 |  |
https://bugtraq.ru/review/archive/1999/26-01-99.html |
|
|||
|
|
|
||
| https://bugtraq.ru/review/archive/1999/26-01-99.html |
||||
| ||||
26 января 1999, #60
Дело HackZone Team живет и процветает. Сервер статистики на distributed.net к концу прошлой недели наконец-то очухался, и теперь можно воочию наблюдать разросшийся список членов команды. Из последних новостей страницы - запущена конференция, добавлена страница статистики, по которой можно наблюдать за увлекательным процессом перемещения команды к началу списка :)
Кстати, обратите внимание. Клиент общается с 2064-м портом сервера, так что если вы обнаружили у себя в списке соединений нечто подобное, не торопитесь паниковать и искать у себя очередного троянца.
В начале декабря компания "МЛ:Компиляторы" уже анонсировала разработку первого российского компилятора С++. Теперь же она объявила о планах по созданию "руссифицированного С++". Со списком русскоязычных эквивалентов служебных слов языка приглашаются ознакомиться все желающие.
Это сообщение сразу навеяло что-то от старых уроков информатики, алгоритмического языка академика Ершова. В принципе возможность использования кириллицы в названиях идентификаторов может оказаться весьма полезной. А вот перевод служебных слов - не знаю, не знаю... Небольшой тест - попробуйте с ходу определить, чему соответствуют следующие термины: двойн, друж, себе, всем, контроль, совмещ.
Откликов на письмо о киберполиции оказалось так много, что я решил выложить все письма, переправленные мне автором, в отдельном файле.
К вопросу о защищенности провайдеров.
|
Дубна - небольшой научный городок на северо-востоке от Москвы.
Как и везде по России с недавних времен начал уверенно быстро
компьютеризироваться. Появились и Интернет провайдеры.
Основной компания КОНТАКТ(www.dubna.ru), предоставляющая Dial-Up
доступ пользователям. К нему уже в свою очередь подключены
Надо отметить что коннект на контакте для нашего города - лучше не придумаешь (28800++). Один мой коллега недавно открыл в mIrc свою группу и обязался посещать ее как минимум раз в двадцать дней. И одним веселым днем его предыдущий account (халявный) в Интернет кто-то благополучно прикрыл. Тогда он в отчаяньи написал прогу звонящую на Контакт и переберающей и логин и пароль :) Очевидно что у бедняги ничего бы не вышло даже за несколько веков... Как оказалось админы на Контакте - редкостные дебилы. Новым Dial-Up пользователям разрешалось получить login по собственному желанию, а вот пароль давали сами из расчета: три буквы логина (начиная с заглавной) плюс аббривиатура "_DIP_". Пример: Login: Paan Password: Aan_DIP_ или Login: Pigra Password: Igr_DIP_ Login: Pvip Password: Vip_DIP_ Login: Pemilia Password:Emi_DIP_и тд. Откуда мы это узнали ? Оставим в секрете.
Тогда он написал прогу, звонящую на Контакт и перебирающую логин а пароль
подставляющая в вышеописанную маску. Начал с "aaa".
Эффект ПОРАЗИЛ нас всех: ДВА шелла за ночь !!!
Далее оказалось, что FTP сервер Контакта (cntc.dubna.ru) на Dial-Up логин выдает сообщение типа "user Pana acces denited." даже неспрашивая пороля. А на телнет сервере (cntc-gw-1.dubna.ru) можно проверять правильность паролей (но не правильность логинов !!!) После чего в атаку ринулась вся наша группа: 1. лично я писал client FTP на cntc.dubna.ru который перебирал всех трехсимвольных юзеров. Вот далеко не полный список: Paan, Pace, Pail, Pana, Panm, Papg, Pasu, Pbpp, Pili, Pivp. 2. все, кому не лень, фингерили на cntc-gw-1.dubna.ru и искали там лохов. И наконец через несколько дней и нас было ~12 паролей !!!!!! Да здравствует тупость админов.
Немного о нас
Для контакта с нами, получения всех исходников а также списков паролей dubna@mailsity.com |
В процессе общения с автором очередной подборки нюков, защит и бомбилок была высказана мысль, что в сети успело подрасти очередное поколение пользователей, для кого это все очень даже актуально. Со мной видимо случилось минутное затмение, и я ратовал за тотальную просвещенность наших пользователей, поголовно пропатчившихся либо установивших последние версии ОС - если не самостоятельно, то хотя бы с помошью доброго местного гуру.
Однако вскоре подвернулся изумительный пример обратного - пара новогодних выпусков Michael News, в первом из которых речь идет об ощущениях жертвы атаки, два года которой будет отмечаться этой весной, а во втором - о второй серии столкновения с суровой действительностью - на сей раз в виде доброго человека, подсунувшего троянца. Выпуски рекомендуются в качестве наглядного руководства по тому, как не стоит себя вести в сети, а также для чтения вслух в компании пользователей со стажем :)
Для всех остальных - далеко не полный список страниц с подробными инструкциями по защите(то, что сходу пришло в голову):
http://www.leader.ru/cgi-bin/go?secure6
http://new.russian.net.ru/bugs.htm
http://security.lgg.ru/peace.html
http://www.tamos.com/privacy/ru/attack.htm
И, разумеется, http://www.microsoft.com/windows/downloads/default.asp
И не попадайтесь на крючки типа этого. Заинтересовавшихся "программой, защищающей ваш компьютер от всех известных на сегодняшний день видов атак на системы WINDOWS_95/98/NT" отсылаю к выпуску от 15 декабря, ключевое слово - "Patch Octivity".
И еще о троянцах. На той неделе был модифицирован исходный код популярного средства мониторинга и фильтрации сетевых соединений TCP Wrapper. Троянская версия программы открывала привилегированный shell клиентам, соединяющимся с 421-го порта. Кстати, ее make-файл был модифицирован так, чтобы после компиляции отправить сообщение о заражении на адрес wtcpd@hotmail.com. Подробное сообщение CERT - здесь.
Предметом общего внимания в последние дни была Intel, объявившая о том, что каждый Pentium III будет иметь уникальный идентификатор. Electronic Privacy Information Center, JunkBusters и Privacy International немедленно призвали к бойкоту интеловской продукции, и вообще поднялся большой шум. Intel пришлось пойти на попятный и заявить о том, что режим программного доступа к идентификатору процессора будет по умолчанию выключен. Поправьте меня, если я неправ, но ведь SPARC'и имеют подобный идентификатор с незапамятных времен, isn't it ?
Сайты crack/virii групп обычно довольно похожи друг на друга - краткая информация о группе, ссылки, список взломанного софта и т.п. В принципе сайт группы Soldiers of Satan не слишком удаляется от общего сценария. Впрочем, в списке релизов группы есть достаточно любопытные вещи - статьи о создании вирусов, несколько заданий из серии crackme, решение crackme от Phrozen Crew, ну и всякие регистраторы, ломалки и вирусы, ясное дело.
Сообщение от Александра Гусева
|
В почтовом сервере Lotus Notes Server фирмы IBM обнаружена новая ошибка типа DoS (Denial-of-Service). Этот вид атаки легко воспроизводим - нужно лишь подсоединиться к 25-му TCP-порту машины, на которой работает Lotus Notes SMTP Server командой "telnet имя_машины 25" и последовательно набрать строки "helo aa...a" и "helo bb...b", где "aa...a" и "bb...b" содержат более 2048 символов. После этой операции LN Server аварийно завершается, прекращая обслуживание электронной почты. Против этого вида атаки бессмысленно защищаться с помощью брэндмауера, т.к. его установка на 25-й TCP-порт хотя и защитит сервер от взлома, но также сделает невозможной передачу ему входящей почты, в то время как обслуживание исходящей почты будет функционировать нормально. Ошибка существует как в версии Lotus Notes Server для ОС Windows NT, так и для ОС Solaris фирмы Sun. IBM пока никак не прореагировала на это сообщение.
Exploit include.
|
Джастин Петерсен, об аресте которого не так давно сообщалось, на сей раз был приговорен к пяти месяцам тюремного заключения.
И последнее на сегодня письмо.
|
Собственно, вопросов у меня несколько. Касаются они, скорее, некоторых правовых аспектов, нежели технических. 1) Наиболее интересный для меня вопрос в данный момент - обязан ли ISP предоставлять мне информацию, пользуется он СОРМ-2, или нет. Мой провайдер ответил, что в договоре нет строки, которая бы явно указывала на эту обязанность, следовательно, они "мягко" намекнули, что никакой информации я не получу. Правомерно ли это с их стороны? 2) Что является действительно вторжением на чужую машину? Доступ к полностью расшареному диску может являться вторжением? Ведь, в некоторых случаях, диски расшарены без паролей, т.е. доступ полностью свободен. wm |
Будучи как и большинство населения этой страны абсолютно безграмотным в юридических делах, рискну все же высказать несколько предположений - в надежде, что среди читателей найдется кто-то более квалифицированный в этом вопросе.
Со вторым пунктом все более-менее понятно. Согласно УК, наказуемым является "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети". Т.е. степень защиты объекта к делу как бы не относится - что в общем логично, поскольку другие статьи, отвечающие за кражу или угон, ничего не говорят об открытых дверях или торчащих в машине ключах. С другой стороны, в чем разница между доступом к веб-серверу, установленному на машине, и доступом к этой же машине через разделенные диски? Чем SMB-протокол хуже HTTP?
С пунктом же первым я просто теряюсь. Желающие высказать свое мнение приглашаются в гостевую книгу Урал-Релком, сообщение о СОРМ-2.
Много-много сообщений о дырках в MS-продуктах.
Очердной раз отметился J.C.G.Cuartango, продолжающий копать вокруг дырок, связанных с clipboard. Не иначе как исчерпав список родственников, новая дыра получила скучное название The Clipboard vulnerability. Проблема на сей раз связана не с IE4, а с ActiveX-компонентом MS Forms 2.0. Страница с бюллетенем MS встретила словами Microsoft VBScript runtime error '800a000d'...
IIS 4 позволяет использовать любой текст в качестве имени метода запроса к скриптам, выполняемым на сервере (ASP, CGI). Если сумма длин этого имени и имени запрашиваемого ресурса превышает 10150 байт, запрос нормально обрабатывается, но не записывается в лог сервера.
Следующий неработающий бюллетень Microsoft посвящен дырке в Word'97, позволяющей обойти предупреждение о выполнении макроса - если макрос записан не в сам документ, а в связанный с ним шаблон.
Наконец, IIS3/4+SP4 подвержены DoS-атаке на ftp-сервер из-за переполнения буфера при обработке NLST-запроса большой длины. Примерный сценарий диалога:
C:\>ftp guilt.xyz.com Connected to guilt.xyz.com. 220 GUILT Microsoft FTP Service (Version 4.0). User (marc.xyz.com:(none)): ftp 331 Anonymous access allowed, send identity (e-mail name) as password. Password: 230 Anonymous user logged in. ftp> ls AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAA 200 PORT command successful. 150 Opening ASCII mode data connection for file list. -> ftp: get :Connection reset by peer [тут-то сервер и вылетает]
Что любопытно, IIS+SP3 этой ошибке не подвержен.
Объем последних выпусков меня несколько пугает. Третий выпуск подряд я с лихвой перекрываю свою средненедельную норму. Одна лишь надежда, что вы не слишком к этому привыкнете :)
У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.
| « | » | |
|
|
|