HackZone-обозрение #82, 12 декабря 1999:

Успех "Атаки на internet", честно говоря, превзошел все мои ожидания. Конечно, мы приложили к этому все усилия (отдельное спасибо Городскому Коту за рекламу в основной рассылке), но тот факт, что в общем-то весьма специализированная книга через два с небольшим месяца после выхода возглавила список бестселлеров _года_ на оЗоне, подвинув вниз Лукьяненко и Страуструпа (не говоря уж о бестселлерах недели и месяца) - лично меня очень впечатляет.

Надо отдать должное и оЗону - через него уже сейчас ушла весьма приличная часть первоначального тиража, а ведь не будь его, до читателей за пределами Москвы и Питера книга добиралась бы гораздо дольше. В общем, если кому-то нужна success story на тему распространения компьютерной литературы через Internet, обращайтесь, у нас этого немного есть :)

Сайт же книги пополнился рецензиями и списком обнаруженных ошибок и опечаток. Так что ежели вам что-то резануло глаз - не стесняйтесь, присылайте.

---

троянские страсти (12.12.1999 00:34:09)

Все не удается уйти от темы троянцев на софтовых сайтах. Вскоре после выхода предыдущего обзора пришло такое письмо:

Здравствуйте, Дмитрий, Раз уж в вашей рассылке inet.hackzone вы упомянули о вирусах, якобы распрострняемых авторами программ и мало того, ссылка оказалась именно на мою программу (spdialer), то я позволю себе несколько замечаний на этот счет. Я надеюсь, что вы сможете опубликовать эти замечания в вашей рассылке, чтобы пользователи знали, в чем тут дело: AVP считает трояном не саму программу, а ее инсталлятор. К слову сказать, этим инсталлятором пользуются достаточно многие, и все эти программы, а точнее их дистрибутивы, распознаются AVP как трояны. Мало того, первый раз такое произошло немногим более месяца назад, тогда автор инсталлятора обратился к разработчикам AVP с претензией по поводу выдачи ложного предупреждения. Через пару дней они выпустили очередное обновление, в котором данное недоразумение было исправлено. И вот теперь мы видим, что история повторяется. Так что насчет скептической оценки AVP я полностью с вами согласен. Видимо, они в погоне за первыми местами на конкурсах антивирусов позабыли простую истину о том, что ложная тревога часто обходится так же дорого, как и пропуск цели. Best regards, Alexander, spac@dialup.etr.ru

Тут мало что можно добавить. Действительно, недавнее ноябрьское обновление AVP наделало много шума. Масса программ вдруг стала опознаваться как троянцы, в то время как некоторые троянцы перестали распознаваться вообще.

Честно говоря, для борьбы с большинством троянцев было бы достаточно утилиты, честно отслеживающей попытки записи в некоторые критические места реестра, каталоги и файлы - причем обязательно с возможностью настройки. Насколько я понимаю, сейчас наиболее близок к идеалу Jammer, но и у него гибкость настроек оставляет желать лучшего, хотя авторы вроде бы собирали сделать это давным давно. Так и подмывает выбрать как-нибудь денек-другой и написать это самому...

Кстати, со злополучным руссификатором icq, с которого началась последняя волна паники, и который в итоге вроде как был признан "чистым", все-таки не все гладко. Весьма убедительные доказательства прислал Aleph:

файлы для исследования мне были независимо присланы двумя разными людьми, файлы были взяты именно на http://99rus.df.ru/, о содержавшемся там троянце я уже писал подробно раньше, апдейт AVP от 20.11.1999 определял 2 (из трех) троянских файлов как Trojan.Psw.Hooker.b и попытка "замазать" очевидное вызывает серьезную озабоченность. Разумеется, не стоит иметь дел с "серьезными людьми" с http://99rus.df.ru/, но для тех кто захочет провести собственное расследование, некоторые данные по ключевым файлам: Сигнатуры в левой колонке - MD5 (RSA Data Security Message Digest 5) Подробнее о Unkeyed hash functions (MDCs) можно прочитать здесь. Собственно инсталлятор (SFX-архив): 171518a46fb44682a131c0e522662dfe MD5 ICQ99B.EXE 2,135,654 00:20:16 17-Nov-1999 Файлы во временной директории %TEMP% в процессе инсталляции: e251836ec49415049caf100541a3b75c MD5 IRSETUP.EXE 385,024 20:42:10 1-Nov-1999 c32b7d0a1bdb454934034ab44c6a8f42 MD5 IRSETUP.DAT 9,627 20:32:28 23-Nov-1999 14bf62b17c9ac663d806317a089cf679 MD5 IRSETUP.INI 59 20:42:10 21-Nov-1999 Подделать эти сигнатуры, будем говорить, невозможно, и их изменение - свидетельство того, что файлы были заменены. Часть дампа файла IRSETUP.DAT со смещения 00000520 Hex, демонстрирующая скрипт, ответственный за установку троянца (файлы pvds32.exe и explorer.exe) irsetup.dat FR 00000660 -------- 9627 ╛ Hiew 6.16 (c)SEN 00000520: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00 00000530: 00 00 00 00-00 00 00 00-00 00 00 01-80 13 44 3A АD: 00000540: 5C 69 63 71-39 39 5C 70-76 64 73 33-32 2E 65 78 \icq99\pvds32.ex 00000550: 65 0A 70 76-64 73 33 32-2E 65 78 65-08 44 3A 5C epvds32.exeD:\ 00000560: 69 63 71 39-39 03 65 78-65 00 25 F1-01 00 20 12 icq99exe %е 00000570: A5 1B 38 00-F0 31 38 12-A5 1B 38 00-00 00 00 00 е8 Е18е8 00000580: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00 00000590: 00 00 00 00-0F 25 57 69-6E 44 69 72-25 5C 73 79 г%WinDir%\sy 000005A0: 73 74 65 6D-00 00 00 00-00 00 00 00-00 00 00 00 stem 000005B0: 00 00 00 04-4E 6F 6E 65-00 00 00 00-00 01 01 00 None 000005C0: 00 00 00 00-00 FF FF FF-FF 00 00 00-00 00 00 40 @ 000005D0: 49 00 00 75-CE A0 B0 00-00 00 00 00-00 00 00 00 I u+а- 000005E0: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00 000005F0: 00 00 00 00-00 00 00 00-00 00 00 00-01 80 15 44 А╛D 00000600: 3A 5C 69 63-71 39 39 5C-65 78 70 6C-6F 72 65 72 :\icq99\explorer 00000610: 2E 65 78 65-0C 65 78 70-6C 6F 72 65-72 2E 65 78 .exe explorer.ex 00000620: 65 08 44 3A-5C 69 63 71-39 39 03 65-78 65 00 8B eD:\icq99exe Л 00000630: 3F 00 00 20-08 7B 1C 38-00 F0 31 38-96 74 2B 38 ? {8 Е18Цt+8 00000640: 00 00 00 00-00 00 00 00-00 00 00 00-00 00 00 00 00000650: 00 00 00 00-00 00 00 00-00 03 43 3A-5C 00 00 00 C:\ 00000660: 00 00 00 00-00 00 00 00-00 00 00 00-04 4E 6F 6E Non 00000670: 65 00 00 00-00 00 01 01-00 00 00 00-00 00 FF FF e 00000680: FF FF 00 00-00 00 00 00-7D 38 00 00-C4 6D 1A E7 }8 -mч 1Help 2PutBlk 3Edit 4Mode 5Goto 6 7Search 8Header 9Files 10Quit Не могу не отметить умелое обращение с терминологией "вполне серьезных людей" с http://99rus.df.ru: > появились подозрения что инсталятор заражен вирусом Есть очевидная разница между вирусом и троянской программой: ТРОЯНЦЫ НЕ РАЗМНОЖАЮТСЯ ! Иными словами, готовый программный продукт НЕ может быть "заражен", 125 килобайт троянца должны были быть туда встроены разработчиком, что и демонстрирует приведенный фрагмент дампа IRSETUP.DAT. > Подозрения не подтвердились. А вот еще один фрагмент дампа - из файла PVDS32.EXE по смещению 0041A060 Hex, где Вы можете найти даже версию троянца - Hooker v2.4: pvds32.ex_ FR PE.0041A060 -------- 127269 i Hiew 6.16 (c)SEN 0041A060: 4D 6F 6E 00-53 75 6E 00-48 6F 6F 6B-65 72 20 76 Mon Sun Hooker v 0041A070: 32 2E 34 00-00 00 00 00-45 72 72 6F-72 00 00 00 2.4 Error 0041A080: 25 73 2C 20-25 32 2E 32-75 20 25 73-20 25 75 20 %s, %2.2u %s %u 0041A090: 25 32 2E 32-75 3A 25 32-2E 32 75 3A-25 32 2E 32 %2.2u:%2.2u:%2.2 0041A0A0: 75 00 00 00-00 00 00 00-77 2B 62 00-72 2B 62 00 u w+b r+b 0041A0B0: 0A 00 00 00-2C 20 50 61-73 3A 20 00-00 00 00 00 , Pas: 0041A0C0: 52 65 73 3A-20 00 00 00-43 61 6E 6E-6F 74 20 63 Res: Cannot c 0041A0D0: 72 65 61 74-65 20 6E 65-77 20 6C 6F-67 20 66 69 reate new log fi 0041A0E0: 6C 65 00 00-00 00 00 00-43 61 6E 6E-6F 74 20 6F le Cannot o 0041A0F0: 70 65 6E 20-6C 6F 67 20-66 69 6C 65-00 00 00 00 pen log file 0041A100: 00 00 00 00-51 55 49 54-0D 0A 00 00-0D 0A 2E 0D QUIT. 0041A110: 0A 00 00 00-0A 3D 3D 3D-45 6E 64 20-4B 65 79 6C ===End Keyl 0041A120: 6F 67 3D 3D-3D 0A 00 00-00 00 00 00-3D 3D 3D 42 og=== ===B 0041A130: 65 67 69 6E-20 4B 65 79-6C 6F 67 3D-3D 3D 0A 00 egin Keylog=== 0041A140: 00 00 00 00-3D 3D 3D 45-6E 64 20 4E-65 74 77 6F ===End Netwo 0041A150: 72 6B 20 50-61 73 73 77-6F 72 64 73-3D 3D 3D 0A rk Passwords=== 0041A160: 0A 00 00 00-00 00 00 00-3D 3D 3D 42-65 67 69 6E ===Begin 0041A170: 20 4E 65 74-77 6F 72 6B-20 50 61 73-73 77 6F 72 Network Passwor 0041A180: 64 73 3D 3D-3D 0A 00 00-00 00 00 00-00 00 00 00 ds=== 0041A190: 57 4E 65 74-45 6E 75 6D-43 61 63 68-65 64 50 61 WNetEnumCachedPa 0041A1A0: 73 73 77 6F-72 64 73 00-00 00 00 00-4D 50 52 2E sswords MPR. 0041A1B0: 44 4C 4C 00-00 00 00 00-48 6F 6F 6B-65 72 27 73 DLL Hooker's 0041A1C0: 20 49 44 3A-20 25 58 0A-0A 00 00 00-00 00 00 00 ID: %X 1Help 2PutBlk 3Edit 4Mode 5Goto 6 7Search 8Header 9Files 10Quit В своем первом письме я приводил CRC32 для всех файлов, но, поскольку CRC32 может быть легко подделана, сейчас я использовал высоконадежный метод идентификации. Утилиту для вычисления MD5 можно взять здесь: http://members.xoom.com/softtalk/mdx.exe (15,607)

Такие дела. Не хотел бы я пользоваться этим руссификатором. Впрочем, я вообще не очень люблю как локализованные программы, так и саму icq (скорее всего, я еще потопчусь по последней чуть попозже).

Закрывая на сегодня тему троянцев, еще одно письмо от Aleph'а:

Как все знают, я пишу только о реально существующих троянцах - где-то уже пойманных и пополнивших коллекцию. На этот раз я решил сделать исключение. С некоторым опозданием, попалось письмо из архивов русскоязычной конференции SW-RUS на близкую мне тему с недвусмысленными рекомендациями. Привожу его полностью. Полагаю, ни содержание ни лексика письма в комментариях не нуждаются. > Date: Ср, 24 ноя 1999 11:15:36 > От: "Igor Afanasyev" > Кому: swrus@onelist.com > Тема: RPG again > -------------------------------------------------------------------------------- > > From: "Igor Afanasyev" > > Hello, All! > > DA> Мда: > [skipped] > DA> +----------------------------------------------------------------------------+ > DA> | Cracking: | > DA> | | > DA> | Заказы на слом принимаются только для русского софта! Естественно мы можем | > DA> | сломать что угодно - но такой заказ уже не будет бесплатным. | > DA> | | > DA> +----------------------------------------------------------------------------+ > DA> | How To Reach Us: | > DA> | ~~~~~~~~~~~~~~~~ | > DA> | EfNet iRC: Join #rpg2000 | > DA> | WWW: http://www.rpg2000.com.ar | > DA> | WWW Mirror: http://www.rpg2000.uz | > DA> | WWW Board: coming soon! | > DA> | E-Mail: vizit0r@nym.alias.net | > DA> | Mailing list: coming soon! | > DA> +----------------------------------------------------------------------------+ > > Только сегодня узнал, что они крекнули и мою прогу. Поэтому захотелось > сделать им что-нибудь ужасно нехорошее. Но что реально им можно > сделать? > > И тут меня посетила следующая мысль. Можно нагадить им следующим > образом: > > В программу XXX вставляется модуль, который проверяет, крекнута программа > или нет (CRC или еще как). Если крекнута, то отсылаем какую-нибудь > секретную информацию типа логинов/паролей для mailbox'ов пользователя > на _ИХ_ адрес e-mail. После чего с помпой распространяется пресс-релиз > через дружественные сайты, о том, что RPG, мать их, не только крекнула > программу XXX, но и встроила туда троянец. Любой человек, имеющий > крекнутую версию этой программы, сможет в этом легко убедиться, как > только запустит что-нибудь типа AtGuard или просто послушает историй > от людей, которые это уже выяснили. Репутация RPG как крекерской > группы будет настолько подмочена, что никто не станет пытаться > запустить патчи к программам, выпущенным этой группой. А если > несколько авторов (достаточное количество) сделают такие псевдо-трояны > в своих программах, то люди будут каждый раз думать, воспользоваться ли > им креком и потом бояться за свою privacy, или пользоваться > "чистым" ПО. > > Представляете, любой крекерской группе прийдется не только собственно > ломать наши программы, но и вылавливать оттуда троянцев, чтобы > не портить свою репутацию! :) > > Мало того: можно создать некий сайт warez-shmarez.org, куда отсылать > логины/пароли, если програ запущена под SoftICE. :) > Заодно будет накапливаться частная информация о тех, по ком плачет > ломик. > > > Regards, > Igor Afanasyev > > --------------------------------------------------------- > WATZNEW -- Your Smart Internet Monitoring Agent. > The best tool to track web site stats, software releases, > stock quotes, weather, news, mailboxes and more! > - Get more info at http://watznew.virtualave.net > - Comments and bug reports send to watznew@mail.ru > --------------------------------------------------------- Надо ли добавлять, что я не стану искать крэков к программам этого автора - я их не возьму даже с приплатой ! -- Большинство руководителей фирм по разработке программного обеспечения рассматривают Microsoft как самую алчную и подлую акулу в океане. - Roger McName, "Sobering Up", "Upside", March 1993

Традиционный вопрос - где заканчивается разумная самооборона и начинается ...ммм... совсем другое. Различные способы определения взлома и применение в этом случае каких-то мер по нарушению функционирования программы, конечно, имеют право на жизнь и, более того, активно используются. Но существует некая грань, при переходе за которую доверие к автору может быть подорвано напрочь. К слову, CRC программы может быть изменен, например, из-за заражения ее вирусом. Представьте себя на месте несчастного пользователя - мало, что придется вычищать со своей машины всякую дрянь, а тут еще и честно купленные программы взбунтуются и дружно отошлют его пароли.

---

Pref News (8.12.1999 02:58:59)

Посыпаю голову пеплом, но я опять затянул с выкладыванием новостей, которые в итоге перестали быть таковыми. А новость заключалась в том, что на странице Pref News разыгрывались неплохие книги по программированию:
- Writing Apache Modules with Perl and C
- JavaScript Application Cookbook
- Mastering Algorithms with Perl

Впрочем, ребята обещают проводить такие розыгрыши и в будущем.

Собираемая Алексом Фарбером в течение двух лет подборка материалов по Perl'у, Python'у, Unix и базам данных недавно окончательно приобрела вид электронного журнала, неуловимо напоминающего slashdot. Ведущие - Алекс Фарбер и Антон Березин. Масса очень вкусной информации, притом постоянно обновляющейся. Скажу честно, это один из немногих сайтов в моих закладках, на которые я регулярно наведываюсь.

Кстати, меня всегда интересовало, имеет ли лежащий по соседству преферанс что-то общее со старым добрым ПрефКлубом (помню, просидел в нем все лето в 92-м...). Выяснилось, что нечто общее есть - карты и логотипы, нарисованные одним из авторов ПрефКлуба Максимом Труханом, icq-интервью с которым лежит по соседству. Наконец, скачать оригинал ПрефКлуба и поностальгировать вволю можно тут.

---

NT сертифицирована на C2 (3.12.1999 22:02:54)

Ну что ж, за три месяца до выхода следующей версии NT4 была сертифицирована согласно уровню защищенности C2. До сих пор сертифицирована была лишь NT3.5 с установленным третьим, если не вру, сервис паком, в конфигурации, отключенной от сети. На сей раз сертифицированы шесть конфигураций c установленным SP6a и "C2 Update" hotfix, а именно: PDC, BDC, member/non-member server, domain member|non-domain member workstation - т.е. все реальные ситуации этой сертификацией охвачены.

Рекомендации по доведению системы до C2 прилагаются. Некоторые забавные моменты: при установке системы рекомендуется не ставить IIS и отключить NetBIOS, из видеодрайверов годится только vga.sys...

---

Также в web-версии обзора:
- еще один сервер по безопасности
- обзору - два года

---

С первого сентября 1999 г. стартовал V конкурс "КомпьюЛог-Экономика'2000"