BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/1999/02-03-99.html

2 марта 1999, #64

Не прошло и года, как мы снова в строю. Для начала немного внутренних новостей. Вашему вниманию предлагается еще один новостной проект, подключиться к которому я призываю всех желающих, и в первую очередь авторов сайтов безопасностной тематики. Суть идеи, предложенной Евгением Ильченко, заключается в создании специализированной новостной дорожки - назовем ее, скажем, Russian Security Newsline. Ваше участие может состоять в простом размещении ее клиентской части на своем сервере, а также собственно в подготовке новостей.

Пока подготовлено три варианта размещения клиентской части. Самый простой вариант, требующий минимальных усилий - вы вставляете на свою страницу html-код, загружающий Java-апплет с hackzone. Следующий вариант - вы включаете в свою страницу с помощью SSI скрипт, результат работы которого можно посмотреть здесь, а исходный текст получить здесь. И промежуточный вариант - вы размещаете у себя и апплет, и скрипт, выдающий апплету необходимую информацию. Чуть попозже добавится скрипт, просто сбрасывающий получаемую с hackzone информацию в файл, из которого ее будет считывать апплет - это уже вариант для имеющих доступ к cron'у или любому другому аналогичному средству.

В итоге вы получаете на своей странице нечто в этом роде (размер и цвета настраиваются), а ваши благодарные посетители - доступ к последним новостям. Плюс появляется возможность дополнительной рекламы своего ресурса с помощью публикации анонсов и т.п. Вся система находится сейчас где-то на уровне очень бета-версии и в состоянии перманентной доработки, так что любые предложения по совершенствованию и баг-репорты приветствуются. Особенно интересует поддержка кириллицы. В ближайшее время будет добавлен вывод имени/адреса отправителя, в планах и нормальный разбор html.


Проблемам баннерных сетей, счетчиков, рейтингов и т.п. явно суждено находиться в центре внимания. Сегодня мы рассмотрим программу, занимающуюся их накруткой - имитацией значительного количества показов счетчиков, баннеров и т.п. Создание массы виртуальных посетителей имеет прямую выгоду - рост в строчках рейтингов, приносящий вполне реальных посетителей, баннеры, полученные по обмену, наконец, деньги, полученные в обмен на виртуальные клики. Экземпляр программы переправил мне Alex Ustas, за что ему отдельное спасибо, иначе бы разговор носил чисто умозрительный характер.

Борьба с накруткой - едва ли не основная головная боль баннерных сетей. Это же, впрочем, относится и ко всевозможным рейтингам, голосованиям и т.п. Вы будет смеяться, но все опять упирается в идентификацию пользователя, о которой я тут распинался три последних выпуска. Правда тогда она рассматривалась под другим углом зрения: речь шла о ситуации, когда пользователю выгодно быть правильно идентифицированным - тогда ему не понадобится повторно вводить пароль, заполнять анкету и т.п. В случае с накруткой игра идет в разные ворота. Сеть стремится отслеживать ситуацию значительного количества показов счетчика, баннера и т.п. одним и тем же пользователем в течение ограниченного промежутка времени, накрутчик стремится ее скрыть.

Основная информация, которую пользователь оставляет о себе на web, сводится к следующему:

Если что-то из перечисленного покажется вам до боли знакомым, к примеру, если вы обнаружили там свой ip-адрес, не переживайте и не бросайтесь писать мне гневное письмо с требованием немедленно его заменить. Это всего лишь результат работы скрипта, включенного через SSI. Другими словами, каждый посетитель видит тут свою и только свою информацию - просто мне показалось, что такая демонстрация будет наглядней, чем пример какого-то абстрактного пользователя.

Вся эта информация, кроме REMOTE_ADDR и REMOTE_HOST, передается клиентом непосредственно в заголовке http-запроса, а следовательно, может быть подделана. Подделка же обратного адреса - штука более сложная, а в Win-системах - гораздо более сложная из-за особенностей реализации winsock, не допускающей непосредственной модификации заголовков пакетов. Однако существует второй, гораздо более легкий путь - воспользоваться proxy-сервером, адрес которого и получит сервер в качестве обратного адреса. Однако далеко не все прокси позволяют так просто скрыть адрес клиента - в конце концов, их основная задача - вовсе не обеспечение анонимности. Они честно передают адрес клиента с заголовком X-Forwarded-For, что дает возможность cgi-приложению получить его из переменной окружения HTTP_X_FORWARDED_FOR, что вы и могли наблюдать в приведенном примере.

Итак, алгоритм понятен. Собираем список прокси и пишем программу, позволяющую формировать заголовки запроса вручную (несколько строчек на Perl'е - как в том же fetch.cgi, либо взять готовый пример из Delphi и чуть обстругать), и начинаем работать через каждый раз случайно выбираемый прокси.

А дальше начинается шаманство, то есть статистика. К примеру, суточный график посещаемости российских сайтов носит, как правило, вполне определенный характер - ночной спад, дневной подъем, падение посещаемости по выходным и т.п. Для ресурсов, носящих более интернациональный характер, разница сглажена, но постоянство графика все равно имеет место быть. Впрочем, можно попробовать изобразить и такое поведение. Далее, необходимо учитывать активность посетителей разных регионов - такая статистика ведется, по крайней мере, баннерными сетями, и всплеск посещаемости с какого-то тьмутараканского прокси не может не привлечь внимания. Наконец, в случае баннерных сетей придется имитировать и клики по баннерам - иначе привлечет внимание резко упавший CTR сайта (отношение количества кликов на баннерах к количеству показов). Тут мы упираемся в cookie, которые, как правило, выставляют сети, используя модель идентификации cookie+IP. Придется заниматься и ими. Далее нам придется имитировать статистику возвратов одних и тех же посетителей, потом - имитировать их прогулки по другим сайтам, потому как сложно объяснить внезапный всплеск интереса нескольких сотен посетителей к одному-единственному ресурсу, и т.п. В итоге мы получаем, что создание идеального накрутчика - задача весьма нетривиальная и требующая значительных усилий.

До сих пор была теория, теперь переходим к практике - к нашей конкретной программе-накрутчице. Документация к ней достаточно подробная, демонстрируются примеры накрутки Rambler'а, баннерных показов и кликов, приводится рекомендация придерживаться естественного графика суточной посещаемости. Единственное, с чем не могу согласиться, так это с утверждением, что "все знаменитые сервера Рунета начинали путь к известности с использования этого или такого же способа". По крайней мере, один сервер, этим не занимавшийся, я знаю :) То же можно сказать и о большинстве крупных серверов - уж поверьте, разработка интересной идеи гораздо плодотворее эпизодической накрутки и гораздо интереснее накрутки постоянной.

Что касается реализации, чуда не произошло. Программа действительно использует прокси (причем этот режим по умолчанию отключен), коих в комплекте предлагается 787 штук. Большинство честно возвращает HTTP_X_FORWARDED_FOR. Правда для заметания следов используется любопытный трюк - программа формирует и свой левый X-Forwarded-For (из еще одного списка на тысячу адресов), так что реальный адрес в этом случае (на Apache, по крайне мере) приходит в HTTP_X_FORWARDED_FOR вторым, после запятой. С куками программа не работает, плюс всегда формируется HTTP_CACHE_CONTROL: max-age=2592000 - насколько я понимаю, обычно прокси пишут там на один ноль меньше. Это значение прописано в файле настроек и легко меняется, но это еще надо проделать. Таким образом, ее использование можно отловить, даже не особенно занимаясь статистическими исследованиями. Но если этим не заниматься, Рунет ждут веселые деньки.

P.S. Выкладывать ее я все-таки пока не буду. Дадим баннерным сетям фору, скажем, в неделю. Просьбы типа "а мне?", "кинь в виде исключения, pls" рассматриваться не будут.


Если вы дошли до страницы с демонстрацией новостной дорожки, то, наверное, уже прочитали о выходе международной версии PGP 6.0.2i. Помимо долгожданной поддержки RSA-ключей, эта версия ничем не отличается от своей американской сестры.


Не так давно английская газета Sunday Business разродилась душераздирающей историей о хакерской группе, получившей доступ к программе управления британскими военными спутниками, захватившей контроль над некоторыми из них, и теперь потихоньку занимающейся шантажом. Известие в это воскресенье подхватил Reuters, в итоге оно докатилось даже до нас в виде публикации во вторничном номере "Сегодня" (за сообщение спасибо xb).

Сообщение представителя министерства обороны не заставило себя долго ждать. По его словам, подобное невозможно в принципе, чему лично я охотно верю. Ну невозможен такой контроль без физического доступа к управляющей аппаратуре, не выносят управление ядреной кнопкой и спутниками в сеть общего пользования, а человеку, не способному этого осознать, лучше не писать на компьютерные темы.


А вот процесс общения отечественного журналиста Вадима Федосеева из "Петербургского Аналитика" с отдельными представителями хакерского сообщества можно наблюдать здесь. Вопросы достаточно традиционны, ну а какой вопрос, такой и ответ.


1) Posle issledovania Nessus'om poslednei versii Free Bsd 3.0 ustonovlenoi priamo s saita www.freebsd.org viasnilos chto ona podverjena staroi atake "nestea".

2) Viasnilos chto moi radius (Mer. 3.6 s primochkoi dlia ogranichinia na simult. connections) nepravilno ponimaet komentari (#) pered usernamom. ('#' ispolsuetsia dlia komentirovania - chitai vremennogo otkliuchenia polsovatelia). Tak chto zapis v faile 'users': #billgates i #durak#billgates --- IDENTICHNA. T.e esli kto to dogadaetsia kak 'komentiruiutsia' polsovateli u svoego provaidera (a oni obichno komentiruiutsia tak: #billgates, chto ochen ne trudno otgadat !) emu otkliuchenie sa neuplatu - nepochem. Posje viasnelos chto Livingston 1.x radius takaia je 'sarasa'. Drugie radiusi ne bilo vosmojnost proverit.

Spasibo,
Nadeius chto moia informacia budet polesna drugim.

B.M.

Краткая расшифровка :)

Nestea - DoS-атака, сделанная по мотивам teardrop (используются ошибки в реализации сборки фрагментированных пакетов). Как уточнил Алексей Проскура, эта информация на самом деле стала доступной за несколько дней до официального релиза 3.0 в ноябре прошлого года, версия 3.1 (вышедшая 15 февраля) от нее свободна. Сейчас уточнил - и правда, я сам писал о ней в выпуске от 10 ноября. Вредно все-таки готовить обзоры по ночам...

RADIUS, Remote Authentication Dial-In User service - система аутентификации, изначально разработанная Livingston Enterprises (ныне вошедшей в состав Lucent Technologies). Ее основные задачи - аутентификация пользователей и ведение счетов. В общем, это весьма существенная часть провайдерского софта.


Если вы сходили по ссылке на nestea.c из предыдущего раздела, то наверное заглянули и на страницу по соседству, где честно перечислены основные известные ошибки в реализациях tcp/ip-стека. А если не полениться и забраться уровнем повыше, то можно будет обнаружить информацию о сетях X.25, firewall'ах, снифферах. Здесь же - подборка exploit'ов вообще и NetBIOS'овских в частности. обзор криминально-компьютерных событий в России. Тут же - "биржа по услугам безопасности", место, где можно предложить свои услуги либо заказать, скажем, проверку системы на безопасность.

А если вас заинтересовала ссылка из прошлого обзора на Security Zone, то вас не оставит равнодушным и Techno (бывший Technotronic.net). Огромное количество соответствующего софта, подборки статей по безопасности Windows, Unix, Netware, материалы по криптографии, основам работы с IRC...


Очередную проблему с NT обнаружил dildog из L0pht Heavy Industries. Суть ее заключается в том, что NT при старте в целях оптимизации загружает в виртуальную память по одной копии основных системных библиотек, разделяя их между всеми процессами. Для определения адреса библиотеки используется список KnownDLLs, возможность чтения и записи в который по умолчанию имеют все пользователи. Другими словами, система может быть атакована с помощью загрузки библиотеки, имеющей имя, совпадающее с именем системной dll, и подмены записи в списке KnownDLLs. После чего вызовы системной библиотеки будут обрабатываться уже нашей библиотекой, что в итоге вполне может привести к захвату администраторских прав. Демонстрация с исходным текстом прилагается.

В бюллетене от MS указывается, что защититься от этого можно, добавив в ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager параметр ProtectionMode со значением 1. Готовится hot-fix.


Недавний взлом idSoftware был проделан с помощью поставляемых с Website Pro 2.0 /cgi-dos/args.bat и /cgi-win/uploader.exe. Мораль (давно известная): никогда не оставляйте на сервере примеров, пришедших в стандатрной поставке.


На странице Georgi Guninski можно найти последние найденные им баги в IE и NN. О дырках в IE, я недавно писал, дырки в NN приводят примерно к тем же результатам - считыванию локальных файлов, "подделке" сайтов и т.п.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »






  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach