Информационная безопасность
[RU] switch to English


Team Void

Каково отношение в мире к хакерам из России? Их уважают. Действительно, наши соотечественники входят во многие известные кланы - w00w00, ADM и другие, весьма почитаемые команды. Следует отметить и весьма достойный уровень наших компьютерных профессионалов - российские имена и адреса с .ru вы встретите в большом количестве в любой конференции по безопасности и по другим серьезным темам. Это с одной стороны достаточно странно, учитывая уровень компьютерного образования в нашей стране, но с другой стороны частично объясняется тем, что в силу своей недоступности компьютеры и сети во многом являются уделом специалистов, и по уровню "среднего" пользователя мы "их" значительно обгоняем.

А потому вторую из цикла статей и интервью с профессионалами мне бы хотелось посвятить российской (по происхождению) команде "Team Void". Team Void достаточно известна и в России и за ее пределами, ссылки на ее сервер http://www.void.ru можно найти не только в каталогах, но даже, например, на личной странице RFP (Rain Forest Puppy). Team Void одними из первых описали тактику т.н. "распределенных" атак. Организатором и "фронтмэном" Team Void является duke, с которым мы общаемся хотя и не активно, но довольно давно, что и позволило на правах шапочного знакомства взять у него интервью.

Duke, кто такие "Team Void", чем вы занимаетесь? Когда вы появились? Какие даты можно назвать вашими "вехами"?

Мы являемся некоммерческим объединением, занимающимся исследованиями в области безопасности при передаче данных по IP-сетям (в т.ч. Интернету). Основную известность группа получила зимой сего года после успешного "боевого" применения проекта TFN, реализованного членом проекта Mixter'ом (лица, применявшие TFN в зимних распределённых атаках на Yahoo, eBay и прочие крупные сайты так и не были установлены) /TFN - Tribe Flood Network, средство организации распределенных атак, т.е. атак в которых участвуют большое количество компьютеров, что делает чрезвычайно сложным задачу предотвращения атаки. Более подробную информация по TFN и другим распределенным атакам http://www.security.nnov.ru/1999/december#TFN Распределенные атаки начали появляться в конце прошлого года, идеология распределенных атак была заложена в статьях horizon опубликованных в журнале Phrack < http://www.phrack.com > в 1998-1999 годах. Перевод одной из них http://www.security.nnov.ru/articles/phrack55/p55-09.asp - прим. редактора/

Кто входит в команду? Какие отношения в команде? Как вы познакомились? Имеются ли у вас планы принимать новых членов и если да, то какие требования в к ним предъявляете?

В данный момент в команде трое человек, известные под псевдонимами duke, rchik и mixter, последний из которых является гражданином Германии. Мы занимаемся освоением, а так же повышением собственной квалификации при работе с различными типами ОС, анализом существующих приложений на имеющиеся уязвимости. Первые два члена команды обучались в одном учебном заведении, с третьим познакомились через список рассылки BUGTRAQ, освещающий вопросы компьютерной безопасности. Новым членом команды может стать любой достаточно квалифицированный человек, у которого имеется интерес к описанной деятельности команды.

Как вы проводите совместное время?

Мы проводим рабочий день в офисе.

Каковы ваши задачи? К чему вы стремитесь? Пытаетесь ли вы поломать, все что плохо лежит, или наоборот - ищите дырки, чтобы они затыкались. Если так - то что вы поломали и что заткнули. Что вы можете отнести к своим заслугам, достижениям. Может что-то было "круто" :) Чем собираетесь заниматься в ближайшее время, есть ли какие-то определенные планы?

Нашими задачами является анализ способов получения несанкционированного доступа либо саботирования работы какого-либо объекта с целью разработки методов предотвращения данных возможностей. Особых заслуг не имеем :) К опубликованным программам, получившим некоторое распространение можно причислить портированный для windows эксплоит уязвимости TCP-стека win32 против фрагметированных IGMP-пакетов voidozer, средство сканирования web-серверов на уязвимые CGI voideye, cредство демонтсрации возможности распределённых атак TFN и сканер безопасности NSAT.

Какие приложения, системы вы можете назвать наиболее "дырявыми"? Есть ли какие-то "дырки" которые знаете только вы и не знает пока никто другой? Какие "дырки" вообще чаще всего, по вашему опыту, используются?

К ОС, локальная безопасность которых оставляет желать лучшего, я отнесу ОС семейства Windows 95/98. Лидером же по числу удалённо уязвимых сервисов является RedHat Linux. По нашему мнению, наиболее часто используемыми являются уязвимости сетевых сервисов, исполняемых с правами суперпользователя (root), под которые существуют опубликованные на специализированных сайтах, а так же в списках рассылки "эксплоиты" (т.е. программы, предназначенные для использования данной уязвимости без понимания принципов её действия).

Ведете ли вы какую-нибудь коммерческую деятельность? Если так - то кто ваши заказчики?

Зимой сего года координатором команды и инвестором было учреждено ООО "NeoNet" http://neonet.ru, которое предоставляет услуги по аудиту защищённости сетевых компонентов Заказчика. Одним из условий сотрудничества с агентством является конфиденциальность получаемой в ходе тестирования информации, в том числе и имени / торговой марки Заказчика.

С какими еще группами (или людьми) вы общаетесь в России и за бугром? Кого ты бы мог отнести к лучшим специалистам/командам здесь и там? Может быть сможешь набросать что-нибудь типа top-10 - это вообще было бы замечательно :). Какое у тебя отношения к тому, что вообще происходит в России в области безопасности?

Мы общаемся с аналитиком, известным под псевдонимом rain forest puppy http://wiretrip.net, известным по ряду открытых им уязвимостей в web-сервере компании Microsoft IIS /я бы к наиболее известным работам RFP добавил статью, посвященную типовым ошибкам в CGI-скриптах на perl http://www.security.nnov.ru/articles/phrack55/p55-07.asp - прим. редактора/. К наиболее известным и профессиональным объединениям специалистов официальных и неофициальных категорий я бы отнес

  1. ADM/w00w00 / freelsd.net
  2. RFP / wiretrip.net
  3. Fyodor / insecure.org
  4. Security.IS
  5. НИП "ИнформЗащита" / infosec.ru
  6. Solar Designer / false.com
  7. lam3rz / lam3rz.hack.pl
  8. Brock Teilor
  9. Computer Chaos Club / ccc.de
Компьютерная безопасность в России - явление, несомненно требующее большего внимания и организации. Большинство формаций, подобных моему проекту или же проекту HackZone разобрались с тем, что является их Делом, теперь необходимо оценить обстановку и принять решения по организации управления и дальнейшей деятельности. Мы должны оценить свои возможности и предстоящие трудности и возможные конфликты с государственной системной, всегда рассматривавшей любую безопасность как своё собственное дело. Удобнее это делать одновременно, только разделим задачу на ближайшую и дальнейшую. Первоочередной задачей я считаю организацию оперативного доступа к информации о существующих проблемах и уязвимостях ответственного персонала. Данные задачи выполняются новостийными лентами, списками рассылки, но зачастую информация либо игнорируется системными администраторами, либо поступает в листы с большой задержкой (к примеру, рапорт об уязвимости wu 2.6.0 запоздал почти на три месяца). Второстепенной задачей является обязательное включение обучения основам информационной безопасности в программы курсов подготовки системных администраторов и т.п. Дальнейшей же задачей я считаю организацию взаимодействия маргинальных и коммерческих структур с аппаратом государственного лицензирования и полную легализацию деятельности таких структур.
О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород