Websecurity - Веб безпека

This is English version of my Dark side of bookmarks article.

There is such useful functionality in browsers as bookmarks. This menu in IE called Favorites, and in other browsers called Bookmarks. At first sight this functionality doesn’t betoken any problems with security for users of the browsers, but it’s not so. There are several attacks, which can be conducted via bookmarks. I planned to tell about it already in 2008 and I’d tell you about it in my article “Dark side of bookmarks”.

Attacks via bookmarks.

There are possible next attacks via bookmarks:

1. Spam.
2. Phishing.
3. Malware spreading.
4. DoS attacks.

Bookmarks create conditions for conducting of persistent attacks, because bookmarks are saving at computers of the users. So every of above-mentioned attacks is persistent attack, which can trigger in any time, when user will choose bookmark in his browser.

Methods of conducting of attacks.

The next methods can be used for spreading of malicious bookmarks:

1. Social engineering: inscriptions “Press Ctrl-D” at the sites under control of offenders (where code for redirection or other code is placed, which will trigger on next visit of the site).
2. Hacking of the sites and changing of codes in links “Add to Favorites” to malicious codes, or putting of such links at the sites under control of offenders.
3. Using of viruses, which add bookmarks into victim’s browser.
4. Using of viruses for changing of existent bookmarks to malicious ones in victim’s browser.
5. Using of attacks with active (looped) proposition to add to bookmarks (in modern browsers), so as to let victim to accidentally add to bookmarks (or to force her to add to bookmarks).

Spam.

Bookmarks on advertising sites can be put into Bookmarks (Favorites). So bookmarks can be used for spam spreading.

Phishing.

Just as in case of spam, bookmarks can be used for phishing. But in this case, besides putting of bookmarks via methods 1, 2 and 5, the most effective will be methods 3 and 4. So as to let victim to click on bookmark, which must lead to the site of her bank, but in result proceed to phishing site.

Malware spreading.

Attack will be conducting via bookmark on exploit for browser. Which will execute malicious code in browser of the user, after click on bookmark, and will install virus at his computer.

DoS attacks.

Attack will be conducting via bookmark on DoS exploit. After click on bookmark by the user, his browser will crash or freeze.

Mechanism of bookmarks also can be used by itself for conducting of DoS attacks on browsers. This attack I called DoS via bookmarks. Firefox 3 and previous versions, Internet Explorer 6, Internet Explorer 7 and Opera 9 and previous versions are vulnerable to it.

Conclusions.

Attacks via bookmarks are completely real and dangerous. So users of the browsers must be careful in Internet and don’t add anything in bookmarks. And don’t click on unknown bookmarks in own browser.

В браузерах існує такий корисний функціонал як закладки (букмарки). Дане меню в IE називається Favorites, в інших браузерах - Bookmarks. На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через закладки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темна сторона закладок” (Dark side of bookmarks).

Атаки через закладки.

Можливі наступні атаки через закладки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Закладки створюють умови для проведення постійних (persistent) атак, тому що закладки зберігаються на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати в будь-який час, коли користувач вибере закладку в своєму браузері.

Методи проведення атак.

Для поширення шкідливих закладок можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Натисніть Ctrl-D” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Добавте у вибране” на шкідливі коди, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів, що заносять закладки у браузер жертви.
4. Використання вірусів для зміни існуючих закладок на шкідливі у браузері жертви.
5. Використання атак з активною (зацикленою) пропозицією додати в закладки (у сучасних браузерах), щоб жертва випадково додала у закладки (або змусити її додати у закладки).

Спам.

В закладки (Bookmarks, Favorites) можуть бути занесені закладки на рекламні сайті. Тобто закладки можуть використовуватися для поширення спаму.

Фішинг.

Так само як і у випадку спаму, закладки можуть використовуватися для фішингу. Але в цьому випадку, окрім занесення закладок через методи 1, 2 та 5, особливо ефективними будуть методи 3 і 4. Щоб жертва клікнула на закладку, яка повинна вести на сайт її банку, а в результаті перейшла на фішерський сайт.

Поширення шкідливого коду.

Атака буде відбуватися через закладку на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після кліку по закладці, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через закладку на DoS експлоіт. Після кліку по закладці користувачем, його браузер вилетить або зависне.

Також механізм закладок сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через букмарки. До неї уразливі Firefox 3 та попередні версії, Internet Explorer 6, Internet Explorer 7 і Opera 9 та попередні версії.

Висновки.

Атаки через закладки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-що в закладки. І не клікати по невідомим закладкам в своєму браузері.

В Інтернеті постійно відбуваються фішинг-атаки. Я це знаю не тільки з публічної статистики, але й з власного досвіду - мені щодня приходить по декілька ламерських фішерських емайлів (серед щоденного потоку спама). В Уанеті також відбуваються атаки фішерів і з кожним роком все більше.

Зокрема нещодавно я писав стосовно фішинг-атак, де зазначав, що фішинг-атаки на клієнтів українських банків відбуваються регулярно. Подібні атаки мали місце в 2006, 2007, 2008 і 2009 році. І головне, що на подібні атаки ведуться люди, які стають жертвами фішерів - подібні випадки були в попередні роки і в цьому році (хоча той випадок, про який повідомила СБУ, виглядає дещо підозрілим, але він є ціклом імовірним).

За останніми даними, число фішингових атак досягло дворічного максимуму. Тому користувачам сайтів українських банків та онлайнових платіжних систем потрібно бути обережними в Інтернеті.

В своїй презентації Фішинг-атаки через Інтернет, я навів приклади фішерських атак. Серед методів фішинг-атак я виділив наступні:

• Зараження комп’ютера користувача банківським трояном.
• Підробка банківського сайта.
• Використання уразливостей банківського сайта.

Також існують нові просунуті методи проведення фішерських атак, про які я писав раніше. Це фішинг-атаки через електронну пошту, коли фішинг сайт розміщується в емайлі, та через редиректори.

Ідею з використанням редиректорів для фішинг-атак я придумав влітку цього року і поки ще не зустрічав випадків подібних атак, але з часом такі атаки можуть з’явитися (тому я попередив про це як власників сервісів редирекції та розробників браузерів, так і всю інтернет спільноту). При використанні редиректорів для проведення даних атак, можна розмістити фішинг сайт в лінці. Такі атаки можна провести через TinyURL та інші сервіси редирекції.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: “filename cannot be empty”

Warning: constant

Warning: Unable to access

Warning: convert “function.convert”

Warning: “cannot read from”

Warning: copy

Warning: failed to open stream

Warning: curl “function.curl”

Warning: “No such file or directory”

Warning: current “function.current”

В своїй презентації HDIV (HTTP Data Integrity Validator), Bisan розповідає про HTTP Data Integrity Validator. Даний фреймворк являє собою опенсорсний Java Web Application Security Framework.

В статті Слепая быстрота: новейшие методы Blind SQL Injection розповідається про новітні методи проведення Blind SQL Injection атак. Враховуючи, що при сліпій SQL ін’єкції потрібно діставати інформацію з БД посимвольно, то дана атака є більш повільною ніж звичайна SQL ін’єкція, тому й розробляються методи для її пришвидшення.

В статті наводяться наступні методи Blind SQL Injection атак:

• Повний перебір,
• Бінарний (двійковий) пошук,
• Використання find_in_set() і подібних функцій,
• Використання find_in_set() + more1row.

Якщо методи повного перебору і бінарного пошуку вже давно відомі, то методи з використанням find_in_set() є новими, і вони дозволяють ще більше пришвидшити сліпі SQL ін’єкції.

Зазначу, що методи з використанням find_in_set() мають ряд обмежень порівняно з методом бінарного пошуку. Тому на власній практиці я вже багато років використовую саме бінарний пошук для Blind SQL Injection і буду використовувати й надалі. Але сучасні розробки в галузі Blind SQL Injection потрібні, щоб ще більше пришвидшити дані атаки.

Продовжуючи розпочату традицію, після попереднього відео про просунутий SQL Injection в Joomla, пропоную новий відео секюріті мануал. Цього разу відео про XSS та HTML Injection атаки в ICQ. Рекомендую подивитися всім хто цікавиться цією темою.

ICQ 6 HTML EXECUTION AND CRASH

В даному відео ролику демонструється проведення HTML Injection атаки в ICQ 6. Враховуючи, що ICQ 6 використовує движок Internet Explorer, можна проводити XSS та HTML Injection атаки, в тому числі використовуючі уразливості в IE для виконання коду та DoS атак.

Використання движків браузерів, зокрема IE, в інших додатках, створює умови для проводення Cross-Application Code Execution (тобто Cross-Application Scripting) та Cross-Application DoS атак. Рекомендую подивитися дане відео для розуміння векторів міжпрограмних атак та небезпеки подібних уразливостей.

В статті Защита сайта с помощью .htaccess и .htpasswd розповідається про захист сайта за допомогою .htaccess і .htpasswd на веб сервері Apache.

Використання вбудованих механізмів захисту інформації веб сервера Apache дозволяє просто і достатньо надійно захистити необхідні ресурси веб сайта. Дані механізми можуть застосовуватися для обмеження доступу до файлів або директорій.

В даній статті розповідається про файли .htaccess і .htpasswd та процес їх створення. Всі приклади використовують базову (basic) аутентифікацію.

Продовжуючи розпочату традицію, після попереднього відео про експлуатацію уразливостей в ПЗ, пропоную новий відео секюріті мануал. Цього разу відео про просунутий SQL Injection в Joomla. Рекомендую подивитися всім хто цікавиться цією темою.

Advanced Mysql Injection in Joomla

В даному відео ролику наочно демонструється проведення SQL Injection атаки на движок Joomla, зокрема для зчитування локальних файлів на сайті. Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

Як я писав рініше, в Інтернеті зараз є три пошукові системи, що повідомляють про зараженість сайта - це Google, Yahoo та Яндекс. Причому, якщо перші два блокують доступ до такого ресурсу (і потрібно вручну набирати адресу сайта, щоб перейти на нього), то Яндекс не блокує доступ, а лише повідомляє про небезпеку.

Раніше я писав про можливість закриття сайтів через їх взлом, коли через дефейс і/або розміщення вірусів сайт може бути закритим. Окрім цього можлива атака на сайт з іншою ціллю. Можлива атака на сайт з метою його блокування в пошукових системах.

Атака відбувається наступним чином. Сайт взламується і на ньому розміщується шкідливий код. Після того як будь-яка з вищезгаданих пошукових систем проіндексує сайт, в тому числі їй можна допомогти (надавши лінку на сайт через відповідну форму пошуковця), сайт буде помічений як шкідливий.

Що призведе, по-перше, до втрати іміджу даної компанії (або даного проекту), а по-друге, це призведе до зменшення відвідуванності сайта з пошукових систем (з Гугла та Яху, де доступ до інфікованих сайтів блокується). А по-третє, навіть якщо ви швидко почистите сайт, “мітку інфікованості” знімуть не дуже швидко, тому дана атака має тривалий ефект і відповідно наносить достатньо шкоди власнику сайта.

Зазначу, що в останні роки до мене нерідко зверталися люди, за порадою, що їм робити, які стикалися з такою проблемою - коли їх сайти хакали, на них розміщали шкідливі коди і потім їх сайти помічалися як шкідливі в Гуглі. Тому я добре знаю, що така проблема актуальна в Уанеті. І головне, що тут потрібно робити, окрім видалення вірусів з сайта - це завжди слідкувати за безпекою власного сайта.