Websecurity - Веб безпека

Hewlett-Packard придбала SPI Dynamics, компанію, що спеціалізується на комп’ютерній безпеці.

ПЗ SPI Dynamics сканує веб-сайти і корпоративні програми на потенційні проломи безпеки. Клієнтами компанії є федеральний уряд США і великі фінансові компанії.

Тепер Hewlett-Packard буде використовувати рішення в області безпеки SPI Dynamics у своїх бізнесах-системах, таких як комерційні сайти чи додатки для роботи з фінансами.

Фахівці вважають, що Hewlett-Packard зробила такий крок у світлі недавньої покупки IBM (головного конкурента Hewlett-Packard) компанії Watchfire, що спеціалізується в області програмних продуктів для тестування безпеки.

Технології Watchfire дозволять зміцнити стратегію IBM по керуванню ризиками завдяки інтеграції в цикл розробки програмних рішень великих можливостей по забезпеченню безпеки і нормативної відповідності. При спільному використанні з програмними продуктами IBM Rational технології Watchfire допоможуть клієнтам інтегрувати у свої web-додатки засоби забезпечення безпеки вже на ранній стадії циклу розробки програмного забезпечення й ефективно застосовувати їх на всьому протязі зазначеного циклу.

Торік IBM за 1,3 млрд дол. придбала компанію Internet Security Systems Inc. (ISS), що надає послуги мережевого моніторингу і розробляє системи безпеки для серверів.

По матеріалам http://www.securitylab.ru.

P.S.

До речі, деякий час тому, Джеремія в своєму записі The web application security market is hot, hot, hot прокоментував дану ситуацію з купівлею Watchfire та SPI Dynamics. Про те, чи планує яка-небудь велика компанія купити його компанію WhiteHat, він вирішив не коментувати.

Кілька днів тому в Інтернеті розпочав роботу сервіс аукціонів Wabi-sabi, де будь-який хакер може виставити на торги інформацію про нові діри. На даний момент на торги виставлено чотири лоти, у тому числі уразливість з переповненням буфера в Yahoo! Messenger 8.1 під WinXP. Початкова ціна - €2000.

Швейцарський стартап з японською назвою позіціонується як легальний сервіс, такий “eBay для хакерів”, але він відразу викликав підозру фахівців з безпеки. У своє виправдання швейцарці говорять, що вони просто хочуть витягти на світло підпільний хакерський бізнес.

По матеріалам http://www.securitylab.ru.

P.S.

Ідея цікава . Про подібний проект я періодично замислююся ще з минулої осені.

Виявлені проблеми з дозволеними методами HTTP в Apache (unfiltered HTTP methods).

Не перевіряється відповідність методу запиту RFC 2616, що може привести, наприклад, до міжсайтового скриптінгу.

• Apache/PHP REQUEST_METHOD XSS Vulnerability (деталі)

Виявлена можливість проведення Cross-Site Scripting атаки в Apache Tomcat.

Уразливі версії: Tomcat 4.0, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Міжсайтовий скриптінг можливий при некоректному заголовку Accept-Language.

• Apache Tomcat XSS vulnerability in Accept-Language header processing (деталі)

IBM у середу оголосила про угоду по придбанню компанії Watchfire, що надає інструменти тестування веб-додатків на уразливості та відповідність різним вимогам. Угода буде довершена після схвалення регуляторів ринку в поточному кварталі; сума не розголошується.

Технології Watchfire будуть використовуватися IBM разом із власним пакетом Rational, що дозволяє перевіряти продуктивність і цілісність коду додатків. Також розробки компанії будуть використані в софтверному пакеті керування доступом, ідентифікаціями і відповідністю IBM Tivoli. Продукти Watchfire потраплять у портфель бренда Rational.

Watchfire була заснована в 1996 році й обслуговує більш 800 клієнтів у різних галузях. Компанія вже працювала з IBM і одержала статус бізнес-партнера IBM Rational, підтвердивши сумісність із платформою IBM Rational Software Delivery Platform.

По матеріалам http://www.cnews.ru.

Сенат одноголосно підтримав резолюцію, що визначає червень 2007 року місяцем національної інтернет-безпеки (National Internet Safety Month). Хоча це не дає додаткового фінансування чи підтримки, ні до чого не зобов’язуюча резолюція попереджає американських споживачів про небезпеки Інтернету і про необхідність безпечного і відповідального поводження в онлайні.

Міністерство юстиції США відносить до інтернет-злочинів кіберстеження, кібершантаж, дитячу порнографію, інтернет-шахрайство і “крадіжку особистості”. У резолюції відзначається, що у світі понад мільярд користувачів Інтернету, причому 35 млн із них - американці шкільного віку. Більшість користувачів-учнів 5-12 класів проводять в онлайні мінімум одну годину в тиждень, а 41% не розповідають батькам, чим вони там займаються.

Відповідно до сенатської статистики, кожен четвертий учень ховає свою онлайнову діяльність, а кожен третій знає, як обійти фільтруюче ПО. 61% школярів користуються Інтернетом небезпечним чи неналежним чином, а кожен п’ятий зустрічався з тими, з ким познайомився в онлайні.

У резолюції Сенату говориться, що 47% батьків вважають свої можливості по контролю і захисту дітей від небажаних матеріалів в Інтернеті обмеженими. 61% сказали, що вони готові прийняти більш активну участь у забезпеченні інтернет-безпеки. Тепер Сенат призиває їх, а також правоохоронні органи і приватні компанії, активізуватися: займатися освітою, поширювати інформацію й учити, та заохочувати тих, хто вже щось робить для того, щоб Інтернет став більш безпечним місцем для усіх.

Всі спроби федеральної влади законодавчо обмежити приступність небажаного контента для неповнолітніх закінчилися провалом.

По матеріалам http://www.securitylab.ru.

P.S.

Добре, що Сенат звернув увагу на небезпеки в Інтернеті (на що я щоденно звертаю увагу громадськості), і я радий що Сенат оголосив червень місяцем національної інтернет-безпеки. Але вони повинні були врахувати, що я ще раніше (за місяць до них) оголосив червень Місяцем багів в пошуковцях (Month of Search Engines Bugs). Тому їм варто було вибрати інший місяць (той же липень) для своєї акції . Але все рівно це добре, що можновладці США звертають увагу на питання безпеки в Мережі.

Компанія Intellectual Weapons пропонує дослідникам уразливостей патентувати свої відкриття й одержувати з них прибуток, ліцензуючи інформацію розробникам уразливих додатків, їх конкурентам і виробникам продуктів ІТ-безпеки. В даний час фахівці IW розробляють відповідний сервіс.

Компанія повідомила про винахід процесу швидкого патентування і ліцензування знайдених уразливостей, але поки не доробила його до повної готовності. Мова йде про уразливості, що знайдені законним шляхом.

Деякі компанії вже скуповують уразливості для запропонування швидких патчів своїм клієнтам. Цим займається iDefense у рамках Vulnerability Contributor Program і 3Com, що відкрила “Ініціативу нульового дня”. За кожну знайдену уразливість дослідник може одержати до $10000. Якщо мати правильний контракт і працювати з урядовими агентствами, то можна одержати до $50000. Уразливості також продаються нелегально на чорному ринку.

По матеріалам http://www.securitylab.ru.

P.S.

Цікава ідея у IW . Безпека коштує грошей й інтернет компанії повинні це розуміти.

Користувачі готові платити більше за товари, придбані в онлайні, якщо продавці демонструють, що можуть забезпечити кращий захист конфіденційних даних клієнтів, повідомляється в результатах дослідження, проведеного серед онлайн-магазинів США.

Дослідження проводилося університетом Carnegie Mellon. Як з’ясувалося, клієнти охоче платять додатково до 60 центів на кожні $15, якщо їх задовольняє політика поводження з даними продавця. При вивченні використовувалися дані спеціалізованого пошукового “движка”, що автоматично оцінював політику сайтів і реакцію користувачів на те, як їхня персональна інформація використовується.

Клієнти стурбовані неправильним використанням даних кредитної карти, розсиланням спама чи порушенням конфіденційності даних. Однак онлайн-продавці не здатні забезпечити гідну безпеку, продаючи товари за низькими цінами. На думку керівника даного проекту, у першу чергу продавець повинний інформувати покупця про те, як використовуються дані та забезпечується їхній захист.

По матеріалам http://www.securitylab.ru.

Про це написав директор по стратегії безпеки IBM Internet Security Systems Гюнтер Оллманн у блозі.

Торік, за його словами, було обнародувано 7247 помилок, хоча можлива кількість виявлених складає 132115. Це значить, що публіці відомі лише 5,48% усіх помилок. “Із упевненістю можна сказати, що 139262 нових уразливостей за один рік - це колосальне число, але чи правильне воно? Занадто багато людей недооцінюють кількість помилок у програмному забезпеченні, яким вони користуються вдома чи в офісі. Обнародувані являють собою лише невелике вікно в загальній кількості, що розкривається за рік”.

“Якщо ви засновували свою стратегію захисту тільки на обнародуваних уразливостях, ви не захистилися від 95% цього року. Якщо ваші захисні системи створені для захисту від специфічних уразливостей, наприклад, заснованих на сигнатурах, це, імовірно, означає, що вони були створені для захисту від підмножини публічно обнародуваних уразливостей. Для того, щоб захиститися від інших 97%, потрібні випереджаючі движки захисту”, - написав Оллманн.

По матеріалам http://www.securitylab.ru.

P.S.

Яка кількість уразливостей не була обнародувана, це ще під питанням, а ось уразливість на www.iss.net (сайті IBM Internet Security Systems) мною була оприлюднена .

Компанія Microsoft опублікувала на сайті своєї служби підтримки інструкцію зі створення програми, що дозволяє обійти захист веб-сервера Internet Information Services (IIS).

Зловмисник може скористатися помилкою в бібліотеці Webhits.dll, що входить в IIS, для доступу до закритих документів в обхід ідентифікації. Помилка відноситься тільки до IIS версій 5.х. На даний момент вихідний код програми, що використовує помилку, вже вилучений із сайта Microsoft. Проте, поки не існує оновлення для IIS, що виправляє цю помилку.

Для захисту від хакерів Microsoft рекомендує обновити IIS до версії 6.0. Цей програмний комплекс поставляється тільки в комплекті з серверною операційною системою Windows Server 2003.

По матеріалам http://www.securitylab.ru.