Websecurity - Веб безпека

Про кіберепідемію, що швидко поширюється і уражає сайти, попереджають фахівці ScanSafe. На заражених ресурсах можна підхопити шкідливу програму, що впроваджується на комп’ютер користувача.

Перші ознаки цієї кіберінфекції були зафіксовані ScanSafe наприкінці осені, а тепер темпи її поширення істотно зросли. Усього за пару днів кількість заражених сайтів збільшилася на 15 тисяч.

Як повідомляє Google, зараз в Інтернеті нараховується близько 136 тисяч сайтів, у коді сторінок яких захований цей небезпечний скрипт. У той же час Yahoo! приводить набагато більші цифри, повідомляючи про більш ніж 300 тисяч інфікованих цією заразою сайтів.

У ScanSafe не дають докладних коментарів про процес зараження, відзначаючи лише те, що відбувається це у вигляді SQL-ін’єкції, і більше всього уражено китайських ресурсів і веб сайтів із зони .com.

Слід зазначити, що, незважаючи на активне поширення шкідливого скрипта, спосіб зараження комп’ютерів з ОС Windows досить простий. Кіберінфекція завантажується через один-єдиний домен 318x.com, хоча для цього і використовуються приховані iframe і декілька редиректів. Утім, це дуже розповсюджена практика.

Проникнувши в систему, шкідливий код завантажує бекдор сімейства Buzus. Який, як правило, використовується для одержання даних банківських карт та інших видів шахрайства, що стосуються банківських операцій.

По матеріалам http://itua.info.

Виявлені численні уразливості безпеки в Mozilla Firefox і SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, SeaMonkey 2.0.

Численні пошкодження пам’яті при розборі HTML і медіа-форматів, атаки NTLM-релеїнга, підміна адреси, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2009-65 (деталі)
• Mozilla Foundation Security Advisory 2009-66 (деталі)
• Mozilla Foundation Security Advisory 2009-67 (деталі)
• Mozilla Foundation Security Advisory 2009-68 (деталі)
• Mozilla Foundation Security Advisory 2009-69 (деталі)
• Mozilla Foundation Security Advisory 2009-70 (деталі)
• Mozilla Foundation Security Advisory 2009-71 (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.0, AIR 1.5.

Переповнення буфера при розборі JPEG, цілочисленне переповнення при виконанні ActionScript.

• Adobe Flash Player ActionScript Exception Handler Integer Overflow Vulnerability (деталі)
• Adobe Flash Player ActionScript Exception Handler Integer Overflow Vulnerability (деталі)
• Adobe Flash Player JPEG Parsing Heap Overflow Vulnerability (деталі)

Корпорація IBM планує придбати ізраїльський стартап Guardium за $225 мільйонів, що займається випуском спеціалізованого програмного забезпечення для захисту баз даних.

За допомогою розробок купленої компанії бізнес-користувачі можуть більш широко надавати доступ до своїх баз даних клієнтам, партнерам і стороннім контрагентам, у той же час ключові відомості в базах можуть бути надійно закриті.

Компанія Guardium утворена в Ізраїлі в 2002 р., а в 2003 р. вона переїхала в американський Бостон. На сьогодні в Guardium працює трохи більш 60 чоловік, і всі вони одержать свій відсоток від прибутку з продажу. Guardium була створена по більшій частині на гроші інвесторів, зокрема компаній Ascent Venture Partners і Cisco Systems. Крім того, Guardium має в Ізраїлі дочірнє підприємство Log-On Software, що також увійде до складу IBM.

По матеріалам http://ain.ua.

P.S.

Даний випадок демонструє активний стан справ в секторі безпеки. І що у IBM, незважаючи ні на яку фінансову кризу, достатньо коштів для купівлі інших компаній, причому щороку (хоча не вистачає коштів на безпеку власних сайтів).

Тим самим IBM намагається предстати серйозним секюріті гравцем. І це при тому, що у самої сайти діряві, і купівля інших компаній аж ніяк не допомагає їй покращити власну безпеку.

В цьому місяці, окрім XSS уразливості та знайдених мною XSS уразливостей, в IPB також були знайдені інші уразливості.

Зокрема були виявлені Local File Inclusion та SQL Injection уразливості в Invision Power Board. LFI дозволяє інклюдити php-файли на сервері та працює лише на 3.0.x версіях IPB, а SQL Injection працює в 2.x та 3.0.x версіях движка.

Уразливі Invision Power Board 3.0.4 та попередні версії.

• Invision Power Board 3.0.4 Local PHP File Inclusion and SQL Injection (деталі)

В даному advisory також наводяться патчі для IPB 2.3.6 та 3.0.4.

Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити txt-файл з атакуючим html кодом на сторінках форума.

Уразливі Invision Power Board 3.0.4 та попередні версії.

IPB задає такий MIME-тип для txt файлів, що при наявності в них html коду (наприклад атакуючого коду), він виконається в браузері IE. Уразливість працює при перегляді атачмента в Internet Explorer, але не в інших браузерах. Уразливість подібна до Cross-Site Scripting в Invision Power Board, але використовуються не html, а txt файли для атаки.

• IPB v2.x up to 3.0.4 XSS vulnerability (деталі)

Зазначу, що автор advisory заявляє, що в IPB для txt файлів заданий MIME-тип application/x-dirview. При цьому в мене на форумі (на IPB 2.2.2) для txt файлів був по замовчуванню заданий MIME-тип text/plain і атака працювала. Тому рекомендація автора встановити text/plain не є ефективною (а в IPB 1.x взагалі немає можливості встановити MIME-тип) і я раджу взагалі відключити підтримку txt файлів на форумі.

25.11.2009

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Вихід з обмеженого середовища safe_mode через різні функції.

• Vulnerabilities in PHP (деталі)

10.12.2009

Додаткова інформація.

• PHP 5.3.1 open_basedir bypass (деталі)

Виявлена можливість підміни діалогового вікна в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.x.

Можливе некоректне відображення URL запиту.

• Mozilla Firefox JavaScript Prompt Spoofing Weakness (деталі)

За повідомленням hackua.com, Служба безпеки України заблокувала роботу одного з популярних пошуковців у мережі Usenet - Newzleech. Відповідне оголошення залишили на непрацюючому сайті власники ресурсу.

Newzleech припинив працювати декілька тижнів тому. Як повідомляється, 19 листопада співробітники СБУ в Дніпропетровську вилучили сервери у найбільшого місцевого провайдера ColoCall, послугами якого користувався і Newzleech.

За офіційними даними СБУ, раніше в Дніпропетровську було порушено кримінальну справу за фактом несанкціонованого збуту і поширення інформації з обмеженим доступом одним з кабельних інтернет-провайдерів регіону.

У рамках розслідування за постановою суду СБУ провела обшуки в ColoCall. Під час огляду на серверному устаткуванні були виявлені бази даних державних установ, які містять інформацію з обмеженим доступом і є власністю держави, - більше мільйона зразків комп’ютерних програм, фонограм і відеофільмів, які поширювалися з порушенням авторських прав. Серверне устаткування, на якому розміщувалися інформаційні ресурси, було вилучене для проведення технічного дослідження і оцінки.

В результаті дій СБУ постраждали і багато інших клієнтів ColoCall, що викликало хвилю обурення і скарг до уряду. Варто зауважити, що зокрема послугами провайдера користувався один з найбільших торент-трекерів у світі Demonoid. Власники Newzleech повідомили, що планують відновити роботу ресурсу до кінця року.

P.S.

Ось так, через дії СБУ, постраждали зовсім невинні люди та їх проекти, в тому числі іноземні, що хостилися в Україні. Про які інвестиції з закордону може йти мова, коли у нас спецслужби створюють несприятливе інвестиційне середовище. З незаконними поширенням інформації з обмеженим доступом ясна річ треба боротися, але при цьому не створювати проблеми невинним людям (тобто сервери вже давно треба було перевірити і повернути).

Федеральний уряд Австралії в місцевому Національному університеті Канберрі провів у листопаді 24-годинне комп’ютерне змагання GovHack, у рамках якого кілька сотень веб-програмістів і комп’ютерних експертів повинні були “добути дані з будь-яких реально працюючих урядових серверів”.

За словами керівника оргкомітету Джона Оллсоппа, GovHack став першим подібним заходом, де атакувати дозволено не тільки деякі тестові сервери і технології, але саме працюючі системи. “Уряд розраховує зібрати за підсумками GovHack великий обсяг даних, що у майбутньому допоможе краще захистити урядові інформаційні ресурси”, - говорить він.

Оллсопп відзначив, що всі дані, що збираються, цілком конфіденційні, а хакерам, яким може вдасться проникнути в закриті системи, за вчинене нічого не загрожує. Організатори відзначають, що зібрані дані також послужать основою для майбутніх урядових систем сканування державних мереж.

По матеріалам http://ain.ua.

P.S.

Один день в році уряд Австралії дозволив місцевим хакерам перевірити безпеку власних сайтів, а на протязі 365 днів року їх сайти атакуються зовнішніми хакерами, і їм також за це нічого не загрожує . Варто було збирати і аналізувати дані всіх цих атак, що відбуваються на протязі року (а не лише під час акції).

Наприклад, в Україні уряд подібніх заходів не проводить. Але на протязі року, без жодних переживань з цього приводу, іноземні, а іноді й місцеві хакери взламують сайти державної влади.

Про взломані в цьому році gov.ua сайти я писав в своєму звіті про хакерську активність в Уанеті в 1 півріччі 2009, і про нові випадки згадаю у звіті за друге півріччя.