_-_-_-_- Scene jews -_-_-_-_
-_-_-_-_ -==-==-==- _-_-_-_-
[00] "Full Disclosure" Undisclosed
[01] Смерть phrack?
[02] New zines
[03] Очередной провал позитивного секлаба
[04] RST + GHC = ?
[05] h0h0.com и b00biez
[06] Реклама ПозиТеха
[07] Unlock those blaqhatz
[08] fresh dephazes
[09] badroot & THC pwned
[10] Из жизни замечательных мудей [contributed by nekd0 of unl0ck team]
[00] "Full Disclosure" Undisclosed
Седьмого февраля в рассылке появляется заявление от Len Rose, в котором
он сообщает о снятии с себя обязанностей модератора списка и передаче
всех сопутствующих полномочий своему приятелю - John Cartwright.
Спустя два дня,9 февраля John Cartwright сообщает о факте проникновения
неизвестных на сервер списка рассылки в январе 2005 года,осуществленном
через неизвестную до этого уязвимость Mailman. В конечном итоге
атакующими был получен полный спамлист подписчиков рассылки,равно как и
все их аккаунты. Ответа на вопрос "связан ли уход модератора списка с
этим происшествием", мы, судя по всему, уже не получим.
Кроме того, 7 марта список переезжает на grok.org.uk.
[01] Смерть phrack?
21 января в fd упало официальное заявление phrack staff о том, что
грядущий 63 номер журнала будет последним. Хотя причина этого решения
не сообщается, никто не запретит нам сделать некоторые предположения
как то:
- отсутствие идей и "подходящего" сконтрибученного материала
- "все мы смертны"
- "все, что имеет начало, имеет конец"
- элементарная загруженность "редколлегии"
- phc все-таки убедили phrack staff в бесполезности сегодняшнего
издания :)
И тем не менее, какой бы ни была истинная причина, все мы хорошо знаем,
что журнал всегда принадлежал коммунити, и что на протяжении всего его
существования обязательно находились добровольцы, которые брали на себя
всю заботу о дальнейших выпусках журнала - вполне вероятно,что и в этот
раз произойдет нечто подобное (хотя, по более чем кислой реакции в
рассылке этого не скажешь - времена уже не те).
Впрочем, не смотря ни на что, кучка уродов здорово постаралась, чтобы
превратить некогда хакерский журнал в нечто неудобоваримое - продолжать
его в том виде, в каком он есть сейчас, будет довольно непросто. Время
покажет..
Заключительная серия мексиканского сериала намечена на июль с.г.
[02] New zines
[+] h0no v.2
Откровенно говоря, выпуск, по сравнению с предыдущим релизом, получился
отстойноватым :), если, конечно, не сказать больше. По традиции, песды
огреб tal0n :). Опубликована переписка назойливого вайтхэта Донни
Вернера (morning_wood aka moronic_wood), и некоторые факты из жизни
известного в определенных кругах придурка atomix. Кроме того, вы
побываете "в гостях" у whitehats.co.il и ознакомитесь с подробностями
пр03кт4 "HeY MaM!" :). Но в остальном - слив.
Скачать: http://www.awarenetwork.org/home/outlaw/ezines/h0no/h0no2.txt
[+] ChildPorn e-zine issue #0
Для ознакомления с содержанием выпуска будет достаточно следующей
цитаты:
"""
Насчет ChildPorn - это специально для DS. Помнишь, нашу реплику "пусть
мы издаем ChildPorn, но вы-то его читаете. И кто теперь маньяки-
педофилы?"
GoodWin
"""
Плюс к тому вышел CodePimps SE. К сожалению/счастью, мы его сильно не
читали, поэтому судить не будем.
Скачать: http://cp.boiteam.net
[+] Mazafaka.ru ezine 2
"""
По поводу статьи хотел бы ещё предложить такую идею – изменение иконки
DC в трее. Ну, например, один из вариантов – закосить под AVP %)
Re[v]erS
"""
"Есть способ лучше - рондо" ). Идем в меню Options -> Startup and
Filetypes. Там ставим галку напротив "Do not place icon on task bar
when started".
Гораздо труднее косить под дурака, когда обнаруживается попытка скрытия
чего-либо. Когда же оно просто лежит, всегда можно сделать круглые
глаза, пролепетав "Это, наверное, мне программист установил, когда
виндовс реинсталлил". А вообще имеет смысл почитать статью на uinc.ru
про то, как производится анализ конфискованного жесткого диска.
Релиз ничего, но первый, как нам кажется, был интересней.
Скачать: http://mazafaka.ru
[+] Mazafaka.ru ezine 3
Мы долго ждали обещанной статьи от PoizOn, в которой он собирался
указать нам на вопиющий "bad asm coding", и наконец дождались.. правда,
чего-то совсем другого. В своем роде перечня слабостей, которые и так
крайне очевидны. Тестовую модель из статьи в d7 он заменил своей, не
менее слабой. Ожидания не оправдались, зато криков сколько было..
Короче, faggots.append("PoizOn")
PS. и все равно первый номер был интересней.
Скачать: http://mazafaka.ru
[+] Fuck`in h0ax
Новый журнал, который увидел свет в середине июня (kavabunga, dzen :)).
Добротно и по-существу - __никаких__ новостей сцены :),токо ascii децил
подкачало (если смотреть в 800x600). Содержание релиза:
- Анализ системы удаленного контроля NTRootKit
- crypto-keygenning4newbies
- 'Cerberus Shield' keygenning practice
- a311Death inside
- ДЖОЙНЕР МОЕЙ МЕЧТЫ
- Обзор Scrambler-защиты
- Гейт, как новое поколение клиентов
- Банальный xchg
И другое.
Скачать: http://blacklogic.net
[03] Очередной провал позитивного секлаба
Некоторое время назад на секлабе появилось бахвальское сообщение о
получении Positive Technologies сертификата минобороны для своего
продукта XSpider (чем сильно удивили недалеких жителей нашей прогнившей
от коррупции страны). Тем не менее, под этим соусом перед PT открылись
новые горизонты (сотрудничество с Cisco Systems, например), а качество
выполняемых ими работ поднялось на "существенно новый уровень" - в
результате проведенного ими аудита web-CMS под названием "Битрикс:
Управление сайтом" компании "Битрикс", продукт получил сертификат
соответствия имени PT:
"""
Компании "Битрикс" и PositiveTechnologies объявляют о завершении аудита
безопасности программного продукта "Битрикс: Управление сайтом 4.0".
Финальное тестирование подтвердило неуязвимость продукта ко всем видам
известных атак на веб-приложения. Программному продукту "Битрикс:
Управление сайтом 4.0" присвоена категория "Безопасное веб-приложение"
и выдан сертификат соответствия.
"""
Естесственно, на сайте секлаба тут же появилась соответствующая пиар-
статья, в которой сексклубовские свиньи нагло лгут, называя продукт
"безопасным". Авторы уверяют, что проводили как ручной аудит исходного
кода, так и "blackbox" тестирование продукта своим "интеллектуальным"
сканером. При этом, однако, спустя некоторое время после появления
статьи, посетителями сайта было обнаружено несколько очевиднейших багов
в этом самом Битриксе, один из которых тут же на скорую руку
задокументировали находчивые хакиры из RST, присвоив себе авторство.
Разумеется, позже были обнаружены и другие уязвимости, среди которых:
"""Bitrix Site Manager 4.0.x suffers from a remote file inclusion and
execution vulnerability."""
Дело тут даже не в том, что ПТушники прилюдно опозорились - рано или
поздно такое может произойти с каждым, да и к тому же им не впервой;
дело в том, что тем самым они показали свою несостоятельность,
некомпетентность в вопросах своей специализации.
Ссылки:
[-] http://www.securitylab.ru/55030.html
[-] http://rst.void.ru/papers/advisory27.txt
[-] http://packetstormsecurity.nl/0506-exploits/bitrix40xInclusion.txt
PS: ну а это лол вообще - долго смеялись :). (пришло в fd):
Hello %USERNAME%.
This mail was generated automatically from P3Scan, which runs on
bill.(none) for scanning all mails for spam and viruses.
In a mail sent to you a virus has been found.
Virus name: Worm.Bagle.Z
Sender of the email: "Pigrelax" <[email protected]>
Subject: [Full-Disclosure] Re: Msg reply
Connection date: POP3 from 192.168.100.105:3997 to 196.38.110.16:110
Message File: /var/spool/p3scan/children/568/p3scan.D3GWzL
Instead of the infected email this message has been sent to you.
/var/spool/p3scan/children/568/p3scan.D3GWzL
--
P3Scan 1.0
by Jack S. Lai <[email protected]>
.
антипов, срочно пиши статью про использование XSpidersky Antivirus :).
[04] RST + GHC = ?
На некотором этапе своего существования команды Rush Security Team и
Gips Hackers Crew слились. Бля, ну не в смысле слились, а в смысле
объединили усилия по вайтхэтизации общества. Этим ознаменован выброс
ряда совместных адвизори и ответ (недвусмысленный,кстати) в форуме RST.
http://rst.void.ru/forum/viewtopic.php?t=1775
К сожалению, как-то прокомментировать эту ситуацию RST отказались, а
придарковатый Ghost отметился демонстрацией устрашающих навыков
копипаста.
http://rst.void.ru/forum/viewtopic.php?t=2032
[05] h0h0.com и b00bys
В мае был отломан h0h0.com - детали взлома приводятся в публикации под
именем p4p4r4zz1.txt. Через некоторое время сайт закрылся. Очень жаль..
Зеркало старого сайта пока есть тут:
http://www.netway.org/~desi/www.h0h0.com/
Кроме того, был дефейснут сайт чуваков из boobys.org, подробности нам
неизвестны, но кое-какая информация есть в h0no2. Мда, для многих весна
выдалась не самой удачной.. Проект закрыт.
[-] http://papara.madpage.com/p4p4r4zz1.txt
[-] http://www.awarenetwork.org/home/outlaw/ezines/h0no/h0no2.txt
[06] Реклама ПозиТеха
Сказ о том, как изобретательные Preservative Techolojews рекламируют
свое дерьмо,используя немодерируемый список рассылки.Смотреть противно,
ввиду того, что используются "скрытые" методы рекламы.
Итак, сидели себе антипов (alex<[email protected]>) и аффтопик(tgoogle
<[email protected]>) (не обязательно сам аффтопик - возможно, кто-то из
отряда аффтопиковых) праздничным воскресним вечером в интернете, и
думали, как же им пропиарить xspider, чьи позиции заметно пошатнулись.
Не нашли ничего умнее как "поиграть в шизофрению" (C), то есть самим
спросить - самим ответить.
..13.06.2005 19:47.. tgoogle просит посоветовать лучший сканер
безопасности в мире:
http://lists.grok.org.uk/pipermail/full-disclosure/2005-June/034538.html
Первым (через семь минут после TO) откликнулся самаритянин пиккиллер.
..13.06.2005 19:54.. Естесственно,антипов советует посмотреть MaxPatrol
(обратите внимание, что не XSpider, а именно MaxPatrol, изобретенный
для американов, и это не смотря на то, что сам tgoogle из России - мыло
на яндексе, провайдер - мту-интел; кроме того, любой обитатель рунета,
интересующийся секурити, хоть раз, да слышал про икспидер).
Далее находится еще ряд умельцев, которые приводят список урлов на
фриварные сканеры по запросу человека, говорящего по-аглицки и знающего
о существовании google!
..13.06.2005 21:10.. Чувак динамит сообщение свиньи и сеет смуту в
массы относительно советуемых фриварных сканеров:
http://lists.grok.org.uk/pipermail/full-disclosure/2005-June/034539.html
"""
You really consider that all these programs are capable found
vulnerability in UNKNOWN scripts? I need BEST program, which can found
Maximum bugs in any custom Web application.
"""
..13.06.2005 22:49..Снова пиккиллер с рекламой(наэтот раз еще и Cisco):
http://lists.grok.org.uk/pipermail/full-disclosure/2005-June/034545.html
"""
Try to use freeware service (owned by Cisco System and Positive
technologies) - www.freescan.ru. This service can help found many
unknown bug in custom Web application.
"""
..14.06.2005 20:08.. Ну и, наконец, кульминационный момент, когда нам
сообщают (обильно брызжа слюной в адрес свиньи и.. гордейчика - он-то
тут каким боком?) победителя в номинации "лучший в мире". О чем речь,
как вы думаете? Правильно!:
http://lists.grok.org.uk/pipermail/full-disclosure/2005-June/034557.html
"Вот уроды" (C)
[07] Unlock those blaqhatz
Тотальный крах кодекс-тима WERT,равно как и отвергнутая статья в журнал
FDS,поставили Dark Eagle'а перед выбором - уйти со сцены или продолжить
экспансию уже под новым флагом. Он выбрал последнее, образовав
собственную команду (свой журнал у него,как вы помните, уже был) Unl0ck
Team. В ходе продолжительной рекламной акции в багтраке, было засвечено
место обитания команды - unl0ck.blackhatz.info, а выбранный домен,
безусловно, не мог не привлечь внимания всевозможных критиков и
"ценителей черных искусств" (как то было и в случае m00 security). [ По
правде сказать, имя unl0ck само по себе не менее провокационное, так же
как и позже образованное GotFault - все это, в последующем,сказалось на
группе должным образом. "Как вы яхту назовете".. ]
Даркигл с легкостью перенял принцип образования гейхэт-союзов,
разработанный d4rkgr3y'ем, основными признаками следования которому
являются:
- регистрация модного домена
- модификация уже имеющихся эксплоитов путем внесения незначительных
изменений в код и переиздание их под собственным именем
[ позже d4rkeagle стал писать собственные,но для вареза, который мало
кто пользует, либо идиотизм вроде эксплоита для WinDVD ]
- обретение многочисленных нужных и ненужных знакомств всоответствующей
среде
- мистификация и культивирование команды
- продвижение имени команды в массы всеми возможными средствами
[ по последнему пункту - бессмертные шедевры на securitylab и в журнал
"phrack" :) ]
Что тут говорить - ребята отлично со всем этим справились, а Dark Eagle
даже стал подписываться ником D4rk в irc -как d4rk от d4rkgr3y. Команда
неоднократно рвалась с места в карьер, то скрывая (декларируя таким
образом "погружение в приват"),то снова делая доступными разделы своего
сайта. Кстати, доменное имя Игл все же сменил (причем неоднократно), то
ли осознав ошибочность первого пункта "рецепта d4rkgr3y'а",то ли поняв,
что заслуги Анлокеров не оправдывают претенциозности этого имени.
Впрочем, не было ничего более комичного на всех этапах существования
этой команды, чем голосование в официальном форуме на тему "кем нам
лучше быть: вайтхэтами или блэкхэтами?". В итоге победила дружба, и
хотя анлоки свалили весь контент сайта в один архив, обозвав его как-то
вроде UnPack, со временем продвижение в массы "none-disclosure
по-даркиглски" продолжилось и все вернулось на прежние места.
Все адвизори, составленные UT, выходили на "английском" языке. Тут дело
все в том, что у DarkEagle'а довольно серьезные проблемы с изъяснением
на русском, поэтому все ошибки в английском тексте всегда можно списать
на то, что инглиш не является его native language.
Довольно интересен также следующий момент:в некоторые адвизори Игл стал
добавлять строчку, гласящую что-то типа "эксплоит есть, но опубликован
не будет, во избежание эксплуатации детей". Примером такого текста
является публикация о баге vpopmail. Однако, как вскоре стало известно,
Игл блефовал, оправдывая таким образом свои лень/неумение, и таких
эксплоитов команда никогда не писала.
Однако m00 security далеко не единственные кумиры Eagle'a. В свое время
была интересная история, связанная с xCrZx из lbyte.В инклюдах смотрите
лог. Ну и еще на тему xCrZx (из почтового ящика игла):
=======================================================================
Поддержка Пользователей бесплатного хостинга H12.Ru.
Краткая справка по работе с бесплатным хостингом от H12.Ru
Также рекомендуем посмотреть ЧАВО по адресу
http://register.h12.ru/faq/index.shtml.
ДОСТУП К СЕРВЕРУ
Для доступа к серверу вам надо использовать любой FTP клиент.
Параметры соединения:
FTP: xcrzx.h12.ru
login: xcrzx9
password: c8b0LyWm
=======================================================================
<< Обратите внимание на хостнейм >>
Завершением бесславной истории unl0ck стала публикация всех
"засекреченных" наработок группы [ наибольшую ценность из которых
представлял эксплоит к winrar] flsh из dikline. После взлома, на сайте
официально был объявлен джихад, выложено устрашающее ацкое лого и
подпись под стать рисунку. Еще через пару дней нас встретил 403, дав
надежду на то, что больше мы об unl0ck ничего не узнаем, а что знали -
забудем.
[-] http://dikline.com/non.txt
[-] http://dikline.com/unl.txt
[-] http://dikline.com/got.txt
[08] fresh dephazes
[lamorz] http://www.acolytez.com/
[mirror] http://www.asteam.org/mirrors/aco.jpg
[09] badroot & THC pwned
Совсем недавно был отдефейсен сайт даунов из badroot.org, которые
заполонили багтраки своими нелепыми текстами. В результате ничего
интересного захвачено не было, что, впрочем, не удивительно.
Так же был получен доступ к приватной директории на сайте The Hackers
Choice (на этой же машине хостятся phrack.org, segfault, сайт teso и
другие), используемой для обмена варезом с дружками. Весь захваченный
материал дропнут в usenet.
По поводу украденных статей, якобы вошедших в еще неопубликованный p63
(среди них папер даркигла :)), THC говорят следующее: статьи были
получены не в ходе взлома thc.org, а посредством социальной инженерии
на канале #phrack, когда PHC, под видом людей из phrack staff изъяли
материал для заключительного номера phrack :).
[-] http://www.geocities.com/badroot31337/hl.txt
[-] http://www.geocities.com/badroot31337/badroot.tar.gz
[-] http://lists.grok.org.uk/pipermail/full-disclosure/2005-July/035348.html
[10] Из жизни замечательных мудей [contributed by nekd0 of unl0ck team]
Ну что ж. Известная в узких кругах гомогеев группа m00 на днях,а точнее
на своё 2-х летие открыла сайт, доступный в данный момент по адресу
m00.blackhat.ru,на котором был выложен пример кода,который m00 считали,
видимо, до недавнего времени актуальным. Но спохватившись после того,
как весь их стафф был ликнут и смысла скрывать его на priv8 b0x'ах уже
не было, решили всё-таки о себе напомнить, дабы показать юным читателям
Х журнала, что мол не перевелись ещё на Руси блядьхаты.
Как и у всех настоящих блекхатов, гомогеи разместили на своей новой, в
скором времени, надеюсь, прикроющейся, home page громкие фразы:
Keep 0-dayz private
Fuck the whitehats
Hack the plan8
[Keep 0-dayz private]
Интересно для кого они это написали? тот, кто имеет 0-дей наверное сами
об этом знают, ну или хотя бы догадываются о существовании данного
напутствия. Киддисам это знать ни к чему вообще. Возможно дарк написал
это ради того, чтобы с ужасного бадунища не забыть что выкладывать свой
новый 0-дей цги сканер, написанный под воздействием Х журнала + "батл"
пива, ни в коем случае нельзя, ибо киддисы могут взломать туеву хучу
систем с его помощью и завладеть планетой, к чему как видно стремится и
наш злодей "чёрная панама" даркгрей.
Вообще, мой друг психолог, после некоторого моего введения его в курс
дела определил диагноз: парни просто хотят показать своим фенам, дабы
не упасть в их глазах, что стафф у них есть (а вот это ещё не факт, да,
д0рк?), но так как они блекхаты, делиться они им не будут ни в коем
случае. То есть,по логике, если бы не было этой надписи, то никакими бы
блекхатами m00'даки себя считать не могли, а то если бы они просто не
выкладывали свой стафф, то их фены могли подумать, что они ничего не
пишут и вообще ни на что не способны.
[Fuck the whitehats]
После этих слов я долго смеялся, так как недавно на канале псевдо
блекхатов висел топик следующего содержания:
<akula> а давайте на ДР м00 шлюху снимем? | дарк, может побухаешь с
друзьями, к нам присоединятся nteam и ещё несколько человек
lovchy, lostbyte, hr0nix.. и ХыР !!! :)))))))))))))
| 2hosp i akula: ebat' vash mailclient v jopu | 05.07 - c0w p0w3r :D
Бедолага ХыР до сих пор на работу выйти не может наверно.
[Hack the plan8]
Ну тут и сказать даже нечего, хакеры мазафака, йоу.
Обращение вождей к народу вызывает ещё больший хохот. Лицезреть этот
шедевр можно, зайдя на m00.blackhat.ru или заглянув в папку include.
Не знаю как у вас, а у меня в голове почему-то возник такой вопрос. А
почему вдруг ни с того, ни с сего, домен m00.0x333.org перестал
существовать? Лично я нашёл лишь один здравый ответ на этот вопрос: у
c0wboy открылись глаза. Вам это, случаем, не напоминает байку про
матёрого хакера Тараса Бульбу?
Остальное додумывайте сами, а то подумаете ещё что я навязываю вам своё
мнение. Больше ничего не скажу. Можете это расценивать как хотите. У
меня есть ответ на любой вопрос.
ps. кстати очень о многом говорят такие файлы:
[-] http://m00.blackhat.ru/misc/cow.jpg
[-] http://m00.blackhat.ru/misc/trek.jpg
[-] http://m00.blackhat.ru/misc/irc-lol.txt
--
На этом наша передача подошла к концу. С вами были Норман Бейтс и его
мамаша. Свои заметки и логи присылайте на: [email protected]
