Websecurity - Веб безпека

В минулому році Австралійська банківська група The Commonwealth Bank Group випустила щорічну доповідь E-Money, у якому, зокрема, відзначається високий рівень обережності користувачів при роботі з онлайновими банківськими системами. 90% опитаних так чи інакше захищають свої облікові записи від крадіжки.

Дві самі популярні міри безпеки - коректний вихід із системи по завершенню сесії (93%) і обачність при доступі з комп’ютерів спільного використання й офісних машин (69%).

Дві третини (67%) користувачів регулярно обновлюють у профілях свої контактні телефони й адреси у випадку їхньої зміни, для того щоб банки змогли вчасно сповістити їх у випадку шахрайських дій з рахунком. Більше половини (55%) регулярно змінюють паролі і зберігають їх у захищених місцях, а 47% установили обмеження по сумі, яку можна зняти з рахунка протягом одного дня.

За словами виконуючого обов’язки глави Retail Bank Росса МакЕвана, клієнти активно використовують дворівневі системи підтвердження дійсності - брелоки-генератори додаткових ключів доступу чи SMS-підтвердження. Онлайновим банкінгом стали більше цікавитися і люди старшого віку: число онлайнових клієнтів з тих, кому за 50, виросло з 2006 року на 26%. В позаминулому році число користувачів виросло на 1,3 млн, і “Австралія зараз стала однією з країн, що лідирують у використанні онлайнового банкінга”.

Автори доповіді також з’ясували, що середній користувач перевіряє свій баланс два рази в тиждень і переказує гроші приблизно раз у тиждень. Більш двох третин програмують свої банківські рахунки на автоматичне внесення майбутніх платежів.

Доповідь збіглася з 10-ю річницею відкриття першого в Австралії онлайнового банківського сервісу NetBank, що зараз нараховує більш 2,3 млн. користувачів. Це більше 10% населення Австралії, що, за даними Австралійського бюро статистики, складає більше 20,83 млн. чоловік.

По матеріалам http://www.securitylab.ru.

Розробники антивірусного програмного забезпечення розкритикували змагання хакерів Race to Zero, що пройде в рамках конференції DefCon. Конференція буде проходити в Лас-Вегасі в період з 8 по 10 серпня цього року.

У рамках запланованого заходу хакерам запропонують модифікувати деякий шкідливий код так, що б він зміг обійти захисне ПЗ. Організатори виставки заявляють, що основною метою проведення заходу є демонстрація уразливості доступного на ринку антивірусного програмного забезпечення.

Постачальники антивірусів критикують дану ініціативу. Пол Фергюсон, ІБ-експерт із TrendMicro, заявляє, що конкурс принесе більше шкоди, чим користі, тому що кіберзлочинці зможуть довідатися про нові методи обходу захисного ПЗ.

Хоча організатори і не планують публікувати модифіковані шкідливі коди, розробники антивірусів побоюються, що даний конкурс дискредитує їхні продукти.

По матеріалам http://siteua.org.

Дослідники з Берклі, Піттсбургського університету й університету Карнегі-Меллона опублікували роботу, присвячену автоматизації підготовки атак на основі зіставлення вихідної і виправленої версії програмного коду. Оскільки в більшості випадків виправлення уразливості зводиться до додавання додаткових умов перевірки вхідних даних, можна не забивати собі голову аналізом коду, а просто відстежити, які саме умови раніш не виконувалися, причому процес цей цілком автоматизується.

У роботі приводяться приклади успішних створень експлоітів для п’яти патчів продуктів Microsoft, при підготовці яких використовувався статичний (аналіз коду), динамічний (аналіз виконання) і комбінований підходи.

По матеріалам http://bugtraq.ru.

Виявлено переповнення буфера в Perl.

Уразливі версії: Perl 5.8.

Переповнення буфера динамічної пам’яті при розборі регулярних виражень.

• New perl packages fix denial of service (деталі)

Представник Microsoft, відповідаючи на питання про недавній патч, що блокує Yahoo Music Jukebox, відзначив, що компанія вже не в перший раз блокує уразливі ActiveX на прохання виробників, хоча це і перший випадок, коли таке блокування удостоїлося окремого обновлення. В якості прикладу було назване блокування в грудні 2005 компонента від First4Internet (що використовувався в руткіті від Sony).

Уразливості в ActiveX компонентах доволі поширені. В минулому році навіть проводився проект Місяць ActiveX багів.

По матеріалам http://bugtraq.ru.

У користувачів онлайнового пакета додатків Google Apps Premier Edition з’явилася можливість захистити персональні дані за допомогою додаткового механізму забезпечення безпеки під назвою A-OK.

Інструментарій A-OK, розроблений компанією Arcot, припускає застосування двухфакторної системи аутентифікації. Звичайно для доступу до свого акаунту користувачу Google Apps Premier Edition досить увести логін і пароль. Засоби A-OK доповнюють пароль другим шаром безпеки, що забезпечує захист у тих випадках, якщо мережевим зловмисникам удалося тим чи іншим способом викрасти реєстраційні дані передплатника Google Apps Premier Edition.

Система A-OK у процесі перевірки особистості користувача перевіряє не тільки пароль, але і спеціальний цифровий підпис, що зберігається в зашифрованому виді на комп’ютері передплатника. Якщо користувач намагається одержати доступ до свого акаунту з чужого комп’ютера, то йому доведеться відповісти на кілька питань, відповіді на які теоретично нікому не повинні бути відомі.

Працює система A-OK по моделі “сервіс по запиту”. Іншими словами, замовникам не прийдеться встановлювати на своїх комп’ютерах яке-небудь програмне забезпечення чи купувати додаткове устаткування. Усі роботи з підтримки A-OK виконують фахівці Arcot. Вартість підписки на інструментарій двухфакторної аутентифікації складає один долар на місяць у розрахунку на одного користувача.

По матеріалам http://www.secblog.info.

Виявлена можливість ушкодження пам’яті в Mozilla Firefox, а також в Thunderbird і SeaMonkey. Уразливість дозволяє віддаленому користувачу виконати DoS атаку.

Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, SeaMonkey 1.1.

Ушкодження пам’яті в операції зборки сміття в JavaScript. В Firefox 2.0.0.14, Thunderbird 2.0.0.14 і SeaMonkey 1.1.10 дана уразливість вже виправлена.

• Mozilla Foundation Security Advisory 2008-20 (деталі)

ІТ-персонал більшості компаній як і раніше має достатні права в корпоративних комп’ютерних системах для перегляду практично всієї конфіденційної інформації, включаючи дані про співробітників і електронну пошту. Про це в тематичній доповіді заявила компанія ІТ-безпеки Cyber-Arc.

За даними опитування 200 ІТ-професіоналів, більше половини з них украй халатно відносяться до безпеки, зберігаючи адміністраторські паролі на листках папера, приклеєних до стіни чи комп’ютеру.

Кожна п’ята компанія рідко змінює паролі адміністратора, а в 7% компаній їх не змінюють зовсім. 8% компаній використовують у системах паролі, встановлені виробником за замовчуванням, тобто, відомі кожному, хто прочитає інструкцію до пристрою чи програмному продукту.

Один адміністратор сказав, що через тяганину з персональними паролями в його організації користувачам видали один пароль на всіх.

По матеріалам http://www.securitylab.ru.

11.04.2008

Виявлена можливість пошкодження пам’яті в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Пошкодження пам’яті при роботі з потоковими даними.

• Microsoft Security Bulletin MS08-024 - Critical Cumulative Security Update for Internet Explorer (деталі)

17.04.2008

Додаткова інформація.

• Secunia Research: Internet Explorer Data Stream Handling Vulnerability (деталі)

26 березня стартував конкурс CanSecWest PWN to OWN. Учасникам пропонувалося на вибір атакувати і прочитати вміст заданого файлу на трьох ноутбуках - VAIO VGN-TZ37CN з Ubuntu 7.10; Fujitsu U810 з Vista Ultimate SP1; MacBook Air з OSX 10.5.2.

Усі системи були цілком пропатчені й запущені в стандартній конфігурації, учасники взаємодіяли з ними через пряме підключення по кроссоверу, незалежно від інших. Відповідно до умов конкурсу, переможець унесе із собою повалений ноутбук і приз у 20 тисяч доларів при удачі в перший день змагання, 10 тисяч при успішній атаці в другий, і 5 тисяч - у третій.

У перший день системи були відкриті тільки для “чесних” віддалених атак, що виключають дії користувача машини, що атакується. Цей день не приніс успіху нікому.

В другий день були дозволені також атаки на будь-які прикладні програми, що йдуть у стандартному постачанні, і дії з ними, включаючи читання пошти, відкриття отриманих лінок тощо. Цей день приніс перемогу над MacBook Air - Чарлі Міллер, відомий одним з перших взломів iPhone, використав уразливість у Safari для захоплення керування системою.

Vista і Ubuntu перейшли в третій тур. Тут в гру вступили деякі популярні сторонні додатки. В останній день конкурсу був взломаний ноутбук з Vista Ultimate - після того як на нього була встановлена остання версія Adobe Flash, у якій виявилася свіжа і ще не обнародувана уразливість.

По матеріалам http://bugtraq.ru.