Websecurity - Веб безпека

Сайти соціальних мереж являють собою плацдарм для зловживання довірою з боку хакерів і комп’ютерних шахраїв, стверджує датська компанія досліджень інформаційної безпеки CSIS. І як я нещодавно писав, в 2008 році ця тенденція продовжиться.

Приміром, сайти на зразок LinkedIn дозволяють створити своє приватне співтовариство, і, запрошуючи в нього випадкових людей, використовувати потім їхню довіру в шахрайських цілях. Дослідник CSIS Деніс Ренд створив фіктивний профіль на LinkedIn і за кілька тижнів зібрав співтовариство з 1340 “довірених зв’язків”. “Сліпа довіра”, вбудована в соціальні мережі, може бути використана для розсилання посилань на шкідливі веб-сторінки, при цьому одержувач буде помилково думати, що джерело - довірене.

Оскільки LinkedIn призначена для ділових зв’язків, і, отже, відкрита для доступу з офісу, співробітник, що звільняється, може просто завантажити до себе на сторінку конфіденційну інформацію, говорить Ренд. Дослідження на основі мережі LinkedIn з 10 млн. зареєстрованих користувачів відображує ситуацію в просторі соціальних мереж у цілому. На думку Ренда, компанії повинні стежити за використанням таких ресурсів.

За даними доповіді університету Індіани, США, 72% одержувачів фішерських електронних листів від своїх колег по соціальній мережі не змогли розпізнати загрозу. Але лише 15% не змогли цього зробити, одержавши листа від випадкових людей. За даними ha.ckers.org, середній доход фішера, що використовує для шахрайства MySpace, Facebook і LinkedIn, складає до $4000 в день.

По матеріалам http://www.securitylab.ru.

В минулому році виявлені переповнення буфера в Mozilla Firefox. Уразливість дозволяє віддаленому користувачу виконати довільний код на цільовій системі.

Уразливі продукти: Mozilla Firefox 1.5, Firefox 2.0, SeaMonkey 1.0.

1. Уразливість існує через помилку дизайну при обробці спеціально сформованих SSLv2 повідомлень сервера. Зловмисник, що контролює веб сервер, може послати цільовому користувачу сертифікат з публічним ключем, якого не досить для шифрування “Master Secret”, викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

2. Цілочисленне переповнення виявлене при обробці клієнтських SSLv2 майстр-ключів. Віддалений користувач може за допомогою спеціально сформованих опцій під час SSLv2 рукостискання викликати переповнення стека і виконати довільний код на цільовій системі.

До речі, нещодавно були виявлені численні уразливості в останніх версіях Mozilla Firefox та Seamonkey, тому користувачам даних браузерів варто їх оновити.

• Переполнение буфера в Mozilla Firefox (деталі)

Виявлена можливість підміни адреси в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 7.0 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

• Internet explorer 7.0 spoofing (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox та Seamonkey, а також в Thunderbird.

Уразливі продукти: Firefox 2.0, Thunderbird 2.0, Seamonkey 2.0.

Виконання коду через JavaScript, міжсайтовий скриптінг, численні DoS-умови, підміна URI і діалогів, доступ до локальних портів через Java, проблема з приватністю при використанні SSL-аутентифікації.

• US-CERT Technical Cyber Security Alert TA08-087A — Mozilla Updates for Multiple Vulnerabilities (деталі)
• Mozilla Foundation Security Advisory 2008-19 (деталі)
• Mozilla Foundation Security Advisory 2008-18 (деталі)
• Mozilla Foundation Security Advisory 2008-17 (деталі)
• Mozilla Foundation Security Advisory 2008-16 (деталі)
• Mozilla Foundation Security Advisory 2008-15 (деталі)
• Mozilla Foundation Security Advisory 2008-14 (деталі)
• Mozilla Foundation Security Advisory 2008-13 (деталі)

В статті Looming Online Security Threats in 2008 на www.businessweek.com зазначається, що веб-сервіси, включаючи соціальні мережі (такі як MySpace та Facebook) стануть головними цілями для хакерів, що шукають вашу персональну інформацію.

В даній статті розповідається про загрози онлайн безпеки, що очікуються в 2008 році. Автор статті наголошує, що хакери все більше будуть шукати можливі витоки інформації і використовувати їх для отримання персональної інформації про користувачів. Котра потім буде використовувати для проведення подальших атак (в тому числі фішінг атак). Зокрема, головними цілями для отримання персональної інформації стануть соціальні мережі.

В статті наводяться наступні тенденції в галузі безпеки, що очікуються в цьому році:

1. Використання довіри - інтернет-шахрайства стануть ще більш поширеними і вони будуть проводитися не тільки по емайлу чи IM, але й через соціальні мережі. Причому головні атаки будуть проводитися на браузери користувачів.

2. Хакери змінюють вектор атак - все більше атак буде проводитися на веб-сервіси.

3. Мобільна та корпоративна обережність - все більше атак будуть відбуватися на мобільні пристрої (телефони, смартфони та комунікатори), тому що вони можуть зберігати цінну інформацію.

4. Віруси: більш витонченна приманка - віруси будуть ще більше використовувати соціальну інженерію, щоб заразити комп’ютери користувачів та завести їх у зомбі-мережі для проведення різноманітних атак.

Виявлені integer overflow уразливості в PHP.

Уразливі версії: PHP 5.2.

Цілочисленне переповнення в функціях printf.

• PHP 5 *printf() - Integer Overflow (деталі)

Виявлені Сross-Site Scripting уразливості в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.0, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Міжсайтовий скриптінг через Manager і Host Manager та приклади JSP-сторінок.

• Apache Tomcat XSS vulnerability in Manager (деталі)
• Apache Tomcat XSS vulnerabilities in the JSP examples (деталі)

Виявлена можливість підміни запиту в Microsoft Internet Explorer 7.

Уразливі продукти: Microsoft Internet Explorer 7 під Windows XP, Windows 2003 Server, Windows Vista та Windows 2008 Server.

Маніпуляція заголовками і некоректна обробка кодування chunked дозволяють розбити запит.

• IE7 Transfer-Encoding: chunked allows Request Splitting/Smuggling. (деталі)
• IE7 allows overwriting of several headers leading to Http request Splitting and smuggling. (деталі)

В минулому році виявлений витік інформації через mod_mem_cache в Apache (information leak).

Уразливі версії: Apache 2.2.

За певних умов можуть бути отримані дані з заголовків попередніх відповідей сервера.

• Updated apache packages fix mod_mem_cache issue (деталі)

30.07.2007

Виявлений міжсайтовий скриптінг в Apache Tomcat (Cross-Site Scripting).

Уразливі версії: Apache Tomcat 4.0, Apache Tomcat 4.1.

Міжсайтовий скриптінг у прикладі sendmail.jsp.

• CVE-2007-3383: XSS in Tomcat send mail example (деталі)

22.03.2008

Додаткова інформація.

Міжсайтовий скриптінг у прикладах calendar і CookieExample.

• Apache tomcat calendar example cross site scripting and cross site request forgery vulnerability (деталі)
• CVE-2007-3384: XSS in Tomcat cookies example (деталі)