Content:
1. Who is who
2. Intro
3. Action
4. Final
5. Happy End
Это реальный случай о котором рассказывают непосредственные
участниками событий. Разумеется вся конфиденциальная информация
удалена, а имена изменены, но в остальном изложение строго
документально.
Все приведенные имена, адреса и никнэймы являются вымышленными, а их
возможное совпадение с именами, адресами или никнэймами реальных лиц
- чистая случайность.
1. Who is who
=============
Jarex
=====
Я далеко не хакер, я просто программист. Да, я когда-то считал себя
хакером, но это было давно, когда и я сам и компьютеры были еще
совсем маленькими, и были они далеко не у каждого. А у меня был, и я
уже умел ломать программы, поэтому это было небезосновательно. С тех
пор уже много времени прошло, сейчас я стараюсь хотя бы просто
следить за тем, что происходит в этой области. И в том, что мне
удалось обнаружить хакера и помочь его поймать есть большая доля
везения. Может некоторые мои советы не имели смысла, но, с другой
стороны, лучше принять какие-либо меры, чем потом жалеть, что ты
чего-то не сделал. Некоторые действия с моей стороны были не совсем
правильны (эдак самокритично :-)
Ralph
=====
Обыкновенный программист. Про хакеров только читал.
Vadim
=====
Not available
Constantin
==========
Not available
2. Intro
========
Subject: !!!!!!! Attention!!!!!!!
Date: Wed, 01 Sep 1999 20:52:18 +0500
From: Vadim
To: List
Здравствуйте всем !
Дамы и Господа !!!
Господа Модераторы !!!
Случилось страшное !
Мои корреспонденты начали получать от моего имени и с моего адреса
корявые письма с наездами и матами!!!! :(((((((
Что это - происки конкурентов или какой-нибудь ###%$#%^^%^#$ (подлец
самое мягкое слово) я не знаю :((( Пытаюсь выяснить всеми силами,
но ...
Так что если НЕ ДАЙ БОГ в лист упадет нечто подобное, НЕ ДУМАЙТЕ на
меня :((( Честно, я на такое не способен.
И подскажите ради бога и побыстрее, как можно этого ... вычислить как
можно точнее! Что с ним сделать, я уж как-нибудь и сам придумаю ...
PS. Даже служебная информация писем моя :(((((
3. Action
==========
Jarex
=====
Я знал Вадима как весьма активного участника листа, его письма было
интересно читать, так что же не помочь человеку? Служебная
информация та же? Очень интересно на нее посмотреть. Послал запрос.
Ralph
=====
Первая мысль была - троянец. Последнее время они повсеместно.
Наверняка, думаю, гад, адреса из книжки спер и автоматом всем
гадости рассылает. Помнится, и ведущий какой-то рассылки недавно
жаловался, что ему программку подсунули, которая с его адреса
всякую фигню рассылала.
Тут же письмо написал - проверь реестр, что там сидит и.т.д.
И задумался. А откуда, вдруг, троянец? Вадим - человек серьезный,
в игрушки не играет, антивирусный софт на машине стоит - писал,
firewall, знаю, тоже установлен. Стер письмо, не стал отсылать -
информации нет, подождем, что дальше будет.
Subject: about Vadim
Date: Wed, 01 Sep 1999 18:28:06 +0400
From: Jarex
To: Ralph
Похоже х. опять добрался до ящика Вадима. Сегодня я ничего от него не
получил, хотя он обещал прислать материалы. Мои послания
(заPGPрованые) уходят словно в черную дыру. Видно х. на меня здорово
разозлился - я ему на ночь оставил послание.
По всей видимости перехвачен все-таки провайдер. Но самое главное -
он не затаился, а активно действует. Сейчас я попытаюсь выйти на
разговор с ним. А заодно попробую связаться с партнером Вадима,
попробую оповестить через него.
А теперь о грустном. сейчас я не могу много времени проводить в
онлайне (а почта у меня через онлайн) - давно не проверял свой счет у
провайдера и времени осталось очень мало, а надо дотянуть до
понедельника. Поэтому не могу эффективно бомбить ящик Вадима. А
предупредить его было бы неплохо. Можно попробовать снова отправить
послание через какую-нибудь конфу. Или найти кого-нибудь с хорошим
подключением.
Пока план предлагается такой. Как-то связаться с Вадимом и получить
от него максимум информации. Да, тут еще надо составить точный
список, что нам нужно и конкретное послание Вадиму, что ему
предпринять. Я долблю ящик Вадима, пытаюсь передать шифрованное
сообщение, и вызвать х. на разговор. Под этот шум пропускается
сообщение в конфе и, если получится, провести сообщение через
Вадимова партнера. Сообщение примерно такого плана:
Вадим! Твой ящик снова контролируется. Скорее всего х. обладает
правами администратора в системе провайдера. Свяжись с провайдером,
пусть поменяют все администраторские пароли. На своем компе переставь
весь софт.
Получить от него полные тексты писем-мистификаций.
Subject: Re: !!!!!!! Attention!!!!!!!
Date: Wed, 01 Sep 1999 23:37:21 +0500
From: Vadim Gordon
To: Jarex
Hi !
Your wrote:
Мои корреспонденты начали получать от моего имени и с моего адреса
корявые письма с наездами и матами!!!! :(((((((
Jarex Пришли заголовки этих писем (желательно нескольких).
Мне полностью переслали только одно письмо, остальные трое только
сообщили о факте :((( Я им кинул запрос, но могут выслать теперь
только завтра в рабочее время :((
А вот что мне прислали, все параметры вроде мои:
Return-Path:
Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ; Wed, 01 Sep
1999 01:34:03
-0800
Received: from default-194-113-65-32.pool-1.ic.kz
(default-194-113-65-32.pool-1.ic.kz
[194.113.65.32])
Wed, 1 Sep 1999 13:59:41 +0600
Date: Wed, 1 Sep 1999 13:46:26 -0800
From: Vadim Gordon
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <1573.990901@postbox.kst.kz
To: "Jenny Redis "
Subject: vse zaebis?
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----------B518E1BB15C945C"
X-Rcpt-To:
X-UIDL: 936193493.062
Status: U
Ну и далее всякие непотребности :(((
Это мне пришло с просьбой объяснить, что это такое, но ИМХО, в
заголовке чего-то не хватает, хотя все данные мои :(((
Jarex
======
Смотрю заголовок от настоящего письма:
Received: (qmail 5513 invoked by alias); 1 Sep 1999 16:49:15 -0000
Received: (qmail 5424 invoked from network); 1 Sep 1999 16:49:10 -0000
Received: from unknown (HELO lord.ic.kz) (194.113.65.1) by pop.onelist.com
with SMTP; 1 Sep 1999 16:49:10 -0000
Received: from default-194-113-65-17.pool-1.ic.kz
(default-194-113-65-17.pool-1.ic.kz [194.113.65.17]) by lord.ic.kz
(8.9.1/8.9.1) with ESMTP id WAA30197 for ; Wed, 1 Sep 1999 22:48:03 +0600
Date: Wed, 1 Sep 1999 22:46:12 +0500
From: Vadim
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <1948.990901@postbox.kst.kz
To: List
Mailing-List: list anytalk@onelist.com; contact anytalk-owner@onelist.com
Delivered-To: mailing list anytalk@onelist.com
Precedence: bulk
List-Unsubscribe:
Reply-to: anytalk@onelist.com
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: !!!!!!! Attention!!!!!!!
X-Mozilla-Status: 8003
X-Mozilla-Status2: 00000000
X-UIDL: 5914
Действительно очень похоже. Посмотрим, что можно выяснить.
Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ;
Wed, 01 Sep 1999 01:34:03 -0800
Это первая строчка заголовка из письма хакера. Получено сервером
получателя с сервера провайдера и стоит правильный IP-адрес. IP-адрес
отправителя на сервере получателя проставляется автоматически, и если
имя можно подделать, то IP-адрес - нет. Единственный способ это
сделать - положить письмо непосредственно в ящик получателя в обход
всей почтовой системы. А для этого нужны права администратора, и
маловероятно что хакер владеет правами администратора на серверах
всех получателей.
Предположим, пока, что письмо действительно получено с сервера
провайдера Вадима.
Received: from default-194-113-65-32.pool-1.ic.kz
(default-194-113-65-32.pool-1.ic.kz
[194.113.65.32])
Wed, 1 Sep 1999 13:59:41 +0600
Вторая строчка.
Неполная. Не написано кем принято и для кого. По всей видимости,
просто недослано. Но очевидно, что принято провайдером от абонента.
Конкретного абонента по IP вычислить невозможно, потому что адреса
присваиваются динамически при каждом подключения из пула адресов.
(Пул - это некоторый диапазон адресов для присвоения абонентам,
которые подключаются через модем).
Если это не подделка, то могло быть отправлено с любого логина.
Подделать это можно только положив сообщение непосредственно в
очередь исходящих сообщений у провайдера. Но для качественной
подделки придется помучиться. При каждом подключении IP-адрес должен
меняться. Время тоже должно быть немного смещено относительно времени
написания:
Date: Wed, 1 Sep 1999 13:46:26 -0800
Но что это такое? Откуда здесь -0800? Это число - часовой пояс. -8ч
от Гринвича это, если верить комментариям в настройках Windows -
Тихоокеанское время США и Канада. Могло ли письмо быть отправленным
оттуда?
Однозначно нет, так как действительного смещения времени на 14 часов
относительно времени у провайдера нет, и похоже, что письмо было
написано, потом хакер подключился и отправил его. Причем, на самом
деле он находится в одном часовом поясе с провайдером.
Как такая ошибка могла быть допущена хакером?
Скорее всего, все служебные поля заполнялись не вручную хакером, а
автоматически, то есть сообщение было сформировано обычной почтовой
программой, только сконфигурированной под Вадима, и, скорее всего,
тем же самым The Bat!. И возможно (хотя и необязательно), им же и
отправлено.
Если хакер уверен, что его "не вычислить", то скорее всего он так и
поступил - зачем мучиться, тем более, что результат будет тем же.
Другой вариант, что атака производится удаленно, то есть хакер
физически находится в другом городе, а к провайдеру подключается не
напрямую, а через Сеть. Это возможно, подделка сделана качественно,
но маловероятно, что при этом он находится в одном часовом поясе с
Вадимом. Временное смещение может быть подделано, но в этом случае
часовой пояс был бы тоже правильно выставлен.
Я решил, что хакер находится в одном городе с Вадимом. Либо у него
свой логин у провайдера, либо чужой, а, может быть даже, логин
Вадима. И не исключено, что он имеет права администратора у провайдера.
Но все это пока догадки - информации чрезвычайно мало. По сути,
кроме эти двух заголовков да десятка старых писем Вадима в лист, у
меня ничего нет. По письмам Вадима ясно, что IP-адрес присваивается
динамическ и нужно больше фальшивых заголовков. Вариант удаленного
хака можно попробовать вычислить, сравнив IP-адреса в реальных и
фальшивых письмах. Если в фальшивых письмах адреса придумываются, то
это должно быть заметно.
А вот это что такое?
Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ;
Wed, 01 Sep 1999 01:34:03 -0800
Здесь часовой пояс тоже -0800 ! Хотя здесь есть действительное
смещение времени, но, все равно, очень подозрительно. Может кто-то из
знакомых так глупо шутит?
Date: Thu, 02 Sep 1999 08:32:23 +0400
Послал письмо с просьбой прислать побольше заголовков.
Date: Thu, 02 Sep 1999 09:34:48 +0400
И еще, вдогонку - посоветовал принять некоторые меры безопасности.
Вдогонку. Скорее всего просто стащили пароль и входят под твоим
логином или еще проще - это может сделать любой человек,
зарегистрированный у твоего провайдера. Смени логин / пароль, да
свяжись с провайдером, отправь им заголовки, пусть выяснят, кто
подключался во время отправки этих посланий.
На это письмо ответа я не получил. Думаю, до Вадима оно вообще не
дошло.
Subject: Re: !!!!!!! Attention!!!!!!!
Date: Thu, 02 Sep 1999 09:45:06 +0500
From: Vadim
To: Jarex
Dear Jarex,
Thursday, September 02, 1999, 9:32:23 AM, you wrote:
Jarex Присылай. Да, еще интересно посмотреть заголовки писем с жалобами,
примерно так:
Jarex заголовок письма с жалобой
Jarex присланный в этом письме заголовок.якобы твоего письма
Тот заголовок, что я прислал, был из письма из Штатов. Там мои
корреспонденты русского языка не знают и просто полностью приаттачили
письмо с просьбой повторить его на английском языке :(( А текст
оригинала был написан транслитом, маразм с матами :(((
Jarex и т.д. - чтобы понятно было, кто на что жаловался. И еще - ты
действительно знаком с людьми, кому
Jarex попали сообщения от твоего имени, или они как с неба свалились? В
первом случае не исключено, что
Jarex сообщения действительно поступают с твоего компа. Во втором - не
исключена мистификация.
Я получил сообщения от четырех корреспондентов. США, Москва, Астана и
Алмата. Двое из них мои поставщики, двое самые крупные клиенты :( Так
что мистификацией здесь и не пахнет :((( Больше похоже на работу
нечистоплотного конкурента, но весь вопрос в том, как его вычислить :(
Коллектив у меня небольшой, люди вроде проверенные, да и невыгодно им
самим себе пакости делать :((( Вроде никого не обижаю, лучшего места
им не найти.
Сейчас кинул ВСЕМ своим корреспондентам (а их более сотни)
предупреждения и просьбы немедленно пересылать письма мне, но вопрос
еще и в том, что во многих конторах на почте сидят дамы и получив
галимые маты не станут их сохранять, а тем более пересылать :(((
Мда, клиенты так не шутят. Допустим, что совпадение часовых поясов -
случайность. Но раз замешаны клиенты, то дело серьезное. Во-первых,
если хакер рассылает подделки выборочно, то ему известны адреса, а
откуда они могут быть известны? За безопасностью, знаю, Вадим
следит, машина защищена AtGuard'ом. И, к тому же, Dial-Up, подолгу в
сети не бывает, времени для атаки не так много.
С другой стороны, если у хакера права администратора, или, хотя бы,
логин Вадима, он может читать почту из ящика Вадима, не удаляя ее. И
адреса у него оттуда. Но кто же этот хакер - хулиган-одиночка или
наемник?
Date: Thu, 02 Sep 1999 23:23:07 +0400
В любом случае все это слишком серьезно. Не дожидаясь новых писем, я
написал Вадиму все мои соображения.
Это была моя первая и самая серьезная ошибка.
Еще хуже, что сообщение было отослано поздно. В это время Вадим ящик
уже не проверял - с учетом разницы у него уже ночь. И письмо
пролежало до утра.
А утром ...
Subject: Re: !!!!!!! Attention!!!!!!!
Date: Fri, 03 Sep 1999 09:19:13 +0500
From: Vadim
To: Jarex
Dear Jarex,
Friday, September 03, 1999, 11:23:07 AM, you wrote:
Jarex Vadim wrote:
Я получил сообщения от четырех корреспондентов. США, Москва, Астана и
Алмата. Двое из них мои поставщики, двое самые крупные клиенты :( Так
что мистификацией здесь и не пахнет :((( Больше похоже на работу
нечистоплотного конкурента, но весь вопрос в том, как его вычислить :(
Коллектив у меня небольшой, люди вроде проверенные, да и не выгодно им
самим себе пакости делать :((( Вроде никого не обижаю, лучшего места
им не найти.
Сейчас кинул ВСЕМ своим корреспондентам (а их более сотни)
предупреждения и просьбы немедленно пересылать письма мне, но вопрос
еще и в том, что во многих конторах на почте сидят дамы и получив
галимые маты не станут их сохранять, а тем более пересылать :(((
Jarex ОК, будем исходить из того, что это злой умысел. Тогда либо кто-то
Jarex просто стянул у тебя адресную книгу и
Jarex решил побаловаться, либо это действительно целенаправленные действия.
Jarex Вопрос первый, как твоя адресная книга оказалась у хакера? Первое
Jarex - офисная сеть (кстати, она подключена
Jarex к инету?), твои сотрудники. Против - ты уже писал. Второе - поломана
Jarex непосредственно твоя машина, но я
Jarex почитал твои послания, кажется машина у тебя защищена (например ты
Jarex упоминал AtGuard). Третье - возможно
Jarex поломан провайдер, и хакер получил возможность читать твою
Jarex корреспонденцию. Да и провайдер кажется у тебя не
Jarex очень, ты как то писал о проблемах с почтой.
Jarex Вопрос второй, как такая мистификация может иметь место. Конечно,
Jarex по одному заголовку трудно что-либо
Jarex сказать. Во-первых, твоя машина. Но я уже говорил о защищенности,
Jarex нужно сначала закатать послание на твою
Jarex машину, а потом чтобы у тебя стояла программа, которая его отправит.
Jarex Да и интервал времени между написанием
Jarex письма и его отправкой (13:46:26 и 13:59:41) более похож на то, что
Jarex хакер написал послание, потом
Jarex подсоединился и отправил. Поэтому более вероятен вариант, что письмо
Jarex отправлено через твоего провайдера,
Jarex причем тоже с диалапа, причем не исключено, что под твоим же логином.
Jarex О том, что хакер подсоединился с
Jarex диалапа говорит его имя (default-194-113-65-32.pool-1.ic.kz) и IP
Jarex ([194.113.65.32]), которые принадлежат
Jarex твоему провайдеру. Этот вариант наиболее вероятен, все прочие просто
Jarex очень трудноосуществимы. Причем, если
Jarex послания отправлены с твоего логина (что, в общем-то необязательно),
Jarex то найти его будет легче, нужно просто
Jarex сравнить логи действительно твоих подключений (вроде у тебя стоит
Jarex NetMedic) с логами провайдера. Если же
Jarex отправлено с другого логина, то искать можно по времени отправки (в
Jarex заголовках). Да, еще, обрати внимание на строчку в заголовке: Date:
Jarex Wed, 1 Sep 1999 13:46:26 -0800 - выставлен другой
Jarex часовой пояс (-0800), причем действительного расхождения во времени с
Jarex почтовым сервером (13:59:41 +0600)
ага насоветуешь козел я уже исправил попробуй теперь поймать обламаешся :-)
Jarex нет! это означает, что на самом деле просто часовой пояс неправильно
Jarex выставлен в настройках ОС. Эта метка,
Jarex если она проявляется во всех письмах может очень сузить круг поиска.
Jarex Да проверь, нет ли среди твоей почты
Jarex посланий с такими метками, причем искать нужно не среди
Jarex корреспондентов, действительно находящихся в этом
Jarex часовом поясе, например тот же ... (кстати, именно эта
Jarex строка: Received: from lord.ic.kz
Jarex ([194.113.65.1]) by cobraelec.com ; Wed, 01 Sep 1999 01:34:03 -0800,
Jarex навела меня на мысль о мистификации).
Jarex ЗЫ. А заголовки все же пришли.
ну гляди
и чо?
Jarex --
Jarex Best regards
Jarex Jarex
сынки вы еще меня поймать :-) слабо
Сначала подумал - чем это я так обидел Вадима? Не хочет заголовки
прислать, говорит, что не поймать его ... Он что, решил, что я и
есть тот самый хакер, что его поломал? Что хочу повести его по
ложному следу?
Уже решил было совсем обидеться и отойти от дела, но еще раз прочитал
письмо и заметил в середине: "Я УЖЕ ИСПРАВИЛ". И тут я все понял!
Понял свою ошибку. Понял, что выболтал хакеру все, что я о нем знаю.
Понял, что письмо пролежало в ящике всю ночь и хакер действительно
читает всю переписку Вадима. Понял, что до Вадима мои письма не дойдут и
что хакер может выборочно удалять почту.
Но, с другой стороны, это было и ошибкой хакера! Он сам заявил о
своем существовании. Отпали все другие варианты. Остался лишь один
вопрос - есть ли у него права администратора? Ведь все что он пока
делал, можно было сделать имея лишь только логин и пароль Вадима.
Следующее письмо укрепило мою уверенность.
Subject: Header
Date: Fri, 03 Sep 1999 10:16:57 +0500
From: Vadim
To: Jarex
Jarex, приветствую!
Я только сегодня получил еще один заголовок. Это из Москвы, от моего
партнера.
Received: from lord.ic.kz [194.113.65.1] by mx04 via mtad (2.6) with
ESMTP id
889DiaTYp0164M04; Wed, 01 Sep 1999 19:51:06 GMT
Received: from default-194-113-65-17.pool-1.ic.kz
(default-194-113-65-17.pool-1.ic.kz
[194.113.65.17]) by lord.ic.kz (8.9.1/8.9.1) with ESMTP id BAA32690 for
;
Thu, 2 Sep 1999 01:11:44 +0600
Date: Thu, 2 Sep 1999 01:11:00 -0800
From: Vadim
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <349.990902@postbox.kst.kz
To: Konstantin
Subject: как жизнь?
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Что-нибудь есть по первому заголовку и моему последующему письму еще
дополнительное? Честно говоря, я пока в трансе, не знаю, что делать :(
Провайдера напряг, дал ему лог свой (у меня NetMedic стоит, там лог
ведется). Провайдер сказал, что проверит, но предупредил, что вряд ли
сможет что выяснить :(((_
Мое письмо действительно не дошло ! Причем Вадим опоздал всего на
несколько часов. Проверь он почту часов в восемь утра, и все было бы
ОК. Но, с другой стороны, я удостоверился в существовании хакера.
Теперь стоит две задачи: предупредить Вадима и сделать это так, чтобы
не дать хакеру никакой информации.
Ясно, что теперь мои сообщения будут тщательно фильтроваться. Надо
послать от чужого имени. Подделать под обычную почту Вадима. Проблема
... А что "обычно" Вадим получает? О, знаю. Он подписан на многие
рассылки, надо подделаться под одну из них! Но подделаться так,
чтобы мое послание было замечено Вадимом, и чтобы ничего не было
заметно при поверхностном просмотре.
Нужно взять сообщение на тему, за которой Вадим следит и "вклеить" в
него заплатку, как бы продолжающую дискуссию, но заметную тем, кто
следит за обсуждением.
Я решил подделать его под Ralph. Конечно, отследив заголовок, можно
выяснить, что послал его я, да и "вклейку" тоже можно заметить, но
сомнительно, что хакер станет присматриваться к невинному сообщению
из конференции. Наверняка, он тщательно следит только за деловыми
партнерами Вадима, а теперь вот еще и за мной.
Прежде всего нам нужен канал связи. Даже если хакер полностью
контролирует почтовый ящик у провайдера, то маловероятно, что он
доберется до веб-почты.
Я уже подготовил подделку к отправке, но решил предупредить Ralph'a.
А, собственно, почему бы и не попросить его самого отправить
сообщение? Тогда обнаружить предупреждение будет еще сложнее.
Subject: !!!!!!! Attention !!!!!!!
Date: Fri, 03 Sep 1999 15:14:36 +0400
From: Jarex
To: Ralph
Сорри, что беспокою, но. Если ты помнишь недавно в толках пробегало
сообщение от Вадима, что кто-то фальсифицирует его почту. Так вот,
оказывается, что хакер поломал провайдера и имеет полный контроль над его
ящиком, и сейчас он просто удаляет мои письма с предупреждением, да прислал
мне сообщение типа "вы меня никогда не поймаете". И поэтому _я_
связаться с Вадимом не могу. Я очень надеюсь, что хакер не читает
_всю_ почту, и поэтому я хочу запостить сообщение в толк от твоего
имени типа такого (см. ниже). Специально замусоренное. Эту тему Вадим
поддержал, и я надеюсь, что он найдет то что адресовано ему. Надеюсь
на твою помощь.
Subject: Re: Hey, List already Closed?
Date: Fri, 03 Sep 1999 17:41:06 +0300
From: Ralph
To: List
Your wrote:
RAS Вы пишете: Hey, List already Closed?
RAS =============================
RAS Похоже на правду. Модератор наконец использовал последний
RAS довод ОВНЕРА и закрыл лист, непорядочно, по моему мнению,
RAS по отношению к подписчикам. Но не впервой! Я хотел написать
RAS ему после последнего его выступления уже в <skipped>
RAS но так и не собрался, а зря. Хотя, по-моему, правила листа не запрещают
RAS обсуждать деятельность других листов :))).
RAS Мне кажется, что создание нового листа послужило причиной и
RAS поводом для закрытия. Теперь скорее всего
RAS часть подписчиков вернется назад в первый лист, а часть, (в основном
RAS новички) так как не знают о такой возможности - просто будет его
искать.
RAS И найдет нас :))))
Сорри перед всеми и в первую очередь перед Модераторами!!! Просто
сейчас утро и люди на связь не вышли!!! Я никого не подменяю, я просто
"ранняя пташка" :))))))))))))))))))
ОГРОМНАЯ ПРОСЬБА: ЭТУ ТЕМУ НЕ ПОДНИМАТЬ И ПОДОЖДАТЬ ПИСЬМА ОТ
МОДЕРАТОРОВ С РАЗЪЯСНЕНИЕМ ПОЗИЦИИ ТОЛКА!!!!!
Иначе на такой флейм скатимся :((((
Вопрос конечно всех касается и всех задевает за живое :( Но давайте
все же подождем дальнейших событий.
Похоже на правду. Модератор наконец использовал последний
довод ОВНЕРА и закрыл лист, непорядочно, по моему мнению,
по отношению к подписчикам. Но не впервой ! Я хотел написать
ему после последнего его выступления уже в <skipped>
но так и не собрался, а зря. Хотя, по моему, правила листа не запрещают
обсуждать деятельность других листов :))).
Мне кажется, что создание нового листа послужило причиной и
поводом для закрытия. Теперь скорее всего
часть подписчиков вернется назад в первый лист, а часть, ( в основном
новички) так как не знают о такой возможности - просто будет его искать.
И найдет нас :))))
Всем сорри за такое странное послание но ситуация очень серьезная. вадим
я очень надеюсь, что ты сможешь это прочитать. вся твоя почта контролируется,
и я не смог с тобой связаться. срочно заведи ящик на любой веб-почте и свяжись со
мной - Jarex. Спасибо Ralph за помощь.
--
Большинство руководителей фирм по разработке программного обеспечения
рассматривают Microsoft как самую алчную и подлую акулу в океане.
- Roger McName, "Sobering Up", "Upside", March 1993
--------------------------- List Sponsor -------------------------------
List: your connection to online communities.
To unsubscribe from List you must to
send EMPTY message to address:
--
Большинство руководителей фирм по разработке программного обеспечения
рассматривают Microsoft как самую алчную и подлую акулу в океане.
- Roger McName, "Sobering Up", "Upside", March 1993
Расчет оказался правильным, сообщение дошло. Но тогда я этого еще не
знал. Нервничал у компьютера, проверял почту. Ждал когда же мое
сообщение появится в листе.
Его все не было.
Перебрал архив - оказалось, Ralph обычно подключается довольно
поздно. Получит ли Вадим мое предупреждение сегодня, обратит ли на
него внимание? Так важно, чтобы он получил его сегодня. Что делать?
Посвятить в это дело кого-то еще? А имею ли я право на это? К тому
же, не вспугнем ли хакера массированными действиями? Сам я в лист
писать опасался - если мое сообщение будет обнаружено, то хакер
начнет контролировать и лист. А предупредить надо. Вариант один -
писать открыто.
Я решил использовать тактику "почтовых бомб". Писать как можно больше
и как можно чаще. Если хакер работает через модем, то он не сможет
быть на линии непрерывно. А если так, то в один из перерывов может
подключиться Вадим и получить мое сообщение. К тому же это отвлечет
внимание хакера от контроля остальной корреспонденции.
Плохо, что хакер будет предупрежден, и если он сменит тактику, все
для нас усложнится. Здравый смысл говорил - сиди тихо, ничего не
делай, жди ! Но это было самое трудное, хотелось действовать.
И это стало моей второй ошибкой.
Subject: []
Date: 03 Sep 1999 16:59:16
From: Jarex
To: Vadim
Срочно заведи ящик на любой веб-почте и свяжись со мной.
Нельзя было не заметить этого сообщения. Тем более, что отправлялись
они пачками штук по 10 каждые 5 минут.
Примерно через час я добился своего.
Subject: Re: []
Date: Fri, 03 Sep 1999 17:49:10 +0500
From: Vadim
To: Jarex
Dear Alexander,
Friday, September 03, 1999, 5:59:16 PM, you wrote:
Jarex Срочно заведи ящик на любой веб-почте и свяжись со мной.
Вау, что случилось???!!! Что-нибудь прояснилось???!!!
Онлайн у меня настолько дубовый, что только глубокой ночью рискую
залезть :((( А по мылу у меня отдельный вход у другого провайдера :(((
А что с этого адреса?
Я там посылал еще один заголовок, он дал что-нибудь?
Subject: Re: !!
Date: Fri, 03 Sep 1999 18:04:55 +0500
From: Vadim
To: Jarex
Dear Jarex,
Friday, September 03, 1999, 6:52:34 PM, you wrote:
Jarex Срочно заведи ящик на любой веб-почте и свяжись со мной.
Jarex, что случилось-то?????!!!!! Уже больше десятка одинаковых
писем от тебя получил!!!!!!! :(((((
Или это где на линии затык и дождь сыплется???!!! :(((
Черт ! Спокойно поговорить не получится - нет онлайна, и, по крайней
мере до ночи, не будет. А поговорить нужно так, чтобы не перехватил
хакер. Предупредить же нужно немедленно, чтобы было время принять
меры. Ладно, сам я уже засветился основательно, хуже не будет. И еще
нужно дать отбой Ralph, чтобы отложить запасной вариант на будущее.
А дождик все же удался! :-)))
Subject: !!!!!!! Attention!!!!!!!
Date: Fri, 03 Sep 1999 18:21:17 +0400
From: Jarex
To: Ralph
Отбой. Я связался с Вадимом. Сорри, что беспокоил.
Subject: Твой ящик под контролем
From: Jarex
To: Vadim
Твой ящик под контролем. Я уже выдал хакеру один нюанс послав письмо
тебе, но до тебя оно, как я понимаю, не дошло, а он него ("тебя") я
получил мессагу. Все, жду когда ты заведешь ящик.
Этих писем я отправил всего одну пачку, но и этого хватило.
Ответы пришли довольно быстро.
Subject: Re: !!!!!!! Attention !!!!!!!
Date: Fri, 03 Sep 1999 17:45:32 +0300
From: Ralph
To: Jarex
Привет !
Я отправил это через другой лист (на <skipped>), на который Вадим тоже
подписан, чтобы не засорять этот.
Посмотрим, что получится.
Вадим как-то давал (у меня не сохранилось) свой позывной - это ничем
не может помочь?
С отбоем не успел. Но это не столь важно, скорее всего хакер не
заметит предупреждения. А вот позывной - это хорошо.
Subject: Re: !!!!!!! Attention !!!!!!!
Date: Fri, 03 Sep 1999 19:11:05 +0400
From: Jarex
To: Ralph
Вадим как-то давал (у меня не сохранилось) свой позывной - это ничем
не может помочь?
Обязательно! Сейчас будет необходимо как-то определить, с кем в конце
концов свяжусь - с Вадимом или хакером. Дело в том, что сейчас хакер
может не только фальсифицировать письма, но и полностью
контролировать ящик Вадима. Правда, судя по всему хакер сидит на том
же провайдере и тоже на диалапе, и поэтому не может слишком часто
контролировать ящик.
Надеюсь, если Вадим заведет ящик на веб-почте, то можно будет
свободно переговариваться. Я уже допустил одну плюху, выдав хакеру
один опознавательный знак, по которому его можно отличить от Вадима,
послав Вадиму свои соображения. Но и этот "кулхацкер" тоже
основательно сдурил, прислав мне месагу-ответ "не поймаешь", Причем
сам Вадим ничего не получил. Отсюда и стало ясно, что хакер может
хозяйничать в ящике.
Если есть интерес поймать этого, нуууу скажем, негодяя, хотя это
конечно слабо сказано - пиши. Сейчас у меня есть два заголовка
присланные Вадимом, и одна мессага хакера, тоже от имени Вадима.
Subject: Re: Твой ящик под контролем
Date: Fri, 03 Sep 1999 18:59:38 +0500
From: Vadim
To: Jarex
Friday, September 03, 1999, 7:27:29 PM, you wrote:
Jarex Твой ящик под контролем. Я уже выдал хакеру один нюанс послав
Jarex письмо тебе, но до тебя оно, как я понимаю, не дошло, а он него
Jarex ("тебя") я получил мессагу.
:((((( Вот это фокус :(((( Я от тебя сегодня кажется писем не
получал :(((
Я сейчас принял следующие меры. В связи с тем, что до понедельника у
меня онлайна не намечается :( (очередные проблемы у провайдера) я
созвонился со своим "мыльным" провайдером. Он мне должен большую
сумму, поэтому сейчас делает все, что я скажу.
1. Сменен пароль и вообще все параметры мои.
2. Специалист провайдера всю ночь будет находиться на работе и держать
под контролем все, что возможно.
3. Мы определили периодичность проверки моей почты. Т.е. составили
график моего выхода на ящик. Если кто попытается выйти в неурочное
время - значит, это не я.
4. Просмотрены логи мои и провайдера. Отправлено 24 (!) письма в
адреса моих корреспондентов от меня. Т.е. это количество писем,
отправленных НЕ МНОЮ :(((((((
5. Завтра будет установлен АОН.
6. Ящик с моим старым паролем остается на сервере (точнее, его
имитация). Тонкостей не знаю, но провайдер обещал, что для хакера он
будет выглядеть как обычный, и периодически туда будут падать
отдельные письма, выбранные мной.
Что еще я могу сделать?
Jarex Все, жду когда ты заведешь ящик.
Кстати, что было в твоем письме? И что тебе этот ######## написал?
Просто маты или что конкретное было? ИМХО, в данный момент мой ящик
безопасен. Или я ошибаюсь?
Это письмо пишу точно я :)))) Нахожусь дома. В офисе все отключено.
Модем вынут и положен в сейф. Слишком все серьезно, так как письма с
руганью были отправлены в выборочные адреса, причем МОИХ САМЫХ
СЕРЬЕЗНЫХ ПАРТНЕРОВ И КЛИЕНТОВ :((((( Так что обычный прикол я уже
исключаю :(((
И вот тут я совершил третью ошибку. Я поверил в безопасность ящика.
Хотя из осторожности сообщил только то, что хакеру уже было известно,
а Вадиму - еще нет. То есть, свою переписку с хакером.
И решил посвятить в это дело кого-нибудь еще - если все это будет
тянуться, один я со всем этим не справлюсь.
Subject: Re: !!!!!!! Attention !!!!!!!
Date: Fri, 03 Sep 1999 19:11:05 +0400
From: Jarex
To: Ralph
Ralph wrote:
Вадим как-то давал (у меня не сохранилось) свой позывной - это ничем
не может помочь?
Обязательно! Сейчас будет необходимо как то определить, с кем в конце
концов свяжусь - с Вадимом или хакером. Дело в том, что сейчас хакер
может не только фальсифицировать письма, но и полностью
контролировать ящик Вадима. Правда, судя по всему хакер сидит на том
же провайдере и тоже на диалапе, и поэтому не может слишком часто
контролировать ящик. Надеюсь, если Вадим заведет ящик на веб-почте,
то можно будет свободно переговариваться. Я уже допустил одну плюху,
выдав хакеру один опознавательный знак, по которому его можно
отличить от Вадима, послав Вадиму свои соображения. Но и этот "кулхацкер"
тоже основательно сдурил, прислав мне месагу-ответ "не поймаешь".
Причем сам Вадим ничего не получил. Отсюда и стало ясно,
что хакер может хозяйничать в ящике.
Если есть интерес поймать этого, нуууу скажем, негодяя, хотя это конечно
слабо сказано - пиши. Сейчас у меня есть два заголовка присланные
Вадимом, и одна мессага хакера, тоже от имени Вадима.
Subject: Re: Твой ящик под контролем
Date: Fri, 03 Sep 1999 19:26:40 +0400
From: Jarex
To: Vadim
[мое письмо с предупреждениями]
[ответ хакера]
Причем, ты не получил моего письма, т.е. оно было удалено. То есть
хакер действительно поломал провайдера и следил за твоим ящиком и
имел над ним полный контроль.
Такое море писем я послал, чтобы быть уверенным, что письмо до тебя
дойдет, ведь хакер не может постоянно сидеть в онлайне, следить и
удалять мои послания.
ЗЫ. А ящик все же заведи.
Subject: Re: Attention
Date: Fri, 03 Sep 1999 21:27:02 +0300
From: Ralph
To: Jarex
Если есть интерес поймать этого, нуууу скажем, негодяя, хотя это
конечно слабо сказано - пиши. Сейчас у меня есть два заголовка
присланные Вадимом, и одна мессага хакера, тоже от имени Вадима.
Перешли посмотреть. Может быть стоит и остальным - дайректом?
Подумал, вдруг:
Если он заходит с его паролем (простейший вариант), то
1. Поменять пароль - в любом случае это что-то даст:
или отсечет хакера или наши предположения
2. Выйти на провайдера, поднять логи - время, телефон
Поскольку ущерб является как бы и экономическим
(за эккаунт платит Вадим) то, возможно, есть основания
для задействования "силовых" структур.
Если живы разосланные от имени Вадима "подметные" письма,
это тоже основание для такого обращения.
3. Важно: Почасовой график активности "хакера". Почти наверняка,
время в заголовках он не правил, а отметка сервера ему недоступна,
если это сделано из Dial-Up
4. Хорошо бы вступить с ним в переписку (Ню-Ню-Ню ! Плохой мальчик ... )
Какой-нибудь _девушке_ с адресом на mail.ru - Любые подробности
пригодятся. Но только без обмана (жену попроси), иначе не клюнет.
Лучше всего с одного из тех адресов, на которые он рассылал письма.
5. Вадим, кажется, любитель PGP :-) Такие письма до него доходят?
Если НЕТ - то можно организовать ежечасную рассылку фальшивых
писем и выяснить часы активности "хакера".
6. Посылка писем с уведомлением - если его SMTP это поддерживает.
Правда, очень слабая надежда, на то, что вернется автоматически
7. Гм. Специалист нужен - нужно поставить ловушку, но где и как?
Любой другой вариант (провайдер, промежуточный сервер) означал бы
значительно более широкий доступ (ко многим адресам итд), т.ч.,
наверное, он просто узнал / подобрал пароль.
Subject: Re: about Vadim
Date: Fri, 03 Sep 1999 21:59:55 +0400
From: List
To: Ralph
Это не из List'a :)
По всей видимости перехвачен все-таки провайдер.
Но самое главное - он не затаился, а активно действует.
Сейчас я попытаюсь выйти на разговор с ним. А заодно попробую
связаться с партнером Вадима, попробую оповестить через
него.
На самом деле, то, что он действует - даже хорошо:
"быстрая вошка первой ловится".
Я тоже так думаю.
Беда в том, что, возможно, он действует даже не у провайдера - на
промежуточном сервере. Отследить это можно только имея от него
письма, которые _не_ прошли через провайдера (при условии, что он
не имеет доступа к логам).
Да, это в худшем случае. Но пока что я думаю, что он скорее всего на
диалапе у того же провайдера. Во-первых, факт, что он отправлял, по
крайней мере часть писем из-под логина Вадима. Это прямое указание.
Во-вторых, ошибка с часовым поясом - это значит, что поля заголовка
были составлены обычной почтовой программой, а не были скопированы из
заголовка настоящих посланий, скорее всего тем же Батом.
Третье - обрати внимание на IP-адреса. Они меняются как положено
меняться. Разумеется, все это можно мистифицировать, но...
А теперь о грустном. Сейчас я не могу много времени проводить
в онлайне (а почта у меня через онлайн) - давно не проверял свой
счет у провайдера и времени осталось очень мало, а надо дотянуть
до понедельника. Поэтому не могу эффективно бомбить ящик
Вадима. А предупредить его было бы неплохо. Можно попробовать
снова отправить послание через какую-нибудь конфу. Или найти
кого-нибудь с хорошим подключением. Отправил через
<skipped>. Кажется, такие письма ему не интересны.
ОК. Я пока еще шумлю в ящике Вадима, и пытаюсь вызвать его на диалог
и бомблю со страшной силой, но пока еще совершенно глухо. Боюсь, как
бы он фильтр на меня не поставил. Завтра я уже не смогу вести такие
активные действия - времени остается в обрез до понедельника. Поэтому
хотелось бы найти у кого есть хороший онлайн, бомбить через него. К
тому же это будет элемент внезапности.
Пока план предлагается такой. Как-то связаться с Вадимом и
получить от него максимум информации. Да, тут еще надо составить
точный список, что нам нужно и конкретное послание Вадиму, что
ему предпринять.
Я долблю ящик Вадима, пытаюсь передать шифрованное сообщение, и
вызвать х. на разговор. Под этот шум пропускается сообщение в
конфе и, если получится, провести сообщение через. Послезавтра
должен выйти на работу Леонид. Предлагаю обратиться к нему за
помощью - как я писал об этом в прошлом письме.
Кроме того, Вадиму надо писать через кого-то другого (физически)
- не исключен вариант контроля над его телефонами. Этот "другой"
должен быть кто-то, кто неизвестен / недоступен Х.
Уже послал мессаги провайдеру и Константину - партнеру Вадима в
Москве, просил отправить шифрованную мессагу, и, если возможно,
связаться с Вадимом по телефону. Правда он известен х., но
других адресов у меня нет. В понедельник буду долбиться через
знакомых (у них инет только на работе).
Да, как-то ты упоминал о позывном?
Subject: Получил ответ от х.
Date: Fri, 03 Sep 1999 23:20:31 +0400
From: Jarex
To: Ralph
Return-Path: <vcg@postbox.kst.kz
Received: from msk1.mail.ru ([194.67.23.32])
by ns.etr.ru (8.9.3/8.9.3) with ESMTP id WAA21723
for <Jarex@dialup.etr.ru; Sat, 4 Sep 1999 22:00:41 +0400 (MSD)
Received: from mail by msk1.mail.ru with local (Exim 3.02 #104)
id 11NK3r-000J94-00
for Jarex@dialup.etr.ru; Sat, 04 Sep 1999 21:57:11 +0400
X-ResentFrom: <xJarex@mail.ru
Received: from lord.ic.kz ([194.113.65.1])
by msk1.mail.ru with esmtp (Exim 3.02 #104)
id 11NK3p-000J8i-00
for xJarex@mail.ru; Sat, 04 Sep 1999 21:57:10 +0400
Received: from default-194-113-65-32.pool-1.ic.kz
(default-194-113-65-32.pool-1.ic.kz [194.113.65.32])
by lord.ic.kz (8.9.1/8.9.1) with ESMTP id XAA31932
for <xJarex@mail.ru; Sat, 4 Sep 1999 23:56:58 +0600
Date: Sat, 4 Sep 1999 23:53:28 +0500
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <9995.990904@postbox.kst.kz
To: Jarex <xJarex@mail.ru
Subject: Re: Вадим! принимай меры!
In-reply-To: <37CFF556.467FA2F9@mail.ru
References: <37CFF556.467FA2F9@mail.ru
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Mozilla-Status: 8011
X-Mozilla-Status2: 00000000
X-UIDL: 6371
Dear Jarex,
Friday, September 03, 1999, 9:20:38 PM, you wrote:
Jarex Вадим! я до тебя снова не могу достучаться!
стучи еще
Subject: Re: Vadim
Date: Fri, 03 Sep 1999 23:47:27 +0400
From: Jarex
To: Ralph
Плиз, бомбоударь :) по ящику Вадима. (мессага ниже) по расписанию:
По MSK от данного момента: 23:34 23:56 00:14 00:25 00:58 01:25
Это время подключений, бери плюс-минус три минуты :) После этого я
могу выйти, но спец провайдера уже уйдет домой и контроля не
будет :(((
Ответ будет удар по тебе и Константину. Зашифровано будет ключом
Константина (нужно решить с ним вопрос о доверии)
Получил ответ на мои бомбоудары:
Dear Alexander,
Wednesday, September 01, 1999, 7:27:43 PM, you wrote:
Jarex Вадим, почему не отвечаешь? Сегодня я от тебя ничего не
Jarex получал! Отправлено в течение дня 12 писем :)))
Сколько писем с темами Mail и Mail2 дошло до тебя?
15. Как я понял, это не все :(((
Возможно х. уже снова добрался до твоего ящика, уже после
принятия мер безопасности :(((. Если это я не отвечаю, то начинай
бомбардировку - отправляй по несколько копий каждые 10-20 минут.
Желательно выдерживать максимально нерегулярные промежутки между
посылками. Еще мне нужно расписание твоих подключений, чтобы я мог
пробиваться к тебе прицельно.
По MSK от данного момента: 23:34 23:56 00:14 00:25 00:58 01:25 Это
время подключений, бери плюс-минус три минуты :) После этого я могу
выйти, но спец провайдера уже уйдет домой и контроля не будет :(((
Этого письма отправляю 4 копии. Если через час не будет ответа,
повторю еще 4 раза :)))
Что было бы интересно:
1. Новые заголовки, если прислали (твое письмо "себе").
Я сейчас уже сплю на ходу :((( Утром подготовлю весь комплект (а
может еще получу от людей по запросам) и тебе сразу отправлю, ОК?
Пока я от тебя еще ничего не получил. Вообще желательна любая
информация, которую ты можешь предоставить. Полные его письма, и
твои к ним комментарии. Разумеется, только то, что ты можешь
сообщить, и что не выдает секреты твоей фирмы.
Сегодня я на несколько часов был оторван от дел (день рождения
сына!), а вечером уже попытался получить почту и вот что получил:
(сорри за маты, совестно, но хочу хоть раз привести все один к
одному)
ну ты чо думаешь ****во
раз кентов пригласил то жить спокойно будешь?
хер ты меня вычислиш
а кентам скажи что они еще щенки
я козел бабки верну и на принцип пойду, но тебе жизни не дам
ты у меня забудеш, что такое почта телефонных проблем тебе мало
успокойся и дышы в тряпочку
По телефонной связи у меня проблема с выходом на межгород за пределы
Казахстана :(( Константин (<skipped>) мой партнер по
бизнесу, так мы с ним уже неделю не можем нормально связаться :(((
Плз на него выйди по адресу <skipped>, он может кое-что
прояснить :(((
--
Кстати, у тебя эта фича не срабатывает, ты или пробел не ставишь,
или больше одного пробела используешь :)))
Не понял, о чем это?
:))) Если перед подписью ставишь ДВА тире и ОДИН пробел, то при
ответе все, что ниже - обрезается :))) Как в моем письме :))) А
если нет пробела или их больше одного - то фича не работает :(((
Некоторые предложения Ralph:
5. Вадим, кажется, любитель PGP :-) Такие письма до него доходят?
Если НЕТ - то можно организовать ежечасную рассылку фальшивых
писем и выяснить часы активности "хакера".
PGP не пробовал. Не понял, что имеется в виду под фальшивыми
письмами.
Вскрыть PGP он, будем думать, не может. Так что годится любая туфта
(разная в разных письмах), после PGP ее все равно не отличишь от
делового письма. Расчет на то, что обозлившись - не прочитать -
он эти письма станет удалять. А постоянный поток вынудит его
делать это часто и это может как-то помочь засечь (если верен
сценарий Dial-Up).
Jarex, дело в том, что я работаю по поставке оборудования для
силовых структур и использование PGP мне разрешено официально :)))
Так что можете писать мне, ответственность я беру на себя :))) А этот
негодяй уже среагировал :(((
7. Гм. Специалист нужен - нужно поставить ловушку, но где и как?
Давай думать. Может еще кого подключить?
Кого-то хорошо знакомого с сетевыми протоколами. Кажется,
Евгений интересовался анонимной почтой. Писем от него
у меня нет, но Hex может подсказать.
Буду ОЧЕНЬ благодарен за помощь КАЖДОГО!!! :)))
Ребят, переходит на серьезный слишком уровень :(((
Я могу конечно в КНБ обратиться, но это уже слишком серьезно,
необходимы аргументы с моей стороны, а письма "от меня" - не аргумент,
не поверят пока :(((
Нет ли возможности временно, на несколько дней, дать Вадиму POP/SMTP
скажем, на сервере у Леонида (территориально они недалеко).
Читать входящие месаги, удалять их и писать мистификации действительно
можно имея логин/пароль. Но как можно перехватывать
_исходящие_ мессаги?
Не понял, это как???!!! :(((((
Jarex Наверное тебе стоит переставить весь софт на твоей машине.
Несколько минут назад полностью переустановил NT и основной софт
(пока только для мыла) :((( Надеюсь, что-нибудь изменится :(((
От Константина:
Здравствуйте. Вы наверное уже знаете, что от имени Вадима посылаются
письма - мистификации, нецензурного содержания. На самом деле все
гораздо хуже. Некий хакер держит под своим полным контролем почтовый
ящик Вадима, и может управлять как его входящей, так и исходящей почтой.
Все еще хуже, чем Вы думаете. Ну во первых это вряд ли хакер. Доступ такого
уровня можно получить только одним способом - СОРМ.
Если Вы можете, свяжитесь с ним по телефону. А во вторых идет
контроль и за его звонками тоже:((( Короче - он здорово (даже очень)
попал:(((
Я сегодня с ним по телефону разговаривал - дал несколько советов, как
можно попробовать обойти эту систему. Вопрос лишь в том, какие у их
СОРМ-а возможности в части перехвата пакетов в реальном времени.
Я сегодня за полчаса до принятия мер безопасности получил письмо
< skip
отдыхай мазево
Ну это я уже видел ... На данный момент времени это мне не говорит ни
о чем, кроме как о том, что он имеет "друга" у себя под боком. О
моих с ним отношениях знает слишком мало народу.
Скорее всего х. владеет правами администратора в системе
провайдера. Свяжись с провайдером, сообщи им положение. Пусть
поменяют все администраторские пароли.
Вряд ли поможет.
Переставь Виндовс и весь софт - возможно у тебя все же стоит троян.
У Вадима Гуард стоит и хотя я не знаю степень его отстройки - троян
маловероятен.
Пришли полные тексты сообщений х., желательно с твоими комментариями.
Вадим пробовал послать служебную информацию писем мне - нулевой
вариант. Можете ли Вы ее мне послать. Я могу предпринять некоторые
меры со своей стороны.
Можно связаться со мной косвенно, через другого человека.
Мои письма блокируются еще с большим приоритетом:((( Давайте обсудим
- как обойти систему с минимальными потерями на время. Я думаю, что
судя по тенденции наших служб, опыт будет очень полезный.
Прошу Вас передать следующее сообщение Вадиму:
Передано в PGP на его основные адреса.
P.S.
Приношу самые огромные извинения за нижесказанное, но после
сегодняшнего разговора с Вадимом я предполагаю разное..... Перечень
возможных мер, которые я с ним сегодня обсуждал и остальное я готов с
Вами обсудить после получения от Вас одного из (лучше про Константина
- оно у меня есть) писем с комментариями Вадима.
Мой PGP key в подписи. И пусть не удивляет тот же сервер, что и у
Вадима - это мой.
Плиз, бомбоударь :) по ящику Вадима.
-----BEGIN PGP MESSAGE-----
Version: PGP for Business Security 5.5
OM5J8BM=
=sG0D
-----END PGP MESSAGE-----
Subject: Re: Attention
Date: Sat, 04 Sep 1999 00:51:17 +0400
From: Jarex
To: Ralph
Если есть интерес поймать этого, нуууу скажем, негодяя, хотя это
конечно слабо сказано - пиши. Сейчас у меня есть два заголовка
присланные Вадимом, и одна мессага хакера, тоже от имени Вадима.
Перешли посмотреть. Может быть стоит и остальным - дайректом?
Подумал, вдруг:
Если он заходит с его паролем (простейший вариант), то
1. Поменять пароль - в любом случае это что-то даст:
или отсечет хакера или наши предположения
Сделано.
2. Выйти на провайдера, поднять логи - время, телефон
Поскольку ущерб является как бы и экономическим
(за эккаунт платит Вадим) то, возможно, есть основания
для задействования "силовых" структур.
Если живы разосланные от имени Вадима "подметные" письма,
это тоже основание для такого обращения.
Дык, АОНа у провайдера как я понял нет :(((
3. Важно: Почасовой график активности "хакера". Почти наверняка,
время в заголовках он не правил, а отметка сервера ему недоступна,
если это сделано из Dial-Up
Похоже на то, что не правил. Но только статистики пока мало.
4. Хорошо бы вступить с ним в переписку (Ню-Ню-Ню ! Плохой мальчик ... )
Какой-нибудь _девушке_ с адресом на mail.ru - Любые подробности
пригодятся. Но только без обмана (жену попроси), иначе не клюнет.
Лучше всего с одного из тех адресов, на которые он рассылал письма.
Не понял, как вступить в переписку. Его же адреса нету :( есть только
Вадимов адрес.
5. Вадим, кажется, любитель PGP :-) Такие письма до него доходят?
Если НЕТ - то можно организовать ежечасную рассылку фальшивых
писем и выяснить часы активности "хакера".
PGP не пробовал. Не понял, что имеется в виду под фальшивыми письмами.
6. Посылка писем с уведомлением - если его SMTP это поддерживает.
Правда, очень слабая надежда, на то, что вернется автоматически
Вряд ли что даст.
7. Гм. Специалист нужен - нужно поставить ловушку, но где и как?
Давай думать. Может еще кого подключить?
Любой другой вариант (провайдер, промежуточный сервер) означал бы
значительно более широкий доступ (ко многим адресам итд), т.ч.,
наверное, он просто узнал / подобрал пароль.
Return-Path: <vcg@postbox.kst.kz
Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ; Wed, 01 Sep
1999 01:34:03
-0800
Received: from default-194-113-65-32.pool-1.ic.kz
(default-194-113-65-32.pool-1.ic.kz
[194.113.65.32])
Wed, 1 Sep 1999 13:59:41 +0600
Date: Wed, 1 Sep 1999 13:46:26 -0800
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <1573.990901@postbox.kst.kz
To: "Jenny Redis" <JREDIS@cobraelec.com
Subject: vse zaebis?
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----------B518E1BB15C945C"
X-Rcpt-To: <JREDIS@cobraelec.com
X-UIDL: 936193493.062
Status: U
Received: from lord.ic.kz [194.113.65.1] by mx04 via mtad (2.6) with
ESMTP id
889DiaTYp0164M04; Wed, 01 Sep 1999 19:51:06 GMT
Received: from default-194-113-65-17.pool-1.ic.kz
(default-194-113-65-17.pool-1.ic.kz
[194.113.65.17]) by lord.ic.kz (8.9.1/8.9.1) with ESMTP id BAA32690 for
<cigalov@usa.net;
Thu, 2 Sep 1999 01:11:44 +0600
Date: Thu, 2 Sep 1999 01:11:00 -0800
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <349.990902@postbox.kst.kz
To: Konstantin Gugalov <cigalov@usa.net
Subject: как жизнь?
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
и моя переписка (свое письмо приводить не буду, так как оно полностью
цитируется)
Return-Path: <vcg@postbox.kst.kz
Received: from msk2.mail.ru ([194.67.23.33])
by ns.etr.ru (8.9.3/8.9.3) with ESMTP id JAA25113
for <Jarex@dialup.etr.ru; Fri, 3 Sep 1999 09:19:13 +0400 (MSD)
Received: from mail by msk2.mail.ru with local (Exim 3.02 #101)
id 11MlgU-000EVY-00
for Jarex@dialup.etr.ru; Fri, 03 Sep 1999 09:14:46 +0400
X-ResentFrom: <xJarex@mail.ru
Received: from lord.ic.kz ([194.113.65.1])
by msk2.mail.ru with esmtp (Exim 3.02 #101)
id 11MlgR-000EUy-00
for xJarex@mail.ru; Fri, 03 Sep 1999 09:14:44 +0400
Received: from default-194-113-65-33.pool-1.ic.kz
(default-194-113-65-33.pool-1.ic.kz [194.113.65.33])
by lord.ic.kz (8.9.1/8.9.1) with ESMTP id LAA30831
for <xJarex@mail.ru; Fri, 3 Sep 1999 11:14:48 +0600
Date: Fri, 3 Sep 1999 11:13:07 +0500
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <2467.990903@postbox.kst.kz
To: Jarex <xJarex@mail.ru
Subject: Re[2]: [sr] !!!!!!! Attention!!!!!!!
In-reply-To: <37CF694B.BB86BC54@mail.ru
References: <37CF694B.BB86BC54@mail.ru
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Mozilla-Status: 8011
X-Mozilla-Status2: 00000000
X-UIDL: 6144
Dear Jarex,
Friday, September 03, 1999, 11:23:07 AM, you wrote:
Jarex Vadim Gordon wrote:
Я получил сообщения от четырех корреспондентов. США, Москва, Астана и
Алмата. Двое из них мои поставщики, двое самые крупные клиенты :( Так
что мистификацией здесь и не пахнет :((( Больше похоже на работу
нечистоплотного конкурента, но весь вопрос в том, как его вычислить :(
Коллектив у меня небольшой, люди вроде проверенные, да и не выгодно им
самим себе пакости делать :((( Вроде никого не обижаю, лучшего места
им не найти.
Сейчас кинул ВСЕМ своим корреспондентам (а их более сотни)
предупреждения и просьбы немедленно пересылать письма мне, но вопрос
еще и в том, что во многих конторах на почте сидят дамы и получив
галимые маты не станут их сохранять, а тем более пересылать :(((
Jarex ОК, будем исходить из того, что это злой умысел. Тогда либо
кто-то просто
Jarex стянул у тебя адресную книгу и
Jarex решил побаловаться, либо это действительно целенаправленные действия.
Jarex Вопрос первый, как твоя адресная книга оказалась у хакера? Первое
- офисная
Jarex сеть (кстати, она подключена
Jarex к инету?), твои сотрудники. Против - ты уже писал. Второе - поломана
Jarex непосредственно твоя машина, но я
Jarex почитал твои послания, кажется машина у тебя защищена (например ты
упоминал
Jarex AtGuard). Третье - возможно
Jarex поломан провайдер, и хакер получил возможность читать твою
корреспонденцию. Да и
Jarex провайдер кажется у тебя не
Jarex очень, ты как то писал о проблемах с почтой.
Jarex Вопрос второй, как такая мистификация может иметь место. Конечно,
по одному
Jarex заголовку трудно что-либо
Jarex сказать. Во-первых, твоя машина. Но я уже говорил о защищенности,
нужно сначала
Jarex закатать послание на твою
Jarex машину, а потом чтобы у тебя стояла программа, которая его отправит.
Да и
Jarex интервал времени между написанием
Jarex письма и его отправкой (13:46:26 и 13:59:41) более похож на то, что
хакер
Jarex написал послание, потом
Jarex подсоединился и отправил. Поэтому более вероятен вариант, что письмо
отправлено
Jarex через твоего провайдера,
Jarex причем тоже с диалапа, причем не исключено, что под твоим же логином.
О том, что
Jarex хакер подсоединился с
Jarex диалапа говорит его имя (default-194-113-65-32.pool-1.ic.kz) и IP
Jarex ([194.113.65.32]), которые принадлежат
Jarex твоему провайдеру. Этот вариант наиболее вероятен, все прочие просто
очень
Jarex трудноосуществимы. Причем, если
Jarex послания отправлены с твоего логина (что, в общем-то необязательно),
то найти
Jarex его будет легче, нужно просто
Jarex сравнить логи действительно твоих подключений (вроде у тебя стоит
NetMedic) с
Jarex логами провайдера. Если же
Jarex отправлено с другого логина, то искать можно по времени отправки (в
заголовках).
Jarex Да, еще, обрати внимание на строчку в заголовке: Date: Wed, 1 Sep
1999
Jarex 13:46:26 -0800 - выставлен другой
Jarex часовой пояс (-0800), причем действительного расхождения во времени с
почтовым
Jarex сервером (13:59:41 +0600)
ага насоветуешь козел
я уже исправил попробуй теперь поймать обламаешся :-)
Jarex нет! это означает, что на самом деле просто часовой пояс неправильно
выставлен в
Jarex настройках ОС. Эта метка,
Jarex если она проявляется во всех письмах может очень сузить круг поиска.
Да проверь,
Jarex нет ли среди твоей почты
Jarex посланий с такими метками, причем искать нужно не среди корреспондентов,
Jarex действительно находящихся в этом
Jarex часовом поясе, например тот же <JREDIS@cobraelec.com (кстати, именно
эта строка: Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ;
Wed, 01 Sep 1999 01:34:03 -0800, навела меня на мысль о мистификации).
Jarex ЗЫ. А заголовки все же пришли.
ну гляди
и чо?
сынки вы еще меня поймать :-) слабо
Вадимом предприняты следующие меры:
Jarex Твой ящик под контролем. Я уже выдал хакеру один нюанс послав письмо тебе,
Jarex но до тебя оно, как я понимаю, не дошло, а он него ("тебя") я получил мессагу.
:((((( Вот это фокус :(((( Я от тебя сегодня кажется писем не
получал :(((
Я сейчас принял следующие меры. В связи с тем, что до понедельника у
меня онлайна не намечается :( (очередные проблемы у провайдера) я
созвонился со своим "мыльным" провайдером. Он мне должен большую
сумму, поэтому сейчас делает все, что я скажу.
1. Сменен пароль и вообще все параметры мои.
2. Специалист провайдера всю ночь будет находиться на работе и держать
под контролем все, что возможно.
3. Мы определили периодичность проверки моей почты. Т.е. составили
график моего выхода на ящик. Если кто попытается выйти в неурочное
время - значит, это не я.
4. Просмотрены логи мои и провайдера. Отправлено 24 (!) письма в
адреса моих корреспондентов от меня. Т.е. это количество писем,
отправленных НЕ МНОЮ :(((((((
5. Завтра будет установлен АОН.
6. Ящик с моим старым паролем остается на сервере (точнее, его
имитация). Тонкостей не знаю, но провайдер обещал, что для хакера он
будет выглядеть как обычный, и периодически туда будут падать
отдельные письма, выбранные мной.
Что еще я могу сделать?
Jarex Все, жду когда ты заведешь ящик.
Кстати, что было в твоем письме? И что тебе этот ######## написал?
Просто маты или что конкретное было? ИМХО, в данный момент мой ящик
безопасен. Или я ошибаюсь?
Это письмо пишу точно я :)))) Нахожусь дома. В офисе все отключено.
Модем вынут и положен в сейф. Слишком все серьезно, так как письма с
руганью были отправлены в выборочные адреса, причем МОИХ САМЫХ
СЕРЬЕЗНЫХ ПАРТНЕРОВ И КЛИЕНТОВ :((((( Так что обычный прикол я уже
исключаю :(((
Я послал переписку с х. Вадиму (после принятия мер), что он ответил:
Jarex Третье - возможно
Jarex поломан провайдер, и хакер получил возможность читать твою корреспонденцию. Да и
Jarex провайдер кажется у тебя не
Jarex очень, ты как то писал о проблемах с почтой.
Провайдер у меня на самом деле дерьмовый (в смысле не человек, а в
аппаратной и софтовой части) :((( Но теперь у меня появилось
подозрение, что пропажа писем (периодически и довольно часто)
обусловлена не его проблемами, а фокусами этого гада-хакера :(((
Jarex Поэтому более вероятен вариант, что письмо отправлено через
Jarex твоего провайдера,
Jarex причем тоже с диалапа, причем не исключено, что под твоим же логином.
Я сегодня за полчаса до принятия мер безопасности получил письмо
от ... себя :((( До этого я послал несколько писем своему партнеру в
Москве, он мне написал, что ни одного не получил :( И с этим ответом
получаю письмо следующего содержания (оригинал сохранен, только мат
замазан):
твой константин ...... накрылся
забудь
отдыхай мазево
Jarex Dear Jarex,
^^^^^^^^^^^\ Так у меня настроен автомат в мыше, но если в
адресе первым стоит не имя корреспондента, то я ВСЕГДА вручную
исправляю!!!!! :)))))
Jarex ага насоветуешь ......
Jarex я уже исправил попробуй теперь поймать обламаешся :-)
Jarex ЗЫ. А заголовки все же пришли.
Jarex ну гляди
Jarex и чо?
Jarex сынки вы еще меня поймать :-) слабо
ИМХО, такой стиль просто недостоин умного человека :((( Или это просто
понты? :((( Jarex, ты никогда с таким сортом людей не сталкивался?
Похоже это на нормального хакера???!!! Я совсем не в курсе :(( У меня
сейчас большая уверенность, что это все-таки наезд на мой бизнес, ибо
уж слишком точно все рассчитано, все письма в тему :(((((
Jarex Причем ты не получил моего письма, т.е. оно было удалено. То есть хакер
действительно
Jarex поломал провайдера и следил за твоим ящиком и имел над ним полный контроль.
Да, этого письма я не получал :(((
Jarex Такое море писем я послал, чтобы быть уверенным, что письмо до тебя дойдет, ведь
Jarex хакер не может постоянно сидеть в онлайне, следить и удалять мои послания.
Теперь я понял. И получил через лист очень
оригинальное послание :))) Спасибо большое!!! :))) Эффектно сделано!
Jarex ЗЫ. А ящик все же заведи.
К сожалению, только после выходных :((
Кроме тех мер, которые я принял и перечислил в предыдущем письме, что
я еще могу предпринять? И достаточно ли их, чтобы чувствовать себя
спокойно? Я уже больше ничего не могу придумать :((( А переписка у
меня очень активная, причем без выходных. Поставщиков больше десятка и
около двух сотен клиентов. Так что мне необходимо и в выходные
работать. Плюс еще личная переписка, да листы.
Читать входящие месаги, удалять их и писать мистификации действительно
можно имея логин/пароль. Но как можно перехватывать _исходящие_ мессаги?
К ночи, Jarex, чувствуется уже совсем замотался. Я получил от него
такое вот странное письмо:
Subject: !!!!!
Date: Sat, 04 Sep 1999 00:00:55 +0400
From: Jarex
To: Ralph
???????????????????!
??????!!!!! ?????????!!!??????????!!!!!!???????? "????????"!!!!!!!
?????????? -??????!!!????????????????!!!
??????????????????!!!!!!!!!
????,??????????????????????????????
Subject: Re: The Jerk
Date: Sat, 04 Sep 1999 01:36:58 +0300
From: Ralph
To: Jarex
4. Хорошо бы вступить с ним в переписку (Ню-Ню-Ню ! Плохой мальчик ... )
Какой-нибудь _девушке_ с адресом на mail.ru - Любые подробности
пригодятся. Но только без обмана (жену попроси), иначе не клюнет.
Лучше всего с одного из тех адресов, на которые он рассылал письма.
Не понял, как вступить в переписку. Его же адреса нету :( есть только
Вадимов адрес.
Как мне представляется: какая-то воспитанная девушка пишет на адрес Вадима
письмо, обращаясь к Mr. Jerk с увещеваниями итд.
Вадим _не_ удаляет своих писем из ящика, временно создав иллюзию
неактивности.
Поскольку этому будет скучно без обратной связи, а в неуловимости он уверен,
ему, возможно, захочется доставить себе дополнительное удовольствие.
Может быть удастся выманить его на ICQ, еще что-то, не знаю.
Любая дополнительная информация лишней не будет.
5. Вадим, кажется, любитель PGP :-) Такие письма до него доходят?
Если НЕТ - то можно организовать ежечасную рассылку фальшивых
писем и выяснить часы активности "хакера".
PGP не пробовал. Не понял, что имеется в виду под фальшивыми письмами.
Вскрыть PGP он, будем думать, не может. Так что годится любая туфта (разная
в разных письмах), после PGP ее все равно не отличишь от делового письма.
Расчет на то, что обозлившись - не прочитать - он эти письма станет удалять.
А постоянный поток вынудит его делать это часто и это может как-то помочь
засечь (если верен сценарий Dial-Up).
6. Посылка писем с уведомлением - если его SMTP это поддерживает.
Правда, очень слабая надежда, на то, что вернется автоматически
Вряд ли что даст.
Тоже так думаю. Но некоторые клиенты (если включено) делают это
автоматом, может что-то и промелькнет. В любом случае, нетрудно
и ничего не теряем.
7. Гм. Специалист нужен - нужно поставить ловушку, но где и как?
Давай думать. Может еще кого подключить?
Кого-то хорошо знакомого с сетевыми протоколами. Кажется,
Евгений интересовался анонимной почтой. Писем от него
у меня нет, но Hex может подсказать.
Нет ли возможности временно, на несколько дней, дать Вадиму POP/SMTP
скажем, на сервере у Леонида (территориально они недалеко).
Это не поможет при перехвате у провайдера, но даже в этом случае,
позволит сузить круг возможных мест перехвата.
Любой другой вариант (провайдер, промежуточный сервер) означал бы
значительно более широкий доступ (ко многим адресам итд), т.ч.,
наверное, он просто узнал / подобрал пароль.
Читать входящие месаги, удалять их и писать мистификации действительно
можно имея логин/пароль. Но как можно перехватывать
_исходящие_ мессаги?
Если не брать в расчет варианты провайдер / промежуточный сервер,
то остается только BackDoor (программа типа BackOrifice).
Возможно следует переустановить из дистрибутива AV Soft, @Guard?
Поскольку неизвестно, где это, приходится бить по площадям.
Если это в самом деле конкуренты, то наиболее вероятное место -
провайдер, но это выглядит слишком мелким. За те же деньги, я
думаю, они предпочли бы шпионаж.
По заголовкам можно только предполагать, что у него в самом деле Dial-Up.
Часовой пояс он, конечно, уже выправил, в логах провайдера, наверное,
хранится только ID, так что и это ничего не даст.
1) Это от Вадима.
Received: from lord.ic.kz ([194.113.65.1])
by bftoemail8.bigfoot.com (Bigfoot Toe Mail v1.0
with message handle 990903_011505_1_bftoemail8_smtp;
Fri, 03 Sep 1999 01:15:05 -0500
for Ralph@bigfoot.com
Received: from default-194-113-65-33.pool-1.ic.kz
(default-194-113-65-33.pool-1.ic.kz [194.113.65.33])
by lord.ic.kz (8.9.1/8.9.1) with ESMTP id LAA30825
for <Ralph@bigfoot.com; Fri, 3 Sep 1999 11:14:37 +0600
Date: Fri, 3 Sep 1999 11:01:19 +0500
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <0459.990903@postbox.kst.kz
To: Ralph <Ralph@bigfoot.com
Subject: Re[2]: Lifes
In-reply-To: <37CEE662.AE55A0A3@bigfoot.com
References: <37CEE662.AE55A0A3@bigfoot.com
Mime-Version: 1.0
2) Из твоего письма.
Received: from lord.ic.kz ([194.113.65.1]) by cobraelec.com ; Wed, 01 Sep
1999 01:34:03
-0800
Received: from default-194-113-65-32.pool-1.ic.kz
(default-194-113-65-32.pool-1.ic.kz
[194.113.65.32])
Wed, 1 Sep 1999 13:59:41 +0600
Date: Wed, 1 Sep 1999 13:46:26 -0800
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <1573.990901@postbox.kst.kz
To: "Jenny Redis" <JREDIS@cobraelec.com
Subject: vse zaebis?
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----------B518E1BB15C945C"
X-Rcpt-To: <JREDIS@cobraelec.com
X-UIDL: 936193493.062
3) Из твоего письма.
Received: from lord.ic.kz [194.113.65.1] by mx04 via mtad (2.6) with
ESMTP id
889DiaTYp0164M04; Wed, 01 Sep 1999 19:51:06 GMT
Received: from default-194-113-65-17.pool-1.ic.kz
(default-194-113-65-17.pool-1.ic.kz
[194.113.065]) by lord.ic.kz (8.9.1/8.9.1) with ESMTP id BAA32690 for
<cigalov@usa.net;
Thu, 2 Sep 1999 01:11:44 +0600
Date: Thu, 2 Sep 1999 01:11:00 -0800
From: Vadim Gordon <vcg@postbox.kst.kz
X-Mailer: The Bat! (v1.35) S/N F14DEE3D / Educational
Reply-To: Vadim Gordon <vcg@postbox.kst.kz
Organization: GM Translation, Ltd
X-Priority: 3 (Normal)
Message-ID: <349.990902@postbox.kst.kz
Рассылка похоже была очень выборочной - ни я лично, ни один из 3-х
листов таких писем не получали, хотя для _хулигана_ лист наверняка
представился бы удобным объектом.
ОК. Подождем, что даст смена пароля.
Subject: Re: Attention
Date: Sat, 04 Sep 1999 01:34:15 +0400
From: Jarex
To: Ralph
Вдогонку. Пробился к Вадиму я забомбив его ящик мессагами. Начал
бомбить в 16:59, первый ответ - 17:49. Послано 31 бомба принято 11.
То есть, во-первых х. (именно так я его теперь буду называть) активно
следит за ящиком и чистит его, а во-вторых, он теперь знает, что я
пробился к Вадиму. Нужно отметить, что после принятия мер разговору
никто не мешал.
Боюсь, как бы я его не спугнул. Если он затаится, то его черта с два
поймаешь.
Я решил спрятать сообщение для Вадима в каком-нибудь письме в лист,
вывернув кодировку, чтобы его нельзя было прочесть с ходу. Письмо
выбрал подлиннее, с дампом. Но до Вадима оно, кажется, не дошло.
Subject: failure notice
Date: Sat, 04 Sep 1999 18:04:06 +0300
From: Ralph
To: List
Hi. This is the qmail-send program.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
validate: fatal
message already has Mailing-List (#5.7.2)
--- Below this line is a copy of the message.
<skip
From: Ralph
В последних версиях этой замечательной программы
Url: http://www.oskom.ru/~jammer/files/jammer.exe
File size: 1665133
оказался странный и неприятный баг - она прекращала
работу после 30 дней использования.
Лечение было предложено Vladimir:
Subject: Re: Future problem with Jammer
Date: Mon, 26 Jul 1999 21:26:54 +0400
From: "Vladimir"
Вот-вот кончается "trial" период всеми, думаю, признанного Jammer'а.
Уже пугать окончанием срока стал. У кого есть какие мнения по поводу
"уговора" всеобщего любимца?
Мда, у авторов какое-то извращенное понятие freeware :) Проще всего
восстановить работоспособность удалением параметра в реестре:
HKLM\Software\ProfileString180 - там Jammer хранит время первого запуска.
Однако, я слишком ленив для того, чтобы каждый месяц чистить реестр.
Нельзя ли избежать этой неприятности?
Открываем Jammer.exe (245,760) в qview, нажимаем F7 и задаем
подстроку поиска "ProfileString":
+[]------------------------- Search string -------------------------+
| |
| ASCII: ProfileString_______ Sensitive [X] Masking [ ] CharSet[X] |
| |
| HEX: 50 72 6F 66 69 6C 65 53 74 72 69 6E 67_____________________ |
| |
+-------------------------------------------------------[ Forward ]---+
немедленно попадаем в нужное место:
[] JAMMER.EXE 245760 000300F8 .--------- HV O QView 2.80 AGC Products
00030048: 65 6D 20 74|72 61 79 20|6E 6F 74 20|6C 6F 61 64 em tray not load.
00030058: 65 64 00 00|4A 61 6D 6D|65 72 00 00|48 69 64 65 ed Jammer Hide|
00030068: 00 00 00 00|52 65 73 74|6F 72 65 00|6E 6F 74 65 Restore note|
00030078: 70 61 64 2E|65 78 65 00|43 4D 6F 64|65 6C 65 73 pad.exe CModeles|
00030088: 73 44 69 61|6C 6F 67 00|43 59 00 00|43 58 00 00 sDialog CY CX |
00030098: 00 00 00 00|31 F1 00 00|07 E7 00 00|06 E7 00 00 1T .ч .ч |
000300A8: 51 9C 00 00|6D 9C 00 00|70 9C 00 00|68 9C 00 00 QЬ mЬ pЬ hЬ |
000300B8: 6E 9C 00 00|00 00 00 00|4B 9C 00 00|4A 9C 00 00 nЬ KЬ JЬ |
000300C8: 61 9C 00 00|00 00 00 00|43 E1 00 00|43 57 6E 64 aЬ Cс CWnd|
000300D8: 4C 69 73 74|44 6C 67 00|33 33 31 32|39 39 32 31 ListDlg 33129921|
000300E8: 39 00 00 00|53 6F 66 74|77 61 72 65|00 00 00 00 9 Software |
000300F8: 50 72 6F 66|69 6C 65 53|74 72 69 6E|67 25 64 00 ProfileString |
00030108: 4F 70 74 69|6F 6E 73 00|F8 99 42 00|00 00 00 00 Options |ЩB |
00030118: 2E 50 41 56|43 45 78 63|65 70 74 69|6F 6E 40 40 .PAVCException@@|
00030128: 00 00 00 00|20 20 20 20|20 20 20 25|6C 75 00 00 |
00030138: 20 20 20 20|20 20 25 30|32 69 00 00|20 20 25 30 |
00030148: 32 69 3A 25|30 32 69 00|54 68 65 20|72 65 67 69 2i: The regi|
00030158: 73 74 72 61|74 69 6F 6E|20 63 6F 6D|70 6C 65 74 stration complet|
00030168: 65 64 20 73|75 63 63 65|73 73 66 75|6C 6C 79 2E ed successfully.|
00030178: 0A 0A 20 20|20 20 20 20|20 20 20 20|20 50 6C 65 Ple |
00030188: 61 73 65 20|72 65 73 74|61 72 74 20|4A 61 6D 6D ase restart Jamm|
00030198: 65 72 2E 00|52 65 67 49|44 00 00 00|52 65 67 6E er. RegID Regn|
000301A8: 75 6D 00 00|52 65 67 6E|61 6D 65 00|53 65 74 74 um Regname Sett.
F1 Help F3 Undo F4 Mode F5 Goto F6 ChrSet F7 Search F8 Header F9 Crypt F10 Quit
По смещению 000300F8 мы видим строку "ProfileString"
<Shift> + <F7> убеждает нас, что это место единственное.
Немного осмотревшись, находим рядом по смещению 000300EC
строку "Software".
Гм. Нет никакого сомнения, что эти строчки комбинируются вместе,
для создания ключа реестра "HKLM\Software\ProfileString180".
Но что произойдет, если "испортить" каким-то образом эту строку?
Очевидно, если программа не сможет прочитать ключ
"HKLM\Software\ProfileString180", то это равносильно его отсутствию,
чего мы и добиваемся.
Но что случится при записи? Windows API вернет код ошибки и если
в программе предусмотрена проверка ... Но кто сказал, что она
предусмотрена? Пробуем !
бЮДХЛ! рБНИ ЪЫХЙ ЯМНБЮ ЙНМРПНКХПСЕРЯЪ. яЙНПЕЕ БЯЕЦН У. НАКЮДЮЕР ОПЮБЮЛХ
ЮДЛХМХЯРПЮРНПЮ Б ЯХЯРЕЛЕ ОПНБЮИДЕПЮ. яБЪФХЯЭ Я ОПНБЮИДЕПНЛ, ОСЯРЭ ОНЛЕМЪЧР
БЯЕ ЮДЛХМХЯРПЮРНПЯЙХЕ ОЮПНКХ. мЮ ЯБНЕЛ ЙНЛОЕ ОЕПЕЯРЮБЭ БЕЯЭ ЯНТР.
Мне показалось забавным поменять букву 'S' на '$' в слове Software.
Понятно, что ключа "HKLM\$oftware\" в реестре не существует, и если
авторы не позаботились написать обработчик ошибки, то ничего больше
уже и не потребуется.
Вносим изменения, выходим из qview и, для гарантии, перезагружаемся.
Voila ! За 10 минут даже не запустив дебаггера мы пофиксили раздражающий
баг и наши 30 дней больше уже никогда не кончатся.
--
Большинство руководителей фирм по разработке программного обеспечения
рассматривают Microsoft как самую алчную и подлую акулу в океане.
- Roger McName, "Sobering Up", "Upside", March 1993
------------------------------ List Sponsor ----------------------------
List: the best place to EXPLORE topics, SHARE ideas, and
CONNECT to people with the same interests.
Subject: Re: about Vadim
Date: Sat, 04 Sep 1999 18:13:54 +0300
From: Ralph
To: Jarex
По всей видимости перехвачен все-таки провайдер. Но самое главное -
он не затаился, а активно действует. Сейчас я попытаюсь выйти на
разговор с ним. А заодно попробую связаться с партнером Вадима,
попробую оповестить через него.
На самом деле, то, что он действует - даже хорошо: "быстрая вошка
первой ловится".
Беда в том, что, возможно, он действует даже не у провайдера - на
промежуточном сервере. Отследить это можно только имея от него
письма, которые _не_ прошли через провайдера (при условии, что он не
имеет доступа к логам).
А теперь о грустном. сейчас я не могу много времени проводить в
онлайне (а почта у меня через онлайн) - давно не проверял свой счет
у провайдера и времени осталось очень мало, а надо дотянуть до
понедельника. Поэтому не могу эффективно бомбить ящик Вадима. А
предупредить его было бы неплохо. Можно попробовать снова отправить
послание через какую-нибудь конфу. Или найти кого-нибудь с хорошим
подключением.
Отправил через <skipped>. Кажется, такие письма ему неинтересны.
Пока план предлагается такой. Как-то связаться с Вадимом и получить
от него максимум информации. Да, тут еще надо составить точный
список, что нам нужно и конкретное послание Вадиму, что ему
предпринять. Я долблю ящик Вадима, пытаюсь передать шифрованное
сообщение, и вызвать х. на разговор. Под этот шум пропускается
сообщение в конфе и, если получится, провести сообщение.
Послезавтра должен выйти на работу Леонид. Предлагаю обратиться к
нему за помощью - как я писал об этом в прошлом письме.
Кроме того, Вадиму надо писать через кого-то другого (физически) - не
исключен вариант контроля над его телефонами.
Этот "другой" должен быть кто-то, кто неизвестен / недоступен Х.
Subject: Vadim
Date: Sat, 04 Sep 1999 19:20:49 +0300
From: Ralph
To: Jarex
Отослал на адрес Вадима ~150 писем, главным образом на английском
(IMHO, для Х. это все равно что PGP - будет ему что почитать)
Subject: from X.
Date: Sat, 04 Sep 1999 21:41:11 +0300
From: Ralph
To: Jarex
-------- Original Message --------
Subject: Re: DAO
Date: Sat, 4 Sep 1999 23:53:38 +0500
From: Vadim
Reply-To: Vadim
To: Ralph
Dear Ralph,
Saturday, September 04, 1999, 8:53:39 PM, you wrote:
Ralph Hello all,
Ralph sorry for my bad English.I have trouble with DAO access with ISAM.
Ralph In my programm I call funkcion
Ralph CdbDBEngine dben(FALSE,FALSE); this is OK
Ralph dben.SetDefaultUser( _T("admin") ); and this error message:
Ralph ASSERT(AfxIsValidAddress(this, sizeof(CRuntimeClass), FALSE));
Ralph PLEASE How is setting registry for using DAO and file system.mdb?
Ralph thanx
Ralph The MSVC list is hosted on a Windows NT(TM) machine running L-Soft
Ralph international's LISTSERV(R) software. For subscription/signoff info
Ralph and archives, see http://peach.ease.lsoft.com/archives/msvc.html .
ну ты хули долбиш
ящик бесразмерный а этот маскальский щенок не вылезет
я за него бабки получил так что лучше нелезь
здесь крутые разборки
маскаль по жизни хоть и крутой но в сети он ноль и я его сделаю а
тебе лесть не советую
отдыхай мазево
Subject: Re: Vadim on Line
Date: Sat, 04 Sep 1999 21:58:08 +0300
From: Ralph
To: Jarex
ОК. Я пока еще шумлю в ящике Вадима, и пытаюсь вызвать его на
диалог и бомблю со страшной силой, но пока еще совершенно глухо.
Боюсь, как бы он фильтр на меня не поставил. Завтра я уже не смогу
вести такие активные действия - времени остается в обрез до
понедельника. Поэтому хотелось бы найти у кого есть хороший онлайн,
бомбить через него. К тому же это будет элемент внезапности.
Отправил ~150 писем. Вадим получил 30 (по его письму) + получил
"личное послание" от Х. (ушло форвардом к тебе).
Похоже, у него в самом деле The Bat!, а это тоже зацепочка, ламеры
OE юзают, не думаю, что у провайдера много писем от мышки.
Кроме того, Вадиму надо писать через кого-то другого (физически)
- не исключен вариант контроля над его телефонами.
Этот "другой" должен быть кто-то, кто не известен / недоступен Х.
Уже послал мессаги провайдеру и Константину - партнеру Вадима в
Москве, просил отправить шифрованную мессагу, и, если возможно,
связаться с Вадимом по телефону.
Правда он известен х., но других адресов у меня нет. В понедельник
буду долбиться через знакомых (у них инет только на работе).
Да, как то ты упоминал о позывном?
Думал, что не сохранил того письма, но удалось отыскать:
Vadim YH9SZL (ex YH9SZC)
Subject: Re: МИМ - Мбелщ Имлъпояипуалье Мюцмоь
Date: Sun, 5 Sep 1999 00:55:05 +0500
From: Vadim
To: Ralph
CC: Jarex
Ralph и Jarex, приветствую!
Я вот получил:
Saturday, September 04, 1999, 9:07:14 PM, you wrote:
Your message dated Sat, 4 Sep 1999 23:50:40 +0500 with subject
"Re: HARDWARE: ABIT BH6" has been submitted to the moderator of the
WIN98-L list for review. You message is being reviewed to ensure that
it meets the rules for posting to the list. If you have not been
reviewed before, then it is likely that your recent posts have
been over-quoting or not using topics keywords correctly. If you
just joined the list, your first few posts must be approved by the
moderator as an anti-spam measure. If you are NOT a list member,
your post may not be approved unless you join the list. To
subscribe, write to WIN98-L-SUBSCRIBE-REQUEST@PEACH.EASE.LSOFT.COM.
If you have any questions or problems, please contact the
List Owner at WIN98-L-request@PEACH.EASE.LSOFT.COM
Ну и не понял. Если вы не в курсе - плз СОРРИ за потерянное время
:(((((
Но у меня за вечер около тридцати писем от Ralph и столько же почти
от Jarex :)))
Надеюсь, это письмо дойдет :(((
Subject: Re: List of ints
Date: Sun, 5 Sep 1999 00:10:30 +0500
From: Vadim
To: Ralph
Ralph, приветствую!
Сорри за ситуацию :))
Ты PGP не используешь?
Ну вообще маразм :(((
Сорри, что мой бизнес влез в личную переписку, но, как я
понял, Александр тебя попросил помочь :(((
А я уже не знаю, где письма мне, где хакеру-макеру, где от меня,
где не от меня :(((
Когда пытаются по жизни мне проблемы сделать - я эти проблемы решаю,
и довольно успешно. А вот в сети ...
Одно из моих писем с "вклейками" дошло до Вадима.
Я получил ответ, в том же стиле:
Subject: Re: [Fwd: Link - Hack, Security, Virii]
Date: Sun, 5 Sep 1999 00:30:03 +0500
From: Vadim
To: Ralph
Ralph, приветствую!
Saturday, September 04, 1999, 9:08:42 PM, you wrote:
Большое спасибо за информацию! Это именно то, что я искал.
Ralph Программы для взлома (http://www.list.ru/catalog/11334.html) (3):
Ralph http://www.list.ru/catalog/11334.html
Ralph Maxxx Hack Page (http://www.cyberhome.ch/user/maxxx1/scann.html)
Ralph Коллекция хакерских программ, "мелких пакостей" и т.п. Форум.
Ralph MeaN tEAmj (http://meanteam.yoursforever.com)
Ralph Коллекция ссылок на хакерские программы и программы для защиты.
Ralph Hacker's House (http://www.chat.ru/~hhouse)
Ralph На сайте предоставлены программы, которые будут полезны как
Ralph начинающему, так и продвинутому хакеру.
Ralph Взлом программ (http://www.list.ru/catalog/11335.html) (3):
Ralph http://www.list.ru/catalog/11335.html
Ralph Banana13 Site (http://www.chat.ru/~banana13/up.htm)
Ralph Коллекция краков. Ссылки на коммерческие пророграммы. Варез.
Ralph Halloween Group (http://www.halloween.da.ru)
Ralph Сайт хакерской или кракерской группы. Программы, взлом, документация и
Ralph т.п.
Ralph Xakep's page (http://ginn.jump.ru)
Ralph Коллекция ссылок на программы, документацию и т.п. для хакеров.
Ralph "Мелкие пакости" (http://www.list.ru/catalog/11337.html) (1):
Ralph http://www.list.ru/catalog/11337.html
Ralph HackInet (http://hackinet.da.ru)
Ralph Обычные троянцы. Сайт рапространяющий троянские вирусы.
Ralph Беседы хакеров (http://www.list.ru/catalog/11338.html) (1):
Ralph http://www.list.ru/catalog/11338.html
Ralph Team Void (http://www.teamvoid.org)
Ralph Ежедневные новости с фронта инфовойны. Конференции (форум).
Ralph Рассказываем обо всём: от банального backorifice до настройки
Ralph firewall'a на отражение атак.
Ralph Поиск отмычек (http://www.list.ru/catalog/12083.html) (2):
Ralph http://www.list.ru/catalog/12083.html
Ralph Data Force Association (http://www.dforce.org)
Ralph Сайт создан ассоциацией профессиональных хакеров "DFA". Софт, статьи,
Ralph членство, услуги и много чего еще.
Ralph айришри етег Вадим! Твой ящик снова контролируется. Скорее всего х. обладает
Ralph правами администратора в системе провайдера. Свяжись с провайдером, пусть
Ralph поменяют все администраторские пароли. На своем компе переставь весь софт.
Ralph дрк оежоп мбчш баъш дбйъ щмре бе ъелм моцеа тглерйн, обцтйн згщйн, згщеъ
Ralph айришри ете гhttp://www.zahav.net.il : блъебъ
Ralph я отправил письма и тебе и Jarex если не получили плз
Ralph сообщите все повторю пока нет возможности выйти в онлайн будет
Ralph только с понедельника сорри за подделку под стиль
Ralph Документация по защите (http://www.list.ru/catalog/12036.html) (1):
Ralph http://www.list.ru/catalog/12036.html
Ralph Компьютерная безопасность от Павла Семьянова
Ralph (http://www.ssl.stu.neva.ru/psw/security.html)
Ralph Безопасность сетей и ОС. Лучшие взломщики паролей.Криптографический
Ralph ликбез. Компьютерная вирусология. Публикации и переводы автора по
Ralph компьютерной безопасности.
Ralph Программная защита (http://www.list.ru/catalog/12173.html) (2):
Ralph http://www.list.ru/catalog/12173.html
Ralph Наблюдатель: Безопасный Интернет
Ralph (http://www.371plus.net/security/index.html)
Ralph Сайт посвящен "безопасности" в Интернете. Программы, настройка ОС.
Ralph Пассивная и активная защита.
Ralph Настройка ПО (http://www.list.ru/catalog/12174.html) (2):
Ralph http://www.list.ru/catalog/12174.html
Ralph Частная жизнь в Интернете (http://www.tamos.com/privacy/ru)
Ralph Частная жизнь в Интернете. Проблемы безопасности, анонимности,защиты
Ralph информации.
Ralph Наблюдатель: Безопасный Интернет
Ralph (http://www.371plus.net/security/index.html)
Ralph Сайт посвящен "безопасности" в Интернете. Программы, настройка ОС.
Ralph Пассивная и активная защита.
Ralph Вирусы (http://www.list.ru/catalog/11445.html) (1):
Ralph http://www.list.ru/catalog/11445.html
Ralph Viryses info (http://www.fortunecity.com/skyscraper/unix/793/vir.htm)
Ralph Описание вирусов.
Текст письма очень интересен! Знания о вирусах мне необходимы :)
Subject: Re: from X.
Date: Sun, 05 Sep 1999 00:35:29 +0400
From: Jarex
To: Ralph, Konstantin
Константину - Ralph сейчас замусоривает ящик Вадима.
Ralph'у - отсылай копии Константину
Молодец! Ты его достаешь. По всей видимости, он удаляет почту руками,
посему ты его здорово напрягаешь.
Subject: Help Offer
Date: Sun, 05 Sep 1999 00:48:22 +0300
From: Ralph
To: Vadim
Subject: Re[2]: Trojans
Date: Sun, 5 Sep 1999 01:09:45 +0400
From: Ivan
To: Ralph
Hello Ralph,
Помнится мне, что Saturday, September 04, 1999 пришло следующее
сообщение на тему "Trojans":
Вас как коллекционера это добро интересует?
A Пришли, буду очень признателен.
OK. См. аттач =).
ЗЫ. Да, и вот еще что: с Вадимом все так серьезно?
Откуда такие сведения если не секрет?
A Сегодня получил:
поскипано....
A Так что, видимо, серьезно.
Мда, весело. А человек ни о чем и не подозревает... Может с ним
попробовать более традиционными способами связаться? Ну, там телефон
его поискать, или адрес и письмо послать, телеграфировать, или еще
чего? Я в Москве живу, мог бы помочь...
4. Final
========
Subject: Re: МИМ - Мбелщ Имлъпояипуалье Мюцмоь
Date: Sun, 5 Sep 1999 01:00:39 +0500
From: Vadim
To: Ralph
CC: Jarex
Ребята!!!!! Есть номер!!! Телефонный!!!!!! Я полетел "говорить"!!!!!!!
Как вернусь - напишу!!! Плз на связи будьте!!!
Его УЖЕ ВЗЯЛИ МОИ ЛЮДИ!!!!!!!!!
Subject: Re: Mail
Date: Sun, 5 Sep 1999 02:16:31 +0500
From: Vadim
To: Jarex
CC: Ralph, Konstantin
Dear Jarex,
Saturday, September 04, 1999, 1:59:17 PM, you wrote:
Jarex, Ralph и Константин, приветствую вас!
Это письмо отправляется с компьютера моего "двойника" :(((
ОГРОМНОЕ СПАСИБО ВАМ ЗА ПОМОЩЬ!!!!! Без вас я бы не смог его
поймать!!!
А поймал его АОН!!!!! Как это ни парадоксально :))) Мои ребята были
наготове, и как только от провайдера пришло сообщение, что "я" вышел
в неурочное время с такого-то телефона - узнать адрес и прибыть на
место не составило труда.
Самое неприятное - мальчишка 19 лет :((( Обидно :((( Столько крови
мне попил :((( Причина - бизнес. Подробности выясняю, ночку спать не
придется. Но к утру все выясню.
Да, в моих руках оказался компьютер с полным набором хакерского
софта, в котором лично я разбираюсь не больше, чем медведь в папуасах
:((( Если этот вопрос интересует - задавайте наводящие - все, что
нужно сообщу, а при необходимости отправлю :)))
Компьютер теперь ЛИЧНО мой :)))
Плз, сравните служебную информацию этого письма с прошлыми письмами,
есть ли хоть какое отличие для специалистов?
Ну и главный вопрос: причина лома - бизнес :((( Что само по себе ну
очень неприятно и некрасиво :((( И хакера этого даже жалко, так как
теперь он ОЧЕНЬ долго не сможет ничего руками делать :((((((( Тем
более кнопки нажимать :(((
В подтверждение истинности этого письма уходит дубль в формате PGP на
адрес Jarex. Просьба Jarex'у при получении PGP письма подтвердить
Ralph'у и Константину истину моего послания :)))
Надеюсь, на этом все закончится :(((
5. Happy End !
==============
Subject: !!!! Attention !!!! End !!!!!!
Date: Sun, 5 Sep 1999 17:44:47 +0500
From: Vadim
Reply-To: List
To: List
From: Vadim Gordon
Здравствуйте всем
Если помните, я слал в лист предупреждение о том,что мой ящик был
сломан и хакер ПОЛНОСТЬЮ контролировал весь мой мыльный обмен :((
Причем сделал мне столько пакостей :(( Не столько в интернетовских
делах, а в первую очередь в бизнесе.
Теперь я хочу сообщить всем, что эта эпопея закончена, хакер пойман и
отправлен в больницу, компьютер с полным набором софта перешел в мое
полное владение :)))))
САМ БЫ Я ЭТОГО СДЕЛАТЬ ЕСТЕСТВЕННО НЕ СМОГ!!!!! :)))
ОГРОМНАЯ БЛАГОДАРНОСТЬ Jarex, Ralph и Константину!!!!! Им удалось
спровоцировать хакера на личную переписку и благодаря вовремя данным
грамотным советам я сумел на месте принять оперативные меры!
Кроме этого ОГРОМНАЯ БЛАГОДАРНОСТЬ ВСЕМ, КТО ВЫРАЗИЛ ЖЕЛАНИЕ
ПОМОЧЬ!!! Иван, Wizard - Спасибо огромное! И если я не
воспользовался Вашими предложениями, то это не означает, что я их
пропустил мимо ушей!
Кого заинтересует более детальное описание происшедших событий - могу
директом выслать "дневник событий", прямо детектив получился :)))
Естественно, если Jarex, Ralph и Константин дадут разрешение на
цитирование их писем :)
И итог: этот случай доказал, что возможности хакеров оп полному
контролю над Вашим мылом воистину безграничны :((( Только молодость и
полная уверенность в безнаказанности "моего" хакера позволили
нашим специалистам так быстро его обезвредить. Будь он чуть
осторожнее - ... аж дрожь пробивает, как подумаю, что он мог еще
натворить :(((((((((((((((((((((((((((
--
73! Vadim
------------------------------ List Sponsor ----------------------------
List members: don't miss out on the latest news at List
Join our community member news update
To unsubscribe from List you must to
send EMPTY message to address:
Subject: Hack
Date: Mon, 6 Sep 1999 16:52:32 +0500
From: Vadim
To: <skip
CC: Jarex, Ralph
Здравствуйте всем!
Как и обещал, посылаю краткое изложение произошедших со мной очень
неприятных событий, связанных со взломом моего ящика и использованием
моих данных при переписке. Инструкции по защите вы здесь не найдете,
только пошаговое описание действий моих, хакера и людей, сделавших
поимку хакера реальным делом :)))
Итак, началось все с того, что с неделю назад я стал получать от
своих клиентов возмущенные письма, к которым приаттачены были
сообщения от "меня" с матами и довольно корявым стилем :( На просьбу
прислать полный вариант письма со служебной информацией откликнулись
двое. И вот когда я увидел СВОИ полные данные в заголовках писем -
вот тогда я уже здорово испугался :( Именно тогда и было написано
мной письмо в List.
Очень важно было и то, что хакер не написал ни одного письма в листы
(а я подписан на 6 листов), что для хулигана было бы намного более
интересным, чем писать различным англоязычным дядям и тетям, которые
вообще поймут ли что - еще вопрос. Всего было отправлено 3 письма
моим Поставщикам и 21 - клиентам (на момент обнаружения мной факта
взлома).
Кроме этого, в последние пару недель у меня начались большие проблемы
с доставкой писем. Т.е. периодически пропадали письма из ящика, как
отправленные, так и пришедшие мне. С провайдером я ругался долго, он
доказывал, что это если и возможно, то очень редко и не по его вине.
Я был убежден в обратном. С одним из моих Партнеров, с которым
переписка шла на самом активном уровне, произошел практически полный
затор, т.е. из десятка писем проходили максимум два :(
Вот примерно в такой ситуации я и находился, когда на мою просьбу о
помощи начали откликаться. Служебная информация писем была разослана.
Во время этой переписки не прекращался "дождь" писем в мой адрес, где
примерно одна десятая составляла полезную информацию, а остальное
мусор. После установки АОН у провайдера был составлен график с
временем проверки ящика мной, причем время было выбрано НЕКРАТНЫМ 00
или 30. Ну и затем мной было получено письмо от ... меня :(((
Естественно с матами и "пожеланием" "отдыхать мазево" :(( Мне это
сказало только о том, что у хакера нервы не выдерживают и он уже
психует.
И вот в ночь в воскресенья на понедельник, примерно между часом и
двумя позвонил специалист провайдера, дежуривший в ночь, что "я"
проверяю ящик с такого-то телефона. Далее узнать адрес уже было делом
техники, свободные от смены работники охраны одного из моих магазинов
ждали в машине ... Когда через полчаса я подъехал по адресу, мне
оставалось только вызвать скорую и упаковать компьютер хакера для
дальнейшего изучения уже у себя дома :)
О причинах взлома могу сказать только то, что это был заказ одной из
фирм, ведущих "честную конкурентную борьбу" на рынке. Здесь еще все
не закончено, но уже легче стало :)))
Хакером оказался мальчишка 19 лет, фанатик компьютерный, вроде по
первому впечатлению умница. За "меня" он получил довольно приличную
сумму денег, с которой, к его сожалению, ему пришлось так скоро
расстаться :((( Но на лечение я ему немного оставил :)
Да, если у вас есть знакомый хакер, занимающийся тем же самым, могу
выслать для передачи ему выписку из истории болезни и направление из
травмпункта "моего хакера", может заставит на секунду задуматься :)
Но еще раз повторяю: так быстро поймать хакера мне удалось лишь по
двум причинам.
1. Молодость и амбиции хакера. Стоило ему на какое-то время затаиться
в момент обнаружения факта его деятельности - и всей этой истории
не было бы, а я так и сидел бы под полным контролем :(
2. Оперативная помощь Александра, Михаила и Константина. Я уверен,
что хакер просто не ожидал такой массированной атаки после
длительного "полного владения" моим ящиком :( Возможно, это и
послужило причиной его гневных писем Александру и Михаилу. Что
кстати и дало мне возможность быстро его обнаружить.
С содержимым компьютера хакера я сейчас потихоньку разбираюсь, но
сразу могу сказать, что стоит Юникс и три версии виндов: 95, 98 и NT.
Плюс в отдельном разделе QNX (насколько я в курсе, это тоже
юниксоподобное нечто) :))) Под виндами ничего особо интересного нет,
исключая два десятка дизассемблеров и отладчиков, ну и ПОЛНОГО списка
ВСЕХ паролей моего провайдера.
А, еще более тридцати версий всех возможных мэйлеров (одного мыша
больше десятка версий) :) Имеется ввиду в варианте инсталляшек,
рабочая лишь мышь 1.35 с полностью отстроенными "под меня" шаблонами
и параметрами :) Насколько я в курсе, это можно и так сделать, без
копирования, но очевидно хакер пошел по более простому пути :)
Что_где_зачем я еще буду разбираться, и здесь открыт всем советам, в
смысле "где и что искать" :)))
Вот такая вот детективная история :)) К сожалению, из нее нельзя
вывести способа избавиться от контроля хакера, но кое-какие моменты я
думаю будут многим небезынтересны :))) Событий конечно было больше,
но я представил здесь самые главные, позволяющие дать представление о
ситуации в целом.
И еще раз благодарю всех за помощь и участие!!!
--
Best regards,
Vadim