Websecurity - Веб безпека

Ситуація з паролями на веб сайтах я досліджую багато років, зокрема в рамках комерційних робіт (аудитів та пентестів) та під час соціального секюріті аудиту, коли мені на очі потрапляють логіни і паролі користувачів. І серед них чимало трапляється слабких паролів.

Про те, що використання простих паролів є дуже поширеним, я вже писав. Але сучасний стан з паролями на сайтах відзначається не тільки цим явищем, а іще однією особливістю. Користувачі нерідко використовують пароль ідентичний логіну: він може бути простий, або складний, але логін і пароль співпадають. З такими випадками я стикався дуже часто - майже під час кожного комерційного аудиту чи пентесту (де вдалося отримати доступ до паролів) обов’язково знаходився акаунт, де логін і пароль однакові (в тому числі були такі випадки під час мого останнього аудиту).

Від загальної кількості акаунтів таких облікових записів може бути небагато, але тим не менш вони є. Наприклад, в БД користувачів solor.da-kyiv.gov.ua, таких акаунтів було 4 (де логін співпадав з паролем). Це 7,14% від загальної кількості акаунтів, а якщо прибрати акаунти дублікати, то вийде 7,84% від загальної кількості.

І такі акаунти можуть бути легко скомпрометовані. Й навіть якщо це не адмінській акаунт, то з нього можна буде дістатися до адмінського акаунта використовуючи внутрішні уразливості (тобто це полегшує атаку на сайт). Але неодноразово доводилося знаходити і сайти, де адмінські акаунти мали однакові логін і пароль.

Я давно звертаю увагу на уразливості, що дозволяють дізнаватися логіни - Information Leakage та Abuse of Functionality (Login Enumeration). В статті Виявлення логінів через Abuse of Functionality уразливості я писав на цю тему. За останні 5 років я приводив багато таких уразливостей в WordPress, Drupal та багатьох інших CMS і форумних движках, а також на багатьох сайтах. Найбільше такі дірки поширені серед форумних движків і всі розробники таких движків ігнорують їх, лише розробник IPB в 2009 році, після мого повідомлення, виправив всі такі уразливості в новій версії движка IPB 3.0.

І саме по цій причині, що паролі можуть співпадати з логінами, в останні роки я використовую цей приклад як аргумент, щоб веб розробники виправляли дані уразливості в своїх системах. Але вони це роблять дуже рідко, переважно забиваючи на такі уразливості. Тому уразливості, що призводять до витоків логінів, можуть призвести до серйозних наслідків.

Продовжуючи розпочату традицію, після попереднього відео про хакінг баз даних і тонких клієнтів, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід Cross Origin в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Cross Origin Bypass

В ролику демонструється Cross Origin Bypass уразливість в браузері Google Chrome. Що дозволяє виконати JavaScript код на одному сайті в контексті іншого сайта. В даному ролику JS код виконується на сайті розробника експлоіта в контексті www.google.com, з виведенням вмісту кукіса для сайта Гугла.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Продовжуючи розпочату традицію, після попереднього відео про Топ 10 хакерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про хакінг баз даних і тонких клієнтів. Рекомендую подивитися всім хто цікавиться цією темою.

Database Hacking: Insider Database Privilege Abuse

В даному відео ролику демонструється приклад хакінга баз даних - через атаку на тонкого клієнта (на Java). Коли декомпілюється Java аплет і обходяться обмеження, що були зроблені в додатку, і таким чином отримується доступ до більших даних.

Аналогічні підходи можуть бути використанні й для додатків на інших клієнтських технологіях, на яких можуть бути зроблені тонкі клієнти. Окрім Java, це можуть бути Flash, Silverlight, тощо. Рекомендую подивитися дане відео для розуміння векторів атак на бази даних і тонких клієнтів.

В презентації Network Security Essentials Applications And Standards 3rd Edition, розповідається про книгу William Stallings. В третій редакції Network Security Essentials розглянуті такі теми як e-mail security, IP security, Web security та network management security.

Продовжуючи розпочату традицію, після попереднього відео про обхід sandbox в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про топ 10 хакерів. Рекомендую подивитися всім хто цікавиться цією темою.

Хакеры. Топ 10

В даному телевізійному ролику демонструється 10 найбільших хакерів, на думку телевізійників. Стосовно кожного учасника рейтинга розповідається про його найбільші атаки (згадуються як випадки багаторічної давнини, так і останніх років).

В рейтингу присутні як окремі хакери, так і угруповування, в тому числі така відома хакерська група, як Anonymous (порядок в рейтингу дещо суб’єктивний). Рекомендую подивитися дане відео для покращення власних знянь з історії хакерства.

В цьому місяці в журналі “Auditing & Standards” була опублікована моя стаття. В червневому номері журналу Auditing & Standards 06/2012, що вийшов 11.06.2012, опублікована стаття “Штрафування та закриття веб сайтів через законодавство” (Fining or closing web sites due to legislation).

В ній розповідається про можливість накладання штрафів та закриття сайтів, які порушують законодавство. І з 2008 року я дослідив численні закони і вже розповідав про численні випадки, коли можуть закрити сайт чи оштрафувати його власника. В статті розглянуті такі закони, як EU Cookie Law (захист приватності в ЄС) та Ukrainian Euro 2012 Law (захист авторських прав УЄФА).

Дана стаття базується на двох моїх попередніх статтях: Закриття сайтів через законодавство ЄС та Штрафи та закриття сайтів через Євро 2012. Вона вміщує як матеріали цих статей, так і нову інформацію.

Продовжуючи розпочату традицію, після попереднього відео про SSL Spoofing в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід sandbox в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

VUPEN Pwned Google Chrome aka Sandbox/ASLR/DEP Bypass

В ролику демонструється Code Execution уразливість в браузері Google Chrome. Що дозволяє виконати довільний код у браузері (в даному прикладі запускається calc.exe). При цьому обходяться такі захисні технології як пісочниця (sandbox) Chrome, ASLR та DEP.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Раніше я розповідав про різні причини, через які в Україні правоохоронні органи можуть закрити веб сайти. В останнє я писав про закриття сайтів через розміщення вірусів. А зараз розповім вам про можливість накладання штрафів та закриття сайтів через закони, які стосуються Євро 2012.

В Україні є законодавство стосовно захисту авторського права, в тому числі авторського права УЄФА. Зокрема є закон “Про авторське право і суміжні права“. Відповідно до цього закону, захист авторського права реалізується шляхом встановленим адміністративним, цивільним та кримінальним законодавством. Відповідно до статті 176 Кримінального кодексу “Порушення авторського права і суміжних прав” можливі штрафи, виправні роботи до 2 років та ув’язнення до 2 років за порушення авторського права. А якщо ці дії зроблені повторно, чи групою осбі, чи призвели до значних збитків, то можливі ще більші штрафи, виправні роботи до 2 років та ув’язнення від 2 до 5 років.

Тому copyright УЄФА захищений в Україні поточними законами. Але уряд вирішив зробити закони більш жорсткими. В березні 2012 уряд створив проект Закону про права інтелектуальної власності та репутацію Об’єднання європейських футбольних асоціацій. Спочатку вони планували підняти штрафи за різні порушення авторського права УЄФА, такі як збільшення ув’язнення до 6 років для користувачів та власників сайті за копіювання футбольних записів та поширення їх в Інтернеті. Але потім уряд відмовися від цих змін і ліше запропонував пришвидшити розгляд копірайтних справ в судах. Цей законопроект ще не прийнятий, але це може бути зроблени найближчим часом.

Є один приклад використання закону про авторське право в контексті Євро 2012. У вересні 2011 правоохронці закрити сайт ProstoPrint та саму компанію в зв’язку з порушенням копірайту УЄФА. Офіційна причина правоохоронців для закриття ProstoPrint була такою, що компані продовала футболки з логотипом УЄФА на своєму сайті. При цьому власник ProstoPrint стверджує, що його онлайн магазин не продавав такі футболки і були виготовлені лише ті 15 футболок, що були замовлені правоохоронцями (для створення легальних причин для їхніх дій). Це приклад зловживання сервісами міліцією, коли вони дозволяють таке зловживання (як сервіси другу по замовленню), щоб змусити їх порушити закон та закрити їх.

Навіть без посилення поточних законів, Українське законодавство про авторське право може бути використане проти веб сайтів та компаній, що його порушують. Особливо це стосується копірайту УЄФА, який активно захищається в зв’язку з Євро 2012. Порушення можуть бути зроблені як власниками сайтів (що розмістять заборонений контент), або користувачами сайтів (що завантажать заборонений контент), або правоохоронцями (що заабюзять сервіс, який дозволяє зловживання, як у вищезгаданому випадку), або в результаті взлому сайта та розміщення на ньому такого контенту.

Тому правоохронці можуть притягти до відовідальності тих, хто незаконно копіює футбольні записи та поширує їх в Інтернеті - за це можуть бути штрафи та ув’язнення. А за розміщення на сайтах банерів з логотипом чемпіонату чи трансляцію матчів в Інтернеті, окрім штрафів власники сайтів можуть залишитися без домена і сервера.

Так що за вчинені умисно чи неумисно вищезгадані дії, в тому числі після взлому сайтів, їх власники підпадуть під порушення законодавства. Тому уразливості на веб сайтах можуть підставити їх під штрафи та закриття через порушення копірайту УЄФА. Дана обставина повина стати приводом для власників веб сайтів для покращення їхньої безпеки.

Раніше я розповідав про різні причини, через які в Україні правоохоронні органи можуть закрити веб сайти. В останнє я писав про закриття сайтів через обшук податкової, а також про закриття сайтів через законодавство ЄС (що може стосуватися як європейських сайтів, так і ресурсів інших країн, що направлені на аудиторію ЄС). А зараз розповім вам про закриття сайтів через розміщення шкідливого коду (вірусів).

Після того як в листопаді 2008 СБУ закрила сайт Daily-UA та в грудні 2008 МВС закрила Infostore, я написав статтю про закриття сайтів через їх уразливості, базуючись на цих прикладах (коли сайти закрили через розміщення на них секретних матеріалів та порнографії). Після чого я навів ще багато прикладів українських законів, через які можуть закрити сайти, що їх порушують, та навів випадки подібного закриття веб ресурсів.

Але ще раніше, ще на початку вересня 2008, коли мені потрапив на очі сайт www.crime.org.ua - який є онлайновою версією Кримінального Кодексу України - я звернув увагу на статтю КК України 361.1 (про яку я знав ще з 2004 року), що стосується розповсюдження вірусів, і поглянув на неї під іншим кутом. Як раз з точки зору закриття сайтів зі шкідливим кодом. І з тих пір планував про це написати. Але так як не було прецендентів, то про це я не писав, зате раніше написав статтю про закриття сайтів через секретні матеріали та порнографію, після вищезгаданих випадків з Daily.ua та Infostore. С тих пір дана стаття була лише в планах, чекав доки з’явиться перший прецендент в Україні (хоча писав про випадки закриття сайтів хостерами чи власниками ресурсів саме в зв’язку з розміщенням на них вірусів). Але при спілкуванні з журналістами в останні роки я наводив серед різних причин, чому потрібно слідкувати за безпекою власних сайтів, дані приклади закриття сайтів через законодавство (про які я писав на сайті), в тому числі про можливість закриття в зв’язку з даною статтею КК про розповсюдження вірусів.

І от нарешті з’явився перший прецендент в Україні. Якщо в попередні роки, як я писав в новинах, міліція і СБУ затримували лише продавців “CD з вірусами”, то в цьому році вони вже дісталися до сайтів. При тому, що ще з початку 2000-х років Інтернет є найбільшим джерером розповсюдження вірусів. Як повідомлялося у ЗМІ, 23 березня МВС України припинило роботу веб проекта VX Heavens. Сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК (при цьому власники сайта не вважають себе винними). Цей випадок наочно показує, що українські сайти можуть закривати по цій статті КК.

Нагадаю, що в Кримінальному Кодексі стаття 361-1 передбачає відповідальність за “Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут”. Тобто окрім безпосередньо закриття сайтів, власникам веб ресурсів, які підпали під дію цієї статті, також загрожує штраф, або виправні роботи, або позбавлення волі.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням чи продажем вірусів, подібне закриття сайтів може бути спровоковане через розміщення вірусів на сайтах. Тобто це може бути malware для браузерів, що також є вірусом і підпадає під цю статтю. А malware можуть бути розміщені як власниками сайтів, так і через дірки на сайтах. В своїй доповіді про системи виявлення інфікованих веб сайтів на конференції, я описав всі варіанти потрапляння шкідливого коду на сайт.

Тобто, окрім випадків, коли сам власник сайта розміщує віруси на своєму ресурсі, будь-який сайт може бути взломаний через уразливості на ньому та інфікований. Щотижня я повідомляю про нові випадки інфікувань сайтів в Уанеті, в тому числі й державних сайтів. І всі ці сайти по суті підпадають під дану статтю. Так що зловмисники таким чином можуть підставити власника сайта. І дана стаття КК України є гарним приводом для власників веб сайтів для покращення їхньої безпеки.

Продовжуючи розпочату традицію, після попереднього відео про URL Bar Spoofing в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про SSL Spoofing в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Mozilla Firefox SSL Spoofing vulnerability

В ролику демонструється SSL Spoofing уразливість в браузері Mozilla Firefox. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображується одна адреса, а потім адреса двічі змінюється і в результаті один сайт отримує SSL сертифікат від іншого. Дана уразливість дещо схожа на Certificate Spoofing в Google Chrome для Android, що я знайшов торік.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.