LINUX.ORG.RU

RIAA запустило червя в p2p сети


0

0

Группа экспертов по компьютерной безопасности "Gobbles Security" заявила, что ею было обнаружено множество проблем в популярных мультимедиа проигрывателях, таких как mplayer, winamp, mpg123, windows media player и тп. По заданию RIAA Gobbles Security разработала троянскую программу, которая через обнаруженные дыры заражает компьютеры пользователей участвующих в p2p сетях предназначенных для обмена медиафайлами. Этот троян каталогизирует все медиа файлы на зараженном компьютере и отсылает отчет в RIAA, который в дальнейшем может быть использован в суде как доказательство. По их оценкам этим трояном заражены порядка 95% компьютеров в p2p сетях. Так же Gobbles заявили что параллельно они запустили в p2p сети другой троян, который создает DDoS сеть для использования персоналом Gobbles Security.

>>> Подробности

★★★★★

(голосом музыкальной заставки Итого с Шендеровичем)
ля-ля-ля-ля.. ля, ля-ля-ля-ля...

Zulu ★★☆☆
()

Пчелы против меда

anonymous
()

IMHO бред. И причем здесь mpg123 ?

anonymous
()

Интересно только: как это мой firewall умудряется левые пакеты отсылать? Да и exim не отправит... Че-то мне кажеться все это смахивает на бред. ;(

Alex25
()

Ура! Наконец-то разработан "крек интернета"! ;)

Lexa
()

Это утка виндузоидов пугать :)

MrBool
()

Ранее Gobbles никогда не были замечены в шутках. Собственно theregister всего лишь перефразировали их аннонс из bugtraq http://online.securityfocus.com/archive/1/306476/2003-01-11/2003-01-17/0

Анонимусу с mpg123 - при том чот некоторые этим mpg123 проигрывают mp3.

Alex25 - В адвизори написано как именно пропускаются пакеты - через специально выглядящие p2p запросы.

green ★★★★★
() автор топика

Да, это крутые парни. Они нашли дыры в
mplayer (www.mplayerhq.org)
WinAMP (www.winamp.com)
Windows Media Player (www.microsoft.com)
xine (xine.sourceforge.net)
mpg123 (www.mpg123.de)
xmms (www.xmms.org)
причем такие, которые можно использовать ОДНИМ И ТЕМ ЖЕ эксплойтом (не несет же червь 6 разных эксплойтов на все случаи жизни?).

Молодцы. Так держать. Одного только не понимаю - интересно, почему они по дороге не сломали Постфикс, Оракл и Нотепад?

Zulu ★★☆☆
()

Вообще то это не законно в США да и во всем мире, создрание вирусов и троянов преследуется по закону, а о дырках в проигрывателях они обязанны были сообщить разработчикам. К тому же при всей серьёзности заявления выглядит это как полный бред. И если это правда то Gobbles Security ждет уголовное приследование...

anonymous
()

Извиняюсь, снова я...

When the player is exploited, a few things happen.

Так-так...

First, all p2p-serving software on the machine is infected,

А-а-а-ааааааа!!!!! ВЕСЬ р2р софт инфицирован. ВЕСЬ, слышите! Без остатка! Горе тебе, Иерусалим, град обреченный! (с)

which will allow it to infect other hosts on the p2p network.

Ну да, allow.

Next, all media on the machine is cataloged

Весь! Медиа! Каталогизирован!!! А-а-аааа! Совсем весь! без остатка! Включая легальный, а также то, что я сам сфотографировал цифровым Олимпусом и аудиозаписал не менее цифровым ди-про!
Измерен, взвешен и найден легким. (с)


, and the full list is sent back to the RIAA headquarters

О как!

(through specially crafted requests over the p2p networks),

Сказано ж - СПЕЦИАЛЬНЫЕ запросы! Не хухры-мухры какие-то.

where it is added to their records and stored until a later time, when it can be used as evidence in criminal proceedings against those criminals who think it's OK to break the law.

В борьбе бобра с ослом всегда побеждает бобро!

Я плачу, уткнувшись в клавиатуру....

Zulu ★★☆☆
()

Это как:

When the player is exploited, a few things happen. First, all p2p-serving software on the machine is infected, which will allow it to infect other hosts on the p2p network.

?

Может, это шутка?

asaw ★★★★★
()

чуваки к первому апреля видать готовятся хотел бы я посмотреть, как сворованная информация может быть доказательством в суде. да их самих за любую попытку хака посадят

anonymous
()

Эти деятели определённо перекурили травы... Сетевой червяк, осуществляющий сетевой взлом через mpg123... "Вот в воинственном азарте воевода Пальмерстон поражает Русь на карте указательным перстом" :-)))

DeadMustdie
()

блин, сабж старый остался

:-)))))))))))))))) сабж... мозилла помнит, про что я последний раз писал :-)

DeadMustdie
()

2 green:
>Анонимусу с mpg123 - при том чот некоторые этим mpg123 проигрывают mp3.
Ты хочеш сказать, что в MP3 встроен код, который сделает так, что mpg123/xmms/etc сам вышлет сообщение, что дескать такойто тип слушает такой то файл. И при этом mpg123/xmms/... не сегфаултница, и это сработает и на Linux и на BSD/Solaris/win/etc и на ia32/ia64/SPARC/M680x0/PPC/MIPS/PA-RISC и еще хер знает на чем.
Хотя достаточно чтобы это работало на ia32/win+winamp.



XCHG
()

А что RIAA -- "оно"? Это же организация, фирма, компания, а следовательно "она"! Тоже мне "запустило"... грамотеи

anonymous
()
Ответ на: комментарий от MrBool

А кто сказал что они живут в США или другой стране с подобными законами?

green ★★★★★
() автор топика

Как говориться "я писал кипятком"... Во времена ВВ2 был такой танк "На испуг".. он только напугать мог своим видом.. ну и еще на нем пулемет был.. Похоже что RIAA уже не знает как с пиратами бороться.. и решила всех на испуг взять.. вдруг перестанут воровать...

Вообще, IMHO, создание червей является в США преступлением.. Одно это сразу наводит на мысль, что все сообщение не более чем утка...

Гы.. какой у них мультиплатформенный червь.. и начем они его написали?..

dead_knight
()
Ответ на: комментарий от XCHG

explouit для mpg123 и winamp вполне может оказаться разным. (в разных местах в mp3 живущим). Соответственно в mpg123 вполне можно засунуть Linux only версию, а в winamp - win32 only.

Более того, если трояны поперву раздаются с какого-то специального хоста, то мы по запросу можем угадать с какой OS запрос пришел и отдать правильный троян.

green ★★★★★
() автор топика
Ответ на: комментарий от dead_knight

Ну так то в США, а может чуваки клевают его где-нибудь в Гондурасе ;)

green ★★★★★
() автор топика

2green (*) (2003-01-14 17:13:19.601) RIAA - чисто американская организация.. интересно где же ей еще находиться?..

dead_knight
()
Ответ на: комментарий от Antichrist

Почему "допустить"? В их оригинальном мыле в багтрак как раз один из таких buffer overflow и освещается.

green ★★★★★
() автор топика

>Анонимусу с mpg123 - при том чот некоторые этим mpg123 проигрывают mp3.

Предположим, что в mpg123 есть функция называющаяся как mpg123_play. Она декодирует mp3 stream и пытается его проиграть. Можно сделать такой трюк.

(1) Изменить поток таким образом, чтобы mpg123 перезаписал часть стека во времен декодирования/чтения хедера, etc.

(2) Когда проигрывание закончится (или даже не начется в силу измененного потока), управление перейдет коду который расположен где то в теле проигрываемого mp3.

(3) Этот код может сделать все что угодно с текущим процессом (на что есть пермишны). Например форкнуть программу mail.

Banshee
()

1.RIAA - Ассоциация звукозаписывающих компаний Америки... 2."Заказ" - такого софта так же будет считаться противозаконным...

dead_knight
()

Да и еще.. собирание информации на компьютере без ведома пользователя, или санкции - так же нарушение занкона =).. Вспомните историю с номерами на процессорах =)

dead_knight
()

> jinglebellz.c - local/remote exploit for mpg123

А где же xmms, mplayer, xine, ...?

> Remember, Napster is Communism, so fight for the American way of life.

Этим ребятам явно полечиться нужно ;-)

asaw ★★★★★
()
Ответ на: комментарий от dead_knight

А что номера на процессорах? Как были так и есть. И всякая инфа о юзере в метатегах вордовых документов и иже с ними тоже есть.

green ★★★★★
() автор топика

> Banshee (*) (2003-01-14 17:26:43.677)

Идея сжатия бинарного кода третьим мпегом мне понравилась ;)

Lexa
()

интересный факт:
за последние четыре месяца RIAA была взломана четыре раза...

anonymous
()

мда... только я мало в такую хрень верю. даже если такие сплоиты уже есть у 95% от тех, кто берет музыку из инета, то толк какой от этого? какого хрена RIAA надо знать что народ слушает?
Во-вторых, если их сплоит имеет возможность DoS'а и персонал может этим управлять, то их на самом деле в штатах посадят, с этим все строго. Если не посадят, то кто-нибудь им яйца оторвет.

Да я бы на месте тех, кто этот сплоит "запалил" сделал бы что-нибудь типа тестера, который проверяет мультимедиа файлы на наличие сплоита. Каждый, кто сомнивается в том, что его файлы/тулузы заражены берет и качает тестер, запускает его а там уже результаты...

Как тут народ сказал, что версия сплоита работает на всем, и типа это невозможно. Я так понял что это не софтина, а патчится MP3 файл таким образом, что при декодинге его запускается код.

Вообщем увидим, мне самому очень интересно посмотреть на результаты всего этого..

FreeBSD ★★★
()
Ответ на: комментарий от dead_knight

>Гы.. какой у них мультиплатформенный червь.. и начем они его написали?..

В каком-то мохнатом году была куплена мультипортовая карта (не помню какая), так в инструкции к ней было написано что с ее BIOS нельзя загрузить ни какую ОС.

Похоже, ребята научились юзать операционные усилители колонок. Код червя написан на mpg123. Раскручивается плайером, и выполняется в динамиках колонок, вокнутых в звуковуху...
Как известно, что 99% бытовых динамиков сделаны одинаково.

ЗЫ. На наушниках червь рботать не может - они маленькие, и он в них не влезает.

vada ★★★★★
()

А кто-нить знает как этот linux_shellcode из jinglebellz.c работает? Я пока вижу что делается несколько системных вызовов, но лень разбираться каких... Ну оч интересно что дало этим ребятам повод написать "all p2p-serving software on the machine is infected" :-)

asaw ★★★★★
()
Ответ на: комментарий от anonymous

telnet - это 1. Клиент 2. Протокол ;) А речь про p2p-serving...

green ★★★★★
() автор топика

Вроде все понимают, что можно модифицируя данные передать и исполнить код с правами плейера. Все это хотя бы через переполнение стека или буфера делается. Для совсем отсталых banshee еще раз разжевал.
Все равно никак не уймутся.
Плейер, мол плейер. Как он может что то кроме проигрывания мызЫки делать...

Конечно новость - явная утка, но обсуждение никак не лучше...

anonymous
()

Нда... разоались... нет, конечно статья бредовая, но...
1. Читайте про уязвимости в медиаплеерах, тогда идея такого червя не покажется Вам полным бредом. Хотя не все так летально, как хочется RIAA но...
2. Читайте сборник судебных решений, принятых в США - разработку и использование именно таких червей, орентированных на "противодействии нелегальной деятельности", признали законной.
3. 95% американцев не знают что за пределами США есть какая-то жизнь, по их мнению там одни дикари, которые не знают что такое интернет, компьютер, ТВ и т.д. (про книги не знают сами американцы, иначе бы они были уверенны что про них не знают за пределами США).

Резюме: если получите грозную повестку явиться в суд из какого-нибуть амереканского Запендрищинска не удивляйтесь - просто используйте ее по назначению (правда сразу предупреждаю - бумажка обычно весьма жесткая, так что если у Вас нежная задница, попросите о помощи друга с более крепкой задницей, на крайняк - найдите на улице кусок собачьего дерьма) и оправьте обратно с надписью "Fuck you!"... ;)

Irsi
()

А ссылочкой на судебное решение не кинешься, трепло?

anonymous
()

А ещё они запустили спутник, который держит под прицелом всю Землю. Тоже посредством специальных p2p запросов.

Mudvin
()

2 Irsi

В уязвимости в плеерах я верю. Даже готов поверить в уязвимости ВСЕХ этих плееров. Но никогда - в то, что ОДИН эксплойт будет использовать ВСЕ эти уязвимости на 11 аппаратных платформах. Ну никак. 8(

Zulu ★★☆☆
()

А если уязвимость в какой нибудь zlib, которую используют все эти плейры?

anonymous
()

Ребята явно злоупотребляют вот этим продуктом http://www.oper.ru/data/gallery/l1042541585.jpg А еще их троян показывает рекламные баннеры RIAA,отключает воду в ванной и уничтожает видеокассеты с детской порнографией.

anonymous
()
Ответ на: комментарий от green

> А что, ты знаешь очень много вариантов p2p-serving software?

Нет, но я знаю что если под root'ом не работать, то ни одна гадостная программа ничего никогда мне не _заразит_ (ну по крайней мере в теории ;-) Отослать в инет - возможно, стереть что-нить моё - да, но не изменить данные принадлежащие другим пользователям или данные в памяти других запущенных программ.

asaw ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.