Miami

Miami уже неопасен

В начале месяца на просторах Сети разыгрался небольшой скандал, одним из основных участников которого стала компания Nordic Global. Представляем вашему вниманию краткое официальное изложение событий и точку зрения главы компании, Хольгера Круса, автора Miami. На этой же странице помещены наши комментарии.

В первых числах декабря в различных сетевых источниках начал циркулировать список, в котором содержится информация о 700 именах пользователей Интернета, их паролях и адресах провайдеров. Некоторая часть данных для этого списка была получена "традиционными" способами - взломом серверов провайдеров или использованием "брешей" в NT и Unix. Наличие информации о пользователях, работающими под Windows, служит тому подтверждением.

Однако, многие сведения для этого списка были получены при помощи "троянского коня", который посылает пиратам информацию об имени пользователя и пароле. Стремясь развеять обвинения в свой адрес, Nordic Global совместно с "добровольными помощниками" (их имена не раскрываются) провела собственное расследование с целью выяснения принципа работы "секретного механизма", который осуществляет передачу информации. Было установлено, что причиной всех бед является библиотека datatypes.library. Некоторое время назад, одна из пиратских групп поместила на Аминет свою версию этой библиотеки, которая и содержит вредоносный код. До сих пор неизвестен автор этого "шедевра" и хозяин базы данных, хотя подозрения падают на известную хакерскую группу Digital Corruption.

Как это работает

Datatypes.library содержит в себе зашифрованные данные, которые декодируются после загрузки в память. Библиотека считывает файл настроек Miami и извлекает из него login, password и адрес провайдера. Полученные данные отсылаются посредством электронной почты на адрес пиратской группы (почтовый ящик находится на HotMail). Далее, эта информация попадает в специальную базу данных. Datatypes.library имеет многочисленные механизмы защиты, позволяющие скрыть ее активность при чтении файла настроек. Она прозрачна даже для SnoopDos.

Рекомендации

проверьте номер версии и размер библиотеки - зараженная имеет версию 45.4 или 45.5, объем 32748 байт;
в настоящее время реально используются следующие версии datatypes.library:
- 39.11 (в составе Workbench)
- 40.6 (в составе Workbench)
- 45.3 (доступна на Аминете)
- 45.4 (доступна на Аминете)
объем "настоящей" datatypes.library версии 45.4 - 27780 байт.

если на вашем компьютере установлена зараженная библиотека, то
- замените библиотеку (см. список)
- выключите компьютер на 30 секунд, затем включите
- немедленно произведите замену пароля для входа в Сеть (согласуется с провайдером)

Что касается Miami и Miami Deluxe, то они никогда не имели и не будут иметь скрытых механизмов. Эти слухи являются попыткой дискредитации пиратскими группами моего имени, моей компании, моих продуктов. Такое отношение вызвано отказом сотрудничать с пиратами (поддержка их программных продуктов, бесплатная передача ключей программ в обмен на обещания не заниматься взломом указанных программ).

Комментарии "Амига сегодня"

Хольгер Крус давно известен как непримеримый борец с пиратством. Очевидно, эта сторона его деятельности и послужила причиной описываемых событий. На этом можно было бы успокоиться и считать вопрос закрытым, однако, имеются некоторые интересные моменты, которые не позволяют охарактеризовать случившееся, как "буря в стакане".

Убаюкивающие утверждения об отсутствии скрытых механизмов в Miami, мягко говоря, не совсем верны. 19 марта 1998 года на сайте Amiga.org промелькнуло сообщение о том, что Хольгер Крус обнаружил backdoors в Miami и AmiTCP. В заметке давались рекомендации по их устранению. К сожалению, мне не удалось получить доступ к этой информации, так как ссылка на сегодняшний день уже не работает (надеюсь, что не по злому умыслу). На сайте Nordic Global также ничего не удалось обнаружить по этому вопросу.

Net Рассуждая о паролях и именах, г-н Крус ничего не упоминает о регистрационном номере пользователя. Не исключен и такой вариант - при входе в Интернет, IP-адрес и регистрационный номер используемого продукта передается в "укромное местечко", где специальный скрипт обрабатывает полученную информацию. Вполне возможно существование черного списка регистрационных номеров. В случае принадлежности номера к указанному списку, выдается команда управления, "затыкающая" пиратскую версию программы. Подобные факты мне пока неизвестны, но кто знает, что ожидает пользователей в будущем? Поборники справедливости могут возразить, что разработчик имеет право защищать свой продукт от посягательств пиратов. Благими намерениями вымощена дорога сами знаете куда. Если существует backdoor, то всегда найдется тот, кто помимо авторов сможет им воспользоваться. За реальными примерами можете обратиться к знатокам Windows.

Некоторые могут подумать, что я сгущаю краски. Приведу еще один пример - известный почтовый клиент YAM (прошу прощения, сегодня только ленивый не ругает последние релизы демо-версии, при этом продолжая ими пользоваться). В его файле конфигурации содержатся так называемые скрытые настройки, которые недоступны из самой программы. Их изменение возможно только ручным редактированием. Среди прочих, имеется одна очень интересная настройка - SupportSite (сайт поддержки). Описание ее назначения весьма лаконично - проверка версии программы и доступ к галерее изображений клиентов. А теперь, пофантазируйте на тему "Марсель Бэк настоятельно рекомендует произвести платную регистрацию Вашей копии Yam Х.Х".

Нельзя обойти вниманием и "добровольных помощников", о которых упоминает Хольгер Крус. Насчет программистов не скажу ничего плохого - их деятельность при таком сотрудничестве ничем не отличается от хакерской (а эти ребята, в своем большинстве, тоже работают "за идею"). Однако, не стоит забывать и о том, что в цивилизованных странах (например, Германии и США), у значительной части населения высокий уровень гражданского самосознания (в России это называется немного проще - стукачество). Встреча с такими людьми вполне возможна на просторах Интренета, который, как известно, не имеет границ. По этому поводу позволю небольшое отступление.

Не так давно, в августе этого года, на русскоязычном амижном чат-канале было отмечено регулярное появление некого субъекта из Англии (завсегдатаи канала должны помнить его псевдоним - Dok). Поначалу его пребывание на канале сводилось к безобидному "трепу". Немного позже выяснилось, что он имеет демо-версию Miami,"падающую" через каждые 30 минут нормальной работы, и хотел бы раздобыть ключ к этой программе. Кажется, наши соотечественники не поддались на провокацию. Не исключено, что это вполне мог быть и "безобидный" случай - я сам недавно стал свидетелем, как это самое "самосознание" куда-то исчезает у иностранных граждан, пересекающих российскую границу. Находясь в гостях у одного англичанина (отнюдь не бедного, так как он имеет свое дело в России), мне попалась на глаза приличная стопка пиратских компакт-дисков с записями классиков британской рок-музыки в формате MPEG3. Когда я спросил о возможности выпуска подобной продукции в UK, англичанин театрально провел ладонью по шее ("секир-башка"), и сообщил, что в его стране имеется специальная полиция, которая борется с пиратами.

Возвращаясь к Nordic Global, хочу заметить, что мы станем свидетелями и, к сожалению, участниками еще не одного скандала. Мало кто (разве что разработчики и дилеры) обратил внимание на заявление руководителей Amiga Inc. о "новых эффективных средствах защиты от пиратства", которые будут заложены в программные продукты нового поколения. Боюсь, что после этого сканадал с Miami покажется веселой предрождественской сказкой.

DJV

P.S. Буду рад получить отклики и мнения по затронутым темам.
Пишите!