информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Backdoor или уязвимость в Remote Administrator 2.x? 19.02.04 21:49  
Publisher: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
Backdoor или уязвимость в Remote Administrator 2.x?
www.securityfocus.com http://www.securityfocus.com/archive/1/354305/2004-02-16/2004-02-22/0

С 21-ого января несколько вэбсайтов в России, включая www.peterhost.ru подвергаются DDOS атаке.
"Атакующие" компьютеры работают как под Win98, так и под W2K и WinXP.
Одно общее свойство: на всех машинах установлен Remote Administrator версии 2.x. (www.famatech.com)


P.S. Извиняюсь, что новость неск. запоздалая - сообщение от "Pavel Levshin" <flicker@mariinsky.ru> датировано "Mon, 16 Feb 2004 14:22:36 +0300", но свалилось в рассылку только сегодня днём.


Полный текст
Пресс-релиз №1 - попробуй взломать Радмин 27.02.04 20:09  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Цитирую http://www.famatech.com/support/forum/read.php?FID=11&TID=6418 (с синхронным переводом):
===================================
Уважаемые пользователи Радмина,

Как вы знаете, компания Фаматек ставит своей целью выпуск максимально защищённого программного обеспечения. Однако, хотя Радмин вполне надёжен и не имеет какие-либо брешей, "чёрных ходов" или иных уязвимостей, нельзя забывать, что он работает под ОС Windows. Поэтому для достижения наиболее высокого уровня безопасности недостаточно правильно настроить Радмин - помимо этого нужно верно настроить системы безопасности Windows. Разумеется, мы прилагаем все усилия для расследования любых случаев, когда возникает подозрение, что Радмин был взломан. Насколько нам известно, во всех подобных случаях выяснялось, что взлом произошёл из-за дыр другим программ или неправильных настроек Радмина.

Дабы развеять любые слухи и доказать высочайший уровень защиты Радмина, вы объявляем открытое тестирование систем безопасности Радмина - конкурс взлома. Специально для этой цели был поднят выделенный сервер, доступный по адресу test.radmin.com. На нём установлен Remote Administrator server. Для всех желающих открыт порт 4899. Любой, кто утверждает, что в системе защиты Радмина имеется брешь, может попробовать подключиться к хосту test.radmin.com и взломать пароль. Мы не думаем, что это кому-либо удастся.

Исренне Ваш,
Дмитрий Зноско,
===================================

Обсуждать конкурс взлома можно по адресам http://www.famatech.com/support/forum/read.php?FID=11&TID=6418 (по английски) и http://www.famatech.com/ru/support/forum/ (по-русски).

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Respect! Не словом, но делом-) 28.02.04 23:45  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
Хотя есть вопросы, оставшиеся без ответов:
http://www.famatech.com/support/forum/read.php?FID=11&TID=6418
-Dmitry, how can you approve that you are not using special build of Radmin (without bundled backdoors) for this "security testing"?
-где гарантия что на этом адресе стоит полный админ а не кусок кода который отбивает все пароли?
зы то ли никто не пытался ломать, то ли суппорт просто не успевает отвечать-)

зыы Каков срок действия конкурса?
Было ли соотв. предложение размещено на других сайтах (кроме этого и самого фаматеч-а?)
Результаты будут опубликованы?
Что получит взломщик в случае успеха? Надеюсь, не стать за НСД:-)
Могу Вас заврить, что там установлен настоящий Radmin... 03.03.04 13:35  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> -Dmitry, how can you approve that you are not using special
> build of Radmin (without bundled backdoors) for this
> "security testing"?
> -где гарантия что на этом адресе стоит полный админ а не
> кусок кода который отбивает все пароли?

Могу Вас заврить, что там установлен настоящий Radmin Server. Ставить там "заглушку" нам не имеет смысла - ведь точная и правдивая информация о степени защиты программы нужна прежде всего её разработчикам. Обманывая вас, мы обманули бы себя.

> зыы Каков срок действия конкурса?

Срок пока что неограничен.

> Было ли соотв. предложение размещено на других сайтах
> (кроме этого и самого фаматеч-а?)

Да, текст пресс-релиза был отослан, в частности, на OpenNet.ru.

> Результаты будут опубликованы?

Уверен, в случае успешного взлома сообщения об этом тут же появятся на нашем форуме. :-)

> Что получит взломщик в случае успеха?

Награда тому, кто взломает Radmin Server на test.radmin.com - $ 1000 (прописью - одна тысяча долларов США).

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Извините, конечно. Но то что Вы умеете настраивать свой... 03.03.04 22:42  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Извините, конечно. Но то что Вы умеете настраивать свой собственный radmin мы и так верим. К сожалению, реальность иная. Есть возможность неограниченного подбора, есть объективная статистика повальной безграмотности администраторов. Есть умерающие сайты, поливаемые машинами управляемыми через Вашу замечательную программу. К Вашему сожалению, если Вы ещё не поняли, в большей степени, чем к нашему злоумышленники выбрали именно Вашу так просто настраиваемую программу, с удобным тихим доступом и мгновенным незаморочным способом поменять конфиги.

Вам не следует что-то доказывать, Вам следует СРОЧНО ИСПРАВИТЬ недочёты, и известить об этом Ваших покупателей.

Если Вам интересен разносторонний анализ ситуации Вашими специалистами, обратитесь к пострадавшим, любая фирма, думаю, с радостью подарит Вам и Вашему анализирующему оборудованию паразитный трафик злоумышленника в полном объёме.

Ваш PR, который Вы пытаетесь построить на собственных недочётах и упрямстве (а я не верю в громадный объём работ), ничем хорошим не кончится.
Давайте поступим по другому - не показательная бравада с МегаСервером вдали от Родины, а оперативные данные о количестве взломанных машин, статистику по потенциально возможной угрозе взлома и т.д.
Ответ 05.03.04 13:56  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Учитывая сетевую задержку - два ping time - которая у большинства соединений равна около 100 мс, подбор 8-символьного пароля даже без пауз займёт сотни лет!

А если пароль словарный или известен злоумышленику, то он подбирается за пару суток даже при наличии пауз.

Разумеетеся, это не значит, что anti-hacker delay не нужна. Она будет в 3-ей версии, но её отсутствие не является критической ошибкой.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
И обратите внимание на это: 05.03.04 21:44  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
И обратите внимание на это:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=100735
Это Вы так думаете. Можно я зло пошучу? В следующий раз,... 05.03.04 21:41  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Это Вы так думаете. Можно я зло пошучу? В следующий раз, ваша фирма не сильно обидется, если ей будут сливать все атакуемые сайты, в атаке на которые замешан Ваш замечательный продукт?

Я думаю, это заставит Вас переоценить степень критичности недочёта.

При том что никто, конечно, не будет делать этого по этическим соображениям, предлагаю Вам пофантазировать. Очень хочется увидеть Ваш ответ.
Ответ 09.03.04 14:02  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Наша фирма обидется не сильно, но российские судебные органы, к сожалению, обидятся гораздо сильнее, а ещё больше обидется столь неудачно пошутивший человек, обнаружив себя в тюрьме. :-(

С уважением,
Григорий Петров, служба технической поддержки Famatech (support@famatech.com).
Так чем атака закончилась? Или до сих пор идет безуспешно? 20.02.04 14:48  
Автор: Andrey_Ra Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> С 21-ого января несколько вэбсайтов в России, включая
> www.peterhost.ru подвергаются DDOS атаке.
> Одно общее свойство: на всех машинах установлен Remote
> Administrator версии 2.x. (www.famatech.com)
Так чем атака закончилась? Или до сих пор идет безуспешно?
А вот тут народ даже виноватых пытается найти. 26.02.04 00:31  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
И, вроде, даже небезуспешно.

Розыски начались в конце этой ветки:
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=0199#1
и продолжаются вот тут:
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=18817#1

Всплыла там и кое-какая техническая информация.
Кого действительно интересует вопрос - почитайте. Весьма увлекательно.
Насколько ребята правы - не берусь судить. Но что-то в этом все же есть...
Самое главное - вроде бы выяснили, с какой целью все это началось.
В общем, глядите сами.
Можете связаться 20.02.04 19:59  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> > С 21-ого января несколько вэбсайтов в России, включая
> > www.peterhost.ru подвергаются DDOS атаке.
> > Одно общее свойство: на всех машинах установлен Remote
> > Administrator версии 2.x. (www.famatech.com)
> Так чем атака закончилась? Или до сих пор идет безуспешно?
с автором поста Pavel Levshin. Его e-mail есть в исходном сообщении:
http://www.securityfocus.com/archive/1/354305/2004-02-16/2004-02-22/0.

Из обсуждения было только одно письмо от LordInfidel, который усомнился в "дырявости" RAdmin-а и посоветовал проверить настройки последнего:
http://www.securityfocus.com/archive/1/354515/2004-02-16/2004-02-22/2
Жаль, что мало интереса к этой теме :( 23.02.04 16:02  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
По некоторым обрывкам информации, РАдмин тут ни при чем.
Взламывают другим путем, а потом устанавливают радмин а следы взлома удаляют.
Почему же? Вот, смотри: 23.02.04 19:03  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> По некоторым обрывкам информации, РАдмин тут ни при чем.
Ссылку на эту инфу можно?
> Взламывают другим путем, а потом устанавливают радмин а
> следы взлома удаляют.

Topic: «Radmin got hacked..?»
на opennet.ru в обсуждениях статьи было. Только грохнулось... 25.02.04 10:35  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > По некоторым обрывкам информации, РАдмин тут ни при
> чем.
> Ссылку на эту инфу можно?

на opennet.ru в обсуждениях статьи было. Только грохнулось куда-то...

уже все выяснили.
недокументированых дыр скорее всего нет.
есть подборщик пароля по словарю.
Защищаться можно хоть фаерволом, хоть длинным паролем.
Беда одна - слишком много машин по сети расставлено с радминами, админы которых не в курсе этих проблем.
Даже скорее в том, что автор движка р-админа (т.е. его... 25.02.04 22:30  
Автор: Andrey_Ra Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Беда одна - слишком много машин по сети расставлено с
> радминами, админы которых не в курсе этих проблем.
Даже скорее в том, что автор движка р-админа (т.е. его серверной части) удалился от разработки. Если бы он продолжал работу над этим продуктом, то мы все бы уже давно переапгрейдились и получили необходимые защиты от перебора паролей.
Я вот только догадываться начал, что имел ввиду один из отвечающих разработчиков на форумах компании Фаматеч. Он сказал что мол у радмина 2.1 есть возможность поставить задержку, и после этого перебор паролей потеряет свою актуальность.
Он имеет ввиду галку в настройках сервера, которая выводит сообщение о том что кто-то долбится и разрешать ему это или нет.
Дословно галка называется Incoming Connection Dialog->Auto allow after timeout -> ну и в окошке количество секунд. Т.е. просто включаем это дело с хотя бы 10 секундами задержки и брутфорс обречен на провал, т.к. перебирать придется всю оставшуюся жизнь!
Ошибка 26.02.04 21:10  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Даже скорее в том, что автор движка р-админа (т.е. его
> серверной части) удалился от разработки.

Вы не правы. Автор Радмина вовсе не удалился от разработки. Он по-прежнему возглавляет компанию "Фаматек" и ведёт проект Radmin 3.0.

> Я вот только догадываться начал, что имел ввиду один из
> отвечающих разработчиков на форумах компании Фаматеч. Он
> сказал что мол у радмина 2.1 есть возможность поставить
> задержку, и после этого перебор паролей потеряет свою
> актуальность.

Похоже, Вы неправильно нас поняли. Пауза после нескольких неправильно введённых паролей Radmin Server 2.1 отсутствует.

Она действительно УЖЕ реализована в Radmin Server 3.0, который ещё только готовится к релизу и пока не выпущен. Разумеется, эта пауза сделана неотключаемой.

Приходится признать, что защиты от перебора в Radmin Server 2.1 нет. Но согласитесь, что защита от перебора должна быть не столько в программе, сколько в мозгах настраивающего её администратора. Если человек ставит на свой Radmin Server пароль "12345678", "password" или "DataPass", то его взломают даже без всяких словарных атак.

> Он имеет ввиду галку в настройках сервера, которая выводит
> сообщение о том что кто-то долбится и разрешать ему это или
> нет. Дословно галка называется Incoming Connection
> Dialog->Auto allow after timeout -> ну и в окошке
> количество секунд. Т.е. просто включаем это дело с хотя бы
> 10 секундами задержки и брутфорс обречен на провал, т.к.
> перебирать придется всю оставшуюся жизнь!

Ну а тут Вы тем более заблуждаетесь. Опция Auto allow / Auto deny after timeout не имеет ничего общего с паузой после неверного пароля. Она регулирует поведение программы в случае, если по истечение заданного промежутка времени пользователь серверной машины не ответил на выводящийся в диалоге вопрос "Разрешить ли соединение". Подробности - в документации прораммы.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Уважаемый Илья, Вы же прекрасно знаете, что авторизация... 03.03.04 17:07  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый Илья, Вы же прекрасно знаете, что авторизация происходит по хэшу пароля. Можно увеличть скорость перебора по словарю путём использования словарей хэша. Во-первых он конечен, во-вторых - Вы отдаёте себе отчёт какого монстра Вы сейчас держите в мире? Вы можете при людях объяснить, почему ещё не выпущен патч на v2.1?

РАЗ Подбор со скоростью до 100 паролей в секунду....
ДВА НЕзащищённый код программы, что позволяет любому школьнику писать самописные программы-клиенты
ТРИ Нет защищённого соединения на авторизации.... 42 байта в одну сторону, 42 в другую и любой начинающий хакер в том же VPN что и вы имеет материал для подбора вего лишь 128-ми битного ключа

Так ведь, Илья?
Ещё ответ 22.03.04 17:47  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
РАЗ Тысяча одновременно работающих машин будут подбирать пароль сотни лет.

ДВА Защита кода клиента и сервера является одной из лучших в своем классе, включая самотестирование кода на изменения. Конечно, взломать можно все, но для разбора кода Radmin'а подребуется кропотливая, многодневная работа лучших мировых хакеров, а никак не школьников. Так что код программы (в отличие от её ресурсов) как раз защищён.

ТРИ Эти "42 байта", как вы выразились - фрагмент авторизации, которая использует challenge-responce алгоритм. Мы не можем раскрывать детали алгоритма, но можем сказать, что сам хеш ключа НЕ ПЕРЕДАЕТСЯ ни в этих начальных 42 байтах, ни где-либо далее в потоке данных. Подбор 128 битного ключа - это задача на миллионы лет. Можете сами подсчитать на досуге.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
5 копеек 25.02.04 23:10  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> > Беда одна - слишком много машин по сети расставлено с
> > радминами, админы которых не в курсе этих проблем.
Это ИХ личные проблемы, имхо. RA ставят не юзеры, а именно админы. Чтобы не бегать с 1-ого этажа на 5-ый, грубо говоря. И если им лень читать новости, ............ -/
Сколько админов (именно АДМИНОВ), установив те же в2к или хп, оставляют ВСЕ настройки выни по дефолту, не принимая НИКАКИХ мер для защиты машины?

> Я вот только догадываться начал, что имел ввиду один из
> отвечающих разработчиков на форумах компании Фаматеч. Он
> сказал что мол у радмина 2.1 есть возможность поставить
> задержку, и после этого перебор паролей потеряет свою
> актуальность.
> Он имеет ввиду галку в настройках сервера, которая выводит
> сообщение о том что кто-то долбится и разрешать ему это или
> нет.
> Дословно галка называется Incoming Connection
> Dialog->Auto allow after timeout -> ну и в окошке
> количество секунд. Т.е. просто включаем это дело с хотя бы
> 10 секундами задержки и брутфорс обречен на провал, т.к.
> перебирать придется всю оставшуюся жизнь!
И ещё были советы LordInfidel-а (в том же треде):
A) use the built in filters
B) change the port
C) use NT Security
D) Restrict access to it via a firewall or router acl
Ну и есс-но запись логов.
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach