https://bugtraq.ru/review/archive/1999/03-10-99.html

3 октября 1999, #78

Радостная новость - многострадальная Атака на Internet наконец-то вышла из типографии на этой неделе. Впрочем, заказать ее можно было уже в течение пары недель. На оЗоне она практически все это время удерживала первое место в списке бестселлеров, что, по-моему, совершенно уникально для еще не вышедшей книги.

Несмотря на видимое затишье, в сентябре на сайте произошло приличное количество изменений - в основном внутреннего характера, но кое-что выползло и на поверхность.

Полностью сменен движок голосовалок (готов-то он был давно и уже вовсю трудился на командной странице, но нужно было перетащить под него старые голосования). В принципе осталось сделать несколько штрихов, чтобы он стал готов к раздаче всем желающим. Не могу сказать, конечно, что среди халявных скриптов на том же www.cgi-resources.com нельзя найти ничего подобного, да и сама задача вполне сойдет в качестве задания начинающим изучать CGI, но мне он нравится :) Администрирование с web, сохранение предыдущих голосований в архиве, опять же, достаточно приличная защита от накруток (могу сказать, что ее аналог, использовавшийся в голосовалке ЗРИ, с честью выдержал все испытания, хотя, разумеется, при большом желании и некоторой квалификации обойти можно любую антинакруточную систему).

Очередной раз пришлось переделывать форум. Несмотря на то, что по изначальному скрипту Мэтта Райта я уже неоднократно проходился напильником, на больших досках он опять стал сбоить - если раньше это происходило раз в 2-3 месяца, теперь после последней модификации доски спокойно прожили полгода, и на том спасибо. В общем, к началу третьего года существования форума я сподобился добавить к нему автоматическую архивацию сообщений месячной давности (а заодно и перерисовал шаблон для сообщений). Архивы уже начали копиться на нашем ftp. Надеюсь, что в таком виде доски смогут просуществовать без особых проблем еще очень долго.

Вступили в строй три приложения к основной рассылке. Два из них уже присутствовали на сайте. Во-первых, это Russian Security Newsline, присоединиться к которой я по-прежнему приглашаю всех авторов российских сайтов по безопасности (учитывая, что ее аудитория возросла на 24 тысячи подписчиков рассылки, резон в этом есть), во-вторых, переделанный под формат рассылки HackZone Alert. С последним не все получилось гладко - я как-то расслабился, пропустив в него массу сообщений о почтовых рассылках, за что и получил множество совершенно справедливых жалоб. Еще раз уточняю. Основное назначение alert'а - предупреждать возможную атаку. То, что пришел очередной Trojan.PSW.Coced.xxx, конечно, неприятно, но вряд ли эта информация пригодится большинству подписчиков. Для работы с почтой гораздо больше подойдет Спамэпидемстанция, тем более что адреса, в нее попавшие, будут удаляться с mail.ru и добавляться в блок-лист для Eserv'а. А вот сообщить об усиленно рекламируемом сайте с ворохом троянцев - это действительно больше подходит alert'у.

Третье приложение основано на новых поступлениях в созданный 30 сентября раздел, о мотивах создания которого я расскажу чуть попозже.

Список сайтов, размещенных на hackzone, пополнился The Broken Pipe. Основная тематика, как несложно догадаться, безопасность и hacking. Документация, утилиты, юмор, предложение услуг.

В сентябре стартовала очередная подписная кампания. Напоминаю, что подписаться на журнал "HackZone - Территория взлома" можно в любом отделении связи. Положа руку на сердце, нельзя не заметить, что ситуация в этом году с подпиской была совершенно неудовлетворительной, не сказать хуже. Журнал этот сейчас - откровенно убыточный, и именно с необходимостью зарабатывания денег на его издание связаны многочисленные задержки в выходе номеров. Тем не менее, свои обязательства перед подписчиками мы в конце концов выполняем.

Понятно, что все это наши личные проблемы, но как-то их решать и принимать какие-то меры все же надо. И в качестве одной из них мы решили устроить небольшой конкурс, победитель которого, по традиции, станет обладателем еще одного компьютера. Для участия в нем достаточно убедить как можно больше ваших знакомых подписаться на журнал, после чего прислать в редакцию ксерокопии подписных квитанций. Если победителей окажется несколько, судьбу приза решит жребий.

Кстати, насколько мне известно, в этом году подписная цена сделана гораздо более привлекательной.

RC5 HackZone Team уверенно движется вперед. На днях мы поднялись уже на 15 место в общем рейтинге, да и по количеству участников обогнали Anand Tech и вот-вот обгоним L0pht - если ничего не путаю, поскольку последние дни статистику на distributed.net опять лихорадит. Тем не менее, командная жизнь продолжается, в сентябре состоялась вторая встреча московских участников команды, полюбоваться на фотографии с которой можно тут.

Стараниями Alek'а была реализована возможность создания подкоманд, и теперь мы надеемся, что к нам подтянутся небольшие команды, не желавшие вливаться в большую и толстую HackZone Team из-за опасения потерять свою индивидуальность.

И еще одна приятная новость. Скорее всего, первая партия маек с командной символикой будет готова уже в октябре.

В общем, "команды бывают разные, HackZone Team - одна". Присоединяйтесь!

Начитавшись в Cooler'е про плагины к WinAmp'у, скачал DFX, после чего аж заколдобился. Качество звука - небо и земля, после отключения DFX сразу возникало ощущение, что звук идет откуда-то из бочки. Однако, взглянув на десятипроцентную загрузку процессора, я как-то загрустил, после чего вспомнил, что вообще-то все это делается на моем SB Live аппаратными средствами :) Мда, а ведь, помнится, я в первые дни после установки вовсю развлекался звуками ICQ-шной кукушки в лесу и звуками своего голоса, на лету конвертящегося в приятное сопрано (вот вам кстати и способ обойтись без описанного во второй главе "Атаки" устройства для изменения голоса). А потом как-то приелось, я и выкинул это из головы. Дурдом...

За прошедший месяц рекордное количество клюквы выдало на гора НТВ. Сначала случилась передача из серии "Профессия-репортер", порадовавшая в первую очередь заставкой с до боли родными черно-белыми градиентами. В ней мы имели счастье наблюдать Д.В.Чепчугова с видом Штирлица раскуривающего сигаретку среди берез, проникнуться душераздирающей историей об отключении через Internet медицинского оборудования в целях устранения опасного свидетеля, стать свидетелями взлома первого попавшегося сайта, пароль доступа к которому попал в руки взломщиков не иначе как по мановению свыше, и так далее в том же духе. В общем, дорогие телезрители, только что вы просмотрели большой рекламный ролик Управления "Р".

Потом произошло событие, которое я ожидал с некоторым опасением - а именно взлом сайта "Кавказ-центр". Спросите, почему? Я писал уже об этом в форуме в ответ на массовые призывы завалить этот сайт. Во-первых, с меня хватило весенней истерики вокруг натовских взломов. Далее, оставляя в стороне рассуждения о свободе слова, что мы получаем в случае "устранения сайта" нелегальными средствами? Рано или поздно сайт будет восстановлен. В течение дня-двух, если был взломан собственно сервер, в течение нескольких дней, если была проведена атака на DNS. В самом уж крайнем случае сайт переедет на другой домен. В итоге, когда пыль рассеется, владельцы сайта будут иметь в активе бесплатную рекламу во всех СМИ - как сетевых, так и традиционных, а также репутацию пострадавшего за правое дело - злобные имперские хакеры наехали на маленький, но гордый сайт.

Первая часть прогноза была выполнена с лихвой. Причем во всех сообщениях взлом подавался как полное уничтожение сайта, а НТВ пошло еще дальше, плавно сменив слово "специалисты", скромно используемое ранее, на "спецслужбы". Как ни странно, в первый раз факт взлома не был использован по полной программе в пропагандистских целях. Кстати, сейчас на сайте красуется объявление об атаках, производимых на него в течение 1-2 октября.

Едем дальше. Двухсерийный фильм из цикла "Криминальная Россия". Первая серия прошла мимо меня, могу лишь сказать, что по словам очевидцев, в предисловии к ней рассказывалось о Ричарде Столлмане, основателе пиратского объединения Free Software Foundation. Понятно, конечно, что понятия free software, GNU, copyleft стоят кое у кого костью в горле, но не до такой же степени... При просмотре же второй серии стало понятно, что речь идет о деле Владимира Левина и Ситибанка, которые выступали в сюжете под масками Леонида Резина и Метрополитен-банка. В остальном - все в том же стиле, радующие ухо выражения типа "сервер АТС, через который взломщик выходил в сеть", доблестные милиционеры, выманившие злоумышленника из страны, предотвратив между делом крах мировой экономики, и т.п.

Примерно в то же время в Антропологию был зазван Артемий Лебедев. Я испытал массу удовольствия, когда в ответ на честное Темино заявление, что он работает только на Маках, Дибров сказал (расслабьтесь): "Но Юникс ведь закрытая система?". Занавес.

И, наконец, когда в очередной серии "Досье детектива Дубровского" программа, не дождавшись ввода пароля, самоуничтожилась с компакт-диска, душа моя не выдержала, и я пошел искать по сети сборник таких вот маразмов на компьютерные темы, примеров которых любой из компьютерщиков с легкостью наскребет не один десяток. Когда же, к моему удивлению, ничего подобного не обнаружилось, мне ничего не оставалось делать, как заняться созданием такой коллекции самому.

Свежесозданный раздел получил название "Бред сивой кобылы", его обновления и стали третьим приложением к рассылке. Я призываю вас принять участие в его пополнении. Как только наберется достаточное количество экспонатов, в нем появятся рубрики, будут целиком выложены бредовые статьи, почетное место займут отдельные фильмы и сериалы, в общем, скучать при его чтении не придется.

Реакция читателей после первой же рассылки была исключительно благоприятной. Спасибо всем откликнувшимся, такая поддержка в первые же дни существования ресурса очень вдохновляет. Спасибо Илье Константинову за ссылку на как нельзя лучше подходящее к теме эссе Джима Леонарда Computer Movies Suck. Кстати, сайт www.oldskool.org любопытен и сам по себе - посвящен он исключительно старым IBM-совместивым компьютерам, хотя, возможно, людей, помнящих машинные залы ЕС ЭВМ, PRIMUS (помните - "И он уже не тот, что был вначале..."), CM-ки с 64к памяти, и покоробит занесение Роботронов и IBP PCjr в "старую школу". Ну а люди, пришедшие в индустрию в конце 80-х/начале 90-х, могут поностальгировать по полной программе.

Да, большая просьба - перед тем как добавлять новый экспонат, гляньте на существующие. А то пришло уже штук пять сообщений о том как в "Дне Незавивимости" ребята справляются с захватчиками, внедряя вирус в корабельный компьютер с помощью простого земного ноутбука.

Однако вступление несколько затянулось. Пробежимся теперь вкратце по случившимся событиям. Очредную, едва ли не рекордную, порцию проблем с безопасностью получила Microsoft. Одних только бюллетеней было выпущено аж девять штук. Часть из них касалась IE (привычное дело), например, возможность скачивания любого файла с машины клиента - дырка, до сих пор не прикрытая, и открытая Georgi Guninski, на счету которого масса обнаруженных дырок в IE и NN. Большая же часть дырок имела непосредственное отношение к NT, и среди них достаточно серьезные, приводящие к расширению пользовательских привилегий. Остается надеяться, что все исправления войдут в шестой Service Pack, выход которого ожидается в ближайшие дни - а то процедура установки post-SP5 фиксов как-то начинает напоминать жизнь между SP3 и SP4.

Кроме того, было еще два повода помянуть MS недоборым словом. Первым стала очередная обнаруженная дырка в hotmail (с помощью очередной лазейки, через которую код на JаvaScript проникал в полученное письмо), вторым - вроде бы обнаруженные доказательства того, что в криптосистеме NT содержатся заглушки, позволяющие получить доступ к информации помимо желания ее владельца. По этой версии, в вышедшем SP5 MS забыла удалить символьную информацию из модулей CryptoAPI, в результате чего глазам исследователей открылись переменные с именами _KEY и _NSAKEY, последнее из которых как-то нехорошо стыкуется с аббревиатурой NSA (National Security Agency), в результате чего был сделан вывод, что это и есть тот самый запасной ключик, с помощью которого MS как лояльная американская компания предоставляет доступ правительственному агентству к секретам своих клиентов. По версии же самой MS, ключи эти используются исключительно для цифровой подписи модулей, реализующих криптографические функции (Cryptographic Service Providers, CSP), и с их помощью ничего не шифруется. Два ключа применяются на запас, и второй (резервный) ключ получил столь неудачное имя NSAKEY исключительно по историческим причинам. Может, оно так и есть, но от греха подальше была сделана программа, заменяющая значение NSAKEY.

Помимо прочего, меня зацепила следующая фраза: "Many people have written us and assumed that we "reverse engineered" Microsoft's code. This is not true; we did not reverse engineer Microsoft code at any time. In fact, the debugging symbols were found using standard Microsoft-purchased programmer's tools, completely by accident, when debugging one of our own programs." А ведь аргументация, основанная на исследовании кода, была бы гораздо убедительнее основанной на имени переменной, тем более что файлы с символьной информацией совершенно открыто лежат на оригинальных компактах с NT (указанные переменные присутствуют в файле \SUPPORT\DEBUG\I386\SYMBOLS\DLL\ADVAPI32.DBG).

И еще один привет Microsoft. Вкратце: Microsoft предлагает университетам всякие вкусности типа права на бесплатное распространение Windows среди студентов, в обмен на мааленькое такое условие - не использовать ничего, кроме NT, на своих серверах. Говоря попросту, это означает попытку оторвать Unix от своей питательной среды, которой всегда были американские университеты. В принципе в свое время достаточно агрессивную политику в образовательной сфере проводила Apple, что привело, к примеру, к тому, что у среднего американца компьютер очень долго ассоциировался с Маком, да и сейчас какой-нибудь PowerBook - до сих пор чуть ли не самый популирный компьютер в фильмах, эксплуатирующих компьютерную тему. Но ставить непременным условием полный отказ от конкурирующей платформы - это все же перебор.

Несомненное событие месяца - возобновление работы Packet Storm Security - на новом месте, с новой командой. Закрытый этим летом PSS (подоплека событий того времени популярно изложена в статье Адама Пененберга от 27 сентября) был едва ли не самым популярным архивом всевозможных exploit'ов, утилит и т.п. На сей раз PSS приютила компания Kroll-O'Gara, ну а основатель PSS, Кен Вильямс, решил покинуть проект.

Прямо-таки обвал конкурсов "Взломай наш сайт". Помимо уже упоминавшихся www.windows2000test.com и crack.linuxppc.org, в бой вступили AntiOnline (мишень - linuxppc.antionline.com) и PC Week (мишени - securelinux.hackpcweek.com и securent.hackpcweek.com). Причем, что любопытно, линуксовый сайт PC Week'а уже был успешно взломан, NT же пока стоит.

Team Void переселилась на новый адрес. Вызывает искреннее уважение тот темп, который ребятам удается выдерживать вот уже третий месяц. Мда, были когда-то и мы рысаками... :) Часть их анонсов вы уже могли наблюдать на RSN, среди последних поступлений - ...ПРЕЖДЕ ЧЕМ ДЕТИ ПРЕВРАТЯТСЯ В ХАКСОРОВ, ЭКСПЛОИТ ДЛЯ FTP ServU 2.5.0 / WIN32, ПЕРЕПОЛНЕНИЯ БУФЕРА В КОМПОНЕНТАХ ActiveX.

Окончательно устаревшая новость, задержка в выпуске которой - исключительно моя вина: Гражданская Школа Хэкеров в начале сентября проводила очередной набор новичков и донабор в старшие группы. Зато сейчас у вас есть возможность ознакомиться с результатами, а заодно и проверить свои силы на вступительных заданиях. На мой взгляд, задания не слишком сложные, хотя далеко не всем моим третьекурсникам они будут по зубам :) Скажем так, достаточно разумный порог отсева они таки устанавливают.

Еще свежатинка - новый дизайн и новые разделы на security.lgg.ru. Это сайт довольно долго держался среди лидирующих русскоязычных сайтов нашего профиля, летом немного сдал свои позиции, и сейчас, похоже, обретает новое дыхание. Хотя предыдущая не столь мрачная версия мне была больше по душе :)

Вышел новый, 55-й номер Phrack. Весьма любопытная статья - A Real NT Rootkit.

Неожиданное применение клиента distributed.net. Два украденных компьютера было возвращено владельцам, поскольку установленный на них хозяевами клиент исправно доложил в distributed свой новый ip, с помощью чего и были обнаружены злоумышленники. С одной стороны, неплохо, с другой - полная беда с privacy.

Давно существующий домен linux.ru наконец-то обрел достойное содержание, теперь публикуются новости из миру Linux, а по совместительству и новости сервера Apache.ru.

Сменился дизайн и состав команды, работающей над www.slackware.ru, правда похоже, что первая новость об этом событии от 23 августа пока остается и последней...

Вышла окончательная версия VMware/NT. Принципиальных отличий от последней беты я не заметил, разве что сменился фон основного окошка :)

2 ноября в Москве пройдет первая всероссийская конференция Право и Интернет: теория и практика.

За ссылки этого выпуска спасибо Александру Поволоцкому, Игорю Каминскому, Valera Syssik.

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»