Websecurity - Веб безпека

Розповім про ефективність роботи про блокуванню рахунків терористів.

З початку червня я займаюся блокуванням рахунків терористів в електронних платіжних системах. Зокрема в системах WebMoney, Яндекс.Деньги, QIWI і PayPal.

В цьому місяці я неодноразово читав про заяви ДНР, ЛНР та їх прихильників про блокування рахунків. Як написали на початку липня терористи в себе на сайті, в них було заблоковано 295000 рублів на рахунках PayPal і Яндекс.Деньги.

Так що окрім рахунків терористів де зовсім не було або було мало коштів, також трапляються рахунки заповнені коштами. І з кожним днем блокується все більше коштів терористів. Так що робота по блокуванню рахунків в електронних платіжних системах є ефективною і вона буде тривати й надалі.

У червні, 18.06.2014, у Верховній Раді України пройшли слухання на тему “Законодавче забезпечення розвитку інформаційного суспільства в Україні”. В той день я послухав по радіо другу частину цих слухань. І найбільш цікаві теми, що мене цікавили, які піднімалися цього разу і на попередніх слуханнях на цю тему - розробка програмного забезпечення та інформаційна безпека.

Було багато виступаючих, що торкнулися цих тем. Були представники українських софтварних компаній, а також я почув три виступи безпосередньо про тему інформаційна безпека, а також декілька виступаючих побіжно торкнулися теми безпеки в Інтернеті (коли в своїх виступах піднімали питання інформаційних загроз).

Як програмісту з 20-річним стажем, мені неприємно чути пустопорожні заяви депутатів і урядовців з цього приводу. Більше розмовляють, ніж роблять для підтримки цієї галузі (як розвивається всі роки незалежності лише за рахунок самих програмістів). Але хоча б представники софтварних компаній були більш реалістичними в своїх виступах.

Ну, а стосовно інформаційної безпека, зокрема веб безпеки, то всі виступи були ще більш загальними і пустопорожніми. Лише декларації, яких я начувся багато з початку 2000-х років (а веб безпекою я активно займаюся вже більше 9 років). І якщо встановлення антивірусів та інші заходи локальної безпеки відбуваються і з початку 2000-х вже витратили чимало коштів на це (при цьому заробили великі кошти на відкатах), то безпекою веб сайтів і веб додатків державних органів як серйозно не займалися, так і займаються. Що добре видно з мого звіту Атаки на державні сайти України в 2001-2013 роках.

Як я писав в своїх підсумках хакерської активності в Уанеті в 2013 році, всього було атаковано 146 державних сайтів та інфіковано ще 11 державних сайтів. Ситуація з недержавним сектором Інтернету в Україні не краща. Ті самі діряві сайти, взломи й інфікування (а з 2006 я повідомляв про уразливості тисячам адмінів державних і недержавних сайтів). В 2013 році загалом було атаковано 1095 веб ресурсів (як взломи, так і DDoS атаки) та інфіковано 226 сайтів.

Заяви про створення єдиного державного органу в галузі інформаційної безпеки - з однієї сторони пусті, а з іншої - бажання додати ще більше бюрократії в державний апарат і побільше розікрасти на тендерах. Ну, а заява стосовно кібер стратегії держави, яка почала створюватися при Януковичі й найближчим часом буде повністю розроблена, то стосовно неї виникають сумніви (враховуючи особистість Януковича) як в плані ефективності, так і в плані корупції. Потрібне виключно публічне обговорення цієї стратегії.

Тому при таких підходах держави до питань захисту інформації та кібер безпеки, громадянам залишається лише сподіватися на себе. Такою громадською ініціативою є Українські Кібер Війська.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Microsoft Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Exploit Mozilla Firefox 5-15 vulnerability URLDownloadToFile + WinExec

В даному відео ролику демонструється віддалене виконання коду в Mozilla Firefox 5-15. Проведення атаки на дану уразливість через Firefox вказаних версій дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В світі та зокрема в Україні все більшого поширення набувають платіжні карти. Сам багато років користуюся ними. Платіжними картами (дебітними або кредитними) серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Але в торговій мережі, в тих же супермаркетах, іноді трапляються збої терміналів. Тоді карткою не можна розплатитися. Хто користувався пластиковими картками, той знає (сам неодноразово з цим стикався). В таких випадках доводиться або платити за покупки готівкою, якщо вона є, або ж йти до банкомату, щоб зняти готівку. Для тих, хто звик до електронної безготівкової форми оплати (карткою), подібні інциденти дуже не приємні. Вони витрачають час і нерви, щоб оплатити готівкою, коли в тебе є картка, але термінал не працює. Тобто технічні збої в роботі мережі терміналів в різних закладах торгівлі створюють значні незручності для покупців і для самих магазинів.

Окрім технічних збоїв в окремих чи всіх терміналах в магазині також можливий варіант цілеспрямованої атаки. Це блокування платіжних карт. Через уразливості в Інтернет-банкінгу можна буде отримати доступ в акаунт користувача і заблокувати його карту, як то Visa чи MasterCard. В даному випадку відбувається повне блокування карти, доки користувач не пройде процедуру активації карти (що зазвичай складніше, ніж процедура блокування, особливо якщо в конкретному Інтернет-банкінгу є функція блокування, але немає функції розблокування карти, а такі банки я зустрічав). Таким чином користувач не зможе не тільки розплатися картою, а навіть зняти гроші з банкомату.

Я неодноразово зустрічав функціонал блокування карт в Інтернет-банкінгах українських банків. Більш того, в останні роки я знаходив багато уразливостей в Інтернет-банкінгах, що дозволяли отримати несанкціонований доступ в акаунт і провести блокування карт користувача. Навіть якщо функціонал такого сайта не дозволяв вкрасти гроші (через відсутність транзакцій між рахунками), функціонал блокування може зацікавити зловмисників. І щоб напакостити даному користувачу, вони заблокують його платіжні картки. Тому за безпекою Інтернет-банкінгів потрібно слідкувати.

Продовжуючи розпочату традицію, після попереднього відео про переповнення буфера в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-008/CVE-2012-4792 Win7-IE8-EMET NoSpray

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer 8 під Windows 7. Проведення атаки на дану уразливість через Internet Explorer дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В статті Проблеми з витоками персональних даних в Україні я писав, що в Україні багато проблем з захистом персональних даних громадян і держава не докладає достатньо зусиль для боротьби з витокам персональних даних. Ні законодавство в цій сфері не є досконалим, ні Державна служба України з питань захисту персональних даних не працює ефективно (вона більше б’є байдики, ніж захищає дані громадян).

Я неодноразово знаходив випадки витоків персональних даних в Уанеті. Як витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. Так і уразливості на сайтах, зокрема українських сайтах (під час комерційних та соціальних аудитів безпеки), що дозволяють отримати дані користувачів. І ось черговий випадок.

Позавчора, 22.05.2014, я отримав листа від Юлії Тимошенко (всього прийшло два листи мені й моїй матері). Це штаб “Батьківщини” розсилає листи “від Юлі”, де вона закликає проголосувати за неї на виборах президента. Ну вислали листи, які проблеми, агітують таким чином. Але вони вислали іменні листи.

Тобто була злита БД з особистими даними деяких громадян, такими як ПІБ та адреса. Щоб ВО “Батьківщина” могла надіслати іменні листи. Після цього я знайшов в Інтернеті підтвердження, що не тільки в Києві, але й в інших містах України були розіслані такі іменні листи. Мій аналіз показав, що це база даних пенсійного фонду. Тобто ПФУ незаконно злив свою базу даних “Батьківщині”, щоб громадянка Тимошенко (яка навіть не є держслужбовцем) розіслала свої листи. І з такими та іншими витоками персональних даних потрібно боротися.

Продовжуючи розпочату традицію, після попереднього відео про атаку на OpenSSL, пропоную нове відео на веб секюріті тематику. Цього разу відео про переповнення буфера в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Adobe Flash Player Shader Buffer Overflow (APSB14-13 CVE-2014-0515) Metasploit Demo

В даному відео ролику демонструється використання експлоіта для проведення атаки на Buffer Overflow уразливість в Adobe Flash Player 13.0. Це свіжа уразливість в Flash Player, яка призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE10) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на веб браузери.

Продовжуючи розпочату традицію, після попереднього відео про атаки на інтерфейс користувача браузера, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаку на OpenSSL. Рекомендую подивитися всім хто цікавиться цією темою.

OpenSSL CVE-2014-0160 (Heartbleed)

В даному відео ролику демонструється атака на OpenSSL через Heartbleed уразливість. Використання даної уразливості в OpenSSL дозволяє нападнику отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік.

Атака відбувається при відвідуванні в браузері HTTPS сервера, що використовує OpenSSL (а таких серверів сотні мільйонів - OpenSSL дуже поширений в Інтернеті). Рекомендую подивитися дане відео для розуміння векторів атак на SSL.

Продовжуючи розпочату традицію, після попереднього відео про 0day уразливість в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки на інтерфейс користувача браузера. Рекомендую подивитися всім хто цікавиться цією темою.

HITB2013AMS D2T2 Rosario Valotta - Abusing Browser User Interfaces for Fun and Profit

Торік на конференції Hack In The Box (HITB2013) в Амстердамі відбувся виступ Rosario Valotta. В своєму виступі він розповів про атаки на інтерфейс користувача браузера. Коли використовуючи соціальну інженерію та особливості UI браузерів можна проводити атаки на користувачів.

Розаріо розповів про різні аспекти таких атак в різних популярних браузерах. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

В Україні вже давно мають місце проблеми з витоками персональних даних. Про це я писав на протязі багатьох років і кожен українець, хто отримував дзвінки чи смски рекламного характеру (по стаціонарному чи мобільному телефону), стикався з цим. Витоки емайл адрес з розсиланням спаму також трапляються регулярно.

В тому числі я писав про витоки баз даних персональних даних українців. Як то база телефонних номерів Укртелекому, що з початку 2000-х продається на дисках на Радіоринку, Петровці та інших місцях продажу піратських дисків, і витік даних з бази “Служба 109″ Укртелекому на їхньому сайті. А також витоки інформації на різних сайтах - як я зазначав, такі витоки допускають ПриватБанк та деякі інші компанії.

Таким чином вже друге десятиліття в Україні має місце проблема з захистом персональних даних громадян. І поки що вона не вирішується. Незважаючи на те, що в 2011 році була створена Державна служби України з питань захисту персональних даних.

Про уразливості на сайті цієї служби zpd.gov.ua я вже писав. Вони не слідкують за безпекою власного сайту (який може бути взломаним і можуть бути вкрадені персональні дані, що на ньому зберігаються), ігнорують мої повідомлення про уразливості і не виправляють їх. Як і не займаються безпосередньо своєю роботою - захистом персональних даних. Що добре видно зі всіх цих кричущих випадків витоків персональних даних, якими переповнений Уанет і на які вони закривають очі.

Тобто ця служба лише зроблена для відводу очей, щоб зробити вигляд, що влада бореться з порушеннями в сфері персональних даних, але насправді служба нічого не робить. І скоріше за все за всі ці роки вона лише проїдала державні кошти без жодної користі для держави. Ось яскравий приклад роботи цієї служби.

В 2012 році відбувся витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. А в Уанеті окрім навмисних витоків трапляються і взломи сайтів з викраденням персональних даних (які в подальшому можуть бути розміщені в Інтернеті). Так ця служба не відреагувала на даний інцидент, навіть після мого листа з повідомленням про цей випадок. Їм байдуже, що відбуваються витоки персональних даних українців, їм аби фінансування виділялося, а там хоч трава не рости.

Враховуючи, що в останній час ведуться розмови про люстрацію, то я раджу обов’язково люструвати Державну служби України з питань захисту персональних даних. Усю службу: від керівництва до останнього працівника. Щоб вони несли відповідальність за марне проїдання державних коштів і не виконання своїх обов’язків.

P.S.

Після написання цієї статті трапився інцидент з передвиборчими витоками персональних даних.