GUIDE TO (mostly) HARMLESS HACKING Vol. 3 Nummer 3 Hur man undviker att bli utsparkad från IRC! ____________________________________________________________ För första gången är vi två som författar GTMHH: Patrick Rutledge och Carolyn Meinel. Den här guiden känns också som ett bungyjump ut i den okända världen med stor risk för 'flames' mot mig, Carolyn, eftersom jag precis har börjat utforska den underbara IRC-världen. Så bli inte överraskad om det har smygit sig in konstigheter medan vi skrev det här. Vi vill tacka Warlock (som dyker upp på IRC under namnet VVarlock - observera de två v:na istället för W) Meltdown och K1neTiK, som har bidragit med värdefull information om den brännande frågan i IRC-värden: hjälp - jag blir bombad... Men först av allt - vad är IRC? IRC står för Internet Relay Chat. Det tillåter en grupp människor skriva meddelanden till varandra i realtid. Det är roligare än Usenet där det kan ta minuter upp till timmar för meddelanden att komma fram. På ett sätt påminner IRC om CB radio, med mängder av personer som hackar på varandra på ett unikt och ibland irriterande sätt. Men tack vare att det är ett billigt sätt för folk över hela klotet att kommunicera och utbyta tankar och ide'er, har det snabbt blivit populärt bland hackare. "Krigen" du kan utkämpa på IRC-kanaler är också ett bra sätt att testa dina kunskaper. För att kunna använda IRC, behövs ett IRC klient-program och IRC server-program. ****************************************************************************** Nybörjartips: Alla program som *använder* en "källa" kallas för klient-program. Alla program som *fungerar som* en "källa", kallas server-program. IRC-programmet körs på din Pc eller på din Internetleverantörs dator och kopplar upp dig mot en server med IRC-programvara någonstans. IRC-serverns program förmedlar information mellan de olika klientprogrammen som deltar i 'chat-sessionen'. ************************************************************************* Du kanske redan har ett IRC-program tillgängligt, hos din ISP eller i egna datorn. Eller kan du koppla upp dig med PPP och köra ett Mac- eller Windowsprogram från din ISP:s dator. En del internetleverantörer som tex Netcom, levererar ett paket där IRC-program ingår då du tecknar internetabonnemang. Quarterdeck Internet Suite har också ett IRC-program som är så lätt att använda att en sexåring kan klara av det. Ännu enklare är, om du har en browser (läsare) som klarar java - då kan du köra IRC direkt från browsern genom att koppla upp dig mot en webbaserad IRC-server. Var finns det bra IRC-servrar där jag kan träffa andra hackers? Du kan testa vår egen Happy Hacker IRC kanal. Om din browser stöder java - gå till http://infowar.com, klicka på chat och välj #hackers (eller #hack eller nåt som ser ut att ha med hacking att göra). Men det finns fler bra IRC servrar som har en hel del hacker-kanaler. EFFnet är en av de äldsta IRC-servrarna. Den drivs av Electronic Freedom Foundation (eff.org). Men den har rykte om sig att vara "krigsområde" (war ground). Här får du göra vad du vill men du kanske inte alltid gillar vad andra kommer att göra mot dig. Undernet är troligtvis den näst största. Undernet har en mer vänlig framtoning. Men det betyder å andra sidan - moderators! De som sköter kanalerna, kallas operators (OP:s) och de har tillåtelse att sparka ut dig från kanalen och även från servern om de vill. Fan - de kan sparka ut dig för gott. De kan t.o.m bannlysa hela din domän. Om sysadmin hos din ISP kommer på att du har lyckats bannlysa hela domänen pga att du har misskött dig på någon kanal, blir du inte populär. Och du kan glömma ditt konto! Du kan lokalisera andra bra IRC-servrar genom att söka på "IRC server" i tex Altavista.En del är verkligen avancerade som tex 10pht-servern. Men innan du blir alltför exalterad och vill testa IRC - ett varningens ord. IRC är inte så roligt längre för det finns en del typer som inte nöjer sig med att skriva fula ord eller smutskasta andra på kanalerna. De tycker att det är roligt att sparka ut folk från IRC och det beror mest på att de är för fega att börja argumentera mot någon de inte klarar av. Så de kan ge sig på andra utan risk för att själva torska dit. Men vi skall visa några enkla, effektiva sätt att hålla dessa förlorare borta från din IRC-kanal. Först måste du känna till på vilket sätt du själv kan bli utsparkad från en kanal. Enklaste sättet att hamna i problem, är att överlåta en kanal till någon som sparkar ut dig och dina polare. Det funkar så, att första personen som startar upp en kanal, blir automatiskt denna kanals OP (operator). Operatorn har makt att sparka ut eller bjuda in andra till kanalen. Han eller hon, kan dessutom överlämna sin status som operator till vem han/hon vill. Det idealiska vore att, när du lämnar kanalen, lämna över OP-statusen till en vän eller någon du kan lita på. Så lyssna inte på de som bönar och ber att få bli OP, för det kan vara det sista du gör på den kanalen. Ett sätt att slippa ett sånt problem, är att aldrig lämna över kanalen till någon du inte känner. Så hur vet du att någon är den person de säger sig vara på en IRC-kanal? Bara för att du känner igen namnet (nickname), behöver det inte betyda att det är den du tror. Kolla adressen till namnet med kommandot " /whois namnet " för att se att det är den person du tror att det är. Detta /whois-kommando kommer att visa dig epost-adressen till den person som använder ett viss namn (nick som det kallas på IRC). Och känner du inte igen personens epost-adress - överlämna INTE din OP-status över kanalen till honom. Fråga istället personen vem han/hon är, och varför epostadressen inte stämmer. Genom att använda någon annans nickname, kan du låtsas vara den personen och om du inte blir kontrollerad, kan du på ett enkelt sätt bli OP på en kanal. Men du riskerar också att bli jagad (nuked) om du försöker bluffa dig fram. Nuking kallas också ICMP Bombing. Detta inkluderar förfalskade meddelelanden som EOF, dead socket, redirect osv. ICMP står för Internet Control Message Protocol. Till exempel, ICMP-dirigerade meddelanden används av routers för att underrätta andra datorer att " Hallå där - sluta sända mig all det där. Sänd det till routerx.foobar.net istället!" Så ett meddelande som omdirigeras med ICMP kan hamna på ett helt annat ställe än till den kanal där du från början ville lämna meddelandet. EOF står för End Of File. Dead Socket härrör sig till den ppp-uppkoppling du har till din IRC-server. Om din IRC-fiende lämnar ett meddelande att din "socket" är död, innebär det att du inte kan skriva fler meddelanden till den kanalen. Detta är vad ICMP Host Unreachable Bomber för Windows gör. Kanske det mest förödande IRC-vapnet, är "flood ping", känt som "ICBM flood". Ide'n med flood ping är att, din IRC-fiende letar fram vilken Internetleverantör du använder, och ger kommandot "ping -f" till din värddator. Eller till och med till din hemdator. På IRC är det möjligt att kolla upp IP-adressen till din hem- dator och sedan skicka meddelanden direkt till ditt modem. Om din ovän har en hyfsad dator, kan han/hon pinga dig så mycket att du kopplas ner från din IRC-kanal. Och sedan kan personen ifråga ta över kanalen och köra vidare som om han/hon vore du. ************************************************************************* Nybörjartips: När du kopplar upp dig mot Internet med en PPP (point-to-point) uppkoppling, får din dator ett eget IP-nummer (ungefär adress,angivet som ett nummer) Du kan kolla vilket IP-nummer din dator har, genom att gå till START - KÖR - skriv in WINIPCFG och tryck OK. Kom ihåg att du måste vara uppkopplad mot Internet först. Du får du upp en dialogruta där ditt IP-nummer står. Detta nummer varierar varje gång du kopplar upp dig och det kallas därför "dynamiskt erhållit IP". Detta är din dators "adress" mot Internet. ************************************************************************* Ok - låt oss titta lite på olika typer av attacker på IRC med flooding. Meningen med flooding är att skicka så mycket skit till en klientdator, att den datorn kopplas ner eller belastas så mycket att uppkopplingen blir värdelös. Text-flooding är den enklast typen av attack. Till exempel, du kan trycka ner x-tangenten och sedan enter med jämna mellanrum. Detta gör att IRC-kanalen fylls med skräptecken och de andras inlägg scrollar förbi så snabbt att ingen hinner läsa dem. Emellertid, text-flooding fungerar sällan då de flesta IRC-klienter har inbyggt skydd mot den typen av problem. Även om ett sådant skydd inte finns, måste texten passera genom en IRC-server. De flesta sådana servrar har ett fl ood-filter. Client-to-Client Protocol (CTCP) eko-flooding är den mest effektiva typen av flooding.Det fungerar ungefär som ping. Det är ett kommando som används inom IRC för att kolla om någon fortfarande finns kvar på kanalen. Hur funkar echo-kommandot? För att kontrollera om någon fortfarande befinner sig på din kanal, ge kommandot "/ctcp nick ECHO hello out there!" Om nick (dvs det namn som personen använder) fortfarande finns kvar på kanalen, får du tillbaks svaret "nick HELLO OUT THERE!" Det som händer var, att nick's clientprogram svarade automatiskt med det meddelande som du skickade ut. Men om någon vill sparka ut dig från IRC, kan han/hon använda CTCP echo-kommandot för att lura IRC-servern att tro, att du lastar ner kanalen med alltför mycken text. Det är därför de flesta IRC-servrar automatiskt kopplar ner dig om du provar text-flooding. Så CTCP eko-flooding lurar IRC att koppla bort någon från IRC genom att den personens IRC-program är fullt sysselsatt med att svara på ekot från CTCP. Naturligtvis kan den som attackerar också kopplas bort när han/hon skickar dessa CTCP-ekon. Men en som vet en del om IRC, kopplar upp sig på flera olika sätt till samma IRC-server. Så genom att ha olika versioner av programmet igång när han/hon skickar dessa CTCP ekoförfrågningarna med hjälp av sk software bot, kan han/hon bli kvar på kanalen men offret sparkas ut. ****************************************************************************** Nybörjartips: En "bot" är ett datorprogram som fungerar ungefär som en robot som fixar saker och ting åt dig. En del "bots" är svåra att särskilja från verkliga personer. Till exempel, en del IRC-"bots" väntar på att någon skall använda fula ord och svarar då med tex en varningstext. Alltså ett program som automatiskt gör vissa saker om någon skriver något som inte är tillåtet. ****************************************************************************** En liknande attack är CTCP-ping. Du kan ge kommandot "/ping nick" och I RC-programmet hos "nick" svarar då till IRC-servern med ett meddelande att den person som använder "nick" fortfarande lever, dvs är uppkopplad mot IRC. Kommandot visar också hur lång tid det tar för svaret att återvända från "nicks" IRC-program. (Nick = namnet du använder på IRC-kanalen. Nick=nickname) Den person som attackerar dig, kan enkelt också få fram den dynamiskt tilldelade IP-adress din dator har blivit tilldelad, och kan sedan skicka floods direkt till ditt modem. Men de flesta Unix IRC-program har någon typ av floodfilter inbyggt i programmet. Sedan finns det den klassiska ping. Den förlitar sig på Internet Control Message Protocol (ICMP). Så hur beter du dig mot ICBM:s, nukes och andra sofistikerade attacker? Det finns flera olika program som kan köras med ditt IRC-program, tex LiCe och Phoenix. Dessa script körs i bakgrunden och hoppar automatiskt in när de behövs, tex mot olika typer av attacker. Om du kör ett Windowsbaserat IRC-program, har du som vanligt otur. När jag,Carolyn, för en tid sedan kopplade upp mig mot IRC med hjälp av Netscape körd på en Win95-burk, blev jag direkt förlöjligad för att jag använde Win95. Men det finns faktiskt bra IRC-program som körs både under Win95 och Unix. ************************************************************************* Hämta dina IRC-program här! Till Windows 95: Det mest användarvänliga och kraftfulla scriptet mot flooding, heter 7th Sphere. Det saknar bara ICMP-ping-flood-skydd som i alla fall blockeras av de senaste mIRCprogrammen.Du kan hämta hem scriptet från http://www.localnet.com/~marcraz/ Det är ett exellent program tillverkat av Cashmere och Precursor som förtjänar uppmärksamhet då det är portat för Win95. Ovanstående sida sköts av PhyrKrakr, [MaGuS],Precurser och Venum. Till Unix: mIRC är ett IRC-program som du kan ladda hem från - http://www.super-highway.net/users/govil/mirc40.html Programmen LiCe och tick kan du hämta med ftp från - ftp://ftp.cibola.net/pub/irc/scripts Programmet /pub/irc/lice kommer att skydda dig. Programmet /pub/irc/tick är däremot ett program du använder om du vill attackera någon. ************************************************************************* Vi på Happy Hacker rekommenderar inte att du attackerar folk som tar över OP-status på IRC.Även om den andra figuren startade kanalen. Kom ihåg det! Om de lyckades smyga in på en kanal och ta över den, innebär det ofta att de är vana IRC-användare och kan sabba en hel del för dig om du försöker attackera dem. Vänta till du själv är van IRC-användare och tills dess kan du ju be snällt att få tillbaks din OP-status. Ännu bättre - "/ignore nick"-förloraren och anslut dig till en annan kanal. Om tex #funchat har blivit övertagen, skapa en #funchat2 och "/invite IRCfriend" och alla dina vänner där ute. Lär dig av den här guiden och lämna inte över OP-statusen till någon du inte känner. Det här låter kanske som ett fegt tips, men om du inte har en chans - försök inte ens -det kanske bara blir en deprimerande upplevelse. ************************************************************************* Nybörjartips: Vill du lära dig mer om IRC? Gå till Usenet och kolla in alt.irc.questions ************************************************************************* Ok - allt för nu. Hoppas vi träffas på IRC-servern http://www.infowar.com. Och testa inte några taskiga program där, tack! _________________________________________________________________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 _________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers