Извращения с тетей Асей

Роман Куберов aka q_ber

Спецвыпуск: Хакер, номер #048, стр. 048-050-1

(tehnomagix@mail.ru)

Warn-атака, ICQ-черви и несанкционированные действия

ICQ, «Аська», IM (instant messenger/интернет пейджер) от компании Mirabilis на сегодня, должно быть, самая популярная программа для мгновенного обмена сообщениями. Пользователей этой программы насчитываются миллионы по всему миру. Поэтому нельзя удивляться тому, что многие «народные умельцы» используют возможности «тети Аси» в своих грязных целях.

Атака на ICQ через AIM

AIM (AOL Instant Messenger) и ICQ работают по одному протоколу OSCAR (больше того - через одни и те же серверы - прим. AvaLANche'а). Это, в частности дает возможность «сидеть» в AIM используя свой UIN в ICQ. В сети AIM есть такое понятие, как warning-level, оно означает, что любой пользователь AIM может вынести предупреждение другому, если он некорректно общается, постоянно рассказывает бородатые анекдоты про Чапаева и отважного чукчу-оленевода и занимается прочими асоциальными вещами.

Если такой господин ухитрится достать своим искрометным юмором троих пользователей, то его SN (screen name, аналог UIN’а в «аське»), забанят на срок от 3-х до 5-ти часов. Происходит этот процесс примерно следующим образом: от 3-х пользователей серверу отсылается пакет следующего содержания: (клиент XXX серверу тчк клиенту YYY варнинг-левел поднять зпт целую зпт ваш клиент XXX тчк). Как мы уже говорили чуть выше, ICQ и AIM работают по одному протоколу, но значит ли это, что подобный финт ушами можно провернуть и с аськой? Оказывается, значит. В принципе данную атаку (называемую варн-атакой) можно считать разновидностью флуда (в отличие от нее, при флуде на UIN жертвы просто приходят миллионы сообщений, здесь же количество участников намного меньше). Атака эта, по сути, довольно грозная вещь, потому что постоянный бан UIN'а поссорившегося с хакером юзера, не предвещает ничего хорошего: несмотря на то, что UIN его никто не угоняет, воспользоваться он им тоже не сможет.

Немного теории

Пакет в ICQ/AIM называется FLAP. FLAP в содержит в себе SNAC-пакет который, в свою очередь TLV–пакет, образуя своеобразную «матрешку».

SNAC несет в себе 2 значения: мажор и минор.

«Мажор» определяет семейство пакетов, а «минор» - конкретный пакет из этого семейства. По мажору и минору сервер и клиент производят разбор тех или иных пакетов и применяют к ним определенные инструкции.

TLV - это произвольные данные переменной длины: уин, пароль, текст и так далее. Обычно они являются частью SNAC’ов, но в некоторых случаях могут существовать и без них, например - пакет «login».

Основной принцип работы ICQ/AIM протоколов это, как нетрудно догадаться, передача и прием FLAP-пакетов между серверной и клиентской частью. Многие могут со мной поспорить и сказать, что работа протокола заключается в передаче и приеме SNAC-пакетов. Но это не совсем верное утверждение, так как FLAP-пакет инкапсулирует первым.

Минимальную теорию мы, можно считать, освоили, поэтому настало время перейти к предмету нашей сегодняшней дискуссии. Начнем мы со структуры пакета, отвечающего за Варн-атаку. Схему ее можно видеть на листинге: