Websecurity - Веб безпека

Виявленні численні уразливості в продуктах Oracle.

Уразливі продукти: Oracle Database 10g, Oracle Application Server 10g, Oracle E-Business Suite 11i, Oracle Enterprise Manager 10.x, Oracle PeopleSoft Enterprise Tools 8.x, Oracle9i Database Enterprise Edition, Oracle9i Database Standard Edition, Oracle Developer Suite 10g, Oracle9i Developer Suite, Oracle9i Application Server.

Дані уразливості дозволяють віддаленому користувачу виконати XSS напад, викликати відмову в обслуговуванні, одержати доступ до важливих даних через SQL Injection і скомпрометувати цільову систему.

• Множественные уязвимости в продуктах Oracle (деталі)

Управління Служби безпеки України у Вінницькій області затримало 20-літнього студента, що за допомогою Інтернету крав гроші з кредитних карток приватних осіб. Про це повідомила прес-група УСБУ у Вінницькій області.

Відповідно до повідомлення, 20-літній студент одного з місцевих вищих навчальних закладів створив механізм викрадення особистих коштів громадян з їхніх карткових рахунків у банківських установах. Для цього восени минулого року він розмістив у мережі Інтернет фіктивне оголошення щодо працевлаштування за рубежем у неіснуючій компанії США. Бажаючі повинні були послати резюме у вигляді заповненої анкети, у якій серед іншого вказати реквізити платіжної картки. Одержавши необхідний дані, студент зайшов на сайт магазина мобільного зв’язку і після декількох невдалих спроб, несанкціоновано, без відома банківської установи і власника картки, втрутився в роботу автоматизованих систем, що мають відношення до обслуговування карткових рахунків. Студент кілька разів зняв з картки кошти.

По даному факту СБУ порушила кримінальну справу по ознаках злочинів, передбачених ч.2 ст.361 (несанкціоноване втручання в роботу комп’ютерних мереж, що привело до втрати і підробки інформації) і ч.1 ст.185 (крадіжка) Кримінального кодексу України.

По матеріалам http://ain.com.ua.

В даному випадку студент займався фішингом (для отримання реквізитів платіжних карток). Як я вже казав, сьогодні фішинг є дуже актуальною темою. До речі, 185 стаття тут недоречна, бо це не крадіжка, а шахрайство (стаття 190). Але в будь-якому разі фішера впіймали, тому не варто займатися подібною справою.

Цікаву заяву нещодавно зробила Paypal. В контексті боротьби з загрозою фішинга, про яку я розповідав в своєму виступі в телепередачі на 1+1 і особливо в виступі на Інтері.

Представники Paypal говорять, що дозволяти своїм клієнтам робити фінансові операції через небезпечні браузери “те ж саме, що продавати автомобілі без ременів безпеки”. Ця система інтернет-платежів збирається заборонити користувачам робити платежі через браузери, не оснащені захистом від фішинга.

За словами начальника служби інформаційної безпеки Paypal, Майкла Баррета, це буде зроблено, щоб не допустити крадіжку особистих даних користувачів і запобігти спробам шахрайства.

Варто відзначити, що хоча Баррет не називав браузер Apple Safari, відомо, що в ньому немає ні захисту від фішинга, ні підтримки сертифікатів EV SSL. Розробники Firefox і Opera оголосили, що в нові версії їхніх браузерів буде вбудована підтримка EV SSL.

По матеріалам http://www.secblog.info.

P.S.

Стимулювання користувачів бути більш обережними в Мережі й протидіяти фішерським атакам, це звичайно добре. Але Paypal забула про те, що окрім вбудованих в браузери існують ще й інші антифішинг додатки (як у вигляді плагінів чи тулбарів, так і окремі додатки). Наявність котрих їм виявити буде дуже не просто, тому користувачі даних додатків виявляться обділеними, бо не зможуть повноцінно користуватися системою. А також варто пам’ятати, що антифішинг захист в браузері може бути відключеним (що також буде проблематично виявити).

15.02.2008

Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні і скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.6.

Уразливість існує через помилку перевірки границь даних при обробці класів символів. Зловмисник може за допомогою занадто довгого класу символів, з кодом більш 255, викликати переповнення буфера і виконати довільний код на цільовій системі.

Бібліотека Perl Compatible Regular Expressions (PCRE) широко використовується в різних програмних продуктах, тому дана уразливість може торкнутися багатьох продуктів. Всім користувачам даної бібліотеки потрібно оновити її на останню версію.

• Переполнение буфера в PCRE (деталі)

01.05.2008

Додаткова інформація.

• Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability (деталі)
• Python: PCRE Integer overflow (деталі)
• New pcre3 packages fix arbitrary code execution (деталі)

В минулому році Австралійська банківська група The Commonwealth Bank Group випустила щорічну доповідь E-Money, у якому, зокрема, відзначається високий рівень обережності користувачів при роботі з онлайновими банківськими системами. 90% опитаних так чи інакше захищають свої облікові записи від крадіжки.

Дві самі популярні міри безпеки - коректний вихід із системи по завершенню сесії (93%) і обачність при доступі з комп’ютерів спільного використання й офісних машин (69%).

Дві третини (67%) користувачів регулярно обновлюють у профілях свої контактні телефони й адреси у випадку їхньої зміни, для того щоб банки змогли вчасно сповістити їх у випадку шахрайських дій з рахунком. Більше половини (55%) регулярно змінюють паролі і зберігають їх у захищених місцях, а 47% установили обмеження по сумі, яку можна зняти з рахунка протягом одного дня.

За словами виконуючого обов’язки глави Retail Bank Росса МакЕвана, клієнти активно використовують дворівневі системи підтвердження дійсності - брелоки-генератори додаткових ключів доступу чи SMS-підтвердження. Онлайновим банкінгом стали більше цікавитися і люди старшого віку: число онлайнових клієнтів з тих, кому за 50, виросло з 2006 року на 26%. В позаминулому році число користувачів виросло на 1,3 млн, і “Австралія зараз стала однією з країн, що лідирують у використанні онлайнового банкінга”.

Автори доповіді також з’ясували, що середній користувач перевіряє свій баланс два рази в тиждень і переказує гроші приблизно раз у тиждень. Більш двох третин програмують свої банківські рахунки на автоматичне внесення майбутніх платежів.

Доповідь збіглася з 10-ю річницею відкриття першого в Австралії онлайнового банківського сервісу NetBank, що зараз нараховує більш 2,3 млн. користувачів. Це більше 10% населення Австралії, що, за даними Австралійського бюро статистики, складає більше 20,83 млн. чоловік.

По матеріалам http://www.securitylab.ru.

Розробники антивірусного програмного забезпечення розкритикували змагання хакерів Race to Zero, що пройде в рамках конференції DefCon. Конференція буде проходити в Лас-Вегасі в період з 8 по 10 серпня цього року.

У рамках запланованого заходу хакерам запропонують модифікувати деякий шкідливий код так, що б він зміг обійти захисне ПЗ. Організатори виставки заявляють, що основною метою проведення заходу є демонстрація уразливості доступного на ринку антивірусного програмного забезпечення.

Постачальники антивірусів критикують дану ініціативу. Пол Фергюсон, ІБ-експерт із TrendMicro, заявляє, що конкурс принесе більше шкоди, чим користі, тому що кіберзлочинці зможуть довідатися про нові методи обходу захисного ПЗ.

Хоча організатори і не планують публікувати модифіковані шкідливі коди, розробники антивірусів побоюються, що даний конкурс дискредитує їхні продукти.

По матеріалам http://siteua.org.

Дослідники з Берклі, Піттсбургського університету й університету Карнегі-Меллона опублікували роботу, присвячену автоматизації підготовки атак на основі зіставлення вихідної і виправленої версії програмного коду. Оскільки в більшості випадків виправлення уразливості зводиться до додавання додаткових умов перевірки вхідних даних, можна не забивати собі голову аналізом коду, а просто відстежити, які саме умови раніш не виконувалися, причому процес цей цілком автоматизується.

У роботі приводяться приклади успішних створень експлоітів для п’яти патчів продуктів Microsoft, при підготовці яких використовувався статичний (аналіз коду), динамічний (аналіз виконання) і комбінований підходи.

По матеріалам http://bugtraq.ru.

Виявлено переповнення буфера в Perl.

Уразливі версії: Perl 5.8.

Переповнення буфера динамічної пам’яті при розборі регулярних виражень.

• New perl packages fix denial of service (деталі)

Представник Microsoft, відповідаючи на питання про недавній патч, що блокує Yahoo Music Jukebox, відзначив, що компанія вже не в перший раз блокує уразливі ActiveX на прохання виробників, хоча це і перший випадок, коли таке блокування удостоїлося окремого обновлення. В якості прикладу було назване блокування в грудні 2005 компонента від First4Internet (що використовувався в руткіті від Sony).

Уразливості в ActiveX компонентах доволі поширені. В минулому році навіть проводився проект Місяць ActiveX багів.

По матеріалам http://bugtraq.ru.

У користувачів онлайнового пакета додатків Google Apps Premier Edition з’явилася можливість захистити персональні дані за допомогою додаткового механізму забезпечення безпеки під назвою A-OK.

Інструментарій A-OK, розроблений компанією Arcot, припускає застосування двухфакторної системи аутентифікації. Звичайно для доступу до свого акаунту користувачу Google Apps Premier Edition досить увести логін і пароль. Засоби A-OK доповнюють пароль другим шаром безпеки, що забезпечує захист у тих випадках, якщо мережевим зловмисникам удалося тим чи іншим способом викрасти реєстраційні дані передплатника Google Apps Premier Edition.

Система A-OK у процесі перевірки особистості користувача перевіряє не тільки пароль, але і спеціальний цифровий підпис, що зберігається в зашифрованому виді на комп’ютері передплатника. Якщо користувач намагається одержати доступ до свого акаунту з чужого комп’ютера, то йому доведеться відповісти на кілька питань, відповіді на які теоретично нікому не повинні бути відомі.

Працює система A-OK по моделі “сервіс по запиту”. Іншими словами, замовникам не прийдеться встановлювати на своїх комп’ютерах яке-небудь програмне забезпечення чи купувати додаткове устаткування. Усі роботи з підтримки A-OK виконують фахівці Arcot. Вартість підписки на інструментарій двухфакторної аутентифікації складає один долар на місяць у розрахунку на одного користувача.

По матеріалам http://www.secblog.info.