Websecurity - Веб безпека

Інтернет-гігант Google оголосив про покупку компанії Postini, що розробляє рішення для роботи з електронною поштою. Сума угоди склала 625 млн. доларів. Варто відзначити, що рішення Postini на сьогодні досить популярні серед західних компаній.

Крім засобів для роботи з E-mail, Postini продає програмне забезпечення для шифрування повідомлень, створення архівів і роботи із сервісами миттєвих повідомлень.

У Google говорять, що рішення Postini будуть запропоновані бізнесам-користувачам системи Gmail і онлайнового офісного пакета Google Apps. За даними Google, на сьогодні нараховується більш 100 000 користувачів комерційної версії Gmail.

Аналітики агентства Bloomberg відзначають, що поглинання Postini стало третім по величині за історію Google. Два інших великих поглинання, це покупка DoubleClick за 3,1 млрд. доларів і YouTube за 1,65 млрд. доларів.

По матеріалам http://www.cybersecurity.ru.

Виявлена можливість підвищення привілеїв в MySQL (RENAME privilege escalation).

Уразливі версії: MySQL 4.0, MySQL 4.1, MySQL 5.0, MySQL 5.1.

При перейменуванні таблиці не перевіряється наявність у користувача повноважень DROP.

• MySQL does not require the DROP privilege for RENAME TABLE statements (деталі)

Новоград-Волинський міськрайонный суд Житомирської області визнав 37-літнього жителя міста Новоград-Волинський Сергія К. винним у здійсненні злочину, передбаченого частиною 2 статті 361 (”Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж”) Кримінального кодексу України, і призначив покарання у виді трьох років позбавлення волі з конфіскацією програмних і технічних засобів, за допомогою яких було вчинено несанкціоноване втручання.

Як повідомляє прес-група Управління Служби безпеки України в Житомирській області, чий слідчий відділ відкрив і розслідував щодо нього кримінальну справу, громадянин України Сергій К. обвинувачувався в несанкціонованому втручанні в роботу електронно-обчислювальної машини, що привело до витоку інформації у вигляді логіна і пароля газети “Звягель-інформ”, необхідних для виходу в мережу Інтернет, а також кількаразовому (точніше - 99-разовому) несанкціонованому втручанні в роботу комп’ютерної мережі житомирської філії “Уктрелекома” і глобальної комп’ютерний мережі Інтернет, що привело до блокування інформації газети “Звягель-інформ”.

З урахуванням пом’якшуючих обставин Сергій К. звільнений від відбування основного покарання з заміною його іспитовим терміном 1,5 року.

По матеріалам http://www.securitylab.ru.

Виявлена можливість виконання довільного коду в Microsoft IIS. Уразливість дозволяє віддаленому користувачу виконати довільний код на цільовій системі.

Уразливі продукти: Internet Information Services (IIS) 5.1 та Windows XP.

Уразливість існує через помилку при обробці URL запитів. Віддалений користувач може за допомогою спеціально сформованих URL запитів до веб сторінки, що знаходиться на уразливому сервері, виконати довільний код на цільовій системі.

• Выполнение произвольного кода в Microsoft IIS (деталі)

Hewlett-Packard придбала SPI Dynamics, компанію, що спеціалізується на комп’ютерній безпеці.

ПЗ SPI Dynamics сканує веб-сайти і корпоративні програми на потенційні проломи безпеки. Клієнтами компанії є федеральний уряд США і великі фінансові компанії.

Тепер Hewlett-Packard буде використовувати рішення в області безпеки SPI Dynamics у своїх бізнесах-системах, таких як комерційні сайти чи додатки для роботи з фінансами.

Фахівці вважають, що Hewlett-Packard зробила такий крок у світлі недавньої покупки IBM (головного конкурента Hewlett-Packard) компанії Watchfire, що спеціалізується в області програмних продуктів для тестування безпеки.

Технології Watchfire дозволять зміцнити стратегію IBM по керуванню ризиками завдяки інтеграції в цикл розробки програмних рішень великих можливостей по забезпеченню безпеки і нормативної відповідності. При спільному використанні з програмними продуктами IBM Rational технології Watchfire допоможуть клієнтам інтегрувати у свої web-додатки засоби забезпечення безпеки вже на ранній стадії циклу розробки програмного забезпечення й ефективно застосовувати їх на всьому протязі зазначеного циклу.

Торік IBM за 1,3 млрд дол. придбала компанію Internet Security Systems Inc. (ISS), що надає послуги мережевого моніторингу і розробляє системи безпеки для серверів.

По матеріалам http://www.securitylab.ru.

P.S.

До речі, деякий час тому, Джеремія в своєму записі The web application security market is hot, hot, hot прокоментував дану ситуацію з купівлею Watchfire та SPI Dynamics. Про те, чи планує яка-небудь велика компанія купити його компанію WhiteHat, він вирішив не коментувати.

Кілька днів тому в Інтернеті розпочав роботу сервіс аукціонів Wabi-sabi, де будь-який хакер може виставити на торги інформацію про нові діри. На даний момент на торги виставлено чотири лоти, у тому числі уразливість з переповненням буфера в Yahoo! Messenger 8.1 під WinXP. Початкова ціна - €2000.

Швейцарський стартап з японською назвою позіціонується як легальний сервіс, такий “eBay для хакерів”, але він відразу викликав підозру фахівців з безпеки. У своє виправдання швейцарці говорять, що вони просто хочуть витягти на світло підпільний хакерський бізнес.

По матеріалам http://www.securitylab.ru.

P.S.

Ідея цікава . Про подібний проект я періодично замислююся ще з минулої осені.

Виявлені проблеми з дозволеними методами HTTP в Apache (unfiltered HTTP methods).

Не перевіряється відповідність методу запиту RFC 2616, що може привести, наприклад, до міжсайтового скриптінгу.

• Apache/PHP REQUEST_METHOD XSS Vulnerability (деталі)

Виявлена можливість проведення Cross-Site Scripting атаки в Apache Tomcat.

Уразливі версії: Tomcat 4.0, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Міжсайтовий скриптінг можливий при некоректному заголовку Accept-Language.

• Apache Tomcat XSS vulnerability in Accept-Language header processing (деталі)

IBM у середу оголосила про угоду по придбанню компанії Watchfire, що надає інструменти тестування веб-додатків на уразливості та відповідність різним вимогам. Угода буде довершена після схвалення регуляторів ринку в поточному кварталі; сума не розголошується.

Технології Watchfire будуть використовуватися IBM разом із власним пакетом Rational, що дозволяє перевіряти продуктивність і цілісність коду додатків. Також розробки компанії будуть використані в софтверному пакеті керування доступом, ідентифікаціями і відповідністю IBM Tivoli. Продукти Watchfire потраплять у портфель бренда Rational.

Watchfire була заснована в 1996 році й обслуговує більш 800 клієнтів у різних галузях. Компанія вже працювала з IBM і одержала статус бізнес-партнера IBM Rational, підтвердивши сумісність із платформою IBM Rational Software Delivery Platform.

По матеріалам http://www.cnews.ru.

Сенат одноголосно підтримав резолюцію, що визначає червень 2007 року місяцем національної інтернет-безпеки (National Internet Safety Month). Хоча це не дає додаткового фінансування чи підтримки, ні до чого не зобов’язуюча резолюція попереджає американських споживачів про небезпеки Інтернету і про необхідність безпечного і відповідального поводження в онлайні.

Міністерство юстиції США відносить до інтернет-злочинів кіберстеження, кібершантаж, дитячу порнографію, інтернет-шахрайство і “крадіжку особистості”. У резолюції відзначається, що у світі понад мільярд користувачів Інтернету, причому 35 млн із них - американці шкільного віку. Більшість користувачів-учнів 5-12 класів проводять в онлайні мінімум одну годину в тиждень, а 41% не розповідають батькам, чим вони там займаються.

Відповідно до сенатської статистики, кожен четвертий учень ховає свою онлайнову діяльність, а кожен третій знає, як обійти фільтруюче ПО. 61% школярів користуються Інтернетом небезпечним чи неналежним чином, а кожен п’ятий зустрічався з тими, з ким познайомився в онлайні.

У резолюції Сенату говориться, що 47% батьків вважають свої можливості по контролю і захисту дітей від небажаних матеріалів в Інтернеті обмеженими. 61% сказали, що вони готові прийняти більш активну участь у забезпеченні інтернет-безпеки. Тепер Сенат призиває їх, а також правоохоронні органи і приватні компанії, активізуватися: займатися освітою, поширювати інформацію й учити, та заохочувати тих, хто вже щось робить для того, щоб Інтернет став більш безпечним місцем для усіх.

Всі спроби федеральної влади законодавчо обмежити приступність небажаного контента для неповнолітніх закінчилися провалом.

По матеріалам http://www.securitylab.ru.

P.S.

Добре, що Сенат звернув увагу на небезпеки в Інтернеті (на що я щоденно звертаю увагу громадськості), і я радий що Сенат оголосив червень місяцем національної інтернет-безпеки. Але вони повинні були врахувати, що я ще раніше (за місяць до них) оголосив червень Місяцем багів в пошуковцях (Month of Search Engines Bugs). Тому їм варто було вибрати інший місяць (той же липень) для своєї акції . Але все рівно це добре, що можновладці США звертають увагу на питання безпеки в Мережі.