___________________________________________________________ GUIDE TO (mostly) HARMLESS HACKING Vol. 3 Nummer 4 Hur man läser epost-headers och hittar Internetleverantörer ____________________________________________________________ Ok, Ok, ni smarta hackare vinner! Jag skall äntligen komma med nästa text som är mer orienterat åt er vana hackare. En del av er kanske tycker att headers (ung. brevhuvud) är för enkla och tråkiga att bry sig om. Emellertid - för några veckor sedan frågade jag 3000+ läsare av Happy Hacker-sidorna om någon kunde tala om för mig vilka epost-tricks jag använde när jag skickade de här listorna. Men inte någon kunde svara rätt - eller ens 75% rätt - eller ens misstänkt att dessa utskick samtidigt har fungerat som protester. Målen: ISP:s som erbjuder sidor där man kan ladda hem program som email bombar. Slutsats: Det är dags att prata headers! I den här guiden skall vi lära oss: * vad är en header * varför headers är roliga * hur man kan titta på headers * vad allt det där betyder som står i headers * hur du får fram Internetleverantörers datorer via headers * grunderna för att förstå hur man förfalskar epost och inlägg på nyhetssidor, fånga dem som förfalskar headers, och teorin bakom dessa epost bombprogram som kan få en Internetleverantör att gå på knäna. Den här guiden kan du ha nytta av även om du inte har ett shell account eller kör någon Unixklon som tex Linux på din dator. Allt du behöver är möjligheten att skicka och ta emot epost. Emellertid - om du har ett shell account kan du göra mycket mer för att dechiffrera en header. Viva Unix! Headers kanske låter som ett tråkigt ämne. Fan, Eudoras epost-program kallar knappen man klickar på för att se headern, "bla bla bla". Men alla dessa figurer som säger att headers är tråkiga, är endera likgiltiga - eller rädda för att du skall öppna en skattkista full med insikter om hacking. Ja, varje header du kollar in har potentialen att blottlägga en skatt som gömmer sig någonstans på Internets bakgator. Headers kan tyckas som enkla nog för att kunna förklaras i en guide om hacking för nybörjare. Men när jag försökte hitta information om headers i mitt bibliotek av manualer, chockades jag av att de flesta manualer inte tog upp ämnet headers. De två jag fann som behandlade ämnet, gav mig nästan ingen information alls. Till och med RFC 822 är vag i sitt innehåll. Om någon av er superhackare där ute känner till literatur som behandlar ämnet headers i detalj, var snäll och hör av er hit. ****************************************************************************** Tekniskt tips: Information som är relevant till headers kan fås ur RFC 822 (RFC=Request For Comment), och även i RFC 1042, 1123 ,1521 och 1891. För att kolla in dem, gå till sidan http://altavista.digital,com och sök på RFC 822 o.s.v ************************************************************************* ********** Eftersom jag saknar hjälp i mina manualer, och tycker att RFC 822 inte ger svar på mina frågor, har jag, för att skriva den här artikeln, skickat epost till höger och vänster och via olika konton, testat olika varianter på meddelanden för att se, vilken typ av headers jag skulle få. Det är ju på det sättet riktiga hackers lär sig hur saker och ting fungerar när RTFM (Read The Fucking Manual) och RTFRFC (Read The Fine RFC) inte ger oss den info vi söker. Eller hur? En sak till. Jag har blivit underrättad om att varje gång jag skriver en epost-adress eller ett domännamn, kommer tusentals nybörjare som läser dessa guider, försöka hacka dessa platser. Så därför är alla adresser och domännamn i den här guiden påhittade - (fubarred). ************************************************************************* ************* Nybörjartips: Verbet "fubar" betyder att förfalska Internetadresser genom att helt enkelt ändra dem. En antik tradition föreskriver att det är bäst att göra så genom att ändra en del av adresserna så att de inte finns i verkliga livet. ************************************************************************* ************* VAD ÄR HEADERS? Om du är nybörjarhackare, är headers som du är van att se, inte kompletta. Chansen är stor att de epostmeddelanden du får, ser ut ungefär som: From: Vegbar Fubar Date: Fri, 11 Apr 1997 18:09:53 GMT To: hacker@techbroker.com Men om du känner till rätt kommando, får du fram tonvis med information: Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI) for techbr@fooway.net id OAA07210; Fri, 11 Apr 1997 14:10:06 -0400 Received: from ifi.foobar.no by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI) for id OAA18967; Fri, 11 Apr 1997 14:09:58 -0400 Received: from gyllir.ifi.foobar.no (2234@gyllir.ifi.foobar.no [129.xxx.64.230]) by ifi.foobar.no with ESMTP (8.6.11/ifi2.4) id for ; Fri, 11 Apr 1997 20:09:56 +0200 From: Vegbar Fubar Received: from localhost (Vegbarha@localhost) by gyllir.ifi.foobar.no ; Fri, 11 Apr 1997 18:09:53 GMT Date: Fri, 11 Apr 1997 18:09:53 GMT Message-Id: <199704111809.13156.gyllir@ifi.foobar.no> To: hacker@techbroker.com Har du någonsin undrat över vad allt det här är och vad det betyder? Vi skall återvända till det här exemplet senare i den här guiden. Men först måste vi behandla dagens brännande fråga: VARFÖR ÄR HEADERS ROLIGA? Varför bekymra sig om dessa bla bla bla headers? De ser tråkiga ut, eller hur? Fel! 1) Har du någonsin hört om de som vill bli hackers och som klagar på att de inte hittar några datorer att utforska? Har du någonsin använt ett sånt där scanning-program som hittar giltiga Internet-adresser åt dig? Well, du kan hitta tusentals adresser utan att använda scanning-program bara genom att studera headers på epost du får. 2) Har du någonsin funderat på vem som skickat det där meddelandet om "Make money fast"? Första steget är att lära sig hur man kan urskilja ett förfalskat epost-meddelande och hur man tar reda på vem som har skickat det. 3) Vill du lära dig hur man på ett bra och övertygande sätt, förfalskar ett email? Har du tänkt skriva ett automatiserat spam- eller emailbomber-program? (Jag gillar inte sådana program, men man måste ändå beundra kunskaperna hos dem som skriver programmen). Första steget är att lära sig headers. 4) Vill du lära dig attackera någons dator? Lär dig det genom att studera headers. Jag gillar inte dessa attacker heller. Men jag har lovat berätta om hur man lär sig hacka, så vare sig jag gillar det eller inte - här kommer det. Så du sitter där och tittar på eposten du har fått och inte är det mycket som du kan se på headern. Vill du se all den där gömda informationen? Sättet man kollar in en utförlig header varierar från program till program. Det mest populära epost-programmet idag är Eudora. För att se hela headern - klicka på knappen "bla bla bla" längst ut till vänster på menyraden. Netscape's browser innehåller en epost-läsare. För att se hela headern där, klicka på Options, sedan klicka på "Show All Headers". Jag är ledsen men jag har inte kollat hur man gör med Microsofts Internet Explorer. Jag kan tänka mig att det är en del därute nu som svär ve och förbannelse över att jag inte vet hur man använder Explorern. Men allvarligt - Explorern är ett osäkert och farligt program för det fungerar som ett skalprogram för din windowsburk. Så hur mycket Microsoft än försöker lappa ihop programmet mot säkerhetshål, är risken stor att du en dag kommer att upptäcka hur lätt det är att skada din dator den vägen. Så kasta ut din Internet Explorer och använd någon annan browser. Ett annat populärt epost-program är Pegasus. Kanske det finns ett enkelt sätt att se headers i det här programmet men jag vet inte hur. Det svåra sättet att se headern i Pegasus -- eller IE -- eller vilket epost-program som helst -- är att öppna din epost- fil med Wordpad. Det finns ju i Win95 och är den bästa editorn i windows med mängder av möjligheter att formatera texten. Compuserves 3.01 epost-program visar automatiskt headers - Bravo Compuserve! Pine är det mest populära epost-programmet på Unix-konton. För att bli en bra hackare, måste du förr eller senare lära dig att använda Unix och Pine är ett bra sätt att lära sig editorn Pico eller Vi som används i Pine. ************************************************************************* ************* Nybörjartips: Pine står för "Pine Is No longer Elm", en hyllning till det verkligt antika programmet Elm, som fortfarande används. Både Pine och Elm kan dateras till tiden då ARPAnet, amerikanska försvarets forskning kring nätverk, utvecklades och så småningom blev Internet. ************************************************************************* *************** Om du aldrig har använt Pine tidigare, kommer du att upptäcka att det inte är lika lätt att använda som dessa glassiga windows epost-program. Men bortsett från Pine's kraftfulla verktyg, finns det en bra anledning att lära sig använda programmet - du lär dig använda pico eller vi och kommandon ur dessa program. Om du vill bli en hackare, lär du dig dessa editorer - du kommer att behöva dem när du skriver program till Unixmaskiner. För att köra igång Pine skriver du bara rätt och slätt pine vid prompten. I Pine, när du kollar in ett epostmeddelande, kan du titta på headern bara genom att trycka på tangenten h. Om inte det fungerar, så är du tvungen att gå in i setupen och lägga till det kommandot. För att göra det - gå till huvudmenyn (Main Menu) och ge kommandot s för setup. Där väljer du kommandot c för config. På andra sidan i config- menyn kommer du att se något liknande: PINE 3.91 SETUP CONFIGURATION Folder: INBOX 2 Messages [ ] compose-rejects-unqualified-addrs [ ] compose-sets-newsgroup-without-confirm [ ] delete-skips-deleted [ ] enable-aggregate-command-set [ ] enable-alternate-editor-cmd [ ] enable-alternate-editor-implicitly [ ] enable-bounce-cmd [ ] enable-flag-cmd [X] enable-full-header-cmd [ ] enable-incoming-folders [ ] enable-jump-shortcut [ ] enable-mail-check-cue [ ] enable-suspend [ ] enable-tab-completion [ ] enable-unix-pipe-cmd [ ] expanded-view-of-addressbooks [ ] expanded-view-of-folders [ ] expunge-without-confirm [ ] include-attachments-in-reply ? Help E Exit Config P Prev - PrevPage X [Set/Unset] N Next Spc NextPage W WhereIs Du förflyttar dig till raden "enable-full-header-cmd" med hjälp av pi ltangenterna och trycker sedan på returtangenten för att kryssa för kommandot. Avsluta sedan config med kommandot e för exit och y för att spara ändringen. När du en gång har gjort detta, behöver du bara skriva h för att se hela headern på ett epost-meddelande. Elm är ett annat Unix epost-program. Det ger till och med ännu mer detaljerad header och det visar automatiskt hela headern. VAD BETYDER ALLT DET DÄR SOM STÅR I HEADERN? Vi börjar med att titta på en inte så spännande header. Sedan skall vi undersöka två headers som avslöjar intressanta saker. Slutligen skall vi se på en förfalskad header. Ok - vi återvänder till headern här ovan. Jag skall förklara den rad för rad. Först tittar vi på den enkla headern: From: Vegbar Fubar Date: Fri, 11 Apr 1997 18:09:53 GMT To: hacker@techbroker.com Informationen i alla headers består av olika fält uppdelade på rader. Varje fält består av två delar - ett fältnamn (avslutat med ett kolon) - och innehållet i fältet. I det här fallet finns bara tre fält - From, Date och To. I varje header finns det två typer av fält - kuvertet (the envelope) som innehåller avsändare och mottagare, och allt annat som är specifikt för handhavandet av meddelandet. I denna header är "allt annat" = datumfältet. När vi tittar på den fullständiga headern, ser vi alla fält och vi går genom dem rad för rad. Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI)for techbr@fooway.net id OAA07210; Fri, 11 Apr 1997 14:10:06 -0400 Den här raden talar om för oss att jag laddade hem det här epost-meddelandet från POP-servern o200.fooway.net. Det gjordes via mitt konto med adressen tech br@fooway.net. Delen (950413.SGI.8.6.12/951211.SGI) identifierar mjukvarans namn och version på den här POP-servern. ************************************************************************* ****************** Nybörjartips: POP står för Post Office Protocol. Din POP-server är den dator som lagrar din epost till du hämtar hem den och läser den. Vanligtvis kopplar ditt epost-program upp sig mot port 110 på postservern när den hämtar hem eposten. Ett liknande men mer allmänt protokoll är IMAP - Interactive Mail Acces Protocol. Lite på mig - du står högt i kurs om du kan redogöra för skillnaderna mellan dessa båda protokoll. Tips: Läs RFC om mailprotokoll. ************************************************************************* ******************