Backdoor или уязвимость в Remote Administrator 2.x? JINN // 19.02.04 21:49
С 21-ого января несколько вэбсайтов в России, включая www.peterhost.ru подвергаются DDOS атаке.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/02/28.html]
"Атакующие" компьютеры работают как под Win98, так и под W2K и WinXP.
Одно общее свойство: на всех машинах установлен Remote Administrator версии 2.x. (www.famatech.com)
P.S. Извиняюсь, что новость неск. запоздалая - сообщение от "Pavel Levshin" <flicker@mariinsky.ru> датировано "Mon, 16 Feb 2004 14:22:36 +0300", но свалилось в рассылку только сегодня днём.
Как вы знаете, компания Фаматек ставит своей целью выпуск максимально защищённого программного обеспечения. Однако, хотя Радмин вполне надёжен и не имеет какие-либо брешей, "чёрных ходов" или иных уязвимостей, нельзя забывать, что он работает под ОС Windows. Поэтому для достижения наиболее высокого уровня безопасности недостаточно правильно настроить Радмин - помимо этого нужно верно настроить системы безопасности Windows. Разумеется, мы прилагаем все усилия для расследования любых случаев, когда возникает подозрение, что Радмин был взломан. Насколько нам известно, во всех подобных случаях выяснялось, что взлом произошёл из-за дыр другим программ или неправильных настроек Радмина.
Дабы развеять любые слухи и доказать высочайший уровень защиты Радмина, вы объявляем открытое тестирование систем безопасности Радмина - конкурс взлома. Специально для этой цели был поднят выделенный сервер, доступный по адресу test.radmin.com. На нём установлен Remote Administrator server. Для всех желающих открыт порт 4899. Любой, кто утверждает, что в системе защиты Радмина имеется брешь, может попробовать подключиться к хосту test.radmin.com и взломать пароль. Мы не думаем, что это кому-либо удастся.
Исренне Ваш,
Дмитрий Зноско,
===================================
Хотя есть вопросы, оставшиеся без ответов:
http://www.famatech.com/support/forum/read.php?FID=11&TID=6418 -Dmitry, how can you approve that you are not using special build of Radmin (without bundled backdoors) for this "security testing"?
-где гарантия что на этом адресе стоит полный админ а не кусок кода который отбивает все пароли?
зы то ли никто не пытался ломать, то ли суппорт просто не успевает отвечать-)
зыы Каков срок действия конкурса?
Было ли соотв. предложение размещено на других сайтах (кроме этого и самого фаматеч-а?)
Результаты будут опубликованы?
Что получит взломщик в случае успеха? Надеюсь, не стать за НСД:-)
Могу Вас заврить, что там установлен настоящий Radmin...03.03.04 13:35 Автор: support@famatech.com Статус: Незарегистрированный пользователь
> -Dmitry, how can you approve that you are not using special > build of Radmin (without bundled backdoors) for this > "security testing"? > -где гарантия что на этом адресе стоит полный админ а не > кусок кода который отбивает все пароли?
Могу Вас заврить, что там установлен настоящий Radmin Server. Ставить там "заглушку" нам не имеет смысла - ведь точная и правдивая информация о степени защиты программы нужна прежде всего её разработчикам. Обманывая вас, мы обманули бы себя.
> зыы Каков срок действия конкурса?
Срок пока что неограничен.
> Было ли соотв. предложение размещено на других сайтах > (кроме этого и самого фаматеч-а?)
Да, текст пресс-релиза был отослан, в частности, на OpenNet.ru.
> Результаты будут опубликованы?
Уверен, в случае успешного взлома сообщения об этом тут же появятся на нашем форуме. :-)
> Что получит взломщик в случае успеха?
Награда тому, кто взломает Radmin Server на test.radmin.com - $ 1000 (прописью - одна тысяча долларов США).
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Извините, конечно. Но то что Вы умеете настраивать свой...03.03.04 22:42 Автор: guest Статус: Незарегистрированный пользователь
Извините, конечно. Но то что Вы умеете настраивать свой собственный radmin мы и так верим. К сожалению, реальность иная. Есть возможность неограниченного подбора, есть объективная статистика повальной безграмотности администраторов. Есть умерающие сайты, поливаемые машинами управляемыми через Вашу замечательную программу. К Вашему сожалению, если Вы ещё не поняли, в большей степени, чем к нашему злоумышленники выбрали именно Вашу так просто настраиваемую программу, с удобным тихим доступом и мгновенным незаморочным способом поменять конфиги.
Вам не следует что-то доказывать, Вам следует СРОЧНО ИСПРАВИТЬ недочёты, и известить об этом Ваших покупателей.
Если Вам интересен разносторонний анализ ситуации Вашими специалистами, обратитесь к пострадавшим, любая фирма, думаю, с радостью подарит Вам и Вашему анализирующему оборудованию паразитный трафик злоумышленника в полном объёме.
Ваш PR, который Вы пытаетесь построить на собственных недочётах и упрямстве (а я не верю в громадный объём работ), ничем хорошим не кончится.
Давайте поступим по другому - не показательная бравада с МегаСервером вдали от Родины, а оперативные данные о количестве взломанных машин, статистику по потенциально возможной угрозе взлома и т.д.
Учитывая сетевую задержку - два ping time - которая у большинства соединений равна около 100 мс, подбор 8-символьного пароля даже без пауз займёт сотни лет!
А если пароль словарный или известен злоумышленику, то он подбирается за пару суток даже при наличии пауз.
Разумеетеся, это не значит, что anti-hacker delay не нужна. Она будет в 3-ей версии, но её отсутствие не является критической ошибкой.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
И обратите внимание на это:
05.03.04 21:44 Автор: guest Статус: Незарегистрированный пользователь
Это Вы так думаете. Можно я зло пошучу? В следующий раз, ваша фирма не сильно обидется, если ей будут сливать все атакуемые сайты, в атаке на которые замешан Ваш замечательный продукт?
Я думаю, это заставит Вас переоценить степень критичности недочёта.
При том что никто, конечно, не будет делать этого по этическим соображениям, предлагаю Вам пофантазировать. Очень хочется увидеть Ваш ответ.
Наша фирма обидется не сильно, но российские судебные органы, к сожалению, обидятся гораздо сильнее, а ещё больше обидется столь неудачно пошутивший человек, обнаружив себя в тюрьме. :-(
С уважением,
Григорий Петров, служба технической поддержки Famatech (support@famatech.com).
Так чем атака закончилась? Или до сих пор идет безуспешно?20.02.04 14:48 Автор: Andrey_Ra Статус: Незарегистрированный пользователь
> С 21-ого января несколько вэбсайтов в России, включая > www.peterhost.ru подвергаются DDOS атаке. > Одно общее свойство: на всех машинах установлен Remote > Administrator версии 2.x. (www.famatech.com) Так чем атака закончилась? Или до сих пор идет безуспешно?
А вот тут народ даже виноватых пытается найти.26.02.04 00:31 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Всплыла там и кое-какая техническая информация.
Кого действительно интересует вопрос - почитайте. Весьма увлекательно.
Насколько ребята правы - не берусь судить. Но что-то в этом все же есть...
Самое главное - вроде бы выяснили, с какой целью все это началось.
В общем, глядите сами.
> > С 21-ого января несколько вэбсайтов в России, включая > > www.peterhost.ru подвергаются DDOS атаке. > > Одно общее свойство: на всех машинах установлен Remote > > Administrator версии 2.x. (www.famatech.com) > Так чем атака закончилась? Или до сих пор идет безуспешно? с автором поста Pavel Levshin. Его e-mail есть в исходном сообщении:
http://www.securityfocus.com/archive/1/354305/2004-02-16/2004-02-22/0.
> По некоторым обрывкам информации, РАдмин тут ни при чем. Ссылку на эту инфу можно?
> Взламывают другим путем, а потом устанавливают радмин а > следы взлома удаляют.
> > По некоторым обрывкам информации, РАдмин тут ни при > чем. > Ссылку на эту инфу можно?
на opennet.ru в обсуждениях статьи было. Только грохнулось куда-то...
уже все выяснили.
недокументированых дыр скорее всего нет.
есть подборщик пароля по словарю.
Защищаться можно хоть фаерволом, хоть длинным паролем.
Беда одна - слишком много машин по сети расставлено с радминами, админы которых не в курсе этих проблем.
Даже скорее в том, что автор движка р-админа (т.е. его...25.02.04 22:30 Автор: Andrey_Ra Статус: Незарегистрированный пользователь
> Беда одна - слишком много машин по сети расставлено с > радминами, админы которых не в курсе этих проблем. Даже скорее в том, что автор движка р-админа (т.е. его серверной части) удалился от разработки. Если бы он продолжал работу над этим продуктом, то мы все бы уже давно переапгрейдились и получили необходимые защиты от перебора паролей.
Я вот только догадываться начал, что имел ввиду один из отвечающих разработчиков на форумах компании Фаматеч. Он сказал что мол у радмина 2.1 есть возможность поставить задержку, и после этого перебор паролей потеряет свою актуальность.
Он имеет ввиду галку в настройках сервера, которая выводит сообщение о том что кто-то долбится и разрешать ему это или нет.
Дословно галка называется Incoming Connection Dialog->Auto allow after timeout -> ну и в окошке количество секунд. Т.е. просто включаем это дело с хотя бы 10 секундами задержки и брутфорс обречен на провал, т.к. перебирать придется всю оставшуюся жизнь!
> Даже скорее в том, что автор движка р-админа (т.е. его > серверной части) удалился от разработки.
Вы не правы. Автор Радмина вовсе не удалился от разработки. Он по-прежнему возглавляет компанию "Фаматек" и ведёт проект Radmin 3.0.
> Я вот только догадываться начал, что имел ввиду один из > отвечающих разработчиков на форумах компании Фаматеч. Он > сказал что мол у радмина 2.1 есть возможность поставить > задержку, и после этого перебор паролей потеряет свою > актуальность.
Похоже, Вы неправильно нас поняли. Пауза после нескольких неправильно введённых паролей Radmin Server 2.1 отсутствует.
Она действительно УЖЕ реализована в Radmin Server 3.0, который ещё только готовится к релизу и пока не выпущен. Разумеется, эта пауза сделана неотключаемой.
Приходится признать, что защиты от перебора в Radmin Server 2.1 нет. Но согласитесь, что защита от перебора должна быть не столько в программе, сколько в мозгах настраивающего её администратора. Если человек ставит на свой Radmin Server пароль "12345678", "password" или "DataPass", то его взломают даже без всяких словарных атак.
> Он имеет ввиду галку в настройках сервера, которая выводит > сообщение о том что кто-то долбится и разрешать ему это или > нет. Дословно галка называется Incoming Connection > Dialog->Auto allow after timeout -> ну и в окошке > количество секунд. Т.е. просто включаем это дело с хотя бы > 10 секундами задержки и брутфорс обречен на провал, т.к. > перебирать придется всю оставшуюся жизнь!
Ну а тут Вы тем более заблуждаетесь. Опция Auto allow / Auto deny after timeout не имеет ничего общего с паузой после неверного пароля. Она регулирует поведение программы в случае, если по истечение заданного промежутка времени пользователь серверной машины не ответил на выводящийся в диалоге вопрос "Разрешить ли соединение". Подробности - в документации прораммы.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Уважаемый Илья, Вы же прекрасно знаете, что авторизация...03.03.04 17:07 Автор: guest Статус: Незарегистрированный пользователь
Уважаемый Илья, Вы же прекрасно знаете, что авторизация происходит по хэшу пароля. Можно увеличть скорость перебора по словарю путём использования словарей хэша. Во-первых он конечен, во-вторых - Вы отдаёте себе отчёт какого монстра Вы сейчас держите в мире? Вы можете при людях объяснить, почему ещё не выпущен патч на v2.1?
РАЗ Подбор со скоростью до 100 паролей в секунду....
ДВА НЕзащищённый код программы, что позволяет любому школьнику писать самописные программы-клиенты
ТРИ Нет защищённого соединения на авторизации.... 42 байта в одну сторону, 42 в другую и любой начинающий хакер в том же VPN что и вы имеет материал для подбора вего лишь 128-ми битного ключа
Так ведь, Илья?
Ещё ответ22.03.04 17:47 Автор: support@famatech.com Статус: Незарегистрированный пользователь
РАЗ Тысяча одновременно работающих машин будут подбирать пароль сотни лет.
ДВА Защита кода клиента и сервера является одной из лучших в своем классе, включая самотестирование кода на изменения. Конечно, взломать можно все, но для разбора кода Radmin'а подребуется кропотливая, многодневная работа лучших мировых хакеров, а никак не школьников. Так что код программы (в отличие от её ресурсов) как раз защищён.
ТРИ Эти "42 байта", как вы выразились - фрагмент авторизации, которая использует challenge-responce алгоритм. Мы не можем раскрывать детали алгоритма, но можем сказать, что сам хеш ключа НЕ ПЕРЕДАЕТСЯ ни в этих начальных 42 байтах, ни где-либо далее в потоке данных. Подбор 128 битного ключа - это задача на миллионы лет. Можете сами подсчитать на досуге.
С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
> > Беда одна - слишком много машин по сети расставлено с > > радминами, админы которых не в курсе этих проблем. Это ИХ личные проблемы, имхо. RA ставят не юзеры, а именно админы. Чтобы не бегать с 1-ого этажа на 5-ый, грубо говоря. И если им лень читать новости, ............ -/
Сколько админов (именно АДМИНОВ), установив те же в2к или хп, оставляют ВСЕ настройки выни по дефолту, не принимая НИКАКИХ мер для защиты машины?
> Я вот только догадываться начал, что имел ввиду один из > отвечающих разработчиков на форумах компании Фаматеч. Он > сказал что мол у радмина 2.1 есть возможность поставить > задержку, и после этого перебор паролей потеряет свою > актуальность. > Он имеет ввиду галку в настройках сервера, которая выводит > сообщение о том что кто-то долбится и разрешать ему это или > нет. > Дословно галка называется Incoming Connection > Dialog->Auto allow after timeout -> ну и в окошке > количество секунд. Т.е. просто включаем это дело с хотя бы > 10 секундами задержки и брутфорс обречен на провал, т.к. > перебирать придется всю оставшуюся жизнь! И ещё были советы LordInfidel-а (в том же треде):
A) use the built in filters
B) change the port
C) use NT Security
D) Restrict access to it via a firewall or router acl
Ну и есс-но запись логов.
К сожалению, это оказалось проблемой сотен невинных...03.03.04 17:10 Автор: guest Статус: Незарегистрированный пользователь
в очередных обсуждениях проскочило, что взламывающая прога получала за 15 минут доступ к любому радмину, независимо от его пароля. :(
Инфа неподтвержденая, но и не опровергнутая...
Кроме того, есть возможность получить доступ к машине с радмином в момент ее шатдауна - процес это долгий, так что нахулиганить можно успеть. Осталось только научиться машину на перезагрузку пускать.
Вот когда инфа будет неподтвержденной, тогда можно будет...27.02.04 17:37 Автор: support@famatech.com Статус: Незарегистрированный пользователь
> в очередных обсуждениях проскочило, что взламывающая прога > получала за 15 минут доступ к любому радмину, независимо от > его пароля. :( > Инфа неподтвержденая, но и не опровергнутая...
Вот когда инфа будет неподтвержденной, тогда можно будет что-то обсуждать. Пока же это просто болтология.
Разумеется, взломанные пароли должны быть серьёзными - взлом пустого пароля или пароля навроде "12345678" или "password" занимает даже не 15, а 5 минут.
> Кроме того, есть возможность получить доступ к машине с > радмином в момент ее шатдауна - процес это долгий, так что > нахулиганить можно успеть. Осталось только научиться машину > на перезагрузку пускать.
Доказательства есть? Если есть, шлите на radmin@radmin.com - будем разбираться.
«Кроме того, есть возможность получить доступ к машине с радмином в момент ее шатдауна» — подробнее можно?27.02.04 14:48 Автор: HandleX <Александр М.> Статус: The Elderman
ссылка потерялась, но суть атаки в том, что при выключении питания (завершении работы) НТ отрубает службы аутентификации раньше, чем закрывает открытые порты. Так что если успеть после отрубания аутентификации подключиться к радмину, то радмин пускает с любым паролем. Сам не пробовал, только читал. Но проверить несложно...
Проверил, получилось ...
В момент выключения XP c установленным радмином 2,0
был на несколько милисекунд ;- ) получен доступ.
Все пробовалось вручную. Но можно и автоматизировать ...
Вот только вопрос... Что делать с системой за полсекунды ?
Если НТ в самом деле опускает службы аутентификации рано так может можно просто подключится к компу (NetUseAdd) и расшарить все диски в этот момент (NetShareAdd)? Никто не пробовал? Или же винда отключает RPC вовремя а этот радмин тока висит долго?