| Isto
foi escrito no amanhecer da guerra contra os spammers, em 1996. Hoje em
dia, o spam por email é um problema mais sério, e os spammers
são muitos mais sofisticados. Para informação mais
actualizada, vê o livro The Happy Hacker.
______________________________________________________ Guia Para Hacking (essencialmente) Inofensivo Volume 1 Número 5 É dia de diversão
para os vigilantes outra vez. Como fazer com que os spammers de email
sejam expulsos dos seus ISPs. Então, tens estado na Usenet a xingar spammers? É divertido, não é? Mas se já enviaste muitas mensagens para news groups da Usenet, notarás que logo depois de enviares uma mensagem, muitas vezes receberás email spam. Isto deve-se mais ao Lightning Bolt, um programa escrito por Jeff Slayton para tirar grandes volumes de endereços de email a partir de mensagens da Usenet. Aqui está um que eu recentemente recebi: Received:from mail.gnn.com
(70.los-angeles-3.ca.dial-access.att.net "FREE" House and lot in "HEAVEN" Reserve yours now,
do it today, do not wait. It is FREE TO: Saint Peter's Estates
This is a gated community and it is "FREE". Total satisfaction for
2 thousand years to date. É um bom palpite pensar que este spam tem um cabeçalho falsificado. Para identificar o culpado, usamos o mesmo comando que usamos com o spam da Usenet: whois heaven.com Recebemos a resposta: Time Warner Cable Broadband
Applications (HEAVEN-DOM) CHEX.HEAVEN.COM 206.17.180.2
Com isto concluímos que isto ou é genuíno (pois sim!) ou uma falsificação melhor do que a maioria. Por isso tentemos usar o finger em FREE@heaven.com. Primeiro, vamos ver o endereço email de resposta: finger FREE@heaven.com Obtemos: [heaven.com] Há várias razões possíveis para isto. Uma é que o administrador de sistemas do heaven.com desactivou a porta do finger. Outra é que o heaven.com está inactivo. Pode estar num computador host que está desligado, ou talvez apenas um orfão. *********************
Podemos testar estas hipóteses com o comando ping. Este comando diz-te se um computador está actualmente ligado à Internet e quão boa é a sua conexão. O ping, como a maioria das ferramentas hacker fixes, pode ser usado para obter informação ou como um meio de ataque. Mas eu vou fazer-te esperar num suspense horrível por um GPHEI mais recente para te dizer como algumas pessoas usam o ping. Além disso, sim, seria *ilegal* usar o ping como uma arma. Por causa do potencial do ping para a desordem, a tua conta shell pode ter desactivado o uso do ping para o utilizador casual. Por exemplo, no meu ISP tenho de ir para a directoria correcta para o utilizar. Por isso dou o comando: /usr/etc/ping heaven.com O resultado é: heaven.com is alive ***********************
Bom, esta resposta quer dizer que o heaven.com está ligado à Internet neste momento. Será que permite logins? telnet heaven.com Isto deve levar-nos a um ecrã que nos pedirá para dar o username e password. O resultdo é: Trying 198.182.200.1
... OK, agora sabemos que as pessoas não podem entrar remotamente no heaven.com. Por isso não parece mesmo um sítio a partir do qual o autor deste spam tenha enviado este email. Que tal chex.heaven.com? Talvez seja o sítio onde o spam nasceu? Digito: telnet chex.heaven.com 79 Esta é a porta finger. Obtenho: Trying 206.17.180.2
... Depois tento obter um ecrã que me pediria para fazer o login com username, mas mais uma vez recebo "Connection timed out". Isto sugere fortemente que nem o heaven.com ou o chex.heaven.com estão a ser usados por pessoas para enviar email. Por isso, isto é provavelmente um link falsificado no cabeçalho. Vejamos outro link no cabeçalho: whois gnn.com A resposta é: America Online (GNN2-DOM)
Chiça! O GNN.com
pertence à America Online. A America Online, como a Compuserve,
é uma rede de computadores que tem gateways para a Internet. Por
isso, não é provável que o heaven.com esteja a enviar
email através da AOL, pois não? Seria quase como descobrir
um cabeçalho que afirma que foi enviado através de uma WAN
de alguma empresa da Fortune 500. Por isso, isto ainda dá mais
provas que o primeiro link no cabeçalho, heaven.com, foi falsificado. Parece lógico, não? Ah, mas não saltemos para conclusões. Isto é apenas uma hipótese e pode estar errada. Por isso vamos verificar o link restante neste cabeçalho. whois att.net A resposta é: AT&T EasyLink Services
(ATT2-DOM) Outro domínio válido! Por isso esta é uma falsificação razoavelmente engenhosa. O culpado pode ter enviado email de qualquer computador do heaven.com, gnn.com ou att.net. Sabemos que o heaven.com é muito improvável porque nem sequer conseguimos que a porta de login funcione. Mas ainda temos a gnn.com e a att.net como as casas suspeitas deste spammer. O próximo passo é enviar uma cópia deste spam *incluindo cabeçalhos* para o postmaster@gnn.com (geralmente uma boa suposição do endereço de email da pessoa que recebe queixas) e runge@AOL.NET, que está listado pelo whois como o contacto técnico. Também devemos enviar um email a postmaster@att.net (a boa suposição) ou hostmaster@ATTMAIL.COM (contacto técnico). Envia também um email a postmaster@heaven.com, abuse@heaven.com e root@heaven.com para lhes dizer como o seu nome de domínio está a ser usado. Presumivelmente uma das pessoas que leiam este email usarão a identificação da mensagem de email para descobrir quem falsificou este email. Logo que o culpado seja descoberto, ele ou ela geralmente é expulso do ISP. Mas há um atalho. Se já recebeste spam deste tipo, muitas outras pessoas provavelmente também receberam. Existe um news group na Usenet onde as pessoas podem trocar informação sobre spammers tanto da Usenet como de email. news.admin.net-abuse.misc. Vamos fazer-lhe uma visitinha e ver o que as pessoas possam ter descoberto sobre o FREE@heaven.com. Como foi previsto, encontro uma mensagem sobre esta vigarice heaven: From: bartleym@helium.iecorp.com
(Matt Bartley) (snip) Sem dúvida um cabeçalho From: inventado que por sorte atingiu um nome de domínio verdadeiro. Os postmasters em att.net, gnn.com e heaven.com notificados. A gnn.com já afirmou que veio da att.net, forjada de maneira a parecer que tinha vindo da gnn.com. Claramente o cabeçalho Received: é inconsistente. Agora sabemos que se te quiseres queixar sobre este spam, o melhor sítio para enviar queixas é postmaster@att.net. Mas quão bem é que escrever uma carta de reclamação funciona? Eu perguntei ao proprietário de um ISP Dale Amon. Ele respondeu: "A partir do pequeno número de mensagens spam que eu tenho estado a ver -- dado o número de gerações de crescimento exponencial da net que eu vi em 20 anos -- o sistema parece ser *fortemente* auto-regulador. Sistemas governamentais e legais não funcionam assim tão bem. Eu aplaudo os esforços da Carolyn nesta área. Ela tem toda a razão. Os spammers são controlados pelo mercado. Se suficientes pessoas estão irritadas, elas respondem. Se essas acções causam problemas para um ISP, isso põe no seu interesse económico largar clientes que causam tal dano, isto é, os spammers. O interesse económico é muitas vezes um incentivo muito mais forte e muito mais efectivo de que o requerimento legal. E lembra-te que eu digo isto como o Director Técnico do maior ISP da Irlanda do Norte." Que tal processar os spammers? Talvez um monte de nós possam montar um processo judicial e levar estes tipos à bancarrota? O administrador de sistemas Terry McIntyre argumenta, "Eu sou contra tentativas de processar spammers. Nós já temos um mecanismo de auto-vigilância decente implementado. Considerando que metade de toda a gente na Internet são principiantes (devido à taxa de crescimento de 100%), eu diria que a auto-vigilância é maravilhosamente efectiva. Convida o governo para fazer o nosso trabalho por nós, e alguns burocratas malditos escreverão Regras e Regulamentos e Penalidades e todas essas besteiras. Já temos disso o suficiente no mundo fora da net, não convidemos nada disso a seguir-nos para a net." Então parece que os Profissionais da Internet preferem controlar o spam tendo vigilantes net como nós a perseguir os spammers e denunciá-los aos seus ISPs. Parece-me divertido! De facto, seria justo dizer que sem nós, vigilantes da net, a Internet provavelmente pararia de funcionar devido à carga que estes spammers instalariam nela. OK, estou a terminar esta coluna. Espero ansiosamente as tuas contribuições para esta lista. Diverte-te como um vigilante -- e não sejas preso! _________________________________________________________ |