_____________________________________________________________ GUIDE TO (mostly) HARMLESS HACKING Vol. 3 Number 1 Hur man skyddar sig mot oönskad epost. (email bombs) ______________________________________________________________ Email bombs! Personer som Johnny Xchaotic och AKA "the Unmailer" har dykt upp bland tidningarnas rubriker genom att skicka epost i storleks- klassen 20 Mb eller mer - tusentals meddelanden - till sina offer. Email bombs är dåliga nyheter av två anledningar. Dels får du sitta och leta genom din inkommande epost i timmar, dels skapar den stora mängden epost problem för postservrarna och käkar upp bandbredd på Internet. Detta är naturligtvis anledningen till att email bombs existerar - att röra om i folks epost och skada ISP:ens servrar. Email bombs är ett krigsvapen för att slå ut servrar som kontrolleras av spammers och förfalskare. Nyhetssidorna får det att låta som om personer, som blir utsatta för email bombs, bara har otur. Men det stämmer inte riktigt. Happy Hacker's postservar har blivit utsatt för sådana attacker och de funkade trots detta. Så det finns metoder att skydda sig från dessa attacker. De flesta av dessa metoder används endast av experter. Men om du är en nybörjare, som de flesta här på listan, kan du maila till din ISP med några av tipsen som jag skall visa dig i den här guiden, och du kommer att ligga bra till hos dem. De kanske till och med kommer att ha överseende med din logfil som börjar se lite väl spännande ut!! Bästa sättet att försvara sig, är att ha fler Internet-leverantörer. Om ett konto blir attackerat, kan jag byta konto och underrätta alla som mailar mig, min nya adress. Jag har aldrig blivit tvungen att göra det helt, men jag har blivit allvarligt hackad ett flertal gånger och en gång blivit tvungen att säga upp ett konto helt. Eller en ISP kan bli alltför upphetsad på dina hackerövningar. Så det är alltid en bra ide att ha en "backup"-ISP. Men detta är ett fegt sätt att ta hand om email-bombs. Jag blev underrättad om att en av dessa email-bombers ("Angry Johnny") bombade ett av mina konton bara för att få publicitet, men trots detta kunde jag fortsätta som vanligt bara efter en kort tid. Det finns ett flertal metoder som du eller din ISP kan använda för att skydda sig mot dessa attacker. Enklaste metoden är att din ISP blockerar mailbombs vid routern. Detta funkar bara om attacken kommer från en eller kanske ett par källor. Det funkar också bara om din ISP vill hjälpa dig. Din ISP kanske bara säger upp ditt konto för att slippa alla bekymmer. ************************************************************************* Nybörjartips: Routers är datorer som är speciliserade på att dirigera trafiken på Internet. ************************************************************************* Men om attacken skulle komma från många olika ställen på Internet? Detta hände mig förra julen då Angry Johnny attackerade mig plus några andra mer eller mindre kända personer som frikyrkomicklaren Billy Graham, presiden Bill Clinton och kongressledamoten Newt Gingrich. Tjusigt sällskap, va? Attacken från Angry Johnny utfördes genom att han installerade ett program på en postserver som sköter epost-listor. Detta program registrerade automatiskt alla på "attack-listan" som prenumeranter till alla typer av epostlistor. Programmet sökte upp nästa dator som sköter epost-listor och samma sak hände där, osv osv. Jag lyckades fixa problemet bara efter några minuter då jag upptäckte vad som var på väg att hända. Angry Johnny hade prenumerat på alla dessa listor till min adress cmeinel@tswcp.com. Men jag använder min egen domän, techbroker.com, för att ta emot epost. Sedan vidarebefordrar jag posten genom min server vid Highway Technologies till det konto som jag just då vill använda. Så jag behövde bara gå till Highway Tech:s website och ändra adressen i min epostserver till ett annat konto. ************************************************************************* Nybörjartips: En epost-server är en dator som sköter epost. Det är datorn som sänder eller skickar din epost varje gång du kopplar upp dig via ditt mail-program. ************************************************************************* ************************************************************************* Tips: Du kan göra något liknande genom att skapa en fil i ditt shell- account,(som jag antar att du är innehavare av - alla blivande hackare måste ha ett sh ell-account) som du kallar .forward. Denna fil dirigerar din epost till det konto du önskar. ************************************************************************* Om Angry Johnny hade attackerat cmeinel@techbroker.com, kunde jag dirigera om den posten till /dev/null och dirigerat den övriga posten till carolyn@techbroker.com. Detta är ett bra och flexibelt sätt att lösa ett problem av det här slaget. Och mitt swcp.com-konto funkar på samma sätt. Den ISP:en, Southwest Cyberport, erbjuder alla sina kunder möjligheten att använda flera olika epostadresser till samma pris. Så jag kan skapa nya adresser lite hur som helst och då det behövs. En varning kan vara på sin plats. Den här tekniken, och fler som följer, gör att du förlorar en del "riktig" epost. Men enligt en undersökning, försvinner faktiskt en del mail i tomma intet. Vart? Nobody knows. Den försvinner utan varning ner i nåt svart hål. Så lita inte allt för mycket på de här systemen. Men om jag omdirigerar min epost, löser detta inte problemet för min ISP. Servern där kommer att förlora bandbredd av all skitpost som anländer. En tekniker vid Southwest Cyberport berättade för mig att "mail-bombs" anlände varje dag. Så det är konstigt att Angry Johnny fick så mycket publicitet för sina "bomber", med tanke på hur vanligt det är med dessa attacker. Så varje ISP får dagligdags sysselsätta sig med att ta hand om denna flod av epost. Hur kunde det komma sig att Angry Johnny fick så mycken publicitet? Man kan kanske förstå det när man läser ett brev från Lewis Koch, journalisten som först uppmärksammade Angry Johnny: ************************************ From: Lewis Z Koch Subject: Question Carolyn: Först och kanske viktigast - när jag ringde dig och undrade om du hade blivit utsatt för "mail-bombs", svarade du med information. Jag tror att du inte hade något emot att jag gjorde ett scoop med den här historien. (Carolyn: Som offer kände jag till tekniska detaljer som Lewis Koch inte kände till. Men eftersom Koch talade om för mig att han var i kontakt med Angry Johnny flera veckor före attackerna, kände han istället till de personer som fanns på "attack-listan". Jag är också journalist, men undvek att försöka sno äran från Lewis Koch.) För det andra - Jag är prenumerant på hackerlistan och jag är intresserad av de ideer som framförs här. Men det intresset innebär inte att jag läcker intressanta detaljer. Varje historia har sina detaljer i sättet man skriver om dem och kommenterar dem. (Carolyn: Om du är nyfiken på vad Koch skrev i sin artikel, kan du läsa Happy Hacker Digest 28 december 1996 som finns på http://www.infowar.com/cgi- shl/login.exe) Faktum är att jag blev mycket överraskad över reaktionerna från vissa personer, bland annat en del av offren. (Ett annat faktum är just att Nätet i sig är mycket sårbart, en sårbarhet som det struntas i, med risk för oss alla). Fortsättning: " Men 'mail-bombaren' använde en teknik som är mycket simpel - så enkel att Carolyn kunde avstyra problemet på några få minuter. ( /dev/null) Angry Johnny poängterade flera gånger att attacken var simpel. Och detta var meningen. Jag antar att, om Johnny verkligen ville orsaka verklig skada, kunde han lätt göra det. Men han avstod från det. En person som attackerades blev arg när han läste mitt reportage. Han använde språk som "terrorns kampanj", "Johnnys sjuka hjärna", "psykopater som Johnny", "gangster" och så vidare för att beskriva Angry Johnny. Den sortens tänkande ignorerar historien och verkligheten helt. Om man skall använda termer som "terrorns kampanj", bör man kolla in historien om Unabombaren, attacken mot World Trade Center, bombningen av Federala byggnaden i Oklahoma City... eller se på vad som har hänt på Irland. Där kan man tala om "terrorism". Vad som hände, var egentligen bara en liten störning av de vardagliga rutinerna, likvärdig ungdomarnas protester mot Vietnamkriget på 60- och 70-talet(???? översättarens undran). Folk övertygades inte, men protesterna fick en del att undra om inte kriget var onödigt och på förhand förlorat. Hundratusentals miste livet och en folk klagade på de som protesterade - Snacka om hyckleri!! ************************************************************************* Jag är smickrad, antar jag. Föreslår du att Happy Hacker-listan med sina '#%^-ord och Billy Grahams budskap skulle vara lika skadliga som Vietnamkriget? Jag tror inte att du menar det riktigt. Men låt oss få lite perspektiv på tillvaron. Vilka andra metoder finns det att bekämpa email bombs? De attacker som använder email-listor, kan man avstyra genom att ladda hem ett program som sorterar genom eposten och söker efter meddelanden typ hur man 'uns ubscribe'. Denna typ av program skickar sedan automatiskt ett meddelande till den listan att man inte längre vill ha deras utskick. Damien Sorder (jericho@dimensional.com) har en ftp-site som beskriver hur man använder ett sånt program. Hämta hem det från: ftp.nova.dimensional.com /pub/security/security.utils/unix/unsubscribe.mailist.perl Ett annan metod, är att be din ISP att använda ett program som heter Procmail, som funkar på ett Unix-system. För detaljer - läs Zach Babayco (zachb@netcom.com) artikel: ************************************************************************* Försvara sig mot oönskad epost och epost-bomber copyright (C) Zach Babayco, 1996 [Innan jag startar den här artikeln vill jag tacka Nancy McGough för att jag fick citera från hennes "Filtering Mail FAQ" som finns att läsa på sidan http://www.cis ohio-state.edu/hypertext/faq/usenet/mail/filtering-faq/faq.html. Det är en av de bästa FAQ som behandlar 'filtering-mail' och om du har problem och önskar lära dig mer om hur du filtrerar epost - kolla den sidan]. På senare tid har det börjat dyka upp fler och fler som skickar reklam via epost. Erbjudanden om snabba pengar och allt sånt där skit. Men ännu värre är epost-bomberna. Det finns två typer av sådana bomber - Masspost och Mailing List: 1) Masspost - Det är när någon skickar tusentals små meddelanden, ofta genererade av ett script eller ett speciellt program. Den här typen av epostbomber är relativt lätta att "desarmera" eftersom de kommer från en eller ett par källor. 2) Mailing List bomb - den som vill bomba dig, sätter upp dig på mängder av mailing-listor om allt mellan himmel och jord och dessa attacker är svårare att värja sig mot då källorna är så många. Du är också tvungen att ladda hem dem för att kolla upp hur du avbeställer den och den listan. Det är här som Procmail kommer in i bilden. Procmail (uttalas prok-mail) är ett filtreringsprogram som kan göra underverk med din epost. Till exempel, om du prenumererar på många olika mailinglistor, kan programmet ställas in så att det sorterar eposten i olika foldrar eller kataloger, och därmed förhindrar att allt blir en enda röra i Inkommande brevlådan. Procmail kan också ställas in så att det raderar post från vissa personer och från vissa bestämda avsändaradresser. ************************************************************************* Installera Procmail: Först av allt bör du kolla om du har ett system som har Procmail installerat. Vid prompten skriver du: > which procmail Om ditt system har Procmail installerat, kommer detta kommando att generera ett svar som talar om var programmet ligger. Skriv ner detta - du kommer att behöva det senare. *Tips* Om ditt system svarar med "Unknown command: which", kan du testa att istället använda 'type', 'where' eller 'whereis'. Om du fortfarande inte kan hitta programmet, är det högst troligt att det inte finns installerat på ditt system. Men du kan ha tur - kolla FAQ:en som jag nämnde inledningsvis och kontrollera om du har något av de andra programmen jag nämnde där. Nu behöver du installera en resursfil för Procmail. Jag använder editorn Pico för att skriva in alla variabler. Du kan använda den editor du själv finner enklast. Ställ dig i ditt hembibliotek och kör igång editorn. > cd // Går automatiskt till hembiblioteket .../home/xxx > pico .procmailrc Skriv in följande i .procmailrc-filen: # Den här raden talar om för Procmail vad som skall skrivas till logfilen. Sätt "On" # för debugging. VERBOSE=off # Ersätt mail med din postkatalog. MAILDIR=$HOME/mail # Här kommer logfilen och rc-filerna att läggas PMDIR=$HOME/.procmail LOGFILE=$PMDIR/log # INCLUDERC=$PMDIR/rc.ebomb (ja, skriv raden INCLUDERC MED #) När du har skrivit in dessa rader, spara filen och gå tillbaks till h emkatalogen. > cd > mkdir .procmail Gå nu till katalogen du precis skapade och starta editorn med en ny fil: rc.ebomb: VIKTIGT: Det är viktigt att du stänger av 'word wrapping' i din editor. Det är viktigt att följande rader skrivs in på en och samma rad. Med Pico kan du starta med flaggan -w. Kolla manualen till din editor hur du stänger av word-wrapping. Kom också ihåg att dessa rader skall skrivas in utan mellanslag mellan orden. > cd .procmail > pico -w rc.noebomb # nobomb - epost blockerare :0 * ! ^((((Resent-)?(From|Sender)|X-Envelope-From):|From )(.*[^.%@a-z0-9])? (Post(ma?(st(e?r)?|n)|office)|Mail(er)?|daemon|mmdf|root|uucp|LISTSERV|owner |request|bounce|serv(ices?|er))([^.!:a-z0-9]|$))) * ! ^From:.*(postmaster|Mailer|listproc|majordomo|listserv|cmeinel|johnb) * ! ^TO(netstuff|computing|pcgames) /dev/null En förklaring till ovanstående - första raden talar om för Procmail att detta är början på en "recept-fil". Den talar om för programmet vad den skall leta efter i eposten och när den finner detta, utförs en handling på det meddelandet - vidare- befodran av meddelandet till en viss folder - eller som i det här fallet - till /dev/null som är samma sak som att filen raderas. Den andra,tredje och fjärde raden, som börjar med ett *, kallas villkor. Asterrisken * talar om för Procmail att det här är början på ett villkor. ! är ett negationstecken som talar om för programmet att göra det rakt motsatta. Villkor 1: * ! ^((((Resent-)?(From|Sender)|X-Envelope-From):|From )(.*[^.%@a-z0-9])? (Post(ma?(st(e?r)?|n)|office)|Mail(er)?|daemon|mmdf|root|uucp|LISTSERV|owner |request|bounce|serv(ices?|er))([^.!:a-z0-9]|$))) Grubbla inte över dessa rader - de är enklare att förstå än vad man tror vid första anblicken. Villkoret talar om för Procmail att kontrollera 'headern' på meddelandet och kolla om meddelandet kommer ifrån en administrativ adress som root eller postmaster, och även kolla om det kommer från en 'mailer-daemon' (servern som du skickar till när du trycker "Svara" eller "Reply"). Om meddelandet kommer från en av dessa adresser, skall meddelandet lägga i svarslådan (Inbox) och inte raderas. Avancerat tips: Till er som är vana användare av Procmail, undrar förstås varför jag kräver att användaren skall skriva in alla dessa rader, istället för att använda kommandot FROM_MAILER. Det kan tyckas som en bra ide' från början, men jag upptäckte efter några dagar att FROM_MAILER även kollar Precedence. De flesta servrar som sköter utskick från mailinglistor har en sådan Precedence och det gör att all post som du normalt inte vill ha, skulle passera "nålsögat" och hamna i din Inbox. Villkor 2: * ! ^From:.*(listproc|majordomo|cmeinel|johnb) Det här villkoret kollar lite mer vad som står efter From: i 'headern'. I ovanstående exempel, kollar villkoret efter orden listproc,majordomo,cmeinel och johnb. Om meddelandet kommer från någon av dessa person, hamnar meddelandet i Inboxen. Om inte - /dev/null. Här kan du skriva in namnet på de personer som normalt mailar till dig och även de mailing-listor som du abonnerat på, servrar och annat som du vill ha post ifrån. När du skriver in den här raden - kom ihåg - skriv bara användarnamnet, inte personens hela epostadress och kom ihåg | mellan varje namn. Villkor 3: I det sista villkoret skriver du in användarnamnen på de listor du abonnerar på. Till exempel - Jag abonnerar på netnews,crypto-stuff och pcgames-listor. När du får ett mail från mailinglistor, kommer adressen till den listan att stå under TO: eller CC:-delen av headern. Den här raden kollar efter dessa användarnamn och vidarebefordrar meddelandena till Inboxen. Den sista raden - /dev/null - är papperskorgen på ditt system. Om ett mail inte klarar några av villkoren som nämnts ovan, hamnar det här och du ser aldrig röken av det meddelandet igen. (Unixsystemets svart hål). Ok. Då har du fixat till två filer - '.procmailrc' och 'rc.nobomb'. Vi behöver skapa en till fil innan allt funkar perfekt. Spara rc.nobomb och stäng editorn och gå till din hemkatalog. När du står där - öppna editorn igen med 'no-word-wra pping'-kommandot. > cd >pico -w .forward Vi tar en titt på ett utdrag ur Nancy M.'s Filtering FAQ: Lägg till en modifierbar rad i ~/.forward: "|IFS=' ' && exec /usr/local/bin/procmail -f- || exit 75 #nancym" == VIKTIGT == * Var noga med att inkludera alla tecken även " och ' * | kallas för en pipe och fungerar som en "tratt" * Ersätt /usr/local/bin med din sökväg till Procmail * Ersätt 'nancym' med ditt eget användarid. Detta användarid skall du också skriva in i .forward. * Använd INTE ~ eller andra omgivnings-variabler, typ $HOME, i din .forwardfil. Om Procmail är installerat i din hemkatalog - skriv ut *hela* sökvägen. På många system är det nödvändigt att du gör .forward och din hemkatalog nåbar för alla användare. Detta för att Procmail skall hitta dit. Skriv: cd chmod 644 .forward chmod a+x . Om inte din .forward funkar, kanske dessa alternativ kan vara till hjälp: In a perfect world: "|exec /usr/local/bin/procmail #nancym" In an almost perfect world: "|exec /usr/local/bin/procmail USER=nancym" In another world: "|IFS=' ';exec /usr/local/bin/procmail #nancym" In a different world: "|IFS=' ';exec /usr/local/bin/procmail USER=nancym" In a smrsh world: "|/usr/local/bin/procmail #nancym" Nu när du har alla nödvändiga filer på plats, är det dags att testa filtret. Starta din epostläsare och skapa en ny underkatalog kallad Ebombtest. Den här proceduren kan variera lite från program till program så du kanske behöver experimentera lite. Öppna sedan rc.bomb-filen och ändra /dev/null till Ebombtest. Slutligen - öppna .procmail och ta bort # från sista raden. Du behöver lämna det här aktivt en stund för testen. Be någon du känner att maila till dig. Om meddelandet går till din Inbox så funkar filtret bra. Skapa och skicka sedan förfalskad mail och kolla om det hamnar i katalogen Ebombtest. Kolla också att skicka ett meddelande med avsändare root@anywhere.com för att se att även det hamnar på rätt plats - alltså i Inboxen. Om allt detta fungerar - gratulerar! Du har du ett försvar mot epost-bomber. För tillfället kan du ändra den sista raden tillbaks till /dev/null och även sätta dit # på INCLUDERC-raden i .procmailrc-filen. Om någon i framtiden vill bomba dig, behöver du bara ta bort # och allt skall funka bra med en postfunktion som filtrerar bort all skräppost. Sedan får du ägna din fritid till att försöka leta på den som bombar dig och även försöka hitta alla mailinglistors ursprung och avbeställa dessa. Om du har några kommentarer om ovanstående, posta mig på zachb@netcom.com Disclaimer: När du använder ett filter på ett epostprogram, är det ofrånkomligt att du även kommer att förlora post som du normalt skulle behålla. Det är mer eller mindre omöjligt att sätta villkoren i filtret så att inte detta sker. Men det är smällar man får ta om man vill skydda sig mot massiva postattacker. Ett tack till Damien Sorder (jericho@dimensional.com) för hjälp med denna guide. _________________________________________________________________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _________________________________________________________________________ Svensk översättning: Björn Lindblom Mars 1998 _________________________________________________________________________