Co se stalo? Kdosi jménem Honzy, OK1UU, založil schránku
ok1uu@seznam.cz a tuto mailovou adresu přihlásil do mailing listu ČRK - OK
listu. Na ni přeposlal předpověď podmínek šíření od Franty, OK1HH. Tu pak
upravil tak, že její původní text nahradil novým:
Ahoj Honzo,
tak se to daří.
Ne nadarmo jsem byl u zpravodajců a pak na úřadě pro tisk a informace.
Podivej se na to.
1HH
Tuto zprávu pak "náhodou" poslal do OK listu... Na to pak
v zápětí reagoval OK1XU takto:
Aneb jak odbouchnout kandidata na predsedu ...
73, XU
Cíl toho všeho je jasný - zdiskreditovat OK1HH i OK1UU,
ztížit kandidaturu OK1HH na předsedu ČRK, ubrat šance na úspěch celé nové
kandidátce a zabránit tak chystaným změnám. OK1XU ihned doplnil návod, co
si má méně chápavý čtenář tohoto listu myslet a udělal to způsobem, který
lze v případě potřeby vyložit také jako odsouzení tohoto činu.
Je to skutečně hloupé a přízemní, takovéhle "náhodě" by
snad neuvěřilo ani malé dítě. Záležitost by se začala patřičně rozmazávat,
až by se přišlo na nepravdivost tohoto výroku, ale zůstala by tu špína a
nahlodaná důvěra. Napadení by se těžko bránili a obětí by byli především
účastníci sjezdu. Jenže pachatel se poněkud přepočítal - jeho odhalení
netrvalo ani 20 minut. Jak se v takových případech postupuje, velmi hezky
popsal jeden radioamatér, který je mj. také profesionálním správcem
sítě:
V SMTP hlavičce oné zprávy, jejíž From: je nastaveno
na lze nalézt
řádku
In-Reply-To:<Pine.GSO.4.05.10406081105150.11221-101000@sunkl.asu.cas.cz>
Toto
je adresa stroje, na níž má Franta HH opravdu jeden ze svých mailboxů a
nemýlím-li se, Franta používá Pine, což pasuje. Inkriminovaná zpráva tedy
téměř jistě vznikla jako odpověď na nějakou Frantovu zprávu.
Chceme-li najít pravdu, chtělo by to v první řadě podívat
se do deníku tohoto stroje (sunkl.asu.cas.cz), komu byla zpráva s tímto ID
Frantou odeslána, adresát je s velkou pravděpodobností odesílatelem
inkriminované zprávy. Ale nemusí být na sto procent, zpráva mohla být dále
přeposílána.
Zároveň by proto nebylo marné, kdyby se správce
konference OK list podíval do deníku stroje, na němž konference jede
(ms.mlp.cz) a tam bude jednoznačně vidět, odkud příslušná zpráva přišla
(po protažení listserverem se část SMTP informace ztrácí, ale v SMTP logu
listserveru je zachováno info o connectu z odesílajícího stroje včetně
času, což je při intenzitě provozu v OK listu dostatečně přesné
vodítko).
"Pachatel" této zprávy je tedy jednoznačně dohledatelný,
alespoň na úroveň zdrojové IP adresy. Otázkou ale je, zda v současném,
rozeštvaném a nenávistí naplněném dusném prostředí by bylo takovéto
odhalení přínosem, nebo jen eskalací již tak hnusných vztahů mezi
radioamatéry.
Ve skutečnosti nebyl celý postup ani tak složitý. Stačilo
jen "hacknout" schránku ok1uu@seznam.cz, což bylo velmi jednoduché,
protože pachatel zadal heslo 12345. Tam již byla k dispozici zpráva, která
posloužila jako "mustr". Stačilo pak jen podívat se do hlavičky a výsledek
byl jasný, ani nebylo nutné dohledávat IP adresu. Podívejte se sami:
Received: from freza.core.ignum.cz [192.168.1.12] by pinda.core.ignum.cz
(SMTPD32-7.15) id AFAC33C40130; Fri, 13 Aug 2004 23:16:28 +0200
Received: from localhost (localhost [127.0.0.1])
by freza.core.ignum.cz (Postfix) with SMTP id F1367100E81
for <jan.svarc@ok1vvw.cz>; Fri, 13 Aug 2004 23:21:26 +0200 (CEST)
Received: from ms.mlp.cz (ms.mlp.cz [195.113.180.195])
by freza.core.ignum.cz (Postfix) with ESMTP id E20C2100E7B
for <jan.svarc@ok1vvw.cz>; Fri, 13 Aug 2004 23:21:26 +0200 (CEST)
Received: from Spooler by ms.mlp.cz (Mercury/32 v3.32) ID MO000FDA;
13 Aug 04 23:21:40 +0200
Received: from spooler by mlp.cz (Mercury/32 v3.32); 13 Aug 04 23:20:39 +0200
X-VIRWALL: Passed through antiviral test by VirWall 3.0.3 on mlp.cz
From: =?iso-8859-2?Q?Jan=20=A9varc?=
To: OK list <crk@mlp.cz>
Subject: =?us-ascii?Q?Re=3A=20info?=
Date: Fri, 13 Aug 2004 23:20:22 +0200 (CEST)
Errors-To: <crk_err@mlp.cz>
Reply-To: OK list <crk@mlp.cz>
Sender: Maiser@mlp.cz
X-listname: <crk@mlp.cz>
Comments: Originally To: crk@mlp.cz
Comments: Originally Cc:
In-Reply-To: <Pine.GSO.4.05.10406081105150.11221-101000@sunkl.asu.cas.cz>
Content-Type: text/plain; charset="iso-8859-2"
Mime-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Message-ID: <-21689109.3037.1092439231@mlp.cz>
X-Mailer: Mercury/32 v3.32
X-RCPT-TO: <jan.svarc@ok1vvw.cz>
Status: U
X-UIDL: 372643426
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D P=F9vodn=ED zpr=E1v=
a =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
Od (From): "Propagation Interested Group"
Komu (To): ok1uu@arrl.net
Kopie (Cc):
P=F8edm=ECt (Subject): info
Datum (Date): 13. 8. 2004 11:06
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D
Ahoj Honzo,
tak se to da=F8=ED.
Ne nadarmo jsem byl u zpravodajc=F9 a pak na =FA=F8ad=EC pro tisk a inf=
ormace.
Podivej se na to.
1HH
a tohle hlavička původní zprávy s předpovědí podmínek šíření od
OK1HH, přeposlané na ok1uu@seznam.cz:
Received: (qmail 6074 invoked from network); 13 Aug 2004 11:00:11 -0000
Received: from unknown (HELO rs.cesnet.cz) (195.113.144.199)
by virgo.go.seznam.cz with SMTP; 13 Aug 2004 11:00:11 -0000
Received: from mailserv.testcom.cz (ns.testcom.cz [195.113.206.38])
by rs.cesnet.cz (Postfix) with ESMTP id 24C601405BE
for <ok1uu@seznam.cz>; Fri, 13 Aug 2004 12:39:57 +0200 (CEST)
Received: from DTKII/SpoolDir by mailserv.testcom.cz (Mercury 1.48);
13 Aug 04 12:39:55 +0200
Received: from SpoolDir by DTKII (Mercury 1.48); 13 Aug 04 12:39:26 +0200
Resent-From: "Milos Prostecky" <Milos@testcom.cz>
Resent-To: ok1uu@seznam.cz
Resent-Date: Fri, 13 Aug 2004 12:39:16 +0100
Received: from SpoolDir by DTKII (Mercury 1.48); 8 Jun 04 11:22:21 +0200
Received: from sunkl.asu.cas.cz (147.231.106.1) by mailserv.testcom.cz
(Mercury 1.48) with ESMTP; 8 Jun 04 11:22:18 +0200
Received: from sunkl.asu.cas.cz (localhost [127.0.0.1])
by sunkl.asu.cas.cz (8.12.8/8.12.8) with ESMTP id i5896NYx011330;
Tue, 8 Jun 2004 11:06:23 +0200 (MET DST)
Received: from localhost by sunkl.asu.cas.cz
(8.12.8/8.12.8/Submit) with ESMTP id i5896EXh011322;
Tue, 8 Jun 2004 11:06:14 +0200 (MET DST)
Date: Tue, 8 Jun 2004 11:06:14 +0200 (MET DST)
From: Propagation Interested Group <ok1hh@sunkl.asu.cas.cz>
To: Undisclosed recipients: ;
Subject: Predpoved CONDX KV 040607
Message-Id: <Pine.GSO.4.05.10406081105150.11221-101000@sunkl.asu.cas.cz>
Mime-Version: 1.0
Content-Type: MULTIPART/MIXED; BOUNDARY=--2c274da49e6557c
Content-Id: <Pine.GSO.4.05.10406081105151.11221@sunkl.asu.cas.cz>
Resent-Message-Id: <20040813103959.24C601405BE@rs.cesnet.cz>
X-Nod32result: clean
Povšimněte si, že zpráva s předpovědí podmínek od OK1HH
byla přeposlána 13.8.2004 ve 12.39 z adresy Milos@testcom.cz na adresu
ok1uu@seznam.cz. Zfalšování údajů v hlavičce prakticky nepřichází v úvahu,
teoreticky by to mohl udělat jedině člověk, který má přístup k serveru
ns.testcom.cz [195.113.206.38]. Ve 12.39 tedy došlo pouze k přeposlání
zprávy OK1HH, k čemuž si pachatel vytvořil e-mailovou schránku
ok1uu@seznam.cz pod jménem Jan Švarc. Zbytek pak už mohl být proveden
odkudkoli, poukaz OK1MP na to, že ve večerních hodinách již nebyl v
Testcomu, je tedy zcela irelevantní. Z výše uvedeného porovnání je
pachatel velmi pravděpodobný (lépe řečeno jasný) - je jím osoba, která
mohla jménem Ing. Prosteckého přeposlat zmíněnou zprávu, musela mít tedy
přístup k mailovému účtu jmenovaného. Okolnosti tedy nasvědčují tomu, že
nejpravděpodobnějším původcem může být sám současný předseda rady ČRK,
Ing. Miloš Prostecký, OK1MP. Nezapomínejme však na okolnost, že se na
vše přišlo v podstatě náhodou, díky tomu, že někdo do OK listu
zaregistroval adresu ok1uu@seznam.cz a zpočátku nebylo jasné, kdo a proč
ji založil. Je naprosto pochopitelné, že se OK1UU zajímal, kdo si jeho
jménem zakládá schránku a zcela logicky se proto snažil do ní dostat.
Použité heslo je však natolik triviální, že prakticky vylučuje, aby ho
použil profesionál, který by se např. dostal do sítě Testcomu a k
mailovému účtu OK1MP. Tato schránka nadále existuje, pouze u ní bylo
změněno původní slabé, triviální heslo za silné. Originální zprávy jsou
zde stále a budou zde uchovány až do okamžiku, než se věc vysvětlí.
A ještě jedna analýza (od OK2WY - fialovou barvou):
Skutečně není problém v hlavičce zprávy sfalšovat TÉMĚŘ
cokoli. Co však nikdo nesfalšuje, je identita SMTP serveru,
prostřednictvím kterého byla zpráva odeslaná, a to z toho prostého důvodu,
že tento údaj do hlavičky mailu vkládá dotyčný SMTP server sám v době, kdy
zprávu odesílá na místo určení.
Pokud obě inkriminované zprávy leží v mailboxu na
seznamu.cz, lze si dost těžko představit, že byly zrovna tam ručně
zeditované právě adresy SMTP serverů. Ledaže by někdo hacknul seznam a
udělal to přímo na něm, ale to, při vší důvěře ve schopnosti stran v tomto
sporu zúčastněných, asi není pravděpodobné.
Hlavicka zpravy z 8.7., preposlane 13.8. z Testcomu na Seznam
vypada
takto:
pokusim se o rozbor te
hlavicky, musis to cist odspodu:
Received: (qmail 6074
invoked from network); 13 Aug 2004 11:00:11 -0000
Received: from
unknown (HELO rs.cesnet.cz) (195.113.144.199)
by virgo.go.seznam.cz
with SMTP; 13 Aug 2004 11:00:11 -0000
^ no a tady
uz to prevzal seznam.
Received: from mailserv.testcom.cz
(ns.testcom.cz [195.113.206.38])
by rs.cesnet.cz (Postfix) with ESMTP
id 24C601405BE
^ tady to prevzal SMTP relay na
Cesnetu (tj. poskytovatel
pripojeni pro testcom je s nejvyssi
pravdepodobnosti Cesnet, proc
by jim jinak delal
relay)
for <ok1uu@seznam.cz>; Fri, 13 Aug 2004
12:39:57 +0200 (CEST)
Received: from DTKII/SpoolDir by
mailserv.testcom.cz (Mercury 1.48);
13 Aug 04 12:39:55 +0200
^ tady to prevzal opet SMTP mailserveru testkomu. Neznam
jejich
vnitrni strukturu site, ale na 99,9% to slo zevnitr
podnikove
site, predpokladam ze nemaji open-relay SMTP pres ktery by
sly
posilat maily i zvenku, protoze to je prasarna a vzapeti by
se
ocitli na nekterem z blacklistu a meli by problem posilat
maily
kamkoli kde pouzivaji antispamove filtry
Received:
from SpoolDir by DTKII (Mercury 1.48); 13 Aug 04 12:39:26 +0200
^ tady to prebral dalsi SMTP server s nazvem DTKII, Mercury
je
mailovy system pro Novell Netware
Resent-From: "Milos
Prostecky" <Milos@testcom.cz>
Resent-To: ok1uu@seznam.cz
Resent-Date: Fri, 13
Aug 2004 12:39:16 +0100
^ tady to nekdo
preposlal
Received: from SpoolDir by DTKII (Mercury 1.48); 8
Jun 04 11:22:21 +0200
Received: from sunkl.asu.cas.cz (147.231.106.1)
by mailserv.testcom.cz
(Mercury 1.48) with ESMTP;
^ Tady to prijal mailserver na testcomu a predal to
dal..
8 Jun 04 11:22:18 +0200
Received: from
sunkl.asu.cas.cz (localhost [127.0.0.1])
by sunkl.asu.cas.cz
(8.12.8/8.12.8) with ESMTP id i5896NYx011330;
Tue, 8 Jun 2004 11:06:23
+0200 (MET DST)
Received: from localhost by sunkl.asu.cas.cz
(8.12.8/8.12.8/Submit) with
ESMTP id i5896EXh011322;
^ toto byl prvni SMTP server v rade, z verze jde o Sendmail
verze
8.12.8, podle toho ze prijal mail od "localhost" soudim,
ze
pracujes na nejakem unixu (linuxu) bud primo na tom stroji
nebo
prostrednictvim terminalu..
Tue, 8 Jun 2004 11:06:14
+0200 (MET DST)
Date: Tue, 8 Jun 2004 11:06:14 +0200 (MET DST)
From:
Propagation Interested Group <ok1hh@sunkl.asu.cas.cz>
To:
Undisclosed recipients: ;
Subject: Predpoved CONDX KV
040607
Message-Id:
<Pine.GSO.4.05.10406081105150.11221-101000@sunkl.asu.cas.cz>
Mime-Version:
1.0
Content-Type: MULTIPART/MIXED;
BOUNDARY=--2c274da49e6557c
Content-Id: <Pine.GSO.4.05.10406081105151.11221@sunkl.asu.cas.cz>
Resent-Message-Id:
<20040813103959.24C601405BE@rs.cesnet.cz>
X-Nod32result:
clean
Co Ty na to?
Muj zaver
zni: cela ta hlavicka vypada natolik duveryhodne, ze
pochybuju o jejim
falsovani.
cau Jirka 2WY
Také tak se bojuje...
| Zdroj: OK list ČRK )
Optimalizováno pro rozlišení 1024 x 768 bodů. Stránka
používá redakční systém phpRS.
