Тётя Ася на тропе войны
Автор: Ramhak (shuloh@leader.zzn.com)
У меня такое впечатление, что Тётя Ася приехала уже ко всем. Численность юзеров аськи - прямое тому подтверждение. Но не секрет, что среди них - до задницы полных чайников, которым по барабану безопасность их информации. А чего им скрывать? "Здравствуй Пусик - Здравствуй, Лапа; Как дела? - Нормально, только что покормила кошечку. - Ой! Как хорошо-то! А я только что выдавил еще 3 прыща - Ой! Замечательно! Как все хорошо!". Вот из-за такого отстоища - страдаем и мы, потому как ребята из Мираблиса - не парятся о защите таких юзеров. А чего париться, ведь ламеркам - безопасность фиолетова. Но мы-то с тобой не придурки и подставляться не будем. Поэтому давай побачим о защите аськи. А главное - о нападении, потому как сетевые войны к этому обязывают. Особенно учитывая то, что куча придурков выпендриваются перед тобой именно по аське. Кончай беспредел! Наведём порядок и тут.
С чего начинается...
Как с самого начала никто из Mirabilis не занимался безопасностью, так до сих пор и не занимается. А чего им париться? Они лавэ подняли и теперь заботятся только о новых "усовершенствованных" версиях. Вот и латают дырку за дыркой, уже после того как инфа об этих дырках разлетится по всему Инету. А злобные дядьки-хакеры продолжают постоянно рожать новые exploit`ы, позволяющие снова и снова обмануть наивную тётю Асю. А отсюда - все больше появляющихся троянов, спуферов, флудеров. Единственное, что пока спасает тетеньку Асю - ее популярность и доступность. Но и это все может сдохнуть, потому как появилось большое количество подобных прог, но с более богатым содержанием и гораздо более защищенных. Но они будут популярны только в будущем, а Y2K мы встретим со старой доброй Асей.
Коннект
Работа ICQ построена на трех китах - сервак (icq.mirabilis.com), клиент (прога, которую юзер ставит себе на комп) и, собственно, "виновник торжества" - сам юзер. Чтобы что-нибудь в асе хакнуть, нужно представлять себе работу всей этой троицы. И не парься, ничего сложного тут нет, все просто. Для начала юзер должен зарегиться на сервере аськи и ответить на вопрос - "действительно ли он user с паролем password?". Общение с серваком идёт по протоколу UDP, который вообще не защищен, и поэтому любую посылаемую инфу можно легко подделать. Каждый UDP-пакет должен быть подтвержден сервером, если этого не происходит 6 раз подряд, дается вторая попытка (все с начала), и после нее обрыв соединения. В процессе коннекта аська-клиент посылает IP-адрес тачки, номер порта, зарезервированный под аську, пароль и контакт-лист юзера. После подключения клиент постоянно посылает серверу вялые реплики "я еще здесь", которые говорят серверу о том, что юзер еще в он-лайне, а клиенту, что сервер не в отключке, а бодр и весел как никогда.
При стандартных настройках общение с другими юзерами происходит TCP пакетами, в отличие от всех остальных случаев, когда используется UDP. Когда юзверь получает сообщение, клиент открывает TCP-соединение, которое стоит до тех пор, пока один из этих двух болтунов не уйдет в оффлайн.
Это базовый набор знаний о том, как осуществляется связь клиент-сервер ICQ. Я же говорил, что ничего сложного тут нет. Но если ты хочешь узнать больше, то я не буду тебя грузить всякими заумностями, а посоветую сходить на
http://astalavista.box.sk - лучший поисковик для настоящего хацкера, и
www.rootshell.com - лучший сервер exploit`ов!
Ваш пароль!?
Пароли аськи - одно из самых слабых мест в защите. Все они хранятся открытым текстом в специальных .dat файлах. Чтобы их извлечь, существует специальная прога, её можно найти на
www.progenic.com. Получить такой файл можно было также используя ICQ и ее сервис (появившийся в версии ICQ99a) web-aware. Эта фича позволяет создать у себя на винте подсервер
www.icq.com, который позволяет делать множество вполне приятных вещей. Например, быстро залить файло, обновления, слежение за страницами с оповещением, когда кто-нибудь заходит на них. Но это все шняга, главное - это то, что тот же самый сервис позволяет кул хацкерам вломиться на твой комп, хотя бы тем же телнетом. После этого взломщик получит доступ к содержимому винта и перехватит нужное файло, например
get c:/..../.html/windows/user.pwl
или get c:/..../.html/progra~1/icq/db99b/em#UIN#.dat
Запись с четырьмя точками необходима, чтобы обойти защиту сервера - он не позволяет скачивать файлы с расширениями, отличными от jpg, gif, html. Правда, в более поздних версиях ICQ-клиентов эту дыру заткнули, и при подключении кул хацкера ему выползет "connection refused", и коннект обрубится.
Кроме того, в той же версии был второй огромный баг: на все пароли накладывается ограничение - они не должны быть длиннее 8 знаков. И если при подключении юзера сервер получал более длинный пароль - он считался введенным правильно, и юзер подключался независимо от того, что он там нагнал. Прикинь, как классно! Пишешь прогу, которая эмулирует основные команды Аси, делаешь так, чтобы UIN и пароль ты вводил ручками (причем пароль до 10 символов). Коннектишься, вводишь вместо пароля любые 10 символов и, если юзер не в онлайне, то ты заходишь под его номером. Все! Меняй пароль, и тетя Ася твоя!
С пуфиком или Spoofing?
Спуфинг - термин, обозначающий подмену, надувательство, в данном случае ложное определение юзера, подключающегося к аське. В общем, полное динамо.
Спуфинг стал возможен, поскольку аська принимает сообщения с любого IP-адреса, а не только с сервера, при стандартных настройках. И поэтому подделать сообщение от другого юзера - не составляет труда.
Проделать спуфинг без вспомогательных утилит гиморрно: необходима прога, которая будет создавать TCP-пакеты, косить под асю и игнорировать её рулесы. Таких прог офигенно много. Например, LameToy позволяет посылать мессаги и мусор от имени других юзеров, ICQProof - только мессаги. Пока я скачивал эти спуферы, напоролся на ICQ Watch v.6. Это неплохая фишка для защиты собственной аськи от всякого рода icq-снифферов.
Пудинг или Flooding?
Ну, здесь само название говорит за себя. "Забить" врага мессагами с пожеланиями ему и его маме долгого здоровья. Для этого тебе надо только знать UIN "старого доброго друга". Простейший способ сделать такое безобразие - тыкать кнопки, утешая себя мыслью, что ему придется тыкать их не меньше. Но есть способ лучше!!! Ведь можно слить специальную утилитку, позволяющую дублировать сообщения. Flooding очень прост в реализации, достаточно только составить одну мессягу для отправки, и флудер будет ей мочить врага, пока момед не устанет. Таких флудеров немерено, например ICnewQ 3.0 Beta 4 (может даже выбить ICQ в офф-лайн), ICQ Flooder и ICQ Message Flooder (мечут бомбы со случайных UIN номеров), ICQ Pager Beta 1 и ICQRevenge (использует ICQ pager - фичу сервера аськи, позволяющую отправлять ICQ-сообщения, не имея собственной аськи - для бомбометания с различных почтовых адресов), XiCQ2 (флудер для чатов).
Тетя Ася хочет ПИПИ
Ты, конечно, уже ломанулся все это дло качать, но забыл, что существует еще и понятие "защита". Ты что, думаешь, ты один такой? Вовсе нет. Поэтому нужно подумать, как оградить себя от не менее злобных товарищей. Первым делом можно слить deflooder - утилитку для аськи, которая удалит все непочтенные сообщения. Вполне подойдут ICQ bombsquad, ICQ deflooder, ICQ SWAT или фирменный WarForge ICQBomb Protection System. Взять их можно с
www.warforge.com . Вообще - самый простой метод защиты от флуда: поставить галку в Messeges only from user from my contact list.
Ну, защитить-то ты защитишь, а вот как узнать, кто же был тот мерзавец, который посмел на тебя наехать? Легко! И ничего качать не нужно. Есть в Windows такая штучка, как netstat (Пуск -> Выполнить -> netstat.exe). С его помощью можно запросто определиться: что, где, когда и с каким IP. Чтобы определиться с соединениями, нужно вызвать netstat с опцией a:
c:\mycoolwindows> netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP mycooluser enemy.pz.231 CONNECTED
UDP coolhacker:1026 *:*
UDP coolhacker:nbname *:*
UDP coolhacker:nbdatagram *:*
То, что стоит под foreign address, - адреса тех, кто находится по ту сторону баррикад. Но это - шпионаж за IP-адресом, а вот как узнать UIN, зная IP? Вот здесь как раз просто netstat`ом и асей не обойтись - нужен спуфер. Уже догадался? Спуфером можно послать сообщение (используя собственный UIN) на известный IP с таким расчетом, что с той стороны обязательно ответят. Главное, выбрать фразу, на которую человеку с той стороны соединения обязательно захочется ответить. И тогда ответ придет на указанный в спуфере UIN - к тебе. Всё - UIN жертвы есть, IP есть... что еще нужно человеку для счастья?
Купила мама коника, а коник асю спёр!
Ты прав: сейчас мы вспомним про трояны, но не про всякие Pozovi Coceda. Эти - тулзы для ламеров. И потом, если все будут использовать один и тот же троян - какая от него будет польза? Так что, чтобы чего-то добиться, нужно хотя бы использовать малоизвестные трояны. Порывшись на сайтах различных вирмейкерских групп, я нашел объекты, достойные внимания. Оба валялись в куче с аналогичными на
http://www.multimania.com/cdc. Один из них - Hack`a`Tack Client 1.20. Состоит из двух частей - клиента и сервера. Сервак запускается на машине жертвы и в дальнейшем предоставляет кучу разных фич, одной из которых является поиск и передача паролей аси. Весит немного, инсталлируется прописью в реестре, в разделе загрузки программ, как explorer32. Есть стандартные крутые феньки, которые ты мог видеть у супер троянца САБ7 - возможность чатиться с клиентом и вытворять всяческие безобразия с его виндовым десктопом. А так - обычный набор джентльмена удачи.
Второй из выбранных мною троянцев - Indoctrination v.1. Состоит из одного модуля и не предоставляет он-лайнового доступа. Всю снимаемую инфу сгружает в почтовый ящик, делая это только по субботам, четвергам и пятницам. Маскируется под msgsrv16, прописывая себя везде, куда только его короткие мохнатые лапки достанут.
Аська - стукачка
То, что аська - сладенькая штучка, никто не сомневался. Но ты-то понимаешь, что аська, как и вынды - представляет собой одну большую дыру! Тема защиты и нападения по аське не закрыта. Едва ли можно поставить точку. Поэтому ставлю многоточие...
Занимательная статейка, не правда ли... =)