Успех "Атаки на internet",
честно говоря, превзошел все мои ожидания. Конечно, мы приложили к
этому все усилия (отдельное спасибо Городскому
Коту за рекламу в основной рассылке), но тот факт, что в общем-то
весьма специализированная книга через два с небольшим месяца после
выхода возглавила список бестселлеров _года_ на оЗоне,
подвинув вниз Лукьяненко и Страуструпа (не говоря уж о бестселлерах
недели и месяца) - лично меня очень впечатляет.
Надо отдать должное и оЗону - через него уже сейчас ушла весьма
приличная часть первоначального тиража, а ведь не будь его, до читателей
за пределами Москвы и Питера книга добиралась бы гораздо дольше. В
общем, если кому-то нужна success story на тему распространения компьютерной
литературы через Internet, обращайтесь, у нас этого немного есть :)
Сайт же книги пополнился
рецензиями и списком обнаруженных ошибок и опечаток. Так что ежели
вам что-то резануло глаз - не стесняйтесь, присылайте.
троянские
страсти (12.12.1999 00:34:09)
Все не удается уйти от темы
троянцев на софтовых сайтах. Вскоре после выхода предыдущего обзора пришло
такое письмо:
Здравствуйте, Дмитрий,
Раз уж в вашей рассылке inet.hackzone вы упомянули о вирусах, якобы
распрострняемых авторами программ и мало того, ссылка оказалась именно на
мою программу (spdialer), то я позволю
себе несколько замечаний на этот счет. Я надеюсь, что вы сможете
опубликовать эти замечания в вашей рассылке, чтобы пользователи знали,
в чем тут дело:
AVP считает трояном не саму программу, а ее инсталлятор. К слову
сказать, этим инсталлятором пользуются достаточно многие, и все эти
программы, а точнее их дистрибутивы, распознаются AVP как трояны.
Мало того, первый раз такое произошло немногим более месяца назад,
тогда автор инсталлятора обратился к разработчикам AVP с претензией по
поводу выдачи ложного предупреждения. Через пару дней они выпустили
очередное обновление, в котором данное недоразумение было исправлено.
И вот теперь мы видим, что история повторяется.
Так что насчет скептической оценки AVP я полностью с вами согласен.
Видимо, они в погоне за первыми местами на конкурсах антивирусов
позабыли простую истину о том, что ложная тревога часто обходится так
же дорого, как и пропуск цели.
Best regards, Alexander,
spac@dialup.etr.ru
Тут мало что можно добавить. Действительно, недавнее ноябрьское
обновление AVP наделало много шума. Масса программ вдруг стала опознаваться
как троянцы, в то время как некоторые троянцы перестали распознаваться
вообще.
Честно говоря, для борьбы с большинством троянцев было бы достаточно
утилиты, честно отслеживающей попытки записи в некоторые критические места
реестра, каталоги и файлы - причем обязательно с возможностью настройки.
Насколько я понимаю, сейчас наиболее близок к идеалу Jammer, но и у него гибкость настроек
оставляет желать лучшего, хотя авторы вроде бы собирали сделать это давным
давно. Так и подмывает выбрать как-нибудь денек-другой и написать это
самому...
Кстати, со злополучным руссификатором icq, с которого началась последняя
волна паники, и который в итоге вроде как был признан "чистым", все-таки
не все гладко. Весьма убедительные доказательства прислал Aleph:
файлы для исследования мне были независимо присланы двумя
разными людьми, файлы были взяты именно на http://99rus.df.ru/,
о содержавшемся там троянце я уже писал подробно раньше, апдейт AVP
от 20.11.1999 определял 2 (из трех) троянских файлов как Trojan.Psw.Hooker.b
и попытка "замазать" очевидное вызывает серьезную озабоченность.
Разумеется, не стоит иметь дел с "серьезными людьми" с http://99rus.df.ru/,
но для тех кто захочет провести собственное расследование, некоторые данные
по ключевым файлам:
Сигнатуры в левой колонке - MD5 (RSA Data Security Message Digest 5)
Подробнее о Unkeyed hash functions (MDCs) можно прочитать здесь.
Не могу не отметить умелое обращение с терминологией "вполне серьезных
людей"
с http://99rus.df.ru:
> появились подозрения что инсталятор заражен вирусом
Есть очевидная разница между вирусом и троянской программой:
ТРОЯНЦЫ НЕ РАЗМНОЖАЮТСЯ !
Иными словами, готовый программный продукт НЕ может быть "заражен",
125 килобайт троянца должны были быть туда встроены разработчиком,
что и демонстрирует приведенный фрагмент дампа IRSETUP.DAT.
> Подозрения не подтвердились.
А вот еще один фрагмент дампа - из файла PVDS32.EXE
по смещению 0041A060 Hex, где Вы можете найти даже
версию троянца - Hooker v2.4:
pvds32.ex_ FR PE.0041A060 -------- 127269 i Hiew 6.16
(c)SEN
0041A060: 4D 6F 6E 00-53 75 6E 00-48 6F 6F 6B-65 72 20 76 Mon Sun Hooker
v
0041A070: 32 2E 34 00-00 00 00 00-45 72 72 6F-72 00 00 00 2.4 Error
0041A080: 25 73 2C 20-25 32 2E 32-75 20 25 73-20 25 75 20 %s, %2.2u %s %u
0041A090: 25 32 2E 32-75 3A 25 32-2E 32 75 3A-25 32 2E 32
%2.2u:%2.2u:%2.2
0041A0A0: 75 00 00 00-00 00 00 00-77 2B 62 00-72 2B 62 00 u w+b r+b
0041A0B0: 0A 00 00 00-2C 20 50 61-73 3A 20 00-00 00 00 00 , Pas:
0041A0C0: 52 65 73 3A-20 00 00 00-43 61 6E 6E-6F 74 20 63 Res: Cannot
c
0041A0D0: 72 65 61 74-65 20 6E 65-77 20 6C 6F-67 20 66 69 reate new log
fi
0041A0E0: 6C 65 00 00-00 00 00 00-43 61 6E 6E-6F 74 20 6F le Cannot
o
0041A0F0: 70 65 6E 20-6C 6F 67 20-66 69 6C 65-00 00 00 00 pen log file
0041A100: 00 00 00 00-51 55 49 54-0D 0A 00 00-0D 0A 2E 0D QUIT.
0041A110: 0A 00 00 00-0A 3D 3D 3D-45 6E 64 20-4B 65 79 6C ===End Keyl
0041A120: 6F 67 3D 3D-3D 0A 00 00-00 00 00 00-3D 3D 3D 42 og=== ===B
0041A130: 65 67 69 6E-20 4B 65 79-6C 6F 67 3D-3D 3D 0A 00 egin Keylog===
0041A140: 00 00 00 00-3D 3D 3D 45-6E 64 20 4E-65 74 77 6F ===End
Netwo
0041A150: 72 6B 20 50-61 73 73 77-6F 72 64 73-3D 3D 3D 0A rk Passwords===
0041A160: 0A 00 00 00-00 00 00 00-3D 3D 3D 42-65 67 69 6E ===Begin
0041A170: 20 4E 65 74-77 6F 72 6B-20 50 61 73-73 77 6F 72 Network
Passwor
0041A180: 64 73 3D 3D-3D 0A 00 00-00 00 00 00-00 00 00 00 ds===
0041A190: 57 4E 65 74-45 6E 75 6D-43 61 63 68-65 64 50 61
WNetEnumCachedPa
0041A1A0: 73 73 77 6F-72 64 73 00-00 00 00 00-4D 50 52 2E sswords
MPR.
0041A1B0: 44 4C 4C 00-00 00 00 00-48 6F 6F 6B-65 72 27 73 DLL
Hooker's
0041A1C0: 20 49 44 3A-20 25 58 0A-0A 00 00 00-00 00 00 00 ID: %X
1Help 2PutBlk 3Edit 4Mode 5Goto 6 7Search 8Header 9Files
10Quit
В своем первом письме я приводил CRC32 для всех файлов, но, поскольку
CRC32 может быть легко подделана, сейчас я использовал высоконадежный
метод идентификации.
Утилиту для вычисления MD5 можно взять здесь:
http://members.xoom.com/softtalk/mdx.exe (15,607)
Такие дела. Не хотел бы я пользоваться этим руссификатором. Впрочем, я
вообще не очень люблю как локализованные программы, так и саму icq (скорее
всего, я еще потопчусь по последней чуть попозже).
Закрывая на сегодня тему троянцев, еще одно письмо от Aleph'а:
Как все знают, я пишу только о реально существующих троянцах -
где-то уже пойманных и пополнивших коллекцию.
На этот раз я решил сделать исключение.
С некоторым опозданием, попалось письмо из архивов русскоязычной
конференции SW-RUS на близкую мне тему с недвусмысленными
рекомендациями.
Привожу его полностью.
Полагаю, ни содержание ни лексика письма в комментариях не нуждаются.
> Date: Ср, 24 ноя 1999 11:15:36
> От: "Igor Afanasyev"
> Кому: swrus@onelist.com
> Тема: RPG again
>
--------------------------------------------------------------------------------
>
> From: "Igor Afanasyev"
>
> Hello, All!
>
> DA> Мда:
> [skipped]
> DA>
+----------------------------------------------------------------------------+
> DA> | Cracking:
|
> DA> |
|
> DA> | Заказы на слом принимаются только для русского софта! Естественно
мы можем |
> DA> | сломать что угодно - но такой заказ уже не будет бесплатным.
|
> DA> |
|
> DA>
+----------------------------------------------------------------------------+
> DA> | How To Reach Us:
|
> DA> | ~~~~~~~~~~~~~~~~
|
> DA> | EfNet iRC: Join #rpg2000
|
> DA> | WWW: http://www.rpg2000.com.ar
|
> DA> | WWW Mirror: http://www.rpg2000.uz
|
> DA> | WWW Board: coming soon!
|
> DA> | E-Mail: vizit0r@nym.alias.net
|
> DA> | Mailing list: coming soon!
|
> DA>
+----------------------------------------------------------------------------+
>
> Только сегодня узнал, что они крекнули и мою прогу. Поэтому захотелось
> сделать им что-нибудь ужасно нехорошее. Но что реально им можно
> сделать?
>
> И тут меня посетила следующая мысль. Можно нагадить им следующим
> образом:
>
> В программу XXX вставляется модуль, который проверяет, крекнута программа
> или нет (CRC или еще как). Если крекнута, то отсылаем какую-нибудь
> секретную информацию типа логинов/паролей для mailbox'ов пользователя
> на _ИХ_ адрес e-mail. После чего с помпой распространяется пресс-релиз
> через дружественные сайты, о том, что RPG, мать их, не только крекнула
> программу XXX, но и встроила туда троянец. Любой человек, имеющий
> крекнутую версию этой программы, сможет в этом легко убедиться, как
> только запустит что-нибудь типа AtGuard или просто послушает историй
> от людей, которые это уже выяснили. Репутация RPG как крекерской
> группы будет настолько подмочена, что никто не станет пытаться
> запустить патчи к программам, выпущенным этой группой. А если
> несколько авторов (достаточное количество) сделают такие псевдо-трояны
> в своих программах, то люди будут каждый раз думать, воспользоваться ли
> им креком и потом бояться за свою privacy, или пользоваться
> "чистым" ПО.
>
> Представляете, любой крекерской группе прийдется не только собственно
> ломать наши программы, но и вылавливать оттуда троянцев, чтобы
> не портить свою репутацию! :)
>
> Мало того: можно создать некий сайт warez-shmarez.org, куда отсылать
> логины/пароли, если програ запущена под SoftICE. :)
> Заодно будет накапливаться частная информация о тех, по ком плачет
> ломик.
>
>
> Regards,
> Igor Afanasyev
>
> ---------------------------------------------------------
> WATZNEW -- Your Smart Internet Monitoring Agent.
> The best tool to track web site stats, software releases,
> stock quotes, weather, news, mailboxes and more!
> - Get more info at http://watznew.virtualave.net
> - Comments and bug reports send to watznew@mail.ru
> ---------------------------------------------------------
Надо ли добавлять, что я не стану искать крэков к программам
этого автора - я их не возьму даже с приплатой !
--
Большинство руководителей фирм по разработке программного обеспечения
рассматривают Microsoft как самую алчную и подлую акулу в океане.
- Roger McName, "Sobering Up", "Upside", March 1993
Традиционный вопрос - где заканчивается разумная самооборона и
начинается ...ммм... совсем другое. Различные способы определения взлома и
применение в этом случае каких-то мер по нарушению функционирования
программы, конечно, имеют право на жизнь и, более того, активно
используются. Но существует некая грань, при переходе за которую доверие к
автору может быть подорвано напрочь. К слову, CRC программы может быть
изменен, например, из-за заражения ее вирусом. Представьте себя на месте
несчастного пользователя - мало, что придется вычищать со своей машины
всякую дрянь, а тут еще и честно купленные программы взбунтуются и дружно
отошлют его пароли.
Pref
News (8.12.1999 02:58:59)
Посыпаю голову пеплом, но я опять
затянул с выкладыванием новостей,
которые в итоге перестали быть таковыми. А новость заключалась в том,
что на странице Pref News
разыгрывались
неплохие книги по программированию:
- Writing Apache Modules with Perl and C
- JavaScript Application Cookbook
- Mastering Algorithms with Perl
Впрочем, ребята обещают проводить такие розыгрыши и в будущем.
Собираемая Алексом Фарбером в течение двух лет подборка материалов
по Perl'у, Python'у, Unix и базам данных недавно окончательно приобрела
вид электронного журнала, неуловимо напоминающего slashdot. Ведущие
- Алекс Фарбер и Антон Березин. Масса очень вкусной информации, притом
постоянно обновляющейся. Скажу честно, это один из немногих сайтов
в моих закладках, на которые я регулярно наведываюсь.
Кстати, меня всегда интересовало, имеет ли лежащий по соседству
преферанс что-то общее со старым
добрым ПрефКлубом (помню, просидел в нем все лето в 92-м...). Выяснилось,
что нечто общее есть - карты и логотипы, нарисованные одним из авторов
ПрефКлуба Максимом Труханом, icq-интервью с которым лежит по
соседству. Наконец, скачать оригинал ПрефКлуба и поностальгировать
вволю можно тут.
NT
сертифицирована на C2 (3.12.1999 22:02:54)
Ну что ж, за три
месяца до выхода следующей версии NT4 была сертифицирована
согласно уровню защищенности C2. До сих пор сертифицирована была
лишь NT3.5 с установленным третьим, если не вру, сервис паком, в
конфигурации,
отключенной от сети. На сей раз сертифицированы шесть конфигураций
c установленным SP6a и "C2 Update" hotfix, а именно: PDC, BDC,
member/non-member
server, domain member|non-domain member workstation - т.е. все реальные
ситуации этой сертификацией охвачены.
Рекомендации по доведению системы до C2 прилагаются.
Некоторые забавные моменты: при установке системы рекомендуется не
ставить IIS и отключить NetBIOS, из видеодрайверов годится только
vga.sys...
Также в web-версии обзора: - еще один
сервер по безопасности - обзору - два года