Websecurity - Веб безпека

Британські поліцейські офіційно одержали дозвіл без одержання ордера в суді перевіряти, якою інформацією підозрюваний обмінюється в Інтернеті. Це рішення викликало обурення в представників правозахисних груп.

Постанова, що дозволяє представникам поліції чи MІ5 контролювати мережевий трафік користувача, було прийнято в грудні радою міністрів Європейського Союзу. Дане рішення було прийнято без особливого розголосу. Представники цих відомств мали подібне право і раніше, однак новий указ істотно розширює рамки його застосування. “Дослідження” персонального комп’ютера може бути почате в тому випадку, якщо користувача підозрюють у здійсненні злочину, термін тюремного ув’язнення за який перевищує три роки.

Щоб почати “співробітничати” із ПК, поліцейські можуть використовувати кілька способів. Наприклад, користувачу може бути відправлений електронний лист із додатком, що містить вірус. Якщо підозрюваний його відкриє, на його комп’ютері буде встановлена програма, що передає поліцейським зміст листів користувача, текст послань, переданих за допомогою систем обміну швидкими повідомленнями, а також інформацію про сайти, що людина відвідувала. Поліцейські також можуть перехоплювати ці дані, використовуючи бездротові мережі. Ще один дозволений прийом - встановлення на комп’ютер користувача програм, запам’ятовуючих, які він натискав клавіші.

Співробітник Асоціації старших офіцерів поліції Великобританії розповів, що за період з 2007 по 2008 рік поліція провела 194 “хакерські” операції. Представники правозахисних організацій вважають, що нова постанова приведе до росту числа подібних операцій і створенню поліцейської держави.

По матеріалам http://www.crime-research.ru.

Виявлені уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Виявлені ушкодження пам’яті, що можуть бути використані для виконання довільного коду.

• Mozilla Firefox XUL _moveToEdgeShift() Memory Corruption Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2009-12 (деталі)
• Mozilla Foundation Security Advisory 2009-13 (деталі)

Як повідомляє internet-ukraine.com, сьогодні святкується “День веб-майстра”.

Не багато людей знають, що 4 квітня - це “День веб-майстра”. Тільки вузьке коло людей у багатьох країнах світу відзначають 4 квітня як “День веб-майстра”. Це свято поки ще не затверджене офіційно.

Поздоровляю всіх веб-майстрів, програмістів та веб девелоперів з “Днем веб-майстра”. І бажаю безпеки вашим сайтам .

Експерти в області інформаційної безпеки з компанії Finjan припинили діяльність групи українських кібершахраїв, яким вдалося сколотити непоганий статок на продажі фальшивого антивірусного ПЗ. За заявою технічного директора Finjan, щоденний доход злочинців складав приблизно 10000 доларів.

Для реалізації своїх злочинних задумів шахраї скомпрометували кілька сотень сторінок на цілком легальних веб-сайтах шляхом розміщення на них HTML-сторінки зі списком ключових слів, набраних з помилкою (таких, як “Obbama”, “goggle” та ін.). Кіберзлочинці добре підготувалися до операції. Складений ними список містив у собі більшість помилок, що допускаються користувачами при складанні пошукових запитів.

Після обробки отриманого запиту пошуковець видавав користувачу лінки на захоплені зловмисниками ресурси. Нічого не підозрюючи користувачі переходили по лінці на скомпрометовану сторінку, де на них уже чекав підступний скрипт, що перенаправляв клієнта на шахрайський сайт. Тут відвідувач піддавався обробці по повній програмі. Жертві демонструвався тривожно блимаючий баннер з повідомленням про виявлення в системі небезпечного вірусу, а також надавалася можливість придбати протиотруту одним натисканням на кнопку.

Деякі користувачі купували “антивірус”, за який шахраї просили всього 20 доларів. Усього за два із лишком тижня злочинцям вдалося виманити у довірливих користувачів більше 172000 доларів, однак експерти з Finjan поклали кінець цьому дохідному бізнесу. У ході розслідування фахівцям вдалося зібрати незаперечні докази злочинної діяльності. Після надання цієї інформації провайдеру сервер, що належав групі шахраїв, був відключений від Мережі.

По матеріалам http://ain.com.ua.

Розробники веб-систем і спамери вже не перший рік грають у кішки-мишки: одні розробляють системи для блокування спама, інші їх намагаються обійти. Одним з найбільш ефективних способів для запобігання онлайн-спаму є технологія CAPTCHA, однак і вона іноді не рятує.

На сьогодні у світі існує декілька концептуально різних підходів до реалізації CAPTCHA. Один з раніше невідомих способів запропонували розробники з Yuniti.com, соціального веб-сайта, що запропонували користувачам систему тривимірних капч.

Як розповіли в Yuniti.com, в основі їх розробки немає традиційного буквено-символьного набору, замість нього тут присутні тривимірні об’єкти, що можуть обертатися в різних площинах. Користувачу для проходження процедури аутентифікації потрібно вказати набір тривимірних об’єктів із запропонованої множини.

Нова система має ряд переваг перед традиційними CAPTCHA: по-перше, змоделювати можна будь-який об’єкт, по-друге, цей об’єкт може бути повернутий у будь-якій площині і під будь-яким кутом, що значно ускладнює його ідентифікацію по заздалегідь заданих шаблонах. Традиційні системи обмежені тільки 26 літерами латинського алфавіту і 10 цифрами. З погляду користувача, нова система працює також, як і звичайна - треба візуально визначити об’єкт і вказати на його відповідність.

По матеріалам http://www.cybersecurity.ru.

Нещодавно була виявлена уразливість в Mozilla Firefox, що призводить до пошкодження пам’яті. Для якої був розроблений експлоіт.

Даний експлоіт я перевірив в Firefox 3.0.6.

• Mozilla Firefox XSL Parsing Remote Memory Corruption PoC 0day (деталі)

Уразливі версії Mozilla Firefox 3.0.7 та попередні версії.

Останнім часом в Україні почастішали випадки інтернет шахрайства. Один з них нещодавно зафіксували співробітники управління СБУ в Закарпатській області в місті Мукачеве.

Як повідомляється, житель Мукачева перевів на рахунки шахраїв 14000 доларів. Усе почалося з того, що на адресу своєї електронної пошти він одержав листа. У ньому говорилося, що чоловік виграв величезну суму грошей у лотерею, що проводилася серед користувачів мережі Інтернет. Щоб одержати гроші, що фактично “звалилися з неба”, людині запропонували сплатити визначену суму для здійснення переказу.

Після одержання платежу аферисти переконали мукачевця вислати їм ще грошей, нібито для сплати податків, передбачених міжнародним законодавством. Як повідомили в прес-службі Закарпатського УСБУ, на той час, коли людина зрозула, що його обдурили, він позбавився вже 14 тисяч доларів. Співробітники СБУ з’ясували, що лист прийшов з Нігерії.

Співробітники СБУ переконливо просять з великою обачністю відноситися до подібних електронних листів, що, як правило, приходять від імені представництв чи філій відомих у світі компаній чи їхніх керівників. Досить часто в таких листах указуються дійсні реквізити майбутньої жертви: прізвище, ім’я, місце роботи. Навіть якщо лист, на перший погляд, не викликає підозр і в ньому зазначені правильні дані, потрібно насамперед подзвонити в офіційне представництво компанії.

По матеріалам http://ain.com.ua.

P.S.

Дивно, що в Україні є люди, які ведуться на листи від нігерійских фішерів. На заході такі випадки траплялися часто, тому там про “нігерійський фішинг” знають, і тому фішери вже давно почали змінювати тактику - все більше подібних листів приходить не з Нігерії, а з інших країн, зокрема європейських.

Ну, а СБУ в даному випадку виступили лише статистами - не допомогли людині, а лише констатували випадок фішинга. Варто було спробувати виявити фішерів і повернути людині її кошти.

Виявлена DoS уразливість в СУБД PostgreSQL.

Уразливі версії: PostgreSQL 7.4, PostgreSQL 8.0, PostgreSQL 8.1, PostgreSQL 8.2, PostgreSQL 8.3.

Вичерпання стека при показі повідомлення про помилку.

• [ MDVSA-2009:079 ] postgresql (деталі)

В минулому місяці Adobe випустила оновлення Flash для трьох платформ (Windows, Mac OS X, Linux), що виправляє п’ять критичних уразливостей.

Дві здатні призвести до DoS, дві - до clickjacking атаки (коли користувачі, вважаючи, що працюють із кнопками активної сторінки, передають інформацію прихованому вікну), і ще одна веде до витоку інформації під Linux. Враховуючи поширеність flash-плагінів оновлення дуже бажане.

По матеріалам http://bugtraq.ru.

Нещодавно була виявлена уразливість в Mozilla Firefox. Для якої був розроблений експлоіт. Атака працює в Firefox 3, включно з останньою версією 3.0.7.

• Mozilla Firefox 3.0.7 OnbeforeUnLoad DesignMode Dereference Crash (деталі)

Уразливі Mozilla Firefox 3.0.7 та попередні версії.