информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаСтрашный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1998
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




11 августа 1998, #37

Свежая (16/17 августа) серия взломов: http://www.cyberr.com, http://www.crazyweb1.org, http://www.playway.com, http://www.uka.ru, а тут - для тех, кто не успел.


В центре внимания мировой компьютерной общественности на прошлой неделе оставался Back Orifice, о котором я уже говорил в прошлом обзоре. Потихоньку стали подтягиваться и неспециализированные СМИ, как водится, сея панику и слухи. Дополнительное непонимание вызвал факт обнаружения свежим AVP на машине с установленным сервером BO чего-то под названием Trojan.Win32.BO.

Помимо нескольких недоуменных писем я встретил как минимум один сетевой обзор, где на основе этого заявлялось о коварстве злобных хакеров, вставивших в BO каких-то троянцев. Хотя исключать наличие закладок в BO и нельзя, тут все гораздо проще - в Лаборатории Касперского решили, что некоторых особенностей BO достаточно, чтобы считать всю программу троянцем. Что, безусловно, верно, а оперативность достойна всяческих похвал.

Аналогичного мнения придерживается и Network Associates, добавившая обнаружение BO в последние обновления для McAfee VirusScan, Кроме того, появились и другие вспомогательные утилиты для обнаружения/удаления BO: AntiGen 1.0 от Fresh Software и Toilet Paper 1.0.

Хорошо, что существуют подходящие утилиты, но не мешает и самому представлять, чего ожидать от Back Orifice. По умолчанию сервер предпринимает следующие шаги:

  • Копирует себя в системный каталог под именем ".exe"
  • Туда же копируется windll.dll
  • Добавляет себя в
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    с описанием (Default)
  • Ждет соединения на 31337-м порту.

Имя исполняемого файла, описание и номер порта могут быть изменены пользователем, но если у вас в RunServices завелось что-то, чего там быть не должно, и это что-то указывает на файл размером около 125к, есть шанс, что и вас посчитали. Надо еще будет посмотреть, видят ли его утилиты типа pview95 и xrun - мысль, как всегда, пришла в голову уже после того как была очередной раз снесена по такому поводу поставленная 95-ка :) Особых препятствий этому не вижу. Исполняемый файл также содержит строчку "windll.dll",

Передаваемые данные шифруются, но очень слабо - на основе пароля генерируется двухбайтный хэш, используемый далее в качестве ключа. Первые 8 байт клиентского запроса всегда содержат строчку *!*QWTY?, что позволяет легко определить хэш, а потом и подходящий пароль (по оценке ISS X-Force вся процедура занимает пару секунд на P133). Пароль и конфигурацию можно вытащить и из исполняемого файла сервера. В случае конфигурации по умолчанию в конце файла можно найти строчку 8 8$8(8,8084888<8@8D8H8L8P8T8X8\8'8d8h8l8. В случае измененной конфигурации она записывается в конце файла:
<имя файла>
<описание>
<номер порта>
<пароль>
<дополнительная информация для plug-in'ов>

Таким образом, воспользоваться установленным BO-сервером теоретически может не только тот, кто его установил, так что я бы не стал пользоваться им в администраторских целях. Впрочем, он и не для того создавался :)

Какие из всего сказанного можно сделать выводы. Во-первых, чудес не бывает, чтобы воспользоваться Back Orifice, его сперва надо установить. Просто так завладеть ресурсами чужой машины не получится, как бы этого ни хотелось. Сам по себе BO не использует какую-то новую дырку в ОС, но его присутствие может указывать на наличие дыр в защите (еще раз обращаю внимание владельцев домашних сетей: если уж захотели разделить диск на машине, подключаемой к сети, поставьте хотя бы пароль, что ли). Программных дыр может и не быть, но всегда остается главная дыра - пользователь :).

Пользователи NT и других ОС могут расслабиться - BO работает только на Win'9x. Обещается порт под NT, готова юниксовая версия (с исходниками), но речь пока идет только о клиентской части. Пользователям же 95-ки, равно как и администраторам, под чьим началом находится сеть с подобными машинами, не остается ничего кроме как получше предохраняться и почаще проверяться. Впрочем, это универсальный совет на все случаи жизни :) Часть головной боли возьмут на себя заботливые антивирусники.


Сразу же после обнаружения бага в почтовых клиентах от MS и Netscape создатели Eudorы поспешили заявить, что у них-то все чисто. Как выяснилось, зря. С ней все оказалось еще веселее - оказалось, что для просмотра писем в html-формате она полагается на html-control от IE, не особо заботясь при этом о безопасности. Что делает возможным послать письмо, содержащее код на JavaScript, способный запустить приаттаченный исполняемый файл. Дырка касается версий 4.0, 4.01, пользователям предлагается срочно проапгрейдиться.


Обратите внимание, в Форуме запущено новое голосование. Вопрос - "Какое наказание было бы справедливо для хакера, взломавшего веб-сайт?" (спасибо nonuk'у за идею). Заодно я переделал скрипт, что позволило оставить в рабочем состоянии предыдущие голосования и вообще сделать добавление новых тем гораздо более удобным (посетителям-то это без разницы, а мне радость :)). Попутно ссылка от Братка: EVERYTHING A HACKER NEEDS TO KNOW ABOUT GETTING BUSTED BY THE FEDS (из предпоследнего Phrack'а). Возможно, это кому-нибудь пригодится и у нас...


В ответ на мой призыв поделиться идеями насчет хостинга уже пришло несколько довольно интересных писем. Предложение остается в силе, пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach