BugTraq #3

Xakep, номер #027, стр. 027-008-1

SideX (sidex@xakep.ru)

Подстава от GetRight

Вот уже пару лет пользуюсь и никак не нарадуюсь виндозной качалке - GetRight. Недавно, с выходом беты 4.5, объявилась и бесплатная облегчённая версия "My Getright". Здесь и обнаружился увесистый баг.

Гетрайт, как и большинство других приличных прог для организации download`a, умеет ловить "на лету" клики, автоматически предлагая тебе закачать файл, когда ты кликаешь на линк к нему. Технология называется clicks catching/monitoring. Уязвимость заключается в том, что злоумышленник (хозяин сайта, который ты посещаешь с включённым GetRight`ом) может удалённо управлять твоим даунлоадом, направляя GR на скачку нужного файла и его сохранение в определённом месте на винте жертвы. Замечу, что возможно сохранение с заменой уже существующего файла. Процесс оказывается незаметным для пользователя. Уязвимость актуальна для всех версий My GR до 1.0b.

Фишка в том, что помимо загрузки вызванного пользователем файла, программа поддерживает динамические skin`ы, которые могут меняться в зависимости от места скачки. Скин выбирает хозяин сайта, и полученная графика сохраняется в файле *.dld в тот же каталог, что и закачиваемый файл. Помимо файла графики сохраняется ini файл, который уже может содержать инструкцию на скачку файла с сервера. И никто не помешает прописать дополнительную закачку в файл, которую прога совершит без лишних вопросов. Кроме этого, имеется вторичный баг, позволяющий загрузить нужный файл на винт жертвы уже на этапе запроса файла с сервера. Более подробно читай про это и скачивай листинг процесса с http://neworder.box.sk/showme.php3?id=4135.

АнтиДырка или Save the bugs!

В эксклюзивном интервью Х, tf8 высказался о необходимости сохранения уязвимостей от широких масс. Эта идея становится всё более и более популярной в "верхах" и вызывает гневное негодование "низов". Если перейти от общих слов к конкретной информации, то стоит сообщить, что проект AntiSecurity (http://anti.security.is/index.php?lang=ru), образованный ADM и w00w00 security analyzing teams, выступил с предложением не давать свободного доступа к информации о появляющихся уязвимостях. Резкое решение идеологи объясняют тем, что таким образом можно значительно уменьшить количество взломов за счёт прикрытия доступа к инфе script kiddies`ам. Естественно, предполагают они, багов от этого обнаруживаться будет не меньше, просто их основная часть закончится private-релизами, которые увидят лишь некоторые. Главными "источниками заразы" идеологи считают различные security-новостные ленты bugtraq, регулярно обновляемые сайты о security. В качестве ярчайшего примера приводятся www.securityfocus.com и packetstorm.securify.com. По словам создателей проекта, свободный доступ к информации по уязвимостям и эксплойтам по ним приводит к массовым хаотичным взломам.

Х не может похвастаться однозначным мнением по этому вопросу. С одной стороны, неплохо обезопасить системы, таким образом подталкивая хакерские команды к большей мозговой активности. Ведь честно говоря, даже самые толковые админы порой прокалываются именно на тех уязвимостях, которые были обозначены за 2 часа до взлома в багтреке. То есть взлом становится не ремеслом, а спортом, когда важнее не ум, а оперативность доступа к инфе. С другой стороны, все вышесказанное абсолютно противоречит концепции хакерства. Информация должна быть доступной! Ещё в манифесте "Save the bugs" говорилось, что "настоящие хакеры постоянно заняты работой, просто мы её не видим". Простите за наглость, но слишком много людей "старой школы" прикрываются этим, заслоняя собственное безделье.