Websecurity - Веб безпека

В серпні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2010 - 2011 років: 18.11.2010, 03.05.2011, 02.08.2011-03.08.2011 та 06.10.2011. Четвертий масовий взлом сайтів на сервері HostPro відбувся у цей же період.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (65 сайтів) та трьох окремих дефейсів по одному сайту.

Всього було взломано 68 сайтів на сервері хостера HostPro (IP 194.28.85.14). Це наступні сайти: vitamon.in.ua, gameboykiev.com, www.gemmagee.com.ua, gtbs.com.ua, www.jemchyjina.lg.ua, www.mariphoto.com.ua, revcenter.com.ua, simvola.net, kap-center.com, lookaround.com.ua, linenofdesna.com, www.rapsoil.ua, sprgroup.com.ua, kaletin.com.ua, elvi.ua, okna-sbi.com.ua, pilotsunion.org.ua, mykomfort.com.ua, 5-s.com.ua, smirnov-auto-parts.com.ua, pidhrushna.te.ua, motorvent.com.ua, startup-az.com, www.starfrut.com.ua, edimvkusno.in.ua, stoness.info, summ.com.ua, akpp.vn.ua, www.starprint.com.ua, auto-fleet.com.ua, atm.zp.ua, www.ctgt.com.ua, technoimpuls.com.ua, suntruth.com.ua, auto-key.kiev.ua, tehmash.com, tiandeua.com, tmark.com.ua, tiens.ternopil.ua, www.tradeimport.com.ua, ukrainepoker.com.ua, www.ukrlog.com.ua, volksauto.com.ua, ukray.com.ua, vaibit.org, ulianarudich.com.ua, ukr-resins.com, www.urologist.kiev.ua, d-revival.com.ua, dt.crimea.ua, diogo.com.ua, dtg-electric.com, dom-tm.com.ua, don.biz.ua, donmet.com.ua, brooklyn-club.com.ua, billiard.co.ua, bpsbltd.com, actionlife.com.ua, artime.com.ua, atlant-otel.ru, ccroma.info, vostanovlenie.com.ua, trempel.tv, rynokukr.com.ua, ac.com.ua, www.zamok-markizy.kiev.ua, ekovka.com.ua.

З зазначених 68 сайтів 66 сайтів були взломані хакерами з RKH, 1 сайт хакером iskorpitx та 1 сайт хакером merci1994.

Окрім трьох окремих дефейсів по одному сайту, стосовно масового дефейсу сайтів можна сказати, що враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Виявлені недовірені сертифікати Digicert Sdn. Bhd.

Уразливі продукти: OpenSSL 0.9, OpenSSL 1.0.

Центром, що засвідчує, було видано кілька слабких сертифікатів.

Ситуація з цим видавцем сертифікатів подібна до інцидента з Comodo, що стався весною, та інцидента з DigiNotar, що стався влітку. Такі виробники браузерів як Mozilla та Microsoft вже анулювали сертифікати Digicert в своїх продуктах.

• openssl security update (деталі)

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 15.0.

Виконання коду, підвищення привілеїв, DoS.

• Численні уразливості безпеки в Google Chrome (деталі)

В листопаді, 21.11.2011, вийшов Mozilla Firefox 8.0.1. Нова версія браузера вийшла майже через два тижні після виходу Firefox 8.

Нова версія позиціонується розробниками як баг-фікс випуск, тобто без секюріті виправлень. Але я вважаю, що дана версія містить виправлення, які покращують безпеку браузера.

В даній версії зроблені наступні виправлення:

• Виправлене вибивання в Mac OS X, що виникало в деяких випадках, коли завантажений аплет Java при інстальованій Java SE 6 версії 1.6.0_29.
• Виправлене вибивання при запуску в Windows, що спричинене версіями RoboForm старіше ніж 7.6.2.

Якщо другу проблему можна віднести до бага (що не можна використати для атаки), то перша проблема - це вже DoS уразливість через аплет Java (що можна використати для атаки).

За повідомленням www.xakep.ru, голлівудський хакер не визнає себе винним.

Чоловік зі штату Флорида не визнав себе винним у тому, що взломав поштові скриньки акторок Скарлетт Йоханссон, Міли Куніс і ще 50 знаменитостей і вкрав інтимні фото й особисту інформацію.

Взломи поштових акаунтів відбуваються щодня, але лише деяки випадки призводять до резонансу у ЗМІ. Людям, в тому числі знаменитостям, варто краще слідкувати за безпекою власних поштових акаунтів.

За повідомленням www.opennet.ru, виправлені уразливості в Chrome.

Після виходу Google Chrome 15, вийшов коригуючий реліз веб браузера Google Chrome (15.0.874.120) в якому усунуто 7 уразливостей, з яких 5 позначені як небезпечні. Серед уразливостей:

• звертання до звільненого блоку пам’яті в реалізації кодека Theora;
• вихід за припустимі границі при обробці медіаконтейнерів MKV і Vorbis;
• пошкодження пам’яті при декодуванні VP8;
• переповнення купи в декодері Vorbis;
• переповнення буфера в коді маппінга шейдерів;
• звертання до звільненої пам’яті при редагуванні;
• усунення уразливостей у Flash-плагіні.

За повідомленням www.opennet.ru, виявлені уразливості в Adobe Flash, Apache та інших додатках.

Компанія Adobe випустила оновлення Flash-плагіна (11.1.102.55) в якому усунуто 12 уразливостей, з яких 11 уразливостей приводять до проблем критичного характеру, що дозволяють організувати виконання коду зловмисника при обробці спеціально сформованого контенту.

У mod_setenvif зі складу http-сервера Apache знайдена уразливість, що дозволяє локальному користувачу підвищити свої привілеї в системі через створення спеціально скомпонованого вмісту директиви SetEnvIf у файлі .htaccess у сполученні з відправленням певним чином оформленого запиту. Наявність проблеми підтверджена у випусках 2.0.64 і 2.2.21.

У жовтні, 25.10.2011, через півтора місяці після виходу Google Chrome 14, вийшов Google Chrome 15.

В браузері зроблено ряд нововведень. А також виправлено 18 уразливостей, з яких 11 позначені як небезпечні, 3 - помірні і 4 - незначні. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера.

• Релиз web-браузера Chrome 15 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.3.

Міжсайтовий скриптінг, виконання коду, пошкодження пам’яті, витік інформації.

• Mozilla Foundation Security Advisory 2011-46 (деталі)
• Mozilla Foundation Security Advisory 2011-47 (деталі)
• Mozilla Foundation Security Advisory 2011-48 (деталі)
• Mozilla Foundation Security Advisory 2011-49 (деталі)
• Mozilla Foundation Security Advisory 2011-50 (деталі)
• Mozilla Foundation Security Advisory 2011-51 (деталі)
• Mozilla Foundation Security Advisory 2011-52 (деталі)

P.S.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS, про яку я писав ще в березні 2009 (тоді ж я писав і про кодування EUC-JP, що вони досі не виправили). Тобто моє повідомлення Мозілі та публікацію 03.03.2009 вони проігнорували, а лише через 2,5 роки, 08.11.2011, вони виправили одну з декількох повідомлених мною уразливостей. Що говорить про несерйозність Mozilla.

В листопаді, 08.11.2011, вийшов Mozilla Firefox 8. Нова версія браузера вийшла через півтора місяця після виходу Firefox 7 та 7.0.1.

Mozilla офіційно представила реліз веб браузера Firefox 8.0. Це перший випуск у рамках нового скороченого циклу розробки, якому буде присвоєний статус реліза з продовженим терміном підтримки, що має на увазі випуск оновлень з виправленням проблем безпеки протягом 10 місяців. 17 листопада користувачам гілки Firefox 3.6.x було запропоновано провести оновлення до Firefox 8.0 у зв’язку зі швидким припиненням підтримки Firefox 3.6 (випуск оновлень планується припинити через 12 тижнів).

Випуск Firefox 9 очікується через 6 тижнів, наприкінці грудня, а Firefox 10 вийде на початку лютого. Крім того, також були випущені Firefox 3.6.24, Firefox 8 for Android, Seamonkey 2.5 і Thunderbird 8.0.

• Релиз Firefox 8, Thunderbird 8 и сопутствующих проектов Mozilla (деталі)

У листопаді місяці Microsoft випустила 4 патчі. Що менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетені по безпеці. Що закривають 4 уразливості в програмних продуктах компанії. З них один патч закриває критичну уразливість, два патчі - важливі уразливості та один патч - помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. Серед додатків, що постачаються з Windows, зокрема вразливі Windows Mail і Meeting.

За повідомленням www.xakep.ru, американський антихакерський закон перетворює комп’ютерних користувачів у злочинців.

Американський антихакерський закон настільки розширений, що криміналізує таку безневинну діяльність, як використання фейкового реєстраційного імені на Facebook чи помилкове вказання ваги в профайлі Match.com, заявив один із самих шановних авторитетів країни в області права.

За повідомленням www.quora.com, What are the security shortcomings of Google’s Two Factor Authentication.

На даному сайті новодяться переліки недоліків двохфакторної аутентифікації Google, що можуть бути використані для атаки на користувачів сервісів Гугла, які її використовують. Та критично оцінюється дана захисна функція Гугла.

Компанія Google ввела підтримку двоступінчастої аутентифікації на початку березня 2011 року. Але існують відомі методи, зокрема описані на даному сайті, що можуть використовуватися для обходу двохфакторної аутентифікації.

За повідомленням www.xakep.ru, Ghost Click: об’єднання для боротьби з загрозами.

Законодавці і державні службовці використовують термін “державно-приватне партнерство” для боротьби з віртуальними загрозами настільки часто, що він набув сенсу “нічого не робити”. Але недавня операція Ghost Click показує, що подібна колективна робота необхідна для боротьби з кіберзлочинами і просунутими вірусами.

На минулому тижні ФБР оголосило про глобальне розслідування, проведене міжнародними правоохоронними органами, приватними підприємствами і неурядовими організаціями, що привело до викриття сімох естонців і громадянина Росії в організації афери, у результаті якої було заражено більше чотирьох мільйонів комп’ютерів і вкрадено більше 14 мільйонів доларів.