https://bugtraq.ru/review/archive/2001/14-03-1.html

14 марта 2001, #111

реклама в icq (14.03.2001 15:56:00)

Как вы уже знаете, после массового появления рекламных баннеров в icq появилась куча патчей для icqcore.dll, вся суть которых - правка в ресурсах размеров окошка, в котором эти баннеры должны показываться. Для тех же, кому неохота править ресурсы, а воспользоваться готовой пропатченной dll не позволяет врожденная подозрительность, вполне подойдет более элегантный вариант, требующий исправления трех байтов (build 3279):

00017507: B8 33
00017508: 8D C0
00017509: 28 C3

Кроме того, в реестре стоит подправить ключик

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\DefaultPrefs]
"Auto Update"="No"

итоги лотереи (13.03.2001 21:04:44)

Объявленная в прошлом выпуске лотерея успешно завершилась. В розыгрыше приняло участие 1011 человек, правильно на все вопросы ответило 286 человек, среди которых был проведен дополнительный розыгрыш. Поздравляем победителей:
Озеров В.В.
Иванов А.В.
Алифатов Д.С.
Рожков Д.И.
Даниленко В.
Сотникова Т.П.
Albert Якупов А.М.
Дмитрий М.
Целиков И.А.
Борозинец О.В.

Правильные ответы:
1. Дмк Пресс
2. С++
3. Для программистов
4. Корпоративная платформа для Интернета нового поколения
5. Руководство для хакеров

плагиат (13.03.2001 14:22:50)

Вот думал, писать - не писать, но все-таки решился поплакаться в жилетку. Ситуация следующая - вышла на днях книга "Интрасети: обнаружение вторжений". Авторы - преподаватели из МИФИ, г-жа Милославская и г-н Толстой. Как видно из названия, книга посвящена обнаружению атак. Чисто субъективное мнение человека, который немного разбирается в этой области (т.е. я) - никакой практической значимости (как пишут в диссертациях) книга не имеет. Переводы зарубежных материалов, попытки классификации чего-то, без реального понимания проблемы. Hо я отвлекся... Читая книгу, с удивлением обнаружил свои собственные, а также переведенные мной и сотрудниками нашей фирмы материалы, которые я в свое время выложил на наш сайт, а также на многие другие сайты Internet. Однако, обратясь к списку использованной литературы я обнаружил, что ни одной ссылки на меня нет. Мало того, в книге я обнаружил и другие материалы, которые были размещены у нас на сайте (материалы компании Internet Security Systems), из которых просто взяли картинки, заменив все английские слова на русские. Общий объем книги - 433 стр. (без приложений). Из них - 50-60 страниц (по предварительному подсчету) - мои материалы, на которые нет ссылки. Я, конечно, сам часто заимствую некоторые цитаты или идеи для своих публикаций, но всегда указываю авторство. В данном случае это было нагло обойдено т.н. авторами. Hапример, один из материалов - мой перевод статьи из CSI "Эксперты дискурируют о прошлом, настоящем и будущем систем обнаружения атак", а также мои переводы двух FAQ'ов по обнаружению атак (Роберта Грэхема и SANS'овский). Вместо ссылки на мои переводы, были указаны оригинальные тексты на английском языке, что, наверное, по замыслу авторов должно было повысить их авторитет в глазах читателей. Пример: Оригинальный текст: A common (successful) technique is to simply call the user and say "Hi, this is Bob from MIS. We're trying to track down some problems on the network and they appear to be coming from your machine. What password are you using?" Many users will give up their password in this situation. Мой перевод: Наиболее распространенный (удивительно успешный) метод - просто позвонить пользователю и сказать: "Привет, это Леха из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль. Из книги: Наиболее распространенный (удивительно успешный) метод - просто позвонить пользователю и сказать: "Привет, это Алексей из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль. Еще пример: Оригинал: TCP scans UDP scans Мой перевод (была сделана незначительная ошибка в окончании) TCP-сканирование UDP-сканирования В книге: полное совпадение с моим текстом Алексей Лукацкий

об атаке на прокси (12.03.2001 23:23:34)

По следам сообщения из прошлого выпуска:

У меня была точно такая же ситуевина год назад. Дело осложнялось тем, что это была федеральная гос-контора, и заява пошла сразу в московское фсб (даже и не томское). Мой монолог с товарищами был таков: - Имею право использовать сервис на 80-м порту? Спасибо. - Имею право использовать сервис на 8000-м порту? Отлично! - Имею право использовать сервис на 8080-м порту? Прекрасно! Еще есть вопросы? - Какой скан портов? Нельзя? Вы знаете, что в мировой практике признали, что скан портов законен и приравнивается к смирному стоянию на улице и разглядыванию магазинов - какие открыты, а какие закрыты. После чего вход в открытые магазины осуществляется законным способом. Могу прислать ссылку на решение одного из Европейских судов. Более того, в США суд даже не принимает к рассмотрению дела об использовании любого открытого сервиса в интернете. Владелец должен сам заботиться об ограничении доступа. - Да ладно, чего уж там... всегда пожалуйста :) До свидания. После чего все закончилось :). -------------------------------------------------- dISEr

Упомянутая ссылка (внимательно читать часть 3).

DoS атака на пользователей Зенона (12.03.2001 23:18:27)

Комментарии, думаю, излишни. В принципе, ситуация классическая, характерная не только для Зенона. Сходу вспоминается МТСовская ИССА, блокирующая доступ после трех (!) неправильных вводов пароля.

Сервер статистики провайдера "Зенон NSP" Являясь долгое время клиентом московского провайдера Зенон, я обнаружил весьма неприятную особенность работы программного обеспечения сервера статистики. Каждому клиенту выделяется уникальный номер (PIN) для доступа к серверу. Зайдя на сервер статистики со своим ПИН'ом и паролем, клиент может контролировать баланс, смотреть историю денежных переводов, изменять пароли на диалап, почту, сервер новостей и так далее. ПИН и соответстующий ему пароль предоставляют возможность управления своим счетом, вплоть до добавления новых услуг. Однако, когда я попытался сменить столь важный пароль на более стойкий (изначально мне был выделен пароль, состоящий из шести цифр), я был неприятно удивлен тем, что предлагаемые пароли (а ввести свой пароль нет никакой возможности, можно только выбрать один из предлагаемых) также состоят из одних цифр, причем один из них имел длину 5 символов. По этому поводу я сразу же обратился в службу поддержки. Описав ситуацию, когда пароль, состоящий из 5 цифр, можно найти банальным brute-force'ом где-нибудь за полдня. А зная его хеш (ну никто не идеален) - вообще за несколько секунд. Однако в ответ я услышал описание еще более жуткого exploit'а. Выяснилось, что брутфорсить пароли нельзя по причине того, что для каждого ПИНа существует лимит попыток авторизации с неверным паролем. После 20 (!) неудачных попыток доступ к серверу статистики для данного ПИНа полностью блокируется. Для разблокировки необходимо звонить в службу поддержки, разбираться с ситуацией и так далее. Причем начальник службы техподдержки уверен в том, что 20 попыток ввода пароля являются сетевой атакой со всеми вытекающими последствиями. Что провайдер "атакующего" немедленно отреагирует на такое поведение своего клиента и примет соответствующие меры. Также мне на полном серьезе было заявлено, что подобное действие является DoS атакой на провайдера. Если это и так, то эта DoS атака видимо достойна книги рекордов Гиннесса, поскольку реализуется 20 кликами мышки. Процесс можно автоматизировать, создав WEB-страничку примерно такого вида: <a href = "https://123456:password@stat.aha.ru/"></a> 123456 - это номер ПИНа, у Зенона он представляет собой шесть цифр. Можно пойти и дальше, каждый раз скриптом меняя номер ПИНа. По предварительным оценкам за день можно "положить" вообще весь сервер статистики - ни один пользователь не сможет просмотреть настройки своего аккаунта. Достаточно что-нибудь пообещать посетителю страницы за клик на этой ссылке... Не надо расценивать это сообщение как попытку навредить провайдеру. Я довольно долго являюсь их клиентом, и не хочу проблем прежде всего на свою голову. Единственным способом привлечь внимание к "дыре" на данный момент является ее опубликование. Это общепринятая практика. -- Андрей Малышев