Websecurity - Веб безпека

Німецькі хакери поставили під сумнів введення в 2009 році в Нідерландах електронних квитків для суспільного транспорту. Хакерам вдалося взломати код, що захищав квитки.

Таким чином зараз голландській компанії NXP, що розробила чіп, прийдеться впритул зайнятися вивченням методів взлому і їхніх можливих наслідків (які неважко передбачити). Як запасний варіант NXP має більш дорогу і краще захищену модифікацію чіпа, однак у випадку його застосування виявляться викинутими “на вітер” гроші, витрачені на створення колишньої версії чипа Mifare.

По матеріалам http://www.secblog.info.

P.S.

Ось такі вони, хакери . Полюбляють хакати електронні квитки та їздити безкоштовно у транспорті.

Як відзначається в недавньому звіті компанії Websense, кількість сайтів, взломаних для розміщення шкідливого коду, у даний час істотно перевищує число ресурсів спеціально створених для поширення хробаків і інших подібних програм. Експерти Websense роблять висновок, що інфікування існуючих сайтів несе значно більшу вигоду для зловмисників, оскільки в подібних ресурсів як правило вже мається деяка аудиторія і коло постійних відвідувачів, серед яких і може бути розповсюджений шкідливий код.

Найчастіше метою зловмисників є персональні дані користувачів, банківська інформація чи реквізити для доступу до акаунтів популярних онлайнових багатокористувацьких ігор. Експерти Websense регулярно обновляють чорний список заражених сайтів і намагаються інформувати адміністрацію скомпрометованих ресурсів. Однак, потім найчастіше сайт залишається в списку заражених протягом декількох місяців через нерозторопність адміністраторів, що побоюються, що встановлення оновлень в антивірусному чи будь-якому іншому ПЗ, на базі якого працює сайт, може викликати небажані наслідки. Особливо це стосується адміністраторів корпоративних мереж.

У звіті серед самих небезпечних вірусних загроз минулого року згадується і сумнозвісний хробак Storm, що з’явився на початку минулого року. Постійно змінюючи тактику поширення шкідливої програми, зловмисники змогли інфікувати сотні тисяч комп’ютерів по всьому світі. Бот-мережа Storm, за деякими оцінками, на піку своєї могутності нараховувала до 50 мільйонів ПК, і зараз як і раніше важко сказати, наскільки велика ця мережа.

По матеріалам http://www.securitylab.ru.

Число заражених веб-сторінок росте з загрозливою швидкістю. За даними дослідників безпеки, число комп’ютерів-ботів також стрімко росте.

Дослідники ІБ з Sophos щодня виявляють близько 6000 нових інфікованих веб-сторінок, тобто одну сторінку кожні 14 секунд. Чотири з п’яти (83 %) цих сторінок належать ні в чому не винним компаніям і приватним особам, що і не підозрюють, що їх сайти взломані й заражені. Розробники вірусів не щадять нікого: ні дилерів антикваріату, ні виробників морозива, ні весільних фотографів.

Це дослідження проливає світло на серйозну проблему ІБ: поширення вірусів здійснюється за допомогою заражених веб-сторінок і спама. Кіберзлочинці розсилають користувачам спам-листи, що містять лінки на заражені веб-сторінки. Щонайменше, одна з десяти веб-сторінок заражена шкідливим ПЗ, відповідно до дослідження Google, опублікованому в травні 2007 р. Найчастіше ці шкідливі програми спрямовані на те, щоб скомпрометувати користувацьку систему і “зомбувати” її для включення в ботнет.

Щодня біля півмільйона комп’ютерів стають ботами, згідно даним PandaLabs, підрозділу антивірусної компанії Panda Software. Приблизно 11% комп’ютерів в усьому світі стали частиною ботнетів, що відповідальні за 85% усіх спам-повідомлень.

По матеріалам http://www.securitylab.ru.

Виявлений зворотний шлях у каталогах URI chrome: в Mozilla Firefox (Directory traversal).

Уразливі версії: Mozilla Firefox 2.0 (включно Firefox 2.0.0.11).

Можливе звертання до локальних скриптів. Що може призвести до витоку інформації.

• Firefox chrome: URL Handling Directory Traversal (деталі)

Виявлені, ще в минулому році, численні уразливості в Microsoft Internet Explorer.

Уразливі версії: Internet Explorer 5.01, 6 та 7 на Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Численні ушкодження пам’яті в COM-об’єктах, при розборі HTML, перезапис файлів.

• Secunia Research: Internet Explorer HTML Objects Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Column Deletion Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS07-027 Cumulative Security Update for Internet Explorer (931768) (деталі)

На початку місяця, 03.01.2008, вийшов PHP 4.4.8, у якому виправлено багато помилок та уразливостей. Даний реліз направлений на покращення безпеки та стабільності гілки 4.4.x (котра вже не розвивається і випуск секюріті оновлень буде припинено 8 серпня цього року).

Серед секюріті покращень та виправлень в PHP 4.4.8:

• Покращене виправлення для MOPB-02-2007.
• Виправлене цілочислене переповнення буферу в chunk_split().
• Виправлене цілочислене переповнення буферу в str[c]spn().
• Виправлена регресія в glob при вімкненому open_basedir (що з’явилася після фікса бага #41655).
• Виправлена money_format(), що не приймала багатократні токени %i та %n.
• Додана “max_input_nesting_level” опція в php.ini для обмеження рівнів вкладенності вхідних змінних. Виправлення для MOPB-03-2007.
• Виправлена INFILE LOCAL опція при роботі з MySQL - щоб не дозволяти при активному open_basedir чи safe_mode.
• Виправлені session.save_path та error_log значення, що будуть перевірятися стосовно open_basedir та safe_mode.

По матеріалам http://www.php.net.

Виявлений вихід за межі каталогу через WebDav в Apache Tomcat (directory traversal).

Можливе одержання файлів по абсолютному шляху через DAV-запрос LOCK.

• Apache Tomcat File Disclosure (Exploit) (деталі)

Фахівці компанії Core Security Technologies ще влітку на конференції Black Hat продемонстрували новий тип атаки на комерційні бази даних, за допомогою якої зловмисники зможуть одержувати з баз даних закриту інформацію, причому в самій системі керування базами даних чи у сполучному програмному забезпеченні може і не бути яких-небудь уразливостей.

Під час демонстрації уразливості фахівці компанії заявили, що в даному випадку використовується так звана атака таймінга, техніка застосовувана для взлому багатьох криптографічних систем. Нова атака ефективно працює проти алгоритму Btree, використовуваного для створення індексів майже у всіх популярних СУБД, наприклад у MySQL чи Oracle.

“На сьогодні загрози безпеки стосуються в основному помилок у програмному забезпеченні чи невірній конфігурації мережевого оточення і додаткового сполучного програмного забезпечення, тому зловмисники можуть одержати доступ до даних, так чи інакше обійшовши систему авторизації й аутентифікації” - говорять у Core Security.

Новий же тип атак цілком покладається на спадкоємні характеристики алгоритмів індексування даних. У криптографії, атаки, що використовують метод таймінга, являють собою спеціальну техніку, коли нападник аналізує час, витрачений програмою на виконання криптографічного алгоритму.

Далі, за допомогою статистичних даних про швидкість роботи усіх використовуваних алгоритмів хакер з відкритих джерел одержує інформацію про те, який алгоритм використовується (на підставі даних за часом), а також яка саме криптографічна система розгорнута. Після чого, робота зловмисника зводиться до виявлення готових експлоітів для зв’язки алгоритм шифрування - програма шифрування, або до створення власного “ключа” для цього алгоритму, що більш складно, але і більш ефективно.

У випадку з базами даних підхід той же. Зловмисник, що бажає, наприклад, одержати закриті дані з БД якого-небудь сайта, заходить на цей сайт, після чого робить тестові виміри часу виконання команди Insert, що відповідає за додавання даних у БД. Зробити це можна масою способів, наприклад, написавши у форумі сайта повідомлення різної довжини. Далі порівнюються дані вставки малого і великого обсягу даних. У результаті тимчасових вимірів (таймінга) у зловмисника з’являються дані про використовувану СУБД і її версію. Ще більш ефективний метод таймінга у випадку одночасної вставки даних різного обсягу.

В результаті одержання даних про час виконання, можна буде одержати інформацію про структуру даних і дерево індексів СУБД, після чого задача зловмисника по одержанню закритих даних багаторазово спрощується. Ще одна небезпека даного методу в тім, що виявити дану атаку при активному відвідуванні сайта практично неможливо, тому що крім зловмисника з даними активно працюють і легітимні користувачі.

По матеріалам http://www.secblog.info.

Як деякий час тому повідомила Symantec, додаткові пошукові оператори Google допомагають спамерам обходити спам-фільтри. Пошуковий запит, у результаті якого видається бажаний сайт, має більше шансів дійти до кінцевого інбокса, чим пряме посилання.

Новий трюк, освоєний спамерами, працює таким чином. Для початку створюється точний пошуковий запит, у результаті якого Google видає одне єдине посилання - на рекламований сайт. Потім за допомогою додаткового оператора в рядку URL симулюється натискання кнопки “Мені повезе!”, що відсилає відвідувача прямо на перший сайт у списку. Готовий URL розсилається в спамі замість прямого посилання на сайт.

Для створення унікального запиту спамери використовують комбінацію операторів intext та inurl, що дозволяють звузити поле пошуку до вмісту сайта і його домена.

По матеріалам http://news.internetua.com.

P.S.

Використання пошукових систем, зокрема Гугла, для того, щоб обійти спам фільтри для розсилання спаму, а також лінків на фішінг та зловмисні сайти - це відоме явище. Про подібні речі говорили ще задовго до Symantec, зокрема трюк з I’m Feeling Lucky для симуляції редиректора давно відомий. Але це лише один з варіантів, інший - це використання редиректорів. В 2006 році я вже розповідав про використання редиректорів у злочинних цілях. Тому існує ряд можливостей для обходу фільтрів.

Ще в минулому році була виявлена уразливість міжсайтового скриптінга через RSS у багатьох додатках.

Уразливі продукти: Darksky RSS 1.28, Sleipnir 2.49, Portable Sleipnir 2.45, Firefox Sage extension 1.3.

Можливе впровадження скриптів у вміст RSS-новин.

• Cross-zone scripting vulnerability in Darksky RSS bar for Internet Explorer, Sleipnir and unDonut (деталі)
• Cross-zone scripting vulnerability in Sleipnir and Portable Sleipnir (деталі)
• XSS vulnerability in Firefox Sage extension (деталі)