Websecurity - Веб безпека

У лютому місяці Microsoft випустила 9 патчів. Що більше ніж у січні (а окремих уразливостей значно більше ніж у січні).

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 21 уразливість в програмних продуктах компанії. З них чотири патчі закривають критичні уразливості, а інші п’ять патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework, SharePoint та Visio Viewer 2010.

Що цікаво, Майкрософт разом з випуском патчів як завжди оновила свій антивірус Microsoft Security Essensials, і при цьому з антивірусом стався казус. Після встановлення пакета оновлень (разом з MSE) багато користувачів зіштовхнулися з тим, що при заході на сайт Google вони одержували повідомлення про зараження вірусом, пов’язаним з Blackhole.

Скріншот: MSE вважає www.google.com інфікованим.

Раніше побідне вже траплялося у Антивіруса Касперського з Google AdSense та Яндекс.Метрика.

За повідомленням www.xakep.ru, DDoS-атаки в малому бізнесі.

“Лабораторія Касперського” опублікувала звіт зі статистикою DDoS-атак у другій половині 2011 року. Підводячи підсумки минулого року, головними подіями називаються DDoS-атаки на фондові біржі, використання DDoS у політичних протестах (Anonymous) і для вирішення конфліктів у малому бізнесі.

За повідомленням ain.ua, сайт “Дорожнього контролю”, на якому збиралися скарги на співробітників ДАІ, заблокований за рішенням суду.

Відповідно до Рішення суду Деснянського району м. Києва сьогодні було зупинене надання послуг хостінга сайту Roadcontrol, автори якого займалися захистом прав водіїв, а також розміщали фото і відео фактів порушення закону. Це сталося 14 лютого. А вже 16 лютого суд скасував рішення про блокування сайта “Дорожній контроль”. Після чого сайт відновив свою роботу.

Цей приклад з закриттям сайта демонструє, що отримати рішення суду для блокування хостінгу не є складною задачою (зокрема для міліції). Для цього потрібно лише направити позов до суду і він видасть рішення про закриття сайта, навіть якщо ніякої вини ще не доведено, тобто на час проведення слідчих дій.

Таким чином можна без жодних підстав, лише по бажанню співробітника державного органу (наприклад, МВС), який напише позов, закрити будь-який сайт (хоча б тимчасово). В даному випадку був заблокований хостінг (аналогічним чином можна заблокувати і домен, але у випадку з ex.ua це сталося навіть без рішення суду). І хоча через два дні суд відмінив блокування, розглянувши заяву власників сайта про неадекватність ужитих заходів, але після даного інцеденту власники “Дорожнього контролю” заявили, що перенесуть хостінг в Германію.

За повідомленням www.xakep.ru, модуль JavaSсriрt-кейлогера для Metasplot.

Нещодавно був розроблений JavaSсriрt-кейлогер для Metasplot. Американський дослідник в області безпеки Маркус Кейри говорить, що бачив багато JS-кейлогерів у реальному використанні, але все це були деякі саморобні рішення, без професійного підходу до маштабування й установки скриптів на безлічі сайтів. Тому він витратив кілька днів і написав якісний модуль JavaSсriрt-кейлогера для Metasplot.

JS-кейлогер для викрадення даних з форм аутентифікації - це більш просунутий варіант атаки, коли через XSS або Content Spoofing уразливість викрадаються дані з форми. Якщо в старих атаках викрадалися дані користувача при їх відправленні з форми, то в даному випадку викрадаються усі натискання клавіш в браузері.

В період 20.07.2011-24.07.2011, 01.11.2011-07.11.2011, 16.11.2011-20.11.2011 і 25.12.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Другий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом, що складався з двох великих взломів та п’яти окремих взломів по одному сайту, відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 261 сайт на сервері української компанії Freehost (IP 178.20.153.6). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.arhioda.gov.ua, www.mykcustoms.gov.ua, www.city-izyum.gov.ua.

З зазначеного 261 сайту 105 сайтів були взломані хакерами DAVACI та SLYHACKER, 152 сайтів хакером J0K3R R3TURN, 1 сайт хакерами з 1923Turk, 1 сайт хакером sLizer, 1 сайт хакером iskorpitx та 1 сайт хакером FEnR.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремих одиночних взломів сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У лютому, 08.02.2012, через півтора місяці після виходу Google Chrome 16, вийшов Google Chrome 17.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 5 - помірні і 6 - незначні. Та одній з уразливостей (Race condition після краху допоміжного процесу) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і зробити успішну атаку на систему користувача.

• Релиз web-браузера Chrome 17 (деталі)

За повідомленням www.xakep.ru, невидиме вікно в поштову скриньку Gmail.

Як часто користувачі аккаунтів Gmail реєструються в різних сервісах і дозволяють цьому додатку доступ до своєї поштової скриньки (доступ до Twitter, доступ до Facebook і так далі)? Останнім часом це стало звичайною справою і вважається цілком безпечним способом передати доступ без розголошення конфіденційної інформації. Дійсно, у таких випадках використовується технологія OAuth, так що логін і пароль користувача не передаються сторонньому сервісу. Gmail додав підтримку відкритого стандарту OAuth у березні 2010 року, і з тих пір ця технологія одержала велике поширення.

Це гарна ілюстрація ризиків використання OAuth та інших подібних стандартів. Необдумане використання OAuth, що зараз пітримують Google на своїх сервісах та багато інших веб сайтів, може призвести до проблем з безпекою. Тому що зловмисники використовуючи соціальну інженерію можуть отримати доступ до вашої поштової скриньки Gmail та інших сайтів, доданих у ваш акаунт.

За повідомленням www.xakep.ru, DMARC - новий стандарт аутентифікації для електронної пошти.

Google, Facebook і ще 13 компаній і організацій спільно розробили й опублікували чернетку специфікацій для нового стандарту аутентифікації електронної пошти DMARC (Domain-based Message Authentication, Reporting and Conformance). Як і колишні стандарти, він покликаний боротися з підробкою адрес електронної пошти (domain spoofing), але реалізує для цього новаторські методи.

За повідомленням www.xakep.ru, Facebook ніколи не буде безпечним.

Хакер і один з розробників анонімайзера Tor Якоб Аппельбаум розповів про приватність в Інтернеті й про ту роль, що грає Facebook та інші соціальні мережі. На питання, як потрібно безпечно користуватися Facebook, фахівець відповів так: “Не потрібно організовувати стеження за собою. Якщо ви хочете бути в безпеці на Facebook, то взагалі не повинні його використовувати. І будь ласка, не підставляйте інших людей!”

Якоб достатньо вдало описав ризики використання соціальних мереж і небезпеку приватності людей, яку вони несуть.

Виявлені численні XSS уразливості в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

XSS на різних сторінках.

• Microsoft Security Bulletin MS12-011 - Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841) (деталі)

Use-after-free уразливість в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 10.0, Thunderbird 10.0, SeaMonkey 2.7.

Використання пам’яті після звільнення в nsXBLDocumentInfo::ReadPrototypeBindings.

• Mozilla Foundation Security Advisory 2012-10 (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2009 - 2011 років: 18.12.2009, 05.03.2010-26.11.2010 та 23.10.2011. П’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (46 сайтів в 2011 році) та декількох невеликих дефейсів по одному або декілька сайтів (в попередні роки).

Всього було взломано 57 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: vipcat.net, vicatto.pp.ua, valeryshcherytsa.com, terapia.kiev.ua, stelki.in.ua, status-studfarm.com, thespacecakes.com, machocondoms.com.ua, mikadocondoms.com, ozon.com.ua, ozonsafety.com, ukr.ozon.com.ua, shkid.com.ua, promo-sumki.com.ua, tehnadzor.zp.ua, nasutki.zp.ua, midas-bud.com.ua, mariupolonline.com, nasutki.org.ua, sinklit.com.ua, samson-rem.com.ua, mishutkinclub.com.ua, naer.gov.ua, masenko.com.ua, macservice.com.ua, asdekor.org.ua, domashnie-sekrety.ru, domophone.in.ua, dolmetscher.in.ua, dreval.ru, alfaserv.com.ua, bioil.ua, baobablife.net, colorsoflife.com.ua, ladyphone.ru, pontaradi.ru, accdent.com.ua, aastra.com.ua, kvorum.com.ua, smartmobile.com.ua, konspekt.pp.ua, ktrube.com.ua, kursach.in.ua, filemaker.com.ua, hansatoy.com.ua, kharchenko.com.ua, in-ua.com, infoplace.com.ua, apkfoto.com, blog.in-ua.com, www.gans-auto.com, www.mshop.com.ua, www.avtohifi.com, www.webison.org, modesa.com.ua, www.ratushniak.te.ua, modnyshka.org. Серед них український державний сайт naer.gov.ua.

З зазначених 57 сайтів 46 сайтів були взломані хакером FEnR, 4 сайти хакерами з goyhackers, 1 сайт хакерами з RBH-Crew, 1 сайт хакером Trojan511, 2 сайти хакером altbta, 1 сайт хакером federal-atack, 1 сайт хакерами з 1923Turk та 1 сайт хакером Fl0riX.

Якщо невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу можна сказати, що враховуючи дефейс 46 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Виявлене переповнення індексу масиву в браузері Opera.

Уразливі версії: Opera 11.60.

Переповнення цілого типу у функціях роботи з масивом.

• opera array integer overflow (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 15.10.2011-28.10.2011, а потім ще 28.01.2012. Третій масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох більших дефейсів та декількох невеликих дефейсів, відбувся під час завершення процесу масового взлому сайтів на сервері Service Online.

Всього було взломано 42 сайти на сервері хостера Besthosting (IP 194.28.172.69). Це наступні сайти: realgentlemenclub.com, lutskmap.com, mobilutsk.com, vyshyvanka.net, євро2012.net, sunduchek.com.ua, fortaleza.org.ua, autozona.te.ua, f5soft.com, bazaleto.com.ua, history.odessa.ua, izmail.net, katranka.com.ua, love-story.com.ua, masterklimat.com.ua, sokolov.odessa.ua, rentbike.odessa.ua, province.com.ua, premierhotel.com.ua, oweamuseum.odessa.ua, mozaika.ua, alyoshyn.com, dolonin.com, izmail.info, autosoundshop.ru, documentaryfilm.ru, gonkionline.ru, immigrationlaw.ru, komp.kharkov.ua, mathgames.ru, risuem.com.ua, slavikgerasimov.ru, sumka.co.ua, televisionline.ru, promix.lviv.ua, serebrova.com, altavent.com.ua, leontal.com.ua, rdc.org.ua, aerotec.com.ua, oblrada.sumy.ua, kalynivka-rda.gov.ua. Серед них українські державні сайти oblrada.sumy.ua і kalynivka-rda.gov.ua.

З зазначених 42 сайтів 40 сайтів були взломані хакерами з Cyber Warrior Invasion та 2 сайти хакером Dr-Angel.

Враховуючи те, що дефейс даних сайтів відбувся за п’ять заходів, в основному взламувалися невеликі групи сайтів (хоча в цілому Cyber Warrior Invasion взломала чимало сайтів), маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).