информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Бэкдоры в продуктах eEye (IRIS и SecureIIS) (линк инсайд) 29.12.04 20:02  Число просмотров: 3938
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Чтоб далеко не бегать, все скопировал сюда

*** http://uinc.ru/news/show.php?id=2977
29/12/2004 19:26 Бэкдоры в продуктах eEye (IRIS и SecureIIS)
Как сообщает Ланс Кусто (Lance Custo), во время проверки программ, проводимой совместно со своей группой, в IRIS и SecureIIS были обнаружены очень хорошо спрятанные "черные ходы". Бэкдор в IRIS активируется специальным образом сформированным UDP-пакетом, в SecureIIS - HTTP-заголовком (примеры по ссылке). Бэкдоры отсутствуют в IRIS версии до 3.0 и SecureIIS 1.x. В случае, если у Вас осталось желание пользоваться этими программами, рекомендуется откатиться до использования более младших версий программ.


*** http://lists.netsys.com/pipermail/full-disclosure/2004-December/030395.html
[Full-Disclosure] Multiple Backdoors found in eEye Products (IRIS and SecureIIS)
Lance Gusto thegusto22 at hotmail.com
Tue Dec 28 23:11:30 EST 2004

Previous message: [Full-Disclosure] QNX crrtrap arbitrary file read/write vulnerability [RLSA_06-2004]
Next message: [Full-Disclosure] Microsoft Windows LoadImage API Integer buffer overflow patch.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

--------------------------------------------------------------------------------

Multiple Backdoors found in eEye Products (IRIS and SecureIIS)
L. Gusto <thegusto22 at hotmail.com>


Summary:

During meticulous testing of both eEye's IRIS and SecureIIS products,
we (my testing team) have discovered multiple backdoors in the latest of
both mentioned products and some older versions we could acquire.


These backdoors are very cleverly hidden (kudos to the authors), I
personally don't condone illegally backdooring commercial products,
and personally I don't think much of eEye but I must give credit to
where credit is due.


We have tested IRIS 3.7 and up they all appear to have a backdoor.
We have verified the IRIS backdoor doesn't exist in versions prior
to 3.0


We have tested SecureIIS 2.0 and up they all appear to have a backdoor.
We have verified that SecureIIS 1.x series does not have this specific
backdoor.

Bringing the backdoors to light:

After long testing we discovered the exact sequences used to active
the backdoor. Unfortunately, we can't release the "exploits" publically
due to the severity of these flaws. But incomplete examples will
be given.



The IRIS Backdoor:

This one is quite interesting. We have discovered that sending a
specifically crafted UDP datagram to a IRIS hostdirectly(not
through the wire or to host on the network segment) with certain IP
options set and a certain magic value at a undisclosed offset in the
payload will bind a shell to the source port specified in the UDP datagram.

[snip]


The SecureIIS Backdoor:

The SecureIIS backdoor was alot easier to discover but very well
placed. The SecureIIS backdoor is triggered by a specifically
crafted HTTP HEAD request. Here is a incomplete layout of how
to exploit this:


HEAD /<24 byte constant string>/PORT_ADDRESS.ASP HTTP/1.1

PORT - Will be the port to bind a shell.
ADDRESS - Address for priority binding (0 - For any).


[snip]



Local Deduction:

There are a two possiblilites here, either eEye's code has been
altered by some attacker or this has been sanctioned by the
company (or at least the developers were fully aware of this).



Conclusion:

It is very very shameful that a somewhat reputable like eEye is acting
in a very childish, unprofessional manner. I figure that is why the
code is closed source. There are several active exploits available that I
(the author of this advisory) didn't create floating around. The only
logical solution will be to not use the mentioned eEye products for the
time being or at least downgrade to the non-backdoored versions.

We will be investigation eEye's Blink Product for any clandestine backdoors.

_________________________________________________________________
FREE pop-up blocking with the new MSN Toolbar – get it now!
http://toolbar.msn.click-url.com/go/onm00200415ave/direct/01/



--------------------------------------------------------------------------------


Previous message: [Full-Disclosure] QNX crrtrap arbitrary file read/write vulnerability [RLSA_06-2004]
Next message: [Full-Disclosure] Microsoft Windows LoadImage API Integer buffer overflow patch.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

--------------------------------------------------------------------------------
More information about the Full-Disclosure mailing list



> Текила – секрет успеха в security-бизнесе. Интервью с
> главным хакером eEye.
> mindw0rk mindw0rk@gameland.ru
>
>
>

> Кто, по-твоему, главный хакер? Ричард Столлман? Старо.
> Кевин Митник? Попсово. Марк Мэйфрет из eEye Digital
> Security считает, что именно он. И даже занимает в компании
> официальную должность с одноименным названием.
Как бы то
> ни было, eEye – одна из ведущих security-фирм на мировом
> рынке, услугами которой пользуются правительственные и
> крупнейшие коммерческие организации. А сам Марк широко
> известен в security-кругах, и сделал достаточный вклад в
> развитие компьютерной безопасности, чтобы заслужить
> уважение. Поэтому сегодняшнее интервью именно с ним.



> mindw0rk: Марк, расскажи, пожалуйста, о своей компании. Не
> рекламный буклет в духе «мы все можем», больше про
> атмосферу внутри, про своих сотрудников, локальные
> мероприятия и забавные эпизоды из жизни eEye.


> ММ: eEye Digital Security стала уже достаточно большой
> компанией – сейчас у нас работает свыше 140 человек.
> Поэтому, говоря об атмосфере, многое...
<site updates>
Текила – секрет успеха в security-бизнесе. Интервью с главным хакером eEye. 14.12.04 01:28  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Текила – секрет успеха в security-бизнесе. Интервью с главным хакером eEye.
mindw0rk mindw0rk@gameland.ru


Кто, по-твоему, главный хакер? Ричард Столлман? Старо. Кевин Митник? Попсово. Марк Мэйфрет из eEye Digital Security считает, что именно он. И даже занимает в компании официальную должность с одноименным названием. Как бы то ни было, eEye – одна из ведущих security-фирм на мировом рынке, услугами которой пользуются правительственные и крупнейшие коммерческие организации. А сам Марк широко известен в security-кругах, и сделал достаточный вклад в развитие компьютерной безопасности, чтобы заслужить уважение. Поэтому сегодняшнее интервью именно с ним.
mindw0rk: Марк, расскажи, пожалуйста, о своей компании. Не рекламный буклет в духе «мы все можем», больше про атмосферу внутри, про своих сотрудников, локальные мероприятия и забавные эпизоды из жизни eEye.
ММ: eEye Digital Security стала уже достаточно большой компанией – сейчас у нас работает свыше 140 человек. Поэтому, говоря об атмосфере, многое...

Полный текст
Бэкдоры в продуктах eEye (IRIS и SecureIIS) (линк инсайд) 29.12.04 20:02  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Чтоб далеко не бегать, все скопировал сюда

*** http://uinc.ru/news/show.php?id=2977
29/12/2004 19:26 Бэкдоры в продуктах eEye (IRIS и SecureIIS)
Как сообщает Ланс Кусто (Lance Custo), во время проверки программ, проводимой совместно со своей группой, в IRIS и SecureIIS были обнаружены очень хорошо спрятанные "черные ходы". Бэкдор в IRIS активируется специальным образом сформированным UDP-пакетом, в SecureIIS - HTTP-заголовком (примеры по ссылке). Бэкдоры отсутствуют в IRIS версии до 3.0 и SecureIIS 1.x. В случае, если у Вас осталось желание пользоваться этими программами, рекомендуется откатиться до использования более младших версий программ.


*** http://lists.netsys.com/pipermail/full-disclosure/2004-December/030395.html
[Full-Disclosure] Multiple Backdoors found in eEye Products (IRIS and SecureIIS)
Lance Gusto thegusto22 at hotmail.com
Tue Dec 28 23:11:30 EST 2004

Previous message: [Full-Disclosure] QNX crrtrap arbitrary file read/write vulnerability [RLSA_06-2004]
Next message: [Full-Disclosure] Microsoft Windows LoadImage API Integer buffer overflow patch.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

--------------------------------------------------------------------------------

Multiple Backdoors found in eEye Products (IRIS and SecureIIS)
L. Gusto <thegusto22 at hotmail.com>


Summary:

During meticulous testing of both eEye's IRIS and SecureIIS products,
we (my testing team) have discovered multiple backdoors in the latest of
both mentioned products and some older versions we could acquire.


These backdoors are very cleverly hidden (kudos to the authors), I
personally don't condone illegally backdooring commercial products,
and personally I don't think much of eEye but I must give credit to
where credit is due.


We have tested IRIS 3.7 and up they all appear to have a backdoor.
We have verified the IRIS backdoor doesn't exist in versions prior
to 3.0


We have tested SecureIIS 2.0 and up they all appear to have a backdoor.
We have verified that SecureIIS 1.x series does not have this specific
backdoor.

Bringing the backdoors to light:

After long testing we discovered the exact sequences used to active
the backdoor. Unfortunately, we can't release the "exploits" publically
due to the severity of these flaws. But incomplete examples will
be given.



The IRIS Backdoor:

This one is quite interesting. We have discovered that sending a
specifically crafted UDP datagram to a IRIS hostdirectly(not
through the wire or to host on the network segment) with certain IP
options set and a certain magic value at a undisclosed offset in the
payload will bind a shell to the source port specified in the UDP datagram.

[snip]


The SecureIIS Backdoor:

The SecureIIS backdoor was alot easier to discover but very well
placed. The SecureIIS backdoor is triggered by a specifically
crafted HTTP HEAD request. Here is a incomplete layout of how
to exploit this:


HEAD /<24 byte constant string>/PORT_ADDRESS.ASP HTTP/1.1

PORT - Will be the port to bind a shell.
ADDRESS - Address for priority binding (0 - For any).


[snip]



Local Deduction:

There are a two possiblilites here, either eEye's code has been
altered by some attacker or this has been sanctioned by the
company (or at least the developers were fully aware of this).



Conclusion:

It is very very shameful that a somewhat reputable like eEye is acting
in a very childish, unprofessional manner. I figure that is why the
code is closed source. There are several active exploits available that I
(the author of this advisory) didn't create floating around. The only
logical solution will be to not use the mentioned eEye products for the
time being or at least downgrade to the non-backdoored versions.

We will be investigation eEye's Blink Product for any clandestine backdoors.

_________________________________________________________________
FREE pop-up blocking with the new MSN Toolbar – get it now!
http://toolbar.msn.click-url.com/go/onm00200415ave/direct/01/



--------------------------------------------------------------------------------


Previous message: [Full-Disclosure] QNX crrtrap arbitrary file read/write vulnerability [RLSA_06-2004]
Next message: [Full-Disclosure] Microsoft Windows LoadImage API Integer buffer overflow patch.
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

--------------------------------------------------------------------------------
More information about the Full-Disclosure mailing list



> Текила – секрет успеха в security-бизнесе. Интервью с
> главным хакером eEye.
> mindw0rk mindw0rk@gameland.ru
>
>
>

> Кто, по-твоему, главный хакер? Ричард Столлман? Старо.
> Кевин Митник? Попсово. Марк Мэйфрет из eEye Digital
> Security считает, что именно он. И даже занимает в компании
> официальную должность с одноименным названием.
Как бы то
> ни было, eEye – одна из ведущих security-фирм на мировом
> рынке, услугами которой пользуются правительственные и
> крупнейшие коммерческие организации. А сам Марк широко
> известен в security-кругах, и сделал достаточный вклад в
> развитие компьютерной безопасности, чтобы заслужить
> уважение. Поэтому сегодняшнее интервью именно с ним.



> mindw0rk: Марк, расскажи, пожалуйста, о своей компании. Не
> рекламный буклет в духе «мы все можем», больше про
> атмосферу внутри, про своих сотрудников, локальные
> мероприятия и забавные эпизоды из жизни eEye.


> ММ: eEye Digital Security стала уже достаточно большой
> компанией – сейчас у нас работает свыше 140 человек.
> Поэтому, говоря об атмосфере, многое...
"Не рекламный буклет". ИМХО статья на маркетинговые материалы похожа:-)). Но все равно 7. 14.12.04 10:19  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach