___________________________________________________________ GUIDE TO (mostly) HARMLESS HACKING Vol. 3 Nummer 4 Hur man läser epost-headers och hittar Internetleverantörer ____________________________________________________________ Ok, Ok, ni smarta hackare vinner! Jag skall äntligen komma med nästa text som är mer orienterat åt er vana hackare. En del av er kanske tycker att headers (ung. brevhuvud) är för enkla och tråkiga att bry sig om. Emellertid - för några veckor sedan frågade jag 3000+ läsare av Happy Hacker-sidorna om någon kunde tala om för mig vilka epost-tricks jag använde när jag skickade de här listorna. Men inte någon kunde svara rätt - eller ens 75% rätt - eller ens misstänkt att dessa utskick samtidigt har fungerat som protester. Målen: ISP:s som erbjuder sidor där man kan ladda hem program som email bombar. Slutsats: Det är dags att prata headers! I den här guiden skall vi lära oss: * vad är en header * varför headers är roliga * hur man kan titta på headers * vad allt det där betyder som står i headers * hur du får fram Internetleverantörers datorer via headers * grunderna för att förstå hur man förfalskar epost och inlägg på nyhetssidor, fånga dem som förfalskar headers, och teorin bakom dessa epost bombprogram som kan få en Internetleverantör att gå på knäna. Den här guiden kan du ha nytta av även om du inte har ett shell account eller kör någon Unixklon som tex Linux på din dator. Allt du behöver är möjligheten att skicka och ta emot epost. Emellertid - om du har ett shell account kan du göra mycket mer för att dechiffrera en header. Viva Unix! Headers kanske låter som ett tråkigt ämne. Fan, Eudoras epost-program kallar knappen man klickar på för att se headern, "bla bla bla". Men alla dessa figurer som säger att headers är tråkiga, är endera likgiltiga - eller rädda för att du skall öppna en skattkista full med insikter om hacking. Ja, varje header du kollar in har potentialen att blottlägga en skatt som gömmer sig någonstans på Internets bakgator. Headers kan tyckas som enkla nog för att kunna förklaras i en guide om hacking för nybörjare. Men när jag försökte hitta information om headers i mitt bibliotek av manualer, chockades jag av att de flesta manualer inte tog upp ämnet headers. De två jag fann som behandlade ämnet, gav mig nästan ingen information alls. Till och med RFC 822 är vag i sitt innehåll. Om någon av er superhackare där ute känner till literatur som behandlar ämnet headers i detalj, var snäll och hör av er hit. ****************************************************************************** Tekniskt tips: Information som är relevant till headers kan fås ur RFC 822 (RFC=Request For Comment), och även i RFC 1042, 1123 ,1521 och 1891. För att kolla in dem, gå till sidan http://altavista.digital,com och sök på RFC 822 o.s.v ************************************************************************* ********** Eftersom jag saknar hjälp i mina manualer, och tycker att RFC 822 inte ger svar på mina frågor, har jag, för att skriva den här artikeln, skickat epost till höger och vänster och via olika konton, testat olika varianter på meddelanden för att se, vilken typ av headers jag skulle få. Det är ju på det sättet riktiga hackers lär sig hur saker och ting fungerar när RTFM (Read The Fucking Manual) och RTFRFC (Read The Fine RFC) inte ger oss den info vi söker. Eller hur? En sak till. Jag har blivit underrättad om att varje gång jag skriver en epost-adress eller ett domännamn, kommer tusentals nybörjare som läser dessa guider, försöka hacka dessa platser. Så därför är alla adresser och domännamn i den här guiden påhittade - (fubarred). ************************************************************************* ************* Nybörjartips: Verbet "fubar" betyder att förfalska Internetadresser genom att helt enkelt ändra dem. En antik tradition föreskriver att det är bäst att göra så genom att ändra en del av adresserna så att de inte finns i verkliga livet. ************************************************************************* ************* VAD ÄR HEADERS? Om du är nybörjarhackare, är headers som du är van att se, inte kompletta. Chansen är stor att de epostmeddelanden du får, ser ut ungefär som: From: Vegbar Fubar Date: Fri, 11 Apr 1997 18:09:53 GMT To: hacker@techbroker.com Men om du känner till rätt kommando, får du fram tonvis med information: Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI) for techbr@fooway.net id OAA07210; Fri, 11 Apr 1997 14:10:06 -0400 Received: from ifi.foobar.no by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI) for id OAA18967; Fri, 11 Apr 1997 14:09:58 -0400 Received: from gyllir.ifi.foobar.no (2234@gyllir.ifi.foobar.no [129.xxx.64.230]) by ifi.foobar.no with ESMTP (8.6.11/ifi2.4) id for ; Fri, 11 Apr 1997 20:09:56 +0200 From: Vegbar Fubar Received: from localhost (Vegbarha@localhost) by gyllir.ifi.foobar.no ; Fri, 11 Apr 1997 18:09:53 GMT Date: Fri, 11 Apr 1997 18:09:53 GMT Message-Id: <199704111809.13156.gyllir@ifi.foobar.no> To: hacker@techbroker.com Har du någonsin undrat över vad allt det här är och vad det betyder? Vi skall återvända till det här exemplet senare i den här guiden. Men först måste vi behandla dagens brännande fråga: VARFÖR ÄR HEADERS ROLIGA? Varför bekymra sig om dessa bla bla bla headers? De ser tråkiga ut, eller hur? Fel! 1) Har du någonsin hört om de som vill bli hackers och som klagar på att de inte hittar några datorer att utforska? Har du någonsin använt ett sånt där scanning-program som hittar giltiga Internet-adresser åt dig? Well, du kan hitta tusentals adresser utan att använda scanning-program bara genom att studera headers på epost du får. 2) Har du någonsin funderat på vem som skickat det där meddelandet om "Make money fast"? Första steget är att lära sig hur man kan urskilja ett förfalskat epost-meddelande och hur man tar reda på vem som har skickat det. 3) Vill du lära dig hur man på ett bra och övertygande sätt, förfalskar ett email? Har du tänkt skriva ett automatiserat spam- eller emailbomber-program? (Jag gillar inte sådana program, men man måste ändå beundra kunskaperna hos dem som skriver programmen). Första steget är att lära sig headers. 4) Vill du lära dig attackera någons dator? Lär dig det genom att studera headers. Jag gillar inte dessa attacker heller. Men jag har lovat berätta om hur man lär sig hacka, så vare sig jag gillar det eller inte - här kommer det. Så du sitter där och tittar på eposten du har fått och inte är det mycket som du kan se på headern. Vill du se all den där gömda informationen? Sättet man kollar in en utförlig header varierar från program till program. Det mest populära epost-programmet idag är Eudora. För att se hela headern - klicka på knappen "bla bla bla" längst ut till vänster på menyraden. Netscape's browser innehåller en epost-läsare. För att se hela headern där, klicka på Options, sedan klicka på "Show All Headers". Jag är ledsen men jag har inte kollat hur man gör med Microsofts Internet Explorer. Jag kan tänka mig att det är en del därute nu som svär ve och förbannelse över att jag inte vet hur man använder Explorern. Men allvarligt - Explorern är ett osäkert och farligt program för det fungerar som ett skalprogram för din windowsburk. Så hur mycket Microsoft än försöker lappa ihop programmet mot säkerhetshål, är risken stor att du en dag kommer att upptäcka hur lätt det är att skada din dator den vägen. Så kasta ut din Internet Explorer och använd någon annan browser. Ett annat populärt epost-program är Pegasus. Kanske det finns ett enkelt sätt att se headers i det här programmet men jag vet inte hur. Det svåra sättet att se headern i Pegasus -- eller IE -- eller vilket epost-program som helst -- är att öppna din epost- fil med Wordpad. Det finns ju i Win95 och är den bästa editorn i windows med mängder av möjligheter att formatera texten. Compuserves 3.01 epost-program visar automatiskt headers - Bravo Compuserve! Pine är det mest populära epost-programmet på Unix-konton. För att bli en bra hackare, måste du förr eller senare lära dig att använda Unix och Pine är ett bra sätt att lära sig editorn Pico eller Vi som används i Pine. ************************************************************************* ************* Nybörjartips: Pine står för "Pine Is No longer Elm", en hyllning till det verkligt antika programmet Elm, som fortfarande används. Både Pine och Elm kan dateras till tiden då ARPAnet, amerikanska försvarets forskning kring nätverk, utvecklades och så småningom blev Internet. ************************************************************************* *************** Om du aldrig har använt Pine tidigare, kommer du att upptäcka att det inte är lika lätt att använda som dessa glassiga windows epost-program. Men bortsett från Pine's kraftfulla verktyg, finns det en bra anledning att lära sig använda programmet - du lär dig använda pico eller vi och kommandon ur dessa program. Om du vill bli en hackare, lär du dig dessa editorer - du kommer att behöva dem när du skriver program till Unixmaskiner. För att köra igång Pine skriver du bara rätt och slätt pine vid prompten. I Pine, när du kollar in ett epostmeddelande, kan du titta på headern bara genom att trycka på tangenten h. Om inte det fungerar, så är du tvungen att gå in i setupen och lägga till det kommandot. För att göra det - gå till huvudmenyn (Main Menu) och ge kommandot s för setup. Där väljer du kommandot c för config. På andra sidan i config- menyn kommer du att se något liknande: PINE 3.91 SETUP CONFIGURATION Folder: INBOX 2 Messages [ ] compose-rejects-unqualified-addrs [ ] compose-sets-newsgroup-without-confirm [ ] delete-skips-deleted [ ] enable-aggregate-command-set [ ] enable-alternate-editor-cmd [ ] enable-alternate-editor-implicitly [ ] enable-bounce-cmd [ ] enable-flag-cmd [X] enable-full-header-cmd [ ] enable-incoming-folders [ ] enable-jump-shortcut [ ] enable-mail-check-cue [ ] enable-suspend [ ] enable-tab-completion [ ] enable-unix-pipe-cmd [ ] expanded-view-of-addressbooks [ ] expanded-view-of-folders [ ] expunge-without-confirm [ ] include-attachments-in-reply ? Help E Exit Config P Prev - PrevPage X [Set/Unset] N Next Spc NextPage W WhereIs Du förflyttar dig till raden "enable-full-header-cmd" med hjälp av pi ltangenterna och trycker sedan på returtangenten för att kryssa för kommandot. Avsluta sedan config med kommandot e för exit och y för att spara ändringen. När du en gång har gjort detta, behöver du bara skriva h för att se hela headern på ett epost-meddelande. Elm är ett annat Unix epost-program. Det ger till och med ännu mer detaljerad header och det visar automatiskt hela headern. VAD BETYDER ALLT DET DÄR SOM STÅR I HEADERN? Vi börjar med att titta på en inte så spännande header. Sedan skall vi undersöka två headers som avslöjar intressanta saker. Slutligen skall vi se på en förfalskad header. Ok - vi återvänder till headern här ovan. Jag skall förklara den rad för rad. Först tittar vi på den enkla headern: From: Vegbar Fubar Date: Fri, 11 Apr 1997 18:09:53 GMT To: hacker@techbroker.com Informationen i alla headers består av olika fält uppdelade på rader. Varje fält består av två delar - ett fältnamn (avslutat med ett kolon) - och innehållet i fältet. I det här fallet finns bara tre fält - From, Date och To. I varje header finns det två typer av fält - kuvertet (the envelope) som innehåller avsändare och mottagare, och allt annat som är specifikt för handhavandet av meddelandet. I denna header är "allt annat" = datumfältet. När vi tittar på den fullständiga headern, ser vi alla fält och vi går genom dem rad för rad. Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI)for techbr@fooway.net id OAA07210; Fri, 11 Apr 1997 14:10:06 -0400 Den här raden talar om för oss att jag laddade hem det här epost-meddelandet från POP-servern o200.fooway.net. Det gjordes via mitt konto med adressen tech br@fooway.net. Delen (950413.SGI.8.6.12/951211.SGI) identifierar mjukvarans namn och version på den här POP-servern. ************************************************************************* ****************** Nybörjartips: POP står för Post Office Protocol. Din POP-server är den dator som lagrar din epost till du hämtar hem den och läser den. Vanligtvis kopplar ditt epost-program upp sig mot port 110 på postservern när den hämtar hem eposten. Ett liknande men mer allmänt protokoll är IMAP - Interactive Mail Acces Protocol. Lite på mig - du står högt i kurs om du kan redogöra för skillnaderna mellan dessa båda protokoll. Tips: Läs RFC om mailprotokoll. ************************************************************************* ****************** Nu skall vi undersöka rad två i headern här ovan: Received: from ifi.foobar.no by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI)for id OAA18967; Fri, 11 Apr 1997 14:09:58 -0400 Här visar det sig att den här headern inte är riktigt vanlig. Den här raden talar om för oss att en dator vid namn ifi.foobar.no skickade detta mail till POP-servern o200.fooway.net till någon med epostadressen hacker@techbroker.com. Det är för att jag vidarebefordrar all min epost från hacker@techbroker.com till kontot techbr@fooway.net. I Unix kan man göra det genom att specificera en annan adress i filen .forward som ligger i din h emkatalog och där tala om vilken adress du vill använda som "slutadress". Det finns mycket att nämna om det här, men jag avstår. Kan någon av genierna där ute komma på vad jag menar? ESMTP står för Extended Simple Mail Transfer Protocol. Och (950413.SG I.8.6.12/951211.SGI) talar om vilket program som handhar eposten. Nu till nästa rad: Received: from gyllir.ifi.foobar.no (2234@gyllir.ifi.foobar.no [129.xxx.64.230]) by ifi.foobar.no with ESMTP (8.6.11/ifi2.4) id for ; Fri, 11 Apr 1997 20:09:56 +0200 Den här raden talar om för oss att datorn ifi.foobar.no fick det här mailet från en dator som heter gyllir.ifi.foobar.no. Dessa två datorer tycks befinna sig på samma LAN (Local Area Network). Lägg märke till något intressant - datorn som heter gyllir.ifi.foobar.no har ett IP-nummer efter sig - 129.xxx.64.230. Det är den numeriska adressen till den här datorn. (Jag har bytt ut en del av numret mot xxx för att dölja den verkliga adressen). Men datorn ifi.foobar.no har inget IP-nummer efter sig. Varför? Om du kör med Windows 95 eller en Mac, kan det bli svårt för dig att lista ut varför. Men lita på mig - hacking består till stor del att lägga märke till smådetaljer som dessa och försöka ta reda på varför. Men eftersom jag försöker vara en riktig hacker, litar jag på mitt Unix-konto och jag ger kommandot: >nslookup ifi.foobar.no Server: Fubarino.com Address: 198.6.71.10 Non-authoritative answer: Name: ifi.foobar.no Address: 129.xxx.64.2 Lägg märke till de olika IP-numren mellan ifi.foobar.no och gyllir.if i.foobar.no. Jag börjar undra om inte domänen ifi.foobar.no är ganska stor? Jag kollar runt lite med dig och traceroute och jag hittar fler datorer på samma domän. Probing med nslookup i "set type=any" ger mig än mer information. Hey - vad betyder det där .no förresten? En snabb titt i ISO:s (International Standards Organiztion) register om landsförkortningar ser jag att .no står för Norge. Det ser ut som om Norge är ett arktiskt land med fjordar,berg,renar och mängder med Internet värdar. En snabb titt i arkiven över de som prenumererar på Happy Hacker-listan, ger vid handen att nästan 5% av 4000 epostadresser härstammar från Norge. Så vi vet nu att Norge som är ett midnattsolens land samtidigt hyser en mängd hackers. Vem sa att headers var tråkiga? Vidare till nästa rad, som innehåller namn och epostadress till avsändaren: From: Vegbar Fubar Received: from localhost (Vegbarha@localhost) by gyllir.ifi.foobar.no ; Fri, 11 Apr 1997 18:09:53 GMT Jag skall försöka mig på en gissning här. Den här raden säger att datorn gyllir. ifi.foobar.no fick epost-meddelandet från Vegbar Fubar på datorn "localhost". Localhost är vad en Unix-dator kallar sig själv. Testa kommandot - telnet localhost om du har ett Unix-konto eller kör Linux. Du kommer att hamna vid en login som för dig direkt tillbaks till din egen dator eller ditt eget konto. Så när du ser att gyllir.ifi.foobar.no får eposten från localhost betyder det att avsändaren av det här meddelandet är inloggad på den här datorn och att datorn kör Unix. Jag kan snabbt testa min hypotes: > telnet gyllir.ifi.foobar.no Trying 129.xxx.64.230... Connected to gyllir.ifi.foobar.no. Escape character is '^]'. IRIX System V.4 (gyllir.ifi.foobar.no) Irix är en typ av Unix-operativsystem som körs på maskiner från Silicon Graghics (SGI). Det stämmer med namnet på POP-severns mjukvara på datorn ifi.foobar.no som i headern visar (950413.SGI.8.6.12/951211.SGI). Så vi tittar på ett stort nätverk av norska datorer som består till viss del av Silicon Graphicsmaskiner. Vi skulle kunna kolla upp precis hur många SGI-datorer som finns, med mycket tålamod, scanning och via IP-adresser från andra anslutna datorer, genom att tex använda Unix 'dig' och 'nslookup'. SGI-datorer är inte så vanliga på Internet. De är optimerade för grafik och olika typer av forskning. Så jag vill gärna lära mig mer om den här domänen. Internet-leverantörer har ofta web- sidor och jag letar via min browser på domännamnet. Så jag testar h ttp://ifi.foobar.no. Det funkade inte så jag testar då http://www.ifi.foobar.no. Jag kommer då till en hem- sida som tillhör Oslos Universitet - avdelning för Informationsteknik. Dessa avdelningar kör ofta dataforsknings-program och tunga grafik-applikationer. Så det är inte så konstigt att de använder SGI-datorer. Nästa steg är att kolla upp www.foobar.no och jag ser att Oslos universitet har ca 39000 studenter. Inte så konstigt då att det finns så många datorer på domänen ifi.foobar.no! Men låt oss återvända till headern. Nästa rad är enkel - bara datumet: Date: Fri, 11 Apr 1997 18:09:53 GMT Härefter kommer den mest intressanta raden i den här headern - meddelandets ID: Message-Id: <199704111809.13156.gyllir@ifi.foobar.no> Ett meddelandes ID är nyckeln till hur man spårar ett förfalskat ep ost-meddelande. Konsten att undvika ett sånt här giltigt ID-nummer, utgör grunden för hur man förfalskar epost. Kriminella lägger ner stor möda på att hitta Internet-värdar som de kan använda för att skicka falsk epost ifrån och som inte lämnar några spår efter sig i form av giltiga ID-nummer. Första delen av numret är datum och tid. 199704111809 betyder 1997, 11 april, klockan 18:09. En del ID-nummer inkluderar också sekunder i tidsangivelsen. En del id-nummer utelämnar 19 i årtalet 1997. 13156 är det nummer som identifierar den som skrev meddelandet och gyllir@ifi.foobar.no härrör sig till den dator där id-numret finns lagrat. Vart på den här datorn lagras id-nummret som identifierar avsändaren? Unix har många varianter så jag kan inte garantera att det lagras i samma fil på alla typer av Unix-maskiner. Men ofta ligger dessa id-nummer lagrade i en syslog-fil i /usr/spool/mqueue. En del sysadmins arkiverar dessa id-nummer om de senare behöver kolla upp ett speciellt id-nummer text vid olika typer av brott. Men default-inställningen på de flesta maskiner är att inte spara id-nummer. En Internet-leverantör som inte sparar dessa nummer, utgör en utmärkt plattform för kriminella aktiviteter. Nu lämnar vi Oslos Universitet och kollar in en annan typ av header: Received: from NIH2WAAF (mail6.foo1.csi.com [149.xxx.183.75]) by Fubarino.com (8.8.3/8.6.9) with ESMTP id XAA20854 for ; Sun, 27 Apr 1997 23:07:01 GMT Received: from CISPPP - 199.xxx.193.176 by csi.com with Microsoft SMTPSVC; Sun, 27 Apr 1997 22:53:36 -0400 Message-Id: <2.2.16.19970428082132.2cdf544e@fubar.com> X-Sender: cmeinel@fubar.com X-Mailer: Windows Eudora Pro Version 2.2 (16) Mime-Version: 1.0 Content-Type: text/plain; charset="us-ascii" To: galfina@Fubarino.com From: "Carolyn P. Meinel" Subject: Sample header Date: 27 Apr 1997 22:53:37 -0400 Vi börjar med att titta på de första raderna: Received: from NIH2WAAF (mail6.foo1.csi.com [149.xxx.183.75]) by Fubarino.com (8.8.3/8.6.9) with ESMTP id XAA20854 for ; Sun, 27 Apr 1997 23:07:01 GMT Den första rader här talar om för oss att det här meddelandet togs emot av kontot galfina@Fubarino.com. Internetvärd-datorn som skickade meddelandet till galfina var mail6.foo1.csi.com. (149.xxx.183.75). Datorns namn anges först i lättförstådd form (ha ha ha) och sedan i dess numeriska adress som lättare kan förstås av andra datorer. Galfina är mitt användernamn. Jag valde det namnet för att irritera G.A.L.F (Gray Area Liberation Front). Fubarino.com (8.8.3/8.6.9) är datorn som tog emot meddelandet till mitt kontot galfina. Men lägg märke till att datorns namn endast anges delvis. Allt vi får är domännamnet och inte hela namnet på datorn från vilken jag laddade hem meddelandet. Vi kan gissa oss till att Fubarino.com inte är dess fullständiga namn då Fubarino är en tillräckligt stor ISP för att ha flera datorer på ett LAN (Local Area Network) som servar sina kunder. ******************************************************************************** Tips: Vill du få reda på namnen till några av datorerna som din ISP använder? Använd kommandona traceroute, dig och who. Till exempel utforskar jag Fubarino.com's LAN och jag hittar free.Fubarino.com (genom kommandot "dig Fubarino.com") och sedan dialin.Fubarino.com och milnet. Fubarino.com genom att använda mig av kommandot - "who". Genom att använda de numeriska adresserna jag fick fram med dig-kommandot, kunde jag sedan gräva fram en hel hög med andra datorer som tillhör domänen Fubarino.com. ************************************************************************* *********** Numret efter Fubarino.com är inte en IP-adress. Det är istället en beteckning på den programvara som sköter eposten på den här datorn. Vi kan gissa oss fram till att det är en version av Sendmail. Men för att vara riktigt säker, testar vi med kommandot "telnet Fubarino.com 25". Detta ger oss svaret: 220 Fubarino.com ESMTP Sendmail 8.8.3/8.6.9 ready at Mon, 28 Apr 1997 09:55:58 GMT Detta visar att programmet mycket riktigt är Sendmail. ************************************************************************* *********** Tips: Sendmail är känt för att innehålla buggar som du kan använda för att ta dig in i andra datorer. Så även om Fubarino.com kör en version som nyligen har uppdaterats för att ta bort en del nyupptäckta buggar, kan du vara säker på att det inom kort dyker upp nya uppgifter om andra buggar som hitills inte varit kända. Ett sätt att slippa riskerna med Sendmail, är att köra qmail, som hitills inte har befunnits ha sådana buggar. ************************************************************************* **************** Ok - till nästa rad som börjar med recieved: Received: from CISPPP - 199.xxx.193.176 by csi.com with Microsoft SMTPSVC; Sun, 27 Apr 1997 22:53:36 -0400 CISPPP står för Compuserve Information Services Point to Point Protocol. Det betyder att meddelandet skickades via ett PPP-uppkoppling som jag har hos Compuserve. Vi kan också se att Compuserve kör Microsofts SMTPSVC epost-program. Emellertid kan vi se i resten av headern, att avsändaren inte använder Compuserve's standard post-gränssnitt. Message-Id: <2.2.16.19970428082132.2cdf544e@fubaretta.com> Numret 2.2.16 lades till av Eudora och det betyder att jag kör Eudora Pro version 2.2 - 16-bitarsversionen. 19970428082132 betyder tiden då jag skickade meddelandet i form av år (1997) månad (04) dag (28) och klockslag (08:31:32). Delen 2cdf544e@fubaretta.com är den viktigaste i den här headern. Detta nummer anger Intenet-leverantören där loggen för mitt användande av fubaretta's postprogram finns. Lade du märke till att meddelandets ID inte lagrades på Compuserve's dator utan på fubaretta.com? Detta beror först och främst på att det är den POP-server som jag specificerade med Eudora. Eftersom Compuserve ännu inte tillhandahåller POP-servrar, kan jag än så länge bara skicka epost via Compuserve men inte få epost från Compuserve. Så jag kan hitta på ett servernamn när jag skickar post via Compuserve med post-programmet Eudora. Jag valde att kalla servern Fubaretta ISP. Om jag skulle ha gjort något skumt med det där meddelandet som tex spam eller epost- bombning, kunde sysadmin på fubaretta.com kolla upp det där meddelandets ID-nummer och hitta information som skulle binda meddelandet till mitt Compuserve-konto. Detta förrut- sätter naturligtvis att fubaretta.com sparat och arkiverat det här meddelandets ID. Så när du läser den här delen av headern kanske du tror att servern där jag hämtar hem min epost finns hos Fubaretta.com. Men det enda det här betyder är att jag talade om för Eudora att jag använde ett postkonto på servern Fubar. Hade jag använt ett annat konto-namn här, då hade även meddelandet fått ett annat ID-nummer. Behövde jag då ha ett konto på Fubaretta? Postservern bad inte om ett lösenord. Jag har faktiskt inte något konto på Fubaretta. Återstoden av headern genereras av Eudora: X-Sender: cmeinel@fubar.com X-Mailer: Windows Eudora Pro Version 2.2 (16) Mime-Version: 1.0 Content-Type: text/plain; charset="us-ascii" X-mailer-informationen talar om att jag använder en 16-bitars version av Windows Eudora Pro version 2.2. En del personer har frågat mig varför jag inte använder 32-bitarsversionen (som körs under Win95). Svaret är att 16-bitarsversionen har bättre felhantering. Det är av samma anledning jag inte använder Pegasus. Och Eudora låter mig göra en del roliga saker! Mime (Multipurpose Internet Mail Extensions) är ett protokoll för att titta på epost. De av er som får en massa skräptext när jag skickar GTMHH och Digest kan skylla det på Mime. Om ditt epost-program inte använder Mine, får du en massa tecken som "=92" istället för vad jag försöker skicka. Men den här gången har jag stängt av "printed quotable"-alternativet i Eudora. Så jag hoppas att du har fått en ren ASCII-text. Eposta mig om du fortfarande har problem! Charset = "us-ascii" talar om vilken typ av teckentabell jag använder. En del använder ISO ascii istället, vanligtvis när det härstammar från ett land utanför USA ( I Sverige använder vi iso-8859-1 - översättarens anm.) Låt oss nu titta på en något annorlunda header. Det här är en header som är påhittad. Kommer ni ihåg kriget jag förklarade mot Websidor som innehåller program som man kan använda för epost-bombning? Du vet - de där Win95-programmen för losers som man kan köra bara genom att klicka några gånger med musen? Här kommer en header som avslöjar min egen lilla protest mot dessa program. Headern kommer från Happy Hacker Digest 12 april 1997: Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI)for techbr@fooway.net id MAA07059; Mon, 14 Apr 1997 12:05:25 -0400 Date: Mon, 14 Apr 1997 12:05:22 -0400 Received: from mocha.icefubarnet.com by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI) for id MAA06380; Mon, 14 Apr 1997 12:05:20 -0400 Received: from cmeinel (hd14-211.foo.compuserve.com [206.xxx.205.211]) by mocha.icefubarnet.com (Netscape Mail Server v2.01) with SMTP id AAP3428; Mon, 14 Apr 1997 08:51:02 -0700 Message-Id: <2.2.16.19970414100122.4387d20a@mail.fooway.net> X-Sender: techbr@mail.fooway.net (Unverified) X-Mailer: Windows Eudora Pro Version 2.2 (16) Mime-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" To: (Recipient list suppressed) From: "Carolyn P. Meinel" Subject: Happy Hacker Digest April 12, 1997 Ok - låt oss titta på det första fältet: Received: by o200.fooway.net (950413.SGI.8.6.12/951211.SGI)for techbr@fooway.net id MAA07059; Mon, 14 Apr 1997 12:05:25 -0400 Date: Mon, 14 Apr 1997 12:05:22 -0400 Vi har redan kollat in den här datorn 0200.fooway.net här ovan. Nu skall vi titta lite nogrannare. Eftersom jag misstänker att det här är en POP-server, testar jag att telnetta till port 110, som normalt sett är porten där POP huserar. > telnet o200.fooway.net 110 Trying 207.xxx.192.57... Connected to o200.fooway.net. Escape character is '^]'. +OK QUALCOMM Pop server derived from UCB (version 2.1.4-R3) at mail starting. Nu vet vi lite mer om Fooway Technology's POP server. Om du har testat att köra ett av de där hackerprogrammen som scannar av en dators alla portar och ger dig upplysning om vilka program som körs i vilka portar, så vet du att det inte är så märkvärdigt. Dessa program automatiserar dessa kommandon som vi här kör för hand. Men jag tror att man lär sig mer om man istället gör det här manuellt. Vi skulle kunna göra fler tester på det här sättet men det börjar bli lite tråkigt. Så vi kollar in det andra fältet i headern: Date: Mon, 14 Apr 1997 12:05:22 -0400 Det där -0400 är en tids-korrektion. Men vad är det som är korrigerat? Vi tittar på nästa fält i headern: Received: from mocha.icefubarnet.com by o200.fooway.net via ESMTP (950413.SGI.8.6.12/951211.SGI) for id MAA06380; Mon, 14 Apr 1997 12:05:20 -0400 Hmm, varför finns mocha.icefubarnet.com i headern? Om den här headern inte är påhittad, betyder det att det är den här servern som sköter Happy Hacker-postrutinerna. Så var finns mocha.icefubarnet.com? En snabb koll med hjälp av whois-kommandot ger oss: > whois icefubarnet.com ICEFUBARNET INTERNET, INC (ICEFUBARNET-DOM) 2178 Fooway North Bar, Oregon 97xxx USA Den här datorn ligger i en annan tidszon med skillnaden 4 timmar. Så det förklarar varför tiden hade korrigerats i headern. Nästa fält i headern ger oss: Received: from cmeinel (hd14-211.foo.compuserve.com [206.xxx.205.211]) by mocha.icefubarnet.com (Netscape Mail Server v2.01) with SMTP id AAP3428; Mon, 14 Apr 1997 08:51:02 -0700 Det här talar om för oss att Happy Hacker Digest skickades till postservern (SMPT står för Simple Mail Transport Protocol) på mocha.icefubarnet.com av Compuserve. Men, och det är mycket viktigt att observera, åter igen använda jag inte Compuserves postfunktion. Det här representerar bara en PPP-session som jag hade via Compuserve. Hur kan man se det? Om man leker lite med nslookup kan man notera att IP-numret på min compuserve-uppkoppling inte är en Internetvärd. Men du kan inte lära dig på ett enklare sätt, och compuserve har hög säkerhet och det är anledningen att jag använder den uppkopplingen. Det här är ett annat sätt att se en c ompuserve-ppp-uppkoppling i en header. Nu till det viktigaste i headern - ID-numret: Message-Id: <2.2.16.19970414100122.4387d20a@mail.fooway.net> Hur kan det komma sig att ID-numret finns på datorn mail.fooway.net? Det är ganska enkelt. I Eudora specificerade jag min POP-server som mail.fooway.net. Men om du skulle kolla lite noggrannare skulle du upptäcka att fooway.net har en POP-server men inte SMPT eller ESMPT-server. Du kan *få* post från fooway, men du kan inte posta meddelanden *från* den här servern. Men Internets otroliga förmåga kombinerat med Eudoras möjligheter gör att meddelandet kommer fram i alla fall. I meddelandets ID-nummer kommer "2.2.16" från Eudora - dess versionsnummer. Resten av headerns fält har lagts till av Eudora: X-Sender: techbr@mail.fooway.net (Unverified) X-Mailer: Windows Eudora Pro Version 2.2 (16) Mime-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" To: (Recipient list suppressed) From: "Carolyn P. Meinel" Subject: Happy Hacker Digest April 12, 1997 Lägg märke till att Eudora låter oss veta att techbr@mail.fooway.net är overifierad som avsändare. Och detta är definitivt inte avsändaren. Det är viktigt att notera. Ett meddelandes ID-nummer behöver inte nödvändigtvis lagras på den dator varifrån meddelandet sändes. Så hur kunde jag använda IceFubarnet's postprogram för att skicka Happy Hacker Digest? Tursamt nog är det Eudoras möjligheter som gör det enkelt för mig att använda vilken server jag vill som har en öppen SMTP- eller ESMTP-port. Du kommer att bli överraskad över hur många datorer det finns på Internet som du kan kommendera att sända din epost - om du har rätt epost-program - eller om du vet hur du telnettar till port 25 (som kör SMTP eller ESMTP-protokoll) och vad du använder för kommandon för att skicka post därifrån. Varför använder jag Icefubarnet? Därför att den datorn just då hade en ftp-sida där man kunde ladda hem mailbomb-program (http://www.icefubarnet.com/~astorm/ uy4betal.zip) Sist jag kollade den här sidan hade dock programmen försvunnit. Men -- tillbaks till hur man kommenderar postservrar medan ID-numret hamnar någon annanstans. I Eudora - specificera du bara den server du vill använda som avsändare under Options (under Tools). Specificera också till vilken dator du vill ha ditt ID-nummer sänt under "POP-server". Men om du försöker det här i Pegasus, får du som svar ett felmeddelande som anklagar dig för att försöka förfalska epost...! Naturligtvis kan du kommendera postservrar genom att skriva ditt eget program som styr postservern. Men det skall jag ta upp i en senare guide om shell-pro grammering. ************************************************************************* ************* Nybörjartips: Shell-programmering? Va fan är det? Det betyder att skriva ett program som använder kommandon som finns tillgängliga i Unix-skalet. Om du vill bli en hacker, är du tvungen att lära dig Unix. Om du vill vara seriös och tänker fortsätta studera de här guiderna, måste du skaffa dig ett unix-konto eller installera tex Linux på din hemdator. Det finns ställen där du kan leta efter leverantörer som kan ge dig ett shell-konto tex (i USA http://www.celestin.com/pocia/) Eller skicka ett mail till haxorshell@techbroker.com för information om hur du kan få ett konto som är bra för hacking och att du därifrån tex kan använda telnet utan risk. ************************************************************************* *************** Häng på - i vol 5 nummer 5 skall vi komma in på verkligt håriga saker: hur man dechiffrerar förfalskade headers. Ja - hur du hittar den där figuren som har skickat dig skitpost den senaste månaden! _________________________________________________________________________ ______________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _________________________________________________________________________ ____________ Svensk översättning: Björn Lindblom Mars 1998 _________________________________________________________________________ _____________ Carolyn Meinel M/B Research -- The Technology Brokers