26 января 1999, #60

Дело HackZone Team живет и процветает. Сервер статистики на distributed.net к концу прошлой недели наконец-то очухался, и теперь можно воочию наблюдать разросшийся список членов команды. Из последних новостей страницы - запущена конференция, добавлена страница статистики, по которой можно наблюдать за увлекательным процессом перемещения команды к началу списка :)

Кстати, обратите внимание. Клиент общается с 2064-м портом сервера, так что если вы обнаружили у себя в списке соединений нечто подобное, не торопитесь паниковать и искать у себя очередного троянца.

В начале декабря компания "МЛ:Компиляторы" уже анонсировала разработку первого российского компилятора С++. Теперь же она объявила о планах по созданию "руссифицированного С++". Со списком русскоязычных эквивалентов служебных слов языка приглашаются ознакомиться все желающие.

Это сообщение сразу навеяло что-то от старых уроков информатики, алгоритмического языка академика Ершова. В принципе возможность использования кириллицы в названиях идентификаторов может оказаться весьма полезной. А вот перевод служебных слов - не знаю, не знаю... Небольшой тест - попробуйте с ходу определить, чему соответствуют следующие термины: двойн, друж, себе, всем, контроль, совмещ.

Откликов на письмо о киберполиции оказалось так много, что я решил выложить все письма, переправленные мне автором, в отдельном файле.

К вопросу о защищенности провайдеров.

Дубна - небольшой научный городок на северо-востоке от Москвы. Как и везде по России с недавних времен начал уверенно быстро компьютеризироваться. Появились и Интернет провайдеры. Основной компания КОНТАКТ(www.dubna.ru), предоставляющая Dial-Up доступ пользователям. К нему уже в свою очередь подключены 1. JINR Join Institute of Nuclear Research (Объедененный институт ядерных исследований) (www.jinr.ru) 2. Университет "Дубна" (www.uni-dubna.ru) Надо отметить что коннект на контакте для нашего города - лучше не придумаешь (28800++). Один мой коллега недавно открыл в mIrc свою группу и обязался посещать ее как минимум раз в двадцать дней. И одним веселым днем его предыдущий account (халявный) в Интернет кто-то благополучно прикрыл. Тогда он в отчаяньи написал прогу звонящую на Контакт и переберающей и логин и пароль :) Очевидно что у бедняги ничего бы не вышло даже за несколько веков... Как оказалось админы на Контакте - редкостные дебилы. Новым Dial-Up пользователям разрешалось получить login по собственному желанию, а вот пароль давали сами из расчета: три буквы логина (начиная с заглавной) плюс аббривиатура "_DIP_". Пример: Login: Paan Password: Aan_DIP_ или Login: Pigra Password: Igr_DIP_ Login: Pvip Password: Vip_DIP_ Login: Pemilia Password:Emi_DIP_ и тд. Откуда мы это узнали ? Оставим в секрете. Тогда он написал прогу, звонящую на Контакт и перебирающую логин а пароль подставляющая в вышеописанную маску. Начал с "aaa". Эффект ПОРАЗИЛ нас всех: ДВА шелла за ночь !!! Paan Pana Далее оказалось, что FTP сервер Контакта (cntc.dubna.ru) на Dial-Up логин выдает сообщение типа "user Pana acces denited." даже неспрашивая пороля. А на телнет сервере (cntc-gw-1.dubna.ru) можно проверять правильность паролей (но не правильность логинов !!!) После чего в атаку ринулась вся наша группа: 1. лично я писал client FTP на cntc.dubna.ru который перебирал всех трехсимвольных юзеров. Вот далеко не полный список: Paan, Pace, Pail, Pana, Panm, Papg, Pasu, Pbpp, Pili, Pivp. 2. все, кому не лень, фингерили на cntc-gw-1.dubna.ru и искали там лохов. И наконец через несколько дней и нас было ~12 паролей !!!!!! Да здравствует тупость админов. Немного о нас 1. Мы далеко не хакеры. (все проги были написаны на Pascal'e по старой привычке) 2. Никто из членов нашей группы на закончил школу. 3. Мы немного кодим на любых (в рамках разумного) языках. 4. Нас никто ничему не учил и (как видно) не собираются. 5. Мы ХОТИМ научтися. Для контакта с нами, получения всех исходников а также списков паролей dubna@mailsity.com

В процессе общения с автором очередной подборки нюков, защит и бомбилок была высказана мысль, что в сети успело подрасти очередное поколение пользователей, для кого это все очень даже актуально. Со мной видимо случилось минутное затмение, и я ратовал за тотальную просвещенность наших пользователей, поголовно пропатчившихся либо установивших последние версии ОС - если не самостоятельно, то хотя бы с помошью доброго местного гуру.

Однако вскоре подвернулся изумительный пример обратного - пара новогодних выпусков Michael News, в первом из которых речь идет об ощущениях жертвы атаки, два года которой будет отмечаться этой весной, а во втором - о второй серии столкновения с суровой действительностью - на сей раз в виде доброго человека, подсунувшего троянца. Выпуски рекомендуются в качестве наглядного руководства по тому, как не стоит себя вести в сети, а также для чтения вслух в компании пользователей со стажем :)

Для всех остальных - далеко не полный список страниц с подробными инструкциями по защите(то, что сходу пришло в голову):
http://www.leader.ru/cgi-bin/go?secure6
http://new.russian.net.ru/bugs.htm
http://security.lgg.ru/peace.html
http://www.tamos.com/privacy/ru/attack.htm
И, разумеется, http://www.microsoft.com/windows/downloads/default.asp

И не попадайтесь на крючки типа этого. Заинтересовавшихся "программой, защищающей ваш компьютер от всех известных на сегодняшний день видов атак на системы WINDOWS_95/98/NT" отсылаю к выпуску от 15 декабря, ключевое слово - "Patch Octivity".

И еще о троянцах. На той неделе был модифицирован исходный код популярного средства мониторинга и фильтрации сетевых соединений TCP Wrapper. Троянская версия программы открывала привилегированный shell клиентам, соединяющимся с 421-го порта. Кстати, ее make-файл был модифицирован так, чтобы после компиляции отправить сообщение о заражении на адрес wtcpd@hotmail.com. Подробное сообщение CERT - здесь.

Предметом общего внимания в последние дни была Intel, объявившая о том, что каждый Pentium III будет иметь уникальный идентификатор. Electronic Privacy Information Center, JunkBusters и Privacy International немедленно призвали к бойкоту интеловской продукции, и вообще поднялся большой шум. Intel пришлось пойти на попятный и заявить о том, что режим программного доступа к идентификатору процессора будет по умолчанию выключен. Поправьте меня, если я неправ, но ведь SPARC'и имеют подобный идентификатор с незапамятных времен, isn't it ?

Сайты crack/virii групп обычно довольно похожи друг на друга - краткая информация о группе, ссылки, список взломанного софта и т.п. В принципе сайт группы Soldiers of Satan не слишком удаляется от общего сценария. Впрочем, в списке релизов группы есть достаточно любопытные вещи - статьи о создании вирусов, несколько заданий из серии crackme, решение crackme от Phrozen Crew, ну и всякие регистраторы, ломалки и вирусы, ясное дело.

Сообщение от Александра Гусева

В почтовом сервере Lotus Notes Server фирмы IBM обнаружена новая ошибка типа DoS (Denial-of-Service). Этот вид атаки легко воспроизводим - нужно лишь подсоединиться к 25-му TCP-порту машины, на которой работает Lotus Notes SMTP Server командой "telnet имя_машины 25" и последовательно набрать строки "helo aa...a" и "helo bb...b", где "aa...a" и "bb...b" содержат более 2048 символов. После этой операции LN Server аварийно завершается, прекращая обслуживание электронной почты. Против этого вида атаки бессмысленно защищаться с помощью брэндмауера, т.к. его установка на 25-й TCP-порт хотя и защитит сервер от взлома, но также сделает невозможной передачу ему входящей почты, в то время как обслуживание исходящей почты будет функционировать нормально. Ошибка существует как в версии Lotus Notes Server для ОС Windows NT, так и для ОС Solaris фирмы Sun. IBM пока никак не прореагировала на это сообщение. Exploit include. Usage: >java Le

Джастин Петерсен, об аресте которого не так давно сообщалось, на сей раз был приговорен к пяти месяцам тюремного заключения.

И последнее на сегодня письмо.

Собственно, вопросов у меня несколько. Касаются они, скорее, некоторых правовых аспектов, нежели технических. 1) Наиболее интересный для меня вопрос в данный момент - обязан ли ISP предоставлять мне информацию, пользуется он СОРМ-2, или нет. Мой провайдер ответил, что в договоре нет строки, которая бы явно указывала на эту обязанность, следовательно, они "мягко" намекнули, что никакой информации я не получу. Правомерно ли это с их стороны? 2) Что является действительно вторжением на чужую машину? Доступ к полностью расшареному диску может являться вторжением? Ведь, в некоторых случаях, диски расшарены без паролей, т.е. доступ полностью свободен. wm

Будучи как и большинство населения этой страны абсолютно безграмотным в юридических делах, рискну все же высказать несколько предположений - в надежде, что среди читателей найдется кто-то более квалифицированный в этом вопросе.

Со вторым пунктом все более-менее понятно. Согласно УК, наказуемым является "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети". Т.е. степень защиты объекта к делу как бы не относится - что в общем логично, поскольку другие статьи, отвечающие за кражу или угон, ничего не говорят об открытых дверях или торчащих в машине ключах. С другой стороны, в чем разница между доступом к веб-серверу, установленному на машине, и доступом к этой же машине через разделенные диски? Чем SMB-протокол хуже HTTP?

С пунктом же первым я просто теряюсь. Желающие высказать свое мнение приглашаются в гостевую книгу Урал-Релком, сообщение о СОРМ-2.

Много-много сообщений о дырках в MS-продуктах.

Очердной раз отметился J.C.G.Cuartango, продолжающий копать вокруг дырок, связанных с clipboard. Не иначе как исчерпав список родственников, новая дыра получила скучное название The Clipboard vulnerability. Проблема на сей раз связана не с IE4, а с ActiveX-компонентом MS Forms 2.0. Страница с бюллетенем MS встретила словами Microsoft VBScript runtime error '800a000d'...

IIS 4 позволяет использовать любой текст в качестве имени метода запроса к скриптам, выполняемым на сервере (ASP, CGI). Если сумма длин этого имени и имени запрашиваемого ресурса превышает 10150 байт, запрос нормально обрабатывается, но не записывается в лог сервера.

Следующий неработающий бюллетень Microsoft посвящен дырке в Word'97, позволяющей обойти предупреждение о выполнении макроса - если макрос записан не в сам документ, а в связанный с ним шаблон.

Наконец, IIS3/4+SP4 подвержены DoS-атаке на ftp-сервер из-за переполнения буфера при обработке NLST-запроса большой длины. Примерный сценарий диалога:

C:\>ftp guilt.xyz.com
Connected to guilt.xyz.com.
220 GUILT Microsoft FTP Service (Version 4.0).
User (marc.xyz.com:(none)): ftp
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 Anonymous user logged in.

ftp> ls AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAA

200 PORT command successful.
150 Opening ASCII mode data connection for file list.

-> ftp: get :Connection reset by peer
[тут-то сервер и вылетает]

Что любопытно, IIS+SP3 этой ошибке не подвержен.

Объем последних выпусков меня несколько пугает. Третий выпуск подряд я с лихвой перекрываю свою средненедельную норму. Одна лишь надежда, что вы не слишком к этому привыкнете :)

У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«		»