Websecurity - Веб безпека

Як повідомив AIN ще в грудні, УСБУ в Житомирській області розкрило злочин, пов’язаний з несанкціонованим втручанням у роботу комп’ютерних мереж. Як повідомили в прес-групі УСБУ в Житомирській області, один з жителів Коростеня зі свого домашнього комп’ютера за допомогою вірусних і “шкідливих” програм сканував локальну Інтернет-мережу, завдяки чому заволодів особистими реквізитами (логінами і паролями) інших Інтернет-користувачів.

Зловмисник під виглядом цих абонентів проходив процедуру авторизації і заходив на сервер одного з провайдерів, де незаконним шляхом одержував доступ до системи керування рахунками. Після цього хакер знімав кошти, сплачені цими абонентами за користування комп’ютерною мережею і мережею Інтернет, і переводив їх на особистий рахунок чи на рахунки своїх знайомих. Відповідно до висновків фахівців, такі дії привели до викривлення процесу обробки інформації і порушенню встановленого порядку її маршрутизації.

В повідомленні прес-групи говориться, що провайдерьска Інтернет-структура підраховує нанесений їй фінансовий збиток, а слідчим відділом Управління по даному факту порушена кримінальна справа по ознаках здійснення злочину, передбаченого частиною 1 статті 361 Кримінального кодексу України.

По матеріалам http://ain.com.ua.

В минулому році була виявлена DoS уразливість в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Відмова браузера при відкритті сторінки в домені, що містить нестандартні символи.

• Advisory: Internet Explorer Zone Domain Specification Dos and Page suppressing. (деталі)

Для тих, хто стурбований інформаційною безпекою при роботі із сервісом Gmail, компанія Google передбачила можливість перегляду користувачем статистики звертань до свого поштового акаунту.

Пошта середньостатистичного користувача часто зберігає багато особистої інформації - починаючи від фінансового переписування і закінчуючи любовними посланнями. Часто буває так, що пошту користувач перевіряє з комп’ютера друзів чи просто в інтернет-кафе, коли необхідно терміново відповісти на важливий лист. І часом трапляється, що час піджимає, і далеко не всі згадують про те, що треба натиснути кнопку виходу з поштового аккаунта (та й взагалі не всі знають про це ).

“Відтепер унизу сторінки Inbox ви зможете знайти час останньої активності вашої скрині та чи відкрита вона у даний момент де-небудь ще”, - пише Ервін Д’соуза, розроблювач пошти Gmail. Дійсно, тепер можна запросто знайти, з яких IP-адрес відкривалася пошта, і якщо це не домашній чи робочій IP, самий час змінити пароль - хтось з оточення зацікавився переписуванням. Також з’явилася функція виходу після закінчення кожної сесії, що підійде мандрівникам і зовсім параноїдальним особистостям.

По матеріалам http://www.securitylab.ru.

Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі версії: PCRE 7.7, можливо більш ранні версії.

Уразливість існує через помилку в pcre_compile.c при обробці визначених шаблонів, що містять на початку опцію і множинні розгалуження. Віддалений користувач може за допомогою спеціально сформованих шаблонів викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

• Переполнение буфера в PCRE (деталі)

Як повідомляться, хакери, що взломали восени минулого року тисячі банкоматів Citibank в американській мережі магазинів 7-Eleven, швидше за все вкрали ПІН-коди без звертання до сервера самого банку.

Особливість цього взлому відрізняється від інших тим, що звичайно для крадіжки ПІН-кодів зловмисникам приходиться залишати якісь матеріальні сліди, приміром, установлювати на банкомати спеціальні технічні пристрої чи розсилати підроблені листи.

Близько 5700 банкоматів встановлено в магазинах 7-Eleven, і всі використовують марку Citibank. Вони належать компании Cardtronics, а не банку. Оператором частини цих банкоматів є компанія Fiserv. Саме ці дві компанії називаються відповідальними за те, що відбулося. У свою чергу, у Fiserv стверджують, що упевнені в безпеці своїх систем.

Компанія Citibank не розкрила подробиць методу взлому і відмовилася назвати число клієнтів, чиї дані були вкрадені. Вони підкреслили, що попередили своїх клієнтів і видали їм нові дебетові картки. Зараз поліції вдалося зв’язати хакерів із трьома бруклінськими кардерами Іваном Бильце, Юрієм Ракушинцем і Ангеліною Кітаєвою. Орієнтовно, вони виручили від використання украдених даних понад два мільйони доларів.

По матеріалам http://itua.info.

04.07.2008

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.8, Ruby 1.9.

Можливе виконання коду та відмова в обслуговуванні.

• Vuln name: Ruby rb_ary_fill() DOS (деталі)
• rPSA-2008-0206-1 ruby (деталі)

08.07.2008

Додаткова інформація.

Виявлені численні уразливості в Ruby, що дозволяють віддаленому користувачу одержати доступ до важливих даних, викликати відмову в обслуговуванні і скомпрометувати цільову систему.

1. Уразливість існує через недостатню обробку URL у додатках, що використовують “WEBrick::HTTPServlet::FileHandler” чи “WEBrick::HTTPServer.new” з опцією “:DocumentRoot”. Віддалений користувач може переглянути вміст файлів за допомогою URL, що містить символи “+”, “%2b”, “.”, “%2e” і “%20″. Для успішної експлуатації уразливості потрібно використання визначеної файлової системи (наприклад, NTFS чи FAT32).

2. Численні цілочисленні переповнення виявлені у функціях “ary_new()”, “rb_ary_initialize()”, “rb_ary_store()”, “rb_ary_times()” і “rb_ary_splice()” у файлі array.c. Віддалений користувач може передати занадто довгі рядки в якості аргументів уразливим функціям і викликати переповнення буфера.

3. Уразливість існує через помилку при виділенні пам’яті через виклик “alloca()” у функції “rb_str_buf_append()”. Віддалений користувач може викликати ушкодження пам’яті і виконати довільний код на цільовій системі.

• Множественные уязвимости в Ruby (деталі)

Взлом сотень литовських сайтів наприкінці червня проводився через французькі і шведські сервера, як повідомив Рімантас Ремейку, голова комітету з розвитку інформаційного суспільства. У пошуках зловмисників, що додали на сторінки сайтів радянську символіку, республіка звернеться до допомоги Франції і Швеції.

Як говорять експерти, взлом не відрізнявся великим професіоналізмом. Були порушені сервера хостінг-провайдера Hostex. Як говорить завідувач відділом захисту мереж і порталів служби регулювання зв’язку республіки Рітиса Райніса, у Hostex були взломані два сервери.

У загальному було взломано близько 350 сайтів. На їхніх сторінках з’явилася радянська символіка: зірки, червоні прапори, серпи і молоти. Зокрема, був взломаний сервер держкомісії по службовій етиці і правлячої Соціал-демократичної партії. Більшість взломів прийшлось на приватні підприємства.

По матеріалам http://itua.info.

В минулому році відбувся масовий взлом сайтів в США. Ця новина в мене дещо відклалася, але вона актуальна в контексті постійних масових взломів сайтів, що відбуваються в цьому році.

У мережі американського провайдера Dreamhost відбувся масовий дефейс сайтів і взлом FTP-акаунтів. По підрахунках адміністрації хостінга було взломано більш 700 сайтів і понад 3500 FTP-акаунтів. Примітно, що хакери діяли досить незвично, так якщо звичайно під дефейсом розуміється заміна головної сторінки сайта, те тут зловмисники на всіх сайтах дуже непомітно розмістили лінки на порно-ресурси (тобто SEO-взлом сайтів). За словами представників компанії, усього взломано було близько 20% від загальної бази DreamHost.

Примітний факт полягає у тому, що коли клієнти DreamHost заговорили про масовий взлом, то в компанії не прийняли до уваги їхні слова. Для адміністрації DreamHost проблема стала очевидною лише тоді, коли до них звернулися з компанії Google із заявою, де було сказано, що близько 1000 сайтів у мережі Dreamhost були вилучені з пошукового індексу, тому що містили приховані лінки на порно-ресурси.

По матеріалам http://www.securitylab.ru.

Виявлена можливість обходу обмеження на set_time_limit в PHP.

Замість функції set_time_limit, недоступної в безпечному режимі, можна використовувати ini_set(”max_execution_time”, 90000000);

• PHP -> set_time_limit (деталі)

Виявлена уразливість при обробці JavaScript методу в Adobe Reader і Acrobat, що дозволяє віддаленому користувачу викликати відмову в обслуговуванні і скомпрометувати цільову систему.

Уразливі продукти: Adobe Reader версії 8.0 по 8.1.2, Adobe Reader 7.0.9 і більш ранні версії, Adobe Acrobat Professional, 3D і Standard версії 8.0 по 8.1.2, Adobe Acrobat Professional, 3D і Standard 7.0.9 і більш ранні версії.

Уразливість існує через помилку в реалізації невідомих JavaScript методів. Віддалений користувач може за допомогою спеціально сформованого PDF файлу виконати довільний код на цільовій системі. Як повідомляється, уразливість активно експлуатується в даний час.

• Уязвимость при обработке JavaScript метода в Adobe Reader и Acrobat (деталі)