home *** CD-ROM | disk | FTP | other *** search
/ Hackers Toolkit 2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Texts / Improving-Security / security4.txt < prev    next >
Encoding:
Text File  |  1999-11-04  |  15.7 KB  |  405 lines
  1.         Surviving Abusive Repetitive Email Messages on the Internet
  2.                      (a.k.a. Spam Mail and Mail Bombs)
  3.  
  4.                                  March 1996
  5.  
  6.                           Christopher D. Reagoso
  7. ---------------------------------------------------------------------------
  8.  
  9.                                 Introduction
  10.  
  11. ---------------------------------------------------------------------------
  12.  
  13. Definition and Explanation of an Internet Mail-Bomb
  14.  
  15. Internet "mail-bombing" is the act of sending an extraordinarily large
  16. number of duplicate messages via Internet electronic mail to a target
  17. person whose account typically resides on a system other than the one the
  18. messages were originated from.
  19.  
  20. Generally, should you find yourself the victim of an Internet mail-bombing,
  21. it is in response to a Usenet news message recently posted by yourself that
  22. someone took an offense to. Regardless as to whether their dislike for your
  23. posting was founded or not, mail-bombing someone is not polite and is
  24. justifiably not tolerated by system administrators.
  25.  
  26. Traits of an Internet Mail-Bomber
  27.  
  28. The typical Internet mail-bomber is a junior or senior in high school, or
  29. freshman in college. They hold radical beliefs that are far to the left or
  30. right and do not take well to constructive criticisms. Maladjusted to their
  31. environment and preferring social isolation, their felonious handles
  32. protect them from person-to-person relationships as they frequent the
  33. Usenet newsgroups.
  34.  
  35. Stereotypically, they are also technocratic elitists who take pleasure in
  36. the "dark side" of the Internet (including computer hacking, theft of
  37. service from telephone utilities, and credit card fraud). They feel their
  38. power is derived from their ability to adversely affect your daily life.
  39. With their inflated egos they attempt to cause mischief while hiding behind
  40. their shield of anonymity.
  41.  
  42. In 99% of all cases, their threats to you are nothing to be concerned with.
  43. This is evident since you found yourself mail-bombed rather than holding a
  44. $10,000.00 telephone bill or credit card statement. They do not actually
  45. possess these skills-they are lying when they say they do. It takes no
  46. special knowledge, effort, or "elite hacking skills" to mail-bomb someone.
  47. You could do it to someone right now.
  48.  
  49. ---------------------------------------------------------------------------
  50.  
  51.                Putting An End to the Mail-Bomber's Escapades
  52.  
  53. Note: The technique I am about to describe is most effective against
  54. mail-bombs originating from the domains of educational institutions and
  55. small Internet service providers. The techniques detailed below are not
  56. entirely effective with providers such as GEnie, CompuServe, and America
  57. Online because of the limited nature of the accounts they provide to their
  58. users. I illustrate how I determined that Joshua Davis of Marietta College,
  59. OH has mail-bombed me with over 600 messages; and how attempt to put an end
  60. to it.
  61.  
  62. ---------------------------------------------------------------------------
  63.  
  64. Understanding an Internet Mail-Bomb
  65.  
  66. If a technical manual existed describing what to consider when sending a
  67. mail-bomb, it would concentrate on forging the electronic mail headers.
  68.  
  69. Below is the message header from an actual mail bomb that was sent to me. I
  70. received over 600 duplicate mailings inside of one minute, all with this
  71. header. Take careful notice that the header insinuates that I had surely
  72. mail-bombed myself.
  73.  
  74. From: reagosoc@apci.net (Christopher D. Reagoso)
  75.  
  76. Subject: Re: Make Money Fast!!!!!!!!!!!!!!!!!!!
  77.  
  78. Date sent: Mon, 26 Feb 1996 22:42:12 GMT
  79.  
  80. Organization: Applied Personal Computing, Inc.
  81.  
  82. Notice my name in the "From:" block, and the name of my Internet service
  83. provider in the "Organization:" block. It would appear that whoever sent
  84. this bomb intended it to look as if I had sent the six hundred duplicates
  85. of the message to myself.
  86.  
  87. A More Detailed Understanding
  88.  
  89. Unfortunately, for the mail-bomber, there are headers in addition to the
  90. ones that are normally displayed to the casual user. These headers are
  91. called extended headers. They contain information detailing the email
  92. address of who the message was sent from, from what system it originated
  93. from, various times and dates, and the like. Below are the extended headers
  94. from the mail bomb that was sent to me.
  95.  
  96. X-POP3-Rcpt: reagosoc@hilly
  97.  
  98. Return-Path: daviso@mcnet.marietta.edu
  99.  
  100. Received: from mcnet.marietta.edu (mcnet.marietta.edu [199.218.109.34]) by hilly.apci.net (8.6.12/8.6.9) with SMTP id RAA00343 for <reagosoc@apci.net>; Thu, 7 Mar 1996 17:23:23 -0600
  101.  
  102. Received: by mcnet.marietta.edu; id AA18923; Thu, 7 Mar 1996 18:22:15 -0500
  103.  
  104. Path: malgudi.oar.net!multiverse!castle.nando.net!imci4!newsfeed.internetmci.com!queeg.apci.net!news
  105.  
  106. From: reagosoc@apci.net (Christopher D. Reagoso)
  107.  
  108. Newsgroups: alt.2600
  109.  
  110. Subject: Re: Make Money Fast!!!!!!!!!!!!!!!!!!!
  111.  
  112. Date: Mon, 26 Feb 1996 22:42:12 GMT
  113.  
  114. Organization: Applied Personal Computing, Inc.
  115.  
  116. Lines: 405
  117.  
  118. Message-Id: <4gtd9k$h9c@queeg.apci.net>
  119.  
  120. References: <96022548306@microserve.com>
  121.  
  122. Nntp-Posting-Host: dialup111.apci.net
  123.  
  124. X-Newsreader: Forte Free Agent 1.0.82
  125.  
  126. Apparently-To: reagosoc@apci.net
  127.  
  128. X-PMFLAGS: 33554560 0
  129.  
  130. Upon examination of the extended mail headers I had discovered the true
  131. identity of the mail-bomber. The mail-bomber did not (or could not) remove
  132. his return email address from the "Return-Path:" block in the extended
  133. message headers. He also did not take the time to think that by simply
  134. pressing CTRL-H in my mail reader, Pegasus Mail version 2.2, I could read
  135. the extended headers and discover who indeed he was.
  136.  
  137. Had he been able to remove his return email address, scattered throughout
  138. the extended message header I would have still seen "mcnet.marietta.edu"
  139. which is where the message originated from. Even had the mail-bomber been
  140. able to remove his name from the message I would have been able to tell
  141. where it had originated from by the extended headers.
  142.  
  143. Discovering Detailed Information About the Mail-Bomber
  144.  
  145. Once you have a mail-bomber's email address, discovering more information
  146. such as his real name, phone number, and home address through legal means
  147. is not difficult; especially if he is new to his operating environment, as
  148. most mail-bombers are. This information, provided it is not misused, is
  149. especially useful when dealing with a mail-bomber's system administrators
  150. since it adds credibility to the accusation of your suspected mail-bomber.
  151.  
  152. Using Netscape or other browser, visit
  153. http://www.winternet.com/~drow/finger.html. (NOTE: This finger server is
  154. now out-of-service. 3-Dec-96 cdr) It is a WWW Finger Server. Do not be
  155. concerned with what this is, but rather what it can provide. Enter the full
  156. email address of the suspected mail-bomber and click on submit. A screen
  157. with text similar to that below might be displayed.
  158.  
  159. [mcnet.marietta.edu]
  160.  
  161. Login name: daviso                      In real life: Joshua Davis
  162.  
  163. Directory: /mc/staff/daviso             Shell: /bin/ksh
  164.  
  165. Last login Fri Mar  8 17:04 on ttyp0 from 199.218.109.38
  166.  
  167. No Plan.
  168.  
  169. The mail-bombers identity is now known as Joshua Davis from the "In real
  170. life:" block. It would not be far-fetched to see an alias entered in this
  171. block to help obscure his true identity; but not in this case. I now have a
  172. name (or alias) that I can use when contacting his system administrators.
  173.  
  174. Later you will see how I discovered his account was on a computer at
  175. Marietta College in Ohio, area code 614. Had Joshua had a phone (or a
  176. listed number, assuming he does have a phone with an unlisted number), I
  177. could have had his phone number and address through AT&T's directory
  178. assistance by dialing 10+288+1-614-555-1212.
  179.  
  180. Discovering Detailed Information About the Mail-Bomber's Internet Service
  181. Provider
  182.  
  183. Before you contact the mail-bomber's system administrators, it is good to
  184. know a bit about them. From the mail-bomber's email address
  185. "daviso@mcnet.marietta.edu" you know that his system administrators live at
  186. the domain "mcnet.marietta.edu" and that by adding "http://www." to the
  187. front of it and "/" to the end of it, you probably have recreated his
  188. system's web page.
  189.  
  190. More simply, daviso@mcnet.marietta.edu becomes mcnet.marietta.edu becomes
  191. http://www.mcnet.marietta.edu/ which I simply use Netscape to look up.
  192.  
  193. It's almost that simple. As it turns out, "mcnet" must be eliminated for it
  194. to be a valid address. Therefore, the correct address for the web page of
  195. Joshua's system administrators is http://www.marietta.edu/. Once I visited
  196. this page it was not long before I discovered that the phone number for the
  197. computer science department of Maretta College in Ohio was (614)376-4820.
  198.  
  199. Gathering Motives and Other Evidence
  200.  
  201. Now that you have an identity, you need to gather motives and other
  202. evidence supporting why to believe the user you suspect mail-bombed you
  203. actually was the one who did it.
  204.  
  205. A good source for this is the DejaNews Research Service located at
  206. http://www.dejanews.com/ on the world wide web. Among other things, the
  207. cost-free DejaNews Research Service will allow you to search for all of the
  208. postings your suspected mail-bomber has ever posted to the UseNet
  209. newsgroups. You can copy his postings and forward them to his system
  210. administrator to help justify your accusations.
  211.  
  212. All postings to all Usenet newsgroups that Joshua has ever made were at my
  213. fingertips when I searched on his email address
  214. "daviso@mcnet.marietta.edu." My search resulted in the list below.
  215.  
  216. 03/02 024 I'm tired of the trash o alt.2600             daviso@mcnet.mariett
  217.  
  218. 02/18 022 Daemon Dialers           alt.2600             daviso@mcnet.mariett
  219.  
  220. 02/18 022 40Hex                    alt.2600             daviso@mcnet.mariett
  221.  
  222. 03/02 021 Then use a killfile. (wa alt.2600             cantrick@rintintin.C
  223.  
  224. 03/02 021 Re: I'm tired of the tra alt.2600             TheAnalyst@Nfo.Org (
  225.  
  226. 02/19 021 Re: 40Hex                alt.2600             medulla@PROBLEM_WITH
  227.  
  228. 02/21 020 Re: 40Hex                alt.2600             0@0.0
  229.  
  230. 02/18 020 Re: 40Hex                alt.2600             Josh Attoun <attoun@
  231.  
  232. 01/30 020 cmsg cancel <9601301105. bit.listserv.games-l Joshua Davis <daviso
  233.  
  234. This is every posing on every newsgroups that contains Joshua's email
  235. address as of March 9, 1996. I forwarded several of his postings to his
  236. system administrators to show that he was indeed an internet trouble-maker.
  237.  
  238. Contacting the System Administrators
  239.  
  240. Once you are sure you have determined who mail-bombed you, as I did, it is
  241. time to contact the system administrators. Usually, the system
  242. administrators can be contacted by sending mail to
  243. root@the.name.of.their.system. In the case of Joshua, his administrators
  244. would be "root@mcnet.marietta.edu" and below are the messages I sent to
  245. them. I have removed some parts of my message because of their lengthy
  246. nature.
  247.  
  248. From:                 Self <Single-user mode>
  249.  
  250. To:               root@mcnet.marietta.edu, root@microserve.com
  251.  
  252. Subject:          (Fwd) Re: Make Money Fast!!!!!!!!!!!!!!!!!!!
  253.  
  254. Copies to:        support@apci.net, reagosoc@hqamc.safb.af.mil
  255.  
  256. Date sent:        Thu, 7 Mar 1996 22:44:44
  257.  
  258.                                        Christopher D. Reagoso
  259.  
  260.                                        401 N. 48th St. No. 5
  261.  
  262.                                        Belleville, IL  62223
  263.  
  264.                                        (618)256-2300 [work]
  265.  
  266.                                        March 7, 1996
  267.  
  268. To:  root@mcnet.marietta.edu
  269.  
  270.      root@microserve.com
  271.  
  272. Dear Administrators,
  273.  
  274.   I have recently received over 600 copies of the attached
  275.  
  276. message (see below).  The body of the mailing is from my response to a
  277.  
  278. chain-letter solicitation I discovered in a alt.2600 some time ago. I
  279.  
  280. suspect that it may be from a user seeking vengeance for my intolerance
  281.  
  282. to the solicitation, or from some other usenet reader who did not agree
  283.  
  284. with my method for handling the solicitation.  Regardless, I will
  285.  
  286. not stand for another attack such as this.  For this reason, I need
  287.  
  288. your help.
  289.  
  290.   I am reasonably new to reading mail headers and understand that they
  291.  
  292. can be forged.  The message does seem, however, to have originated from
  293.  
  294. a user on one of your systems.
  295.  
  296.   Please assist me in investigating this.  Also understand that I am
  297.  
  298. not concerned with who originated it in-as-much-as that they are no
  299.  
  300. longer provided a capability to act again in this fashion on networks
  301.  
  302. under your administration.
  303.  
  304.   Upon resolving this issue (e.g.:  determination that it was or was
  305.  
  306. not a user of your network, or if indeterminable), please follow-up
  307.  
  308. with me by telephone, or email at the following address (since I can
  309.  
  310. not guarantee that I will be able to sort out your replies from future
  311.  
  312. mail-bombings):
  313.  
  314.           reagosoc@hqamc.safb.af.mil
  315.  
  316.   Again, thank you for your attention to this matter.
  317.  
  318. Sincerely,
  319.  
  320. /s/
  321.  
  322. Christopher D. Reagoso
  323.  
  324. cc:  support@apci.net
  325.  
  326. -- Forwarded Message Follows (Entire Message w/ Full Headers) --
  327.  
  328. -- Forwarded Message Follows (Entire Message w/ Full Headers) --
  329.  
  330. -- Forwarded Message Follows (Entire Message w/ Full Headers) --
  331.  
  332. X-POP3-Rcpt: reagosoc@hilly
  333.  
  334. Return-Path: daviso@mcnet.marietta.edu
  335.  
  336. Received: from mcnet.marietta.edu (mcnet.marietta.edu
  337.  
  338. [199.218.109.34]) by hilly.apci.net (8.6.12/8.6.9) with SMTP id
  339.  
  340. RAA00628 for <reagosoc@apci.net>; Thu, 7 Mar 1996 17:23:55 -0600
  341.  
  342. Received: by mcnet.marietta.edu; id AA08868; Thu, 7 Mar 1996 18:22:48
  343.  
  344. -0500 Path:
  345.  
  346. malgudi.oar.net!multiverse!castle.nando.net!imci4!newsfeed.internetmci
  347.  
  348. com!queeg.apci.net!news From: reagosoc@apci.net (Christopher D.
  349.  
  350. Reagoso) Newsgroups: alt.2600 Subject: Re: Make Money
  351.  
  352. Fast!!!!!!!!!!!!!!!!!!! Date: Mon, 26 Feb 1996 22:42:12 GMT
  353.  
  354. Organization: Applied Personal Computing, Inc. Lines: 405 Message-Id:
  355.  
  356. <4gtd9k$h9c@queeg.apci.net> References: <96022548306@microserve.com>
  357.  
  358. Nntp-Posting-Host: dialup111.apci.net X-Newsreader: Forte Free Agent
  359.  
  360. 1.0.82 Apparently-To: reagosoc@apci.net Status: RO X-Status: X-PMFLAGS:
  361.  
  362. 33554560 0
  363.  
  364. <message deleted because of length>
  365.  
  366. I followed up by forwarding Joshua's UseNet newsgroup postings to his
  367. system administrators and placing a phone call to them in the morning.
  368.  
  369. ---------------------------------------------------------------------------
  370.  
  371.           Checklist For Your Response to an Internet Mail-Bombing
  372.  
  373. ---------------------------------------------------------------------------
  374.  
  375. Below are the steps I executed to thwart the future mail-bomb attempts of
  376. Joshua Davis of Marietta College, Ohio (daviso@mcnet.marietta.edu).
  377. Although the steps are very generic, it is conceivable that they may not
  378. work for you because of the great diversity of systems on the internet.
  379.  
  380. It is also conceivable that you may receive the "perfect forgery"; a
  381. message in which all of the headers have been forged (thank you--I don't
  382. know who (grin)--for pointing this out to me by a perfectly forged email).
  383. Generally, though, most mail-bombers are not technically competent to
  384. create the perfect forgery, so I suggest using these steps to track him
  385. down and put an end to his antics.
  386.  
  387.   1. Attempt to determine the true email address of the offender by reading
  388.      the extended headers of the mail-bomb.
  389.   2. Discover more detailed information about the mail bomber through the
  390.      use of a WWW Finger Server.
  391.   3. Discover more detailed information (such as phone number and mailing
  392.      address) of the offender's internet service provider. This is done by
  393.      mutating the offender's email address to the address of a WWW URL
  394.      (Netscape address) and using Netscape or other browser to view their
  395.      home page.
  396.   4. Gather motives and other evidence by using the cost-free DejaNews
  397.      Research Service and searching on his full email address. Prepare
  398.      these for forwarding to his system administrators.
  399.   5. Forward the entire mail-bomb with extended headers, detailed
  400.      information about the offender, and all evidence gathered to the
  401.      system administrators. It is a good idea to send a courtesy copy to
  402.      your system administrators who may be able to assist you further.
  403.  
  404. ---------------------------------------------------------------------------
  405.