From:Nitronec Subject: [SpAm]EPISODE XIII To: madchat-spam@lists.sourceforge.net Ze: Dimanche 10 Juin 2001 a 9h du souar heure francaise )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-' --] mAdchAt-spAm | La mailing-list du Dr. Gang | Numéro 13 | 09/06/2001 [-- -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-. )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) /\ /\ (()\___/()) ) ( \ o o / La pierre n'avancera pas si vous tous ) ^ ( attendez que d'autres la poussent. \ U / ) ( \___/ Aidez-nous à pousser la pierre !!! Ne restez pas passifs, postez des messages, participez à la vie de cette ML ! /----------\ .-*-] [S]ommaire [-*-. `----------------------' 00. Un sale coup pour OpenBSD :( 01. Snooping et flooding (poil au ping) 02. Summercon ? 03. Drogue: chronique d'une guerre perdue 04. Mini dossier : le CyberCrimInstitut (mon ...) 05. La traque du polymorphisme des cristaux s'intensifie (hé oui !) 06. Defacement Archives *--( 00 )--------------------------------------------------------------------* Un sale coup pour OpenBSD :( Source : mailing-list BugTraq <--- BEGIN ---> Date: Sat, 2 Jun 2001 19:00:08 -0400 (EDT) From: Alexander Viro To: BUGTRAQ@securityfocus.com Subject: Locally exploitable races in OpenBSD VFS [my apologies if it ends up submitted twice] Let's start with the trivial: good old aliasing bugs. Example 1: dup2() vs. close(). Relevant file: kern/kern_descrip.c sys_dup2(p, v, retval) struct proc *p; void *v; register_t *retval; { [snip] if ((u_int)old >= fdp->fd_nfiles || fdp->fd_ofiles[old] == NULL || (u_int)new >= p->p_rlimit[RLIMIT_NOFILE].rlim_cur || (u_int)new >= maxfiles) return (EBADF); OK, we've checked (among other things) that old is indeed opened. [snip] if (new >= fdp->fd_nfiles) { We either expand a descriptor table [snip] } else { Or reuse existing descriptor, closing file if it's opened. (void) fdrelease(p, new); Which is the blocking operation, BTW. } return (finishdup(fdp, old, new, retval)); } [snip] finishdup(fdp, old, new, retval) register struct filedesc *fdp; register int old, new; register_t *retval; { register struct file *fp; fp = fdp->fd_ofiles[old]; Got the struct sile of the file we are trying to dup... if (fp->f_count == LONG_MAX-2) .. and dereference it. We had checked that it's non-NULL, right? Wrong. Another thread might be sharing our descriptor table (man rfork). IOW, fdp points to shared data structure. So we had done the equivalent of if (global_var) { blocking_call(); if (global_var->f_count) ... } Sloppy? Yes, and way beyond that. We have a nice shiny race between dup2(0,1); and close(0). And it's a wide one. Turning that into full-blown exploit is left as an exercise for readers. Example 2: pipe() vs. close() (kern/sys_pipe.c) sys_opipe(p, v, retval) [snip] error = falloc(p, &rf, &fd); if (error) goto free2; [snip] retval[0] = fd; error = falloc(p, &wf, &fd); if (error) goto free3; [snip] return (0); free3: ffree(rf); fdremove(fdp, retval[0]); free2: [snip] Think what happens if the second allocation fails. It is a blocking call. During that time another thread had a nice possibility to call close(retval[0]); since that value is very easy to predict - it's the first available file descriptor. close() would * remove pointer from fdp[retval[0]] * call ffree() on it. Now, we come back and do _another_ ffree() on the poor beast. Welcome to kernel panic... Code is equivalent to global_var = p = alloc_foo(); blocking_call(); release_foo(p); global_var = NULL; It's not just sloppy. It's obviously broken - obviously for anyone with half of clue. I can easily provide more examples of the same crap and so can anyone who would bother to RTFS the descriptor handling in kern/*. Apparently that had never happened during the last 5 years or so. I'm not talking about the bugs that would require anything nontrivial to find and understand. Just follow the yello^Wpiles of sloppy C and nearly every one will turn out to be exploitable. And no, it's not limited to descriptor handling - same goes for sys_pipe.c, etc. Theo had been informed about that crap. Couple of weeks ago. Finding and fixing these bugs is a simple matter of grep. So far it hadn't been done. I've proposed to help with that, but apparently it got no interest. Very well, there are other piles of garbage in need of fixing and seeing crappy code in obscure Linux drivers is less disturbing than that in core kernel. Frankly. my respect to Theo went way down. This code had never been read through, let alone audited. And that's the core kernel. Moreover, the same bugs had been fixed in FreeBSD half a year ago. In other words, just keeping an eye on other *BSD trees would be enough to catch them. Same for lurking on freebsd-hackers. Same for watching the Linux tree, where an audit of relevant areas had been done nearly two years ago. Done and discussed on linux-kernel. Sad... #include -- "You're one of those condescending Unix computer users!" "Here's a nickel, kid. Get yourself a better computer" - Dilbert. <--- END ---> En clair, Alexander explique que le bug (situé dans le module VFS -systèmes de fichiers- du kernel d'OpenBSD) est très simple à trouver, et qu'il suffit de lire le code source (pour ceux qui ne savent pas ce que signifie RTFS : cela signifie "Read The Fucking Source", et RTFM c'est "Read The Fucking Manual" :). La faille est *visible* (pour quelqu'un connaissant bien le langage C et le système de fichiers). Et le problème c'est qu'OpenBSD est réputé pour sa sécurité par défaut (l'installation de base est sécurisée), ses divers mécanismes de sécurité (cryptographie intégrée, OpenSSH), mais aussi sa sécurité proactive (audits de code), qui est ici mise en cause. Certains fichiers n'ont pas dû être audités comme il le faudrait... D'autant plus que ce bug a été corrigé dans FreeBSD (youpi :) depuis plus de six mois et que l'audit de code des modules en question a été effectuée depuis plus de deux ans dans Linux. Alexander met en évidence le fait que les développeurs des différents OS libres (Linux, FreeBSD/OpenBSD/NetBSD) ne collaborent pas assez entre-eux (il existe une compétition entre ces OS, surtout entre *BSD et Linux, et entres les systèmes BSD, mais elle reste amicale, d'autant plus qu'ils sont tous très différents sur de nombreux points). Mais il y a pire encore : Theo de Raadt (le principal architecte d'OpenBSD, l'équivalent de Linus Torvalds) est au courant depuis des semaines mais n'a toujours pas corrigé ce bug, pourtant très simple à patcher (selon Alexander). La réputation sérieuse d'OpenBSD va en prendre un coup... Cependant, ce gros coup de gueule d'Alexander était bien mérité je pense. Cela dit, OpenBSD reste un très bon système. Sinon, je crois aussi savoir que l'équipe de développement de NetBSD est vraiment très soigneuse avec son code, ce qui est une excellente chose. FreeBSD, lui aussi, est excellent :) Si la souris vous démange (et pas si le chAt mange la souris :) --> http://www.openbsd.org http://www.freebsd.org http://www.netbsd.org *--( 01 )--------------------------------------------------------------------* Subject: snooping et flooding From: "tobozo" Hertz Wrote : > > Salut Pix, Dans ton courrier tu t'écriais : > (...) besoin d'infos sur > > un type de smurf qui s'appellerait du snooping, Premièrement, tu trouveras assez souvent le terme snooping dans les document traitant de sécurité et hacking. snoop signifie fureter, snooping est donc l'action de fureter, fouiner. L'on peut trouver par exemple : "Snooping techniques - reading keyboard" --> technique pour épier les caractère tapés au clavier. "Snooping techniques - dumping windows" --> copier l'écran sous X. snoopering n'existe pas par contre. Une recherche sur google ne donne aucun résultat. Et je pense que le snooping n'a rien à voire non plus avec le flood. Le flood signifie inonder (comme sous une chute d'eau). Il existe différents type de flood, le smurf, son cousin le fraggle, ou encore le flood de paquet TCP SYN, UDP, ou encore ICMP. Le smurf est assez particulier. Ce dernier s'effectue de cette manière: Un attaquant envoie en masse des paquets ICMP (echo) à des adresses de broadcast, ces paquet ayant leur adresse source spoofé avec celle de la cible finale. Si les routeurs sont mal configurés, alors, chaque hôtes des réseaux cibles répondront aux paquets ICMP echo request, par des echo reply. Le nombre de paquets aura donc été amplifié par les adresse de broadcast. Pour plus d'infos: ;) http://www.infosyssec.org/infosyssec/secdos1.htm http://www.securityportal.com/research/research.dosflood.html Sinon tu fais peut être référence qui lui utilise l'udp. Un attaquant envoie en masse des paquets UDP (avec ip source spoofé avec celle de la destination finale) à destination d'adresses de broadcast. Les hôtes répondent avec des messages: "ICMP port unreachable" inondant la destination finale. Plus d'infos sur: http://xforce.iss.net/static/815.php > > ou snoopering. J'admin un reseau qui regulierement tombe en floodant > > des machines externes. C'est toi qui floode ou toi qui te fais fooder. Ce n'est pas clair. > > N'ayant pas d'ampli broadcast dessus, je me > > suis un peu renseigné et on m'a parlé de cette technique similaire au > > smurf icmp, mais basée sur tcp/udp. Aurait-tu des infos à me filer > > (...) ? > Heu snoop ca m'evoque bien quelque chose mais ca ne correspond pas > a ta description, peut etre que je ne suis pas la bonne personne a qui > tu devrais demander ca.. J'ai bien maté dans mes bookmarks et mes > indexes et tout ce que j'ai trouvé c'est ca: > http://www.star.net/zanna/references/Troubleshooting/snoop.htm > Je crois meme qu'un des gars du gang avait traduit une doc sur le sujet, > mais je ne suis pas bien certain de l'endroit ou elles se trouvent a > present, enfin voila quand meme une piste : > http://www.idealx.org > http://www.securix.org > Le point commun de ces deux sites n'est probablement pas loin de ceux > qui detiennent la reponse a tes questions. > Et j'envoie une copie cc a sniffdoz et hertz, j'espere qu'ils sauront > mieux te repondre que moi. > @+ tbz *--( 02 )--------------------------------------------------------------------* Summercon ? From: bigband@bugbrother.com Libé a sorti 4 papiers d'un certain SEBASTIAN SEIBT, envoyé spécial à Amsterdam, sur SUMMERCON... genre :) <...> L'IDS (le programme de «guerre des étoiles» américain), les nouveaux systèmes d'exploitation, tel que FreeBSD, ou les dernières versions de tel ou tel logiciel, tout est passé au crible. <...> http://www.liberation.com/multi/pirates/20010602seibt.html.html + un historique de la scène avec comparatif USA/Europe http://www.liberation.com/quotidien/semaine/20010606merza.html quelqu'un connaissait cette Summercon, présentée comme la plus ancienne de toutes les conf (25 ans d'âge...) ??? bon, bref, voilà Bb) *--( 03 )--------------------------------------------------------------------* Drogue: chronique d'une guerre perdue http://www.monde-diplomatique.fr/1994/04/DE_BRIE/371.html La guerre de la drogue est perdue. Sur le terrain, en France et ailleurs, de plus en plus de maires, de policiers, de juges, de médecins, en conviennent. Une guerre de trente ans menée par une coalition prohibitionniste mondiale conduite par les Etats-Unis s'achève (1). Cette défaite, les opinions publiques ne sont pas encore prêtes à l'assumer, pas plus que les responsables politiques ne sont disposés à en tirer les conséquences. Et pourtant, déjà, devant l'ampleur du désastre, des bouleversements s'opèrent, Ca date d'Avril 1994... *--( 04 )--------------------------------------------------------------------* Mini dossier : le CyberCrimInstitut Sur le site web "Intelligence-Link" (http://www.intelink.fr.st -- portail indépendant d'informations sur la défense, le renseignement, le contre-terrorisme et tout le reste), vous trouverez une interview de Daniel Martin, fondateur du CyberCrimInstitut, donnée par Jean-Paul Ney, le webmaster du site web, qui est aussi l'auteur d'un bouquin sur les hackers que je n'ai pas (encore ?) lu, mais qui a l'air intéressant et *sérieux* (si quelqu'un qui l'a lu pouvait nous le confirmer ce serait sympa de sa part...). On apprend que Daniel Martin est un ancien de la DST, un des meilleurs spécialistes de la sécurité informatique français (il a publié plusieurs bouquins sur le sujet) et qu'il est directeur de l'Institut International des Hautes Etudes de la Cyber Criminalité (a.k.a. CyberCrimInstitut, ou plus court encore, CCI). IIHECC aussi c'est sympa comme nom. C'est une association "loi 1901" créée le 8 juillet 2000. Donc, en gros, selon ce monsieur Martin, pour sécuriser Internet, "il est nécessaire d'avoir des "indicateurs" qui nous donnent une idée des activités sur le réseau [...]" (un peu -beaucoup- de cryptographie et de paranoia devraient arranger ça). Il est pour le traçage des internautes. Et aussi pour que les autorités puissent accéder aux clés utilisées en cryptographie... (au fait, dans l'interview, le mot "cryptologie" est utilisé. L'usage de ce mot est incorrect ici. La cryptologie c'est la science sur laquelle sont basées la cryptographie et la cryptanalyse -en général, les cryptologues sont des mathématiciens, mais il y a aussi des physiciens, qui travaillent sur la cryptographie quantique, par exemple-. La cryptographie désigne l'ensemble des techniques relatives à la confidendialité, l'authenticité, etc. des données. Cette remarque est aussi valable pour Mr. Jospin, qui est Premier Ministre, je crois. La législation relative à la cryptologie, ça ne veut rien dire. On ne peut pas interdire une science, heureusement :) A ce propos, Jospin a promis qu'il allait bientôt légaliser totalement la cryptographie -et pas la cryptologie donc ;o)- en France, ce qui signifie que ça va être la super-fête ici et que par contre de l'autre côté de l'Atlantique j'en connais qui vont faire la gueule, mais c'est bien fait pour eux). Bon, pour en revenir à cette interview, l'idéal serait que vous alliez la lire afin de vous faire votre propre opinion. Maintenant, parlons un peu de cet institut, le CCI. Selon Dan, il s'agit "d'une association à but non lucratif (J.O. du 22 juillet 2000), plusieurs personnes issues de milieux différents, universitaires, diplomates, chefs d'entreprises, juristes, fonctionnaires, etc. se sont regroupées [...]". On y trouve aussi des techniciens, ce qui est une bonne chose je pense. Bon, je tiens à préciser quelques trucs. Il y a la criminalité informatique (attaques DoS -que l'on peut qualifier de terroristes, dans certains cas-, spamming, etc. --> sauf cas extrêmes, il s'agit plutôt de petit ou moyenne délinquance). Pour lutter contre cela, il ne faut pas trop compter sur la législation, mais plutôt sur la technique (à mon avis). Une loi est censée être dissuasive, mais s'il n'y a pas de sécurité physique cela ne dissuade pas grand monde... A mon avis un serveur avec un bon OS libre (très important), un bon admin (très important aussi) et de bons mécanismes de sécurité(cryptographie :) dissuade déjà plus les script-kiddies. Il y a aussi la criminalité via l'informatique (terroristes, mafias, organisations criminelles, pédophiles, etc. utilisant le réseau pour communiquer). Interdire l'exportation de la cryptographie hors des USA parce que Ben Laden l'utilise est stupide (vous croyez que cela l'empêche de l'utiliser ?). C'est juste une excuse pour ne pas avouer qu'Echelon digère très mal les messages chiffrés. De plus, le traçage des utilisateurs du réseau est une présomption de culpabilité évidente. Si les utilisateurs classiques ne chercheront pas tous à contourner ces mécanismes, les criminels trouveront le moyen de le faire, eux. Une meilleure solution serait que des informaticiens doués traquent les criminels sur le réseau (tout en respectant la vie privée des autres, et en espérant qu'ils soient moins cons que JP d'AntiOnline). De toutes façons il faut savoir que les criminels ne respectent jamais la législation :o). A propos de la sécurité physique par-rapport à la sécurité législative, on trouve deux exemples sur le site web officiel du CCI (sauf que sur le site web, ces problèmes sont présentés comme des fatalités). Il s'agit du hack de Microsoft il y a quelques mois et du virus I LOVE YOU (comme par hasard, M$ est concerné dans les deux cas). Si les ingénieurs (arf !) de Microsoft avaient été au courant des règles *minimales* à respecter en ce qui concerne la sécurité informatique (genre ne pas filer son password à n'importe qui, hein :), ils auraient évité un gros problème bien gênant, aussi gênant que les logiciels libres. Et si Outlook n'était pas aussi pourri (vive XFMail, soit dit en passant), I LOVE YOU serait resté bien sage au fond d'un obscur répertoire... Bon, d'un autre côté, Dan parle de protection des citoyens et de leur vie privée, ainsi que de lutte contre la corruption, la criminalité (blanchiment d'argent), etc. Je reste cependant suspicieux et j'attend de voir ce que ça donne... Maintenant, regardons les autres sites web qui parlent du CCI : http://www.intelligenceonline.fr propose des informations sur le CCI et sur Daniel Martin, mais, et c'est là le gros problème, l'accès à cette information n'est pas gratuit, il est même plutôt cher :( http://www.sam-mag.fr/ Là, on apprend que Dan est aussi commissaire divisionnaire de la Police Nationale. Là encore, on peut lire "Daniel Martin est devenu un expert international en cybercriminalité". Bon, je ne vais pas revenir sur l'emploi du mot cryptologie, qui est ici aussi employé. Tiens, lisons donc la brillante analyse de cet expert sur le profil des cybercriminels : "Ils sont jeunes et dépassent rarement la cinquantaine. Ce sont uniquement des hommes, pas de femmes pirates. Ces surdoués du langage informatique aiment à communiquer exclusivement avec leurs machines et aspirent à la reconnaissance de leurs dons sur la place publique. Un trait commun avec certains grands criminels du monde physique." Pas de commentaire là-dessus :o), passons à la suite : le Journal du Net. Encore une interview du Daniel. Il explique que le CCI est une association pour prouver qu'il n'y a aucun but lucratif derrière tout ça. Il dit aussi, je cite, "Ses fondateurs font partis du réseau de personnes que j'ai cotôyé pendant vingt à trente ans". Certains membres sont aussi des "pirates ayant défrayé la chronique". Je me demande bien qui. Le CCI est un lobby, qui regroupe des Etats, multinationales, entreprises publiques ou privées, etc. mais qui se veut respectueux de la vie privée des citoyens du réseau. J'ai du mal à y croire, ou alors ce sont tous des philantropes. De plus, à mon avis, respecter la vie privée des utilisateurs tout en les traçant n'est pas compatible. Il faut choisir, c'est soit l'un, soit l'autre. A la limite, si une banque en ligne veut enregistrer toutes les connexions sur son serveur de peur de se faire "cyberbraquer", c'est son problème, mais le traçage au niveau des FAI n'est pas acceptable. Les premières publications du CCI arriveront à la rentrée, et ça débutera par "Echelon et les grandes oreilles"... Cela peut être intéressant d'avoir l'avis d'un ancien de la DST (ou d'un plus ou moins ancien, je suppose qu'il conserve toujous des contacts avec la DST...) à propos d'Echelon. Peut-être qu'on aura des informations inédites. En tous cas, le CCI n'est pas aussi indépendant qu'on voudrait le croire... Voilà, c'est fini. J'espère que ce mini dossier vous a plû, n'hésitez pas à envoyer tous vos commentaires à la ML... Quelques liens : http://www.intelink.fr.st : un site très sympa http://www.cybercriminstitut.org : le site officiel du CCI http://www.intelligenceonline.fr : un site pas sympa du tout ($$$) http://www.sam-mag.com/newsletter/dossiers/260.htm : une interview de Dan http://www.journaldunet.com/itws/it_martin.shtml : une autre interview de Dan Y'a aussi le site de Jospin qui parle un peu de tout ça (cryptographie, cybercriminalité et "Société De l'Information"), c'est quelque chose en ".gouv.fr" mais je ne me rappelle plus de l'URL exacte et j'ai la flemme de chercher :o) Utilisez un bon moteur de recherche... Profitez-en pour faire une recherche sur le CCI, vous trouverez peut-être d'autres trucs. Et si vous voulez écrire au CyberCrimInstitut :) --> 24, Rue Beaubourg 75003 PARIS *--( 05 )--------------------------------------------------------------------* La traque du polymorphisme des cristaux s'intensifie From: "ZATAZ" Il y a trois ans, Abbott Laboratories de North Chicago (Illinois) a eu la mauvaise surprise de decouvrir que la fabrication de Norvir, son medicament contre le SIDA, produisait un compose ayant une structure cristalline differente de celle du produit vise, d'ou son inefficacite contre la maladie. L'industrie pharmaceutique redoute ce phenomene, du au polymorphisme des cristaux, qui peut compromettre le developpement de certains produits prometteurs pendant les dernieres phases de la recherche. Des societes comme MediChem Life Sciences de Woodridge (Illinois) ou des universites comme Purdue, le MIT ou l'Illinois Institute of Technology (IIT) se voient donc sollicitees de plus en plus souvent pour venir en aide a l'industrie pharmaceutique. L'IIT projette de fonder un centre de recherche entierement consacre a l'etude des mecanismes du polymorphisme, s'appuyant sur les techniques radiographiques ultra-puissantes de son voisin, l'Argonne National Laboratory. Pour sa part, MediChem fait appel a la robotique pour deceler ce polymorphisme. Crucial pour le developpement et la stabilite des ventes de medicaments, ce domaine est egalement important pour l'exploration complete des produits paralleles, susceptibles d'etre brevetes independamment. Chicago tribune *--( 06 )--------------------------------------------------------------------* Defacement Archives Je pense que vous êtes déjà au courant, Attrition ne diffuse plus ses fameuses archives de sites web hackés (defacements). Cela prenait beaucoup de temps aux admins d'Attrition (et ce n'est pas du tout un travail amusant) et leur causait des ennuis (attaques DoS, par exemple). Cependant, Attrition n'est pas mort pour autant. Au contraire. Avant, il y avait déjà de très nombreuses et très riches sections. Maintenant, les admins ont le temps de se consacrer uniquement à ces sections. Allez faire un tour, leur serveur est vraiment génial, on y trouve plein de trucs. Maintenant, c'est Alldas, un site allemand, qui a pris le relais. Eux aussi commencent à connaître des problèmes de DoS (des problèmes de "Denial of Service", pas des problèmes de santé :), d'attaques, etc. Ils ont aussi un gros problème avec les divers sites sensibles américains (US Army, Air Force, Navy, etc.) qui bloquent l'accès à leur serveur depuis Alldas, ce qui empêche les scripts (situés sur le serveur d'Alldas) chargés de récupérer les pages des sites hackés de récupérer celles situées sur les serveurs américains en question. En ce qui me concerne, je n'aime pas trop Alldas. Il y a quelques hacks vraiment très beaux, mais sinon (99 % des cas), ce sont des defacements faits par des script-kiddies armés de scanners et d'exploits qui cherchent la gloire (comme d'habitude, quoi). Cependant, il y a des options sympas, comme le scan par nmap du serveur hacké. Allez faire un tour et jugez par vous-même. http://www.attrition.org http://www.alldas.de *--( [I]nfos )---------------------------------------------------------------* * mAdchAt-spAm mAiling-list URL : http://loutre.cjb.net * mAd Admins : list@loutre.cjb.net | nitronec@enjoy-unix.org Pour envoyer un message à cette liste --> madchat-spam@lists.sourceforge.net Pour s'abonner à cette liste --> GOTO mAdspAm_URL ¤º`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø ~ ~ ~ ~ ~ ~ ~ ~ ~ que la sAAAvAAAte soit avec toA ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ¤º`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø _______________________________________________ mAdchAt-spAm mailing list mAdchAt-spAm@lists.sourceforge.net http://lists.sourceforge.net/lists/listinfo/madchat-spam