Websecurity - Веб безпека

Виявлена можливість підміни DNS-записів у nginx.

Уразливі версії: nginx 0.7.

Некоректна реалізація алгоритму пошуку по хешу.

• nginx internal DNS cache poisoning (деталі)

Виявлене пошкодження пам’яті в проксі-сервері nginx.

Уразливі версії: nginx 0.7.

Пошкодження пам’яті через URI HTTP-запиту.

• New nginx packages fix arbitrary code execution (деталі)

Як повідомляє Tim Wilson на сторінках DarkReading в новині New Malicious Web Links Up More Than 500 Percent In First Half 2009, згідно зі звітом IBM X-Force в першій половині 2009 року кількість виявлених шкідливих веб лінків збільшилася на 508%.

Відповідно до звіту, проблема malware - інфікування сайтів шкідливим кодом - більше не обмежується лише шкідливими доменами чи ненадійними сайтами. Звіт X-Force зауважує, що постійно збільшується кількість шкідливиго контенту на надійних сайтах, включаючи популярні пошукові системи, блоги, форуми, персональні сайти, онлайн магазини та новинні сайти. До речі, як я писав, розміщення шкідливого коду може використовуватися для блокування сайта в пошукових системах.

В звіті X-Force відзначається збільшення кількості веб експлотів, особливо з використанням PDF файлів. Також дослідники зазначають, що кількість шкідливого контенту, який вони виявили, збільшилася в двічі в другому кварталі порівняно з першим кварталом 2009 року.

На думку директора X-Force Кріса Ламба, Інтернет зараз став схожий на Дикий Захід. Де нікому не можна довіряти, де кожен сайт є підозрілим і більше немає такого явища, як безпечний браузінг.

Також в звіті відзначається збільшення кількості веб атак. Зокрема кількість SQL Injection атак збільшился на 50% в першому кварталі 2009 в порівнянні з четвертим кварталом 2008 року, і їх кількість майже подвоїлась в другому кварталі порівняно з першим кварталом 2009 року.

Виявлена Directory Traversal уразливість в nginx.

Уразливі версії: nginx 0.7.

Зворотний шлях у каталогах при дозволеному webdav.

• nginx - low risk webdav destination bug (деталі)

Помічник заступника глави Міністерства національної безпеки США (DHS) з питань кібернетичної безпеки Філіп Райтінгер заявив на засіданні сенатського комітету з питань національної безпеки і справ уряду, що хакери, які нападають на критично важливі урядові і комерційні ІT-системи, організовані краще, чим організовані для захисту своїх кіберактивів уряд і бізнес. На думку чиновника, хакери краще обмінюються інформацією, і це та область, де в спецслужб є простір для росту.

Ще один керівник з DHS, Майкл Меррітт, відзначив, що для обміну хакерськими утилітами, інформацією про крадені кредитні карти й іншими довідками зловмисники використовують так звані “кардерські портали”. Крім того, на відміну від традиційних організованих злочинних кланів, віртуальні злочинці організовані в рамках дуже вільної ієрархії, при якій люди не знають один одного і можуть купувати інформацію анонімно. Такий підхід, за його словами, ускладнює процес встановлення особистості зловмисників.

Утім, незважаючи на всі ці виклики, Райтінгер повідомив про те, що уряд і бізнес поєднують зусилля для вироблення спільних рішень по боротьбі з кіберзлочинністю. Як приклад він привів роботу зі створення нових методів аутентифікації без використання паролів та імен користувачів, що серйозно ускладнить крадіжку даних, що засвідчують особистість.

Крім цього, ведеться робота з поліпшення безпеки федеральних комунікаційних мереж - так, у наступному році зарплату буде одержувати вже в два рази більше працюючих у цій області фахівців (їхнє число збільшиться з 111 до 260 чоловік). Крім того, представники бізнес-структур беруть участь у розробці Плану по реагуванню на інциденти в кіберпросторі.

По матеріалам http://www.xakep.ru.

Як я писав в своїй статті Редиректори: прихована загроза, в Mozilla Firefox можливі атаки міжсайтового скриптінга через jar: URI.

Дану уразливість виявив Petko D. Petkov aka PDP ще в 2007 році (тоді не знайшов часу про це написати, але уразливість достатньо цікава). Використовуючи jar: URI можна виконати код у контексті сайта, що дозволяє аплоадінг файлів (таких як JAR, ZIP, DOC та інших типів файлів, що являють собою архів).

Після чого Beford виявив, що в Firefox можна використати дану уразливість разом з редиректорами для проведення XSS атак через jar: URI без необхідності завантаження файлів на дані сайти. Уразливість була виправлена в Firefox 2.0.0.10 та SeaMonkey 1.1.7.

• Web Mayhem: Firefox’s JAR: Protocol issues (деталі)
• Mozilla Foundation Security Advisory 2007-37 (деталі)

В Татарстані розслідується справа по факту розкрадання коштів казанського банку “Ак Барс”, призначених для будівництва одного з об’єктів Універсіади-2013. У результаті хакерської атаки в кредитної установи украли більш 7 млн. рублів.

“Викрадено більше семи мільйонів рублів, причому це не федеральні гроші, а кошти саме банку”, - пояснив начальник УБЕЗ МВС по республіці Марс Бадрутдінов на брифінгу в Казані. По факту порушена кримінальна справа по ст. 159 (шахрайство) КК Росії. Як пояснив Бадрутдінов, кошти були викрадені в електронному вигляді в результаті хакерської атаки в липні. “Ніяких фактів розкрадання федеральних коштів, що виділені на будівництво об’єктів Універсіади, немає”, - підкреслив керівник УБЕЗ, нагадавши, що контроль за їхньою витратою ведеться постійно, у тому числі правоохоронними органами і Рахунковою палатою Татарстану.

По матеріалам http://www.xakep.ru.

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.2, PostgreSQL 8.3, PostgreSQL 8.4.

Відмова в обслуговуванні, підвищення привілеїв, обхід аутентифікації при використанні LDAP.

• PostgreSQL vulnerabilities (деталі)

У вересні, 14.09.2009, вийшла Invision Power Board 3.0.3. В даній версії виправлені помилки та покращена функціональність.

• Форум IP.Board 3.0.3 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.0.3. Дане оновлення третьої версії IPB пов’язане з виправленням помилок і поліпшенням роботи існуючих можливостей форуму. Форум став ще більш стабільний, також обновлені модулі галереї, блогів і файлового архіву.

У структурі Департаменту Міністерства внутрішніх справ України по боротьбі зі злочинами, пов’язаними з торгівлею людьми, створений відділ по боротьбі з кіберзлочинністю. Про це повідомила прес-служба відомства.

У повідомленні відзначається, що для України як і для багатьох інших країн стало актуальним питання вирішення проблеми протидії злочинам, що відбуваються з використанням високих інформаційних технологій і телекомунікаційних систем.

Як відзначають у МВС, на цей підрозділ покладаються завдання по формуванню і реалізації державної політики в цій сфері правоохоронної діяльності, наробітку методичних рекомендацій протидії злочинам такої категорії, організація міжнародного співробітництва по справах про комп’ютерні правопорушення, розробка і внесення відповідних змін у чинне законодавство.

Крім того, в обов’язки цього відділу входить виявлення і документування організованих груп транснаціонального і регіонального характеру, учасники яких спеціалізуються на здійсненні злочинів з використанням високих технологій і телекомунікаційних систем.

По матеріалам http://www.xakep.ru.

P.S.

На які кошти уряд і МВС створили даний відділ, в часи фінансової кризи, яка в Україні проходить найбільш гостро - це питання риторичне. Для людей грошей немає, а на оборудки в МВС вони знайшлися. А враховуючи те, що саме даний відділ МВС (по боротьбі зі злочинами пов’язаними з торгівлею людьми) причетний до закриття Infostore в грудні минулого року, то ніякої корисної роботи від нового відділу не очікується.