Internodium mailing lista

XXXs demystified!

Autor: Slobodan Markovic • Datum: petak, 8. septembar 2000. [18:29]

Znao sam da neko moze savrseno lepo da objasni poreklo onih
dosadnih XXX-ova, koji dolaze od korisnika sa ptt.yu... :-)
Zakljucak je sledeci:

1. Problem je iskljucivo na strani PTT-a;
2. Pojava iskova nema nikakve veze sa slanjem poruka u HTML
formatu, vec sa (ociglednom) neposobnoscu odgovornih na
odrzavanju servera ptt.yu mreze...
3. Korisnici ne uticu na pojavu iksova svojom "nestandardnom"
upotrebom Interent servisa.

Pitam se samo dokle ce ptt.yu da "zagadjuje" poruke svojih
korisnika na ovakav nacin?

Elem, ekskluzivno za drustvo sa Internodium liste :-) celu
stvar veoma lepo i detaljno objasnjava Marko Milivojevic:

> Usput, da li bi mogao malo da mi pojasnis kako sve to
> funkcionise? Sta zastite mail servera i frewall-ovi
> imaju da prckaju po telima poruka? Tu nema nista
> interesantno za njih (u zaglavljima mozda i ima, ali
> u telu poruke vrlo tesko)...

Huh. Pa u jednom trenutku se neko u Ciscou dosetio da doskoci
neogranicenom broju bagova u Sendmailu tako sto ce na Firewallu (Cisco PIX,
PTT ga koristi kao centralni firewall) da ugradi SMTP proxy koji ce
potencijalno opasan saobracaj da filtrira. Tako kad odes na port 25 PTT-ovog
servera dobijes:

--------------- cut here ---------------
hercules#telnet ns1.ptt.yu 25
Translating "ns1.ptt.yu"...domain server (193.4.192.9) [OK]
Trying ns1.ptt.yu (212.62.32.1, 25)... Open
220 SMTP/cmap ready______________________________________________________
helo hercules.mmedia.is
500 Command unrecognized: "XXXXXXXXXXXXXXXXXXXXXXX"
quit
--------------- cut here ---------------

umesto onoga sto bi se ocekivalo na cestitom mail serveru:

--------------- cut here ---------------
hercules#telnet smtp.eunet.yu 25
Translating "smtp.eunet.yu"...domain server (193.4.192.9) [OK]
Trying smtp.eunet.yu (194.247.192.50, 25)... Open
220 smtp.EUnet.yu ESMTP Sendmail 1.0/1.0; Fri, 8 Sep 2000 17:29:20 +0200
(MET DST)
helo hercules.mmedia.is
250 smtp.EUnet.yu Hello hercules.mmedia.is [193.4.192.21], pleased to meet
you
quit
221 smtp.EUnet.yu closing connection

[Connection to smtp.eunet.yu closed by foreign host]
--------------- cut here ---------------

Dakle, tu smo identifikovali prvu stvar. Druga stvar je sto postoji jos
jedna stvar, a to je Sednamil wrapper (stoji mi mozak, ne mogu da se setim
kako se zove) koji dodatno radi istu stvar, tj. potencijalno opak sadrzaj
menja u potpuno besmislen (_______ ili XXXXXXX).

Generalno, ovo ne sluzi nicemu, a moze samo da ti napravi probleme, kao
sto smo i videli na primerima, je li. Sakrivanje podatka kao sto je verzija
SMTP servera (a ovde kritikujem i bivse kolege iz EUneta, delimicno) je
koriscenje tehnike koja se zove "security through obscurity". Tj. ovo je
dobro dok neko ne proba da provali kroz bug. Kad sam se vec dotakao EUneta,
to sto EUnet pise da koristi Sendmail 1.0/1.0 (verzija softvera 1.0 i
konfiguracionih parametara za 1.0) nema veze sa zivotom, sto moze da
zakljuci svako ko pogleda zaglavlja bilo koje poruke koja mu stigne preko
EUneta:

Received: from smtp.EUnet.yu (smtp.EUnet.yu [194.247.192.50])
by SOLAIR.EUnet.yu (8.9.3/8.9.3) with ESMTP id RAA09408
for ; Fri, 8 Sep 2000 17:17:53 +0200 (MET DST)

Gde lepo pise da EUnet koristi Sendmail 8.9.3 sa konfiguracionim fajlom
pripremljenim za istu verziju. Doduse, i ovo moze da se promeni ako se covek
malo potrudi (ako ne znate nista Linuxu/UNIX-u preskocite ovaj deo):

--------------- cut here ---------------
[ /etc/sendmail.cf ]

#########################
# Format of headers #
#########################

H?P?Return-Path:
HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
$.by $j ($v/$Z)$?r with $r$. id $i$?u
for $u; $|;
$.$b
H?D?Resent-Date: $a
H?D?Date: $a
H?F?Resent-From: $?x$x $|$g$.
H?F?From: $?x$x $|$g$.
H?x?Full-Name: $x
# HPosted-Date: $a
# H?l?Received-Date: $b
H?M?Resent-Message-Id:
H?M?Message-Id:
--------------- cut here ---------------

Liniju "$.by $j ($v/$Z)$?r with $r$. id $i$?u" bi valjalo zameniti sa
"$.by $j (1.0/1.0)$?r with $r$. id $i$?u" da bi prevara bila kompletna.

Kako sam radio u EUnetu, znam da ljudi tamo vode racuna o sigurnosti i
da je sakrivanje verzije samo dodatak na sveukupnu pricu koja se radi.

Po mom iskustvu u kontaktu sa tehnickim osobljem PTT-a, cudi me kako se
sve do sad nije potpuno raspalo. Ocekivati od njih da naprave takvu zastitu,
a da ne utice na same poruke je ipak malo previse.

Marko.

545 pregleda

Napišite vaš komentar

*
*


*

  • HTML tagovi nisu dozvoljeni.
  • Linije i pasusi prelamaju se automatski.
  • Web i e-mail adrese pretvaraju se u linkove automatski.