home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / HACKSTUF.ZIP / GETIT.ZIP / READ.ME < prev   
Encoding:
Text File  |  1989-06-01  |  3.6 KB  |  69 lines
  1. Thief is a TSR (Terminate and Stay Resident) utility written in 8086 assembly
  2. language that attempts to steal Novell passwords.  It originates from a site
  3. with consummate hackers and a long, colorful history of mischief: George
  4. Washington High School in Denver, Colorado.
  5.  
  6. The school is well endowed with a large variety of IBM microcomputers.  Five
  7. rooms of about 30 computers each are all tied together on a Novell network.
  8. Four of the five rooms solely use boot proms for initializing the
  9. workstations.*  However, the fifth houses IBM PS/2 model 80s with hard drives.
  10. The power users tend to congregate in this area, including the "administrators"
  11. with Supervisor equivalence.  These machines do not use boot proms.
  12.  
  13. So it was on one of these computers where the "thief" was first discovered,
  14. because it takes advantage of weaknesses in the security at the boot phase.
  15. Into the regular flow of action in the AUTOEXEC.BAT file, the creator inserted
  16. a line that executes the (hidden) program copied onto the boot disk.  The TSR
  17. remains in the background and the process continues.  Visual signs of the
  18. break-in are imperceptable.
  19.  
  20. Then, as soon as a program named LOGIN is executed, the thief springs to life
  21. and records all the keystroke action into a hidden file on the boot disk.  The
  22. human thief may then later return to the computer and see what the trap caught.
  23.  
  24. Before a more detailed description of the "metabolism" of the thief, consider
  25. now the weaknesses that led to the breach:
  26.  
  27. o  a localized boot process, or at least one that is corruptable.
  28. o  _physical_ access (by the thief) to a sensitive computer.
  29.  
  30. Both are controllable, of course.  The boot prom is a solution for the former,
  31. and lock and key (on the computer or a room that surrounds it) is for the
  32. latter.
  33.  
  34.  
  35. Now return to the "metabolism".  Surprisingly, THIEF uses the same "hook" that
  36. the Novell shell does!  That is, it captures the centralized portal to DOS,
  37. interrupt 21h.*  Then, it intercepts all function calls.  Specifically, it
  38. checks for the EXECute file function call and the "terminate" interrupt.
  39. Whenever an EXEC call is made with a filename LOGIN, THIEF springs to life and
  40. records keystrokes until the program terminates.  This is somewhat
  41. sophisticated; however, an even more effective method could be realized: it
  42. could simply wait for the specialized Novell function call to log in, and
  43. record the calling parameters.  Note that the above technique requires the
  44. program be loaded _subsequent_ to the Netware shell.
  45.  
  46.  
  47. By no means are these types of programs new; they have been around as long as
  48. password-based program security.  Here, however, is an example that is
  49. tangible and immediate.  Study of it is beneficial because knowledge of
  50. Netware security is one thing; knowledge of how to _defeat_ it is quite
  51. another!  The latter demands cutting-edge sophistication and comprehension.
  52.  
  53. The future will certainly see improved identification techniques, and timeless,
  54. devious ingenuity will be there to greet them.
  55.  
  56.  
  57. Note: THIEF was formerly named GETIT by its creator, who was careless and cocky
  58. enough to leave the source code.
  59.  
  60.  
  61. *"Boot proms", for those not familiar, are accessory chips that reside on
  62. network interface cards; they redirect local drive activity to the server
  63. during the boot process, thus allowing a workstation to initialize without a
  64. (boot) disk.
  65.  
  66. *Interrupt 21h is that used by any program when requesting a DOS function.
  67. The Netware shell, of course, intercepts this regular flow.  It may pass the
  68. information directly along to DOS, or process the call itself.
  69.