информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
 Шестой Perl превратится в Raku,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / февраль
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




Paragon Partition Manager 7.0

Backdoor или уязвимость в Remote Administrator 2.x?
JINN // 19.02.04 21:49
С 21-ого января несколько вэбсайтов в России, включая www.peterhost.ru подвергаются DDOS атаке.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/02/28.html]

"Атакующие" компьютеры работают как под Win98, так и под W2K и WinXP.
Одно общее свойство: на всех машинах установлен Remote Administrator версии 2.x. (www.famatech.com)


P.S. Извиняюсь, что новость неск. запоздалая - сообщение от "Pavel Levshin" <flicker@mariinsky.ru> датировано "Mon, 16 Feb 2004 14:22:36 +0300", но свалилось в рассылку только сегодня днём.

Источник: www.securityfocus.com      
теги: ddos  |  предложить новость  |  обсудить  |  все отзывы (27) [17017]
назад «  » вперед

аналогичные материалы
Интернет в прошлую пятницу упал из-за вебкамерного ботнета // 28.10.16 02:02
DDoS в России неподсудны? // 22.08.11 23:16
Милиции предложено проверить 115 тысяч зомби // 04.05.11 18:19
Первый арест среди DDoSящих во имя WikiLeaks // 10.12.10 12:54
Мастерхост принял Яндекс за DDoS // 15.05.09 14:21
RootConf 2009 - программа конференции // 31.03.09 13:15
ВКонтакте завалил Премию Рунета // 25.10.08 14:02
 
последние новости
Microsoft сообщила о 44 миллионах аккаунтов, использующих утекшие пароли // 07.12.19 01:30
Множественные уязвимости в VNC // 24.11.19 17:15
Шестой Perl превратится в Raku, пятый останется просто Perl'ом // 15.10.19 00:49
Kik закрывается, все ушли на криптофронт // 24.09.19 15:54
Sophos открывает Sandboxie // 13.09.19 00:22
Большой вторник патчей от MS // 10.09.19 22:30
И ещё раз об интернет-голосовании // 18.08.19 16:38

Комментарии:

Пресс-релиз №1 - попробуй взломать Радмин 27.02.04 20:09  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Цитирую http://www.famatech.com/support/forum/read.php?FID=11&TID=6418 (с синхронным переводом):
===================================
Уважаемые пользователи Радмина,

Как вы знаете, компания Фаматек ставит своей целью выпуск максимально защищённого программного обеспечения. Однако, хотя Радмин вполне надёжен и не имеет какие-либо брешей, "чёрных ходов" или иных уязвимостей, нельзя забывать, что он работает под ОС Windows. Поэтому для достижения наиболее высокого уровня безопасности недостаточно правильно настроить Радмин - помимо этого нужно верно настроить системы безопасности Windows. Разумеется, мы прилагаем все усилия для расследования любых случаев, когда возникает подозрение, что Радмин был взломан. Насколько нам известно, во всех подобных случаях выяснялось, что взлом произошёл из-за дыр другим программ или неправильных настроек Радмина.

Дабы развеять любые слухи и доказать высочайший уровень защиты Радмина, вы объявляем открытое тестирование систем безопасности Радмина - конкурс взлома. Специально для этой цели был поднят выделенный сервер, доступный по адресу test.radmin.com. На нём установлен Remote Administrator server. Для всех желающих открыт порт 4899. Любой, кто утверждает, что в системе защиты Радмина имеется брешь, может попробовать подключиться к хосту test.radmin.com и взломать пароль. Мы не думаем, что это кому-либо удастся.

Исренне Ваш,
Дмитрий Зноско,
===================================

Обсуждать конкурс взлома можно по адресам http://www.famatech.com/support/forum/read.php?FID=11&TID=6418 (по английски) и http://www.famatech.com/ru/support/forum/ (по-русски).

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Respect! Не словом, но делом-) 28.02.04 23:45  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
Хотя есть вопросы, оставшиеся без ответов:
http://www.famatech.com/support/forum/read.php?FID=11&TID=6418
-Dmitry, how can you approve that you are not using special build of Radmin (without bundled backdoors) for this "security testing"?
-где гарантия что на этом адресе стоит полный админ а не кусок кода который отбивает все пароли?
зы то ли никто не пытался ломать, то ли суппорт просто не успевает отвечать-)

зыы Каков срок действия конкурса?
Было ли соотв. предложение размещено на других сайтах (кроме этого и самого фаматеч-а?)
Результаты будут опубликованы?
Что получит взломщик в случае успеха? Надеюсь, не стать за НСД:-)
Могу Вас заврить, что там установлен настоящий Radmin... 03.03.04 13:35  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> -Dmitry, how can you approve that you are not using special
> build of Radmin (without bundled backdoors) for this
> "security testing"?
> -где гарантия что на этом адресе стоит полный админ а не
> кусок кода который отбивает все пароли?

Могу Вас заврить, что там установлен настоящий Radmin Server. Ставить там "заглушку" нам не имеет смысла - ведь точная и правдивая информация о степени защиты программы нужна прежде всего её разработчикам. Обманывая вас, мы обманули бы себя.

> зыы Каков срок действия конкурса?

Срок пока что неограничен.

> Было ли соотв. предложение размещено на других сайтах
> (кроме этого и самого фаматеч-а?)

Да, текст пресс-релиза был отослан, в частности, на OpenNet.ru.

> Результаты будут опубликованы?

Уверен, в случае успешного взлома сообщения об этом тут же появятся на нашем форуме. :-)

> Что получит взломщик в случае успеха?

Награда тому, кто взломает Radmin Server на test.radmin.com - $ 1000 (прописью - одна тысяча долларов США).

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Извините, конечно. Но то что Вы умеете настраивать свой... 03.03.04 22:42  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Извините, конечно. Но то что Вы умеете настраивать свой собственный radmin мы и так верим. К сожалению, реальность иная. Есть возможность неограниченного подбора, есть объективная статистика повальной безграмотности администраторов. Есть умерающие сайты, поливаемые машинами управляемыми через Вашу замечательную программу. К Вашему сожалению, если Вы ещё не поняли, в большей степени, чем к нашему злоумышленники выбрали именно Вашу так просто настраиваемую программу, с удобным тихим доступом и мгновенным незаморочным способом поменять конфиги.

Вам не следует что-то доказывать, Вам следует СРОЧНО ИСПРАВИТЬ недочёты, и известить об этом Ваших покупателей.

Если Вам интересен разносторонний анализ ситуации Вашими специалистами, обратитесь к пострадавшим, любая фирма, думаю, с радостью подарит Вам и Вашему анализирующему оборудованию паразитный трафик злоумышленника в полном объёме.

Ваш PR, который Вы пытаетесь построить на собственных недочётах и упрямстве (а я не верю в громадный объём работ), ничем хорошим не кончится.
Давайте поступим по другому - не показательная бравада с МегаСервером вдали от Родины, а оперативные данные о количестве взломанных машин, статистику по потенциально возможной угрозе взлома и т.д.
Ответ 05.03.04 13:56  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Учитывая сетевую задержку - два ping time - которая у большинства соединений равна около 100 мс, подбор 8-символьного пароля даже без пауз займёт сотни лет!

А если пароль словарный или известен злоумышленику, то он подбирается за пару суток даже при наличии пауз.

Разумеетеся, это не значит, что anti-hacker delay не нужна. Она будет в 3-ей версии, но её отсутствие не является критической ошибкой.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
И обратите внимание на это: 05.03.04 21:44  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
И обратите внимание на это:
http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=100735
Это Вы так думаете. Можно я зло пошучу? В следующий раз,... 05.03.04 21:41  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Это Вы так думаете. Можно я зло пошучу? В следующий раз, ваша фирма не сильно обидется, если ей будут сливать все атакуемые сайты, в атаке на которые замешан Ваш замечательный продукт?

Я думаю, это заставит Вас переоценить степень критичности недочёта.

При том что никто, конечно, не будет делать этого по этическим соображениям, предлагаю Вам пофантазировать. Очень хочется увидеть Ваш ответ.
Ответ 09.03.04 14:02  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Наша фирма обидется не сильно, но российские судебные органы, к сожалению, обидятся гораздо сильнее, а ещё больше обидется столь неудачно пошутивший человек, обнаружив себя в тюрьме. :-(

С уважением,
Григорий Петров, служба технической поддержки Famatech (support@famatech.com).
Так чем атака закончилась? Или до сих пор идет безуспешно? 20.02.04 14:48  
Автор: Andrey_Ra Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> С 21-ого января несколько вэбсайтов в России, включая
> www.peterhost.ru подвергаются DDOS атаке.
> Одно общее свойство: на всех машинах установлен Remote
> Administrator версии 2.x. (www.famatech.com)
Так чем атака закончилась? Или до сих пор идет безуспешно?
А вот тут народ даже виноватых пытается найти. 26.02.04 00:31  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
И, вроде, даже небезуспешно.

Розыски начались в конце этой ветки:
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=0199#1
и продолжаются вот тут:
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=18817#1

Всплыла там и кое-какая техническая информация.
Кого действительно интересует вопрос - почитайте. Весьма увлекательно.
Насколько ребята правы - не берусь судить. Но что-то в этом все же есть...
Самое главное - вроде бы выяснили, с какой целью все это началось.
В общем, глядите сами.
Можете связаться 20.02.04 19:59  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> > С 21-ого января несколько вэбсайтов в России, включая
> > www.peterhost.ru подвергаются DDOS атаке.
> > Одно общее свойство: на всех машинах установлен Remote
> > Administrator версии 2.x. (www.famatech.com)
> Так чем атака закончилась? Или до сих пор идет безуспешно?
с автором поста Pavel Levshin. Его e-mail есть в исходном сообщении:
http://www.securityfocus.com/archive/1/354305/2004-02-16/2004-02-22/0.

Из обсуждения было только одно письмо от LordInfidel, который усомнился в "дырявости" RAdmin-а и посоветовал проверить настройки последнего:
http://www.securityfocus.com/archive/1/354515/2004-02-16/2004-02-22/2
Жаль, что мало интереса к этой теме :( 23.02.04 16:02  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
По некоторым обрывкам информации, РАдмин тут ни при чем.
Взламывают другим путем, а потом устанавливают радмин а следы взлома удаляют.
Почему же? Вот, смотри: 23.02.04 19:03  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> По некоторым обрывкам информации, РАдмин тут ни при чем.
Ссылку на эту инфу можно?
> Взламывают другим путем, а потом устанавливают радмин а
> следы взлома удаляют.

Topic: «Radmin got hacked..?»
на opennet.ru в обсуждениях статьи было. Только грохнулось... 25.02.04 10:35  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > По некоторым обрывкам информации, РАдмин тут ни при
> чем.
> Ссылку на эту инфу можно?

на opennet.ru в обсуждениях статьи было. Только грохнулось куда-то...

уже все выяснили.
недокументированых дыр скорее всего нет.
есть подборщик пароля по словарю.
Защищаться можно хоть фаерволом, хоть длинным паролем.
Беда одна - слишком много машин по сети расставлено с радминами, админы которых не в курсе этих проблем.
Даже скорее в том, что автор движка р-админа (т.е. его... 25.02.04 22:30  
Автор: Andrey_Ra Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Беда одна - слишком много машин по сети расставлено с
> радминами, админы которых не в курсе этих проблем.
Даже скорее в том, что автор движка р-админа (т.е. его серверной части) удалился от разработки. Если бы он продолжал работу над этим продуктом, то мы все бы уже давно переапгрейдились и получили необходимые защиты от перебора паролей.
Я вот только догадываться начал, что имел ввиду один из отвечающих разработчиков на форумах компании Фаматеч. Он сказал что мол у радмина 2.1 есть возможность поставить задержку, и после этого перебор паролей потеряет свою актуальность.
Он имеет ввиду галку в настройках сервера, которая выводит сообщение о том что кто-то долбится и разрешать ему это или нет.
Дословно галка называется Incoming Connection Dialog->Auto allow after timeout -> ну и в окошке количество секунд. Т.е. просто включаем это дело с хотя бы 10 секундами задержки и брутфорс обречен на провал, т.к. перебирать придется всю оставшуюся жизнь!
Ошибка 26.02.04 21:10  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Даже скорее в том, что автор движка р-админа (т.е. его
> серверной части) удалился от разработки.

Вы не правы. Автор Радмина вовсе не удалился от разработки. Он по-прежнему возглавляет компанию "Фаматек" и ведёт проект Radmin 3.0.

> Я вот только догадываться начал, что имел ввиду один из
> отвечающих разработчиков на форумах компании Фаматеч. Он
> сказал что мол у радмина 2.1 есть возможность поставить
> задержку, и после этого перебор паролей потеряет свою
> актуальность.

Похоже, Вы неправильно нас поняли. Пауза после нескольких неправильно введённых паролей Radmin Server 2.1 отсутствует.

Она действительно УЖЕ реализована в Radmin Server 3.0, который ещё только готовится к релизу и пока не выпущен. Разумеется, эта пауза сделана неотключаемой.

Приходится признать, что защиты от перебора в Radmin Server 2.1 нет. Но согласитесь, что защита от перебора должна быть не столько в программе, сколько в мозгах настраивающего её администратора. Если человек ставит на свой Radmin Server пароль "12345678", "password" или "DataPass", то его взломают даже без всяких словарных атак.

> Он имеет ввиду галку в настройках сервера, которая выводит
> сообщение о том что кто-то долбится и разрешать ему это или
> нет. Дословно галка называется Incoming Connection
> Dialog->Auto allow after timeout -> ну и в окошке
> количество секунд. Т.е. просто включаем это дело с хотя бы
> 10 секундами задержки и брутфорс обречен на провал, т.к.
> перебирать придется всю оставшуюся жизнь!

Ну а тут Вы тем более заблуждаетесь. Опция Auto allow / Auto deny after timeout не имеет ничего общего с паузой после неверного пароля. Она регулирует поведение программы в случае, если по истечение заданного промежутка времени пользователь серверной машины не ответил на выводящийся в диалоге вопрос "Разрешить ли соединение". Подробности - в документации прораммы.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
Уважаемый Илья, Вы же прекрасно знаете, что авторизация... 03.03.04 17:07  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый Илья, Вы же прекрасно знаете, что авторизация происходит по хэшу пароля. Можно увеличть скорость перебора по словарю путём использования словарей хэша. Во-первых он конечен, во-вторых - Вы отдаёте себе отчёт какого монстра Вы сейчас держите в мире? Вы можете при людях объяснить, почему ещё не выпущен патч на v2.1?

РАЗ Подбор со скоростью до 100 паролей в секунду....
ДВА НЕзащищённый код программы, что позволяет любому школьнику писать самописные программы-клиенты
ТРИ Нет защищённого соединения на авторизации.... 42 байта в одну сторону, 42 в другую и любой начинающий хакер в том же VPN что и вы имеет материал для подбора вего лишь 128-ми битного ключа

Так ведь, Илья?
Ещё ответ 22.03.04 17:47  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
РАЗ Тысяча одновременно работающих машин будут подбирать пароль сотни лет.

ДВА Защита кода клиента и сервера является одной из лучших в своем классе, включая самотестирование кода на изменения. Конечно, взломать можно все, но для разбора кода Radmin'а подребуется кропотливая, многодневная работа лучших мировых хакеров, а никак не школьников. Так что код программы (в отличие от её ресурсов) как раз защищён.

ТРИ Эти "42 байта", как вы выразились - фрагмент авторизации, которая использует challenge-responce алгоритм. Мы не можем раскрывать детали алгоритма, но можем сказать, что сам хеш ключа НЕ ПЕРЕДАЕТСЯ ни в этих начальных 42 байтах, ни где-либо далее в потоке данных. Подбор 128 битного ключа - это задача на миллионы лет. Можете сами подсчитать на досуге.

С уважением,
Илья Деменков, служба технической поддержки Famatech (support@famatech.com).
5 копеек 25.02.04 23:10  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> > Беда одна - слишком много машин по сети расставлено с
> > радминами, админы которых не в курсе этих проблем.
Это ИХ личные проблемы, имхо. RA ставят не юзеры, а именно админы. Чтобы не бегать с 1-ого этажа на 5-ый, грубо говоря. И если им лень читать новости, ............ -/
Сколько админов (именно АДМИНОВ), установив те же в2к или хп, оставляют ВСЕ настройки выни по дефолту, не принимая НИКАКИХ мер для защиты машины?

> Я вот только догадываться начал, что имел ввиду один из
> отвечающих разработчиков на форумах компании Фаматеч. Он
> сказал что мол у радмина 2.1 есть возможность поставить
> задержку, и после этого перебор паролей потеряет свою
> актуальность.
> Он имеет ввиду галку в настройках сервера, которая выводит
> сообщение о том что кто-то долбится и разрешать ему это или
> нет.
> Дословно галка называется Incoming Connection
> Dialog->Auto allow after timeout -> ну и в окошке
> количество секунд. Т.е. просто включаем это дело с хотя бы
> 10 секундами задержки и брутфорс обречен на провал, т.к.
> перебирать придется всю оставшуюся жизнь!
И ещё были советы LordInfidel-а (в том же треде):
A) use the built in filters
B) change the port
C) use NT Security
D) Restrict access to it via a firewall or router acl
Ну и есс-но запись логов.
К сожалению, это оказалось проблемой сотен невинных... 03.03.04 17:10  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
К сожалению, это оказалось проблемой сотен невинных пострадавших от атак.
10 копеек 27.02.04 10:36  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
в очередных обсуждениях проскочило, что взламывающая прога получала за 15 минут доступ к любому радмину, независимо от его пароля. :(
Инфа неподтвержденая, но и не опровергнутая...
Кроме того, есть возможность получить доступ к машине с радмином в момент ее шатдауна - процес это долгий, так что нахулиганить можно успеть. Осталось только научиться машину на перезагрузку пускать.
Вот когда инфа будет неподтвержденной, тогда можно будет... 27.02.04 17:37  
Автор: support@famatech.com Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> в очередных обсуждениях проскочило, что взламывающая прога
> получала за 15 минут доступ к любому радмину, независимо от
> его пароля. :(
> Инфа неподтвержденая, но и не опровергнутая...

Вот когда инфа будет неподтвержденной, тогда можно будет что-то обсуждать. Пока же это просто болтология.

Разумеется, взломанные пароли должны быть серьёзными - взлом пустого пароля или пароля навроде "12345678" или "password" занимает даже не 15, а 5 минут.

> Кроме того, есть возможность получить доступ к машине с
> радмином в момент ее шатдауна - процес это долгий, так что
> нахулиганить можно успеть. Осталось только научиться машину
> на перезагрузку пускать.

Доказательства есть? Если есть, шлите на radmin@radmin.com - будем разбираться.
«Кроме того, есть возможность получить доступ к машине с радмином в момент ее шатдауна» — подробнее можно? 27.02.04 14:48  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
ссылка потерялась, но суть атаки в том, что при выключении... 01.03.04 10:24  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
ссылка потерялась, но суть атаки в том, что при выключении питания (завершении работы) НТ отрубает службы аутентификации раньше, чем закрывает открытые порты. Так что если успеть после отрубания аутентификации подключиться к радмину, то радмин пускает с любым паролем. Сам не пробовал, только читал. Но проверить несложно...
Проверил, получилось ... 10.03.04 17:37  
Автор: Guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Проверил, получилось ...
В момент выключения XP c установленным радмином 2,0
был на несколько милисекунд ;- ) получен доступ.
Все пробовалось вручную. Но можно и автоматизировать ...
Вот только вопрос... Что делать с системой за полсекунды ?
прикольно 12.03.04 00:18  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 12.03.04 00:20  Количество правок: 1
<"чистая" ссылка>
Если НТ в самом деле опускает службы аутентификации рано так может можно просто подключится к компу (NetUseAdd) и расшарить все диски в этот момент (NetShareAdd)? Никто не пробовал? Или же винда отключает RPC вовремя а этот радмин тока висит долго?
Например, сменить пароль радмина 11.03.04 18:27  
Автор: shawk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach