______________________________________________________________________________

Guide Till (för det mesta) Laglig Hacking.

Vol. 4 Nr 1

Hackerkrig på IRC (Internet Relay Chat)

_______________________________________________________________________________

Tack till Patrick Rutledge, Warbeast, Meltdown och k1neTiK, som alla har bidragit
med värdefull information om IRC-världen.

Vad är det som är så märkvärdigt med IRC och hackers? IRC som är så lätt att
använda - tills du hamnar på en kanal som styrs av hackers. Vad skall du göra då
för att slippa bli trakasserad om och om igen.

Naturligtvis kan du bara dra dig undan. Men anta att du vill delta på just den här
kanalen för det är här som du kan få bra kontakt med andra i hackervärlden.

På en IRC-kanal skriver folk meddelanden till varandra i realtid. Det är roligare
än USEnet där det kan ta minuter upp till timmar innan ett svar dyker upp på din
fråga. Och i motsats till Usenet- om du skriver något som du ångrar, försvinner
det snart. Ok - någon kanske loggar det som skrivs men i allmänhet försvinner 
det du skriver snabbt.

På ett sätt funkar IRC som CB radio med många som tuggar på varandras inlägg och
många som gör bort sig fullständigt. Så vänta dig inte tidlös visdom när du deltar
i de här diskussionerna. Men bara för att IRC är ett billigt sätt att "träffa" folk
från hela världen och utbyta tankar, används det också av hackers. Du kan också lära
dig en del om hur man behärskar en kanal och stänger andra ute.

För att använda IRC, behöver du programvara och du behöver en uppkoppling till en
websida eller Internetleverantör som kör ett IRC-program.

*************************************************************************************
Nybörjartips: Alla program som använder sig av ett program på en huvuddator, kallas
klient och huvuddatorn kallas server. IRC-programmet kan köras direkt i din egen pc
eller på en dator där du har ett shell-account, någonstans på Internet.
*************************************************************************************

Du kanske redan har ett IRC-program som körs hos din Internetleverantör. Supporten hos
din ISP bör kunna hjälpa dig med information om hur du använder IRC-programmet. Ännu
enklare är det om din webläsare klarar av java - då kan du köra IRC direkt i läsaren 
efter att du har hittat en IRC-kanal på någon websida.

Var finns det bra IRC-kanaler där man kan träffa hackers?

Det finns en rad olika IRC-servrar som erbjuder kanaler för hackers. EFNet (Eris-Free
Network) har länkar till många IRC-servrar. EFNet härstammar från Eris FreeNet (ef.net).
Den här servern har rykte om sig att vara rena krigszonen och här kan du verkligen 
lära dig nåt om IRC och den teknik man använder sig av.

Undernet är en av de största IRC-servrarna. Här dominerar en avslappnad och vänlig
attityd och inga större "krig" mellan deltagarna. Men det innebär också att här finns
det personer som övervakar kanalerna och som kan stänga dig ute om du inte följer
vissa uppsatta regler. Dessa "övervakare" kan till och med stänga hela din domän
ute om du inte "sköter" dig.

***************************************************************************************
Nybörjartips: En domän är de två sista, ibland tre, delarna i din epostadress. Till exempel
swipnet.se, telia.com osv osv. Så om din domän blir utkastad från en IRC-server,
innebär det att ingen från den domänen kan nå den här servern igen.
***************************************************************************************

Om systemadministratören hos din Internetleverantör får reda på att du har lyckats
stänga hela domänen ute från IRC, ligger du illa till. Att du förlorar ditt shell-konto
är självklart och om andra på den här domänen får reda på vad du gjort, kan du räkna
med en hel del kommentarer, för att uttrycka det milt, i din epost.

En annan IRC-server är IRCNet som är ungefär lika stor som Undernet. IRCNet är i grunden
en avläggare från EFnet som riktar sig till europeiska och australiensiska användare.

Ja - IRC är ett globalt fenomen. På IRC:s nätverk kan du träffa folk från världens alla
hörn. Det finns åtminstone 80 IRC-nätverk. Om du vill veta hur du kontaktar dessa IRC-
servrar, kolla in sidan http://www.erchelp.org/. Kolla också http://digital.altavista.com
och sök efter "IRC-server". En del av dessa servrar är idealiska för hackers, tex
10oht-servern. 

******************************************************************************************
Tips: Anslut dig till en IRC-server genom att telnetta direkt till port 6667.
******************************************************************************************

Men innan du blir alltför intresserad av att koppla upp dig till en IRC-server - ett 
varningens ord. IRC är inte längre lika roligt. Det finns en del som inte nöjer sig med
att kasta glåpord till varandra längre. De finner sitt nöje i att sparka ut personer
från kanalerna. Kan man inte slåss i verkliga livet, kan man göra det i cyberrymden
utan risk att få hjärnan insparkad!!

Vi skall visa några enkla men effektiva sätt att hålla dessa förlorare borta från den 
kanal du besöker. Men först skall jag visa hur man kan bli utsparkad från en kanal.

Enklaste sättet att bli utsparkad är om du överlåter kanalen till någon du inte känner.
Så här funkar det. Den som först startar en kanal, är också den som "sköter" kanalen.
Man blir automatiskt sk operator (OP) av den här kanalen. Operatorn har möjlighet att
bannlysa andra från kanalen eller bjuda in personer från andra kanaler. Om man är
operator, kan man också överlåta "skötseln" till någon annan som då blir OP.

Det idealiska är att du överlåter OP-rättigheterna till någon du känner när du lämnar
kanalen. Du kanske har vänner som gärna tar över och vill testa hur det är att vara
operator. Men om du strular till det och lämnar den här rättigheten till fel person,
kan du bli utestängd och inte komma in igen.

Så det bästa sättet att undvika det här, är just att aldrig överlåta kanalen till någon
du inte känner eller litar på. Men det är lättare sagt än gjort. Man brukar ju kunna lita
på kompisar. Du kanske inte vill neka någon chansen att få vara OP. Men hur skall man
veta vilken som är vän?

Även fast du känner igen öknamnet (nickname), behöver det inte vara rätt person som
använder just det namn du känner igen. Kolla för säkerhets skull med kommandot
"/whois nicknamn" så du är säker på att det är rätt person du pratar med.
Whois-kommandot ger som svar epost-adressen till personen med det namnet (nick) och
här kan du se om allt stämmer. Skulle adressen inte vara den du väntar dig, kan du
alltid fråga personen ifråga varför hans/hennes adress är annorlunda. 

Att använda ett fejkat nick när man går in på en kanal, är det lättaste sättet att lura
andra på kanalen. Ett verkligt problem kan uppstå när någon på kanalen beslutar sig för
att använda "nukes" eller "ICBMs" mot dig. "Nuking" kallas också "ICBM Bombing". Dessa
attacker inkluderar meddelanden som EOF (end of file), dead socket, redirect osv osv.

***************************************************************************************
Nybörjartips: ICMP står för Internet Control Message Protocol. Det här är en sorts 
attacker som skjuter in sig på svagheter i IRC-programmet och som kan användas för
att utforska Internet.
Gå-i-fängelse-varning: ICMP-attacker är olagliga. De kan förorsaka problem för en hel
domän och dess användare.
***************************************************************************************

Till exempel - ICMP redirect-meddelanden används av routers (datorer som funkar som växlar,
dvs kopplar från ett nätverk till ett annat på Internet) för att meddela andra datorer
på nätet tex - " sluta skicka meddelanden till mig. Skicka dem till routerx.com istället."
Detta gör att de meddelanden du skriver i kanalen försvinner i nåt svart hål istället
för att hamna i kanalen.

EOF står för end-of-file. Dead socket härrör sig till uppkopplingar som tex PPP (Point-to-Point)
som du troligtvis använder dig av när du kopplar upp dig mot Internet. Om din fiende på en
IRC-kanal, skickar ett meddelande till dig att din "socket är död", så innebär det att du
inte kan skriva fler meddelanden i den kanal du befinner dig. Det är just vad programmet
"ICMP Host Unreachable Bomber for Windows" gör.

Troligen det mest förödande för IRC är "flood ping" som också kallas ICBM flood eller ICMPing.
Tanken här är att den som vill hindra dig från att skriva i en kanal, letar fram den
Internet-dator eller server som du använder, och skickar "ping -f" till den datorn. Man kan
även pinga direkt till din hemma-dator. Det är lätt att kolla upp adressen till den dator
du kör där hemma via ett kommando som visar din dators IP-nummer. Om den som vill attackera
dig, har en hyfsad dator, kan det här ping-kommandot slå ut din dator helt och du är tvungen
att starta om. Så om någon vill ta över den kanal du har startat, är det tämligen lätt att
få bort dig med ping -f och sedan ta över rollen som OP.

********************************************************************************************
Nybörjartips: När du kopplar upp dig mot Internet via PPP, får din dator och din förbindelse
ett eget IP-nummer eller adress som det också kallas. Detta nummer varierar från gång till
gång som du är uppkopplad (sk dynamiskt tilldelat IP-nummer). Du kan se vilket IP-nummer din
dator har om du kopplar upp dig mot Internet och sedan klickar på "Start" - "Kör" - "winipcfg".
Det sista får du skriva in själv i den dialogruta som dyker upp när du klickar kör. Du får
nu upp ett nytt fönster som visar din IP-adress och några andra värden. Men det är IP-numret
som är intressant. 
**********************************************************************************************

Ok - låt oss titta lite mer på olika typer av flooding på IRC. Flood-kommandots syfte är att
skicka så mycket skräp (datapaket) till en dator så att den sänks, dvs hänger sig. Det är ett
sätt att få någons dator ur spel och därmed avstängd från IRC. Text-flooding är den enklaste
formen av attack. Du kan tex hålla nere "x"-tangenten och sedan trycka "enter" hela tiden.
Detta skulle göra att skärmen fylls med dina x och ingenting annat syns på IRC-kanalen.
Denna typ av flooding fungerar dock sällan numer, då de flesta IRC-servrar har filter som
skyddar mot den här typen av attacker.

Eftersom text-flooding är tämligen harmlöst, kan du på sin höjd bli utslängd från kanalen.

*********************************************************************************************
Nybörjartips: K:line betyder att inte bara du utan alla på din domän blir utestängda från 
IRC. Detta kan leda till stora problem, så passa dig för att hamna i den situationen.
**********************************************************************************************

Client-to-Client Protocol (CTCP) flooding är den mest effektiva typen av flooding. Fungerar
ungefär som ping -f och används på IRC för att söka efter någon på en IRC-kanal.
Hur fungerar detta kommando? För att kolla om någon du söker fortfarande finns kvar på
kanalen, ge kommandot - "/ctcp nick ECHO hello out there!" Om nick ( =öknamn eller det namn
någon kallar sig för på kanalen) finns kvar, får du som svar "nick HELLO OUT THERE!".
Vad som sker är att IRC-programmet i datorn till den person du söker, "ekar" ditt kommando 
om den fortfarande är uppkopplad mot IRC.

Om någon använder det här kommandot alltför mycket mot din dator, luras servern som du
är uppkopplad genom, att tro att du skickar alltför mycket text till IRC-kanalen, och detta
gör att servern kopplar ner dig automatiskt.

Så CTCP lurar IRC att koppla ner dig trots att du inte har gjort nåt galet. Din dator blir
fullt upptagen med att svara på alla anrop från den som "CTCP:ar" dig, och - pang - du är
avstängd från IRC.

Naturligtvis löper den som attackerar dig samma risk att bli avstängd då hans dator också
är fullt aktiv med att sända dessa förfrågningar och därmed lastar ner systemet. Men en som
vet hur man gör, ser till att ha kompisar som gör samma sak från någon annan dator, och på
det sättet undviker varje person att sända allt för mycket från EN plats. Så det är du som
blir utestängd och de andra kan köra vidare och kanske lägga beslag på din kanal.

Den här typen av attacker är också tämligen oskyldiga, så personer som sysslar med den här
typen av flooding, riskerar egentligen bara att stängas ute från IRC-kanalen de befinner 
sig på. 

*********************************************************************************************
Nybörjartips: "Bot" är ett datorprogram som fungerar som en "robot", dvs gör saker 
automatiskt. En del av dessa program gör saker som är svåra att skilja från verkliga
personers kommandon. Tex finns det program som fungerar som filter, så om någon skriver
ett fult ord typ fuck, poppar det upp en text som varnar personen ifråga.
*********************************************************************************************

En annan typ av attack kallas CATCH Ping. Du kan ge kommandot "/ping nick" och det fungerar
ungefär som ett vanligt ping, dvs datorn vars användare kallar sig nick, svarar med ett
meddelande om hur lång tid svaret tog på sig från dator till dator. Det kan ibland vara bra
att känna till hur lång tid ett svar kan ta på sig, för ibland är Internet så trögt att det
är lika bra att koppla ner sig och vänta till ett senare tillfälle.

Den som vill attackera dig kan lätt få fram det IP-nummer din dator har och rikta flooding
direkt mot din dator. Men de flesta IRC-servrar har ett sk CATCH flood skydd. Åter igen är det
ett tämligen oskyldigt sätt att attackera någon.

Så hur skyddar du dig mot dessa flood-attacker? Det finns en rad olika program som kan köras
med ditt IRC-program, tex LiCe och Phoenix. Dessa script körs i bakgrunden när du är upp-
kopplad mot en IRC-server och hoppar in automatiskt om du blir attackerad tex med flooding.

Om du kör ett windowsbaserat IRC-program, kanske du som vanligt anser att du inte har något
skydd att ta till. Och när jag för en tid sedan kopplade upp mig mot en IRC-kanal, blev
jag hånad för att jag använde windows som operativsystem. Men det finns faktiskt bra
program som körs under windows och som skyddar dig mot attacker.

För Win95 kan du använda programmet mIRC. Det kan du hämta hem från -
http://www.super-highway.net/users/govil/mirc40.html. Det här programmet inkluderar ett
skydd mot ICMP flood ping. Men programmet klarar inte alla typer av attacker du kan utsättas
för. Så du kanske vill förbättra skyddet med ett scriptprogram som 7th Sphere. Det programmet
kan du hämta hem från http://www.localnet.com/~marcraz/

Om du surfar från en Unix-burk, kan du testa IRCII. Programmet kan du hämta hem från -
ftp.undernet.org i katalogen /pub/irc/clients/unix eller från http://www.irchelp.org / eller 
från ftp://cs-ftp.bu.edu/irc. Du kan hämta hem LiCe ftp://ftp.cibola.net/pub/irc/scripts.
Från den här siten kan du oxå hämta hem programmet Tick i katalogen /pub/irc/tick.
För detaljer om hur du använder dessa program, kolla http://www.irchelp.org/. Eller kolla
på Usenet alt.irc.questions.

**********************************************************************************************
Tips: Om du vill lära dig allt om IRC, kolla in RFC 1459 (The IRC Protocol). Sök på "RFC"
med någon av sökmaskinerna. RFC:s är en utmärkt källa till kunskap om allt som har med
Internet att göra.
**********************************************************************************************

OK- låt oss anta att du har installerat ett IRC-klient program med script av olika slag
som skall skydda dig från attacker. Betyder det att du kan attackera folk lite hur som
helst på IRC-kanaler?

Vi rekommenderar inte att du attackerar andra på IRC som tillskansar sig OP-rättigheter
på ett taskigt sätt. Dessa människor vet i allmänhet vad de gör och behärskar alla tricks
som man kan använda på IRC. Så det är bäst att se och lära.

Ännu bättre är att köra "/ignore nick" och byta kanal. Eller starta din egen eller starta
en ny om du förlorar den du startade tidigare. Och kom ihåg att inte lämna över din kanal
till folk du inte känner eller litar på.

Så starta inte "krig" på IRC om du inte behärskar alla dessa tricks och försök inte 
"vinna" över någon som behärskar IRC bättre än du. Det kan sluta med att du förlorar ditt
Internet-konto.

_______________________________________________________________________________________________

Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna:

http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan)
http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan)
http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] 
http://www.silitoad.org 
http://www.anet-chi.com/~dsweir 
http://www.ilf.net/brotherhood/ 
http://www.magnum44.com/orion/entry.htm 
http://home.pages.de/~ristridin 
http://www.axess.com/users/wookie/Hack.htm 
http://home2.swipnet.se/~w-25277/ 
http://w1.340.telia.com/~u34002171/hhd.html 
(Svenska happy hacker sidan)
http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html

Du kan prenumerera på diskussions listan genom att skicka 
e-post till hacker@techbroker.com med meddelandet "subscribe"  . 
Det här är den amerikanska sidan och all info är på engelska.

Om du vill dela med dig av tips eller rätta saker du tycker är fel-
skicka meddelande till hacker@techbroker.com  
Om du vill skicka konfidentiell post (på engelska) - inga frågor
om illegal hacking - till mig - skicka till cmeinel@techbroker.com 
och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. 
Skicka alla flames till /dev/null.

Copyright 1997 Carolyn P. Meinel. 
Du kan lägga upp den här guiden på din sida om du 
behåller de här sista raderna:
_____________________________________________________________________________________

Svensk översättning: Björn Lindblom April 1998
______________________________________________________________________________________

Carolyn Meinel
M/B Research -- The Technology Brokers