Websecurity - Веб безпека

This words from Bible are very actual in our time. Particularly in context of security of search engines. Community don’t know about real risks that search engines bring to it. And engines vendors like to convince everyone of their work at security (but it is far from reality). So the time has come to look into eyes of truth, which I’ll be trying to bring to you.

Main purpose of the project: to demonstrate the real state of security in search engines. There are vulnerabilities in the engines (that mean that their developers insufficiently attend to security) and the community need to know about that. When he will be knowing truth, every user of Internet will can make thoughtful choice concerning search engines.

Participants of the project: most popular search engines of the world, including Google, Yahoo, MSN. As global search engines, and as local engines, which developers of popular engines offer to site’s owners for placing at their sites.

There are hundreds (and thousands) different search engines in the world, big and small ones. It was not easy to chose the most popular from them. I spent a lot of time for this choice. I notice, that for current time there is no information about popularity of engines in world scope. There is information about popularity engines in some countries (moreover I mainly know this data), but there are no information about whole world. For this reason selection of participants are relatively subjective. But each of them are taking leading stand in its own category.

If somebody will not find his favorite engine during the month, then you don’t worry - there are holes in this engine also . There are vulnerabilities in all engines. In my own practice of social security audit I found a lot of holes in search engines, I wrote about that at my site, and about some other holes I’ll write during the Month of Bugs. There are also many others engines, where I found holes, which didn’t get to final list of participants. There are a lot of engines in the world, one month is not enough to write about all. It is not hard for me to make additional new month of bugs in search engines, even full year of bugs. But the month will be enough to attract attention of Internet community on this problem. And about other engines, which didn’t get to list of participants, I’ll write later, during my own everyday work.

Rules of the project: participation of search engines in the project are voluntary. So I voluntarily chose participants for the project . Each day I will publish holes in single engines. It can be one or more vulnerabilities. It will be so during 29 days, and on 30th day I planned a surprise (it will be complex day of bugs). And at 1st of July I’ll sum up the project.

Information disclosure for developers of search engines will be specific. It will be different from my general practice, when I found hole, make an announcement (without details), than I inform site’s owner, and then after some time (presently it is 3 months) I write details. This is very long process, so for this project I chose other form of informing. All details will be published at site without prior informing to engines’ owners (so they need to watch the news). It will be approaching to real life - where bad guys found holes and use it, without informing anyone, so engines vendors must be ready for that (and not to dawdle). Welcome to real world. Engines’ owners must understand, that nobody got a job to inform them about anything, they need to attend to security on their own. In case when somebody else attend to their security (and inform them), then they need to appreciate (some engines vendors forgot about that). If I announced this project, then engines’ owners need to think about security of their systems. And taking into account than my primary goal is security, then I’ll send official notification to all participants (about the participation in my project). And developers of engines just need to watch the news at site and to fix the vulnerabilities.

Also I have a proposition: lets choose the best bug of Month of bugs. I propose two nominations: Best bug of MOSEB MustLive Choice and Best bug of MOSEB Visitors Choice. In the first nomination I already chose winner, so now the visitors need to chose winner in the second nomination. During holding the project, if you will like some bug to much, than you write a response in the comments (”Cool”, “Nice”, etc.). And in the end of month I’ll compute the voices. The results will be announced in the project’s totals.

Results of the project: improvement of security of search engines and Internet as a whole.

Ці слова із Біблії дуже актуальні в наш час. Зокрема в контексті безпеки пошукових систем. Громадськість не знає про реальні загрози, що несуть їй пошукові системи. Та й розробники пошуковців полюбляють запевнювати, що вони слідкують за безпекою (що насправді далеко не так). Тому настав час подивитися правді у вічі, котру я буду намагатися донести до вас.

Головна мета проекту: демонстрація реального стану справ з безпекою в пошукових системах. В пошуковцях є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, кожен користувач Інтернету зможе зробити усвідомлений вибір щодо пошукових систем.

Учасники проекту: найбільш популярні пошукові системи світу, в тому числі Google, Yahoo, MSN. Як глобальні пошукові системи, так і локальні пошуковці, котрі розробники популярних пошуковців пропонують власникам сайтів для встановлення на їх ресурсах.

В світі існують сотні (і тисячі) різноманітних пошукових систем, великих і маленьких. Вибрати з них самих популярних було не просто. На цей вибір я потратив чимало часу. Зазначу, що на даний момент немає інформації про популярність пошуковців в світовому масштабі. Є інформація по популярності пошуковців в деяких країнах (причому ці дані мені переважно відомі), але інформації по світу в цілому немає. Тому й вибірка учасників відносно суб’єктивна. Але кожен з них в своїй категорії займає лідируючі позиції.

Якщо хтось не знайде протягом місяця свого улюбленого пошуковця, то ви не переживайте - і в цьому пошуковці є дірки . Уразливості є в усіх пошуковцях. В своїй практиці соціального секюріті аудита я знаходив чимало дірок в пошукових системах, про що писав в себе на сайті, і про деякі з них я напишу під час Місяця багів. Ще чимало пошуковців, баги в яких я знайшов, не потрапили в фінальних список учасників. В світі багато пошуковців, за місяць про всіх не розповісиш. Мені не важко зробити додатково ще один місяць багів в пошукових системах, та хоч цілий рік багів. Але одного місяця вистачить, щоб звернути увагу інтернет спільноти на цю проблему. А про всі пошуковці, що не ввійшли в список учасників, я буду писати пізніше, в рамках своєї щоденної роботи.

Правила проекту: участь пошукових систем в проекті добровільна. Тобто я добровільно вибрав учасників для проекту . Щодня будуть публікуватися дірки по окремому пошуковцю. Це може бути як одна, так і більше уразливостей. Так буде на протязі 29 днів, а на 30 день я запланував сюрприз (це буде комплексний день багів). А першого липня я підведу підсумки проекту.

Інформування розробників пошукових систем буде специфічне. Воно буде відмінне від моєї загальної практики, коли я знаходжу дірку, роблю анонс (без деталей), потім повідомляю власника сайту, і лише через деякий час (зараз це 3 місяці) я пишу деталі. Це дуже затяжний процес, тому для даного проекту я вибрав іншу форму інформування. Всі деталі будуть публікуватися на сайт без попереднього повідомлення власникам пошуковців (тому їм треба слідкувати за новинами). Це буде наближанням до реального життя - де погані хлопці знаходять дірки і використовують їх, нікому про це не повідомляючи, тому власники пошуковців повинні бути на готові (а не бити байдики). Ласкаво просимо до реального світу. Власники пошуковців повинні зрозуміти, що ніхто не наймався їм повідомляти про щось, вони самі повинні слідкувати за безпекою. І у випадку, якщо хтось інший займається їх безпекою (та їм повідомляє), то треба буди вдячними (про що деякі власники пошуковців забувають). Раз я анонсував цей проект, значить вже власники пошуковців повинні були замислитися над безпекою своїх систем. І враховуючи, що основна моя мета - це безпека, то усім учасникам мого проекту я вишлю офіційне повідомлення (про участь в моєму проекті). І розробникам пошуковців залишиться лише слідкувати за новинами на сайті та виправляти уразливості.

Також у мене пропозиція: давайте виберемо найкращий баг Місяця багів. Пропоную дві номінації: Best bug of MOSEB MustLive Choice та Best bug of MOSEB Visitors Choice. В першій номінації я вже вибрав переможця, тепер треба щоб відвідувачі вибрали переможця у другій номінації. Під час проведення проекту, якщо якийсь баг вам дуже сподобається, то ви в коментарях напишіть відгук (”Cool”, “Nice”, тощо). А в кінці місяця я підрахую голоси. Результати будуть оголошені в підсумках проекту.

Результат проекту: покращення безпеки пошукових систем та Інтернету в цілому.

The time has come for announcement of my new project - Month of Search Engines Bugs. This project will start next month. So June is a month of bugs in search engines .

The purpose of this Month of Bugs is to demonstrate the real state of security in search engines, which are the most popular sites on Internet. I will help search engines users and the web community as a whole understand all risks that search engines bring to them. I’ll also make search engines’ owners aware of the security issues of their sites.

During the month, each day I will publish vulnerabilities in the most popular search engines of the world. Cross-Site Scripting vulnerabilities will be focused on in particular. Each day I will publish vulnerabilities in different engines (minimum one publication at a time, and there will also be bonus publications).

Address of the project: http://websecurity.com.ua/category/moseb/

Additional information about the project and its rules will be published at the end of this month. June will be the hot month.

Ось і настав час для анонсу мого нового проекту - Місяця багів в Пошукових Системах (Month of Search Engines Bugs). Даний проект відбудеться в наступному місяці. Тому червень - це місяць багів в пошукових системах .

Метою даного Місяця багів є демонстрація реального стану справ з безпекою в пошукових системах, котрі є найбільш популярними сайтами в Інтернеті. Щоб користувачі пошукових систем та в цілому веб спільнота розуміли всі ризики, що несуть їм пошукові системи. А також щоб привернути увагу власників пошукових систем до питань безпеки своїх сайтів.

На протязі місяця будуть щоденно публікуватися уразливості в найбільш популярних пошукових системах світу. Зокрема Cross-Site Scripting уразливості. Кожного дня будуть публікуватися уразливості в різних системах (мінімум по одній публікації, але іноді будуть і бонусні публікації).

Адреса проекту: http://websecurity.com.ua/category/moseb/

Додаткова інформація про проект і його правила буде опублікована в кінці поточного місяця. Червень буде спекотним місяцем.