9 февраля 1999, #62

Сервер статистики distributed.net вот уже неделю пребывает в коматозном состоянии, что несколько снижает мотивацию участников проекта. nugget бьет себя пяткой в грудь и клянется, что новый сервер уже готов, софт переписан, и вообще осталось только довезти его до провайдера. Что ж, будем верить в лучшее. Обещается, что статистика теперь будет обрабатываться сильно быстрее...

А у нас добавилась пара разделов - в Underground'е проклюнулся Юмор, а в помощь к обзорам - HackZone alert. Просто мне до смерти надоело писать об очередной раздаче троянцев с того или иного сайта, а через пару недель опять получать сообщения о том же сайте.

Прием работ на конкурс прекращается, в марте будут подведены окончательные итоги. Впрочем, присылать работы на следующий конкурс можно уже сейчас. В следующем году работы будут оцениваться как посетителями сайта, так и жюри, в результате чего будут присуждаться, грубо говоря, гран-при и "приз зрительских симпатий". Так что шансы на успех удваиваются :)

Возвращаясь к рассказу о взлому РЛЕ. По словам администрации, после прошедших сообщений началась повальная регистрация желающих поживиться - по сотне с лишним человек за ночь. Еще раз повторяю: дыра в RLE уже давно заткнута, и регистрироваться в надежде ей воспользоваться - бесполезно.

И в продолжение темы - отклик Алексея Звягина.

Прочитал статью по поводу аутентификации RLE. Вы описали несколько способов, с помощью которых можно аутентифицировать пользователя через CGI. Не знаю, предлагал ли кто-нибудь такое, но я когда-то придумал свой способ аутентификации через CGI (не средствами сервера). Его плюсы следующие: 1. Пароль передается один раз при заполнении вормы и более ни в каких формах при сеансе не передается (в криптованном или нет) 2. Метод довольно надежен, на мой взгляд. Мне кажется, он имеет преимущество перед стандартным методом Apache (HTTP), где пароль передается каждый раз при запросах в кодированном Base64 (который взламывается за меньше секунды) Принцип метода прост. Последовательность действий сервера и клиента такая: 1. Через заполненную форму имя и пароль попадает на сервер. 2. Сервер проверяет пароль. Если не совпадение - отказ. Если совпадение, идем дальше 3. Сервер генирирует некое случайное число, довольно длинное трудноугадаемое ;-) И запоминает у себя три параметра: имя пользователя, случайное число, IP адрес клиента 4. Далее все HTML документы должны содержать hidden переменную - имя пользователя и случайное число (не пароль!). Любая работа в дальнейшем требует от сервера каждый раз сравнивать имя и случ. число, а также IP адрес. 5. После сессии клиент должен выполнить форму - Logout, которая удалит файл на сервере, содержащий три параметра. Как только он удалит, пользователь с тем же именем может заходить с другой станции. Можно средствами CGI предусмотреть только работу одного user с таким же именем в один момент времени 6. Если пользователь не выполнял запросы в течении 30 минут, к примеру, сервер должен удалить файлик с тремя параметрами (четвертым может быть дата последнего запроса пользователя для организации Auto logout). Это на тот случай, если адрес IP изменился (DialUp например) и пользователь с другой станции зайти уже не сможет

Да, такой метод тоже иногда используется. На logout пользователя рассчитывать правда не приходится, обычно приходится предусматривать автоматический logout по тайм-ауту - то, что у вас идет шестым пунктом. Главный плюс - действительно более высокая надежность из-за исключения пароля из обмена данных.

Но возни при этом больше - приходится держать базу обслуживаемых в данный момент пользователей и отслеживать отвалившихся. Фактически получается двойная работа - вначале мы проверяем пароль для начала работы, потом генерим временный пароль на сессию. Опять же, если пароль прилично зашифровать, разница в защищенности на практике будет несущественна. Поэтому этот способ, на мой взгляд, больше пригоден в ситуации, когда стартового пароля нет, но необходимо как-то определять, что работа идет с одним и тем же пользователей - в чатах и т.п.

Что касается Apache, он в принципе поддерживает и более приличное шифрование пароля (Digest-аутентификация), когда пароль шифруется по MD5, правда до сих пор ни IE, ни NN его не поддерживает, оставляя в логах сервера строчку вида

[error] client used wrong authentication scheme: Basic for /test

У IIS в настройках можно включить галочку "Windows NT Challenge/Response", но поймет это только IE, так что и здесь не все гладко.

Наконец, в теории остается возможность использования SSL, правда проблемы тут в первую очередь юридические.

Очередной способ завалить броузер. Поделился Дмитрий Булкин. Встретив конструкцию вида <img src="image.gif" onerror="this.src='image2.gif';"> в случае отсутствия image.gif и image2.gif, IE вылетает, а Нетскейп просто уходит в себя. Фактически мы получаем очередную бесконечную рекурсию - в обработчике ошибки совершаем действия, приводящие к вызову этого же обработчика. Желающие проверить приглашаются скачать файл и открыть его с локального диска (при работе с web из-за естественных задержек броузеры успевают очухаться).

Снова пачка багов от Microsoft.

Очередная атака на Win'9x, получившая название "oshare attack". Атака ip-пакетами с подправленным значением длины в заголовке приводит к самым разным эффектам - замораживанию системы, синему экрану и т.п.

Следующая дырка затрагивает только NT4+SP4. NT хранит два вида хэшированных паролей - "NT hash", использующийся для аутентификации NT-клиентов, и "LM hash" (Lan Manager hash), для совместимости с клиентами с Windows 3.x. '9x, OS/2, Mac. Такая двойственность уже была источником многих проблем, поскольку LM hash зашифрован гораздо менее стойким алгоритмом, и начиная с lm-fix стало возможным запретить LM-аутентификацию, либо применять ее в самых крайних случаях. Но для смешанной сети выбирать особо не приходится. При изменении пароля с NT-клиента обновляются обе копии, при изменении с LM-клиента - только LM hash, а NT hash обнуляется и не используется. Если вы не успели установить SP4. Если же установили, то при логине с NT-клиента вас пропустят и без пароля.
Бюллетень Microsoft
hot-fix

Еще одну дырку исправляет GINA-fix. Gina dll расшифровывается как Graphical Identification and Authentication DLL, и именно она занимается выводом диалога для входа в систему. Сторонние разработчики могут заменять ее на свою модификацию - как это, например. проделал Novell для своего клиента и т.п. Выяснилось, что в момент, когда консоль заблокирована, содержимое буфера обмена вполне можно вставить в поле ввода имени пользователя, что вообще-то не совсем хорошо. Исправление лечит только оригинальную dll, дырку в прочих ginaх предлагается заделать их производителям.

По предварительному сообщению в NTBugTraq, при установке BackOffice 4.0 в каталоге \Program Files\Microsoft BackOffice создается файл reboot.ini, содержащий пароли для SQL Executive Logon account, Exchange Services Account, MTS Remote Administration Account. Группа Everyone имеет к этому файлу полный доступ...

Jammer Developers Team предлагает Jammer - полную защиту против BO.

"Jammer производит анализ всех приходящих или исходящих пакетов. Если кто-то сканирует Вашу подсеть на наличие зараженных БО, Вам будет выдано предупреждение и Вы получаете номер порта и пароль с которым был произведен пинг. Jammer высылет предупреждение "хакеру", что данный юзер защищен. В случае, если у Вас установлен БО сервер, и кто то пытаеться узнать Ваши пароли или получить доступ к файлам - Jammer оповестит Вас об этом. Jammer работает непосредственно с сетевым адаптером (с использованием NDIS), в отличии от Nuke Nabber, NoBo и BOFreeze, которые используют высокоуровненвые функции WinSock и не могут производить анализ всех пакетов."

Заходя на страницу сетевого преферанса и Русской литератур в интернете Алекса Фарбера я как-то и не предполагал, что под ссылкой преф-ньюз скрывается подборка ссылок на всевозможные материалы по веб-программированию - статьи, новости и т.п., от Java и Perl'а до Gecko и IE5. Обновляется регулярно.

Два сервера со смежной тематикой. Павел Семьянов прислал ссылку на Отдел исследования программ. Насколько я понимаю, это то, во что перерос "Проект Секретные Материалы", о котором я писал в сентябре. Статьи, посвященные исследованию программ, описание на примерах принципов работы с основным инструментарием, ну и сам инструментарий в большом количестве - SoftIce, Hiew, декомпиляторы, распаковщики, залежи документации и т.п.

Второй сайт носит более глобальный характер, и посвящен всему, что связано с защитой информации. Демонстрации взлома защит, задачи типа CrackMe, переводы, утилиты, вирусы с антивирусами, размышления на тему психологии хакерства. "Если вам нужен кряк, то здесь вы его, скорее всего, не найдете. Тематика данного сайта - именно технологии. Кряки публикуются только с описанием процесса взлома хакаемых программ."

Есть свои преимущества в задержке с выходом обзора. Только собрался выложить - и тут письмо.

С прискорбием хочу поделиться с вами ужасной новостью. Сайт наших доблестных блюстителей виртуального порядка ушел в даун сегодня 10-го февраля в 00.20 по московскому времени и будет в таком состоянии до утра, пока ктонибудь из доблестных охранников американской собственности не нажмет на многострадальном сервере кнопку ребут... В такое состояние его может привести любой школьник маломальки знакомый с войнами в irc Дабы не быть голословным прилагаю пинг статистику jr:# ping -c 5 www.cyberpolice.ru PING www.cyberpolice.ru (195.34.29.32): 56 data bytes --- www.cyberpolice.ru ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss jr:# ping -c 5 www.cyberpolice.ru PING www.cyberpolice.ru (195.34.29.32): 56 data bytes ...

Уж не знаю, что там произошло, но в 4 часа ночи сервер и правда не откликался. Впрочем утром все работало по-прежнему, и по сообщению администрации сервера, в логах за это время ничего криминального замечено не было. Возможно, это было просто совпадение, падение канала и т.п. Так что не спешите злорадствовать.

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»