Websecurity - Веб безпека

Минулої осені відбувся масовий взлом сайтів на сервері Укртелекому (в Utel DataCenter). На протязі жовтня-листопада, а також по одному сайту в червні, липні та грудні 2010 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Укртелеком. Взлом відбувся частково до, а частково після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 427 сайтів на сервері Укртелекому (IP 213.186.117.200). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти ukrreftrans.gov.ua та www.kyivobljust.gov.ua.

Зазначені сайти були взломані в період з 16.06.2010 по 10.12.2010. Дефейси 427 сайтів проведено різними хакерами. Окрім цього було взломано 2 сайти в 2008 і 7 сайтів в 2009 роках (в сумі 436 сайтів).

Більшість сайтів була задефейсена під час декількох масових взломів. Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в pam-pgsql.

Уразливі версії: pam-pgsql 0.7.

Переповнення буфера можливе через IP-адресу.

• pam-pgsql security update (деталі)

Виявлена можливість підвищення привілеїв у модулі mpm_itk для веб сервера Apache.

Уразливі продукти: mpm-itk 2.2.

При певному сполученні умов запит обробляється з підвищеними привілеями.

• apache2 security update (деталі)

За повідомленням hackzona.com.ua, невідомі хакери скомпрометували wiki.php.net.

The PHP Group вчора повідомила про успішну атаку на сервер wiki.php.net. У результаті злому, зловмисники зуміли отримати root доступ до сервера і зібрати інформацію про облікові записи користувачів. Отримані дані могли бути використані для внесення змін у вихідні коди PHP.

За повідомленням www.xakep.ru, взлом і крадіжка даних RSA: система ідентифікації SecurID під загрозою.

За офіційною інформацією RSA, яку компанія оприлюднила в цьому місяці, на них була успішно проведена атака. При тому, що дана секюріті компанія весь час себе позиціонує дуже захищеною.

Хакери одержали доступ до серверів RSA і викрали інформацію, що може бути використана для підриву безпеки двухфакторної системи авторизації, використовуваної більш ніж 40 мільйонами співробітників для доступу до важливих корпоративних і урядових мереж.

За повідомленням www.xakep.ru, білі хакери стандартизують пентест.

Дослідники, що перевіряють системи захисту, об’єдналися, щоб створити звід правил з метою підвищити якість роботи хакерів, що трудяться на договірній основі.

Пентестери з усього світу спільно розробляють Стандарт виконання тестів на проникнення (Penetration Testing Execution Standard - PTES), щоб надати клієнтам еталон, що визначить якість іспитів, здійснюваних дослідниками.

В березні місяці Microsoft випустила 3 патчі. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло три бюлетені по безпеці. Що закривають уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інші два патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Groove 2007.

За повідомленням компанії Microsoft, 16.03.2011 компанією Comodo були видані фальшиві сертифікати.

Невідомим зловмисникам були видані підписані сертифікати наступних служб: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org та Global Trustee.

Те, що подібна атака на Certification Authority можлива, в мене ніколи не було сумнівів, питання було лише в тому, коли це трапиться. І ось зараз ми маємо подібний випадок. Коли зловмисники не стали займатися підробкою сертифікатів, а отримали робочі сертифікати від CA на чужі домени.

• Microsoft Security Advisory (2524375) Fraudulent Digital Certificates Could Allow Spoofing (деталі)

Минулої осені, 30.10.2010 та в деякі інші дні, відбувся масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Besthosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Garant-Park-Telecom.

Всього було взломано 772 сайти на сервері Besthosting (IP 195.248.234.31). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.difku.gov.ua.

Зазначені сайти були взломані 30 жовтня 2010 року та в деякі інші дні. Дефейси 771 сайту проведено хакерами з 1923Turk і 1 сайту хакерами з -wht-.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлена можливість проведення DoS атаки проти бібліотеки libzip та PHP.

Уразливі продукти: libzip 0.9, PHP 5.3.

Звертання по нульовому вказівнику у функції _zip_name_locate.

• libzip 0.9.3 _zip_name_locate NULL Pointer Dereference (incl PHP 5.3.5) (деталі)

За повідомленням hackzona.com.ua, Microsoft усунула уразливість в Malware Protection Engine.

В лютому Microsoft випустила патч для свого програмного механізму виявлення зловмисного програмного забезпечення. Раніше в Мережі з’явилися дані, в яких говорилося, що через наявність бага в програмному забезпеченні Microsoft Malware Protection Engine зловмисники могли отримувати несанкціонований доступ до системи.

Як видно з цього випадку з Malware Protection Engine від Майкрософт та багатьох інших випадків, про які я писав в новинах - секюріті програми та програмні механізми для забезпечення безпеки також бувають дірявими. Й власникам секюріті сайтів і програмних продуктів також варто слідкувути за їх безпекою.

За повідомленням habrahabr.ru, HSTS буде впроваджений у Firefox і Google Chrome.

Найближчим часом стандарт HTTP Strict Transport Security (HSTS) буде підтримуватися браузерами Firefox і Google Chrome. Ця специфікація забезпечує абсолютно гарантований спосіб комунікації клієнта із сервером тільки через захищений протокол.

Зараз HSTS підтримується Google Chrome починаючи з версії 4.0.211.0 та в останніх бета версіях Mozilla Firefox 4 (і буде пітримуватися в фінальній версії Firefox 4). А також в розширенні NoScript для Firefox починаючи з версії 1.9.8.9.

За повідомленням www.xakep.ru, власники SpyEye кинули виклик “етичним хакерам”.

Сайт “білих” хакерів, розроблений для того, щоб розпізнавати шкідливі домени, піддався нападу кіберзлочинців, що використовують трояни Zeus і SpyEye для DDoS-атаки.

В цьому місяці кіберзлочинці проводили атаки на швейцарський whіtehat сайт abuse.ch, що розпізнає шкідливих провайдерів і домени, що містять банківські трояни. Раніше я вже розповідав про антивірус для сайтів ZeuS Tracker від abuse.ch.

В цьому місяці, 05.03.2011, відбувся масовий взлом сайтів на сервері Realon Service. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Realon Service. Взлом відбувся після згаданого масового взлому сайтів на сервері Faust.

Всього було взломано 173 сайти на сервері Realon Service (IP 194.54.81.150). Це наступні сайти: dotar.kr.ua, alau.com.ua, alma-taro.ru, andysoftware.ru, asoftware.org.ua, avantes.net, badapps.ru, akwatoria.com, aloha.kiev.ua, 2236161.kiev.ua, art-web.net.ua, 24diplom.com, agrobudtrade.com.ua, amwaymagazin.com.ua, avto-remont.org.ua, buller.kiev.ua, board.canis-club.org, baratameds.com, book-auto.com, boombaster.com, bmfiles.com, canis-club.org, civilcepro.gov.ua, cleverrhythms.kiev.ua, cinemax5d.com, china-on-sale.com, confiskat.in.ua, coalition.mk.ua, dimicandum.com.ua, delice.mk.ua, divainternational.ch, dashaakulova.com, comfortline.kiev.ua, dokumentik.com, diplomrf.com, dives-group.ru, edu-ukraine.com, drugpreguntas.com, el-help.info, elitediscount.net, enoflex.com, este-line.com.ua, familycounseling-odessa.org, fcpolyana.com, eurostyle.net.ua, fci-tech.com, eyvazov-md.com, garant-realty.com.ua, fordodessa.com, evfreesm.com, findbransonperry.com, estet-taxi.com, gek.od.ua, gardpro.com.ua, feyeriya.com, galocamera.co.ua, garmin.mk.ua, ingi.com.ua, hostingmaks.mk.ua, gilles.in, ifnmu.com.ua, interstroy.com.ua, interglobus.com.ua, iqtravel.com.ua, ivestland.ru, imvest.com.ua, kawa4ay.com.ua, kind-heart.info, jdissa.com, karamelka.com.ua, jeans-optom.com.ua, klondaik-engineering.com, izmailtv.com, korea-san.com.ua, knauf.ivestland.ru, kupalnik.mk.ua, kvartiravip.net.ua, l-tour.dn.ua, kulkoff.com, lasante.od.ua, lcc-izmail.org, mamasale.com.ua, liya.net.ua, lider-mebeli.com, mgroup.org.ua, melarhim.com, mir-remonta.kiev.ua, mlm4you.ru, lipowl.com, mlmcompany.ru, mobilife.com.ua, mobilacs.org.ua, moybb.com.ua, my4erdak.com, newfxgames.com, munten.ru, oemoil.net, na2se4ka.com, nikomramor.com, ochakovsea.kiev.ua, oknaport.com, mylifestyle.com.ua, nikofilm.com.ua, one-shot.com.ua, pellets.mk.ua, perlyna.lviv.ua, oniks-pf.com.ua, panacey.com.ua, ortolutsk.com, pellets.biz.ua, otsyideti.org, partner-business.com.ua, predictions-fate.com, polelya.com.ua, prolisok.kiev.ua, pri4al.com, saltroom.com.ua, satava-trans.com.ua, romashka.mk.ua, vanilla-man.com, soblazn.od.ua, shkola-slova.com.ua, thermomix.mk.ua, speleocamera.com.ua, sociolab.net, rmesenv.com, racingstream.net, tkachenkoalex.net, veneda.com.ua, spbdiplom.com, profi-kursi.com, speleocamera.kiev.ua, tneu.com.ua, speleocamera.co.ua, respect.mk.ua, salsa-dance.com.ua, smgzone.com, ruseries.com, science-house.odessa.ua, topseries.net, saltlamp.org.ua, shalemonblan.com.ua, toy-dom.com, scorini.com, shock-anti.com, saki-crimea.com.ua, shop.prodecoupage.com, sticker-online.net, stroyremont.in.ua, tvoymalysh.in.ua, scorini.com.ua, terazoid.com.ua, talk.mk.ua, skazka.mk.ua, sutrakiev.com.ua, prospekt-realty.com, silversphinx.com.ua, tokio.com.ua, promizol.mk.ua, sidecarmx.com.ua, rfdiplom.com, remont-pro.com.ua, rfdocument.com, safedisk.od.ua, sitecheckup.net, radiostanciya.com, weles.com.ua, webomarket.mk.ua, xtremeartclub.net, vetka.com.ua, wellspa.com.ua, weddinggallery.com.ua, wellness-spa.com.ua. Серед них український державний сайт civilcepro.gov.ua.

Всі зазначені сайти були взломані 5 березня 2011 року. Дефейси 173 сайтів проведено хакерами з RBH-Crew.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.