Websecurity - Веб безпека

У цьому році, з 28.02.2013 по 12.08.2013, відбувся другий масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про масовий взлом сайтів на сервері Hetzner Online.

Всього було взломано 46 сайтів на сервері компанії Hetzner (IP 5.9.146.42). Це наступні сайти: ooo-amd.com, archivzp.gov.ua, traveldyvosvit.com.ua, domik.in, entry.in.ua, www.shark.in.ua, cheeez.com.ua, araks-service.com.ua, apartmentservice.com.ua, hotstars.worldinterest.ru, gifs.worldinterest.ru, www.teatr-teremok.com.ua, avtoadvokat.zp.ua, 7744992.ru, admokulovka.ru, ale-ksander.ru, barvashov.ru, bdk.liastudio.ru, bordekor.ru, borgarant.ru, borovichi-beton.ru, borzabor.liastudio.ru, cso-borovichi.ru, culture-kulotino.ru, di-zhelezkovo.ru, domzakaz.su, eco-gorod.ru, evak-econom.ru, evak-ekonom.ru, fotosuv.ru, geoti.ru, gidromechanic.ru, jeans-borovichi.ru, laguna.borovichi.ru, luzh1n.ru, luzh1n31.hosting-test.org.ua, nov-business.ru, okulovkaadm.ru, pmmebel.ru, podarki53.ru, sev-company.ru, skazka-53.ru, su53.ru, zodchestvo53.ru, www.beldomokomplekt.ru, odikalone.com.ua. Серед них український державний сайт archivzp.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсу sahrawihacker можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Нещодавно, 16 і 17 жовтня, вийшли PHP 5.4.21 і PHP 5.5.5. У версії 5.5.5 виправлено біля 20 багів, а у версії 5.4.21 виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-080 - Critical Cumulative Security Update for Internet Explorer (2879017) (деталі)

За повідомленням bugtraq.ru, великий взлом Adobe.

Нещодавно Adobe повідомила про взлом своєї мережі, результатом якого стала компрометація майже трьох мільйонів (2,9 млн.) користувацьких акаунтів. Інформація, що витекла, включає імена користувачів, зашифровані паролі, зашифровані номери кредиток. Паролі даних користувачів скинуті, їм вислані відповідні попередження.

Взломщики також одержали доступ до вихідного коду Adobe Acrobat, ColdFusion, ColdFusion Builder та інших продуктів.

Враховуючі дірявість клієнтських та серверних програмних продуктів компанії Adobe (в тому числі я сам знаходив уразливості в їхніх програмах), то зовсім не дивно, що їх взломали.

За повідомленням www.xakep.ru, хакери зберігали код програм Adobe на відкритому сервері.

Невідомим хакерам, потенційно російського походження, на минулому тижні вдалося викрасти вихідні коди програм Adobe, у тому числі платформи розробки веб додатків ColdFusion. Але іноді і вони роблять помилки. Фахівець з безпеки Алекс Холден знайшов вихідні коди на відкритому сервері в Інтернеті. Хоча файл був зашифрований, але все рівно така безтурботність ні до чого.

Компанія Adobe повідомила про взлом 3 жовтня. Крім вихідних кодів, були скомпрометовані також 2,9 млн. номерів платіжних карт користувачів та інші платіжні реквізити.

За повідомленням www.opennet.ru, Google буде виплачувати винагороди за підвищення безпеки популярного вільного ПЗ.

Компанія Google оголосила про розширення дії програми по виплаті винагород за надання інформації про наявність уразливостей у браузері Chrome, компонентах Chrome OS і веб сервісах Google. Відтепер винагороду зможуть одержати також дослідники безпеки, що працюють в області підвищення безпеки популярного мережевого і системного вільного ПЗ, а також розповсюджених відкритих бібліотек.

При цьому винагороди будуть виплачуватися не тільки за виявлення факту наявності уразливостей, але і за створення покращень, що перешкоджають виникненню проблем з безпекою й попереджують появу потенційних уразливостей. Розмір винагороди складе від $500 до $3133,70 у залежності від складності, якості і важливості запропонованих змін.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Safari 5.1.

Пошкодження пам’яті.

• APPLE-SA-2013-09-12-2 Safari 5.1.10 (деталі)

Виявлений слабкий PRNG-генератор в Perl Crypt::DSA.

Уразливі продукти: Crypt::DSA 1.17 модуль для Perl.

За певних умов використовується слабкий генератор.

• Vulnerability in perl-Crypt-DSA (деталі)

У жовтні, 01.10.2013, через півтора місяці після виходу Google Chrome 29, вийшов Google Chrome 30.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 19 уразливостей, 10 з яких позначені як небезпечні, а 6 як помірні. Загальна кількість дірок менша, зате кількість небезпечних дірок більша ніж у попередній версії браузера. А з врахуванням уразливостей знайдених під час внутрішнього аудиту, то це рекорд серед усіх релізів.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті в коді DOM, рендеринга inline-блоків, завантаження ресурсів, розбору XSLT і XML, реалізації PPAPI, діалозі вибору кольору на платформі Windows. Також усунуте пошкодження пам’яті в движку V8 і можливість підміни вмісту адресного рядка. Окремо згадується виправлення ще 27 уразливостей, виявлених у результаті внутрішнього аудиту, 17 з яких позначені як небезпечні.

• Выпуск web-браузера Chrome 30 (деталі)

Виявлена можливість обходу перевірки сертифіката в Python.

Уразливі версії: Python 2.7, Python 3.4.

Некоректна обробка NULL-символів.

• Vulnerability in Python (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 23.0, Thunderbird 23.0, Seamonkey 2.20.

Пошкодження пам’яті, цілочислені переповнення, підвищення привілеїв, виконання коду, обхід захисту, витік інформації.

• Firefox for Android - Same-origin bypass through symbolic links (деталі)
• Mozilla Foundation Security Advisory 2013-76 (деталі)
• Mozilla Foundation Security Advisory 2013-77 (деталі)
• Mozilla Foundation Security Advisory 2013-78 (деталі)
• Mozilla Foundation Security Advisory 2013-79 (деталі)
• Mozilla Foundation Security Advisory 2013-80 (деталі)
• Mozilla Foundation Security Advisory 2013-81 (деталі)
• Mozilla Foundation Security Advisory 2013-82 (деталі)
• Mozilla Foundation Security Advisory 2013-83 (деталі)
• Mozilla Foundation Security Advisory 2013-84 (деталі)
• Mozilla Foundation Security Advisory 2013-85 (деталі)
• Mozilla Foundation Security Advisory 2013-86 (деталі)
• Mozilla Foundation Security Advisory 2013-87 (деталі)
• Mozilla Foundation Security Advisory 2013-88 (деталі)
• Mozilla Foundation Security Advisory 2013-89 (деталі)
• Mozilla Foundation Security Advisory 2013-90 (деталі)
• Mozilla Foundation Security Advisory 2013-91 (деталі)
• Mozilla Foundation Security Advisory 2013-92 (деталі)

За повідомленням www.xakep.ru, персональні дані всіх американців можна купити.

Брайан Кребс після семи місяців розслідування здійснив чергове голосне викриття. Він знайшов, що на підпільних хакерських форумах можна купити інформацію про будь-якого американця, включаючи номер соціального страхування, день народження, номер водійського посвідчення і т.д. Ціни різняться від 50 центів до $2,50 за персональну інформацію і від $5 до $15 за перевірку кредитної історії і більш докладні біографічні дані.

Брайан перевірив, що інформація дійсно правдива, і продавець під ніком SSNDOB реально має доступ до справжніх державних і комерційних баз даних про резидентів США.

За повідомленням www.bbc.co.uk, у Британії створять нову службу по боротьбі з кіберзлочинністю.

Міністр оборони Великобританії заявив, що для того, щоб зміцнити національну безпеку, у країні буде створена нова служба, що буде бороти з кіберзлочинністю.

При створенні нового Об’єднаного відділу по боротьбі з кіберзлочинністю, сотні резервістів, що є фахівцями з комп’ютерних технологій, будуть залучені до роботи разом зі штатними працівниками.

За повідомленням www.opennet.ru, небажання користувачів мігрувати на Java 7 стає серйозною загрозою безпеки.

Компанія Trend Micro опублікувала попередження про виникнення небезпечної ситуації, пов’язаної з припиненням випуску оновлень для Java 6. Незважаючи на те, що гілка Java 6 досягла кінця свого життєвого циклу в лютому і публічні оновлення більше не виходять, біля половини користувачів продовжують користуватися Java 6. З моменту останнього оновлення уже виявлено декілька критичних уразливостей, які торкаються Java 6, що створює серйозну загрозу для сотень мільйонів користувачів, що не поспішають виконати оновлення до Java 7.

Найкращий варіант оновлення старих версій Java - це оновлення не до версії 7, а до ніякої версії . Тобто повне видалення з системи. Бо в Java 7 також знаходять уразливості, тому відмова від неї (зокрема від плагіна до браузера) є найбільш безпечним варіантом. Сам використовую цей підхід багато років і всім раджу.