Websecurity - Веб безпека

HackersBlog нещодавно опублікував інформацію про наявність SQL Injection на сайті Лабораторії Касперського, що дозволяє одержати доступ до списку користувачів, кодам активації й іншої критичної інформації шляхом простої модифікації адреси запитуваної веб-сторінки. У якості підтвердження був опублікований список імен таблиць (більше 150 штук), доступ до яких був отриманий таким чином, і декілька скріншотів, на яких можна побачити ім’я користувача, хеш пароля тощо.

Поки відкритим залишається питання як вплине це на кінцевих користувачів. Називається як мінімум два гіпотетичних сценарія збільшення проблеми: цілеспрямовані атаки на “засвічених” користувачів, а також модифікація сторінок оновлення з лінковкою затроянених версій продуктів. Ситуація не сама приємна, утім, відповідно до архівів Zone-h, з 2000 року вже було 36 взломів різних сайтів ЛК - наприклад, у липні минулого року через SQL Injection на малайзійському сайті ЛК були розміщені протурецкі гасла.

По матеріалам http://bugtraq.ru.

Дослідник, що називає себе Moxie Marlinspike, продемонстрував на черговій BlackHat-конференції утиліту SSLstrip, що реалізує техніку перехоплення SSL-з’єднань, засновану на тому факті, що, як правило, перед початком взаємодії по https і встановленню SSL-з’єднання користувачі заходять на деяку звичайну веб-сторінку за допомогою незахищеного http-з’єднання, де і натискають заповітну кнопку Login.

Привабливість цієї атаки в тім, що власне SSL-з’єднання ніхто й не атакує. SSLstrip працює як звичайний проксі, що відслідковує http-трафік. Хоча користувач щиро вважає, що взаємодіє із сайтом по https, насправді він спілкується з SSLstrip по простому http, ну а та у свою чергу чесно йде на сайт по https від імені користувача. Шляхом підміни favicon навіть виходить імітувати значок захищеного з’єднання, ну а http там у рядку адреси чи https - на таку дрібницю не кожний зверне увагу.

За словами автора атаки, за допомогою SSLstrip за добу йому вдалося зібрати 117 паролів до поштових аккаунтів, сім логінів PayPal і 16 номерів кредитних карт.

По матеріалам http://bugtraq.ru.

У вересні минулого року я писав про DoS уразливість в Mozilla Firefox. Яка призводила до того, що при запуску експлоіта браузер одразу починав забирати 100% процесорних ресурсів і зависав.

Атака базувалася на використанні вкладених тегів marquee (ця уразливість раніше вже була знайдена в Firefox 1.0 та 1.5 та інших браузера на движку Mozilla). Уразливими були Mozilla Firefox 3.0.1 та попередні версії. Дана уразливість була першою публічно оприлюдненою DoS в Firefox 3.

Про цю дірку я повідомив Мозілу та опублікував її на Bugzilla - Bug 454434. Але Мозіла повністю проігнорувала її (як і всі інші уразливості, про які я повідомив їм в 2007, 2008 і 2009 роках).

В січні цьго року була знайдена DoS уразливість в SeaMonkey, що використовувала цю саму атаку (на marquee-уразливість, яку Мозіла проігнорувала). Але на відміну від FF, SeaMonkey вилітав - тобто це вже інший вид DoS уразливості в браузері.

А вже в цьому місяці, Juan Pablo Lopez Yacubian опублікував уразливість в браузері Nokia N95-8, що використовує цю ж саму атаку (його експлоіт відрізняється від мого в тому, що він використовує JavaScript, а мій експлоіт використовує лише HTML). На це Thierry Zoller йому відповів, що він перевірив його також на Firefox 3.0.6 і виявив, що Firefox також вилітає. Що я також нещодавно перевірив.

Тобто Мозіла не тільки не виправила уразливість, яку я виявив в Firefox 3.0.1 (і яка була відома ще в FF1), але навіть посилила її в нових версіях браузера. Переробивши її з resources consumption DoS на crashing DoS . Дана ситуація подібна до Charset Inheritance уразливості в Mozilla Firefox 3, якої не було в Firefox 3.0.1 і попередніх версіях (після виправлення в 2007 році), але яку Мозіла “додала” в Firefox починаючи з версії 3.0.2.

• Nokia N95-8 browser denial of service (деталі)
• Re: Nokia N95-8 browser denial of service (деталі)

Виявлена можливість виконання коду через Adobe Flash Player.

Уразливі версії: Adobe Flash Player 9.0.

Некоректна обробка віртуальних функцій.

• Adobe Flash Player Invalid Object Reference Vulnerability (деталі)

Дослідники компанії Microsoft працюють над зовсім новим браузером під кодовою назвою Gazelle, що зможе запропонувати користувачам велику кількість інноваційних функцій і можливостей.

“Жоден з існуючих браузерів, включаючи найсучасніші платформи як то Internet Explorer 8, Google Chrome і Opera 9, не має багатофункціональну систему, що дозволяє здійснювати повний захист усіх ресурсів ПК від мережевих загроз. Наш прототип показує, що зараз цілком реально створити операційну систему на основі браузера, що буде цілком ізольована від інших ресурсів комп’ютера”, - говориться в статті про нову розробку Microsoft.

Реалізація даної технології дозволить Gazelle працювати в якості окремої операційної системи, що зможе самостійно фільтрувати і перевіряти трафік, реагуючи на появу шкідливих об’єктів.

По матеріалам http://expert.com.ua.

В цьому місяці Microsoft випустила чотири патчі. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли чотири патчі. Два з яких мають рейтинг критичних, а два інших мають рейтинг важливих.

Предметом підвищення безпеки серед критичних оновлень стали Internet Explorer і Microsoft Exchange Server. Важливі оновлення представлені SQL Server і Microsoft Office, а точніше його компонентом Visio.

По матеріалам http://news.techlabs.by.

Сьогодні була виявлена уразливість в Mozilla Firefox. Для якої був розроблений експлоіт. Атака працює в Firefox 3.

• Mozilla Firefox 3.0.6 (BODY onload) Remote Crash Exploit (деталі)

Уразливі версії Mozilla Firefox 3.0.6 та попередні версії.

Відповідно до дослідження Symantec, тіньова економіка продовжує ріст навіть у той час, коли увесь інший світ страждає від рецесії. Доповідь антивірусного гіганта показує, що кіберзлочинність виросла у високоефективний ринок збуту, предметами торгівлі на якому є крадені товари і шахрайські послуги. Загальний оборот цього ринку за 12 місяців, що передують кінцю червня 2008 року, склав 276 мільйонів доларів.

Перше місце в рейтингу продажів займають дані кредитних карт. На їхню частку приходиться 31% від загального числа пропозицій. Вартість крадених номерів кредитних карт коливається від 0,1 до 25 доларів за кожний. Середній залишок на картах, номера яких виставлені на продаж, складає 4000 доларів США. Найчастіше номера карт продають цілими лотами, роблячи знижки оптовикам.

Дані логінів особових рахунків є предметом угоди в кожному п’ятому випадку. У залежності від суми залишку і місцезнаходження власника його ціна складає від 10 до 1000 доларів. Середній баланс скомпрометованого особового рахунка дорівнює 40000 доларів. Самим популярним засобом оплати виставлених на продаж лотів є системи безготівкових грошових онлайн-переказів. За допомогою таких сервисів здійснюється 63% угод.

Усього за 12 місяців моніторингу роботи підпільних форумів у Symantec виявили 69130 продавців. Вони і їхні покупці залишили на цих форумах у цілому 44321095 повідомлень. Загальна вартість послуг, пропонованих десятьма самими активними продавцями, перетнула відмітку в 16,3 мільйони доларів для номерів кредитних карт і в 2 мільйони доларів для деталей логинів особових рахунків. У товарообмін були залучені як окремі приватні особи, так і організовані злочинні групи.

Зростаючі апетити кіберзлочинців вимагають залучення все нових і нових людських ресурсів для допомоги в створенні хакерських інструментів. Так, у Symantec з’ясували, що організована кіберзлочинність у Північній Америці все частіше прибігає до послуг своїх східноєвропейських колег, при цьому злочинні сайти в Європі по кількості утримують за собою стійке друге місце, уступаючи лише США.

По матеріалам http://www.itsec.ru.

Нещодавно була виявлена можливість пошкодження пам’яті в Internet Explorer 7. Що може бути використано для проведення DoS атак та віддаленого виконання довільного коду. Для даної уразливості був розроблений експлоіт.

Даний експлоіт не працює в мене на IE6. Можливо він працює лише на IE7.

• MS Internet Explorer 7 Memory Corruption PoC (MS09-002) (деталі)

Міністерство внутрішніх справ заявляє, що інтернет-провайдерів неможливо притягати до карної відповідальності за поширення продукції порнографічного характеру, у тому числі дитячої порнографії, без внесення відповідних змін у законодавство. Про це на прес-конференції повідомив заступник начальника Департаменту по боротьбі зі злочинами пов’язаними з торгівлею людьми МВС Олександр Мельников.

“До жодного провайдера торік не була застосована стаття 301 (Кримінального кодексу), тому що законодавство не передбачає цього”, - сказав Мельников. За його словами, МВС розробило законопроект, що передбачає врегулювання цього питання.

Нагадаю, що в грудні 2008 року міліція вилучила сервери Infostore і порушила кримінальну справу по факту поширення на файлобміннику Infostore.org порнографічної продукції.

Кабінет міністрів пропонує Верховній Раді ввести кримінальну відповідальність за збереження порнографічної продукції з метою її поширення і збуту. МВС заявляє про збільшення кількості злочинів, пов’язаних з виготовленням, збутом і поширенням продукції порнографічного характеру в 2008 році.

По матеріалам http://ain.com.ua.

P.S.

Прийняття даного законопроекту зробить ще більш реальною можливість закриття уразливих сайтів, які були похакані і на яких були розміщенні незаконні матеріали.