_______________________________________________________

GUIDE TILL (för det mesta) HARMLÖS HACKING

Vol. 1 Number 6

Hur man ser till att taskiga websidor 'försvinner'.
_______________________________________________________

Hur gör man med taskiga websidor?

Kom ihåg att Internet är frivilligt. Det finns ingen lag som tvingar
en ISP att betjäna kunder de inte tycker om. 'Spammarna' är tex 
alltid på flykt, och samma sak är det med websidor som 'går över gränsen'.

Anledningen till att jag tar upp det här, är ett brev från någon som 
ville vandalisera en barnporr-sida. Jag gillar tanken, men med en 
reservation. Du kan hamna i fängelse! Jag vill inte använda de hackerverktyg
som finns överallt på web- och ftp-sidor. De är enkla att använda men de
är svåra att använda utan att åka fast.

******************************************************************************
Gå-i-fängelse-varning: Att ta sig in i privata datorer är olagligt. Om du ringer
över en statsgräns i USA, begår du ett federalt brott. Spelar ingen roll om
du inte förstör någonting - det är fortfarande olagligt. Om du skaffar dig
root-rättighet men genast drar vidare - det är fortfarande olagligt. Även
om du vandaliserar en barnporr-sida, som man kan tycka är bra gjort, är 
det olagligt!
*******************************************************************************

Ett annat problem är, att det är mycket enkelt att få en server att krascha.
På Internet finns en mängd sidor som har material som du kanske inte tycker
något vidare om, men vem skall bedöma vad som är bra eller inte? Detta är
orsaken till att det är olagligt att försätta servrar ur spel. Detta är 
mycket lätt att göra, men det är inte speciellt proffsigt.

Vad finns det då för lagliga metoder att motarbete tex en barnporr-sida?
Det funkar inte alltid att få dessa barnporr-figurer satta bakom lås och
bom. Det finns lagar i USA mot den typen av websidor, men Internet är
globalt. Även om det vore olagligt i alla länder, finns det länder där
mutor är lönsammare än böter.

********************************************************************************
Gå-i-fängelse-varning: I många länder är barnporr förbjudet. Om barnporr-sidor
läggs upp på en server i ett land som har lagar mot barnporr, kan personen som
lägger upp dessa sidor hamna i fängelse. Så om du känner till någon som lägger
upp den här typen av sidor och du inte gillar det - anmäl honom för polisen.
*********************************************************************************

Men samma krafter som håller 'spammare' borta från nätet, kan också se till att
barnporr försvinner eller blir sällsynt. Verktygen och viljan finns.

Det finns ingenting som tvingar en ISP att lägga upp barnporr-sidor eller annan
typ av stötande material. De flesta gillar inte den typen av sidor, så de kan
göra nästan vad som helst för att slippa dem. ISP:en själv kan vara en pervers
typ som vill tjäna pengar på barnporr. Men då kan man gå ett steg upp i hierarkin
och kontakta ISP:en som i sin tur står för uppkopplingen mot Internet av den här
barnporrsidan. Där blir säkert någon glad att bli av med dessa skumma figurer.

Hur hittar man då dessa personer som kan stänga en websida. Vi startar med en URL.

Jag skall använda mig av en verklig URL. Men kom ihåg att det här nödvändigtvis inte
behöver vara en websida som innehåller barnporr. Jag använder den här sidan
bara som illustrations-objekt. Den innehåller en del sidor som i mångas tycke
kan anses vara stötande material. Så besök den på egen risk.

	http://www.phreak.org

Vi antar att någon har talat om för dig att det här är en barnporrsida. Skall du
då försöka förstöra den? Nej!

Så här startar hacker "krig". Det kan visa sig att det här är en "vanlig"
sida som en gång har haft barnporr men nu har tagit bort allt sånt. För att inte
gå händelserna i förväg, besöker jag sidan, men får meddelandet "No DNS entry".
Det innebär att sidan inte finns just nu.

Men det kan också betyda att servern som hyser sidan, är nerkopplad. Det finns
ett sätt att kolla om servern med detta domännamn är uppkopplad: med 'ping'.

	/usr/etc/ping phreak.org

Svaret blir:
	/usr/etc/ping: unkown host phreak.org

Om servern hade varit uppkopplad, skulle jag ha fått svaret:

	phreak.org is alive

**********************************************************************************
Tips: Ping är ett kraftfullt diagnostiskt verktyg för nätverk. Det här exemplet
är från BSD Unix. Quarterdeck Internet Suite och många andra mjukvaru-paket,
erbjuder den här urvattnade versionen av programmet ping. Men i sin mest kraft-
fulla version - som du får om du installerar Linux på din maskin - gör kommandot
'ping -f' att 'datapaket' skickas ut så snabbt till en mottagande server att den
blir helt upptagen med att ta emot dessa 'paket'. Detta kan få den mottagande 
servern att till slut krascha. Om fler personer pingar samma dator samtidigt, 
kommer datorn att krascha snabbt. Så -- nu kanske du vill installera Linux :).
**********************************************************************************

Netiquette varning: Att 'pinga ner' en värddator är hur lätt som helst. Det är allt
för enkelt och anses inte speciellt proffsigt, och det imponerar inte på någon.
Om du frestas att göra det i alla fall, var beredd på att du kommer att förlora ditt
Internetkonto snabbt, eller något ännu värre. Om du skulle råka starta ping med
-f parametern, kan du snabbt stänga av programmet med CTRL+C.

***********************************************************************************
Gå-i-fängelse-varning: Om det kan bevisas att du använt kommandot ping -f för att
krascha en dator, åker du dit. Det är olagligt!
************************************************************************************

Ok - nu har vi konstaterat att http://phreak.org inte existerar eller att värddatorn
inte är uppkopplad mot Internet.

Men är nerkopplingen permanent, eller? Vi kan skaffa oss en uppfattning om detta, genonm
att gå till Altavista och söka efter phreak.org eller leta efter andra sidor som ev
länkar till phreak.org.

	link: http://www.phreak.org
	host: http://www.phreak.org

Men altavista hittar ingenting. Så det verkar inte som phreak.org är särskilt populär.

Är phreak.org registrerat hos Internic? Vi testar whois:

	whois phreak.org
	Phreaks, Inc. (PHREAK-DOM)
        Phreaks, Inc.
	   1313 Mockingbird Lane
	   San Jose, CA 95132   US
 
	   Domain Name: PHREAK.ORG
 
	Administrative Contact, Billing Contact:
      Connor, Patrick  (PC61)  pc@PHREAK.ORG
      (408) 262-4142
   Technical Contact, Zone Contact:
      Hall, Barbara  (BH340)  rain@PHREAK.ORG
      408.262.4142
 
   Record last updated on 06-Feb-96.
   Record created on 30-Apr-95.
 
   Domain servers in listed order:
 
   PC.PPP.ABLECOM.NET           204.75.33.33
   ASYLUM.ASYLUM.ORG            205.217.4.17
   NS.NEXCHI.NET                204.95.8.2

Jag testar att 'pinga' några timmar senare till phreak.org och nu helt plötsligt
"lever" datorn. Vi har då lärt oss att datorn som hyser phreak.org ibland är
nerkopplad och ibland uppkopplad.

Jag testar att 'telnetta' till phreak.org:

	telnet phreak.org
	Trying 204.75.33.33 ...
	Connected to phreak.org.
	Escape character is '^]'.
 
 
 
______________  _______________________________ __
___  __ \__  / / /__  __ \__  ____/__    |__  //_/____________________ _
__  /_/ /_  /_/ /__  /_/ /_  __/  __  /| |_  ,<   _  __ \_  ___/_  __ `/
_  ____/_  __  / _  _, _/_  /___  _  ___ |  /| |__/ /_/ /  /   _  /_/ /
/_/     /_/ /_/  /_/ |_| /_____/  /_/  |_/_/ |_|(_)____//_/    _\__, /
                                                               /____/

 
 
;
Connection closed by foreign host.

Aha! phreak.org är uppkopplad mot Internet igen.

Att man bara får Ascii-konst och ingen inloggningssekvens, tyder på att den här
datorn inte välkomnar besökare. Den kan också ha en brandvägg som förhindrar
besökare att logga in via telnet från datorer som inte godkänns.

Jag 'finger' till tekniska kontakten:

	finger rain@phreak.org

Som svarar:

	[phreak.org]

Därefter rullade taskig Ascii-konst förbi. Testa själv 'finger' så får du se.

Att phreak.org har finger-porten öppen, är intressant. Eftersom 'finger' är ett
av de bättre sätten att cracka ett system, kan vi dra två slutsatser - att:

	1) sysadmin på phreak.org inte är speciellt säkerhetsmedveten
	2) det är så viktigt för phreak.org att kunna skicka ut skit, så man
	   tar risken att låta 'finger'-porten vara öppen.

Eftersom vi har sett tecken på en brandvägg, är alternativ 2 det mest troliga.

En av medlemmarna på Happy Hacker-listan, William Ryan, beslöt fortsätta testa
'finger'-porten på phreak.org"

- " Jag har kollat in alla guider som getts ut på Happy Hacker. När jag testade
finger på port 79 på phreak.org, fick jag se Ascii-konst ("långa fingret") och jag
kunde logga in och ett meddelande visas.
Det här är allt för frestande - men jag skall försöka undvika att använda port 79 :)".

Hur är det med html-porten? Den är öppen för alla web-sidor som ligger på servern
phreak.org. Vi kan starta en browser och kolla sidan. Men hackare gör inte som
andra. Och porrbilderna kan jag vara utan. Så vi kollar html-porten (port 80) på servern:

	telnet phreak.org 80

Det här är vad jag får:

	Trying 204.75.33.33 ...
	Connected to phreak.org.
	Escape character is '^]'.
	HTTP/1.0 400 Bad Request
	Server: thttpd/1.00
	Content-type: text/html
	Last-modified: Thu, 22-Aug-96 18:54:20 GMT
 
	<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>
	<BODY><H2>400 Bad Request</H2>
	Your request '' has bad syntax or is inherently impossible to 	satisfy.
	<HR>
	<ADDRESS><A
HREF="http://www.acme.org/software/thttpd/">thttpd/1.00</A></ADDRESS
	</BODY></HTML>
	Connection closed by foreign host.


Nu vet vi att phreak.org har en webserver på sin värddator. Servern heter
thttpd, version 1.0. Vi misstänker också att den har en del buggar.

Varför misstänker jag det? Det ser man på versionsnumret: 1.0. Gammalt program.

Om jag vore teknisk administratör på phreak.org, skulle jag snabbt byta till ett
bättre program att köra i port 80 innan någon listar ut hur man får root-rättighet
här. Buggig kod visar ofta en slapp attityd gentemot anrop på root-rättigheter.
På en webserver ger man användarna endast läsrättigheter på användarkonton och 
html-filer.Så det är frestande att testa om det går att få root-rättighet.

Och ett program som söker root-rättigheter, kan krascha och "ge" dig root.

************************************************************************************
Nybörjartips: Root! Den rättigheten är höjdpunkten för en crackare att få. 
"Root" är den rättighet på en dator som låter dig leka gud. Det är kontot som
låter dig nå alla andra konton och du kan läsa och modifiera vilken fil som helst.
Med rooträttighet kan du förstöra all data på den dator du befinner dig.
Men undvik detta om du inte vill att lagen knackar på din dörr en vacker dag.
************************************************************************************

Det är allt för frestande så jag gör ett test:

		telnet phreak.org 80

Som ger:

	Trying 204.75.33.33 ...
	Connected to phreak.org.
	Escape character is '^]'.

Eftersom programmet i port 80 kopplar ner bara på några sekunder, var jag
klar med överföring av ett kommando, som snabbt klistrade in följande kommando:

<ADDRESS>
<A HREF="http://www.phreak.org/thttpd/">thttpd/1.00</A></ADDRESS</BODY></HTML>


Det här ger mig information om programmet i port 80 på phreak.org:
 
HTTP/1.0 501 Not Implemented
Server: thttpd/1.00
Content-type: text/html
Last-modified: Thu, 22-Aug-96 19:45:15 GMT
 
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD>
<BODY><H2>501 Not Implemented</H2>
The requested method '<ADDRESS><A' is not implemented by this server.
<HR>
<ADDRESS><A HREF="http://www.acme.org/software/thttpd/">thttpd/1.00</A></ADDRESS
</BODY></HTML>
Connection closed by foreign host.

Ok - vad är thttpd? Jag gör en snabb sökning med Altavista på nätet och 
jag får svaret:

"A small, portable, fast, and secure HTTP server. The tiny/turbo/throttling
HTTP server does not fork and is very careful about memory..."

Men har programmeraren funderat på hur man skall göra det utan att ha
root-rättigheter? Testar bara på skoj att koppla upp mig till URL
acme.org men får svaret "does not have a DNS entry". Så det innebär att
datorn inte är uppe. Whois gav mig dock informationen att den är registrerad
hos Internic. Verkar som det skulle vara taskig programvara som dessutom
körs i en port. Dags att bryta sig in! Vilken frestelse!!!!!

Här ser vi åter igen en schizofren inställning. Sysadmin på phreak.org bryr
sig tillräckligt mycket om säkerhet för att reklamera sin web-server som
säker. Men programvaran visar tydliga tecken på säkerhetsbrister.

Slutsatsen blir att phreak.org har en web-plats men den kan nås bara 
ibland eftersom dess värdserver ofta är nerkopplad.

********************************************************************************
Gå-i-fängelse-varning: Blir du lika frestad som jag? Dessa figurer har den
notoriska cracker porten 79 öppen, OCH en buggig port 80. Men jag säger åter igen
- Det är olagligt att bryta sig in i privata datorer och du kan åka dit om du
frestas att ta dig in. Och även om du tycker att datorn har olagligt material
är det bara lagen som kan stoppa just den här web-sidan.
********************************************************************************

Om det nu skulle vara så att det finns material på en websida som du vet inte
är lagligt eller på något annat sätt är stötande, kan du skicka ett email till
ISP:en med klagomål på websidan. I det här fallet kollar jag vilka som 
äger servern med kommandot:

		whois PC.PPP.ABLECOM.NET

Jag får svaret:

[No name] (PC12-HST)
 
   Hostname: PC.PPP.ABLECOM.NET
   Address: 204.75.33.33
   System: Sun 4/110 running SunOS 4.1.3
 
   Record last updated on 30-Apr-95


Eftersom det inte finns några kontakter listade här, kan man testa att maila
till postmaster@ABLECOM.net.

Jag kollar nästa ISP:


	whois ASYLUM.ASYLUM.ORG

Och får:

[No name] (ASYLUM4-HST)
 
   Hostname: ASYLUM.ASYLUM.ORG
   Address: 205.217.4.17
   System: ? running ?
 
   Record last updated on 30-Apr-96.

Åter igen skulle jag maila postmaster@ASYLUM.ORG

Jag kollar sista ISP:en:

	whois NS.NEXCHI.NET

Och får:

NEXUS-Chicago (BUDDH-HST)
   1223 W North Shore, Suite 1E
   Chicago, IL 60626
 
   Hostname: NS.NEXCHI.NET
   Address: 204.95.8.2
   System: Sun running Unix
 
   Coordinator:
      Torres, Walter  (WT51)  walter-t@MSN.COM
      312-352-1200
 
   Record last updated on 31-Dec-95.

I det här fallet skulle jag skriva till walter-t@MSN.COM och berätta 
om websidan. Jag skulle också skicka klagomål till postmaster@PC.PPP.ABLECOM.NET
och till postmaster@ASYLUM.ASYLUM.ORG.

That's it! Istället för att dra igång ett hacker-krig, som kan leda till fängelse,
skriv ner dina klagomål och skicka dina klagomål till de personer som har makten
och lagen i sina händer. Det är lättare att göra så här än att försöka bekämpa 
taskiga sidor innifrån ett fängelse.

***********************************************************************************
Varning: Om du brinner av iver att försöka "krascha" till root via thttpd-porten
på phreak.org - gör inte det! Sysadmin på den här datorn kommer att lägga märke
till alla skumma försök att bryta sig in, och han kan via sin loggfil ta reda på
vem du är och klaga till din ISP.
***********************************************************************************

***********************************************************************************
Tips: Symptomen hos en thttpd-port att vara 'hackbar', kräver att du installerar
Linux på din maskin. När du en gång har fått igång Linux, skall du installera 
thttpd. Sedan kan du experimentera på din egen burk.

Om du skulle hitta en allvarlig bug i thttpd-porten på någon dator - vad skall du göra?
Radera alla html-filer? Nej. Bästa sättet vore att kontakta Computer Response Team (CERT)
på adress http://cert.org och underrätta dem. De kan sedan skicka ut en varning. Du
blir hjälte och kan ta jobb som säkerhetsexpert på något dataföretag. Detta är betydligt
roligare än att hamna i fängelse. Tro mig.
**************************************************************************************

Det var allt för den gången. Skicka gärna intressanta bidrag till Happy Hacker.
Och kom ihåg - undvik att åka fast!!!


_______________________________________________________________________________________________

Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna:

http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan)
http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan)
http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] 
http://www.silitoad.org 
http://www.anet-chi.com/~dsweir 
http://www.ilf.net/brotherhood/ 
http://www.magnum44.com/orion/entry.htm 
http://home.pages.de/~ristridin 
http://www.axess.com/users/wookie/Hack.htm 
http://home2.swipnet.se/~w-25277/ 
http://w1.340.telia.com/~u34002171/hhd.html 
(Svenska happy hacker sidan)
http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html

Du kan prenumerera på diskussions listan genom att skicka 
e-post till hacker@techbroker.com med meddelandet "subscribe"  . 
Det här är den amerikanska sidan och all info är på engelska.

Om du vill dela med dig av tips eller rätta saker du tycker är fel-
skicka meddelande till hacker@techbroker.com  
Om du vill skicka konfidentiell post (på engelska) - inga frågor
om illegal hacking - till mig - skicka till cmeinel@techbroker.com 
och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. 
Skicka alla flames till /dev/null.

Copyright 1997 Carolyn P. Meinel. 
Du kan lägga upp den här guiden på din sida om du 
behåller de här sista raderna:
_____________________________________________________________________________________

Svensk översättning: Björn Lindblom Februari 1998
______________________________________________________________________________________

Carolyn Meinel
M/B Research -- The Technology Brokers