Websecurity - Веб безпека

ScanSafe попереджає про нову “мережу” інфікованих сайтів. Мері Лендсмен є дослідником ІБ і працює в компанії ScanSafe, що здійснює контроль за веб-серфінгом співробітників великих компаній, і інформує про поширення шкідливого ПЗ в Мережі. Коли користувач відвідує сайт, що позначений як інфікований, то сервіс автоматично блокує завантаження сайта в браузері користувача. Компанія сканує потік 7 млрд. веб-запитів на місяць.

Протягом чотирьох днів (з 8 по 11 січня), 15% блокованих запитів надходили на кілька сотень сайтів, що цілком легальні і, як передбачається, були скомпрометовані нападниками. Лендсмен зробила деякі дослідження і виявила, що цей інцидент відрізняється від усіх попередніх.

На інфікованих сайтах розміщуються шкідливі програми, що можуть “заразити” ПК відвідувачів. У більшості випадків хакери не можуть одержати високий ступінь контролю над взломаними сайтами, щоб перенаправляти користувачів на інші, контрольовані зловмисниками, сервера.

Поки Лендсмен та інші дослідники не знайшли яких-небудь видимих зв’язків між зараженими сайтами. Деякі сайти базуються у Великобританії, а деякі в Індії, Бразилії й інших країнах. Вони не використовують той самий веб-хостінг, і, хоча більшість використовуваного веб-ПЗ - Apache, версії значно відрізняються одна від одної, а це значить, що факт застосування Apache не робить його привабливим для експлуатації уразливостей. Спалах нової “веб-інфекції” збігся з іншим масовим зараженням сайтів.

На заражених сайтах працюють скрипти, що мають динамічні імена (тобто при повторному відвідуванні сайта користувач побачить інше ім’я скрипта). Сам шкідливий скрипт шукає різні уразливості в ОС і, коли знаходить, скачує файл .mov з dedicated.abac.net. Потім запит перенаправляється на bds.invitations.fr - переходячи по цій лінці, користувач “встановлює” на свій ПК бекдор.

По матеріалам http://safe.cnews.ru.

15.01.2008

Виявленні численні уразливості безпеки в Apache.

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Міжсайтовий скриптінг, підміна запитів, ушкодження пам’яті і DoS у mod_proxy_balancer, міжсайтовий скриптінг у mod_proxy_ftp.

• Apache (mod_proxy_ftp) Undefined Charset UTF-7 XSS Vulnerability (деталі)
• Apache2 CSRF, XSS, Memory Corruption and Denial of Service Vulnerability (деталі)

17.01.2008

Додаткова інформація.

• Apache (mod_status) Refresh Header - Open Redirector (XSS) (деталі)

07.02.2008

Додаткова інформація.

• Apache mod_negotiation Xss and Http Response Splitting (деталі)

У грудні минулого року IronPort Systems, бізнес-підрозділ Cisco, ведучий виробник рішень для захисту корпоративної електронної пошти від спама, вірусів, шпигунського й іншого шкідливого ПЗ, опублікувала свій щорічний звіт Internet Security Trends Report - 2008. У цьому матеріалі освітлені всі найбільш важливі аспекти Інтернет-безпеки, актуальні на сьогодні, розглянуті способи боротьби з ними і з ще більш витонченими загрозами, що, безсумнівно, виникнуть у майбутньому.

Поширення спама, вірусів, шпигунського й іншого шкідливого ПЗ обходиться досить дорого. Середньостатистичний користувач витрачає на видалення спама в середньому 5-10 хвилин щодня, таке “чищення” обходиться підприємству в середньому в $500 на робоче місце в рік. Набагато більше витрат спричинить за собою витік інформації. Майже 60 млн. користувачів визнаються, що їх конфіденційні особисті дані були скомпрометовані протягом 13 останніх місяців, а сума, витрачена на ліквідацію таких втрат, за світовою статистикою, перевищила 20 млрд. доларів. Факт, що 60% корпоративної інформації зберігається на незахищених комп’ютерах і ноутбуках. А 48% компаній не сповіщають своїх клієнтів у випадку втрати їхніх персональних даних.

Сучасне шкідливе ПЗ (як, наприклад, троян “Storm”) багато чого запозичає із соціальних мереж, співробітничає із сайтами, пов’язаними з Web 2.0, і найчастіше адаптоване під peer-to-peer. Зараження проходить непомітно, а вірус може залишатися місяцями чи навіть роками непоміченим традиційними антивірусами. Для нових версії троянів й інших вірусів характерні більш висока цілеспрямованість, вони не розраховані на таке “довге життя”. Старий принцип “те, що я бачу, не може принести істотної шкоди” більше не працює.

Говорячи про загальні тенденції поширення спама, вірусів та іншого шкідливого ПЗ цього року, варто сказати, що атаки стали набагато більш цілеспрямованими, більш масованими і витонченими, а також практично невидимими для традиційних засобів захисту.

Окремі тренди:

• Збільшення обсягів. Обсяги спама збільшилися на 100% і досягли відмітки в 120 млрд. повідомлень щодня, по 20 листів зі спамом на кожного жителя планети щодня. По підрахунках IronPort, на адресу кожного співробітника приходиться від 100 до 1000 спам-повідомлень у добу.
• Спам менше продає, але більше заражає. Повідомлення зі спамом стали менш сфокусовані на продажі якихось товарів і більше - на розширенні своїх ботів-мереж і поширенні шкідливого ПЗ. Якщо раніш спам-атаки були переважно спрямовані на продаж якогось виду продукту, то сьогодні спам переважно містить лінку на сайти, що займаються поширенням шкідливих програм.
• Значно збільшилася кількість вірусів і покращилось їхнє замаскування.
• Зменшення терміну використання окремих технік. Раніше кожна нова технологія використовувалася спамерами кілька місяців, а то і років (наприклад - спам у картинках). Більш нові технології, такі як MP3-спам, прожили всего 3 дні. У 2006 році спам у картинках був єдиним нововведенням, а в 2007 було винайдено більш 20 різних технологій.

Повна версія звіту на сайті виробника.

• Ежегодный отчет IronPort: Безопасность в Интернете – спам, вирусы и прочее вредоносное ПО. Итоги 2007. Прогнозы на 2008 (деталі)

Виявлені численні DoS-умови в PHP.

Уразливі версії: PHP 5.2.

Численні умови відмови в обслуговуванні в різних функціях.

• rPSA-2007-0242-1 php5 php5-cgi php5-mysql php5-pear php5-pgsql php5-soap php5-xsl (деталі)

Десятки тисяч веб-сайтів компаній зі списку Fortune 500, державних урядових закладів і шкіл були заражені шкідливим кодом, спрямованим на крадіжку паролів до онлайн-ігор.

Більш 94000 URL заражені екплоітом, що перенаправляє користувачів на домен uc8010.com. Інфіковано ресурси ІБ-компанії Computer Associates, а також сайти, що належать владі Вірджинії, міста Клівленд і Бостонського університету.

“Коло об’єктів, що були інфіковані, дуже широке, - сказала Мері Лендсмен, дослідник зі ScanSafe, компанії, що надає інформацію про шкідливі сайти. - Це реальний приклад того, що ми бачимо щодня. І це показує компаніям, що зацікавлені у веб-присутності, як важливо уважно подивитися на стан своєї системи безпеки”.

“Хакери змогли інфікувати сайти, використовуючи SQL-ін’єкції”, - повідомляє Йоханнес Ульріх, головний технолог Internet Storm Center. В ін’єкції включений JavaScript код, що перенаправляє користувачів на інші сайти. Уразливості цих сайтів дозволяють встановити шкідливе ПЗ на комп’ютери користувачів для крадіжки паролів до різних онлайн-ігор.

По матеріалам http://safe.cnews.ru.

В першій половині січня вийшов Invision Power Board v2.3.4, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Invision Power Board (IP.Board) v2.3.4 (деталі)

Компанія IBResource повідомляє про вихід російської версії Invision Power Board v2.3.4.

Цей дистрибутив містить у собі виправлення декількох десятків помилок, що були виявлені в попередній версії 2.3.3.

P.S.

Найближчим часом розробникам доведеться випускати нову версію движка, після того як я їм повідомлю про уразливості в IPB.

Німецькі хакери поставили під сумнів введення в 2009 році в Нідерландах електронних квитків для суспільного транспорту. Хакерам вдалося взломати код, що захищав квитки.

Таким чином зараз голландській компанії NXP, що розробила чіп, прийдеться впритул зайнятися вивченням методів взлому і їхніх можливих наслідків (які неважко передбачити). Як запасний варіант NXP має більш дорогу і краще захищену модифікацію чіпа, однак у випадку його застосування виявляться викинутими “на вітер” гроші, витрачені на створення колишньої версії чипа Mifare.

По матеріалам http://www.secblog.info.

P.S.

Ось такі вони, хакери . Полюбляють хакати електронні квитки та їздити безкоштовно у транспорті.

Як відзначається в недавньому звіті компанії Websense, кількість сайтів, взломаних для розміщення шкідливого коду, у даний час істотно перевищує число ресурсів спеціально створених для поширення хробаків і інших подібних програм. Експерти Websense роблять висновок, що інфікування існуючих сайтів несе значно більшу вигоду для зловмисників, оскільки в подібних ресурсів як правило вже мається деяка аудиторія і коло постійних відвідувачів, серед яких і може бути розповсюджений шкідливий код.

Найчастіше метою зловмисників є персональні дані користувачів, банківська інформація чи реквізити для доступу до акаунтів популярних онлайнових багатокористувацьких ігор. Експерти Websense регулярно обновляють чорний список заражених сайтів і намагаються інформувати адміністрацію скомпрометованих ресурсів. Однак, потім найчастіше сайт залишається в списку заражених протягом декількох місяців через нерозторопність адміністраторів, що побоюються, що встановлення оновлень в антивірусному чи будь-якому іншому ПЗ, на базі якого працює сайт, може викликати небажані наслідки. Особливо це стосується адміністраторів корпоративних мереж.

У звіті серед самих небезпечних вірусних загроз минулого року згадується і сумнозвісний хробак Storm, що з’явився на початку минулого року. Постійно змінюючи тактику поширення шкідливої програми, зловмисники змогли інфікувати сотні тисяч комп’ютерів по всьому світі. Бот-мережа Storm, за деякими оцінками, на піку своєї могутності нараховувала до 50 мільйонів ПК, і зараз як і раніше важко сказати, наскільки велика ця мережа.

По матеріалам http://www.securitylab.ru.

Число заражених веб-сторінок росте з загрозливою швидкістю. За даними дослідників безпеки, число комп’ютерів-ботів також стрімко росте.

Дослідники ІБ з Sophos щодня виявляють близько 6000 нових інфікованих веб-сторінок, тобто одну сторінку кожні 14 секунд. Чотири з п’яти (83 %) цих сторінок належать ні в чому не винним компаніям і приватним особам, що і не підозрюють, що їх сайти взломані й заражені. Розробники вірусів не щадять нікого: ні дилерів антикваріату, ні виробників морозива, ні весільних фотографів.

Це дослідження проливає світло на серйозну проблему ІБ: поширення вірусів здійснюється за допомогою заражених веб-сторінок і спама. Кіберзлочинці розсилають користувачам спам-листи, що містять лінки на заражені веб-сторінки. Щонайменше, одна з десяти веб-сторінок заражена шкідливим ПЗ, відповідно до дослідження Google, опублікованому в травні 2007 р. Найчастіше ці шкідливі програми спрямовані на те, щоб скомпрометувати користувацьку систему і “зомбувати” її для включення в ботнет.

Щодня біля півмільйона комп’ютерів стають ботами, згідно даним PandaLabs, підрозділу антивірусної компанії Panda Software. Приблизно 11% комп’ютерів в усьому світі стали частиною ботнетів, що відповідальні за 85% усіх спам-повідомлень.

По матеріалам http://www.securitylab.ru.

Виявлений зворотний шлях у каталогах URI chrome: в Mozilla Firefox (Directory traversal).

Уразливі версії: Mozilla Firefox 2.0 (включно Firefox 2.0.0.11).

Можливе звертання до локальних скриптів. Що може призвести до витоку інформації.

• Firefox chrome: URL Handling Directory Traversal (деталі)