05.09.2009
Нещодавно я писав про переповнення стека в Microsoft IIS 5.0 та 6.0. Після якої була виявлена нова уразливість в IIS.
Вчора була виявлена Denial of Service уразливість у вбудованому FTP сервері в Microsoft IIS. Для даної уразливості був розроблений експлоіт.
Уразливі версії: Microsoft IIS 5.0, IIS 6.0.
15.10.2009
Додаткова інформація.
Компанія Google розробила нову функцію, що надає веб-майстрам скомпрометованих ресурсів зразки шкідливого коду й іншу деталізовану інформацію, що дозволяє позбутися інфекції.
Пошуковий гігант уже довгий час сканує сторінки Всесвітньої павутини, що він індексує, на наявність шкідливих програм. У випадку їхнього виявлення він вставляє попередження про це в результати пошуку. Крім того, дана інформація надходить у браузери Google Chrome, Mozilla Firefox і Apple Safari, що повідомляють своїх користувачів про наявність загрози зараження ще більш наполегливо. Крім цього, списки інфікованих сторінок відправляються адміністраторам сайтів, щоб вони змогли ужити відповідних заходів.
Тепер Google починає постачати веб-майстрам ще більш детальну інформацію, надаючи їм зразки шкідливого коду, що хакери використовують для впровадження у веб-сторінки. Іноді новий сервіс дозволяє навіть виявити першопричину зараження. Адміністратори скомпрометованих сайтів будуть одержувати інформацію автоматично після авторизації в Google Webmaster Tools.
В останні роки результати різних досліджень свідчать про те, що джерелом зараження більшістю шкідливих програм є цілком законні сайти, що були взломані. Тому можливість вивчити небезпечні JavaScript, HTML-код і експлоіти для Adobe Flash разом з точною вказівкою місця їхнього впровадження важко переоцінити.
По матеріалам http://www.xakep.ru.
Компанією Visa опубліковані рекомендації із шифрування так званих “полів даних” (здійснення наскрізного шифрування). Текст рекомендацій містить ряд порад, що допомагають захистити термінали від взлому, зокрема використовувати довгі криптографічні ключі. Крім того, Visa призиває власників карт завжди шифрувати дані.
Шифруванням полів даних передбачається використання методів, що забезпечують передачу інформації про банківську карту прямо з клієнтського пристрою в пристрій, що займається обробкою зашифрованої інформації. Даний підхід повинний забезпечувати дотримання діючих стандартів безпеки PCI DSS. Нові рекомендації вимагають, щоб важлива аутентифікаційна інформація (така як, номера PIN чи CVV2) використовувалася лише при авторизації, не зберігаючись в комп’ютері торгової точки.
Варто відмітити, що систему стандартів у цій сфері лише почали розробляти, але компанія Visa намагається знайти способи, що стимулюють усіх зайнятих у торгівлі бізнесменів переходити на них. Зробити це можливо через зниження зборів за процесінгові послуги самим свідомим, а також накладення штрафів на тих, що допускають витік секретних відомостей.
По матеріалам http://itua.info.
Як повідомляли онлайн ЗМІ у вересні, 02.09.2009, були взломані сайти Арсенія Яценюка http://www.front-zmin.org і http://www.arseniy.org. Сайти були атаковані хакерами з Ukrainian Hackers Team, які розмістили свої побажання (в дещо грубій формі) Арсенію Яценюку. І як я писав нещодавно, з цих подій почалася кібервійна в Україні між політичними силами в зв’язку з майбутніми президентськими виборами.
Після даних інцидентів, Арсеній Яценюк висловив подяку хакерам за безкоштовне тестування його сайтів на уразливості. Що є не більше ніж піар на власних дірявих сайтах. Подібна дірявість сайтів і несерйозне відношення до їх безпеки, не робить честі ні Яценюку, ні іншим політичним силам, ні жодному з кандидатів у президенти, чиї сайти були взломані.
У жовтні хакерська група FRONT ZMIN h4ck t34m, учасники якої називають себе прихильниками Арсенія Яценюка, провела акт помсти за взломи сайтів Яценюка. В результаті їх діяльності були взломами сайти Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.
P.S.
Що взломи сайтів Яценюка, що взломи сайтів інших політичних сил дуже нагадують цирк. Це більше схоже на комедію, а не на кібервійну 
. І ця комедія буде тривати аж до закінчення президентської компанії.
Виявлена можливість виконання коду в Google Chrome через Internet Explorer.
Уразливі версії: Google Chrome 2.0.
Впровадження команд в URI googleapps.url.mailto://.
Нещодавно, 7 жовтня, був взломаний сайт блоку мера міста Києва Леоніда Черновецького blch.kiev.ua.
Як і у випадку попередніх взломів, відповідальність на себе взяли хакери з FRONT ZMIN h4ck t34m, які називають себе прихильниками Яценюка.
Дана серія взломів сайтів політичних партій схожа на кібервійну в Україні, що пов’язана з майбутніми президентськими виборами. Вона розпочалася у вересні після взломів двох сайтів Арсенія Яценюка і продовжилася в жовтні взломами сайтів Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.
По матеріалам http://www.securitylab.ru.
P.S.
Дана ситуація зі взломами сайтів політичних партій нагадує цирк.
Офіційний веб сайт Партії Регіонів www.partyofregions.org.ua, лідером якої є Віктор Янукович, 6 жовтня був взломаний хакерами, що назвали себе FRONT ZMIN h4ck t34m. Дана акція, як було заявлено, була актом помсти за взлом сайтів Арсенія Яценюка, що відбувся на початку вересня.
Нагадаю, що раніше, хакери, які підтримують рух Арсенія Яценюка вже взломали сайт Партії Зелених України. Про що я писав в останньому дослідженні похаканих сайтів в Уанеті.
У цей раз, текст взлому був менш радикальний і витриманий у строгому стилі. Внизу стояли загадкові ініціали “Ваш А.Я”, а постскриптум інформував про любов автора тексту до деякої Юлії.
По матеріалам http://www.securitylab.ru.
P.S.
Відношення Яценюка до даного інциденту під великим сумнівом.
Дві людини були засуджені за відмову надати владі Великобританії ключі, необхідні для розшифровування інформації. Вони могли одержати вироки, що передбачають покарання аж до п’яти років позбавлення волі. Британський уряд повідомив про те, що про їхню долю йому нічого не відомо.
Повноваження притягати громадян до відповідальності за відмову розшифровувати інформацію в ході слідства з’явилися у влади цієї країни в жовтні 2007 року. Як стало відомо з опублікованої недавно щорічної доповіді глави урядової комісії з нагляду сера Крістофера Роуза, за період між першим квітня 2008 і тридцять першим травня 2009 по даній статті було винесено два обвинувальних вироки.
Щоб мати можливість скористатися поправкою, що передбачає притягнення до відповідальності за відмову розшифровувати інформацію, поліцейські зобов’язані спочатку звернутися в Національний центр технічної допомоги (NTAC). У NTAC підтвердили 26 випадків звертань, пов’язаних з новою поправкою, у 17 з який судді дали відповідним справам подальший хід.
По матеріалам http://www.xakep.ru.
Виявлена проблема з перевіркою сертифіката в Perl IO::Socket::SSL.
Уразливі версії: perl-IO-Socket-SSL 1.25.
Некоректно перевіряється ім’я хоста сертифіката в IO-Socket-SSL.
Фінансовий сервіс PayPal у вівторок заблокував аккаунт відомого “білого хакера” Моксі Марлінспайка. Відбулося це після того, як один з дослідників скористався його напрацюваннями й опублікував SSL-сертифікат, що імітує цифровий підпис даного платіжного оператора.
В електронному повідомленні, що одержав Марлінспайк, компанія повідомила, що відповідно до умов припустимого використання сервісу, через нього не можна одержувати гроші, виручені від продажу засобів, призначених для незаконного розкриття особистої інформації і довідок, що належать третім особам. Заблокувавши аккаунт, сервіс PayPal заморозив на ньому більше п’ятисот доларів, повернути які Марлінспайк зможе тільки тоді, коли надасть письмові гарантії того, що він прибрав логотип сервісу зі свого веб сайта.
Цей значок знаходиться на сторінці завантаження на його сайті і призначається для внесення добровільних пожертвувань. Відзначимо, що Марлінспайк є автором таких відомих утиліт, як SSLSniff і SSLStrip, в останній з який також наявна відповідна кнопка. Свої програми він поширює з 2002 року, однак його аккаунт на PayPal був заблокований лише після того, як невідомий хакер опублікував у понеділок підроблений сертифікат PayPal.
Подібні кроки з боку PayPal викликають деяку стурбованість, оскільки спрямовані вони проти дослідника в області безпеки, чиї дослідження вже допомогли виявити цілий ряд важливих особливостей SSL.
По матеріалам http://www.xakep.ru.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.