Websecurity - Веб безпека

Фахівець в області безпеки Дідьє Стівенс з’ясував, що ні загроза комп’ютеру, ні підозрілий дизайн не зможуть перебороти людські рефлекси - багато хто автоматично готовий клікнути на лінку “жми сюди!!!”. Його контекстне оголошення в Google із фразою “Ваш комп’ютер ще чистий від вірусів? Тоді заразіть його тут!” привело на сайт 409 відвідувачів.

“За півроку моя реклама спливала 260000 разів, і по ній пройшли 409 разів - у 0,16% випадків. Уся “рекламна кампанія” обійшлася мені в 23 долара, тобто по 6 центів за клік чи, іншими словами, за один потенційно заражений комп’ютер”, - говорить Стівенс.

Він повідомляє, що спеціально створив максимально підозрілий дизайн свого оголошення, але навіть це не насторожило користувачів. Не відреагували на неї і модератори Google - реклама була схвалена і донедавна розміщувалася на сторінках пошуковця.

Є два варіанти логіки людей, що пройшли по лінці. Це або користувачі, що розкусили жарт, котрі вирішили поцікавитися, куди ж їх приведе така реклама, або ті, хто поплутав її з рекламою антивірусу.

У всякому разі, очевидно, що навіть саме безглузде оголошення знаходить свою аудиторію. Тому, скільки б рекламщики не вивчали психологію користувачів чи їхнього пересування по Мережі, до 14 переваг інтернет-реклами можна сміливо додати п’ятнадцяте: “Що б ви не рекламували, і як би не оформили баннер, знайдуться ті, хто на нього клікне”.

По матеріалам http://www.securitylab.ru.

P.S.

Це ще була “безпечна” реклама, бо лінка вела на безпечний сайт. Але часто трапляються випадки (і в цьому році подібні випадки були неодноразово зафіксовані), коли контекстна реклама в Гуглі веде на зловмисні сайти. Причому рекламують вони не віруси, а більш привабливі для користувачів речі.

Виявлена уразливість в Internet Explorer, котра дозволяють віддаленому користувачу зробити спуфінг-атаку чи викликати відмову в обслуговуванні.

Уразливі версії: Microsoft Internet Explorer 5.01, Internet Explorer 6.x, Internet Explorer 7.x.

Уразливість існує через помилку при обробці події “onunload”, що дозволяє віддаленому користувачу скасувати завантаження нової сторінки. Зловмисник може підмінити адресний рядок браузера, якщо користувач, після відвідування спеціально сформованої сторінки, вручну набере нову адресу в адресному рядку. Уразливість дозволяє також викликати розіменування нульового вказівника і викликати відмову в обслуговуванні браузера.

• Подмена адресной строки и разыменование нулевого указателя в Internet Explorer (деталі)

В цей вівторок корпорація Microsoft випустила 7 бюлетенів безпеки з описом 11 уразливостей в операційних системах Windows різних версій, поштовому клієнті Outlook Express, браузері Internet Explorer та інших програмних компонентах.

Як повідомляється, три з виявлених дір становлять критичну небезпеку. Це означає, що уразливості можуть використовуватися зловмисниками для одержання несанкціонованого доступу до віддаленого комп’ютера з подальншим виконанням на ньому довільних операцій. Критичні діри виявлені в програмних інтерфейсах DirectX із сьомої по десяту версію, Internet Explorer 6 і 7, а також кодеку Windows Media Format Runtime, що входить до складу плеера Windows Media Player.

По матеріалам http://www.secblog.info.

Консорціум WASC (Web Application Security Consortium) оголосив про доступність списку можливих способів виконання javascript коду без використання тега scrіpt, стосовно до браузерів MS Internet Explorer 7, Firefox 2 і Safari 3. Дані можна використовувати при написанні фільтрів, що запобігають Cross-Site Scripting атакам у веб-додатках, що приймають користувацькі дані з елементами HTML форматування.

Детальніше про проект: The Script Mapping Project.

По матеріалам http://www.opennet.ru.

Цього року на міжнародному змаганні хакерів Capture the Flag (CTF) перемогла команда Chocolate Makers з Міланського Університету. Команда Squareroots з університету Мангейма була другою, а HackerDom з Російського Уральського державного університету завоювала третє місце. Торішній переможець, We_0wn_Y0u з Відня зайняв тільки четверте місце.

В андеграунді залишилися команди Hexadecimators з Каліфорнійського університету в Санта-Барбарі (UCSB), DoS DevilZ з Амритської школи інженерів (Індія) та Graham Crackers з американського Пенсильванського державного університету. В цілому участь у конкурсі приймали 36 команд з усього світу, вісім з них - з Німеччини.

Організатори дали командам трохи менше семи годин для вирішення задач з використанням семи різних сервісів. Кожний з цих спеціально підготовлених сервісів містить уразливість, знайшовши яку, можна одержати очки. Також потрібно було створити патчи для них. Додаткові задачі - копіювання і шифрування даних.

Цей найбільший у світі конкурс проходить протягом декількох днів і організується щороку на конференції хакерів Defcon у Лас-Вегасі.

По матеріалам http://www.secblog.info.

Вийшли нові версії Mozilla Firefox і Seamonkey, котрі містять патчі до трьох уразливостей - підробки REFERER через змагання умов при установці window.location, ушкодженню пам’яті, небезпеки XSS через jar: URI.

Були виправлені наступні уразливості:

1. Mozilla Firefox до версії 2.0.0.10 (а також Seamonkey до 1.1.7) містить ряд уразливостей, що дозволяють викликати ушкодження пам’яті при відвідуванні спеціально сформованих веб-сторінок, що, у свою чергу, може привести до виконання довільного коду чи аварійному завершенню роботи браузера.

2. Mozilla Firefox до версії 2.0.0.10 (а також Seamonkey до 1.1.7) містить уразливість до підробки поля HTTP_REFERER у заголовку HTTP запиту. Уразливість викликана виникненням змагання умов при встановленні window.location.

Підробка HTTP_REFERER дозволяє здійснити атаку типу CSRF (міжсайтова підробка запиту) на сайти, що використовують поле HTTP_REFERER для захисту від такого виду атак.

3. Обробник URI типу “jar:” в Mozilla Firefox до 2.0.0.10 (а також Seamonkey до 1.1.7) представляє можливість проведення атак міжсайтового скриптінга на сторонніх сайтах. Можливість звертання через URI до довільного файлу в архіві .jar (що має формат zip), може привести до виконання html-файлів (і вбудованого в них JavaScript чи VBScript коду), що містяться в архіві, у контексті того сайта, на який вони були завантажені.

Небезпека виникає унаслідок відсутності перевірки MIME-типу архіву. У Firefox 2.0.0.10 встановлене обмеження на обробку протоколу jar - тільки для application/java-archive і application/x-jar. Можливість звертання до файлів усередині архіву jar була введена в браузер для підтримки веб-сторінок з цифровим підписом, що дозволяє сайтам завантажувати сторінки, упаковані в zip-архіви у форматі java-archive, що містять файли з цифровими підписами.

• Mozilla Firefox 2.0.0.10 и Seamonkey 1.1.7 - патчи для трех уязвимостей (деталі)

P.S.

Після виходу Firefox 2.0.0.10, дуже швидко (через три дні) вийшла Mozilla Firefox 2.0.0.11. В цій версії виправили баг (з Canvas), котрий був допущний в версії 2.0.0.10.

Компанія Google має намір видалити зі свого пошукового індексу кілька тисяч сайтів, що містять шкідливе програмне забезпечення, однак за допомогою різних механізмів пошукової оптимізації з’явилися в рейтингу Google (в топі).

У компанії повідомили, що подібні сайти нерідко ставали причиною головного болю і для самої Google, тому що користувачі обвинувачували компанію в неякісному пошуку. Відомо, що масштабне чищення пошукового індексу почалося наприкінці листопада (28.11.2007).

Офіційно в Google не повідомляють про те, як довго триватиме чищення, скільки ресурсів уже видалено і скільки ще має бути видаленим. Незалежні аналітики з компанії Sunbelt Software Distribution говорять, що зі зловмисних ресурсів, що найчастіше з’являлися в результатах пошуку найбільш поширені сторінки з троянами, програмами віддаленого адміністрування і експлоітами для викрадення паролів.

По матеріалам http://www.cybersecurity.ru.

“Почали давити конкуренти? Хтось заважає вашому бізнесу? Потрібно вивести з ладу сайт супротивника?” - такими словами починається спам-розсилка з пропозицією послуг по організації DDoS-атак, що зафіксувала “Лабораторія Касперського”. У компанії вважають, що це пов’язано з появою надлишку потужностей у власників бот-мереж.

У розсилці рекламується “DDoS-сервіс” - використання міжнародної мережі заражених комп’ютерів для ініціації безлічі запитів на ресурс, що атакується, що приводить або до уповільнення його роботи, або до повного зависання сервера. Година атаки на сайт обійдеться в $20, також існує можливість замовити 15-хвилинний безкоштовний тест.

За словами керівника відділу аутсорсінга ІТ-безпеки Андрія Никішина, розсилки з такими пропозиціями зустрічаються вкрай рідко - як правило, пропозиції кримінальних послуг публікуються на хакерських сайтах. Спам-аналитіки “Лабораторії Касперського” бачать у цій розсилці яскраву ілюстрацію триваючого процесу криміналізації спама в Рунеті.

По матеріалам http://news.internetua.com.

Новий процесор для консолі PlayStation має таку потужність, що здатний взламувати паролі набагато швидше будь-якого іншого аналога.

Дослідник безпеки Нік Бріз з Security Assessment використовував PS3, щоб дешифрувати складні вісьмизначні паролі. Звичайно взлом таких паролів займає дні, а новий Cell зробив це усього за кілька годин.

Подібні паролі використовуються для захисту файлів формату PDF і Zip-архівів, а також продуктів Microsoft Office.

На конференції по безпеці Kiwicon, що проходила в середині листопада 2007 р., Бріз сказав, що процесори від Intel можуть робити 10-15 млн. циклів щосекунди. А Cell здатний проробляти 1,4 млрд. у секунду. Ця цифра досягається ефективною організацією багатоядерної системи. Фахівець відзначив, що хакери не преминуть скористатися новим досягненням ІТ-індустрії.

В інтерв’ю Sydney Morning Herald Бріз сказав, що, хоча PS3 може використовуватися для взлому паролів, більш потужні системи шифрування - наприклад, ті, що використовуються для забезпечення безпеки Мережі, - залишаються в безпеці.

По матеріалам http://www.cnews.ru.

Виявлена уразливість в Apache, що дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Apache 2.2.4, 2.0.46, 2.0.51, 2.0.55, 2.0.59 и 2.2.3, можливо інші ранні версії.

Уразливість існує через недостатню обробку вхідних даних при відображенні помилки “413 Request Entity Too Large”. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Apache (деталі)