Websecurity - Веб безпека

За повідомленням www.xakep.ru, McAfee Labs прогнозує захід руху Anonymous.

У традиційному річному звіті Threat Predictions (Прогноз загроз) експерти McAfee Labs перелічують найбільш небезпечні тенденції в сфері інтернет-безпеки і роблять прогноз на майбутнє. Цікаво, що в 2013 році вони очікують зменшення кількості атак від хактивістського руху Anonymous.

Подивимося чи справдяться прогнози від McAfee та Symantec .

За повідомленням news.1k.by, взломаний хмарний сервіс Dropbox: компанія підсилює захист.

Влітку 2012 року постраждали користувачі, що довіряють свої файли хмарному сервісу Dropbox. Сотні користувачів почали скаржитися на велику кількість спам-повідомлень у своїх скриньках, і в Dropbox підтвердили, що це їхня провина: у ході недавнього взлому сайта компанії були вкрадені паролі й адреси електронної пошти користувачів. Повідомляється, що постраждало небагато користувачів.

Після цього випадку компанія додала двохфакторну аутентифікацію в свій сервіс. Як це часто трапляється, двохфакторну аутентифікацію додають лише після взлому (а то і багаторазового) власної системи - таке я бачив у багатьох компаніях, регулярно з’являються повідомлення в новинах про доданий OTP захист на сайтах. А щоб завчасно подумати про безпеку, то на це у компаній бажання немає, тільки коли користувачі й клієнти постраждають, тоді починають чухати потилицю.

При тому, що це не перший інцидент з Dropbox - в 2011 році були оприлюднені уразливості на цьому сервісі, що дозволяли отримати доступ до даних інших користувачів (і без будь-якої аутентифікації). Такі уразливості дозволили б обійти й двохфакторну аутентифікацію, тому це не панацея, як заявляють Dropbox і всі компанії, що впроваджують OTP. І якщо ті дірки в Dropbox вже виправлені, то через нові дірки можна буде обійти аутентифікацію та отримати доступ до даних користувачів.

За повідомленням www.xakep.ru, Google Drive: бекдор в Google-акаунт.

Якщо в користувача на комп’ютері встановлена програма Google Drive, то будь-який сторонній може легко зайти в його Google Account, а після цього - одержати доступ до всіх особистих документів, електронної пошти й щоденника.

Фахівці з безпеки попереджають, що ця уразливість присутня в усіх версіях десктопних клієнтів під Windows і Mac OS X. Програма не запитує пароль ні при запуску, ні при вході в акаунт через браузер.

Ще один дірявий хмарний сервіс для збереження файлів. Цей функціонал Google Drive дозволяє обійти аутентифікацію, в тому числі двохфакторну, в Google Account. Й за наявною інформацією, десктопний клієнт Dropbox працює таким самим чином. Що дозволяє обійти двохфакторну аутентифікацію і в цьому сервісі.

0-day уразливість в Oracle Java використовується для встановлення шкідливого коду.

Уразливі версії: Oracle JDK 7, JRE 7.

Апплет може дати дозвіл самому собі.

• Java 7 Update 11 confirmed to be vulnerable (деталі)
• ‘Fix’ for Issue 32 exploited by new Java 0-day code (деталі)
• Oracle Java 7 Security Manager Bypass Vulnerability (деталі)

Можливе використання пам’яті після звільнення в Microsoft Internet Explorer

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Використання пам’яті після звільнення в CButton використовується in-the-wild для встановлення шкідливого коду.

• Microsoft Security Bulletin MS13-008 - Critical Security Update for Internet Explorer (2799329) (деталі)

За повідомленням www.xakep.ru, прогноз Symantec по кіберзагрозам на 2013 рік.

Експерти Symantec опублікували прогноз основних тенденцій у світі інформаційної безпеки, що можуть виявити себе в 2013 році. Прогноз складений за результатами обговорення із сотнями штатних і незалежних експертів, так що це не суб’єктивна думка однієї людини, а результат колективного “мозкового штурму”, з урахуванням розвитку ринку в останні роки.

П’ятірка прогнозів від Symantec:

1. Кіберконфлікти стануть звичайною справою.
2. Шкідливі програми з вимогою оплати.
3. Мобільні рекламні віруси стануть набагато популярніше.
4. Монетизація соціальних мереж обіцяє нові небезпеки.
5. Користувачі переходять на мобільні пристрої та в хмару, за ними йдуть і кіберзлочинці.

За повідомленням ain.ua, у Києві затримали хакера, що займався DDoS-атаками на замовлення.

Київська міліція затримала підозрюваного, що проводив DDoS-атаки на українські й закордонні сайти комерційних організацій за замовленням конкурентів - в основному, російські ресурси. Усього йому вдалося провести близько 50 атак.

За заявою головного інспектора відділу по виявленню злочинів у сфері платіжних систем і інформаційної безпеки МВС Богдана Тищенко, це перший випадок затримки хакера, що працював за замовленням. Міліції також удалося встановити, що киянин підтримував зв’язки з міжнародним хакерським рухом.

Це МВС вперше спіймала такого діяча. В 2009 році СБУ вже спіймала DDoS-ера у Дніпропетровську.

За повідомленням www.xakep.ru, аналіз граматичних залежностей у парольній фразі.

Учені з Карнегі-Меллона опублікували цікаве дослідження, у якому оприлюднили результати аналізу алгоритму для взлому довгих парольних фраз, складених з декількох слів, таких як thispasswordrules чи abiggerbetterpassword. Учені склали граф сполучуваності різних слів один з одним. Виявилося, що в мові не так вже багато комбінацій слів: за одним конкретним словом майже завжди випливає обмежена кількість інших, цілком визначених, слів. Існує тверда граматична залежність частин парольної фрази.

Довгі паролі з 20-25 символів звичайно вважаються стійкими до брутфорсу, але при використанні алгоритмів з аналізом граматичних зв’язків вони підбираються набагато швидше. Учені розробили Proof-of-concept алгоритм для “взлому” граматичних конструкцій і збільшення ефективності атаки по словнику.

Виявленні численні уразливості в Google Chrome для Android.

Уразливі версії: Google Chrome 18.0.

Численні способи обходу захисту і підвищення привілеїв.

• Chrome for Android - Cookie theft from Chrome by malicious Android app (деталі)
• Chrome for Android - Bypassing SOP for Local Files By Symlinks (деталі)
• Chrome for Android - Android APIs exposed to JavaScript (деталі)
• Chrome for Android - Download Function Information Disclosure (деталі)
• Chrome for Android - UXSS via com.android.browser.application_id Intent extra (деталі)

Виявлене пошкодження пам’яті в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.5, AIR 3.5.

Переповнення буфера у флеш плеєрі.

• Security updates available for Adobe Flash Player (деталі)

За повідомленням www.xakep.ru, експлоіт для останніх уразливостей Ruby on Rails.

В останні кілька днів у фреймворку Ruby on Rails виявлені і закриті критичні уразливості з обробкою параметрів XML, що дозволяють зловмиснику здійснити віддалене виконання коду в будь-якому додатку Ruby on Rails, без аутентифікації. За приблизними оцінками, в Інтернеті зараз працює близько 240000 сайтів на Ruby on Rails.

За повідомленням www.opennet.ru, в прошивці мережевих принтерів Samsung і Dell знайдений бекдор.

Деякі моделі мережевих принтерів Samsung поставляються з прошивкою, у якій присутній жорстко прописаний прихований службовий сервіс, що дозволяє віддалено керувати налаштуваннями принтера і проводити його діагностику. Функція додана з метою спрощення сервісного обслуговування в процесі звертання в службу підтримки, але через те, що інформація тепер доступна публічно, даною можливістю можуть скористатися зловмисники для одержання повного контролю над пристроєм.

Проблемі також піддані принтери, що поставляються під брендом Dell, але зроблені за контрактом з компанією Samsung. Доступ до сервісу організований у вигляді відкритого на запис і читання SNMP-ідентифікатора, не видимого в загальному списку SNMP-перемінних, але він залишається активним навіть при відключенні SNMP у налаштуваннях принтера.

Бекдори знаходили у різних пристроях, популярних додатках та веб додатках, а тепер ось у принтерах .

За повідомленням www.xakep.ru, Nokia розшифровує ваші HTTPS-з’єднання, але не потрібно турбуватися.

Індійський фахівець з ІТ безпеки Гауранг Пандіа є щасливим власником смартфона Nokia Asha 302 під операційною системою Series 40. У грудні минулого року Гауранг виявив, що браузер за замовчуванням у його смартфоні Nokia Browser (Xpress Browser) примусово направляє трафік через сервери компанії Nokia.

Здавалося б, що страшного у використанні проксі-сервера? Однак, Гауранг нещодавно одержав докази, що Nokia не просто перенаправляє і стискає трафік, але і розшифровує HTTPS на своєму проксі-сервері. Дослідник опублікував докази у своєму блозі. Компанія Nokia вже опублікувала відповідь і офіційно підтвердила цю інформацію.

У січні, 10.01.2013, майже через півтора місяці після виходу Google Chrome 23, вийшов Google Chrome 24.

В браузері зроблено декілька нововведень та виправлені помилки. В тому числі оновлений Flash-плагін. А також виправлено 24 уразливості, з яких 11 позначені як небезпечні, 8 - помірні і 5 - незначні. Це значно більше ніж в попередній версії браузера.

З уразливостей, що мають статус небезпечних, дві проблеми виявлені в движку v8, три в системі для перегляду PDF, одна в коді доступу до файлів, одна в системі IPC, одна в коді роботи з DOM, одна в движку SVG і одна в коді позиціювання у відеопотоці.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 24 (деталі)

У січні, 08.01.2013, вийшов Mozilla Firefox 18. Нова версія браузера вийшла через півтора місяця після виходу Firefox 17.

Mozilla офіційно представила реліз веб-браузера Firefox 18, примітний переходом на новий JIT-компілятор IonMonkey. Відповідно до шеститижневого циклу розробки, реліз Firefox 19 намічений на 19 лютого, а Firefox 20 на 2 квітня.

Також були випущені Thunderbird 18, Seamonkey 2.15 і Firefox 18 для платформи Android.

Одночасно з Firefox 18 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 10.0.2 і Firefox 17.0.2, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 будуть випускатися до 19 лютого до моменту виходу відновлення Firefox 17.0.3, на яке буде запропоновано мігрувати користувачам гілки Firefox 10 (планується автоматичне виконання міграції).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 18.0 усунуто 21 уразливість, серед яких 12 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (включаючи покращення до одного попереднього патча).

Це найбільша кількість виправлень уразливостей в Firefox та движку Gecko (що використовується й в інших браузерах) в рамках одного випуску. Порівняно з усіма попередніми релізами.

• Релиз Firefox 18 c новым JIT-компилятором IonMonkey (деталі)

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Firefox ESR 10.0, Mozilla Firefox 17.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.14.

Численні пошкодження пам’яті, переповнення буфера, підвищення привілеїв, підміна адреси, некоректно виданий сертифікат.

В цій версії представлено 21 патч (включаючи покращення до одного попереднього патча). Це новий рекорд, попередній був 17 патчів.

• Mozilla Foundation Security Advisory 2012-98 (деталі)
• Mozilla Foundation Security Advisory 2013-01 (деталі)
• Mozilla Foundation Security Advisory 2013-02 (деталі)
• Mozilla Foundation Security Advisory 2013-03 (деталі)
• Mozilla Foundation Security Advisory 2013-04 (деталі)
• Mozilla Foundation Security Advisory 2013-05 (деталі)
• Mozilla Foundation Security Advisory 2013-06 (деталі)
• Mozilla Foundation Security Advisory 2013-07 (деталі)
• Mozilla Foundation Security Advisory 2013-08 (деталі)
• Mozilla Foundation Security Advisory 2013-09 (деталі)
• Mozilla Foundation Security Advisory 2013-10 (деталі)
• Mozilla Foundation Security Advisory 2013-11 (деталі)
• Mozilla Foundation Security Advisory 2013-12 (деталі)
• Mozilla Foundation Security Advisory 2013-13 (деталі)
• Mozilla Foundation Security Advisory 2013-14 (деталі)
• Mozilla Foundation Security Advisory 2013-15 (деталі)
• Mozilla Foundation Security Advisory 2013-16 (деталі)
• Mozilla Foundation Security Advisory 2013-17 (деталі)
• Mozilla Foundation Security Advisory 2013-18 (деталі)
• Mozilla Foundation Security Advisory 2013-19 (деталі)
• Mozilla Foundation Security Advisory 2013-20 (деталі)