BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/1999/22-08-99.html

22 августа 1999, #77

Есть своя прелесть в летней нерегулярности. Гораздо приятнее садиться за обзор, когда материала накопилось столько, что выплескивается за уши, и он прямо таки заставляет усесться за клавиатуру. Немалая часть этого выпуска будет связана с околоправовыми вопросами - уж так получилось. А пока о приятном - на этой неделе мы, похоже, закончили вычитывание верстки второго издания "Атаки", и если не случится ничего непредвиденного, в сентябре книга увидит свет, сменив по пути название - теперь это "Атака на Интернет".


Сначала любимая мозоль - история с книгой "Эффективный хакинг", использующей статьи, сворованные с hackzone и других сайтов по безопасности (см. предыдущий выпуск обзора). Ситуация под контролем, те-кому-положено ей занимаются, и, думаю, в сентябре мне будет что об этом сообщить (вообще, сентябрь-октябрь ожидаются весьма бурными, так что следите за рекламой :)). Пока же небольшое продолжение. На той неделе я получил такое письмо (оно было послано и в открытый мейллист @banners, так что я не чувствую угрызений совести, его публикуя):

From: Leontiev Boris 
To: 
Subject: [BANNERS] RE: Всем, кому это интересно....
Date: 13 августа 1999 г. 20:06

> Всем хакерам и кракерам привет!
> Что касается этой книги, то в ней я иду как автор статьи
> "Что такое хорошо и что такое плохо?"
> 
> Кто такой Петровский - я сам не знаю!
> 
> Как вышла эта книга, которую я просто сверстал за 60$? я догадываюсь...
> Но, кстати, то издательство, которое в ней фигурирует не издавало ее, так
> как заказчиком было одно частное лицо. Ситуация, еще осложняется тем, что,
> я на обложке и титуле никогда не ставил своего имени. Это означает, что
> все это дело подставка - опорочить меня как писателя... Кто? Я пытаюсь это
> выяснить!
> Все, что мной написано, опубликовано в библиотеке Мошкова в электронном
> виде. Это очень много именно моих текстов! Кстати, могу представить в
> печатном виде... Какой смысл мне воровать чужие статьи? 
> Что касается штирлициады - я был ее продолжателем и тем самым человеком,
> без которого этот двухтомник никогда бы не появился на свет, так как
> ежиков написали Олег Романов (Бегемотов) и Павел Афонин (Асс) (ничего
> криминального там не было), все это сплетни...

Ну что ж, остается только посочувстовать взаимоотношениям автора письма с издательством, выпустившем перед этим 15 (если не больше) книг с его участием и решившим так жестоко подставить на 16-й. Ужас, просто ужас. Звериный, понимаешь, оскал капитализьма и заговор темных сил в одном флаконе. Говорят, за такие вещи можно даже огрести иск о защите чести и достоинства...


Таак, теперь святое, RC5 HackZone Team. За отчетный период к нам присоединилось более сотни человек, и мы заметно прибавили в скорости (пять рабочих дней подряд она не опускалась ниже миллиона килоключей). Судя по всему, к началу сентября мы станем уже пятой по численности командой проекта, и пройдем еще четыре команды в общем рейтинге.

Началось голосование по дизайну HZTeam City, так что заинтересованные лица приглашаются в кабинки для голосования. Буквально на днях закончилось голосование по командному логотипу, победителя вы можете наблюдать по соседству (автор - Олег Шульгин). Хотя другие финалисты очень серьезно отстали от победителя, среди них есть очень симпатичные экземпляры, и было бы просто жалко оставлять их без дела. Надеюсь, авторы не будут против использования их элементов в командных баннерах.


В начале месяца наш чат почтил своим присутствием Дмитрий Владимирович Чепчугов, начальник отдела по борьбе с преступлениями в сфере компьютерной информации и телекоммуникаций МВД России. С логом можно ознакомиться здесь. К сожалению, несмотря на то, что в чате утверждалось, что мне неоднократно направлялись предложения к сотрудничеству, все, что я получал - сообщения на доске объявлений за подписью "Старший брат" и обратным адресом с халявного мейл-сервера, а также форвард еще одного письма с @mail.ru, Покажите мне нормального веб-мастера, воспринимающего всерьез подобные сообщения. Кроме того, мне всегда казалось, что перед тем как давать столь громкие объявления, стоит для начала договориться с хозяевами, а не ставить их перед фактом. Это и послужило причиной появления того объявления, что встретило посетителей чата, и которое я до сих пор ленюсь снять :)) Ну да ладно, это дело прошлое, разговор прошел достаточно спокойно, благо народу собралось немного, и вполне нормально для первого блина. Да и сам факт подобного "выхода в народ" не может не радовать.

Логичным продолжением этой акции можно считать организованный ЭхоНетом постоянно действующий форум, главным действующим лицом которого по-прежнему является Д.В.Чепчугов. Обсуждение обещает быть интересным, так что заходите.


На днях Компьютерра очередной раз разродилась антирэмблеровской статьей. Ставший традиционным набор обвинений администрации Рэмблера в предвзятости пополнился новым фактом. Совсем недавно download.ru и несколько других сайтов российcких разработчиков программного обеспечения (преимущественно shareware) объявили о своем выходе из Рэмблера. Причина - засилье в некоторых рэмблеровских категориях "хакерских" сайтов (точнее, сайтов, распространяющих серийные номера, кряки и т.п.). Обсуждение статьи и ситуации вокруг Рэмблера получилось весьма бурным. Не буду пережевывать здесь его детали, взгляните сами.

От себя же пока добавлю, что за те два года, что мои сайты пользуются этим ресурсом, у меня не было повода быть недовольным Рэмблером. Статистические изыски мне не особенно нужны, благо логи сервера всегда под рукой, а в качестве рейтинговой системы (aka пузомерки) и генератора трафика Рэмблеру в российской сети равных пока нет.


В конце июля появился сайт Интернет-розыск. Посвящен он не только и не столько компьютерной преступности, основное назначение - использовать Интернет для борьбы с преступностью вообще. Сервер содержит ориентировки по совершенным преступлениям, базу данных по без вести пропавшим, преступникам и неопознанным трупам (грубо говоря, интернетовский вариант стенда "Их разыскивает..."), а также аналитические и публицистические материалы.

В общем, вполне логичный шаг, то же ФБР давно ведет в сети аналогичную деятельность. По словам создателя сервера, Виктора Наумова, за прошедшее с момента открытия время было получено уже несколько десятков откликов.


9 августа произошло долгожданное событие - вынесение приговора Митнику. Итог - 3 года и 10 месяцев тюрьмы и 4125 долларов штрафа. Плюс запрет на доступ ко всему, что может использоваться для входа в Интернет - от компьютеров до сотовых телефонов и телевизоров, запрет на работу консультантом в фирмах, имеющих доступ к компьютерам. Интересно, будет ли такое возможным к моменту его выхода из тюрьмы...


Готовясь к предстоящему выходу Windows 2000, Microsoft запустила специальный сервер http://www.windows2000test.com/, предложив всем желающим его испытать на прочность. Сообщения о состоянии сервера за начало августа читаются как детектив, или, точнее, роман-катастрофа - "сеть упала из-за сбоя роутера, переполнился системный лог, перезагрузились, сервисы не стартовали, запустили их вручную, опять упала сеть из-за грозы, пришел синий экран, отвалилась гостевая книга, перестал отдаваться GET, обнаружилась плюха в tcp-стеке" и т.п.

В качестве ответа Чемберлену параллельно был запущен аналогичный проект с Linux для PowerPC, В случае получения контроля над машиной взломщик должен был получить ее в качестве приза. Чтобы было не очень трудно, пароль рута был опубликован :) Итог - две недели работы, одна перезагрузка, ни одного успешного взлома.


С подачи Алексея Сорокина я немного погонял Terminal Services Client от win2k. С учетом прохода через пару диалапов и для кучи - через pcAnywhere, скорость работы оказалась вполне приемлемой. Желающим посмотреть - вид с клиента раз, два, и вид со стороны сервера раз, два.

Но я все равно поостерегся бы запускать это чудо, к примеру, в студенческий дисплейный класс. Последняя плюха в Terminal Server была исправлена совсем недавно, а сколько их еще будет...


Очередной раз, откуда ни возьмись, вылезли проблемы IIS с длинными именами. Как известно, обычно любому файлу с именем, выходящим за старые добрые рамки 8+3, присваивается короткое имя, по которому с ним могут работать старые досовские программы. Многие серверы уже наступали на эти грабли - при обращении к файлу по короткому имени частенько удавалось проделать то, что было недоступно при обращении по длинному. Плюха вроде старая и известная, однако ж в IIS 4 и некоторых других продуктах сторонних производителей обнаружилась ее небольшая модификация: каталог, к которому обращаются по короткому имени, наследует права доступа от родительского каталога. Общий рецепт - запретить ко всем чертям формирование имен 8+3, благо NTFS это позволяет.

Непростая судьба ожидала и исправление дырки Malformed HTTP Request Header. Выйдя в начале месяца, оно было отозвано буквально в течение нескольких часов из-за проблем совместимости, и выложено заново аж через пять дней.

Ну и завершая на сегодня тему майкрософтовских дырок - Microsoft JET ODBC Vulnerability. Счастливые обладатели Excel могут испытать ее на себе, зайдя на эту страницу,


Очередной НЕ обзор Евгения Ильченко стал все-таки обзором хакерских и не только сайтов :) На самом деле, вполне достойная попытка описать одним махом наиболее значимые рунетовские сайты нашей тематики.


Я уже довольно давно перестал писать в обзоре о появляющихся новых троянцах. Последним исключением был bo2k, Donald Dick же заслужил упоминания тем, что в отличие от большинства собратьев обещает работать не только через tcp/ip, но и через spx.


И совсем уж на сладкое - эмулятор юникса, написанный Евгением Степанищевым ...только не падайте со стула... на JavaScript. Реализовано десятка четыре команд, включая нежно любимый vi (с самым минимальными возможностями, но оно все-таки редактирует), lynx (которым правда по совместительству работает основной броузер) и man по всем доступным командам. Файловую систему можно даже скинуть на диск либо в cookie, работают всякие перенаправления ввода/вывода... В общем, конечно, игрушка, но игрушка, перед которой хочется снять шляпу. Потрясающее доказательство постулата - настоящему программисту все равно, на чем писать.


За ссылки этого выпуска спасибо Сергею Казаченко и Алексею Сорокину.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »




  Copyright © 2001-2021 Dmitry Leonov Design: Vadim Derkach