Websecurity - Веб безпека

Джеремія Гроссман в своєму блозі розповів про останні хакерські інциденти.

В добірку останніх нових потрапило десять інцидентів даної тематики.

1. Пара студентів коледжу похакали базу даних PeopleSoft в California State University щоб змінити свої оцінки.

2. Oracle звинувачує SAP у взломі їхнього клієнтського порталу.

3. Scarborough & Tweed нещодавно повідомили про витік персональної інформації їхніх клієнтів через SQL Injection.

4. Парочка хакерів спробувала атакувати сайт RSnake.

5. Активно просувається проект Month of Bugs in Captchas. В якому вже засвітилося чимало зіркових капч.

6. Art.com та Vertical Web Media повідомили про взлом їхніх сайтів.

7. Відбулися дефейси сайта президента Чилі та сайта міської ради Абердіна.

8. Була виявлена уразливість на сайті Інтернет банка Cahoot.

9. Раян Барнет виявив Blind SQL Injection в WASC Distributed Open Proxy Honeypot Project.

10. На YouTube було розміщене цікаве відео про використання XSS уразливості на Facebook.

Окрім цього, Джеремія згадав ще про інциденти з QVC та OpenSocial, про які він писав раніше. І про які я ще додатково розповім. Листопад виявився дуже насиченим на хакерську активність місяцем .

• A whole lot of WEB hacking going on (деталі)

Виявлене переповнення масиву в GNU Gnash Flash Player (array overflow).

Уразливі версії: GNU Gnash 0.7.

Переповнення масиву при великій кількості елементів SHOWFRAME в DEFINESPRITE.

• Arbitrary code execution in GNU Gnash (aka GNU Flash Player) 0.7.2 (деталі)

Викрито групу хакерів, учасники якої займалися розкраданням коштів з рахунків клієнтів різних банків і електронних платіжних систем Росії та Білорусії.

Правоохоронним органам стало відомо про існування угруповання на початку року. Хакери створили в Інтернеті ряд підставних сайтів, при відвідуванні яких на комп’ютери користувачів записувався троян, що пересилав інформацію на сервер групи.

Інформацію продавали людям, що безпосередньо здійснювали вхід у комп’ютерні системи під чужими обліковими записами і викрадали кошти. Гроші виводилися різними способами - шляхом обготівлення у віртуальних обмінних пунктах, виготовлення підроблених пластикових карт, виведення через мобільні телефони.

Встановлено, що одним з організаторів угруповання був громадянин Білорусії, що викрав через Інтернет порядку 2 млн. рублів у клієнта організації, що займається оплатою послуг зв’язку. В результаті спільної операції російських і білоруських правоохоронних органів підозрюваний був затриманий.

По матеріалам http://www.secblog.info.

Спільне дослідження компанії Oracle і Ponemon Institute показує, що ІТ-спеціалістів серйозно турбує те, як захищаються конфіденційні дані, що циркулюють усередині ІТ-інфраструктури їхніх компаній. Більшість вважає, що обсяг конфіденційних даних, “розкиданих” по ІТ-інфраструктурі компанії, є неприпустимим.

42% ІТ-спеціалістів вважають, що їхні компанії можуть зробити набагато більше для захисту інформації, чим це робиться зараз. На їхню думку, інструменти і методи, що все-таки використовуються для запобігання витоків конфіденційних даних у компанії, неадекватні поставленим задачам і в підсумку не сприяють вирішенню наявних проблем.

Трохи більш половини респондентів (55%), що брали участь в опитуванні, вважають, що у випадку виникнення проблем із загубленими даними вони зможуть належним чином попередити усіх, кого так чи інакше зачепить цей інцидент.

Експерти вважають, що в найближчі 12-18 місяців кількість впроваджень технологій, призначених для забезпечення безпеки компанії і захисту корпоративних даних, повинне значно зрости. Найбільш затребувані технологічні компоненти такого роду рішень - інструменти аудиту і контролю доступу.

“Наші дослідження сигналізують про відсутність віри ІТ-спеціалістів у те, що їхні компанії дійсно в стані забезпечити збір, використання й обмін конфіденційної інформації на належному рівні, у рамках існуючого законодавства і корпоративної політики, і це поганий знак”, - вважає доктор Ларрі Понемон, директор і засновник Ponemon Institute.

По матеріалам http://www.securitylab.ru.

Mozilla Firefox, Thunderbird і Seamonkey до версій 2.0.0.7 включно піддані численним уразливостям.

1. Ряд помилок (відсутність перевірки граничних значень довжини буфера) у движку браузера дозволяє викликати пошкодження пам’яті.

2. Ряд помилок у движку JavaScript дозволяє викликати переповнення буфера і виконати довільний машинний код.

3. Помилка обробки JavaScript-події onUnload дозволяє шкідливому сценарію маніпулювати документами, завантаженими після відвідування шкідливого сайта.

4. Параметр ідентифікатора користувача при HTTP-запиті з використанням Digest Authentication не фільтрується перед тим, як використовувати його в запиті. У результаті можливе впровадження довільних заголовків HTTP у користувацький запит при використанні користувачем проксі-сервера.

5. Помилка при відображенні веб-сторінок, написаних мовою XUL, дозволяє сховати заголовок вікна. Може бути використана для відображення підставних сайтів фішерами.

6. Помилка обробки URI smb: і sftp: у Linux з підтримкою gnome-vfs дозволяє читати довільний файл у локальній системі за допомогою спеціально сформованої сторінки. Для експлуатації необхідний доступ до цільової системи для запису файлу.

7. Незазначена помилка при обробці XPCNativeWrappers може привести до виконання довільного JavaScript із привілеями користувача з можливістю проникнення нападника в контекст chrome.

8. Доданий захист від уразливості Windows ShellExecute() при обробці спеціально сформованих URI протоколів сторонніх додатків.

Дані уразливості вже виправлені в Firefox 2.0.0.8 та нових версіях Thunderbird і Seamonkey.

• Множественные уязвимости в Mozilla Firefox, Thunderbird, Seamonkey (деталі)

Невідомі зловмисники атакували офіційний сайт президента Віктора Ющенко. Про що повідомили АІН та інші онлайн ЗМІ.

Відповідно до повідомлення, сайт піддавався атаці зловмисників протягом трьох днів (на сьогодні вже чотирьох днів). Зараз співробітники Секретаріату президента тримають ситуацію під контролем і нормальна робота сайта практично відновлена.

Раніше активісти Євразійського союзу молоді заявляли про Інтернет-атаку на сайт президента України.

По матеріалам http://ain.com.ua.

P.S.

Ні вчора на протязі доби, ні сьогодні, сайт так і не став доступний. DDoS атака продовжується і дістатися до сайту не має можливості. Як би співробітники Секретаріату президента не тримали ситуацію під контролем, їм потрібно це робити краще, щоб надати відвідувачам можливість доступу до сайту.

Як я писав учора, в записі Ринок DDoS-атак в Росії, в наш час DDoS-атаки є поширеним явищем. І особливого поширення вони набули в цьому році.

Російський ринок DoS-послуг оцінюється експертами в суму біля $200000. Вартість однієї атаки може починатися від $80.

Цей рік серед багато чого іншого запам’ятається нам тим, що поняття DoS-атака почало входити в повсякденний лексикон. Можливо, цим ненавмисним підвищенням комп’ютерної грамотності населення ми зобов’язані естонським подіям весни 2007 р., коли місцева влада проводила акцію перепоховання радянських солдатів, бездоганну з погляду місцевого законодавства, але не занадто ввічливу стосовно воїнів-визволителів.

У ті дні невідомі зловмисники організували серію голосних DDoS-атак на сервера естонських державних структур, найбільшого банку країни SEB Eesti Uhispank і газети Eesti Paevaleht. Улітку 2007 р. популяризації DoS-явищ чимало сприяли атаки таємничих недоброзичливців на ресурси “Маршу незгодних”, персональну сторінку Гаррі Каспарова і на відомий сайт про мобільні телефони.

DDoS (розподілений DoS) проводиться шляхом завчасного зараження “ботами” великої кількості комп’ютерів і перетворення їх у “бот-мережу”. DDoS вважається дуже елегантним рішенням: щоб заблокувати атакуючі IP-адреси, адміністратори сервера-мішені змушені відключати цілі фрагменти Мережі і позбавляти себе аудиторії власноручно. Вважається, що зараз у “бот-мережах” одночасно задіяно більш 150 мільйонів комп’ютерів.

Контакти DDoS-організаторів знайти в Мережі не важко. З чотирьох номерів ICQ, знайдених пошуковцем по ключовим словах “DDoS послуги”, три номери відгукнулися негайно, причому їхні хазяїни виявилися доброзичливі і доступні. Здивували доступністю і їхні тарифи: заблокувати сайт cnews.ru на один робочий день нам запропонували усього за $80-150, на робочий тиждень - від $650 до $900. Цікаво, що при замовленні на п’ятиденку середньодобова ціна атаки у всіх DDoS-виконавців виявилася вище, ніж при замовленні на день: як нам пояснили, тривалі атаки вимагають додаткової підготовки бот-мереж.

По матеріалам http://www.secblog.info.

Виявлена можливість DoS атаки проти str_ireplace в PHP.

Уразливі версії: PHP 5.2.

Виклик функції $Data = str_ireplace(”\n”, “<br>”, $Data); може приводити до відмови додатка через однобайтове переповнення буфера.

• PHP 5.2.1 crashing Apache/IIS… (деталі)

У Луганській області хакер помстився звільнивший його провайдерській фірмі, взломавши сайт її клієнта і базу даних клієнтів. Про це повідомили в прес-службі Управління СБУ в Луганській області.

24-літній випускник спеціалізованого вузу деякий час працював в одній із провайдерських фірм Лисичанська, але через конфлікт із керівництвом змушений був звільнитися. А незабаром після цього офіційний сайт локальної мережі, що обслуговує цей провайдер, через Інтернет піддався хакерській атаці й взлому. Була знищена інформація, що відповідає за роботу форуму сайта і бази даних клієнтів, що в остаточному підсумку паралізувало функціонування провайдера.

Хакером виявився той самий звільнений молодий фахівець. За його словами, таким чином, він прагнув помститися колишнім колегам, що не оцінили його талант. Слідство по порушеній у відношенні нього кримінальній справі завершено, матеріали передані до суду.

По матеріалам http://ain.com.ua.

Компанія Mozilla випустила новий патч для інтернет-браузера Firefox, що оновлює програму до версії 2.0.0.8.

Патч закриває вісім уразливостей, дві з який оцінені як “критичні”. Крім того, оновлення додає дві нові локалізації: грузинську і румунську, і дозволяє програмі працювати з очікуваною операційною системою Apple MacOS X 10.5 Leopard.

По матеріалам http://www.cnews.ru.