Websecurity - Веб безпека

Нещодавно, 7 жовтня, був взломаний сайт блоку мера міста Києва Леоніда Черновецького blch.kiev.ua.

Як і у випадку попередніх взломів, відповідальність на себе взяли хакери з FRONT ZMIN h4ck t34m, які називають себе прихильниками Яценюка.

Дана серія взломів сайтів політичних партій схожа на кібервійну в Україні, що пов’язана з майбутніми президентськими виборами. Вона розпочалася у вересні після взломів двох сайтів Арсенія Яценюка і продовжилася в жовтні взломами сайтів Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.

По матеріалам http://www.securitylab.ru.

P.S.

Дана ситуація зі взломами сайтів політичних партій нагадує цирк.

Офіційний веб сайт Партії Регіонів www.partyofregions.org.ua, лідером якої є Віктор Янукович, 6 жовтня був взломаний хакерами, що назвали себе FRONT ZMIN h4ck t34m. Дана акція, як було заявлено, була актом помсти за взлом сайтів Арсенія Яценюка, що відбувся на початку вересня.

Нагадаю, що раніше, хакери, які підтримують рух Арсенія Яценюка вже взломали сайт Партії Зелених України. Про що я писав в останньому дослідженні похаканих сайтів в Уанеті.

У цей раз, текст взлому був менш радикальний і витриманий у строгому стилі. Внизу стояли загадкові ініціали “Ваш А.Я”, а постскриптум інформував про любов автора тексту до деякої Юлії.

По матеріалам http://www.securitylab.ru.

P.S.

Відношення Яценюка до даного інциденту під великим сумнівом.

Дві людини були засуджені за відмову надати владі Великобританії ключі, необхідні для розшифровування інформації. Вони могли одержати вироки, що передбачають покарання аж до п’яти років позбавлення волі. Британський уряд повідомив про те, що про їхню долю йому нічого не відомо.

Повноваження притягати громадян до відповідальності за відмову розшифровувати інформацію в ході слідства з’явилися у влади цієї країни в жовтні 2007 року. Як стало відомо з опублікованої недавно щорічної доповіді глави урядової комісії з нагляду сера Крістофера Роуза, за період між першим квітня 2008 і тридцять першим травня 2009 по даній статті було винесено два обвинувальних вироки.

Щоб мати можливість скористатися поправкою, що передбачає притягнення до відповідальності за відмову розшифровувати інформацію, поліцейські зобов’язані спочатку звернутися в Національний центр технічної допомоги (NTAC). У NTAC підтвердили 26 випадків звертань, пов’язаних з новою поправкою, у 17 з який судді дали відповідним справам подальший хід.

По матеріалам http://www.xakep.ru.

Виявлена проблема з перевіркою сертифіката в Perl IO::Socket::SSL.

Уразливі версії: perl-IO-Socket-SSL 1.25.

Некоректно перевіряється ім’я хоста сертифіката в IO-Socket-SSL.

• Vulnerability in perl-IO-Socket-SSL (деталі)

Фінансовий сервіс PayPal у вівторок заблокував аккаунт відомого “білого хакера” Моксі Марлінспайка. Відбулося це після того, як один з дослідників скористався його напрацюваннями й опублікував SSL-сертифікат, що імітує цифровий підпис даного платіжного оператора.

В електронному повідомленні, що одержав Марлінспайк, компанія повідомила, що відповідно до умов припустимого використання сервісу, через нього не можна одержувати гроші, виручені від продажу засобів, призначених для незаконного розкриття особистої інформації і довідок, що належать третім особам. Заблокувавши аккаунт, сервіс PayPal заморозив на ньому більше п’ятисот доларів, повернути які Марлінспайк зможе тільки тоді, коли надасть письмові гарантії того, що він прибрав логотип сервісу зі свого веб сайта.

Цей значок знаходиться на сторінці завантаження на його сайті і призначається для внесення добровільних пожертвувань. Відзначимо, що Марлінспайк є автором таких відомих утиліт, як SSLSniff і SSLStrip, в останній з який також наявна відповідна кнопка. Свої програми він поширює з 2002 року, однак його аккаунт на PayPal був заблокований лише після того, як невідомий хакер опублікував у понеділок підроблений сертифікат PayPal.

Подібні кроки з боку PayPal викликають деяку стурбованість, оскільки спрямовані вони проти дослідника в області безпеки, чиї дослідження вже допомогли виявити цілий ряд важливих особливостей SSL.

По матеріалам http://www.xakep.ru.

Виявлена можливість підміни DNS-записів у nginx.

Уразливі версії: nginx 0.7.

Некоректна реалізація алгоритму пошуку по хешу.

• nginx internal DNS cache poisoning (деталі)

Виявлене пошкодження пам’яті в проксі-сервері nginx.

Уразливі версії: nginx 0.7.

Пошкодження пам’яті через URI HTTP-запиту.

• New nginx packages fix arbitrary code execution (деталі)

Як повідомляє Tim Wilson на сторінках DarkReading в новині New Malicious Web Links Up More Than 500 Percent In First Half 2009, згідно зі звітом IBM X-Force в першій половині 2009 року кількість виявлених шкідливих веб лінків збільшилася на 508%.

Відповідно до звіту, проблема malware - інфікування сайтів шкідливим кодом - більше не обмежується лише шкідливими доменами чи ненадійними сайтами. Звіт X-Force зауважує, що постійно збільшується кількість шкідливиго контенту на надійних сайтах, включаючи популярні пошукові системи, блоги, форуми, персональні сайти, онлайн магазини та новинні сайти. До речі, як я писав, розміщення шкідливого коду може використовуватися для блокування сайта в пошукових системах.

В звіті X-Force відзначається збільшення кількості веб експлотів, особливо з використанням PDF файлів. Також дослідники зазначають, що кількість шкідливого контенту, який вони виявили, збільшилася в двічі в другому кварталі порівняно з першим кварталом 2009 року.

На думку директора X-Force Кріса Ламба, Інтернет зараз став схожий на Дикий Захід. Де нікому не можна довіряти, де кожен сайт є підозрілим і більше немає такого явища, як безпечний браузінг.

Також в звіті відзначається збільшення кількості веб атак. Зокрема кількість SQL Injection атак збільшился на 50% в першому кварталі 2009 в порівнянні з четвертим кварталом 2008 року, і їх кількість майже подвоїлась в другому кварталі порівняно з першим кварталом 2009 року.

Виявлена Directory Traversal уразливість в nginx.

Уразливі версії: nginx 0.7.

Зворотний шлях у каталогах при дозволеному webdav.

• nginx - low risk webdav destination bug (деталі)

Помічник заступника глави Міністерства національної безпеки США (DHS) з питань кібернетичної безпеки Філіп Райтінгер заявив на засіданні сенатського комітету з питань національної безпеки і справ уряду, що хакери, які нападають на критично важливі урядові і комерційні ІT-системи, організовані краще, чим організовані для захисту своїх кіберактивів уряд і бізнес. На думку чиновника, хакери краще обмінюються інформацією, і це та область, де в спецслужб є простір для росту.

Ще один керівник з DHS, Майкл Меррітт, відзначив, що для обміну хакерськими утилітами, інформацією про крадені кредитні карти й іншими довідками зловмисники використовують так звані “кардерські портали”. Крім того, на відміну від традиційних організованих злочинних кланів, віртуальні злочинці організовані в рамках дуже вільної ієрархії, при якій люди не знають один одного і можуть купувати інформацію анонімно. Такий підхід, за його словами, ускладнює процес встановлення особистості зловмисників.

Утім, незважаючи на всі ці виклики, Райтінгер повідомив про те, що уряд і бізнес поєднують зусилля для вироблення спільних рішень по боротьбі з кіберзлочинністю. Як приклад він привів роботу зі створення нових методів аутентифікації без використання паролів та імен користувачів, що серйозно ускладнить крадіжку даних, що засвідчують особистість.

Крім цього, ведеться робота з поліпшення безпеки федеральних комунікаційних мереж - так, у наступному році зарплату буде одержувати вже в два рази більше працюючих у цій області фахівців (їхнє число збільшиться з 111 до 260 чоловік). Крім того, представники бізнес-структур беруть участь у розробці Плану по реагуванню на інциденти в кіберпросторі.

По матеріалам http://www.xakep.ru.