| _______________________________________________________
Guia Para Hacking (essencialmente) Inofensivo Volume 1 Número 4 É dia de diversão
para os vigilantes! Como fazer com que os spammers da Usenet sejam expulsos
dos seus ISPs. Gostas quando o teu newsgroup sossegado é atingido por anúncios de números eróticos ou esquemas de pirâmide Faz Dinheiro Depressa? Se ninguém nunca fizesse esses gajos pagar pela sua arrogância, brevemente a Usenet estaria inundada por imundice. É mesmo tentador,não é, usar o teu conhecimento hacker para estourar estes gajos para o além. Mas muitas vezes isso é como usar uma bomba atómica para matar uma formiga. Porquê arriscar ir para a cadeia quando existem maneiras legais para manter estes vermes da Internet em retirada? Esta edição do Happy Hacker vai mostrar-te algumas maneiras de lutar contra o Spam da Usenet. Os spammers dependem de email falsificado e mensagens da Usenet. Como aprendemos no segundo GPHEI é fácil falsificar email. Bem, também é fácil falsificar mensagens Usenet. ***************** Aqui está um resumo rápido sobre como falsificar mensagens Usenet. Mais uma vez, usamos a técnica de telnetar para uma porta específica. A porta Usenet geralmente só está aberta a alguém com uma conta nesse sistema. Por isso precisarás de telnetar da tua conta shell no teu ISP de volta ao teu próprio ISP da seguinte maneira: telnet news.meuISP.com nntp onde substituis a parte do teu endereço de email que vem depois do @ pelo "meuISP.com". Também tens a hipótese de usar "119" em vez de "nntp". Com o meu ISP eu obtenho este resultado: Trying 198.59.115.25
... Agora que estamos subitamente num programa que não conhecemos muito bem, pedimos: help E obtemos: 100 Legal commands
Usa a tua imaginação com estes comandos. Além disso, se queres falsificar mensagens a partir de um ISP que não seja o teu, lembra-te que alguns computadores host da Internet têm uma porta nntp que não pede password ou então uma facilmente adivinhável, como "post". Mas -- pode ser um grande esforço encontrar uma porta nntp não defendida. Por isso, porque usualmente tens de fazer isto no teu próprio ISP, isto é mais difícil do que falsificar email. Lembra-te só enquanto falsificas mensagens Usenet que tanto o email como as mensagens Usenet falsificadas podem ser facilmente detectadas -- se souberes o que procurar. E é possível saber onde foram falsificadas. Logo que identifiques de onde vem o spam, podes usar a identificação da mensagem para mostrar ao administrador de sistemas quem expulsar. Normalmente não serás capaz de saber a identidade do culpado. Mas podes fazer com o seu ISP lhe cancele as suas contas! Claro, estes tipos Spammers muitas vezes ressurgem com outro ISP ingénuo. Mas estão sempre a fugir. E, ei, quando foi a última vez que recebeste um Crazy Kevin "Amazing Free Offer" (Espantosa Oferta Gratuita)? Se não fôssemos nós vigilantes da Net, as tuas caixas de correio e news groups estariam constantemente a ser bombardeadas com spam. E -- o ataque spam que estou prestes a ensinar-te é perfeitamente legal! Fá-lo e és de certeza um dos bons. Fá-lo numa festa e ensina os teus amigos a fazê-lo também. Não podemos ter demasiados vigilantes spam por aí fora. A primeira coisa que temos de fazer é examinar como ler cabeçalhos de mensagens Usenet e email. O cabeçalho é algo que mostra o caminho que esse email ou mensagem da Usenet tomou para chegar ao teu computador. Dá o nome de computadores host da Internet que foram usados na criação e transmissão de uma mensagem. Quando algo foi falsificado, contudo, os nomes dos computadores podem ser falsos. Alternativamente, o falsificador hábil pode usar nomes de hosts verdadeiros. Mas o hacker hábil pode saber se um host listado no cabeçalho foi mesmo usado. Primeiro, vamos experimentar um exemplo de spam Usenet falsificado. Um sítio mesmo bom para detectar spam é em alt.personals. Não é tão bem policiado por vigilantes anti-spam como, por exemplo, rec.aviation.military. (As pessoas enviam spam a pilotos aviadores por sua própria conta e risco!) Então aqui está
um exemplo maduro de spam enganoso, como mostrado pelo leitor de Usenet
do Unix, "tin": Claro que a primeira coisa que se torna evidente é o seu endereço email de resposta. Nós, os vigilantes da net costumávamos enviar sempre uma cópia de volta ao endereço de email do spammer. Num grupo com muitos leitores como o alt.personals, se apenas um em cada cem leitores atirar o spam à cara do spammer, isso é uma avalanche de bombardeamento mail. Esta avalanche alerta imediatamente os administradores de sistema do ISP para a presença do spammer, e adeus conta do spammer. Por isso, para atrasar a inevitável resposta vigilante, hoje em dia a maioria dos spammers usam endereços de email falsos. Mas para ter a certeza de que o endereço de email é falso, saio do tin e na prompt do Unix digito o comando: whois ozemail.com.au Obtemos a resposta: No match for "OZEMAIL.COM.AU" Isto não prova nada, contudo, porque o "au" no fim do endereço de email significa que é um endereço Australiano. Infelizmente o comando "whois" não funciona em muita da Internet fora dos EUA. O próximo passo é enviar algo chato para este endereço. Uma cópia do spam ofensivo é geralmente chato o suficiente. Mas é claro que volta com uma mensagem de endereço inexistente. A seguir vou para a página publicitada. Olha e contempla, é um endereço de email para este grupo, perfect.partners@hunterlink.net.au. Porque é que não estou surpreendida por ser diferente do endereço de email no spam do alt.personals? Podíamos parar por aqui e passar uma hora ou duas enviando coisas com anexos de 5MB para perfect.partners@hunterlink.net.au. Mmmm, talvez imagens de hipopótamos a acasalar? ***************************
Fogo! Como o bombardeamento mail é ilegal, não posso enviar aquela imagem de hipopótamos a acasalar. Por isso o que eu fiz foi enviar uma cópia daquele spam de volta a perfect.partners. Isto pode ser uma retaliação fraca. E brevemente aprenderemos como fazer muito mais. Mas mesmo enviar só uma mensagem de email para estes tipos pode tornar-se parte de uma grande onda de protestos que os expulse da Internet. Se apenas uma em cada mil pessoas que vejam o seu spam forem ao seu website e enviarem um email de protesto, podem ainda assim receber milhares de protestos a partir de cada spam. Este grande volume de email pode ser o suficiente para alertar o administrador de sistemas do seu ISP para o spamming, e adeus conta do spammer. Vê o que Dale Amon tem a dizer sobre o poder do protesto por email: "Não é necessário requerer um "bombardeamento". Apenas acontece. Quando eu vejo spam, automaticamente envio uma cópia da mensagem deles de volta para eles. Acho que milhares mais estão a fazer o mesmo. Se eles (os spammers) esconderem o seu endereço de resposta, eu encontro-o e publico-o se tenho tempo. Não tenho compaixão nem culpa acerca disso." O Dale é também o fundador e director técnico do maior e mais antigo ISP da Irlanda do Norte. Por isso ele conhece algumas maneiras de atacar os spammers. Estamos prestes a aprender uma delas. O nosso objectivo é
descobrir quem conecta este grupo à Internet, e eliminar essa conexão!
Acredita em mim, quando as pessoas que gerem um ISP descobrem que um dos
seus clientes é um spammer, geralmente não perdem tempo
a expulsá-lo. Já que o meu leitor (tin) não tem uma maneira de mostrar cabeçalhos, uso o comando "m" para enviar uma cópia desta mensagem para a minha conta shell. Chega alguns minutos mais tarde. Abro-a no programa de email "Pine" e obtenho um cabeçalho ricamente detalhado. Path:sloth.swcp.com!news.ironhorse.com!news.uoregon.edu! O primeiro item neste cabeçalho é definitivamente genuíno: sloth.swcp.com. É o computador que o meu ISP usa para hospedar os news groups. Foi o último link na cadeia de computadores que passaram este spam à volta do mundo. ***************************************** A seguir vamos fazer o óbvio. O cabeçalho diz que esta mensagem foi composta no host 203.15.166.46. Por isso telnetamos para este servidor nntp (porta 119): telnet 203.15.166.46 119 Recebemos: Trying 203.15.166.46
... Isto parece um item falso. Se isto era realmente um computador que trata de news groups, devia ter uma porta que aceita visitantes. Pode aceitar apenas um visitante no segundo que demora a verificar que eu não estou autorizada a usá-lo. Mas neste caso recusa qualquer conexão não importa porquê. Existe outra explicação: há uma firewall neste computador que filtra os packets de todos menos os utilizadores autorizados. Mas isto não é comum num computador que serve um serviço de encontros spammer. A seguir tento enviar um email a postmaster@203.15.166.46 com uma cópia do spam. Mas recebo: Date: Wed, 28 Aug 1996
21:58:13 -0600 The original message
was received at Wed, 28 Aug 1996 21:58:06 -0600 ----- The following
addresses had delivery problems ----- ----- Transcript of
session follows ----- ----- Original message
follows ----- OK, parece que a informação do servidor nntp também foi falsificada. A seguir verificamos o segundo item a partir do topo. Porque começa com a palavra "news", acho que também deve ser um computador que acomoda news groups. Por isso experimento esta porta nntp: telnet news.ironhorse.com nntp E o resultado é: Trying 204.145.167.4
... OK, sabemos agora que esta parte do cabeçalho faz referência a um servidor news verdadeiro. Ah, sim, também acabamos de saber o nome/endereço que o computador ironhorse.com usa para tratar dos news groups: "boxcar". Experimento o próximo item no caminho: telnet news.uoregon.edu nntp E obtenho: Trying 128.223.220.25
... OK, este também é um servidor news válido. Agora vamos saltar para o último item no cabeçalho: in2.uu.net. telnet in2.uu.net nntp Recebemos a resposta: in2.uu.net: unknown host Há algo suspeito aqui. Este computador host no cabeçalho não existe. Provavelmente é forjado. Vamos verificar o nome de domínio a seguir: whois uu.net O resultado é: UUNET Technologies,
Inc. (UU-DOM) Domain Name: UU.NET Administrative Contact,
Technical Contact, Zone Contact: Record last updated
on 23-Jul-96. Domain servers in listed order: NS.UU.NET 137.39.1.3 The InterNIC Registration
Services Host contains ONLY Internet Information Por isso uu.net é um domínio real. Mas como o computador host in2.uu.net no cabeçalho não aparece, esta parte do cabeçalho pode ser falsificada. (Contudo, também podem existir outras explicações para isto.) De volta ao cabeçalho, experimentamos a seguir: telnet news.mindspring.com nntp Obtenho: Trying 204.180.128.185
... Interessante. Não recebo um nome host específico para a porta nntp. O que significa isto? Bom, há uma maneira de saber. Vamos telnetar para a porta que dá a sequência de login. Essa é a porta 23, mas o telnet vai automaticamente para a 23 a não ser que receba outras instruções: telnet news.mindspring.com Mmmm, isto é divertido! Trying 204.180.128.166
... Nota quantos computadores host são testados pelo telnet neste comando! Devem especializar-se todos em serem servidores news, já que nenhum deles lida com logins. Este parece um bom candidato para a origem do spam. Existem 5 hosts servidores de news. Façamos um comando whois no nome de domínio a seguir: whois mindspring.com Obtemos: MindSpring Enterprises,
Inc. (MINDSPRING-DOM) Domain Name: MINDSPRING.COM Administrative Contact: Record last updated
on 27-Mar-96. Domain servers in listed order: CARNAC.MINDSPRING.COM
204.180.128.95 ********************* Eu cá acho que a Mindspring é provavelmente o ISP a partir do qual esta mensagem foi falsificada. A razão é que esta parte do cabeçalho parece genuína, e oferece muitos computadores onde falsificar uma mensagem. Uma carta para o contacto técnico em hostmaster@mindspring.com com uma cópia desta mensagem pode obter um resultado. Mas pessoalmente, eu simplesmente iria ao seu website e enviaria um protesto a partir daí. Mmmm, talvez uma imagem de 5MB de hipopótamos a acasalar? Mas o administrador de sistemas Terry McIntyre avisou-me: "Uma pessoa não precisa de atirar ficheiro de megabytes (a não ser, claro, que se está a enviar uma cópia da peça ofensiva, para que o remetente saiba qual foi o problema..). A Lei do Grande Número de Ofendidos funciona em tua vantagem. O spammer envia uma mensagem para "alcançar e tocar" milhares de potenciais clientes. Milhares de vítimas reenviam notas delicadas sobre o comportamento impróprio do Spammer. A maioria dos spammers percebem rapidamente. Uma nota - uma_coisa_errada a fazer é enviar uma mensagem ao news group ou lista sobre a impropriedade de qualquer mensagem prévia. Sempre, sempre, usa o email privado para fazer tais queixas. Se não, o principiante descuidadamente amplifica o nível de barulho dos leitores do news group ou lista de email." OK, estou a terminar esta coluna. Espero ansiosamente as tuas contribuições para esta lista. Diverte-te. _________________________________________________________ |