra, i nyhetsgruppen". Om jag verkligen vill bli av med en 'spammer'? - Bästa sättet är att skicka ett artigt epost-meddelande med bifogad 'spam' med 'header' och allt, till tekniker och/eller postmastern på varje adress i headern som är äkta. Chansen finns att de blir tacksamma för ditt detektivarbete. Här är ett exempel på ett email jag fick från Netcom som handlar om en 'spammer' som jag spårade upp: From: Netcom Abuse Department Reply-To: Subject: Thank you for your report Thank you for your report. We have informed this user of our policies, and have taken appropriate action, up to, and including cancellation of the account, depending on the particular incident. If they continue to break Netcom policies we will take further action. The following issues have been dealt with: santigo@ix.netcom.com date-net@ix.netcom.com jhatem@ix.netcom.com kkooim@ix.netcom.com duffster@ix.netcom.com spilamus@ix.netcom.com slatham@ix.netcom.com jwalker5@ix.netcom.com binary@ix.netcom.com clau@ix.netcom.com frugal@ix.netcom.com magnets@ix.netcom.com sliston@ix.netcom.com aessedai@ix.netcom.com ajb1968@ix.netcom.com readme@readme.net captainx@ix.netcom.com carrielf@ix.netcom.com charlene@ix.netcom.com fonedude@ix.netcom.com nickshnn@netcom.com prospnet@ix.netcom.com alluvial@ix.netcom.com hiwaygo@ix.netcom.com falcon47@ix.netcom.com iggyboo@ix.netcom.com joyful3@ix.netcom.com kncd@ix.netcom.com mailing1@ix.netcom.com niterain@ix.netcom.com mattyjo@ix.netcom.com noon@ix.netcom.com rmerch@ix.netcom.com rthomas3@ix.netcom.com rvaldes1@ix.netcom.com sia1@ix.netcom.com thy@ix.netcom.com vhs1@ix.netcom.com Sorry for the length of the list. Spencer Abuse Investigator ___________________________________________________________________ NETCOM Online Communication Services Abuse Issues 24-hour Support Line: 408-983-5970 abuse@netcom.com ************** Det var allt för den här gången. Jag ser fram mot bidrag från er till den här guiden. Happy Hacking och - åk inte fast! _______________________________________________________________________________________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _____________________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 ______________________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers