Websecurity - Веб безпека

За повідомленням www.xakep.ru, Google попереджає юзерів про стеження з боку уряду.

До попередніх попередженнь Гугла (про віруси на сайтах, про віруси на комп’ютерах користувачів, про підозрілі запити та інших) вони додали нові попередження.

Два місяці тому в одному з інтерв’ю Сергій Брін сказав, що Всесвітня мережа зараз зіштовхнулася з найбільшими загрозами у своїй історії. Одна з головних загроз виходить з боку урядів, що у різних країнах намагаються обмежити доступ своїх громадян до інформації і всіляко ущемити їхні права.

Google вважає своїм обов’язком захистити волю і приватність громадян, відгородивши їх від державної цензури - і з 05.06.2012 компанія почала попереджати користувачів про можливі спроби компрометації акаунта з боку державних служб.

За повідомленням ain.ua, Україна стала другим найбільшим джерелом DDoS-атак у світі.

“Лабораторія Касперського” опублікувала дослідження, відповідно до якого в другому півріччі 2011 року Україна стала одним з головних джерел DDoS-атак у світі. На нашу країну приходиться 12% DDoS-трафіка, зафіксованого системою Kaspersky DDoS Prevention. Дещо більшу загрозу в цей період представляла Росія (16%). На третьому місці Таїланд (7%). У цілому, 90% зареєстрованих атак велися з комп’ютерів, розташованих у 23 країнах світу.

Якщо не в “позитивних”, то зате в “негативних” рейтингах Україна займає верхні місця. Я вже неодноразово наводив рейтинги вірусної активності в світі та інші рейтинги. Зокрема в Sophos Security Threat Report 2011 Україна зайняла 9 місце серед країн, що хостили шкідливий код.

За повідомленням www.xakep.ru, Metasploitable 2: віртуальна машина Linux для тренування.

HD Moore повідомив про вихід другої версії Metasploitable - віртуальної машини, спеціально спроектованої на максимальну уразливість для тренування, тестів експлоїтів і навчання новачків. На відміну від інших уразливих віртуальних машин, Metasploitable фокусируется на уразливостях в операційній системі Linux і мережевих сервісах, а не на окремих додатках.

В даній добірці експлоіти в веб додатках:

• Web Content System <<< v2.7.1 Remote File Include Exploit (деталі)
• Picture-Engine <= V1.2.0 Remote SQL Injection Exploit (деталі)
• chillyCMS Multiple Vulnerabilities (SQL Injection, XSS) (деталі)
• ACollab Multiple Vulnerabilities (SQL Injection, Authentication Bypass) (деталі)
• AneCMS Multiple Vulnerabilities (LFI, Remote Code Execution) (деталі)

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Після найгучніших випадків витоку даних у 2010 році, розглянемо найгучніші випадки витоку даних у 2011 році.

Наведу сім найбільш гучних витоків інформації в минулому році. Вони розташовані по зростанню.

1. Зникнення даних у University of South Carolina.

Була викрадена 31 тисяча записів. Вони включають наступні дані: імена, адреси, медичні картки хворих, фінансові дані, ідентифікаційні номери карток соціального страхування.

2. Взлом НВ GaryFederal.

Були викрадені 60 тисяч листів і документації (що включають звіти, корпоративну електронну пошту та іншу персональну інформацію). Хакери взломали поштовий сервер компанії НВ Gary Federal і виставили викрадені документи на загальний огляд за допомогою Bit Torrent.

3. Викрадення даних в Ankle & Foot Center.

Були викрадені 156 тисяч записів і листів. Вони включають наступні дані: прізвища й імена, особисті дані користувачів, адреси e-mail, персональні номери кредитних карт, лікарські висновки медичних працівників, перелік наданих послуг.

4. Взлом сервера Seacoast Radiology.

Був отриманий доступ до сервера, на якому знаходилося 231,4 тисяч записів. Вони включають наступні дані: особисті дані пацієнтів, індивідуальні номери карток соціального страхування, домашні адреси, номери мобільних телефонів.

5. Взлом WordPress.com.

Торік сервіс WordPress.com піддався масштабним DDoS-атакам, а потім був взломаний сайт. Розмір витоку даних прихований фірмою, але за оцінками фахівців він склав більше 18 мільйонів записів. Були викрадені вихідні коди, API-ключі доступу, логіни і паролі.

6. Витік інформації в Alliance Data Systems.

Розмір витоку даних прихований фірмою, але за оцінками фахівців він склав приблизно 60 мільйонів записів. Вони включають наступні дані: адреси електронних скриньок, логіни і паролі до облікових записів.

7. Взлом різних сайтів Sony.

Спочатку на ресурси корпорації Sony були проведені DDoS-атаки, а потім були взломані наступні сайти корпорації: Sony PlayStation Network, Qriocity і Sony Online Entertainment.

Всього було викрадено 101 мільйон профайлів користувачів. Вони включають наступні дані: імена, адреси, як домашні так і електронні, логіни і паролі облікових записів.

• Самые большие утечки информации 2011 года (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• RSA enVision Multiple Vulnerabilities (деталі)
• ChurchCMS 0.0.1 ‘admin.php’ Multiple SQLi (деталі)
• Multiple vulnerabilities in Piwigo (деталі)
• mysqldumper 1.24.4 LFI XSS CSRF PHPEXEC TRAVERSAL INFO DISCLOS (деталі)
• spip security update (деталі)
• ManageEngine DeviceExpert 5.6 Java Server ScheduleResultViewer servlet Unauthenticated Remote Directory Traversal Vulnerability (деталі)
• DirectAdmin v1.403 - Multiple Cross Site Vulnerabilities (деталі)
• Car Portal CMS v3.0 - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• DIY CMS v1.0 Poll - Multiple Web Vulnerabilities (деталі)

Продовжуючи розпочату традицію, після попереднього відео про обхід sandbox в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про топ 10 хакерів. Рекомендую подивитися всім хто цікавиться цією темою.

Хакеры. Топ 10

В даному телевізійному ролику демонструється 10 найбільших хакерів, на думку телевізійників. Стосовно кожного учасника рейтинга розповідається про його найбільші атаки (згадуються як випадки багаторічної давнини, так і останніх років).

В рейтингу присутні як окремі хакери, так і угруповування, в тому числі така відома хакерська група, як Anonymous (порядок в рейтингу дещо суб’єктивний). Рекомендую подивитися дане відео для покращення власних знянь з історії хакерства.

23.02.2012

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 11.1.

Пошкодження пам’яті, обхід обмежень, міжсайтовий скриптінг.

• Security update available for Adobe Flash Player (деталі)

14.06.2012

Додаткова інформація.

• Adobe Flash Player MP4 Stream Decoding Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Aruba Networks multiple advisories: OS command injection in RAP web interface and 802.1X EAP-TLS user authentication bypass (деталі)
• Multiple XSS vulnerabilities in XOOPS (деталі)
• Security advisory for Bugzilla 4.2.1, 4.0.6 and 3.6.9 (деталі)
• Specially crafted Json service request allows full control over a Liferay portal instance (деталі)
• Liferay 6.1 can be compromised in its default configuration (деталі)
• VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues (деталі)
• Specially crafted webdav request allows reading of local files on liferay 6.0.x (деталі)
• XSS in Kaseya version 6.2.0.0 web interface (деталі)
• PHP Ticket System Beta 1 ‘p’ SQL Injection (деталі)
• WebCalendar <= 1.2.4 Two Security Vulnerabilities (деталі)

В цьому місяці в журналі “Auditing & Standards” була опублікована моя стаття. В червневому номері журналу Auditing & Standards 06/2012, що вийшов 11.06.2012, опублікована стаття “Штрафування та закриття веб сайтів через законодавство” (Fining or closing web sites due to legislation).

В ній розповідається про можливість накладання штрафів та закриття сайтів, які порушують законодавство. І з 2008 року я дослідив численні закони і вже розповідав про численні випадки, коли можуть закрити сайт чи оштрафувати його власника. В статті розглянуті такі закони, як EU Cookie Law (захист приватності в ЄС) та Ukrainian Euro 2012 Law (захист авторських прав УЄФА).

Дана стаття базується на двох моїх попередніх статтях: Закриття сайтів через законодавство ЄС та Штрафи та закриття сайтів через Євро 2012. Вона вміщує як матеріали цих статей, так і нову інформацію.