Websecurity - Веб безпека

Вчора, 30.11.2007, відбувся міжнародний день захисту інформації. З чим вас і вітаю .

Міжнародний день захисту інформації відзначається 30 листопада, з 1988 року.

Цей рік не випадково став родоначальником свята, саме в цей рік була зафіксована перша масова епідемія хробака, що одержав назву по імені свого творця - Моріса. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки.

У 1988 році американська асоціація комп’ютерного устаткування оголосила 30 листопада міжнародним Днем захисту інформації (Computer Security Day). Таким чином Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників і користувачів устаткування і програмних засобів на проблему безпеки.

З тих пір у цей день з ініціативи Асоціації комп’ютерного устаткування проводяться міжнародні конференції по захисту інформації, супроводжувані масою цікавих заходів.

По матеріалам http://www.calend.ru.

Алгоритм генерації випадкових чисел, офіційно рекомендований у якості стандартного Національним інститутом стандартів і технологій США (NIST), може містити “чорний хід”, навмисно залишений розробниками стандарту для американських спецслужб, зокрема - Агентства Національної Безпеки США (NSA).

Про “чорний хід” наприкінці минулого тижня заявив фахівець із криптографії Брюс Шнейер у своєму блозі. Він послався на дослідження своїх колег, що працюють у Microsoft - Нільса Фергюсона і Дена Шумова, представлене в серпні на конференції CRYPTO 2007.

Алгоритм із використанням методу еліптичних кривих, Dual_EC_DRBG, опублікований NIST у документі 800-90 про детерміністичні генератори випадкових чисел, містить потенційну уразливість - набір фіксованих початкових чисел, що визначають еліптичну криву, використовувану в алгоритмі. Дослідники з’ясували, що ці числа можуть бути математично зв’язані з іншим, секретним набором чисел, що може бути використаний в якості універсального ключа-відмички будь-якого шифру.

Шнейер не стверджує, що NSA володіє цими ключами. “Ми не знаємо, чи є вони в NSA, а також у NIST чи ANSI”, - пише він. Однак теоретично такі ключі можуть існувати, і хто-небудь рано чи пізно їх довідається.

По матеріалам http://www.secblog.info.

Дослідницька група (Security Research Group) компанії Fortify Software, відкрила новий вид уразливості, названий cross-build injection (впровадження на етапі зборки).

Уразливість була відкрита в ході роботи над проектом з відкритим кодом Java Open Review (JOR). Нападник може впровадити код у цільову програму на етапі її зборки з вихідного коду. Компанія випустила технічний опис уразливості й обновила пакет правил безпечного програмування Fortify Secure Coding Rulepacks. У пакет також включена підтримка стандарту CWE (Common Weakness Enumeration) і підтримка захисту від уразливостей до LDAP-ін’єкції.

“Даний новий клас уразливостей відображує зростаючу увагу хакерів до процесу розробки програмного забезпечення як засобу впровадження в корпоративні системи, - сказав засновник і ведучий учений компанії Брайан Чесс. - Замість експлуатації уразливостей у додатках, нападники можуть впровадити “чорні ходи” на етапі розробки. Сьогодні компанії найбільш уразливі до цього типу атак”.

По матеріалам http://www.secblog.info.

P.S.

Даний різновид атак відомий вже деякий час (один з перших зафіксованих випадків cross-build injection відбувся в 2002 році). Тому нового типу уразливостей тут немає (дане формулювання використовуєтся лише для піару), дослідники з Fortify Software лише звернули нашу увагу на дану проблему. І даний тип уразливостей доволі цікавий і актуальний в наш час.

Виявлена уразливість в Mozilla Firefox, що дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Mozilla Firefox 2.0.0.9, можливо більш ранні версії.

Уразливість існує через те, що оброблювач протоколу “jar:” не перевіряє MIME тип вмісту архівів. Віддалений користувач може завантажити на сервер визначені файли (наприклад, .zip, .png, .doc, .odt, .txt) і виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Mozilla Firefox (деталі)

Нещодавно, 08.11.2007, вийшов PHP 5.2.5, у якому виправлено більше 60 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.5:

• Виправлений dl(), щоб приймати тільки імена файлів.
• Виправлений dl(), для обмеження розміру аргументу до MAXPATHLEN.
• Виправлені htmlentities та htmlspecialchars, щоб не приймати деякі мультибайтні послідовності.
• Виправлені переповнення буфера в glibc імплементації функцій fnmatch(), setlocale() та glob().
• Виправлена “mail.force_extra_parameters” директива php.ini, щоб не бути модифікованою в .htaccess.
• Виправлений баг #42869 (пов’язаний з тим, що автоматичне включення session id додає його до нелокальних форм).
• Виправлений баг #41561 (пов’язаний з тим, що значення встановлені з php_admin_* в httpd.conf можуть бути переписані з ini_set()).

По матеріалам http://www.php.net.

Виявлені численні уразливості в Apache Tomcat.

Уразливі версії: Apache Tomcat 3.3, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Витік інформації на сесійних кукісах, що містять ‘ чи “. Міжсайтовий скриптінг у сервлеті Host Manager.

• XSS in Host Manager (деталі)
• Handling of \” in cookies (деталі)
• Handling of cookies containing a ‘ character (деталі)

Джеремія Гроссман в своєму блозі розповів про останні хакерські інциденти.

В добірку останніх нових потрапило десять інцидентів даної тематики.

1. Пара студентів коледжу похакали базу даних PeopleSoft в California State University щоб змінити свої оцінки.

2. Oracle звинувачує SAP у взломі їхнього клієнтського порталу.

3. Scarborough & Tweed нещодавно повідомили про витік персональної інформації їхніх клієнтів через SQL Injection.

4. Парочка хакерів спробувала атакувати сайт RSnake.

5. Активно просувається проект Month of Bugs in Captchas. В якому вже засвітилося чимало зіркових капч.

6. Art.com та Vertical Web Media повідомили про взлом їхніх сайтів.

7. Відбулися дефейси сайта президента Чилі та сайта міської ради Абердіна.

8. Була виявлена уразливість на сайті Інтернет банка Cahoot.

9. Раян Барнет виявив Blind SQL Injection в WASC Distributed Open Proxy Honeypot Project.

10. На YouTube було розміщене цікаве відео про використання XSS уразливості на Facebook.

Окрім цього, Джеремія згадав ще про інциденти з QVC та OpenSocial, про які він писав раніше. І про які я ще додатково розповім. Листопад виявився дуже насиченим на хакерську активність місяцем .

• A whole lot of WEB hacking going on (деталі)

Виявлене переповнення масиву в GNU Gnash Flash Player (array overflow).

Уразливі версії: GNU Gnash 0.7.

Переповнення масиву при великій кількості елементів SHOWFRAME в DEFINESPRITE.

• Arbitrary code execution in GNU Gnash (aka GNU Flash Player) 0.7.2 (деталі)

Викрито групу хакерів, учасники якої займалися розкраданням коштів з рахунків клієнтів різних банків і електронних платіжних систем Росії та Білорусії.

Правоохоронним органам стало відомо про існування угруповання на початку року. Хакери створили в Інтернеті ряд підставних сайтів, при відвідуванні яких на комп’ютери користувачів записувався троян, що пересилав інформацію на сервер групи.

Інформацію продавали людям, що безпосередньо здійснювали вхід у комп’ютерні системи під чужими обліковими записами і викрадали кошти. Гроші виводилися різними способами - шляхом обготівлення у віртуальних обмінних пунктах, виготовлення підроблених пластикових карт, виведення через мобільні телефони.

Встановлено, що одним з організаторів угруповання був громадянин Білорусії, що викрав через Інтернет порядку 2 млн. рублів у клієнта організації, що займається оплатою послуг зв’язку. В результаті спільної операції російських і білоруських правоохоронних органів підозрюваний був затриманий.

По матеріалам http://www.secblog.info.

Спільне дослідження компанії Oracle і Ponemon Institute показує, що ІТ-спеціалістів серйозно турбує те, як захищаються конфіденційні дані, що циркулюють усередині ІТ-інфраструктури їхніх компаній. Більшість вважає, що обсяг конфіденційних даних, “розкиданих” по ІТ-інфраструктурі компанії, є неприпустимим.

42% ІТ-спеціалістів вважають, що їхні компанії можуть зробити набагато більше для захисту інформації, чим це робиться зараз. На їхню думку, інструменти і методи, що все-таки використовуються для запобігання витоків конфіденційних даних у компанії, неадекватні поставленим задачам і в підсумку не сприяють вирішенню наявних проблем.

Трохи більш половини респондентів (55%), що брали участь в опитуванні, вважають, що у випадку виникнення проблем із загубленими даними вони зможуть належним чином попередити усіх, кого так чи інакше зачепить цей інцидент.

Експерти вважають, що в найближчі 12-18 місяців кількість впроваджень технологій, призначених для забезпечення безпеки компанії і захисту корпоративних даних, повинне значно зрости. Найбільш затребувані технологічні компоненти такого роду рішень - інструменти аудиту і контролю доступу.

“Наші дослідження сигналізують про відсутність віри ІТ-спеціалістів у те, що їхні компанії дійсно в стані забезпечити збір, використання й обмін конфіденційної інформації на належному рівні, у рамках існуючого законодавства і корпоративної політики, і це поганий знак”, - вважає доктор Ларрі Понемон, директор і засновник Ponemon Institute.

По матеріалам http://www.securitylab.ru.