Xpoint
   [напомнить пароль]

ICQ-троянец

Метки: [без меток]
2004-02-24 16:06:25 [обр] Александр Носов(0/9)[досье]

Получил по ICQ ссылку: http://www.jokeworld.biz/index.html :)) LOL (Не спешите кликать по ней)
По наивности сразу же кликнул по ней... И сразу-же те из моих сотрудников, кто есть в моем контакт-листе начали спрашивать зачем я прислал им эту ссылку. Хотя я им ничего не посылал!

Оказалось, что на этой странице есть некий Java-апплет который проделывает вышеназванную процедуру.

У некоторых из моих знакомых Касперский сообщил о неком троянце. Хотя у меня несмотря на все последние апдейты он молчал.

Хотелось-бы узнать, что кто слышал о подобных троянцах?

спустя 19 минут [обр] Владимир Палант(49/4445)[досье]

Там нет апплета, это просто JavaScript-код, который использует дыру безопасности в IE (метод showHelp()).

Ссылка по теме: http://www.securityfocus.com/archive/1/348521
Может быть, правда, что здесь используется недавно обнаруженая аналогичная дыра (http://www.securityfocus.com/bid/9658/discussion/), но не похоже. Итого: не забывайте патчить свой браузер.

спустя 3 минуты [обр] Александр Носов(0/9)[досье]
Спасибо Владимир!
Я кажется нашел у Касперского по этой-же теме: http://www.viruslist.com/alert.html?id=144676854
спустя 8 минут [обр] Владимир Палант(49/4445)[досье]
сообщение промодерировано
Да, оно самое, так что ищите у себя на диске WinUpdate.exe и aptgetupd.exe. А сайт вроде бы уже прикрыли...
спустя 4 часа 23 минуты [обр] Владимир Палант(49/4445)[досье]
Извините, насчёт патчей я глупость сказал. Патча нет ни для одной, ни для другой дыры. Рекомендуют удалить в Windows Explorer привязку файлов с расширением CHM к hh.exe.
спустя 4 часа 42 минуты [обр] Давид Мзареулян(7/1003)[досье]
Блин! Модераторы! Поменяйте ссылку в первом посте или уберите её вовсе! Представляете, что будет, когда домен снова заработает?!
спустя 2 часа 1 минуту [обр] Владимир Палант(49/4445)[досье]
сообщение промодерировано
Ссылка не работает и уже не заработает — сайт прикрыли. Иначе бы давно поменяли. У Касперского в новых сообщениях этот адрес тоже уже без цензуры.
спустя 7 часов [обр] Александр Носов(0/9)[досье]

Да этот вирус вчера много шуму наделал! Почти во всех новостях о нем писали. :-//

В продолжение этой темы я хотел бы задать еще один вопрос.
Недавно, общаясь с руководителем одной фирмы (нашего партнера), был очень удивлен, что они, имея очень много зарубежных партнеров, совершенно не используют для общения с ними ICQ (imho, такой удобный инструмент для real-time общения). Как объяснил мне этот руководитель, главным противником ICQ у них является их системный администратор, который называет ICQ "большой дырой" в защите их локальной сети. Попытался вытянуть у сисадмина, что он имеет в виду под "большой дырой", но он отказался объяснять...

По своему опыту я знаю, что можно узнать IP-адрес человека (может именно это имел в виду их сисадмин :-)), с которым общаешься, но чтобы можно было сделать что-то еще посредством аськи - не слышал...

Называть дырой то, что было вчера, я бы не стал - главным звеном во вчерашнем вирусе все-таки стал этот злополучный сайт. Аська здесь сыграла косвенную роль: с таким же успехом можно было использовать другие виды пейджеров или e-mail. IMHO, e-mail в этом плане гораздо большая дыра!

Или все-таки ICQ небезопасна и вышеупомянутый сисадмин прав?

спустя 38 минут [обр] Андрей Новиков(8/1242)[досье]
ICQ - одна большая дыра! Писали её студенты, протокол придумали они же. Защиты ноль, безопасности ноль, privacy ноль, надежности ноль.
спустя 50 минут [обр] Даниил Иванов(0/63)[досье]
Андрей Новиков[досье]
А более конкретные притензии к ICQ в плане security можете предъявить? Окромя того, что уже указано в первом постинге?
спустя 2 часа 20 минут [обр] Александр Носов(0/9)[досье]
Андрей Новиков[досье]
Да, хотелось бы конкретно услышать - чем-же так опасна ICQ? А то ваш ответ очень сильно смахивает на то, что мне сказал вышеупомянутый сисадмин. :-)
спустя 4 дня [обр] Ruant(4/359)[досье]
Когда два админа говорят одно и то же, может быть, стоит прислушаться? :)
спустя 5 минут [обр] Виталий Ульченков(22/116)[досье]
К аргументированным заявлениям прислушиваться гораздо приятнее.
спустя 13 минут [обр] Андрей Новиков(8/1242)[досье]
Ну я не могу делать аргументированные заявления, т.к. последний раз интересовался вопросом безопасности аськи года три назад. Согласитесь, за это время наверно что-то изменилось. Но мне пофигу, т.к. для меня этот вопрос пока неактуален. А три года назад, если вы помните, вам могли послать сообщение от вас же, которое нельзя было никак отфильтровать.
спустя 15 минут [обр] hostmaster(0/82)[досье]

В данном случае проблемы в безопасности не у ICQ, а у Window$. Тоже самое могло произойти и при использовании другого траспорта (smtp,nntp,xmp) но конечно не так эффективно.

ICQ имеет ряд недостатков в протоколе, они связаны с возможностью спуфинга, вычисления пользователя по IP и более мелких weakness. Но я бы не назвал это таким уж кошмаром, просто надо это учитывать.

Всех собак которых вешают на ICQ (кроме уязвимостей в реализации самого клиента), можно спокойно "перевесит" на весь Instant Messanging вообще.

спустя 26 минут [обр] Владимир Палант(49/4445)[досье]
hostmaster[досье]
Ну уж извините... Всё это не недостатки Instant Messaging в принципе, а именно недостатки протокола ICQ. Можно было бы организовать протокол так, чтобы IP пользователя не передавался без надобности (нужен ведь только при прямом соединении). Можно было бы проверять авторизацию на сервере, чтобы клиенты не могли так просто добавлять человека в список без авторизации. Можно было бы многое сделать и другие программы это почему-то делают.
спустя 6 минут [обр] hostmaster(0/82)[досье]

Владимир Палант[досье] "другие" это кто ? вы почитайте wiki на jabber, там эти вопросы обсуждаються достаточно подробно.
Авторизация спасает только в самых простых случаях, насколько я помню в icq можно тоже не принимать сообщения от не авторизованных пользователей (я ничего не путаю ?).

То что XMPP организован белее разумно и правильно — спору нет, но это уже другой разговор.

спустя 8 минут [обр] Владимир Палант(49/4445)[досье]

hostmaster[досье]
Путаете. Речь была не о рассылке сообщений (это вообще вопрос особый, может быть в новых версиях дыру уже и прикрыли, я не знаю), а о добавлении в список пользователей, которые требуют для этого авторизации — лишь один типичный пример.

"Другие" — это AIM, YIM, MSN. Насколько я знаю, ни один из них IP пользователя зря не передаёт.

спустя 1 час 56 минут [обр] hostmaster(0/82)[досье]
Владимир Палант[досье] поправте меня если я не прав, но помоему ICQ с некоторых пор работает по AIM протоколу.
спустя 4 часа 28 минут [обр] Владимир Палант(49/4445)[досье]
Поправляю: судя по тому, что пишут, ICQ перешёл на протокол, похожий на протокол AIM. Но в протоколе AIM авторизации нет, так что это осталось от ICQ. Кроме того, старые клиенты всё ещё поддерживаются (включая альтернативные клиенты, использующие "скрытые фичи" протокола).
спустя 6 дней [обр] Александр Носов(0/9)[досье]
сообщение промодерировано

Все равно не услышал конткретики, по поводу серьезной опасности ICQ для локальной сети, кроме:

...спуфинга, вычисления пользователя по IP и более мелких weakness...

но зто, мне кажется, нельзя считать опасностью?

спустя 1 день 2 часа [обр] Андрей Новиков(8/1242)[досье]
Александр Носов[досье], а у Вас собственно какая цель то? Убедить себя/кого-то-еще в том, что ICQ безопасен или наоборот - опасен? :)
спустя 7 минут [обр] Максим Деркачев(5/568)[досье]
Александр Носов[досье]
Основная проблема безопасности ICQ в том, что сам по себе протокол исторически очень прост и небезопасен, и большинство псевдо-ограничений (visible/invisible list, передача IP, авторизация при добавлении в контакт-лист и т.п.), якобы присущих ICQ, на самом деле являются чисто рекомендательными и реализуются в клиенте. Если поставить какой-либо неродной клиент ICQ (или крякнуть родной), то все эти костыли отвалятся, и кишки будут выложены для обозрения. Из-за огромной пользовательской базы и большого количества старых клиентов, для которых нужно поддерживать совместимость, многие вещи, давно известные и признанные глупостью, до сих пор существуют в протоколе.
спустя 2 дня 22 часа [обр] Александр Носов(0/9)[досье]

Андрей Новиков[досье], в общем-то да, я прежде всего, хочу быть уверен в собственной безопастности. И потом уже, может быть, объяснить своим партнерам, что их опасения чересчур надуманы и при нормальной настройке файервола (чтобы аська работала через сокет) - особой опасности нет (или все-таки есть).

Максим Деркачев[досье], я что-то не понял. Если я у себя поставлю "кривой" клиент - у меня будут все кишки наружу или если хакер поставит себе шибко хитрый клиент, то сможет увидеть мои кишки?
В первом случае, я проблем с ICQ не вижу, достаточно того, что разработчики будут вовремя "затыкать" дыры в своих клиентах, а пользователи своевременно ставить патчи или обновлять свои клиенты.
Во-втором, если действительно все так, как Вы описываете, то надо трубить в трубы и бить в барабаны. Убирать аську со всех компов и юзать какую-то другую, более совершенную программу.

P.S. Но как я смотрю, количество клиентов в ICQ растет с огромной силой и в широких кругах, я не слышал, чтобы аську так сильно ругали, за ее дырявость

спустя 1 час 7 минут [обр] Максим Деркачев(5/568)[досье]
Во-втором, если действительно все так, как Вы описываете, то надо трубить в трубы и бить в барабаны. Убирать аську со всех компов и юзать какую-то другую, более совершенную программу.
поздно пить боржоми, когда печень отказала. Эти недостатки уже давно известны, и ICQ давно признана небезопасной программой, о чем в данной теме неоднократно и упоминалось.
Да, если я поставлю хитрый клиент, то всегда могу видеть ваш IP, добавлять вас в контакт-лист без вашего согласия, и видеть ваше присутствие вне зависимости от того, какой режим видимости вы назначили. Думаю, этими действиями список не ограничивается. Я, конечно, не могу удаленно управлять вашей машиной по ICQ, но даже те установки безопасности, которые присутствуют в родном ICQ-клиенте, чаще всего этим клиентом и ограничиваются.
спустя 7 часов [обр] Александр Носов(0/9)[досье]

Максим Деркачев[досье]То что Вы пишите, конечно очень неприятно, но тем не менее это нельзя назвать существенным нарушением безопасности.
Вы не можете мне подкинуть какого-либо вируса (кроме того косвенного способа указанного вначале темы), вы не можете читать содержимого моего диска, лазить по моей сети, тормозить работу моего копьютера и т.п. Так?

Если это так (если нет серьезных угроз моему компьютеру и локальной сети), то нарушение безопасности в данной ситуации очень относительное. Есть лиш нарушение моего личного инкогнито.

спустя 3 дня [обр] Максим Деркачев(5/568)[досье]
Александр Носов[досье] если обсуждать безопасность системы ICQ именно как системы для передачи сообщений, то указанных нарушений системы безопасности более чем достаточно.
Само собой, некоторые версии клиента ICQ (родного) очень даже позволяют проделывать и те невинные шутки, которые Вы перечислили. Но это уже проблемы реализации клиента, я же писал о недостатках самой системы, заложенных в ее основании - протоколе.
спустя 7 дней [обр] Сергей Круглов(0/2057)[досье]

А какое дело админу, что кто-то добавит пользователя без спросу в контакт лист и узнает его IP?
(кстати, у нормального админа машины внешних IP не имеют)

Аська удобна тем же, чем удобны 3.5" дисководы - почти у всех есть.
А если некий админ вывинтит у себя в офисе у всех дисководы (оставив при этом сидюки и USB), а обращающихся "вот тут клиент/подрядчик принес дискетку показать" будет посылать лесом под предлогом ненадежности дисководов, какое будет мнение об админе?

спустя 1 день 13 часов [обр] Максим Деркачев(5/568)[досье]
Сергей Круглов[досье] При чем тут админ? Я пишу о небезопасности протокола и родного клиента ICQ и для пользователя ICQ, а не для админа.
У админа другая проблема. Как запретить использование ICQ в сети техническими средствами :)
спустя 34 минуты [обр] hostmaster(0/82)[досье]
Максим Деркачев[досье] snort with (c flexresp)
спустя 1 час 59 минут [обр] Сергей Круглов(0/2057)[досье]
Максим Деркачев[досье]
Вот у меня и вопрос - нафига запрещать использование ICQ.
Если чтоб народ не чатился - это одно, а если ссылаясь на дырявость этой самой ICQ, то это другое совсем.
спустя 1 час 9 минут [обр] Максим Деркачев(5/568)[досье]
Сергей Круглов[досье]
Резоны могут быть разными.
В-основном, чтобы не чатился попусту и для ограничения способов неподконтрольного слива информации ДСП.
спустя 23 часа [обр] Александр Носов(0/9)[досье]

Максим Деркачев[досье]
ICQ сейчас, все больше и больше используется не для пустой болтовни, а для серьезных переговоров бизнесменов, особенно если переговоры идут с дальним зарубежьем. IMHO, аська гораздо удобнее телефона:
 - во-первых дешевле;
 - во-вторых можно не спешить с ответом: даже на срочный вопрос можно выдержать паузу до 1 мин. (на обдумывание) и это не будет неуместным, как при разговоре по телефону. Т.е. можно вести спокойную размеренную беседу и при этом заниматься еще параллельно другими делами;
 - в-третьих есть такая удобная вещь как History и если возникают спорные моменты - всегда можно заглянуть в History и сказать: "А вот помнишь ты мне 13.02.04 в 18:00 говорил, что..."

Что касается "неподконтрольного слива информации ДСП", то тут, по-моему все в руках админа. Если органирзовать так чтобы ICQ работала только через Socket, то админ сможет организовать любые ограничения и контроль.

Но я повтрю свой вопрос: меня больше волнует не то что люди будут болтать попусту или пытаться "сливать что-то", а безопасность моей сети и компьютеров. Главное чтобы не было нападок со стороны "внешних хакеров" с угрозой на внутреннюю сеть. А в Ваших ответах Максим Деркачев[досье] я никакой конкретики, в этом плане, пока не услышал.

P.S. Многими психологами доказано если сотрудников сильно "зажимать" и не давать им использовать Интернет и прочие "игрушки" для личного пользования, в свободное время - они (сотрудники) хуже работают. Так что СВОБОДУ труженикам офиса! :-))

спустя 5 минут [обр] hostmaster(0/82)[досье]
Александр Носов[досье] наверно имелся в виду всё таки SOCKS прокси. Хотя подойдет и http/https прокси. Главное чтобы не было прямых соединений.
спустя 15 минут [обр] Александр Носов(0/9)[досье]
hostmaster[досье] Ну да конечно же я имел в виду: Socks 4/Socks 5, которые легко выбираются в настройках ICQ.
Извините, перепутал понятия...
спустя 21 день [обр] Александр Носов(0/9)[досье]

Кстати, вот сегодня наткнулся на ссылку, как опытные хакеры пытались ломать Windows XP: http://www.computerra.ru/hitech/32759/.
Так вот, там вначале статьи есть фраза:

ICQ на защищенность системы влияют слабо. Точнее, вообще не влияют, если не учитывать, что ICQ показывает IP-адрес "жертвы".

Далее в этой статье расписывается как происходил взлом компьютере и все процедуры по взлому в-основном касались поиска дыр в Виде и Internet Explorer. А установленное на компьютере ICQ "ломавшему" компьютер хакеру в этом никак не помогло.

Получается, что как я и писал вначале этого обсуждения - единственная "дырявость" ICQ заключается лишь в том, что она показывает IP-адрес владельца. Ну и, как писал Максим Деркачев, при использовании соответствующего ПО, можно увидеть Invisible user (если можно это считать дырой).

Интересно услышать мнение здешних Гуру по поводу данной статьи?

спустя 12 часов [обр] hostmaster(0/82)[досье]
"не читайте советских газет"
спустя 5 месяцев [обр] hostmaster(0/82)[досье]
Powered by POEM™ Engine Copyright © 2002-2005