Websecurity - Веб безпека

Суд Суворівського району Херсона засудив місцевого жителя, що втручався в роботу локальних мереж, до двох років позбавлення волі з іспитовим терміном в один рік.

Як повідомив керівник прес-групи Управління СБУ в Херсонській області Володимир Слюсаренко, співробітники управління викрили і припинили протиправну діяльність жителя Херсона, що несанкціоновано багаторазово втручався в роботу однієї з локальних комп’ютерних мереж у Херсоні.

Зловмисник використовував спеціальну вірусну програму для одержання доступу до конфіденційної інформації про реквізити реєстрації абонентів мережі на сервері. Ці дані зловмисник використовував для особистого виходу в Інтернет під чужими логінами і паролями. Такі дії приводили до блокування доступу користувачів до інформаційних масивів мережі і наносили їм матеріальний збиток.

У відношенні підозрюваного була порушена кримінальна справа по частині 1 ст. 361 КК України - незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж.

По матеріалам http://ain.com.ua.

P.S.

Ось так, два роки (плюс іспитовий рік) отримав діяч за викрадення і використання логінів та паролів доступу до Мережі. Доволі жорстко. Не варто подібним займатися - поважайте кримінальний кодекс.

Виявлена можливість розкриття даних в Firefox. Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних на системі.

Уразливі версії: Mozilla Firefox 2.0.0.4, можливо більш ранні версії.

Уразливість існує через помилку дизайну при обробці фокуса полів форми. Зловмисник може обманом змусити користувача набрати ім’я системного файлу і потім змінити фокус з поля “textarea” у поле “file upload” форми за допомогою події “OnKeyDown” і завантажити файл на сервер.

• Раскрытие данных в Firefox (деталі)

Google найняла одного з відомих фахівців з безпеки у світі, Міхала Залєвскі, для роботи над усуненням уразливостей в інтернет-проектах компанії.

Залєвскі, 26-літній фахівець у комп’ютерній безпеці, приєднався до Google біля тижня тому і зайняв посаду інженера інформаційної безпеки. Він підтвердив це призначення, але відмовився коментувати специфіку своєї роботи в компанії.

Донедавна Міхал Залєвскі працював над пошуком уразливостей в Internet Explorer та Firefox, і одержав популярність як умілий взломщик браузерів.

По матеріалам http://www.securitylab.ru.

P.S.

Успіху Міхалу на його новій роботі в Гуглі.

Виявлена Cross-Site Scripting уразливість в програмах Mozilla, що дозволяє віддаленому користувачу виконати XSS напад.

Уразливі продукти: Mozilla Firefox версії до 2.0.0.6, Mozilla SeaMonkey версії до 1.1.4, Mozilla Thunderbird версії до 2.0.0.6.

Уразливість існує через помилку при обробці “about:blank” сторінок, завантажених за допомогою chrome у додатковий модуль. Віддалений користувач може за допомогою спеціально сформованої сторінки виконати довільний код сценарію в браузері жертви з привілеями chrome, коли користувач натисне на спеціально сформовану лінку, що відкриває сторінку “about:blank” за допомогою додаткового модуля.

• Межсайтовый скриптинг в продуктах Mozilla (деталі)

Брифінги 11-ї конференції Black Hat USA у Лас-Вегасі, що почнуться в середу, будуть присвячені уразливостям операційних систем Windows Vista і Apple Mac OS X Leopard. Остання з’явиться на ринку в жовтні.

Організатори обіцяють розкрити 20 нових уразливостей і представити інструменти для взлому. Незважаючи на те, що конференція називається “Чорні шляпи”, на ній зібралася безліч “білих шляп” - етичних хакерів, а також представників урядових агентств, зокрема, АНБ і кіберполіцейських.

На брифінгах будуть обговорюватися ботнети, атаки на Естонію, соціальні мережі MySpace, Flickr та інші. Дослідники представлять подробиці уразливості в браузері Safari, що дозволяє захопити контроль над iPhone.

Ті ж теми будуть обговорюватися на конференції DefCon, що відбудеться в Лас-Вегасі в п’ятницю, після закінчення Black Hat. DefCon пройде в 15-й раз і збере софтверних геніїв, що будуть грати в хакерські ігри, взламувати замки і спілкуватися. “Якщо Black Hat - університет, то DefCon - це товариська вечірка”, - говорить Джефф Мосс, засновник обох конференцій.

По матеріалам http://www.securitylab.ru.

P.S.

Black Hat розпочався в суботу, сьогодні вже розпочалися брифінги, а про першу новину з Блекхету я писав учора.

Зараз в США триває конференція Black Hat (з 28.07 по 02.08), про цікаві доповіді з якої я ще розповім. А зараз одна новина стосовно Блекхету.

Німецького хакера Алвара Флейка, що прибув до США для проведення семінару на конференції Black Hat USA, затримали прикордонники і після 4,5 чосового допиту вислали на батьківщину в Німеччину.

Причиною відмовлення у в’їзді послужили друковані матеріали для семінару, пише Флейк у своєму блозі Addxorrol.blogspot.com. Оскільки він приїхав як приватне особа, а не як представник власної компанії Sabre Security, прикордонники зажадали від його робочу візу H1B. На пропозицію скласти договір з Black Hat на місці від імені його компанії, йому відповіли відмовою.

Флейк проводив семінари на конференції протягом 6 років, приїжджаючи в США щороку. На прикордонному пункті він завжди повідомляв про мету своїх візитів і дотепер до нього не пред’являли подібних претензій.

На нинішню конференцію німецький хакер вже не потрапить: ділову візу він зможе одержати не раніше 24 серпня. Конференція ж проходить з 28 липня по 2 серпня.

За словами Флейка, прикордонники цікавилися змістом матеріалів і задавали йому питання про причину поїздки, рід занять, а також, чому його семінар був підготовлений їм, а не громадянином США.

По матеріалам http://www.cnews.ru.

Відповідно до щомісячного звіту компанії Sophos, у червні 2007 року кількість сайтів, що містять шкідливий код, помітно збільшилась. Якщо в квітні 2007 року в день їх з’являлося по 5000, то в червні це число виросло до 30000.

“Це безперечно величезний приріст, якщо на початку червня в день з’являлося по 9500 зловмисних сайтів, до кінця місяця їхня кількість збільшилася до 29000″ - говорить старший консультант по безпеці компанії Sophos Карол Теріо.

На думку Sophos, причина настільки різкого росту інфікованих сайтів у тім, що зловмисники стали поступово відмовлятися від розсилання спама, як від стандартного методу розсилання вірусів, троянів і хробаків. У деяких випадках зловмисники створюють власні сайти з вірусами, але в більшості випадків вони просто вбудовують зловмисний код у легальні сайти, непомітно для власника зламавши ресурс.

Згідно даним Sophos, з 29700 нових сайтів, що містили віруси в червні, 80% - це легітимні сайти, що були скомпрометовані. Головним засобом для інфікування сайтів став засіб iFrame malware.

Примітно, що він же очолил десятку самих небезпечних шкідливих кодів червня за версією Sophos. Ще однією характерною червневою рисою став масовий взлом сайтів, що розташовуються на площадках провайдерів.

По матеріалам http://itua.info.

Виявлений міжсайтовий доступ до кешу в Firefox (crossite access).

Уразливі версії: Mozilla Firefox 2.0.

URL wyciwyg:// у сполученні з перенапрявленням через відповідь 302 дозволяє одержати доступ до вмісту кеша деяких сторінок.

• Mozilla Foundation Security Advisory 2007-24 (деталі)
• Firefox wyciwyg:// cache zone bypass (деталі)

Команда фахівців безпеки Google розробляє сканер уразливостей з відкритим кодом під назвою Lemon і в міру розробки використовує його для тестування своїх продуктів. Випуск на ринок у найближчому майбутньому не планується.

Сканер проводить так зване fuzz-тестування - автоматично відправляє спеціальні “шкідливі” рядки сценаріям веб-додатків з метою виявлення уразливостей. В даний час готова розробка, що перевіряє сценарії на уразливість до атак міжсайтового виконання сценаріїв (XSS).

На ринку вже існує ряд fuzz-інструментів з відкритим кодом, включаючи розробки проекту OWASP (Open Web Application Security Project). Однак Lemon буде більше нагадувати комерційний продукт, що не тільки виконує функцію перевірочного інструмента, але і сканує веб-додатки. За словами Дені Алана, директора досліджень безпеки веб-додатків Watchfire, подібного продукту немає на ринку відкритого коду. У fuzz-інструментах з відкритим кодом, як правило, необхідно вказувати конкретні параметри, що сильно сповільнює процес перевірки.

Розробники мають намір включити в Lemon функції сканування на різноманітні види уразливостей, включаючи міжкористувацький дефейс (тимчасова підміна вмісту сторінки, відображуваної відвідувачу, для крадіжки реквізитів), зараження веб-кеша, зараження кукі (модифікація кукі для обходу аутентифікації), витоку трасування стека, а також уразливості, пов’язані з кодуванням тексту.

Fuzz-інструменти мають подвійне призначення: фахівці ІТ-безпеки компаній можуть сканувати свої корпоративні додатки, а хакери - довільні сайти. Однак Google не планує виводити продукт на ринок, принаймні, у найближчому майбутньому, оскільки він буде “точно налаштований на додатки Google”.

По матеріалам http://www.securitylab.ru.

P.S.

Цілком можливо, що Гугл вирішив почати розробки свого сканера уразливостей після проведення мого проекту Month of Search Engines Bugs, котрий також вплинув на дане рішення компанії . Бажаю Гуглу успіху з даною розробкою.

Виявлені численні локальні DoS-умови в httpd Apache (local DoS conditions).

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Існує можливість маніпуляції батьківським процесом, включаючи відправлення сигналів іншим додаткам від імені root, завершення процесу, вичерпання ресурсів.

• Apache Prefork MPM vulnerabilities - Report (деталі)
• Apache httpd vulnerabilities (деталі)