Websecurity - Веб безпека

Деякий час тому, була виявлена цікава уразливість в IE, що дозволяла виконати довільний код у Firefox. Mozilla вже випустила оновлення для Firefox (в версії 2.0.0.5), що випривило дану уразливість. Але цікавий сам факт, що через дірку в одному браузері, експлуатується дірка в іншому . До того ж, Microsoft зі своєї сторони відмовилася виправляти дану дірку, мовлял це проблеми Фаєрфокса, що через дірку в IE експлуатується дірка в FF (ця дірка стала таким собі неприємним сюрпризом для FF). Тому виправити “дірку в IE” все ж прийшлось Мозілі в FF.

Як повідомляє www.secblog.info, експерти з питань комп’ютерної безпеки з датської компанії Secunia попереджають про виявлення небезпечної уразливості в браузері Firefox останніх версій.

Проблема, як повідомляється, пов’язана з методом обробки універсальних ідентифікаторів ресурсу (Uniform Resource Identifier, URI). Справа в тім, що Firefox при інсталяції автоматично прописує в реєстрі операційної системи Windows оброблювач URI виду “firefoxurl://”. Це дозволяє зловмисникам за допомогою сформованої спеціальним чином веб-сторінки виконати довільний шкідливий код без відому користувача.

Для організації нападу необхідно, щоб на комп’ютері поряд з Firefox був інстальований браузер Internet Explorer. У цьому випадку за допомогою шкідливого веб-сайта зловмисник може задіяти оброблювач URI і змусити Internet Explorer запустити Firefox з наступним виконанням довільного JavaScript-кода.

За даними Secunia, проблема торкається версії Firefox 2.0 і вище при використанні браузера на цілком пропатченных комп’ютерах з Windows ХР із другим сервіс-паком. Ситуація погіршується тим, що браузер Internet Explorer, необхідний для організації атаки, встановлений на багатьох комп’ютерах з Firefox, оскільки постачається разом з Windows.

Співтовариство Mozilla.org підтвердило факт наявності проблеми і пообіцяло усунути її у версії браузера Firefox з індексом 2.0.0.5. Тим часом, в Інтернеті вже з’явився приклад шкідливого коду, що дозволяє задіяти уразливість. Утім, практичних випадків експлуатації діри поки зафіксовано не було.

Наступне оновлення для третьої версії браузера Firefox буде містити багато важливих нововведень, що стосуються безпеки і які тому будуть не дуже помітні для тестерів програми. Про це повідомила глава відділу Mozilla, що займається безпекою.

Зокрема, планується впровадження інструмента, що буде автоматично блокувати сайти, підозрювані в поширенні шкідливих кодів. Блокувальник заснований на “чорному” списку сайтів, що створюється компанією Google.

Браузер також буде пропонувати розширені можливості по перевірці сертифікатів Secure Sockets Layer (EV SSL). Ці сертифікати використовуються на сайтах багатьох банків, фінансових установ і магазинів. Одним з перших сайтів, що почав їх використовувати, був PayPal. Після впровадження цієї функції користувачі Firefox зможуть бачити спеціальний індикатор, який буде показувати, що на сайті використовується цей тип захисту.

По матеріалам http://www.3dnews.ru.

Хакери успішно справилися з задачею, розкривши самий надійний замок M3 від компанії Medeco, що займає 70% ринку.

Традиційна демонстрація мистецтва взлому замків на конференції DefCon, що пройшла нещодавно у Лас-Вегасі, була присвячена замкам, що закривають найважливіші двері у США - Пентагону і Білого дому. Хакери успішно справилися з задачею, розкривши самий надійний замок M3 від компанії Medeco.

Врізний M3 був взломаний за допомогою скріпки менш чим за хвилину. За словами одного з учасників групи взломщиків, сищика Марка Вебера Тобіаса, в інших фахівців на цей замок пішло б 30-35 років. “Врізний замок - дійсно серйозна проблема безпеки. Я не хотів би створювати паніки, однак він вимагає доробки”. Замок M3 прийшов на зміну двохосьовим замкам Biaxial у 2005 р.

Нагадаю, що на минулій конференції Defcon 11-літня дівчинка на ім’я Дженалін взломала один зі складних замків Kwikset, ударяючи по ньому.

По матеріалам http://www.secblog.info.

Виявлена можливість обходу захисту в Adobe Flash Player (protection bypass).

Уразливі версії: Adobe Flash Player 9.0.

Подію SecurityErrorEvent можна використовувати для сканування портів.

• Design flaw in AS3 socket handling allows port probing (деталі)

Адміністратори веб-сайтів і просто люди звичайно використовують FTP, щоб завантажити файли з комп’ютера на сайт - і назад. Як завжди, компанія Microsoft вирішила полегшити життя користувачу: вбудувала в Windows функції для роботи з протоколом передачі даних.

Internet Explorer - підтримує FTP винятково для зручності. Браузер дбайливо включить у збережений файл (*.html, *.htm, *.mht) - ім’я користувача і пароль, тому що вони є частиною URL (ftp://myusername@mywebsite.com). З розуміння безпеки - IE зберігає адреси сторінок скачуємих об’єктів.

Якщо скачати з FTP файл, відредагувати його і викласти назад то будь-яка особа, що переглядає цю сторінку, зможе одержати зв’язку login/password для доступу до ресурсів сайта.

По матеріалам http://www.securitylab.ru.

Після того, як компанії BitDefender і службі ІБ Yahoo вдалося спільними зусиллями закрити доступ спамерського модуля трояна Trojan.Spammer.HotLan до автоматичного створення поштових скриньок на цій безкоштовній поштовій службі, спамери переключилися на Hotmail та Gmail.

“У п’ятницю були створені 514000 облікових записів Hotmail і 49000 - Gmail, - сказав глава антивірусної лабораторії BitDefender Вайорел Канджа. - Але це не представляє великої загрози, оскільки облікові записи, замічені в спамі, видаляються дуже швидко - звичайно за пару днів”.

Створення облікових записів на сервісах, де встановлений захист від автоматичних реєстрацій, так звана “captcha”, відбувається в такий спосіб: троян, що нездатний розпізнати перекручені цифри і букви, які треба ввести з картинки, відправляє картинку на потужний віддалений сервер. Там за допомогою спеціальної програми вміст картинок розпізнається, а результат відправляється трояну.

По матеріалам http://www.cnews.ru.

P.S.

З часом розповім про свої дослідження стосовно безпеки різноманітних Captcha.

Mozilla випустила виправлення, що закривають 6 уразливостей в Firefox. Чотири із шести уразливостей дозволяють віддаленому користувачу виконати довільний код на цільовій системі, одна уразливість дозволяє зробити XSS напад у контексті безпеки іншого сайта. Також усунута уразливість у міждоменній взаємодії, котра була опублікована 15 вересня 2006 року, що дозволяє зловмиснику впровадити довільний HTML та JS код у фрейм іншого веб сайта.

Усього в 2007 році було опубліковано 17 повідомлень безпеки і було усунуто 25 уразливостей у Mozilla Firefox. Таким чином Firefox обігнав свого конкурента на ринку від компанії Microsoft (12 повідомлень за 2007 рік).

По матеріалам http://www.securitylab.ru.

Нещодавно Інтернету виконалось 16 років! 7 серпня 1991 року британський учений Тім Бернерс-Лі вперше опублікував перші веб-сторінки, які стали результатом його роботи над проектом World Wide Web, що представляв собою метод збереження знань з використанням гіпертекстових документів. Тім розробляв свій проект із березня 1989 року і на той час, коли він опублікував перші веб-сторінки, він уже створив усе необхідне для того щоб Інтернет став реальністю, у тому числі перший браузер і сервер.

Тоді Тім, напевно, і уявити собі не міг, як зміниться світ після його винаходу. Створена ним мова HTML вдихнула життя в мережу Інтернет, що до цього існувала тільки у вигляді декількох комп’ютерних мереж, з’єднаних між собою кабелем. Сьогодні, після шістнадцяти років із дня народження World Wide Web, для багатьох Інтернет став таким же атрибутом цивілізації, як електрика, телебачення і гаряча вода.

У свій час винахідник Інтернету навмисно не став патентувати своє відкриття. Він знав, що в цьому випадку Інтернет ніколи не стане всесвітньою Мережею, масовою і загальнодоступною. Спасибі Тімові за те, що подарував багатьом мільйонам людей в усьому світі можливість жити і працювати в Інтернеті.

По матеріалам http://www.3dnews.ru.

Багато користувачів пошти Gmail при вході у свій аккаунт помітили повідомлення про те, що в їхню пошту були зроблені спроби неавторизованого входу.

Для деяких користувачів це привело до того, що вони втратили можливість входити у свій аккаунт.

В зв’язку з цим Gmail Guide розіслав звертання з приношенням вибачень власникам взломаних аккаунтів і запевняннями в ретельній перевірці всіх підозрілих аккаунтів.

По матеріалам http://www.searchengines.ru.

Фахівці з питань комп’ютерної безпеки з компанії Prolexic попереджають про те, що кіберзлочинці освоїли нову техніку організації DoS-атак.

Нещодавно співробітники Політехнічного інституту в Брукліні (Нью-Йорк) показали, що провести DoS-атаку можна і через пірінгову мережу. Для цього досить розмістити в базі даних Р2Р-мережі фальшиву інформацію, що вказує на сервер-мішень. У цьому випадку користувачі, що намагаються завантажити фальшивий файл, будуть звертатися на сервер, що атакується хакерами, закидаючи його запитами. Як тепер повідомляє ВВС із посиланням на дослідження Prolexic, кіберзлочинці освоїли ще один спосіб організації DoS-атак. Нова техніка заснована на експлуатації високої популярності окремих веб-ресурсів. Зловмисники, знайшовши недостатньо добре захищений сайт із високою відвідуваністю, впроваджують в нього спеціальний код на JavaScript, що перенаправляє запити відвідувачів на сервер-мішень. Використовуючи декілька таких захоплених сайтів, теоретично можна провести досить інтенсивну DoS-атаку.

Експерти Prolexic відзначають, що DoS-атакам, котрі проводяться через файлообмінні мережі чи популярні онлайнові ресурси, набагато складніше запобігти, ніж традиційним атакам з залученням бот-мереж. За даними Prolexic, у травні нинішнього року невідомі зловмисники організували одну із самих великих за останнім час DoS-атак, у ході якої запити на сервер-мішень генерували користувачі популярної Р2Р-мережі.

По матеріалам http://www.xakep.ru.

P.S.

Використання популярних сайтів для DoS-атак - це не нова техніка, але зараз вона набирає поширення. При проведенні подібних атак використовується CSRF для виконання DoS атаки. Причому для цього можна використовувати як уразливості на популярному сайті (зокрема XSS), так і офіційні можливості сайта.