информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медСетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2000
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




31 декабря 2000, #107

crack.ru vs swrus (31.12.2000 01:06:13)

Этот выпуск должен был быть не слишком оригинальным - ну что еще ожидать 31 декабря. Однако ж на днях случилась любопытная история с форумами crack.ru, посему я быстренько поздравляю вас с окончательно наступающим новым годом/веком/тысячелетием и предоставляю слово Андрею Малышеву. Мой небольшой комментарий - в конце.

История с crack.ru или атака, которой не было

28 декабря 2000 года WEB-форум российского сайта crack.ru был переведен в режим "read only". Владельцы сайта мотивируют это действие произведенной атакой на сайт, инициированной российской группой разработчиков программного обеспечения (swrus). Поскольку я имею отношение к этой группе, а также был непосредственным исполнителем этого действия, хочу прояснить ситуацию. Эта статья не является официальной позицией всей группы SWRUS. Эта статья не отражает официальное отношение к проблеме компании Элкомсофт, сотрудником которой я являюсь.

Посмотрим, что же пишут сами владельцы сайта, и в чем обвиняют сообщество российских программистов. "Мы временно прекращаем постинги на наш форум, в связи с мощной спаммерской атакой, предпринятой 28 декабря 2000 года, до выяснения всех обстоятельств этого дела. Форум пока работает в режиме "только чтение" и доступен на этой странице. О причинах подробно: "

Давайте посмотрим, что же авторы этих строк подразумевают под "мощной спамерской атакой". Наверное, необходимо ввести читателя в курс дела для более полного понимания сущности проблемы. SWRUS - это название приватного списка рассылки, который был создан для общения между российскими производителями программ, распространяющихся по принципу "shareware". Подписка на этот мейл-лист премодерируемая, каждая кандидатура рассматривается модератором. Многие подписчики SWRUS лично знакомы друг с другом.

Теперь о форуме crack.ru. Это WEB-форум, созданный как "приложение" к поисковой системе crack.ru, которая индексирует сайты warez/crack/hack и подобные сайты. Форум без четко определенной тематики и каких-либо правил и ограничений на постинг сообщений. Недавно многими подписчиками SWRUS на форуме crack.ru были обнаружены серийные номера к их программным продуктам, добытые путем мошенничества с кредитными картами. О чем было сообщено как администрации crack.ru, так и хостинг-провайдеру, у которого находится сервер. Администрация crack.ru ответила, что их сервер чисто информационный, и за содержание своего форума они ответственности не несут. Провайдер (Zenon NSP) занял нейтральную позицию, однако разобрался в ситуации и переговорил с администрацией crack.ru. После чего было заявлено, что каждый разработчик имеет право подать комлейн на конкретное сообщение в форуме. Такие комплейны были поданы, однако ни одного сообщения не было удалено. Напротив, модератор форума счел нужным удалять сообщения, написанные программистами.

Я неоднократно пытался писать в форум о проблемах "шароварщиков", о их доходах, о семьях, живущих от продажи программ. Это уже тема совсем для другой статьи, однако ни одно из этих сообщений не было пропущено в форум. Так началось противостояние "SWRUS против crack.ru".

"Атака" началась так: утром 28 декабря я увидел в форуме десяток сообщений с одной и той же темой, посланные в течение 5 минут. Сам форум устроен так, что новые сообщения появляются сверху и "вытесняют" с первых мест все, что было написано ранее. В знак протеста против публикации ворованных серийных номеров я решил поместить в форум лицензионное соглашение компании Microsoft. Это не запрещено правилами форума, администрация сайта не удаляет даже сообщения, содержащие нецензурные слова и оскорбительные для читателей. Правда, "фильтр русского мата" туда прикручен, но кто не знает как его обойти ?

Поскольку постинг одного сообщения невозможен без "предпросмотра", я решил создать форму, позволяющую постить сообщения напрямую. Форма была создана и до сих пор находится по адресу http://www.passwords.ru/joke/cru.html. На случай, если еще кому-то будет нужна такая возможность, я сообщил об этой форме в приватный форум SWRUS. Любой человек, совершенно добровольно, мог зайти на страницу и послать сообщение в форум SWRUS. В процессе тестирования я сам послал несколько сообщений. Где-то через 15 минут скрипт форума crack.ru перестал отвечать на какие-либо запросы. Честно говоря, меня это удивило. Через час я обнаружил, что форум переведен в режим "read only". По статистике моего сервера на страницу зашло около 60 человек.

Вот в этом и заключалась та "мощная спамерская атака", о которой говорят владельцы crack.ru. Теперь давайте разберемся в этой формулировке. Во-первых, "мощным" я бы это действие не назвал. Во-вторых, почему спамерская ? Спам подразумевает посылку сообщений, нежелательных для получателя. А здесь и получателя как такового нет, да и "желательность" определить очень трудно. Сообщения не приходят в почтовые ящики, каждый пользователь сам принимает решение по поводу прочтения сообщения, выложенного на WEB-страницу. И в-третьих: почему постинг нескольких сообщений в форум назван атакой ? Когда постят сотни и тысячи сообщений с украденными номерами, это не атака ? На основании этого я делаю вывод что "атака" была придумана специально для "наезда" на подписчиков SWRUS. Я специально написал такую длинную предысторию, ибо иначе понять суть проблемы невозможно.

"Наезд" был сделан следующим образом. На главную страницу форума была выложена переписка (в том числе и приватная) подписчиков SWRUS. Специально выдернутые из контекста обсуждения письма, которые подтверждают, что "плохие" программисты хотят закрыть "хороший" crack.ru. Этого никто и не скрывал на самом деле. Все идеи были высказаны открыто. Жалко только, что у владельцев crack.ru напрочь отсутствует совесть, и они выложили на публичный сайт личную переписку. Там же был опубликован список "спамеров" - собственно логи "атаки". Провайдеру каждого "спамера" был отправлен комплейн с заголовком "A hacker attack". Письма с адресами (хорошая цель для спамеров) до сих пор лежат на главной странице форума.

В общей сложности, если верить владельцам crack.ru, сервер лег из-за пары сотен писем длиной в 5 килобайт. По их же словам, пострадали и остальные проекты, расположенные на той же машине. Однако во время "атаки" я специально проверял эти сайты (www.bkc.ru, www.referat.com, www.study.ru). Все они были доступны и работали в нормальном режиме. Не работал только форум crack.ru.

Теперь мои мысли по поводу произошедшего. Это только предположения, но все же... Сам сервер принадлежит компании BKC, крупной американской фирме, организовавшей в России курсы английского языка. Сайт crack.ru - это личная инициатива админа (ну не верю я, что такому "монстру" нужно крутить баннеры на сайте подозрительного содержания). В свете произошедшего конфликта админу обязательно было нужно показать себя "жертвой". Что он и сделал. Теперь на все вопросы (а мы пытаемся разрешить конфликт и путем переговоров) он будет отвечать "а они нас спамили". Причем здесь явная попытка "подставить" конкретных людей. Например, в мой почтовый ящик недавно свалилось порядка 5 мегабайт спама (видимо кто-то из подписчиков crack.ru "постарался"), пытались спамить и мейл-лист SWRUS. И в конце концов мы видим откровенно издевательские слова в конце описания "атаки". "Адреса, имена, фамилии инициаторов не публикуются здесь по этическим соображениям...". Это после публикации личной переписки со всеми координатами !

Андрей Малышев, компания Элкомсофт.

В данном случае меня гораздо больше интересует техническая сторона вопроса (писать о противостоянии между авторами программ и их взломщиками можно сколько угодно, аргументы обеих сторон в общем-то известны /воровать плохо/будем покупать, когда будут деньги/не даете подниматься цивилизованному рынку ПО/надо ж учиться на каком-то софте/ и т.д., до бесконечности/).

Увы, но аргументы crack.ru действительно свидетельствуют либо о неуклюжей попытке перевести стрелки, либо о не слишком высокой квалификации. Судя по логу, за три с половиной часа на форум было добавлено что-то около трех сотен сообщений. Для блокировки сервера явно маловато. С другой стороны, исправно работающий форум, забитый мусором - штука тоже малоприятная. Однако, судя по логу, скрипт форума не делал элементарной проверки referer (на пальцах - проверка адреса страницы, с которой запускался скрипт и отказ от работы, ежели он запущен с другого сервера). Не бог весть какая защита, потому как указание корректного referer - дело доброй воли http-клиента и никто не мешает написать мааленький скрипт на perl, подделывающий любые поля http-запроса, включая и referer. Но для MSIE, преимущественно фигурирующего в логах, этого бы хватило. Естественно, возникает вопрос, как бороться с более серьезной атакой. Увы, панацеи нет и, как обычно, речь может идти лишь о максимальном затруднении действий атакующего. Схема примерно такая же, как и при защите от накруток, тема которых периодически поднималась в обзорах - блокировка повторных вызовов скрипта в течение некоторого интервала и блокировка прямых вызовов скрипта (минуя форму), густо замешанные на запоминании ip, установке cookie, установке случайных значений hidden-полей и т.п. Интересующихся подробностями отсылаю к старым обзорам, либо к следующему изданию "Атаки на Internet", выходящему этой весной :)

На сегодня - все. Еще раз, с наступающим.


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach