Websecurity - Веб безпека

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft AntiXSS.

Уразливі версії: Microsoft AntiXSS 4.0.

Міжсайтовий скриптінг при парсінгу HTML.

• Microsoft Anti-XSS Library Bypass (деталі)
• Microsoft Security Bulletin MS12-007 - Important Vulnerability in AntiXSS Library Could Allow Information Disclosure (2607664) (деталі)

За повідомленням www.opennet.ru, оприлюднений універсальний спосіб DoS-атаки, що торкається PHP, Java, Ruby, Python і різні веб-платформи.

Наприкінці грудня, на конференції Chaos Communication Congress (28c3) у Берліні був оприлюднений новий спосіб порушення працездатності веб-сервісів, заснований на особливості реалізації структур хешів, що використовуваються для організації збереження наборів даних у представленні ключ/значення, у широкому спектрі мов програмування. Маніпулюючи даними, що використовуються в якості ключів, нападник може затративши мінімальні ресурси ініціювати виникнення передбачуваних колізій в алгоритмі хешування, вирішення яких вимагає додаткових значних процесорних ресурсів.

Доволі цікава уразливість в багатьох мовах програмування, що використовуються при створенні веб додатків. Яку деякі виробники вже почали виправляти, зокрема дана DoS була виправлена в Apache Tomcat та Microsoft .Net.

За повідомленням www.xakep.ru, підсумки року в сфері інтернет-безпеки, за версією Sophos.

Відома своїми рішеннями в області захисту інформації, а також численними уразливостями на власному сайті (які вона так і не виправила), компанія Sophos опублікувала традиційний звіт про самі актуальні загрози минулого року.

У звіті Security Threat Report 2012 відзначається, що поява на ринку популярних хакерських інструментів стало причиною різкого збільшення кількості нового шкідливого ПЗ. В якості основних тенденцій, що вплинули на ріст ринку засобів захисту даних, Sophos називає ріст кількості власників смартфонов і планшетів, що використовуються й у робітників, і в розважальних цілях, а також ріст популярності хмарних сервисів.

За повідомленням lenta.ru, xакери атакували сайт Європарламенту.

Сайт Європарламенту виявився недоступний увечері 26 січня в результаті DDoS-атаки. Атака відбулася через кілька годин після підписання Польщею Торгової угоди по боротьбі з контрафакцією (Anti-Counterfeiting Trade Agreement, ACTA), що посилює міри проти піратських сайтів.

Дану атаку приписують Anonymous. Також раніше повідомлялося, що Anonymous атакували урядові сайты Польщі в знак протесту проти ACTA.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, витік інформації.

• Apache Tomcat Information disclosure (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.5.

Пошкодження пам’яті, обхід захисту, цілочислені переповнення, DoS-умови.

• Mozilla Foundation Security Advisory 2011-53 (деталі)
• Mozilla Foundation Security Advisory 2011-54 (деталі)
• Mozilla Foundation Security Advisory 2011-55 (деталі)
• Mozilla Foundation Security Advisory 2011-56 (деталі)
• Mozilla Foundation Security Advisory 2011-57 (деталі)
• Mozilla Foundation Security Advisory 2011-58 (деталі)
• Mozilla Foundation Security Advisory 2011-59 (деталі)

Виявлена можливість підвищення привілеїв в Apache.

Уразливі версії: Apache 2.0, Apache 2.2.

Підвищення привілеїв через SetEnvif у сполученні з заголовками HTTP-запиту.

• Integer overflow in Apache HTTP Server (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику через неперевірене значення zend_strndup.

• PHP 5.3.8 Multiple vulnerabilities (деталі)

За повідомленням www.xakep.ru, новий закон Євросоюзу змусить повідомляти про взлом протягом 24 годин.

Можливо, новин про взломи і витоки інформації в майбутньому стане набагато більше. Європейський Союз готує новий законопроект про захист приватних даних, відповідно до якого кожна компанія буде зобов’язана протягом 24 годин після взлому повідомити інформацію про витік даних постраждалим громадянам і компетентним органам Євросоюзу. У випадку приховання інформації компанія буде піддана адміністративному покаранню і штрафам, після розгляду справи у відповідному комітеті ЄС.

Цікава ідея ЄС, такий собі full disclosure, щоб стимулювати компанії не приховувати випадки взломів . Бажано, щоб вони зробили новий закон всеохоплючим, для того щоб він охоплював як взломи локальних мереж, так і веб сайтів, що належать як юридичним особам, так і фізичним особам. І після того як вони його приймуть, з часом ця практика дійде до України.

За повідомленням www.xakep.ru, статистика по фроду в 2011 році: кардери зняли $3,4 млрд. у магазинах США.

Процесінгова компанія CyberSource (підрозділ корпорації Visa) опублікувала звіт 2012 Online Fraud Report зі статистикою по кардерским операціях в Інтернеті. На перший погляд, кардерство йде на спад: частка фродових транзакцій в Інтернеті впала з 0,9% у 2010 році до 0,6% у 2011 році, тобто до мінімального рівня за останні 13 років, протягом яких проводилися виміри.

Однак, фродові транзакції по розміру виявилися більше звичайних, і тому частка шахрайства в загальному обороті інтернет-торгівлі в порівнянні з минулим роком виросла до 1,0%, хоча в цілому вона поступово знижується вже багато років.

За повідомленням www.xakep.ru, DreamHost взломаний, всіх просять поміняти паролі.

Черговою жертвою хакерів став великий американський хостінг-провайдер DreamHost. У корпоративному блозі опубліковане повідомлення про виявлення несанкціонованого доступу до бази даних хешей паролів FTP/Shell. При цьому компанія підкреслює, що в неї немає прямих доказів крадіжки користувацьких паролів, але компанія все-таки зробила примусове скидання паролів для всіх аккаунтів FTP/Shell.

Процедура скидання паролів почалася в суботу, 20 січня. На хостінгу DreamHost розміщується близько 1,22 млн. доменів.

Торік я писав про декілька фішинг атак на клієнтів ПриватБанку - на користувачів Приват24. Одна атака вібдулася у березні (09.03.2011), а друга - у квітні (на протязі 14-16.04.2011). І вже на початку січня, 09.01.2012, про що я згадав у коментарях, розпочалася нова фішинг атака на Приват 24. Явно приурочена до новорічних свят .

При цьому зазначу, що сам я не є клієнтом ПриватБанка і не користуюся Приват24, але фішинг листи все ж таки отримав (що в минулому, що в цьому році). Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я працював з цією системою. При цьому лист вислали з кривим кодуванням - в більшості випадків фішинга на ПБ я зустрічав неякісне створення листів для фішинг-розсилки.

Підроблений сайт (фішерський) знаходиться в папці на одному сайті, з дуже схожим доменом (http://www.privat24-ua.com/logins/). При цьому домен був зареєстрований як раз 09.01.2012, тому атаку фішери розпочали одразу після реєстрації домена. Домен зареєстрований на рік - вони явно планують на протязі року проводити атаки. Зараз хостер прикрив цей сайт, але можна очікувати його розміщення на іншому хостингу.

Так вже фішери полюбляють проводити атаки на клієнтів ПриватБанку . Це може бути пов’язано як з популярністю онлайн-банкінга Приват24, так і з впевненістю фішерів в успішності атаки (що може базуватися на існуючому досвіді - може вже траплялися їм довірливі користувачі П24).

Виявлені уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Можливе впровадження коду через eval у конструкторі в модулі Digest. Однобайтове переповнення буфера в decode_xs.

• Vulnerabilities in Perl (деталі)

За повідомленням www.opennet.ru, CryptDB - проект по забезпеченню надійного шифрування даних у СУБД.

Дослідники з Массачусецького технологічного інституту представили проект CryptDB, у рамках якого почата спроба вирішення проблеми безпечного збереження даних у БД, що обслуговуються в хмарних сервісах та інших непідконтрольних системах. Основна проблема при збереженні важливої інформації в непідконтрольних СУБД пов’язана з можливістю витоку даних у процесі взлому сервісу чи в результаті неправомірних дій адміністраторів.

Для вирішення цієї проблеми в CryptDB забезпечена підтримка шифрування, при якій дані на стороні СУБД ніколи не фігурують у відкритому вигляді, а всі передані в CУБД запити містять тільки зашифровані дані, у тому числі в умовних блоках.

За повідомленням www.xakep.ru, нова уразливість у WPS дозволяє швидше вгадувати PIN-код маршрутизатора.

Недавно виявлена уразливість у стандарті Wi-Fi Protected Setup (WPS) скорочує кількість спроб, що потрібні хакеру, що намагається брутфорсити PIN-код процесу установки бездротового роутера. У результаті помилки занадто багато інформації про PIN-код повертається нападнику, а сам PIN-код стає слабшим, що негативно впливає на захист мільйонів Wi-Fi маршрутизаторів і точок доступу. Дослідник безпеки Стефан Вибок знайшов цю уразливість і повідомив про неї в US-CERT.

Наприклад, точка доступа D-Link DAP 1150, яку я використовую, має WPS відключеним по замовчуванню. Така конфігурація дозволяє апріорі убезпечити пристрій від атак на WPS, тому виробникам мережевих пристроїв слід використовувати даний підхід.

За повідомленням www.xakep.ru, експерти попереджають про потенційну уразливість GSM-зв’язку.

Карстен Нол, керівник німецької компанії Security Research Labs, стверджує, що особливості роботи GSM-мереж теоретично дозволяють захопити контроль практично над будь-яким стільниковим апаратом.