Websecurity - Веб безпека

Німецька поліція заарештувала групу людей, що підозрюються в так званому “фішингу” - інтернет-шахрайстві, за допомогою якого злочинці одержують доступ до особистих даних користувачів всесвітньої мережі.

Як повідомили представники федеральної поліції ФРН, у результаті 18-місячного розслідування в Кельні, Дюссельдорфі, Франкфурті-на-Майні та ряді інших міст були “арештовані 10 чоловік, серед яких - громадяни Німеччини, Росії й України”.

Згідно даним правоохоронних органів, арештовані підозрюються в тому, що посилали клієнтам банків послання по електронній пошті нібито від компаній Deutsche Telekom і eBay Inc. з вкладеними в них в якості додатків вірусами-троянами. Саме ці програми допомагали заволодіти особистими даними жертв.

По твердженнях поліції, збиток від дій міжнародної групи склав “багато сотень тисяч євро”, а самі підозрювані вели “розкішний спосіб життя”.

По матеріалам http://ain.com.ua.

Деякий час тому, на сторінках MySpace був знайдений шкідливий код, що встановлює бота FluxBot на ПК жертви.

Дослідники Internet Storm Center провели дослідження і знайшли, що сторінки сервісу MySpace допомагали зловмисникам заражати комп’ютери користувачів. Йоханнес Ульріх, головний технолог Internet Storm Center, повідомляє, що шкідливий код встановлює FluxBot, новий небезпечний вид ботів. Оскільки бот не має центрального керування і замість цього покладається на комплекс мереж проксі серверів, що постійно змінюються, його дуже важко знайти і нейтралізувати.

“Хакерам вдалося заразити біля двох десятків сторінок. Зараз, MySpace працює над вирішенням цієї проблеми”, - сказав Ульріх.

Також, співробітники Internet Storm Center пояснили, що шкідливий код використовує уразливість Microsoft Internet Explorer, що була усунута ще в середині 2006 року. “Усе ще є багато людей, що користуються необновленою версією цього браузера. При потраплянні до такого користувача, бот встановлюється на ПК”.

Йоханнес Ульріх розповів, що MySpace не є новою мішенню для зловмисників. “MySpace користується такою популярністю, тому що дозволяє користувачам створювати і керувати своїми власними веб-сторінками, а це залучає велику кількість хакерів, що прагнуть поширювати свої віруси через такі сторінки”.

По матеріалам http://www.securitylab.ru.

P.S.

Проблем з безпекою на Майспейсі завжди вистачало. Про що засвідчив Місяць багів в MySpace (для якого я також знайшов декілька уразливостей). Тому адміністраторам порталу варто більше слідкувати за його безпекою.

В mod_proxy можливий Denial of Service. Уразливі версії: Apache 2.3.

Уразливість в модулі пов’язана з читанням за межами буфера при розборі відповіді сервера.

• DoS in mod_proxy in Apache 2.3.0 (деталі)
• rPSA-2007-0182-1 httpd mod_ssl (деталі)

На щорічній конференції SyScan Conference у Сінгапурі виконавчий директор компанії Immunity Жюстін Ейтел представила звіт по статистиці 0-day експлоітів.

Immunity підрахувала, що 0-day-експлоіт у середньому залишається актуальним 348 днів від свого відкриття, до того часу, коли його знайдуть і виправлять. Одна з уразливостей залишалася невиправленою протягом трьох років з моменту виявлення хакером. Також фахівці Immunity відзначають, що проблема 0-day-експлоітів особливо актуальна у фінансовій сфері, включаючи системи торгівлі на біржах, де спостерігається особливо велика кількість 0-day-уразливостей. Хакерам, що знаходять уразливості, вигідніше продати ї тому, хто запропонує найбільшу винагороду.

Immunity заявляє, що занадто велика кількість компаній покладається на публічні інформаційні канали у виявленні експлоітів, тоді як їм потрібно наймати хакерів для цілеспрямованої роботи в цій області. “Період часу між виявленням уразливості та її усуненням занадто великий. Це небезпечно для компаній, що покладаються тільки на інформацію про експлоіти від розробників і спеціальних компаній”, - сказала Ейтел.

По матеріалам http://www.xakep.ru.

Група дослідників з Stanford’s Security Lab зустрілася з представниками Microsoft, Mozilla, Sun Microsystems і Adobe, щоб обговорити способи протидії атаці на браузери, корені якої ідуть більш як на десять років тому.

В основі безпеки таких ключових елементів сучасних браузерів як Flash чи Java лежить поняття політики єдності походження (Same Origin Policy, SOP), зміст якого полягає в блокуванні за допомогою “пісочниці” спроб доступу до ресурсів і додатків з інших доменів. Однак ще в 1996 році дослідники з Принстона показали її принципову уразливість у реалізації Sun і Netscape. Якщо нападник має можливість миттєво створити запис у DNS, що містить у собі домен сайта, що відвідала жертва, і IP-адресу жертви, це відкриває запущеному із сайта аплету доступ до локальної мережі жертви.

Для вирішення проблеми Sun і виробники популярних браузерів стали використовувати техніку прив’язки DNS (DNS pining), що дозволяє проігнорувати занадто швидкі зміни ip-адреси, прив’язаного до домену, тим самим значно ускладнюючи атаку. Але й нападники не стоять на місці, намагаючись прискорити процес, наприклад, за допомогою тимчасового блокування адресуємих сайтів, що приводить до вимушеного відновлення DNS. Крім того, у цьому їм допомагають і самі виробники, оскільки різні модулі (Flash і Java) і різні браузери зберігають свої таблиці прив’язаних доменів і мають свої реалізації прив’язки, кожна зі своїми слабостями.

Представники Microsoft і Mozilla визнали наявність деяких проблем у реалізації DNS pining та існування декількох сценаріїв атак, що їх хвилюють. Поки дослідники відводять 2-3 року на те, щоб дані проблеми доросли до використання в реальних атаках, але час йде швидко, і якщо на той час не буде знайдено адекватного (і спільного) рішення, усе, що залишиться користувачам - заблокувати активні компоненти своїх браузерів або настроїти фаєрволи таким чином, щоб блокувати спроби перетворення доменних імен у локальні адреси.

По матеріалам http://bugtraq.ru.

На відміну від раніше виявлених подібних додатків, таких як Mpack, ця утиліта самостійно виконує зараження і поширюється без втручання хакера. Поява цієї утиліти свідчить про існування в Інтернеті визначеної бізнес-моделі, заснованої на розробці і продажі подібних видів шкідливих додатків.

PandaLabs знайшла нову небезпечну утиліту, що встановлює шкідливе ПЗ за допомогою експлоітів. Ця утиліта зветься Icepack і продається в Інтернеті за $400. Вона доповнює ряд інших утиліт, виявлених PandaLabs останнім часом, таких як Mpack, XRummer, Zunker, Barracuda, Pinch та ін., підтверджуючи успішність і вигідність бізнесу, що розвивається в Інтернеті за рахунок створення і продажу шкідливих додатків.

Icepack заражає комп’ютери наступним чином: утиліта одержує доступ до визначеної веб-сторінки, куди вона додає iframe-лінку, що веде на сервер, на якому встановлений даний додаток. Основна відмінність Icepack полягає в тому, що таку лінку додає сама утиліта. Попереднім додаткам, таким як Mpack, були необхідні дії хакера, що вручну здійснював доступ до веб-сторінки, на які потім додавалася лінка.

При відвідуванні таких змінених сторінок користувачами, активується Icepack, що аналізує комп’ютер користувача на предмет уразливостей. При позитивному результаті, вона скачує з мережі експлоіт, необхідний для використання наявної в комп’ютері уразливості. Ще одна відмітна ознака Icepack - це те, що вона використовує експлоіти, що відповідають самим останнім виявленим уразливостям. Цьому є розумне пояснення - у такому випадку існує менша імовірність того, що користувачі вже обновили свої комп’ютери для виправлення останніх проломів безпеки.

Після цього кібер-злочинці можуть завантажувати на заражені комп’ютери будь-яке шкідливі програми. Якщо врахувати вартість утиліти, швидше за все вона буде завантажувати шкідливі коди, що найбільше часто використовуються для крадіжки конфіденційних даних і котрі дозволяють займатися онлайновим шахрайством (трояни, шпигунське ПЗ, боти тощо).

Інше нововведення в Icepack - це те, що вона поєднує у собі програму перевірки ftp та iframe. Перша допомагає кібер-злочинцям користуватися інформацією про облікові записи FTP, вкрадених із заражених комп’ютерів. Дані цих облікових записів проходять через спеціальну програму перевірки, щоб упевнитися в їхній дійсності. Утиліта додає в обліковий запис iframe-лінку, що веде до Icepack. Повторенням цього процесу додаток починає свій “життєвий цикл” заново.

По матеріалам http://www.securitylab.ru.

Управління СБУ в Харківській області наприкінці липня 2007 року піймала користувача, що входив в Інтернет під чужими логіном і паролем.

Співробітниками СБУ була отримана інформація про те, що 23-літній житель Харкова, маркетолог-аналитік одного з приватних підприємств зі спеціальною технічною підготовкою, під виглядом комп’ютерного інженера шахрайським шляхом заволодів особистими реквізитами доступу до мережі Інтернет іншої комерційної структури. Після цього зловмисник через свій домашній телефон заходив до мережі Інтернет під логіном і паролем постраждалого абонента, наносячи йому матеріальний збиток.

Усвідомлюючи можливість викриття і намагаючись убезпечити себе, зловмисник власноручно знешкодив сліди протиправної діяльності на своєму комп’ютері, однак зроблені співробітниками УСБУ спеціальні дослідження й експертизи дозволили одержати беззастережні докази його провини.

Щодо комп’ютерного зловмисника порушена кримінальна справа по ознаках злочину, передбачена ч.1 ст.361 Кримінального кодексу України: несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж зв’язку.

По матеріалам http://ain.com.ua.

P.S.

Вже не в перший раз СБУшніки піймали хакера, що вкрав логін та пароль доступу до Мережі (хакерством це можна назвати лише з натяжкою, бо це ще примітив, забавки). СБУ трохи не тим займається і не тих шукає - замість пошуку таких жартівників, котрі крадуть реквізити доступу до Інтернет (і наносять мінімальні збитки), варто було б більше шукати тих діячив, хто краде величезні суми (і наносить людям і державі чималі збитки). А також займатися більш гучними випадками, наприклад знайти тих хакерів, що нападали на сайти політичних партій.

Але й цей хакер теж повинен був добре подумати спочатку. Не варто порушувати Кримінальний Кодекс.

Виявленні численні уразливості в PHP. Уразливі версії: PHP 5.2.x.

Знайдені уразливості дозволяють віддаленому користувачу обійти деякі обмеження безпеки.

1. Уразливість існує через невідому помилку у функції “money_format()” при обробці токенів “%i” та “%n”.

2. Уразливість існує через невідому помилку у функції “zend_alter_ini_entry()”. Зловмисник може викликати memory_limit переривання.

3. Цілочисленне переповнення виявлене у функціях “gdImageCreate()” і “gdImageCreateTrueColor()” у файлі ext/gd/libgd/gd.c. Зловмисник може за допомогою занадто великих цілочисленних значень, переданих як параметр PHP функції “imagecreatetruecolor()” викликати переповнення динамічної пам’яті. Віддалений користувач може виконати довільний код на цільовій системі чи обійти обмеження безпеки (наприклад, директиву “disable_functions”). Для успішної експлуатації уразливості PHP повинен бути налаштований для використання бібліотеки gd. Приклад:

<?php
imagecreatetruecolor(1234,1073741824);
?>

4. Два цілочисленних переповнення виявлені у функції “gdImageCopyResized()” у файлі ext/gd/libgd/gd.c. Зловмисник може за допомогою занадто великих цілочисленних значень, переданих як параметр PHP функціям “imagecopyresized()” і “imagecopyresampled()” викликати переповнення динамічної пам’яті. Віддалений користувач може виконати довільний код на цільовій системі чи обійти обмеження безпеки (наприклад, директиву “disable_functions”). Для успішної експлуатації уразливості PHP повинен бути налаштований для використання бібліотеки gd. Приклад:

<?php
imagecopyresized(imagecreatetruecolor(0x7fffffff, 120),
imagecreatetruecolor(120, 120),
0, 0, 0, 0, 0x7fffffff, 120, 120, 120);
?>

5. Уразливість існує через помилку при обробці SQL запитів, що містять “LOCAL INFILE” усередині MySQL і MySQLi розширень. Зловмисник може обійти обмеження директив “open_basedir” і “safe_mode”. Приклад:

MySQL:

<?php
file_get_contents('/etc/passwd');
$l = mysql_connect("localhost", "root");
mysql_query("CREATE DATABASE a");
mysql_query("CREATE TABLE a.a (a varchar(1024))");
mysql_query("GRANT SELECT,INSERT ON a.a TO 'aaaa'@'localhost'");
mysql_close($l);
mysql_connect("localhost", "aaaa");
mysql_query("LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE a.a");
$result = mysql_query("SELECT a FROM a.a");
while(list($row) = mysql_fetch_row($result))
print $row . chr(10);
?>

MySQLi:

<?php
function r($fp, &$buf, $len, &$err) {
print fread($fp, $len);
}
$m = new mysqli('localhost', 'aaaa', '', 'a');
$m->options(MYSQLI_OPT_LOCAL_INFILE, 1);
$m->set_local_infile_handler("r");
$m->query("LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE a.a");
$m->close();
?>

6. Уразливість існує через помилку при обробці функцій “session_save_path()” та “ini_set()”, викликуваних з “.htaccess” файлу. Зловмисник може обійти обмеження директив “open_basedir” і “safe_mode”.

7. Уразливість існує через невідому помилку у функції “glob()”. Зловмисник може обійти обмеження директиви “open_basedir”.

8. Уразливість існує через невідому помилку при обробці сесій. Зловмисник може замінити сесійний файл символічною лінкою і обійти обмеження директиви “open_basedir”.

Рекомендується встановити останню версію 5.2.4 із сайта виробника.

• Множественные уязвимости в PHP (деталі)

Деякий час тому вийшов Invision Power Board v2.3.1, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Русская версия Invision Power Board 2.3.1 (деталі)

Компанія IBResource офіційно повідомляє про випуск російської версії форуму Invision Power Board v2.3.1. Ця версія містить у собі структурні зміни у вихідному коді файлів, що дозволили підвищити швидкодію системи на великих форумах.

Виправлено близько 20 помилок, а також для зменшення часу завантаження сторінки перероблений процес завантаження профілю-анкети користувача. Змінено стиль головної сторінки адмінцентра. Тепер доступ до більшості функцій і налаштувань можна одержати з першої сторінки. З’явилася інтерактивна допомога для адміністратора. Додана можливість перепризначення стилів, завдяки якій їх можна використовувати незалежно від URL що переглядається.

Компанія Apple усунула дві уразливості в плеєрі QuickTime.

Як деякий час тому повідомлялося в бюлетені безпеки, обидві проблеми пов’язані з особливостями реалізації підтримки Java у додатку. Одна з дір теоретично дозволяє зловмиснику одержати несанкціонований доступ до віддаленого комп’ютера і виконати на ньому довільний програмний код. Для реалізації нападу досить заманити потенційну жертву на сформований спеціальним чином веб-сайт в Інтернеті.

Друга дірка також може бути задіяна через шкідливу веб-сторінку. Ця діра забезпечує можливість несанкціонованого читання пам’яті браузера і не може використовуватися для захоплення контролю над віддаленим комп’ютером. Усім користувачам плеера QuickTime на комп’ютерах під керуванням операційних систем Microsoft Windows і Apple Mac OS Х рекомендується завантажити обновлену версію додатка, у якій уразливості усунуті.

По матеріалам http://www.secblog.info.