21 июля 1998, #34

В конце июня была обнаружена дырка в довольно популярном POP-сервере qpopper от Qualcomm, связанная с переполнением буфера. Дырка закрыта, новая версия (2.5) вышла. Скажете, чего это я вдруг спохватился ? Помните, в пятницу 3 июля мы провисели весь день, а потом восстанавливались со старого бэкапа ? Ровно оно и было. В результате атаки на Информику были вычищены все вебы и многое другое (на нашем сервере - еще и каталог /dev). В течение следующих нескольких дней после восстановления были зафиксированы и другие попытки взлома qpopper'а, а также попытки захода под измененными администраторскими паролями.

Такие дела. Пока это вся информация, которую я могу сообщить по этому поводу. Могу лишь поблагодарить специалистов Информики за быстрое восстановление и взятие ситуации под контроль. Честно скажу, испытать подобное на своей шкуре не слишком приятно, хотя и полезно, наверное. Не будь бэкапа, все могло быть гораздо хуже, впрочем необходимость резервного копирования давно уже стала вещью, не требующей доказательств.

Ежели за последнюю пару дней вы хоть немного времени провели в online, то вряд ли вас миновало известие об акции "ICQ-нас миллион!". Не может не впечатлить раскрутка - 8 с лишним тысяч в первый день с нуля без особой рекламы, на одном энтузиазме - это лихо, Московские Новости отдыхают. Не нужно обладать даром предвидения, чтобы предсказать в ближайшее время расширение этой кампании в виде многочисленных ссылок (видите, я тоже поддался :) ), включения этой страницы в фреймы на всевозможных домашних страницах поклонников ICQ и т.д. А ведь информация еще не докатилась до newsgroups, FIDO... Патриотизьм в сочетании с взятием на "слабо" - могучая сила, но давайте зададимся простым вопросом - кому и что это может доказать ?

Существование миллиона русскоязычных пользователей ICQ ? Да ни в жизнь. Начнем с того, что сей факт сам по себе еще очень спорен. В России в принципе нет миллиона людей, имеющих online-доступ. Плюс немалая их часть относится к корпоративным пользователям, сидящим за толстым firewall'ом, и попросту лишенным возможности использования ICQ, не говоря уж о приличном количестве людей, не имеющих желания ее использовать. Русскоязычных пользователей за рубежом тоже хватает, но не думаю, что это сильно повлияет на картину. Можно считать и по-другому. Всего зарегистрировано около 15 миллионов пользователей. Половина, если не больше - дубликаты, трупы и т.д. И вы хотите, чтобы я поверил, что русскоязычных среди них более десяти процентов ? На мой взгляд даже точка зрения оппонента о 200 тысячах еще слишком оптимистична.

Впрочем, сама технология доказательства изначально порочна - счетчику все равно, кого считать, русскоязычный или нет, пользователь ICQ или слышит о ней впервые в жизни. По-хорошему организовать это надо было бы совсем по-другому, в виде голосовалки, с обязательным отбраковыванием повторных попыток (стопроцентной гарантии тут тоже дать нельзя, но достоверность бы сильно возросла). Это если бы интересовала истина.

Ну а сейчас мы наблюдаем банальное желание урыть оппонента в виде "проклятых америкосов", что наглядно демонстрирует открывшаяся на странице гостевая книга. И это называется "Акцией объединения наших соотечественников" ? Тьфу.

Кстати, в коллекцию багов:

ICQ: ICQ file spoofer.

Netscape: Злобный апплет способен получить доступ к файлам на диске клиента. Версия 4.5 исправлена.

Использование страхов обывателя в качестве средства зашибания денег - давно испытанный прием. Очередной пример - Hacker Proof98. На сервере объявляется, что в системе безопасности Window '95, '98 и NT обнаружена новая серьезная дыра, приводящая к тому, что злой хакер может добраться до жесткого диска большинства пользователей Интернет. Конечно, мне стало интересно - что ж за дыра такая, если о ней было объявлено аж 10 июля, и вся сеть еще не встала на уши.

Первый намек дал отчет о пресс-конференции, на которой демонстрировалось это чудо. Представители компании просканировали случайным образом отобранные 254 адреса, после чего обнаружили среди них 50 машин с Windows, с именами типа "Mom's C: drive" and "Dad's Removable Drive". Хоть убейте, но не поверю, что это имена машин. Имена разделяемых ресурсов - да, вполне можно допустить. Окончательно в этом меня убедил список программ, которые могут воспользоваться этой новой дыркой - среди них Legion от Rhino 9 Software, WinHack Gold и т.д. Все эти программы имеют дело с разделенными ресурсами - сами можете убедиться, сходив сюда. Я по такому поводу даже запустил на домашней машине сервис Server, и все равно получил сообщение "We were unable to locate any public shares. You appear to have some level of security present."

Ну а если человек лезет в Интернет с домашней машины, на которой по каким-то мне неведомым причинам разделены диски с правами на запись всем желающим, а потом обижается, когда этот диск вынесли и называет это багом системы - это, простите, диагноз. Впрочем, судя по именам "машин", в первую очередь страдают всякие домашние сети (для нас это не так актуально, зато эту нишу прекрасно заполняют многочисленные одноранговые сети, собранные на коленке). Ставятся они легко, а о безопасности в этот момент как-то забывают. Ведь как приятно отказаться от беготни с дискетками и проч. Понимание того, что так же легко достучаться до диска после подключения в Интернет сможет кто угодно, приходит чуть позже. Иногда - совсем поздно...

Что касается Hacker Proof98, скорее всего, он представляет собой простой port watcher, каких вокруг хватает. Блокировка соединения - как бы тоже не проблема. Вряд ли в нем присутствуют какие-то закладки и backdoors, хотя и этого исключать нельзя, но платить за это 99 баксов - увольте.

Из той же серии. Miramax Films планирует снять фильм по мотивам книги Шимомуры и Маркоффа Takedown. Ознакомившись с первыми версиями сценария, главный редактор 2600 Emmanuel Goldstein организовал акцию протеста, которая и прошла в Нью-Йорке 16 июля.

Очень кстати подошла ссылка от Олега Шарипова на WarForge. Всевозможные watcher'ы, listener'ы, сканеры, детекторы и т.д. Свалка весьма приличная. Заодно и чуть более свежая версия wGateScan. А также свалка из "Beer, Biffit, Boink, Bonk, Dcd3c, Foqer, Gewse5, Ghost, Hanson, Hestra, Ice, ICQCrash, ICQFlood, ICQSpoof, IRCd Kill, Jolt, Land, mIRCKill, Mutilate, Nestea, Newtear, Octopus, OOB, Overdrop, Pepsi, Pong, Rape, ServUKill, SSping, Syndrop, Synflood, Teardrop, and WarFTPd Kill" в одном архиве под названием XCrUsh. И все безд-возд-мезд-но, то есть даром.

В прошлый раз я забыл упомянуть о выходе после 6-месячного перерыва очередного, 53-го номера PHRACK. В номере - демонстрация использования ошибок в PPTP, общие сведения о маршрутизации, Window Keylogger, использование ФОРТа для, хм, работы со Sparc, системы защиты от сканирования и т.д.

Наконец-то у меня дошли руки очередной раз подправить Форум. Главное новшество, если кто не заметил, - доска объявлений нынче стала биться по страницам, и появилась настройка показа новых сообщений (за последнюю идею спасибо Dmit'у). Особенно мне нравится, что все новшества сделаны навесным скриптом, все файлы остались в неизменном виде, так что вносить всякие изменения будет гораздо легче, чем раньше, да и после очередного архивирования (необходимость которого будет возникать уже пореже) будут нормально просматриваться в оффлайне. Тем, кто последовал моему совету сделать закладку сразу на доску, стоит сменить ее на новую.

Ну и с подачи насевшего на меня Paladin'а я подчистил скрипт чата, доведя его более-менее до ума. При работе настоятельно рекомендуются четвертые версии броузеров.

«		»