Websecurity - Веб безпека

Кіберзлочинці використовують пошуковці для поширення шкідливого ПЗ, зокрема, підроблених антивірусних продуктів: для інфікування користувачів злочинцям необхідно залучити їхню увагу до шкідливих сайтів, роз’яснює PandaLabs. Раніше користувачів затягали на шкідливі сайти за допомогою мосової розсилки спама. У цьому випадку потенційна жертва читає електронний лист, заходить по представленим у листі лінкам, після чого перенаправляється на шкідливі веб-сторінки.

У наші дні користувачі стали більш обережними при читанні спама чи листів, отриманих від незнайомих відправників, а тому ефективність традиційного способу стала знижуватися. У результаті цього злочинці стали використовувати нові, більш ефективні способи. Вони використовують інструмент Google Trends, що містить список самих популярних пошукових запитів протягом дня.

Після того, як злочинці довідаються про самі популярні пошукові запити, вони створюють блог, зміст якого наповнений словами і словосполученнями з популярних пошукових запитів. У результаті цього, використовуючи технології оптимізації сайта під пошукові запити (SEO), злочинці значно збільшують шанси блога виявитися в числі перших у результатах пошуку за даними популярним запитам.

По матеріалам http://www.klerk.ru.

P.S.

Окрім використання SEO методів, зловмисники також використовують контексну рекламу в пошуковцях, про що я писав, для заманювання на шкідливі сайти.

У Німеччині знову розгорівся скандал, викликаний викраденням особистих даних користувачів. На чорному ринку можна купити банківські реквізити 21 мільйона чоловік, що проживають у Німеччині. Велику БД з інформацією про банківські рахунки німецьких інтернетчиків було запропоновано придбати виданню Wirtschafts Woche за 12 мільйонів євро. Як приклад журнал одержав дані про 1,2 мільйони жителів.

За наявною інформацією, крім персональних даних, ця база містить довідки про банківські рахунки і персональні ідентифікаційні коди. Журнал надав отриману інформацію в прокуратуру. Перші сліди ведуть до маленьких call-центрів. Їхніми послугами часто користаються солідні компанії.

Від них секретна інформація про клієнтів і попадає в call-центри. Тому що платять працівникам call-центрів відносно мало, вони заробляють тим, що переписують дані на CD чи флешку, а потім продають перекупникам на чорному ринку. За матеріалами розслідування таких скандалів, більшість матеріалів були отримані з call-центрів. Тому, як правило, дуже непросто простежити, де саме відбулася крадіжка даних.

По матеріалам http://itua.info.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Міжсайтовий доступ через XML, численні ушкодження пам’яті.

• Mozilla Foundation Security Advisory 2009-11 (деталі)
• Mozilla Foundation Security Advisory 2009-10 (деталі)
• Mozilla Foundation Security Advisory 2009-09 (деталі)
• Mozilla Foundation Security Advisory 2009-08 (деталі)
• Mozilla Foundation Security Advisory 2009-07 (деталі)

Нещодавно, 03.03.2009, через декілька місяців після виходу Opera 9.63, вийшла Opera 9.64.

Нова версія Opera є оновленням, що покращує безпеку браузера (а також вносить деякі зміни в інтерфейс).

Серед виправлень безпеки в Opera 9.64:

• Fixed an issue where specially crafted JPEG images could be used to execute arbitrary code
• Fixed an issue where plug-ins could be used to allow cross domain scripting
• Fixed a moderately severe issue
• Added support for the following platform-specific features:
  • DEP (Data Execution Prevention) in Microsoft Windows XP with Service Pack 2 and higher and Microsoft Windows Server 2003 with Service Pack 1
  • ASLR (Address Space Layout Randomization) in Microsoft Windows Vista
• Added Untrusted Rootstore Capability:
  • Opera downloads only the detailed information about untrusted (blacklisted) certificates when they are encountered
  • If download fails for certificate information in the list, Opera considers any certificate matching the ID as untrusted
• Added version conditional fetching of certificate dependencies from an online repository
• Fixed a problem downloading the CRL (Certificate Revocation List)
• Fixed a problem that could cause SSL to deadlock in one state, hanging the connection
• Fixed a problem that could cause the incorrect calculation of Certificate IDs
• Implemented Extended Validation (EV) for cross-signed EV Root Certificates not shipped by default
• Implemented preshipping of the Entrust 2048 CA (Certificate Authority)
• Implemented Root Certificate fetching from an online repository when an intermediate matches a certificate in the repository
• Improved support for weak encryption when importing .p12 private certificates
• Prevented security information documents from being written to disk

По матеріалам http://www.opera.com.

HackersBlog нещодавно опублікував інформацію про наявність SQL Injection на сайті Лабораторії Касперського, що дозволяє одержати доступ до списку користувачів, кодам активації й іншої критичної інформації шляхом простої модифікації адреси запитуваної веб-сторінки. У якості підтвердження був опублікований список імен таблиць (більше 150 штук), доступ до яких був отриманий таким чином, і декілька скріншотів, на яких можна побачити ім’я користувача, хеш пароля тощо.

Поки відкритим залишається питання як вплине це на кінцевих користувачів. Називається як мінімум два гіпотетичних сценарія збільшення проблеми: цілеспрямовані атаки на “засвічених” користувачів, а також модифікація сторінок оновлення з лінковкою затроянених версій продуктів. Ситуація не сама приємна, утім, відповідно до архівів Zone-h, з 2000 року вже було 36 взломів різних сайтів ЛК - наприклад, у липні минулого року через SQL Injection на малайзійському сайті ЛК були розміщені протурецкі гасла.

По матеріалам http://bugtraq.ru.

Дослідник, що називає себе Moxie Marlinspike, продемонстрував на черговій BlackHat-конференції утиліту SSLstrip, що реалізує техніку перехоплення SSL-з’єднань, засновану на тому факті, що, як правило, перед початком взаємодії по https і встановленню SSL-з’єднання користувачі заходять на деяку звичайну веб-сторінку за допомогою незахищеного http-з’єднання, де і натискають заповітну кнопку Login.

Привабливість цієї атаки в тім, що власне SSL-з’єднання ніхто й не атакує. SSLstrip працює як звичайний проксі, що відслідковує http-трафік. Хоча користувач щиро вважає, що взаємодіє із сайтом по https, насправді він спілкується з SSLstrip по простому http, ну а та у свою чергу чесно йде на сайт по https від імені користувача. Шляхом підміни favicon навіть виходить імітувати значок захищеного з’єднання, ну а http там у рядку адреси чи https - на таку дрібницю не кожний зверне увагу.

За словами автора атаки, за допомогою SSLstrip за добу йому вдалося зібрати 117 паролів до поштових аккаунтів, сім логінів PayPal і 16 номерів кредитних карт.

По матеріалам http://bugtraq.ru.

У вересні минулого року я писав про DoS уразливість в Mozilla Firefox. Яка призводила до того, що при запуску експлоіта браузер одразу починав забирати 100% процесорних ресурсів і зависав.

Атака базувалася на використанні вкладених тегів marquee (ця уразливість раніше вже була знайдена в Firefox 1.0 та 1.5 та інших браузера на движку Mozilla). Уразливими були Mozilla Firefox 3.0.1 та попередні версії. Дана уразливість була першою публічно оприлюдненою DoS в Firefox 3.

Про цю дірку я повідомив Мозілу та опублікував її на Bugzilla - Bug 454434. Але Мозіла повністю проігнорувала її (як і всі інші уразливості, про які я повідомив їм в 2007, 2008 і 2009 роках).

В січні цьго року була знайдена DoS уразливість в SeaMonkey, що використовувала цю саму атаку (на marquee-уразливість, яку Мозіла проігнорувала). Але на відміну від FF, SeaMonkey вилітав - тобто це вже інший вид DoS уразливості в браузері.

А вже в цьому місяці, Juan Pablo Lopez Yacubian опублікував уразливість в браузері Nokia N95-8, що використовує цю ж саму атаку (його експлоіт відрізняється від мого в тому, що він використовує JavaScript, а мій експлоіт використовує лише HTML). На це Thierry Zoller йому відповів, що він перевірив його також на Firefox 3.0.6 і виявив, що Firefox також вилітає. Що я також нещодавно перевірив.

Тобто Мозіла не тільки не виправила уразливість, яку я виявив в Firefox 3.0.1 (і яка була відома ще в FF1), але навіть посилила її в нових версіях браузера. Переробивши її з resources consumption DoS на crashing DoS . Дана ситуація подібна до Charset Inheritance уразливості в Mozilla Firefox 3, якої не було в Firefox 3.0.1 і попередніх версіях (після виправлення в 2007 році), але яку Мозіла “додала” в Firefox починаючи з версії 3.0.2.

• Nokia N95-8 browser denial of service (деталі)
• Re: Nokia N95-8 browser denial of service (деталі)

Виявлена можливість виконання коду через Adobe Flash Player.

Уразливі версії: Adobe Flash Player 9.0.

Некоректна обробка віртуальних функцій.

• Adobe Flash Player Invalid Object Reference Vulnerability (деталі)

Дослідники компанії Microsoft працюють над зовсім новим браузером під кодовою назвою Gazelle, що зможе запропонувати користувачам велику кількість інноваційних функцій і можливостей.

“Жоден з існуючих браузерів, включаючи найсучасніші платформи як то Internet Explorer 8, Google Chrome і Opera 9, не має багатофункціональну систему, що дозволяє здійснювати повний захист усіх ресурсів ПК від мережевих загроз. Наш прототип показує, що зараз цілком реально створити операційну систему на основі браузера, що буде цілком ізольована від інших ресурсів комп’ютера”, - говориться в статті про нову розробку Microsoft.

Реалізація даної технології дозволить Gazelle працювати в якості окремої операційної системи, що зможе самостійно фільтрувати і перевіряти трафік, реагуючи на появу шкідливих об’єктів.

По матеріалам http://expert.com.ua.

В цьому місяці Microsoft випустила чотири патчі. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли чотири патчі. Два з яких мають рейтинг критичних, а два інших мають рейтинг важливих.

Предметом підвищення безпеки серед критичних оновлень стали Internet Explorer і Microsoft Exchange Server. Важливі оновлення представлені SQL Server і Microsoft Office, а точніше його компонентом Visio.

По матеріалам http://news.techlabs.by.