Websecurity - Веб безпека

За повідомленням www.xakep.ru, Imperva прогнозує тенденції в сфері кібер-безпеки на 2012 рік.

Іmperva анонсувала свої прогнози з приводу тенденцій у сфері кібер-безпеки на 2012 рік. Це аналітичне дослідження покликане допомогти компаніям захистити себе від загрози з боку хакерів та інсайдерів.

У дев’ятку ведучих трендів кібер-безпеки на 2012 рік увійшли:

• SSL виявиться під перехресним вогнем.
• HTML 5 виходить у світ.
• DDoS-атаки продовжать удосконалюватися.
• Спільна робота і його “злий двійник”.
• NoSQL = немає безпеки?
• Зірвано покрив з консумерізації IT.
• Анти-соціальні ЗМІ.
• Збільшення кількості “людей-посередників”.
• “Безпека” перемагає “відповідність”.

За повідомленням www.xakep.ru, у Конго задефейсили Google, Gmail, Youtube, Yahoo, Apple.

Хакер з ніком AlpHaNiX задефейсив домени Google, Gmail, Youtube, Yahoo, Apple і т.д. у Конго. Він використовував тактику отруєння кеша DNS. На початку року в статті Атака через захоплення домену я вже розповідав про такі атаки.

Список взломаних сайтів: http://apple.cd, http://yahoo.cd, http://gmail.cd, http://google.cd, http://youtube.cd, http://linux.cd, http://samsung.cd, http://hotmail.cd, http://microsoft.cd.

За повідомленням www.xakep.ru, Veracode: 80% додатків не є безпечними.

80% додатків як і раніше не є досить безпечними, і помилки в коді можуть зробити біля половини всіх додатків для Android небезпечними, відповідно до останньої доповіді компанії Veracode.

Четверта доповідь State of Software Security Report охопив близько 10 000 додатків - що в два рази більше, ніж у попередньому звіті - і в ньому були застосовані більш строгі критерії аналізу. Близько 8 з 10 додатків не відповідають прийнятим стандартам, відповідно до доповіді, що констатував наявність міжсайтового скриптінга в 68% усіх веб-додатків і SQL Injection уразливості в третині з них.

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 2010 - 2011 років: 14.12.2010, 27.12.2010, 22.01.2011, 04.02.2011-22.02.2011, 11.03.2011, 20.04.2011, 02.05.2011, 11.07.2011, 10.08.2011 та 11.09.2011-14.09.2011. Другий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері HostPro.

Всього було взломано 55 сайтів на сервері хостера Besthosting (IP 195.248.234.41). Це наступні сайти: www.dvs-vinnitsa.gov.ua, artbagets.com, ubozcn.gov.ua, picks.com.ua, rock.vn.ua, sharkdesign.com.ua, fest.od.ua, bastion.vn.ua, artstuff-pro.com.ua, wn4wz.org.ua, reactorband.com, startup-music.com, terroraiser.com, stalwart.ru, multimarket.in.ua, advokat-chernigov.com.ua, advokat-ismailov.com, www.derevodekor.ru, domikvkaluge.ru, saunapodkluch.com, www.megamart.dp.ua, sng-technologies.com, www.mediapositiv.com, andriyushenko.com, aspua.com, exybible.ru, web.cn.ua, viglstudio.com.ua, optdekor.com, olkaragro.com.ua, harakterstvo.in.ua, impreza.biz.ua, ithelper.com.ua, itmasters.kiev.ua, vipmaster.dn.ua, slepki.com.ua, sde.in.ua, shoptrenager.com.ua, studio-disco.com, bizgarant.com, katalogi.in.ua, kbr.in.ua, carbon.lg.ua, budservice.vn.ua, diana-secret.com, www.icees.ru, www.admin.vn.ua, www.zhu4ok.com, www.mir-ok.in.ua, www.momibosse.com.ua, 2g-studio.net, edemnaotdyh.com, lyubavushka.com, umishki.com.ua, nocturnus.com.ua. Серед них українські державні сайти ubozcn.gov.ua та www.dvs-vinnitsa.gov.ua.

З зазначених 55 сайтів 1 сайт був взломаний хакерами з S3cur1ty-T3r0r-Cr3w, 14 сайтів хакером Besiktas Carsi Grubu, 2 сайти хакером iskorpitx, 2 сайти хакерами з RKH, 2 сайти хакерами з KSG-CREW, 2 сайти хакером biangrusuh, 7 сайтів хакером Mr AnEnO, 21 сайт хакером Matrex, 3 сайти хакерами з ahs-hackerz та 1 сайт хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі двох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

За повідомленням www.xakep.ru, Microsoft призвала до цілодобового міжнародного співробітництва в мережевій безпеці.

Відповідно до колишнього прокурора США Скота Чарні, гармонізація світових законів і більш швидка взаємодія між правоохоронними органами й іншими учасниками процесу в усіх країнах світу необхідні для прискорення розкриття кіберзлочинів.

Звертаючись до публіки на лондонській конференції, присвяченій кіберпростору, корпоративний віце-президент Trustworthy Computing в Microsoft заявив, що його десятилітній досвід роботи з переслідування кіберзлочинців розкрив “обмеження і повільність міжнародного співробітництва” в цій області. “Нам потрібно гармонізувати національні закони і створити можливості в усіх країнах світу для цілодобової взаємодії”, - сказав він.

За повідомленням www.forbes.ru, атаки хакерів вивели з ладу ряд крупних інформаційних сайтів.

У День виборів у Держдуму ряд крупних російських інформаційних ресурсів у мережі Інтернет піддалися атакам хакерів. Велика кількість новинних сайтів, а також громадських сайтів, що слідкують за проведенням виборів в Росії, зазнали DDoS атак.

За повідомленням www.xakep.ru, хакер був затриманий на співбесіді при працевлаштуванні в готель, який він взломав.

Шукаючий роботу угорський хакер визнав свою провину у вторгненні в системи готелів Marriott перш, ніж зробив спробу одержання там місця роботи методом шантажу.

Аттіла Немет відправив інфіковані трояном повідомлення співробітникам Marriott торік, відповідно до його угоди про визнання провини. Це дозволило йому успішно вилучити конфіденційну фінансову інформацію з мережі готелів. Потім він, очевидно, погрожував розкрити цю інформацію, якщо йому не нададуть місце роботи як співробітника, що підтримує роботу інформаційних систем Marriott.

Даний інцидент, як і всі подібні випадки, показує, що не варто взламувати компанію і потім намагатися там працевлаштуватися (при цьому ще й шантажуючи її) .

В серпні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2010 - 2011 років: 18.11.2010, 03.05.2011, 02.08.2011-03.08.2011 та 06.10.2011. Четвертий масовий взлом сайтів на сервері HostPro відбувся у цей же період.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (65 сайтів) та трьох окремих дефейсів по одному сайту.

Всього було взломано 68 сайтів на сервері хостера HostPro (IP 194.28.85.14). Це наступні сайти: vitamon.in.ua, gameboykiev.com, www.gemmagee.com.ua, gtbs.com.ua, www.jemchyjina.lg.ua, www.mariphoto.com.ua, revcenter.com.ua, simvola.net, kap-center.com, lookaround.com.ua, linenofdesna.com, www.rapsoil.ua, sprgroup.com.ua, kaletin.com.ua, elvi.ua, okna-sbi.com.ua, pilotsunion.org.ua, mykomfort.com.ua, 5-s.com.ua, smirnov-auto-parts.com.ua, pidhrushna.te.ua, motorvent.com.ua, startup-az.com, www.starfrut.com.ua, edimvkusno.in.ua, stoness.info, summ.com.ua, akpp.vn.ua, www.starprint.com.ua, auto-fleet.com.ua, atm.zp.ua, www.ctgt.com.ua, technoimpuls.com.ua, suntruth.com.ua, auto-key.kiev.ua, tehmash.com, tiandeua.com, tmark.com.ua, tiens.ternopil.ua, www.tradeimport.com.ua, ukrainepoker.com.ua, www.ukrlog.com.ua, volksauto.com.ua, ukray.com.ua, vaibit.org, ulianarudich.com.ua, ukr-resins.com, www.urologist.kiev.ua, d-revival.com.ua, dt.crimea.ua, diogo.com.ua, dtg-electric.com, dom-tm.com.ua, don.biz.ua, donmet.com.ua, brooklyn-club.com.ua, billiard.co.ua, bpsbltd.com, actionlife.com.ua, artime.com.ua, atlant-otel.ru, ccroma.info, vostanovlenie.com.ua, trempel.tv, rynokukr.com.ua, ac.com.ua, www.zamok-markizy.kiev.ua, ekovka.com.ua.

З зазначених 68 сайтів 66 сайтів були взломані хакерами з RKH, 1 сайт хакером iskorpitx та 1 сайт хакером merci1994.

Окрім трьох окремих дефейсів по одному сайту, стосовно масового дефейсу сайтів можна сказати, що враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Виявлені недовірені сертифікати Digicert Sdn. Bhd.

Уразливі продукти: OpenSSL 0.9, OpenSSL 1.0.

Центром, що засвідчує, було видано кілька слабких сертифікатів.

Ситуація з цим видавцем сертифікатів подібна до інцидента з Comodo, що стався весною, та інцидента з DigiNotar, що стався влітку. Такі виробники браузерів як Mozilla та Microsoft вже анулювали сертифікати Digicert в своїх продуктах.

• openssl security update (деталі)

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 15.0.

Виконання коду, підвищення привілеїв, DoS.

• Численні уразливості безпеки в Google Chrome (деталі)

В листопаді, 21.11.2011, вийшов Mozilla Firefox 8.0.1. Нова версія браузера вийшла майже через два тижні після виходу Firefox 8.

Нова версія позиціонується розробниками як баг-фікс випуск, тобто без секюріті виправлень. Але я вважаю, що дана версія містить виправлення, які покращують безпеку браузера.

В даній версії зроблені наступні виправлення:

• Виправлене вибивання в Mac OS X, що виникало в деяких випадках, коли завантажений аплет Java при інстальованій Java SE 6 версії 1.6.0_29.
• Виправлене вибивання при запуску в Windows, що спричинене версіями RoboForm старіше ніж 7.6.2.

Якщо другу проблему можна віднести до бага (що не можна використати для атаки), то перша проблема - це вже DoS уразливість через аплет Java (що можна використати для атаки).

За повідомленням www.xakep.ru, голлівудський хакер не визнає себе винним.

Чоловік зі штату Флорида не визнав себе винним у тому, що взломав поштові скриньки акторок Скарлетт Йоханссон, Міли Куніс і ще 50 знаменитостей і вкрав інтимні фото й особисту інформацію.

Взломи поштових акаунтів відбуваються щодня, але лише деяки випадки призводять до резонансу у ЗМІ. Людям, в тому числі знаменитостям, варто краще слідкувати за безпекою власних поштових акаунтів.

За повідомленням www.opennet.ru, виправлені уразливості в Chrome.

Після виходу Google Chrome 15, вийшов коригуючий реліз веб браузера Google Chrome (15.0.874.120) в якому усунуто 7 уразливостей, з яких 5 позначені як небезпечні. Серед уразливостей:

• звертання до звільненого блоку пам’яті в реалізації кодека Theora;
• вихід за припустимі границі при обробці медіаконтейнерів MKV і Vorbis;
• пошкодження пам’яті при декодуванні VP8;
• переповнення купи в декодері Vorbis;
• переповнення буфера в коді маппінга шейдерів;
• звертання до звільненої пам’яті при редагуванні;
• усунення уразливостей у Flash-плагіні.

За повідомленням www.opennet.ru, виявлені уразливості в Adobe Flash, Apache та інших додатках.

Компанія Adobe випустила оновлення Flash-плагіна (11.1.102.55) в якому усунуто 12 уразливостей, з яких 11 уразливостей приводять до проблем критичного характеру, що дозволяють організувати виконання коду зловмисника при обробці спеціально сформованого контенту.

У mod_setenvif зі складу http-сервера Apache знайдена уразливість, що дозволяє локальному користувачу підвищити свої привілеї в системі через створення спеціально скомпонованого вмісту директиви SetEnvIf у файлі .htaccess у сполученні з відправленням певним чином оформленого запиту. Наявність проблеми підтверджена у випусках 2.0.64 і 2.2.21.

У жовтні, 25.10.2011, через півтора місяці після виходу Google Chrome 14, вийшов Google Chrome 15.

В браузері зроблено ряд нововведень. А також виправлено 18 уразливостей, з яких 11 позначені як небезпечні, 3 - помірні і 4 - незначні. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера.

• Релиз web-браузера Chrome 15 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.3.

Міжсайтовий скриптінг, виконання коду, пошкодження пам’яті, витік інформації.

• Mozilla Foundation Security Advisory 2011-46 (деталі)
• Mozilla Foundation Security Advisory 2011-47 (деталі)
• Mozilla Foundation Security Advisory 2011-48 (деталі)
• Mozilla Foundation Security Advisory 2011-49 (деталі)
• Mozilla Foundation Security Advisory 2011-50 (деталі)
• Mozilla Foundation Security Advisory 2011-51 (деталі)
• Mozilla Foundation Security Advisory 2011-52 (деталі)

P.S.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS, про яку я писав ще в березні 2009 (тоді ж я писав і про кодування EUC-JP, що вони досі не виправили). Тобто моє повідомлення Мозілі та публікацію 03.03.2009 вони проігнорували, а лише через 2,5 роки, 08.11.2011, вони виправили одну з декількох повідомлених мною уразливостей. Що говорить про несерйозність Mozilla.