Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BuqTraq: Обозрение #107, 31.12.2000


Служба Рассылок Subscribe.Ru проекта Citycat.Ru
HackZone.Ru

RC5 HackZone Team

HackZone.Ru/TOP



Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Alert
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
HackZone.Ru: новости сайта
Новости 911
ЕжеПравда
Новости из мира распределенных систем

BugTraq: Обозрение #107, 31 декабря 2000:


crack.ru vs swrus (31.12.2000 01:06:13)

Этот выпуск должен был быть не слишком оригинальным - ну что еще ожидать 31 декабря. Однако ж на днях случилась любопытная история с форумами crack.ru, посему я быстренько поздравляю вас с окончательно наступающим новым годом/веком/тысячелетием и предоставляю слово Андрею Малышеву. Мой небольшой комментарий - в конце.

История с crack.ru или атака, которой не было

28 декабря 2000 года WEB-форум российского сайта crack.ru был переведен в режим "read only". Владельцы сайта мотивируют это действие произведенной атакой на сайт, инициированной российской группой разработчиков программного обеспечения (swrus). Поскольку я имею отношение к этой группе, а также был непосредственным исполнителем этого действия, хочу прояснить ситуацию. Эта статья не является официальной позицией всей группы SWRUS. Эта статья не отражает официальное отношение к проблеме компании Элкомсофт, сотрудником которой я являюсь.

Посмотрим, что же пишут сами владельцы сайта, и в чем обвиняют сообщество российских программистов. "Мы временно прекращаем постинги на наш форум, в связи с мощной спаммерской атакой, предпринятой 28 декабря 2000 года, до выяснения всех обстоятельств этого дела. Форум пока работает в режиме "только чтение" и доступен на этой странице. О причинах подробно: "

Давайте посмотрим, что же авторы этих строк подразумевают под "мощной спамерской атакой". Наверное, необходимо ввести читателя в курс дела для более полного понимания сущности проблемы. SWRUS - это название приватного списка рассылки, который был создан для общения между российскими производителями программ, распространяющихся по принципу "shareware". Подписка на этот мейл-лист премодерируемая, каждая кандидатура рассматривается модератором. Многие подписчики SWRUS лично знакомы друг с другом.

Теперь о форуме crack.ru. Это WEB-форум, созданный как "приложение" к поисковой системе crack.ru, которая индексирует сайты warez/crack/hack и подобные сайты. Форум без четко определенной тематики и каких-либо правил и ограничений на постинг сообщений. Недавно многими подписчиками SWRUS на форуме crack.ru были обнаружены серийные номера к их программным продуктам, добытые путем мошенничества с кредитными картами. О чем было сообщено как администрации crack.ru, так и хостинг-провайдеру, у которого находится сервер. Администрация crack.ru ответила, что их сервер чисто информационный, и за содержание своего форума они ответственности не несут. Провайдер (Zenon NSP) занял нейтральную позицию, однако разобрался в ситуации и переговорил с администрацией crack.ru. После чего было заявлено, что каждый разработчик имеет право подать комлейн на конкретное сообщение в форуме. Такие комплейны были поданы, однако ни одного сообщения не было удалено. Напротив, модератор форума счел нужным удалять сообщения, написанные программистами.

Я неоднократно пытался писать в форум о проблемах "шароварщиков", о их доходах, о семьях, живущих от продажи программ. Это уже тема совсем для другой статьи, однако ни одно из этих сообщений не было пропущено в форум. Так началось противостояние "SWRUS против crack.ru".

"Атака" началась так: утром 28 декабря я увидел в форуме десяток сообщений с одной и той же темой, посланные в течение 5 минут. Сам форум устроен так, что новые сообщения появляются сверху и "вытесняют" с первых мест все, что было написано ранее. В знак протеста против публикации ворованных серийных номеров я решил поместить в форум лицензионное соглашение компании Microsoft. Это не запрещено правилами форума, администрация сайта не удаляет даже сообщения, содержащие нецензурные слова и оскорбительные для читателей. Правда, "фильтр русского мата" туда прикручен, но кто не знает как его обойти ?

Поскольку постинг одного сообщения невозможен без "предпросмотра", я решил создать форму, позволяющую постить сообщения напрямую. Форма была создана и до сих пор находится по адресу http://www.passwords.ru/joke/cru.html. На случай, если еще кому-то будет нужна такая возможность, я сообщил об этой форме в приватный форум SWRUS. Любой человек, совершенно добровольно, мог зайти на страницу и послать сообщение в форум SWRUS. В процессе тестирования я сам послал несколько сообщений. Где-то через 15 минут скрипт форума crack.ru перестал отвечать на какие-либо запросы. Честно говоря, меня это удивило. Через час я обнаружил, что форум переведен в режим "read only". По статистике моего сервера на страницу зашло около 60 человек.

Вот в этом и заключалась та "мощная спамерская атака", о которой говорят владельцы crack.ru. Теперь давайте разберемся в этой формулировке. Во-первых, "мощным" я бы это действие не назвал. Во-вторых, почему спамерская ? Спам подразумевает посылку сообщений, нежелательных для получателя. А здесь и получателя как такового нет, да и "желательность" определить очень трудно. Сообщения не приходят в почтовые ящики, каждый пользователь сам принимает решение по поводу прочтения сообщения, выложенного на WEB-страницу. И в-третьих: почему постинг нескольких сообщений в форум назван атакой ? Когда постят сотни и тысячи сообщений с украденными номерами, это не атака ? На основании этого я делаю вывод что "атака" была придумана специально для "наезда" на подписчиков SWRUS. Я специально написал такую длинную предысторию, ибо иначе понять суть проблемы невозможно.

"Наезд" был сделан следующим образом. На главную страницу форума была выложена переписка (в том числе и приватная) подписчиков SWRUS. Специально выдернутые из контекста обсуждения письма, которые подтверждают, что "плохие" программисты хотят закрыть "хороший" crack.ru. Этого никто и не скрывал на самом деле. Все идеи были высказаны открыто. Жалко только, что у владельцев crack.ru напрочь отсутствует совесть, и они выложили на публичный сайт личную переписку. Там же был опубликован список "спамеров" - собственно логи "атаки". Провайдеру каждого "спамера" был отправлен комплейн с заголовком "A hacker attack". Письма с адресами (хорошая цель для спамеров) до сих пор лежат на главной странице форума.

В общей сложности, если верить владельцам crack.ru, сервер лег из-за пары сотен писем длиной в 5 килобайт. По их же словам, пострадали и остальные проекты, расположенные на той же машине. Однако во время "атаки" я специально проверял эти сайты (www.bkc.ru, www.referat.com, www.study.ru). Все они были доступны и работали в нормальном режиме. Не работал только форум crack.ru.

Теперь мои мысли по поводу произошедшего. Это только предположения, но все же... Сам сервер принадлежит компании BKC, крупной американской фирме, организовавшей в России курсы английского языка. Сайт crack.ru - это личная инициатива админа (ну не верю я, что такому "монстру" нужно крутить баннеры на сайте подозрительного содержания). В свете произошедшего конфликта админу обязательно было нужно показать себя "жертвой". Что он и сделал. Теперь на все вопросы (а мы пытаемся разрешить конфликт и путем переговоров) он будет отвечать "а они нас спамили". Причем здесь явная попытка "подставить" конкретных людей. Например, в мой почтовый ящик недавно свалилось порядка 5 мегабайт спама (видимо кто-то из подписчиков crack.ru "постарался"), пытались спамить и мейл-лист SWRUS. И в конце концов мы видим откровенно издевательские слова в конце описания "атаки". "Адреса, имена, фамилии инициаторов не публикуются здесь по этическим соображениям...". Это после публикации личной переписки со всеми координатами !

Андрей Малышев, компания Элкомсофт.

В данном случае меня гораздо больше интересует техническая сторона вопроса (писать о противостоянии между авторами программ и их взломщиками можно сколько угодно, аргументы обеих сторон в общем-то известны /воровать плохо/будем покупать, когда будут деньги/не даете подниматься цивилизованному рынку ПО/надо ж учиться на каком-то софте/ и т.д., до бесконечности/).

Увы, но аргументы crack.ru действительно свидетельствуют либо о неуклюжей попытке перевести стрелки, либо о не слишком высокой квалификации. Судя по логу, за три с половиной часа на форум было добавлено что-то около трех сотен сообщений. Для блокировки сервера явно маловато. С другой стороны, исправно работающий форум, забитый мусором - штука тоже малоприятная. Однако, судя по логу, скрипт форума не делал элементарной проверки referer (на пальцах - проверка адреса страницы, с которой запускался скрипт и отказ от работы, ежели он запущен с другого сервера). Не бог весть какая защита, потому как указание корректного referer - дело доброй воли http-клиента и никто не мешает написать мааленький скрипт на perl, подделывающий любые поля http-запроса, включая и referer. Но для MSIE, преимущественно фигурирующего в логах, этого бы хватило. Естественно, возникает вопрос, как бороться с более серьезной атакой. Увы, панацеи нет и, как обычно, речь может идти лишь о максимальном затруднении действий атакующего. Схема примерно такая же, как и при защите от накруток, тема которых периодически поднималась в обзорах - блокировка повторных вызовов скрипта в течение некоторого интервала и блокировка прямых вызовов скрипта (минуя форму), густо замешанные на запоминании ip, установке cookie, установке случайных значений hidden-полей и т.п. Интересующихся подробностями отсылаю к старым обзорам, либо к следующему изданию "Атаки на Internet", выходящему этой весной :)

На сегодня - все. Еще раз, с наступающим.







Ведущий рассылки - Дмитрий Леонов
http://www.compulog.ru, http://www.hackzone.ru



http://subscribe.ru/
E-mail: ask@subscribe.ru
Поиск

В избранное