Websecurity - Веб безпека

Управління СБУ в Харківській області наприкінці липня 2007 року піймала користувача, що входив в Інтернет під чужими логіном і паролем.

Співробітниками СБУ була отримана інформація про те, що 23-літній житель Харкова, маркетолог-аналитік одного з приватних підприємств зі спеціальною технічною підготовкою, під виглядом комп’ютерного інженера шахрайським шляхом заволодів особистими реквізитами доступу до мережі Інтернет іншої комерційної структури. Після цього зловмисник через свій домашній телефон заходив до мережі Інтернет під логіном і паролем постраждалого абонента, наносячи йому матеріальний збиток.

Усвідомлюючи можливість викриття і намагаючись убезпечити себе, зловмисник власноручно знешкодив сліди протиправної діяльності на своєму комп’ютері, однак зроблені співробітниками УСБУ спеціальні дослідження й експертизи дозволили одержати беззастережні докази його провини.

Щодо комп’ютерного зловмисника порушена кримінальна справа по ознаках злочину, передбачена ч.1 ст.361 Кримінального кодексу України: несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж зв’язку.

По матеріалам http://ain.com.ua.

P.S.

Вже не в перший раз СБУшніки піймали хакера, що вкрав логін та пароль доступу до Мережі (хакерством це можна назвати лише з натяжкою, бо це ще примітив, забавки). СБУ трохи не тим займається і не тих шукає - замість пошуку таких жартівників, котрі крадуть реквізити доступу до Інтернет (і наносять мінімальні збитки), варто було б більше шукати тих діячив, хто краде величезні суми (і наносить людям і державі чималі збитки). А також займатися більш гучними випадками, наприклад знайти тих хакерів, що нападали на сайти політичних партій.

Але й цей хакер теж повинен був добре подумати спочатку. Не варто порушувати Кримінальний Кодекс.

Виявленні численні уразливості в PHP. Уразливі версії: PHP 5.2.x.

Знайдені уразливості дозволяють віддаленому користувачу обійти деякі обмеження безпеки.

1. Уразливість існує через невідому помилку у функції “money_format()” при обробці токенів “%i” та “%n”.

2. Уразливість існує через невідому помилку у функції “zend_alter_ini_entry()”. Зловмисник може викликати memory_limit переривання.

3. Цілочисленне переповнення виявлене у функціях “gdImageCreate()” і “gdImageCreateTrueColor()” у файлі ext/gd/libgd/gd.c. Зловмисник може за допомогою занадто великих цілочисленних значень, переданих як параметр PHP функції “imagecreatetruecolor()” викликати переповнення динамічної пам’яті. Віддалений користувач може виконати довільний код на цільовій системі чи обійти обмеження безпеки (наприклад, директиву “disable_functions”). Для успішної експлуатації уразливості PHP повинен бути налаштований для використання бібліотеки gd. Приклад:

<?php
imagecreatetruecolor(1234,1073741824);
?>

4. Два цілочисленних переповнення виявлені у функції “gdImageCopyResized()” у файлі ext/gd/libgd/gd.c. Зловмисник може за допомогою занадто великих цілочисленних значень, переданих як параметр PHP функціям “imagecopyresized()” і “imagecopyresampled()” викликати переповнення динамічної пам’яті. Віддалений користувач може виконати довільний код на цільовій системі чи обійти обмеження безпеки (наприклад, директиву “disable_functions”). Для успішної експлуатації уразливості PHP повинен бути налаштований для використання бібліотеки gd. Приклад:

<?php
imagecopyresized(imagecreatetruecolor(0x7fffffff, 120),
imagecreatetruecolor(120, 120),
0, 0, 0, 0, 0x7fffffff, 120, 120, 120);
?>

5. Уразливість існує через помилку при обробці SQL запитів, що містять “LOCAL INFILE” усередині MySQL і MySQLi розширень. Зловмисник може обійти обмеження директив “open_basedir” і “safe_mode”. Приклад:

MySQL:

<?php
file_get_contents('/etc/passwd');
$l = mysql_connect("localhost", "root");
mysql_query("CREATE DATABASE a");
mysql_query("CREATE TABLE a.a (a varchar(1024))");
mysql_query("GRANT SELECT,INSERT ON a.a TO 'aaaa'@'localhost'");
mysql_close($l);
mysql_connect("localhost", "aaaa");
mysql_query("LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE a.a");
$result = mysql_query("SELECT a FROM a.a");
while(list($row) = mysql_fetch_row($result))
print $row . chr(10);
?>

MySQLi:

<?php
function r($fp, &$buf, $len, &$err) {
print fread($fp, $len);
}
$m = new mysqli('localhost', 'aaaa', '', 'a');
$m->options(MYSQLI_OPT_LOCAL_INFILE, 1);
$m->set_local_infile_handler("r");
$m->query("LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE a.a");
$m->close();
?>

6. Уразливість існує через помилку при обробці функцій “session_save_path()” та “ini_set()”, викликуваних з “.htaccess” файлу. Зловмисник може обійти обмеження директив “open_basedir” і “safe_mode”.

7. Уразливість існує через невідому помилку у функції “glob()”. Зловмисник може обійти обмеження директиви “open_basedir”.

8. Уразливість існує через невідому помилку при обробці сесій. Зловмисник може замінити сесійний файл символічною лінкою і обійти обмеження директиви “open_basedir”.

Рекомендується встановити останню версію 5.2.4 із сайта виробника.

• Множественные уязвимости в PHP (деталі)

Деякий час тому вийшов Invision Power Board v2.3.1, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Русская версия Invision Power Board 2.3.1 (деталі)

Компанія IBResource офіційно повідомляє про випуск російської версії форуму Invision Power Board v2.3.1. Ця версія містить у собі структурні зміни у вихідному коді файлів, що дозволили підвищити швидкодію системи на великих форумах.

Виправлено близько 20 помилок, а також для зменшення часу завантаження сторінки перероблений процес завантаження профілю-анкети користувача. Змінено стиль головної сторінки адмінцентра. Тепер доступ до більшості функцій і налаштувань можна одержати з першої сторінки. З’явилася інтерактивна допомога для адміністратора. Додана можливість перепризначення стилів, завдяки якій їх можна використовувати незалежно від URL що переглядається.

Компанія Apple усунула дві уразливості в плеєрі QuickTime.

Як деякий час тому повідомлялося в бюлетені безпеки, обидві проблеми пов’язані з особливостями реалізації підтримки Java у додатку. Одна з дір теоретично дозволяє зловмиснику одержати несанкціонований доступ до віддаленого комп’ютера і виконати на ньому довільний програмний код. Для реалізації нападу досить заманити потенційну жертву на сформований спеціальним чином веб-сайт в Інтернеті.

Друга дірка також може бути задіяна через шкідливу веб-сторінку. Ця діра забезпечує можливість несанкціонованого читання пам’яті браузера і не може використовуватися для захоплення контролю над віддаленим комп’ютером. Усім користувачам плеера QuickTime на комп’ютерах під керуванням операційних систем Microsoft Windows і Apple Mac OS Х рекомендується завантажити обновлену версію додатка, у якій уразливості усунуті.

По матеріалам http://www.secblog.info.

На днях, 30.08.2007, вийшов PHP 5.2.4, у якому виправлено більш 120 помилок, усунуто 12 проблем пов’язаних з безпекою (точніше 14, з урахуванням двох виправлень попередніх виправлень):

• Помилка виконання операції з плаваючою крапкою у функції wordwrap();
• Цілочислене переповнення в GD розширенні;
• Помилка обчислення розміру у функції chunk_split();
• Цілочислене переповнення у функціях str[c]spn();
• Помилка обробки операторів %i та %n у функції money_format();
• Проблеми з встановленням обмежень memory_limit у zend_alter_ini_entry();
• Проблеми з роботою опцій INFILE LOCAL у випадку використання розширення MySQL і включених обмежень open_basedir чи safe_mode.
• Помилка перевірки параметрів у session.save_path і error_log на предмет подпадания під ліміти open_basedir і safe_mode;
• Проблеми читання даних у функції glob() на win32 платформі;
• Переповнення буфера в php_openssl_make_REQ;
• Обхід обмежень open_basedir усередині функції glob();
• Обхід обмежень open_basedir у розширенні організуючому роботу користувацьких сесій, у випадку коли файл сесії є сімлінком.
• А також покращений фікс для MOPB-03-2007.
• Та виправлений фікс для CVE-2007-2872.

Крім того, інтегрована бібліотека PCRE обновлена до версії 7.2, у модуль pdo_pgsql додані засоби для спостереження за станом постійного (persistent) з’єднання до СУБД.

Всім користувачам рекомендується встановити останню версію PHP.

По матеріалам http://www.php.net та http://www.opennet.ru.

Виявлена уразливість перетаскування файлів в Internet Explorer (drag-n-drop vulnerability).

Уразливі версії: Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 6.0.

Використовуючи javascript у сполученні з shell:startup можливо помістити будь-який файл у папку автозапуску при перетаскуванні об’єкта чи прокрутці сторінки.

• Two Unpublished IE Cases (деталі)
• What A Drag (деталі)
• What A Drag II XP SP2 (деталі)
• What A Drag! -revisited- (деталі)

Як повідомив в серпні RSnake в своєму записі Mozilla Says “Ten Fucking Days”, під час Блекхету він та Джеремія спілкувалися з представниками Мозіли. І коли розмова зайшла щодо патчів (в тому числі і для критичних дірок) і строків їх створення, то представник Мозіли заявив, що вони зможуть випускати патчі для будь-яких уразливостей за 10 днів. Навіть написав це на своїй візитівці, котру вручив RSnak’у . Котру він розмістив в себе на сайті.

Джеремія також висловився з цього приводу в своєму записі Mozilla says critical patches in “Ten #$%*ing Days”. І після публікації Роберта, в коментарях до його поста Майк Шейвер надав роз’яснення своїй заяві, а також Уіндоу Снайдер зробила офіційну заяву в блозі Мозіли.

За повідомленням securitylab.ru, Mozilla заявила, що вони не готові усувати будь-які уразливості в 10-денний термін.

Mozilla не готова усувати будь-які уразливості максимум за 10 днів, заявила Уіндоу Снайдер, глава з питань безпеки продуктів компанії. Про 10 днів для будь-якого патча на конференції Black Hat 2007 сказав директор по розвитку екосистеми Майк Шейвер у розмові з Робертом Хенсеном на прізвисько RSnake.

“Оскільки ми є одним із самих відповідальних постачальників софта, дослідникам безпеки не має сенсу цілком розкривати дані про уразливості, для того щоб змусити нас випускати патчі швидше, - пише Уіндоу в блозі безпеки Mozilla. - Ми не вважаємо, що безпека - це гра, і ми не кидаємо виклики і не висуваємо ультиматуми”.

У північному іспанському місті Естрелья поліція затримала громадянина України, підозрюваного в Інтернет-шахрайстві, повідомив у вівторок представник Головного управління Національної поліції Іспанії.

“Українець затриманий за те, що незаконно зняв з банківського рахунка жителя мадридського пригорода Парла біля €3 тис. і перевів цю суму на свій власний рахунок в одному з банків Іспанії”, - сказав співробітник поліції, що відмовився назвати ім’я і прізвище затриманого, пославшись на таємницю слідства.

За словами поліцейського, “шахрай копіював web-сторінки відомих банків і розсилав їх безлічі потенційних жертв, пропонуючи їм робити фінансові операції по Інтернету, заповнюючи відповідні електронні формуляри з вказанням банківських реквізитів і кодів”.

“Житель Парли вирішив, що новий вид послуги запропонований його банком і дав по підробленій веб-сторінці розпорядження зняти зі свого рахунка гроші для оплати комунальних послуг, указавши свої банківські коди”, - відзначив представник поліції. Він пояснив, що “одержавши потрібні коди, шахрай зняв з рахунка всі гроші, що там були, у розмірі €3 тис. і перевів їх на свій рахунок”.

“Поліція швидко знайшла і затримала шахрая: зараз вона з’ясовує, чи є житель мадридського пригорода єдиною жертвою українця, чи ж від нього постраждали ще якісь особи”, - сказав поліцейський.

По матеріалам http://ain.com.ua.

P.S.

Ось так затримали фішера. Причому доволі швидко (аж підозріло) - бо на сьогодні фішерів рідко коли ловили (лише вони своїх жертв ловлять). Не варто займатися інтернет-шахрайством.

Виявлена можливість виконання довільних команд в Mozilla Firefox. Уразливість дозволяє віддаленому користувачу виконати довільні команди на цільовому комп’ютері.

Уразливі версії: Mozilla Firefox 2.0.0.5, можливо більш ранні версії.

Уразливість існує через недостатню перевірку вхідних даних у різних URI оброблювачах. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільні команди на цільовій системі.

В якості виправлення для даної уразливості рекомендується вимкнути непотрібні оброблювачі URI (або оновити браузер до версії 2.0.0.6). В налаштуваннях FF, в about:config, потрібно встановити значення false для наступних параметрів: network.protocol-handler.external.news, network.protocol-handler.external.snews, network.protocol-handler.external.mailto, network.protocol-handler.external.nntp.

До речі, як я писав, в новій версії Firefox 2.0.0.6 вже також були знайдені уразливості.

• Выполнение произвольных команд в Mozilla Firefox (деталі)

У період між груднем 2005 р. і листопадом 2006 р. кількість загроз зрослася на 163%, повідомляє Trend Micro за результатами дослідження, спрямованого на вивчення досвіду реакції корпоративних користувачів на загрози безпеки, а також сприйняття ними цих загроз. У 5,4 рази збільшилося число Інтернет-загроз - за період із січня 2005 р. по січень 2007 р.

Через прихований характер зараження багато користувачів недостатньо серйозно відносяться до власної ІБ. Ступінь сприйняття загроз у різних країнах відрізняється. Респонденти з Великобританії сприймають загрози безпеки в 2007 р. менш серйозно, чим у 2005 р. На відміну від них, респонденти з Німеччини вважають, що в 2007 р. загрози стали більш серйозними в порівнянні з 2005 р.

40% респондентів зі США упевнені, що їхній робочий комп’ютер краще захищений від спама, шпигунських програм і фішинга в порівнянні з домашнім комп’ютером. У результаті ці користувачі з більшою імовірністю заходять по підозрілих лінках, коли знаходяться на робочому місці (17% респондентів).

Дослідження Trend Micro і результати опитування свідчать про збільшення обсягу спама в період між 2005 і 2007 р. Незважаючи на те, що 4 з 10 респондентів із усіх чотирьох країн (США, Великобританії, Німеччині і Японії) повідомили про те, що за останні 3 місяці стало більше спама, опитування американських користувачів свідчить про загальне зменшення частки спама (84% у 2005 р. у порівнянні з 72% у 2007 г).

Відсоток респондентів, що зіштовхнулися зі шпигунським ПО, зменшився в США (41% у 2005 р. у порівнянні з 35% у 2007 р.) і Німеччини (23% у 2005 р. у порівнянні з 19% у 2007 р.). Найбільш помітне зменшення відбулося у Великобританії (42% у 2005 р. у порівнянні з 26% у 2007 р.).

Дослідження також показало, що кінцеві користувачі з Японії в основному покладаються на свої ІТ-відділи. Протягом трьох місяців перед проведенням опитування близько 44% респондентів зверталися до ІТ-спеціалістів своїх компаній. Корпоративні ж користувачі зі США менше звертаються у свої ІТ-відділи за порадою і підтримкою - тільки 24% респондентів зверталися туди протягом цього тримісячного періоду.

Однак респонденти зі США також з більшою імовірністю всерйоз розглядають більшість загроз безпеки - особливо в порівнянні з респондентами з Великобританії. Як приклад: 60% американських респондентів відзначили, що вони вважають шпигунське ПО серйозною загрозою, у порівнянні з 48% респондентів з Великобританії. Подібним же чином 48% респондентів зі США вважають спам небезпечним, тоді як аналогічної думки дотримують тільки 27% респондентів з Великобританії. 48% усіх респондентів, що стали жертвами шпигунських програм чи фішинга, вважають, що їхній ІТ-підрозділ міг би запобігти цьому інциденту.

По матеріалам http://www.securitylab.ru.