Nu skall vi undersöka rad två i headern här ovan: Received: from ifi.foobar.no by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI)for id OAA18967; Fri, 11 Apr 1997 14:09:58 -0400 Här visar det sig att den här headern inte är riktigt vanlig. Den här raden talar om för oss att en dator vid namn ifi.foobar.no skickade detta mail till POP-servern o200.fooway.net till någon med epostadressen hacker@techbroker.com. Det är för att jag vidarebefordrar all min epost från hacker@techbroker.com till kontot techbr@fooway.net. I Unix kan man göra det genom att specificera en annan adress i filen .forward som ligger i din h emkatalog och där tala om vilken adress du vill använda som "slutadress". Det finns mycket att nämna om det här, men jag avstår. Kan någon av genierna där ute komma på vad jag menar? ESMTP står för Extended Simple Mail Transfer Protocol. Och (950413.SG I.8.6.12/951211.SGI) talar om vilket program som handhar eposten. Nu till nästa rad: Received: from gyllir.ifi.foobar.no (2234@gyllir.ifi.foobar.no [129.xxx.64.230]) by ifi.foobar.no with ESMTP (8.6.11/ifi2.4) id for ; Fri, 11 Apr 1997 20:09:56 +0200 Den här raden talar om för oss att datorn ifi.foobar.no fick det här mailet från en dator som heter gyllir.ifi.foobar.no. Dessa två datorer tycks befinna sig på samma LAN (Local Area Network). Lägg märke till något intressant - datorn som heter gyllir.ifi.foobar.no har ett IP-nummer efter sig - 129.xxx.64.230. Det är den numeriska adressen till den här datorn. (Jag har bytt ut en del av numret mot xxx för att dölja den verkliga adressen). Men datorn ifi.foobar.no har inget IP-nummer efter sig. Varför? Om du kör med Windows 95 eller en Mac, kan det bli svårt för dig att lista ut varför. Men lita på mig - hacking består till stor del att lägga märke till smådetaljer som dessa och försöka ta reda på varför. Men eftersom jag försöker vara en riktig hacker, litar jag på mitt Unix-konto och jag ger kommandot: >nslookup ifi.foobar.no Server: Fubarino.com Address: 198.6.71.10 Non-authoritative answer: Name: ifi.foobar.no Address: 129.xxx.64.2 Lägg märke till de olika IP-numren mellan ifi.foobar.no och gyllir.if i.foobar.no. Jag börjar undra om inte domänen ifi.foobar.no är ganska stor? Jag kollar runt lite med dig och traceroute och jag hittar fler datorer på samma domän. Probing med nslookup i "set type=any" ger mig än mer information. Hey - vad betyder det där .no förresten? En snabb titt i ISO:s (International Standards Organiztion) register om landsförkortningar ser jag att .no står för Norge. Det ser ut som om Norge är ett arktiskt land med fjordar,berg,renar och mängder med Internet värdar. En snabb titt i arkiven över de som prenumererar på Happy Hacker-listan, ger vid handen att nästan 5% av 4000 epostadresser härstammar från Norge. Så vi vet nu att Norge som är ett midnattsolens land samtidigt hyser en mängd hackers. Vem sa att headers var tråkiga? Vidare till nästa rad, som innehåller namn och epostadress till avsändaren: From: Vegbar Fubar Received: from localhost (Vegbarha@localhost) by gyllir.ifi.foobar.no ; Fri, 11 Apr 1997 18:09:53 GMT Jag skall försöka mig på en gissning här. Den här raden säger att datorn gyllir. ifi.foobar.no fick epost-meddelandet från Vegbar Fubar på datorn "localhost". Localhost är vad en Unix-dator kallar sig själv. Testa kommandot - telnet localhost om du har ett Unix-konto eller kör Linux. Du kommer att hamna vid en login som för dig direkt tillbaks till din egen dator eller ditt eget konto. Så när du ser att gyllir.ifi.foobar.no får eposten från localhost betyder det att avsändaren av det här meddelandet är inloggad på den här datorn och att datorn kör Unix. Jag kan snabbt testa min hypotes: > telnet gyllir.ifi.foobar.no Trying 129.xxx.64.230... Connected to gyllir.ifi.foobar.no. Escape character is '^]'. IRIX System V.4 (gyllir.ifi.foobar.no) Irix är en typ av Unix-operativsystem som körs på maskiner från Silicon Graghics (SGI). Det stämmer med namnet på POP-severns mjukvara på datorn ifi.foobar.no som i headern visar (950413.SGI.8.6.12/951211.SGI). Så vi tittar på ett stort nätverk av norska datorer som består till viss del av Silicon Graphicsmaskiner. Vi skulle kunna kolla upp precis hur många SGI-datorer som finns, med mycket tålamod, scanning och via IP-adresser från andra anslutna datorer, genom att tex använda Unix 'dig' och 'nslookup'. SGI-datorer är inte så vanliga på Internet. De är optimerade för grafik och olika typer av forskning. Så jag vill gärna lära mig mer om den här domänen. Internet-leverantörer har ofta web- sidor och jag letar via min browser på domännamnet. Så jag testar h ttp://ifi.foobar.no. Det funkade inte så jag testar då http://www.ifi.foobar.no. Jag kommer då till en hem- sida som tillhör Oslos Universitet - avdelning för Informationsteknik. Dessa avdelningar kör ofta dataforsknings-program och tunga grafik-applikationer. Så det är inte så konstigt att de använder SGI-datorer. Nästa steg är att kolla upp www.foobar.no och jag ser att Oslos universitet har ca 39000 studenter. Inte så konstigt då att det finns så många datorer på domänen ifi.foobar.no! Men låt oss återvända till headern. Nästa rad är enkel - bara datumet: Date: Fri, 11 Apr 1997 18:09:53 GMT Härefter kommer den mest intressanta raden i den här headern - meddelandets ID: Message-Id: <199704111809.13156.gyllir@ifi.foobar.no> Ett meddelandes ID är nyckeln till hur man spårar ett förfalskat ep ost-meddelande. Konsten att undvika ett sånt här giltigt ID-nummer, utgör grunden för hur man förfalskar epost. Kriminella lägger ner stor möda på att hitta Internet-värdar som de kan använda för att skicka falsk epost ifrån och som inte lämnar några spår efter sig i form av giltiga ID-nummer. Första delen av numret är datum och tid. 199704111809 betyder 1997, 11 april, klockan 18:09. En del ID-nummer inkluderar också sekunder i tidsangivelsen. En del id-nummer utelämnar 19 i årtalet 1997. 13156 är det nummer som identifierar den som skrev meddelandet och gyllir@ifi.foobar.no härrör sig till den dator där id-numret finns lagrat. Vart på den här datorn lagras id-nummret som identifierar avsändaren? Unix har många varianter så jag kan inte garantera att det lagras i samma fil på alla typer av Unix-maskiner. Men ofta ligger dessa id-nummer lagrade i en syslog-fil i /usr/spool/mqueue. En del sysadmins arkiverar dessa id-nummer om de senare behöver kolla upp ett speciellt id-nummer text vid olika typer av brott. Men default-inställningen på de flesta maskiner är att inte spara id-nummer. En Internet-leverantör som inte sparar dessa nummer, utgör en utmärkt plattform för kriminella aktiviteter. Nu lämnar vi Oslos Universitet och kollar in en annan typ av header: Received: from NIH2WAAF (mail6.foo1.csi.com [149.xxx.183.75]) by Fubarino.com (8.8.3/8.6.9) with ESMTP id XAA20854 for ; Sun, 27 Apr 1997 23:07:01 GMT Received: from CISPPP - 199.xxx.193.176 by csi.com with Microsoft SMTPSVC; Sun, 27 Apr 1997 22:53:36 -0400 Message-Id: <2.2.16.19970428082132.2cdf544e@fubar.com> X-Sender: cmeinel@fubar.com X-Mailer: Windows Eudora Pro Version 2.2 (16) Mime-Version: 1.0 Content-Type: text/plain; charset="us-ascii" To: galfina@Fubarino.com From: "Carolyn P. Meinel" Subject: Sample header Date: 27 Apr 1997 22:53:37 -0400 Vi börjar med att titta på de första raderna: Received: from NIH2WAAF (mail6.foo1.csi.com [149.xxx.183.75]) by Fubarino.com (8.8.3/8.6.9) with ESMTP id XAA20854 for ; Sun, 27 Apr 1997 23:07:01 GMT Den första rader här talar om för oss att det här meddelandet togs emot av kontot galfina@Fubarino.com. Internetvärd-datorn som skickade meddelandet till galfina var mail6.foo1.csi.com. (149.xxx.183.75). Datorns namn anges först i lättförstådd form (ha ha ha) och sedan i dess numeriska adress som lättare kan förstås av andra datorer. Galfina är mitt användernamn. Jag valde det namnet för att irritera G.A.L.F (Gray Area Liberation Front). Fubarino.com (8.8.3/8.6.9) är datorn som tog emot meddelandet till mitt kontot galfina. Men lägg märke till att datorns namn endast anges delvis. Allt vi får är domännamnet och inte hela namnet på datorn från vilken jag laddade hem meddelandet. Vi kan gissa oss till att Fubarino.com inte är dess fullständiga namn då Fubarino är en tillräckligt stor ISP för att ha flera datorer på ett LAN (Local Area Network) som servar sina kunder. ******************************************************************************** Tips: Vill du få reda på namnen till några av datorerna som din ISP använder? Använd kommandona traceroute, dig och who. Till exempel utforskar jag Fubarino.com's LAN och jag hittar free.Fubarino.com (genom kommandot "dig Fubarino.com") och sedan dialin.Fubarino.com och milnet. Fubarino.com genom att använda mig av kommandot - "who". Genom att använda de numeriska adresserna jag fick fram med dig-kommandot, kunde jag sedan gräva fram en hel hög med andra datorer som tillhör domänen Fubarino.com. ************************************************************************* *********** Numret efter Fubarino.com är inte en IP-adress. Det är istället en beteckning på den programvara som sköter eposten på den här datorn. Vi kan gissa oss fram till att det är en version av Sendmail. Men för att vara riktigt säker, testar vi med kommandot "telnet Fubarino.com 25". Detta ger oss svaret: 220 Fubarino.com ESMTP Sendmail 8.8.3/8.6.9 ready at Mon, 28 Apr 1997 09:55:58 GMT Detta visar att programmet mycket riktigt är Sendmail. ************************************************************************* ***********