Websecurity - Веб безпека

Адміністратори веб-сайтів і просто люди звичайно використовують FTP, щоб завантажити файли з комп’ютера на сайт - і назад. Як завжди, компанія Microsoft вирішила полегшити життя користувачу: вбудувала в Windows функції для роботи з протоколом передачі даних.

Internet Explorer - підтримує FTP винятково для зручності. Браузер дбайливо включить у збережений файл (*.html, *.htm, *.mht) - ім’я користувача і пароль, тому що вони є частиною URL (ftp://myusername@mywebsite.com). З розуміння безпеки - IE зберігає адреси сторінок скачуємих об’єктів.

Якщо скачати з FTP файл, відредагувати його і викласти назад то будь-яка особа, що переглядає цю сторінку, зможе одержати зв’язку login/password для доступу до ресурсів сайта.

По матеріалам http://www.securitylab.ru.

Після того, як компанії BitDefender і службі ІБ Yahoo вдалося спільними зусиллями закрити доступ спамерського модуля трояна Trojan.Spammer.HotLan до автоматичного створення поштових скриньок на цій безкоштовній поштовій службі, спамери переключилися на Hotmail та Gmail.

“У п’ятницю були створені 514000 облікових записів Hotmail і 49000 - Gmail, - сказав глава антивірусної лабораторії BitDefender Вайорел Канджа. - Але це не представляє великої загрози, оскільки облікові записи, замічені в спамі, видаляються дуже швидко - звичайно за пару днів”.

Створення облікових записів на сервісах, де встановлений захист від автоматичних реєстрацій, так звана “captcha”, відбувається в такий спосіб: троян, що нездатний розпізнати перекручені цифри і букви, які треба ввести з картинки, відправляє картинку на потужний віддалений сервер. Там за допомогою спеціальної програми вміст картинок розпізнається, а результат відправляється трояну.

По матеріалам http://www.cnews.ru.

P.S.

З часом розповім про свої дослідження стосовно безпеки різноманітних Captcha.

Mozilla випустила виправлення, що закривають 6 уразливостей в Firefox. Чотири із шести уразливостей дозволяють віддаленому користувачу виконати довільний код на цільовій системі, одна уразливість дозволяє зробити XSS напад у контексті безпеки іншого сайта. Також усунута уразливість у міждоменній взаємодії, котра була опублікована 15 вересня 2006 року, що дозволяє зловмиснику впровадити довільний HTML та JS код у фрейм іншого веб сайта.

Усього в 2007 році було опубліковано 17 повідомлень безпеки і було усунуто 25 уразливостей у Mozilla Firefox. Таким чином Firefox обігнав свого конкурента на ринку від компанії Microsoft (12 повідомлень за 2007 рік).

По матеріалам http://www.securitylab.ru.

Нещодавно Інтернету виконалось 16 років! 7 серпня 1991 року британський учений Тім Бернерс-Лі вперше опублікував перші веб-сторінки, які стали результатом його роботи над проектом World Wide Web, що представляв собою метод збереження знань з використанням гіпертекстових документів. Тім розробляв свій проект із березня 1989 року і на той час, коли він опублікував перші веб-сторінки, він уже створив усе необхідне для того щоб Інтернет став реальністю, у тому числі перший браузер і сервер.

Тоді Тім, напевно, і уявити собі не міг, як зміниться світ після його винаходу. Створена ним мова HTML вдихнула життя в мережу Інтернет, що до цього існувала тільки у вигляді декількох комп’ютерних мереж, з’єднаних між собою кабелем. Сьогодні, після шістнадцяти років із дня народження World Wide Web, для багатьох Інтернет став таким же атрибутом цивілізації, як електрика, телебачення і гаряча вода.

У свій час винахідник Інтернету навмисно не став патентувати своє відкриття. Він знав, що в цьому випадку Інтернет ніколи не стане всесвітньою Мережею, масовою і загальнодоступною. Спасибі Тімові за те, що подарував багатьом мільйонам людей в усьому світі можливість жити і працювати в Інтернеті.

По матеріалам http://www.3dnews.ru.

Багато користувачів пошти Gmail при вході у свій аккаунт помітили повідомлення про те, що в їхню пошту були зроблені спроби неавторизованого входу.

Для деяких користувачів це привело до того, що вони втратили можливість входити у свій аккаунт.

В зв’язку з цим Gmail Guide розіслав звертання з приношенням вибачень власникам взломаних аккаунтів і запевняннями в ретельній перевірці всіх підозрілих аккаунтів.

По матеріалам http://www.searchengines.ru.

Фахівці з питань комп’ютерної безпеки з компанії Prolexic попереджають про те, що кіберзлочинці освоїли нову техніку організації DoS-атак.

Нещодавно співробітники Політехнічного інституту в Брукліні (Нью-Йорк) показали, що провести DoS-атаку можна і через пірінгову мережу. Для цього досить розмістити в базі даних Р2Р-мережі фальшиву інформацію, що вказує на сервер-мішень. У цьому випадку користувачі, що намагаються завантажити фальшивий файл, будуть звертатися на сервер, що атакується хакерами, закидаючи його запитами. Як тепер повідомляє ВВС із посиланням на дослідження Prolexic, кіберзлочинці освоїли ще один спосіб організації DoS-атак. Нова техніка заснована на експлуатації високої популярності окремих веб-ресурсів. Зловмисники, знайшовши недостатньо добре захищений сайт із високою відвідуваністю, впроваджують в нього спеціальний код на JavaScript, що перенаправляє запити відвідувачів на сервер-мішень. Використовуючи декілька таких захоплених сайтів, теоретично можна провести досить інтенсивну DoS-атаку.

Експерти Prolexic відзначають, що DoS-атакам, котрі проводяться через файлообмінні мережі чи популярні онлайнові ресурси, набагато складніше запобігти, ніж традиційним атакам з залученням бот-мереж. За даними Prolexic, у травні нинішнього року невідомі зловмисники організували одну із самих великих за останнім час DoS-атак, у ході якої запити на сервер-мішень генерували користувачі популярної Р2Р-мережі.

По матеріалам http://www.xakep.ru.

P.S.

Використання популярних сайтів для DoS-атак - це не нова техніка, але зараз вона набирає поширення. При проведенні подібних атак використовується CSRF для виконання DoS атаки. Причому для цього можна використовувати як уразливості на популярному сайті (зокрема XSS), так і офіційні можливості сайта.

Суд Суворівського району Херсона засудив місцевого жителя, що втручався в роботу локальних мереж, до двох років позбавлення волі з іспитовим терміном в один рік.

Як повідомив керівник прес-групи Управління СБУ в Херсонській області Володимир Слюсаренко, співробітники управління викрили і припинили протиправну діяльність жителя Херсона, що несанкціоновано багаторазово втручався в роботу однієї з локальних комп’ютерних мереж у Херсоні.

Зловмисник використовував спеціальну вірусну програму для одержання доступу до конфіденційної інформації про реквізити реєстрації абонентів мережі на сервері. Ці дані зловмисник використовував для особистого виходу в Інтернет під чужими логінами і паролями. Такі дії приводили до блокування доступу користувачів до інформаційних масивів мережі і наносили їм матеріальний збиток.

У відношенні підозрюваного була порушена кримінальна справа по частині 1 ст. 361 КК України - незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж.

По матеріалам http://ain.com.ua.

P.S.

Ось так, два роки (плюс іспитовий рік) отримав діяч за викрадення і використання логінів та паролів доступу до Мережі. Доволі жорстко. Не варто подібним займатися - поважайте кримінальний кодекс.

Виявлена можливість розкриття даних в Firefox. Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних на системі.

Уразливі версії: Mozilla Firefox 2.0.0.4, можливо більш ранні версії.

Уразливість існує через помилку дизайну при обробці фокуса полів форми. Зловмисник може обманом змусити користувача набрати ім’я системного файлу і потім змінити фокус з поля “textarea” у поле “file upload” форми за допомогою події “OnKeyDown” і завантажити файл на сервер.

• Раскрытие данных в Firefox (деталі)

Google найняла одного з відомих фахівців з безпеки у світі, Міхала Залєвскі, для роботи над усуненням уразливостей в інтернет-проектах компанії.

Залєвскі, 26-літній фахівець у комп’ютерній безпеці, приєднався до Google біля тижня тому і зайняв посаду інженера інформаційної безпеки. Він підтвердив це призначення, але відмовився коментувати специфіку своєї роботи в компанії.

Донедавна Міхал Залєвскі працював над пошуком уразливостей в Internet Explorer та Firefox, і одержав популярність як умілий взломщик браузерів.

По матеріалам http://www.securitylab.ru.

P.S.

Успіху Міхалу на його новій роботі в Гуглі.

Виявлена Cross-Site Scripting уразливість в програмах Mozilla, що дозволяє віддаленому користувачу виконати XSS напад.

Уразливі продукти: Mozilla Firefox версії до 2.0.0.6, Mozilla SeaMonkey версії до 1.1.4, Mozilla Thunderbird версії до 2.0.0.6.

Уразливість існує через помилку при обробці “about:blank” сторінок, завантажених за допомогою chrome у додатковий модуль. Віддалений користувач може за допомогою спеціально сформованої сторінки виконати довільний код сценарію в браузері жертви з привілеями chrome, коли користувач натисне на спеціально сформовану лінку, що відкриває сторінку “about:blank” за допомогою додаткового модуля.

• Межсайтовый скриптинг в продуктах Mozilla (деталі)