home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack44.011 < prev    next >
Encoding:
Text File  |  2003-06-11  |  11.7 KB  |  272 lines
  1.  
  2.                               ==Phrack Magazine==
  3.  
  4.                  Volume Four, Issue Forty-Four, File 11 of 27
  5.  
  6. ****************************************************************************
  7.  
  8. [Editor's Note:
  9.  
  10.   The following two files are very interesting.  I never paid ANY
  11.   attention to the realm of our community that focus on virii.  For
  12.   some reason, the whole idea behind them is a novel concept, but
  13.   I never saw any reason to take notice of them.  Even when I've
  14.   given lectures, I always leave discussion about virii out, since
  15.   they should be a moot point.  I mean, when "fdisk /mbr" will take
  16.   care of so many problems, what's the big deal?
  17.  
  18.   I know I'm over-simplifying things, but jesus...
  19.  
  20.   Well, while I continued to overlook this small but earnest group
  21.   of folks who dabble in virii, all kinds of things began to happen.
  22.   Groups formed, rivalries flared, paranoia ran rampant and one of the
  23.   most ridiculous cottage industries in the history of personal
  24.   computing appeared (living on the spread of Fear, Uncertainty and
  25.   Doubt.)
  26.  
  27.   Well, in all of this several names have popped up as potential threats
  28.   to this little world.  One in particular, Sarah Gordon, even got the
  29.   spotlight as a paranoid, BBS-busting, hacker-bashing psychopath in a
  30.   rather ill-researched and hastily prepared Phrack piece a few years
  31.   back.  It is rather odd that in all the hype we in the underground
  32.   drum up, no one ever bothers to get the other side of the story, so we
  33.   feed the fervor and continue the paranoia.
  34.  
  35.   Well, with this in mind, I received a file claiming to have info
  36.   regarding the big "expose" of Sarah masquerading as the Dark Avenger.
  37.   Now, even a moron like me has heard of the Dark Avenger, so I read it.
  38.   After doing so, I wanted to pipe it to /dev/null, but then decided it
  39.   would be much more fun to send it to Sarah too, and let her respond to it.
  40.  
  41.   It's amusing as hell, and just goes to show that the underground
  42.   has as many similarities in its distinct groups as it does
  43.   differences.]
  44.  
  45. -----------------------------------------------------------------------------
  46.  
  47.  
  48.          Sara(h?) Gordon AND THE DARK AVENGER SCAM.
  49.          By Kohntark
  50.  
  51.  
  52.          In one of my many online conversations with Sara Gordon
  53.          I once asked her about the validity of the VNI interviews and
  54.          her real relationship with the alleged dark avenger; after
  55.          logging into her VFR BBS and seeing a #2 (hers being #1)
  56.          account named after him.
  57.          I proceeded to leave a message for the dark avenger there,
  58.          claiming that the whole account was bogus as it is highly
  59.          improbable that this person might call all the way from
  60.          Bulgaria and log into a mediocre BBS just to chat with her,
  61.          considering the expense of such long distance call , the
  62.          economic situation in Eastern Europe and a fact that
  63.          would learn later: Sara(h) Gordon has an account on the
  64.          Bulgarian DIGSYS unix server, locally accessible by phone
  65.          from there!
  66.  
  67.          As it was expected, Sara(h) quickly 'noticed' my personal
  68.          message to the dark avenger and replied to my questioning in
  69.          a public post in FIDONET, (I don't read FIDONET posts and she
  70.          knows I have no access to them!!!! )
  71.          She claimed that the dark avenger was fully aware of how much
  72.          money she made out of the VNI interviews and that she was in
  73.          touch with him, etc.etc.
  74.  
  75.          Afterward, I questioned her again about the whole affair
  76.          and demanded a proof, or some sort of direct contact from the
  77.          dark avenger to my anonymous internet account.
  78.  
  79.          Since this was the first time anyone had ever questioned the
  80.          validity of her relationship with the DA, she took this to
  81.          heart and shortly after, I received 3 short messages
  82.          originating from <dav@danbo.digsys.bg> an Internet connected
  83.          UNIX system in Bulgaria.
  84.  
  85.          Here they are:
  86.  
  87.          (Private, compromising parts are X'd out)
  88.          1st Message:
  89.  
  90. --------------------------------------------------------------------------------
  91. -
  92. >From daemon@digsys.bg Wed Jul 14 19:07 EDT 1993
  93. Received: from danbo.digsys.bg by XXXXXXXXXXXXXXXXXXXXXX; Wed, 14 Jul 93 19:07:3
  94. 4 -0400
  95. Return-Path: <dav@danbo.digsys.bg>
  96. Received: by XXXXXXXXXXXXXX (5.67/1.35)
  97.         id AA12850; Thu, 15 Jul 93 02:04:46 +0300
  98. Message-Id: <9307142304.AA12850@XXXXXXXXXXXX>
  99. To: XXXXXXX
  100. From: dav@danbo.digsys.bg
  101. Date: Wed, 14 Jul 93 23:41:36 +0300
  102. Subject: No subject
  103. Status: RO
  104.  
  105.  
  106. kohntark-
  107.  
  108. i just talked to a friend of mine who said you dont like her user
  109. log. why shouldnt i call her from bulgaria? i call whoever i want
  110. to, and this is not your problem.
  111.  
  112. by the way, she sent me your mail. for your information, i do
  113. know how much money she made of that interview. and i also think
  114. that this is none of your business.
  115.  
  116. also, maybe it would be good for you to know, that by offending
  117. her, you are offending me, too. keep this in mind.
  118.  
  119. <dav>
  120. Second Message:
  121. -------------------------------------------------------------------------
  122.  
  123.  
  124. >My mail with her is none of your business either.
  125.  
  126. i dont think so, dude.
  127.  
  128.  
  129. maybe you need to read the next few lines again,
  130. in case you missed them.
  131.  
  132.  
  133. >>
  134. >> also, maybe it would be good for you to know, that by offending
  135. >> her, you are offending me, too. keep this in mind.
  136. >>
  137. >> <dav>
  138.  >
  139.  >HA HA! and you expect me to believe that you are the DA!
  140.  >send me a proof: an email address from bulgaria or tell me
  141.  >how many addressing modes does the MTE have?
  142.  >
  143.  >nice try.
  144.  
  145.  
  146.  well, what do you think the domain .bg in my email address stands for?
  147.  maybe you think its kameroon?
  148.  as for the mte, im not giving you any info.
  149.  
  150.  i need not prove anything to anybody, and certainly dont plan to waste more
  151.  of my time talking to you. you have been warned.
  152.  
  153.  
  154. <dav>
  155.  
  156. Third Message:
  157. -------------------------------------------------------------------------
  158.  
  159.  oh, yeah. sure it did.
  160.  only you will not know where something else came from, when it knocks on your
  161.  door. i have nothing more to say.
  162.  
  163. -------------------------------------------------------------------------
  164.  
  165.  
  166.          In my ignorance, I blindly trusted the three cryptic replies
  167.          to be true, even thought whoever replied refused to give out
  168.          trivial information such as the number of addressing modes
  169.          for a 2 year old encryption engine (MTE) and spelled Cameroon
  170.          with a 'k' (Check out Sara Gordon's spelling of URUGUAY in
  171.          VIRUS-L Volume 6 Issue 120 -v06i120)
  172.          Shortly after other unrelated discussions and a CUD post from
  173.          Sara(h) in which I was mentioned (unnamed), someone warned me
  174.          of several posts in NUKENET by an alleged dark avenger and
  175.          Todor Todorov from an account belonging to the last,
  176.          mentioning me and Aristotle.
  177.          In those messages I was referred to as 'hotshot,' a word that
  178.          Sara Gordon had used on me several times on our personal
  179.          email exchange; It was then that I became highly suspicious
  180.          of the whole matter.
  181.  
  182.          I called Virginia's Virus Research Institute's sysop and
  183.          owner, Aristotle to find out more about the posts and he
  184.          bought to my attention the particular writing style of
  185.          Sara(h) Gordon: She NEVER uses capital letters and
  186.          apostrophes on her personal email, and always signs her name
  187.          on the lower left hand corner. (She seldom signs her posts
  188.          nowadays and changes her user name in her vfr@netcom.com
  189.          account every week!; for further proof of her writing style,
  190.          please refer to public posts in VIRUS-L Volume 6 #120; I also
  191.          have over 100K of personal email exchange to prove this
  192.          fact!)
  193.  
  194.          It was then that we realized that she was passing herself as
  195.          Todor Todorov and the dark avenger (who could possibly verify
  196.          their online identity?) and had infiltrated NUKENET..
  197.  
  198.          The writing style described corresponds exactly to the one on
  199.          the posts I received from the 'dark avenger.'
  200.          Shortly afterward the <dav@danbo.digsys.bg> account was
  201.          cancelled and I learned the whole truth:
  202.  
  203.          The danbo.digsys.bg Bulgarian site belongs to Daniel Kalchev,
  204.          another self appointed AV researcher whose best claims to
  205.          fame are submitting various Bulgarian viruses to Patricia
  206.          Hoffman's VSUM!!
  207.          (You can check this by doing a search on 'Kalchev' on the
  208.          current VSUMs or you can contact him thru:
  209.          <daniel@danbo.sigsys.bg> )
  210.          He is a very close friend of Sara(h) Gordon and he has an
  211.          account in her VFR BBS (you can check this by logging into
  212.          her system and checking the user list) and SHE has an
  213.          account in digsys.bg under <sarah@danbo.digsys.bg> (this
  214.          account is still valid as far as I know; notice the H after
  215.          her name!)
  216.  
  217.          What I concluded is that is the DA would never get an account
  218.          in such system as he HATES Daniel Kalchev!!!!
  219.  
  220.          This is what really happened: Sara(h) Gordon in her
  221.          desperation to prove that she was in touch with the dark
  222.          avenger, told her pal Daniel Kalchev to make an account under
  223.          the dark avenger's name (<dav> this is how she always refers
  224.          to him, even though he never signs his name that way (check
  225.          the source code for his 'Dark Avenger' virus or the
  226.          'Commander Bomber' virus message name: [DAME])
  227.          From there she could email me messages that would come from
  228.          Bulgaria and would be untraceable since she would log into
  229.          her account in digsys.bg and log into the <dav> account
  230.          internally from the same site in Bulgaria. (You can check
  231.          where and when most of the people log from in most internet
  232.          unix and vax sites)
  233.  
  234.          As it is expected from her, she has denied any of this.
  235.          Some of her ridiculous explanations include things like
  236.          "hotshot is a very common English word in Bulgaria" !!!
  237.  
  238.          You might ask yourself what is the deal with the h? is it
  239.          sara or sarah??
  240.          Well, I asked her the same question when I noticed this in
  241.          one of the VNI interviews, where her name is spelled as
  242.          Sarah.
  243.          She replied that this was a mistake of the publisher.
  244.          Mistake? well not really, it was another lie, meant to throw
  245.          off any information and truth seekers, for example you can
  246.          check her account in Daniel Kalchev's system:
  247.          <saraH@danbo.digsys.bg> , spelled with an H,
  248.          another 'mistake of the publisher?'
  249.          :)
  250.  
  251.          Other countless Sara Gordon lies are told in NUKE Info-
  252.          Journal # 6.
  253.  
  254.          This behavior puts in question the validity of the VNI
  255.          interviews and the reputation of Sara(h) Gordon as a serious
  256.          (self appointed) 'virus researcher'
  257.  
  258.          IMHO the VNI interviews are a complete fabrication, meant
  259.          only to boost her validity as a 'journalist', and to make her
  260.          lots of money, charging for further 'interviews' to other
  261.          magazines. (She has offered her paid 'interviewing' services
  262.          to various other publications.)
  263.  
  264.          To the best of my knowledge the information I present here
  265.          is true and can be checked.
  266.          I chose to publish this information, despite threats against
  267.          my well being and countless lies about me propagated by
  268.          Sara(h) Gordon.
  269.          I am doing this to stop the lies and corruption fostered by
  270.          the Anti-Virus industry.
  271.  
  272.