Websecurity - Веб безпека

В грудні, 20.12.2011, вийшов Mozilla Firefox 9. Нова версія браузера вийшла через півтора місяця після виходу Firefox 8 (та через місяць після 8.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 9.0. Реліз Firefox 10 очікується через 6 тижнів, на початку лютого, а Firefox 11 вийде в середині березня. Крім того, також були випущені Firefox 3.6.25, Firefox 9 for Android, Seamonkey 2.6 і Thunderbird 9.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 9.0 усунуто 6 уразливостей. 4 з яких мають критичний характер і можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз Firefox 9 и сопутствующих проектов Mozilla (деталі)

У грудні місяці Microsoft випустила 13 патчів. Що значно більше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають 13 уразливостей в програмних продуктах компанії. З них три патчі закривають критичні уразливості, а інші десять патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Windows Media Player.

Виявлені численні уразливості безпеки в серії програмних продуктів Websense. Випускати вразливі додатки є типовим для секюріті компаній, в цьому вони не відрізняються від інших компаній виробників ПЗ. Зокрема це стосується Websense, про уразливості в програмах якої я вже неодноразово писав.

Уразливі продукти: Websense Web Security Gateway Anywhere v7.6, Websense Web Security Gateway v7.6, Websense Web Security v7.6, Websense Web Filter v7.6.

Виконання коду, міжсайтовий скриптінг.

• Websense Triton 7.6 - Authentication bypass in report management UI (деталі)
• Websense Triton 7.6 - Stored XSS in report management UI (деталі)
• Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - Reflected XSS in report management UI (деталі)

У грудні, 13.12.2011, через півтора місяці після виходу Google Chrome 15, вийшов Google Chrome 16.

В браузері зроблено ряд нововведень. А також виправлено 15 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 2 - незначні. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера.

• Релиз web-браузера Chrome 16 (деталі)

За повідомленням www.xakep.ru, CSS шейдери сприяють крадіжці даних.

Розробники ПЗ з Google, Apple, Adobe та інших компаній боряться з ризиками безпеки, що виникли завдяки графічній технології, що зароджується, що у своєму нинішньому вигляді здатна наразити на небезпеку мільйони користувачів.

Технологія, відома як CSS шейдери, розроблена для того, щоб відображати різні ефекти викривлення як то коливань, брижів і складок. Вона працює за рахунок надання програмних інтерфейсів, якими розробники можуть користатися, щоб застосовувати потужні функції графічних карт кінцевих користувачів. Але також вона може бути використана зловмисними операторами сайтів щоб красти історію переглядів в Інтернеті, дані з Facebook та іншу чутливу інформацію у користувачів.

За повідомленням www.xakep.ru, ще один Центр сертифікації призупинив роботу після витоку даних.

Сайт, що належить голландському центру сертифікації був недоступний через те що, як повідомляється, хакери прорвали його захист і одержали доступ до бази даних. Після інцидентів з Comodo, DigiNotar та Digicert Sdn. Bhd, це вже четвертий випадок взломів видавців сертифікатів за цей рік.

Голландський телекомунікаційний гігант KPN виступив із заявою, у якій повідомлялося, що робота сайта його дочірньої компанії Gemnet тимчасово припинена, поки розслідуються обставини взлому. Інший сайт, що належить дочірній компанії KPN, що випускає цифрові сертифікати для голландського уряду, теж не працює.

За повідомленням www.xakep.ru, внаслідок взлому опубліковані особисті дані співробітників правоохоронних органів США.

Офіційний сайт організації Coalition of Law Enforcement and Retail був взломаний хакером, що користається псевдонімом Exphіn1ty і який, як він сам стверджує, належить до групи Anonymous.

Результатом атаки стала тимчасова зупинка роботи сайта і публікація імен, адрес, електронних адрес і телефонів більш ніж 2400 чинів правоохоронних органів і професіоналів по запобіганню втрат у роздрібній торгівлі, а також їхніх посад, назв агентств і компаній, у яких вони працюють і паролів (у хешованій формі) для їхній аккаунтів на сайті.

В цьому році відбувся масовий взлом сайтів на сервері Service Online. Він тривав на протязі квітня-листопада 2011 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Service Online. Взлом складався з багатьох окремих дефейсів груп сайтів, більша частина з яких відбулася після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 26 сайтів на сервері хостера Service Online (IP 91.209.206.57). Це наступні сайти: ukrloza.org.ua, properevozki.org.ua, megamebli.org.ua, amini.com.ua, www.designort.com.ua, vinddetta.com, eurenssa2011.org.ua, www.agroprominvestplus.com.ua, www.agricourse.com.ua, www.adjutor.in.ua, www.adostavka.com, www.antory.com.ua, www.battle-helper.net, www.batuty.com.ua, www.biolactina.dp.ua, www.biser.dp.ua, che.gov.ua, jvc.od.ua, www.varva-rada.gov.ua, ssd-koda.gov.ua, www.goida-mebel.com.ua, www.zhayvir.com, kinoblesk.com, bee.in.ua, yatsura.lviv.ua, www.studyapples.com. Серед них українські державні сайти che.gov.ua, www.varva-rada.gov.ua та ssd-koda.gov.ua.

З зазначених 26 сайтів 7 сайтів були взломані хакером Ev!LsCr!pT_Dz, 9 сайтів хакером Mr.L4iVe, 1 сайт хакерами з Cocain TeaM, 1 сайт хакером SkilleR, 1 сайт хакером BLaCk_SPeCTRe та 6 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Існує такий сервіс як AOS. AhnLab Online Security (AOS) - це повнофункціональне й економічно ефективне рішення для захисту віддалених банківських операцій. AOS являє собою браузер, що запускається автоматично, як тільки користувач підключається до системи інтернет-банкінга, і проводить ряд превентивних мір, таких як запобігання перехоплення паролів доступу і паролів підтвердження платежу, захист від підміни платіжних реквізитів, блокування вірусів та іншої хакерскої активності.

Таким чином, ця система здатна протистояти таким хакерським інструментам як ZUES - найбільш небезпечним, на сьогодні, шкідливим комплексам стосовно онлайн-транзакцій.

І з грудня 2010 року розробник AOS співпрацює з компанією Інком, про уразливий сайт якої я вже писав.

AhnLab Inc, постачальник інтегрованих рішень по забезпеченню інформаційної безпеки, оголосив про початок партнерських взаємин із системним інтегратором “Інком”. Головною задачею співробітництва є забезпечення українських компаній можливостями пропонувати своїм клієнтам безпечні сервіси інтернет-банкінга.

• AOS - сервис для безопасности интернет-банкинга (деталі)

За повідомленням www.xakep.ru, Imperva прогнозує тенденції в сфері кібер-безпеки на 2012 рік.

Іmperva анонсувала свої прогнози з приводу тенденцій у сфері кібер-безпеки на 2012 рік. Це аналітичне дослідження покликане допомогти компаніям захистити себе від загрози з боку хакерів та інсайдерів.

У дев’ятку ведучих трендів кібер-безпеки на 2012 рік увійшли:

• SSL виявиться під перехресним вогнем.
• HTML 5 виходить у світ.
• DDoS-атаки продовжать удосконалюватися.
• Спільна робота і його “злий двійник”.
• NoSQL = немає безпеки?
• Зірвано покрив з консумерізації IT.
• Анти-соціальні ЗМІ.
• Збільшення кількості “людей-посередників”.
• “Безпека” перемагає “відповідність”.

За повідомленням www.xakep.ru, у Конго задефейсили Google, Gmail, Youtube, Yahoo, Apple.

Хакер з ніком AlpHaNiX задефейсив домени Google, Gmail, Youtube, Yahoo, Apple і т.д. у Конго. Він використовував тактику отруєння кеша DNS. На початку року в статті Атака через захоплення домену я вже розповідав про такі атаки.

Список взломаних сайтів: http://apple.cd, http://yahoo.cd, http://gmail.cd, http://google.cd, http://youtube.cd, http://linux.cd, http://samsung.cd, http://hotmail.cd, http://microsoft.cd.

За повідомленням www.xakep.ru, Veracode: 80% додатків не є безпечними.

80% додатків як і раніше не є досить безпечними, і помилки в коді можуть зробити біля половини всіх додатків для Android небезпечними, відповідно до останньої доповіді компанії Veracode.

Четверта доповідь State of Software Security Report охопив близько 10 000 додатків - що в два рази більше, ніж у попередньому звіті - і в ньому були застосовані більш строгі критерії аналізу. Близько 8 з 10 додатків не відповідають прийнятим стандартам, відповідно до доповіді, що констатував наявність міжсайтового скриптінга в 68% усіх веб-додатків і SQL Injection уразливості в третині з них.

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 2010 - 2011 років: 14.12.2010, 27.12.2010, 22.01.2011, 04.02.2011-22.02.2011, 11.03.2011, 20.04.2011, 02.05.2011, 11.07.2011, 10.08.2011 та 11.09.2011-14.09.2011. Другий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері HostPro.

Всього було взломано 55 сайтів на сервері хостера Besthosting (IP 195.248.234.41). Це наступні сайти: www.dvs-vinnitsa.gov.ua, artbagets.com, ubozcn.gov.ua, picks.com.ua, rock.vn.ua, sharkdesign.com.ua, fest.od.ua, bastion.vn.ua, artstuff-pro.com.ua, wn4wz.org.ua, reactorband.com, startup-music.com, terroraiser.com, stalwart.ru, multimarket.in.ua, advokat-chernigov.com.ua, advokat-ismailov.com, www.derevodekor.ru, domikvkaluge.ru, saunapodkluch.com, www.megamart.dp.ua, sng-technologies.com, www.mediapositiv.com, andriyushenko.com, aspua.com, exybible.ru, web.cn.ua, viglstudio.com.ua, optdekor.com, olkaragro.com.ua, harakterstvo.in.ua, impreza.biz.ua, ithelper.com.ua, itmasters.kiev.ua, vipmaster.dn.ua, slepki.com.ua, sde.in.ua, shoptrenager.com.ua, studio-disco.com, bizgarant.com, katalogi.in.ua, kbr.in.ua, carbon.lg.ua, budservice.vn.ua, diana-secret.com, www.icees.ru, www.admin.vn.ua, www.zhu4ok.com, www.mir-ok.in.ua, www.momibosse.com.ua, 2g-studio.net, edemnaotdyh.com, lyubavushka.com, umishki.com.ua, nocturnus.com.ua. Серед них українські державні сайти ubozcn.gov.ua та www.dvs-vinnitsa.gov.ua.

З зазначених 55 сайтів 1 сайт був взломаний хакерами з S3cur1ty-T3r0r-Cr3w, 14 сайтів хакером Besiktas Carsi Grubu, 2 сайти хакером iskorpitx, 2 сайти хакерами з RKH, 2 сайти хакерами з KSG-CREW, 2 сайти хакером biangrusuh, 7 сайтів хакером Mr AnEnO, 21 сайт хакером Matrex, 3 сайти хакерами з ahs-hackerz та 1 сайт хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі двох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

За повідомленням www.xakep.ru, Microsoft призвала до цілодобового міжнародного співробітництва в мережевій безпеці.

Відповідно до колишнього прокурора США Скота Чарні, гармонізація світових законів і більш швидка взаємодія між правоохоронними органами й іншими учасниками процесу в усіх країнах світу необхідні для прискорення розкриття кіберзлочинів.

Звертаючись до публіки на лондонській конференції, присвяченій кіберпростору, корпоративний віце-президент Trustworthy Computing в Microsoft заявив, що його десятилітній досвід роботи з переслідування кіберзлочинців розкрив “обмеження і повільність міжнародного співробітництва” в цій області. “Нам потрібно гармонізувати національні закони і створити можливості в усіх країнах світу для цілодобової взаємодії”, - сказав він.

За повідомленням www.forbes.ru, атаки хакерів вивели з ладу ряд крупних інформаційних сайтів.

У День виборів у Держдуму ряд крупних російських інформаційних ресурсів у мережі Інтернет піддалися атакам хакерів. Велика кількість новинних сайтів, а також громадських сайтів, що слідкують за проведенням виборів в Росії, зазнали DDoS атак.

За повідомленням www.xakep.ru, хакер був затриманий на співбесіді при працевлаштуванні в готель, який він взломав.

Шукаючий роботу угорський хакер визнав свою провину у вторгненні в системи готелів Marriott перш, ніж зробив спробу одержання там місця роботи методом шантажу.

Аттіла Немет відправив інфіковані трояном повідомлення співробітникам Marriott торік, відповідно до його угоди про визнання провини. Це дозволило йому успішно вилучити конфіденційну фінансову інформацію з мережі готелів. Потім він, очевидно, погрожував розкрити цю інформацію, якщо йому не нададуть місце роботи як співробітника, що підтримує роботу інформаційних систем Marriott.

Даний інцидент, як і всі подібні випадки, показує, що не варто взламувати компанію і потім намагатися там працевлаштуватися (при цьому ще й шантажуючи її) .