Websecurity - Веб безпека

Компанія Google має намір видалити зі свого пошукового індексу кілька тисяч сайтів, що містять шкідливе програмне забезпечення, однак за допомогою різних механізмів пошукової оптимізації з’явилися в рейтингу Google (в топі).

У компанії повідомили, що подібні сайти нерідко ставали причиною головного болю і для самої Google, тому що користувачі обвинувачували компанію в неякісному пошуку. Відомо, що масштабне чищення пошукового індексу почалося наприкінці листопада (28.11.2007).

Офіційно в Google не повідомляють про те, як довго триватиме чищення, скільки ресурсів уже видалено і скільки ще має бути видаленим. Незалежні аналітики з компанії Sunbelt Software Distribution говорять, що зі зловмисних ресурсів, що найчастіше з’являлися в результатах пошуку найбільш поширені сторінки з троянами, програмами віддаленого адміністрування і експлоітами для викрадення паролів.

По матеріалам http://www.cybersecurity.ru.

“Почали давити конкуренти? Хтось заважає вашому бізнесу? Потрібно вивести з ладу сайт супротивника?” - такими словами починається спам-розсилка з пропозицією послуг по організації DDoS-атак, що зафіксувала “Лабораторія Касперського”. У компанії вважають, що це пов’язано з появою надлишку потужностей у власників бот-мереж.

У розсилці рекламується “DDoS-сервіс” - використання міжнародної мережі заражених комп’ютерів для ініціації безлічі запитів на ресурс, що атакується, що приводить або до уповільнення його роботи, або до повного зависання сервера. Година атаки на сайт обійдеться в $20, також існує можливість замовити 15-хвилинний безкоштовний тест.

За словами керівника відділу аутсорсінга ІТ-безпеки Андрія Никішина, розсилки з такими пропозиціями зустрічаються вкрай рідко - як правило, пропозиції кримінальних послуг публікуються на хакерських сайтах. Спам-аналитіки “Лабораторії Касперського” бачать у цій розсилці яскраву ілюстрацію триваючого процесу криміналізації спама в Рунеті.

По матеріалам http://news.internetua.com.

Новий процесор для консолі PlayStation має таку потужність, що здатний взламувати паролі набагато швидше будь-якого іншого аналога.

Дослідник безпеки Нік Бріз з Security Assessment використовував PS3, щоб дешифрувати складні вісьмизначні паролі. Звичайно взлом таких паролів займає дні, а новий Cell зробив це усього за кілька годин.

Подібні паролі використовуються для захисту файлів формату PDF і Zip-архівів, а також продуктів Microsoft Office.

На конференції по безпеці Kiwicon, що проходила в середині листопада 2007 р., Бріз сказав, що процесори від Intel можуть робити 10-15 млн. циклів щосекунди. А Cell здатний проробляти 1,4 млрд. у секунду. Ця цифра досягається ефективною організацією багатоядерної системи. Фахівець відзначив, що хакери не преминуть скористатися новим досягненням ІТ-індустрії.

В інтерв’ю Sydney Morning Herald Бріз сказав, що, хоча PS3 може використовуватися для взлому паролів, більш потужні системи шифрування - наприклад, ті, що використовуються для забезпечення безпеки Мережі, - залишаються в безпеці.

По матеріалам http://www.cnews.ru.

Виявлена уразливість в Apache, що дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Apache 2.2.4, 2.0.46, 2.0.51, 2.0.55, 2.0.59 и 2.2.3, можливо інші ранні версії.

Уразливість існує через недостатню обробку вхідних даних при відображенні помилки “413 Request Entity Too Large”. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Apache (деталі)

Вчора, 30.11.2007, відбувся міжнародний день захисту інформації. З чим вас і вітаю .

Міжнародний день захисту інформації відзначається 30 листопада, з 1988 року.

Цей рік не випадково став родоначальником свята, саме в цей рік була зафіксована перша масова епідемія хробака, що одержав назву по імені свого творця - Моріса. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки.

У 1988 році американська асоціація комп’ютерного устаткування оголосила 30 листопада міжнародним Днем захисту інформації (Computer Security Day). Таким чином Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників і користувачів устаткування і програмних засобів на проблему безпеки.

З тих пір у цей день з ініціативи Асоціації комп’ютерного устаткування проводяться міжнародні конференції по захисту інформації, супроводжувані масою цікавих заходів.

По матеріалам http://www.calend.ru.

Алгоритм генерації випадкових чисел, офіційно рекомендований у якості стандартного Національним інститутом стандартів і технологій США (NIST), може містити “чорний хід”, навмисно залишений розробниками стандарту для американських спецслужб, зокрема - Агентства Національної Безпеки США (NSA).

Про “чорний хід” наприкінці минулого тижня заявив фахівець із криптографії Брюс Шнейер у своєму блозі. Він послався на дослідження своїх колег, що працюють у Microsoft - Нільса Фергюсона і Дена Шумова, представлене в серпні на конференції CRYPTO 2007.

Алгоритм із використанням методу еліптичних кривих, Dual_EC_DRBG, опублікований NIST у документі 800-90 про детерміністичні генератори випадкових чисел, містить потенційну уразливість - набір фіксованих початкових чисел, що визначають еліптичну криву, використовувану в алгоритмі. Дослідники з’ясували, що ці числа можуть бути математично зв’язані з іншим, секретним набором чисел, що може бути використаний в якості універсального ключа-відмички будь-якого шифру.

Шнейер не стверджує, що NSA володіє цими ключами. “Ми не знаємо, чи є вони в NSA, а також у NIST чи ANSI”, - пише він. Однак теоретично такі ключі можуть існувати, і хто-небудь рано чи пізно їх довідається.

По матеріалам http://www.secblog.info.

Дослідницька група (Security Research Group) компанії Fortify Software, відкрила новий вид уразливості, названий cross-build injection (впровадження на етапі зборки).

Уразливість була відкрита в ході роботи над проектом з відкритим кодом Java Open Review (JOR). Нападник може впровадити код у цільову програму на етапі її зборки з вихідного коду. Компанія випустила технічний опис уразливості й обновила пакет правил безпечного програмування Fortify Secure Coding Rulepacks. У пакет також включена підтримка стандарту CWE (Common Weakness Enumeration) і підтримка захисту від уразливостей до LDAP-ін’єкції.

“Даний новий клас уразливостей відображує зростаючу увагу хакерів до процесу розробки програмного забезпечення як засобу впровадження в корпоративні системи, - сказав засновник і ведучий учений компанії Брайан Чесс. - Замість експлуатації уразливостей у додатках, нападники можуть впровадити “чорні ходи” на етапі розробки. Сьогодні компанії найбільш уразливі до цього типу атак”.

По матеріалам http://www.secblog.info.

P.S.

Даний різновид атак відомий вже деякий час (один з перших зафіксованих випадків cross-build injection відбувся в 2002 році). Тому нового типу уразливостей тут немає (дане формулювання використовуєтся лише для піару), дослідники з Fortify Software лише звернули нашу увагу на дану проблему. І даний тип уразливостей доволі цікавий і актуальний в наш час.

Виявлена уразливість в Mozilla Firefox, що дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Mozilla Firefox 2.0.0.9, можливо більш ранні версії.

Уразливість існує через те, що оброблювач протоколу “jar:” не перевіряє MIME тип вмісту архівів. Віддалений користувач може завантажити на сервер визначені файли (наприклад, .zip, .png, .doc, .odt, .txt) і виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Mozilla Firefox (деталі)

Нещодавно, 08.11.2007, вийшов PHP 5.2.5, у якому виправлено більше 60 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.5:

• Виправлений dl(), щоб приймати тільки імена файлів.
• Виправлений dl(), для обмеження розміру аргументу до MAXPATHLEN.
• Виправлені htmlentities та htmlspecialchars, щоб не приймати деякі мультибайтні послідовності.
• Виправлені переповнення буфера в glibc імплементації функцій fnmatch(), setlocale() та glob().
• Виправлена “mail.force_extra_parameters” директива php.ini, щоб не бути модифікованою в .htaccess.
• Виправлений баг #42869 (пов’язаний з тим, що автоматичне включення session id додає його до нелокальних форм).
• Виправлений баг #41561 (пов’язаний з тим, що значення встановлені з php_admin_* в httpd.conf можуть бути переписані з ini_set()).

По матеріалам http://www.php.net.

Виявлені численні уразливості в Apache Tomcat.

Уразливі версії: Apache Tomcat 3.3, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Витік інформації на сесійних кукісах, що містять ‘ чи “. Міжсайтовий скриптінг у сервлеті Host Manager.

• XSS in Host Manager (деталі)
• Handling of \” in cookies (деталі)
• Handling of cookies containing a ‘ character (деталі)