информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2001
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




14 марта 2001, #111

реклама в icq (14.03.2001 15:56:00)

Как вы уже знаете, после массового появления рекламных баннеров в icq появилась куча патчей для icqcore.dll, вся суть которых - правка в ресурсах размеров окошка, в котором эти баннеры должны показываться. Для тех же, кому неохота править ресурсы, а воспользоваться готовой пропатченной dll не позволяет врожденная подозрительность, вполне подойдет более элегантный вариант, требующий исправления трех байтов (build 3279):

00017507: B8 33
00017508: 8D C0
00017509: 28 C3

Кроме того, в реестре стоит подправить ключик

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\DefaultPrefs]
"Auto Update"="No"


итоги лотереи (13.03.2001 21:04:44)

Объявленная в прошлом выпуске лотерея успешно завершилась. В розыгрыше приняло участие 1011 человек, правильно на все вопросы ответило 286 человек, среди которых был проведен дополнительный розыгрыш. Поздравляем победителей:
Озеров В.В.
Иванов А.В.
Алифатов Д.С.
Рожков Д.И.
Даниленко В.
Сотникова Т.П.
Albert Якупов А.М.
Дмитрий М.
Целиков И.А.
Борозинец О.В.

Правильные ответы:
1. Дмк Пресс
2. С++
3. Для программистов
4. Корпоративная платформа для Интернета нового поколения
5. Руководство для хакеров


плагиат (13.03.2001 14:22:50)

Вот думал, писать - не писать, но все-таки решился поплакаться в жилетку. Ситуация следующая - вышла на днях книга "Интрасети: обнаружение вторжений". Авторы - преподаватели из МИФИ, г-жа Милославская и г-н Толстой. Как видно из названия, книга посвящена обнаружению атак. Чисто субъективное мнение человека, который немного разбирается в этой области (т.е. я) - никакой практической значимости (как пишут в диссертациях) книга не имеет. Переводы зарубежных материалов, попытки классификации чего-то, без реального понимания проблемы. Hо я отвлекся...

Читая книгу, с удивлением обнаружил свои собственные, а также переведенные мной и сотрудниками нашей фирмы материалы, которые я в свое время выложил на наш сайт, а также на многие другие сайты Internet. Однако, обратясь к списку использованной литературы я обнаружил, что ни одной ссылки на меня нет. Мало того, в книге я обнаружил и другие материалы, которые были размещены у нас на сайте (материалы компании Internet Security Systems), из которых просто взяли картинки, заменив все английские слова на русские.

Общий объем книги - 433 стр. (без приложений). Из них - 50-60 страниц (по предварительному подсчету) - мои материалы, на которые нет ссылки.

Я, конечно, сам часто заимствую некоторые цитаты или идеи для своих публикаций, но всегда указываю авторство. В данном случае это было нагло обойдено т.н. авторами. Hапример, один из материалов - мой перевод статьи из CSI "Эксперты дискурируют о прошлом, настоящем и будущем систем обнаружения атак", а также мои переводы двух FAQ'ов по обнаружению атак (Роберта Грэхема и SANS'овский). Вместо ссылки на мои переводы, были указаны оригинальные тексты на английском языке, что, наверное, по замыслу авторов должно было повысить их авторитет в глазах читателей.

Пример:

Оригинальный текст:
A common (successful) technique is to simply call the user and say "Hi, this is Bob from MIS. We're trying to track down some problems on the network and they appear to be coming from your machine. What password are you using?" Many users will give up their password in this situation.

Мой перевод:
Наиболее распространенный (удивительно успешный) метод - просто позвонить пользователю и сказать: "Привет, это Леха из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль.

Из книги:
Наиболее распространенный (удивительно успешный) метод - просто позвонить пользователю и сказать: "Привет, это Алексей из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль.

Еще пример:

Оригинал:
TCP scans
UDP scans

Мой перевод (была сделана незначительная ошибка в окончании)
TCP-сканирование
UDP-сканирования

В книге: полное совпадение с моим текстом

Алексей Лукацкий


об атаке на прокси (12.03.2001 23:23:34)

По следам сообщения из прошлого выпуска:

У меня была точно такая же ситуевина год назад.

Дело осложнялось тем, что это была федеральная гос-контора, и заява пошла сразу в московское фсб (даже и не томское).

Мой монолог с товарищами был таков:
- Имею право использовать сервис на 80-м порту? Спасибо.
- Имею право использовать сервис на 8000-м порту? Отлично!
- Имею право использовать сервис на 8080-м порту? Прекрасно! Еще есть вопросы?
- Какой скан портов? Нельзя? Вы знаете, что в мировой практике признали, что скан портов законен и приравнивается к смирному стоянию на улице и разглядыванию магазинов - какие открыты, а какие закрыты. После чего вход в открытые магазины осуществляется законным способом. Могу прислать ссылку на решение одного из Европейских судов. Более того, в США суд даже не принимает к рассмотрению дела об использовании любого открытого сервиса в интернете. Владелец должен сам заботиться об ограничении доступа.
- Да ладно, чего уж там... всегда пожалуйста :) До свидания.

После чего все закончилось :).

--------------------------------------------------
dISEr

Упомянутая ссылка (внимательно читать часть 3).


DoS атака на пользователей Зенона (12.03.2001 23:18:27)

Комментарии, думаю, излишни. В принципе, ситуация классическая, характерная не только для Зенона. Сходу вспоминается МТСовская ИССА, блокирующая доступ после трех (!) неправильных вводов пароля.

Сервер статистики провайдера "Зенон NSP" Являясь долгое время клиентом московского провайдера Зенон, я обнаружил весьма неприятную особенность работы программного обеспечения сервера статистики.

Каждому клиенту выделяется уникальный номер (PIN) для доступа к серверу. Зайдя на сервер статистики со своим ПИН'ом и паролем, клиент может контролировать баланс, смотреть историю денежных переводов, изменять пароли на диалап, почту, сервер новостей и так далее. ПИН и соответстующий ему пароль предоставляют возможность управления своим счетом, вплоть до добавления новых услуг. Однако, когда я попытался сменить столь важный пароль на более стойкий (изначально мне был выделен пароль, состоящий из шести цифр), я был неприятно удивлен тем, что предлагаемые пароли (а ввести свой пароль нет никакой возможности, можно только выбрать один из предлагаемых) также состоят из одних цифр, причем один из них имел длину 5 символов. По этому поводу я сразу же обратился в службу поддержки.

Описав ситуацию, когда пароль, состоящий из 5 цифр, можно найти банальным brute-force'ом где-нибудь за полдня. А зная его хеш (ну никто не идеален) - вообще за несколько секунд. Однако в ответ я услышал описание еще более жуткого exploit'а. Выяснилось, что брутфорсить пароли нельзя по причине того, что для каждого ПИНа существует лимит попыток авторизации с неверным паролем. После 20 (!) неудачных попыток доступ к серверу статистики для данного ПИНа полностью блокируется. Для разблокировки необходимо звонить в службу поддержки, разбираться с ситуацией и так далее. Причем начальник службы техподдержки уверен в том, что 20 попыток ввода пароля являются сетевой атакой со всеми вытекающими последствиями. Что провайдер "атакующего" немедленно отреагирует на такое поведение своего клиента и примет соответствующие меры.

Также мне на полном серьезе было заявлено, что подобное действие является DoS атакой на провайдера. Если это и так, то эта DoS атака видимо достойна книги рекордов Гиннесса, поскольку реализуется 20 кликами мышки. Процесс можно автоматизировать, создав WEB-страничку примерно такого вида:

<a href = "https://123456:password@stat.aha.ru/"></a>

123456 - это номер ПИНа, у Зенона он представляет собой шесть цифр.

Можно пойти и дальше, каждый раз скриптом меняя номер ПИНа. По предварительным оценкам за день можно "положить" вообще весь сервер статистики - ни один пользователь не сможет просмотреть настройки своего аккаунта. Достаточно что-нибудь пообещать посетителю страницы за клик на этой ссылке...

Не надо расценивать это сообщение как попытку навредить провайдеру. Я довольно долго являюсь их клиентом, и не хочу проблем прежде всего на свою голову. Единственным способом привлечь внимание к "дыре" на данный момент является ее опубликование. Это общепринятая практика.

--
Андрей Малышев


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach