Websecurity - Веб безпека

Компанія Intellectual Weapons пропонує дослідникам уразливостей патентувати свої відкриття й одержувати з них прибуток, ліцензуючи інформацію розробникам уразливих додатків, їх конкурентам і виробникам продуктів ІТ-безпеки. В даний час фахівці IW розробляють відповідний сервіс.

Компанія повідомила про винахід процесу швидкого патентування і ліцензування знайдених уразливостей, але поки не доробила його до повної готовності. Мова йде про уразливості, що знайдені законним шляхом.

Деякі компанії вже скуповують уразливості для запропонування швидких патчів своїм клієнтам. Цим займається iDefense у рамках Vulnerability Contributor Program і 3Com, що відкрила “Ініціативу нульового дня”. За кожну знайдену уразливість дослідник може одержати до $10000. Якщо мати правильний контракт і працювати з урядовими агентствами, то можна одержати до $50000. Уразливості також продаються нелегально на чорному ринку.

По матеріалам http://www.securitylab.ru.

P.S.

Цікава ідея у IW . Безпека коштує грошей й інтернет компанії повинні це розуміти.

Користувачі готові платити більше за товари, придбані в онлайні, якщо продавці демонструють, що можуть забезпечити кращий захист конфіденційних даних клієнтів, повідомляється в результатах дослідження, проведеного серед онлайн-магазинів США.

Дослідження проводилося університетом Carnegie Mellon. Як з’ясувалося, клієнти охоче платять додатково до 60 центів на кожні $15, якщо їх задовольняє політика поводження з даними продавця. При вивченні використовувалися дані спеціалізованого пошукового “движка”, що автоматично оцінював політику сайтів і реакцію користувачів на те, як їхня персональна інформація використовується.

Клієнти стурбовані неправильним використанням даних кредитної карти, розсиланням спама чи порушенням конфіденційності даних. Однак онлайн-продавці не здатні забезпечити гідну безпеку, продаючи товари за низькими цінами. На думку керівника даного проекту, у першу чергу продавець повинний інформувати покупця про те, як використовуються дані та забезпечується їхній захист.

По матеріалам http://www.securitylab.ru.

Про це написав директор по стратегії безпеки IBM Internet Security Systems Гюнтер Оллманн у блозі.

Торік, за його словами, було обнародувано 7247 помилок, хоча можлива кількість виявлених складає 132115. Це значить, що публіці відомі лише 5,48% усіх помилок. “Із упевненістю можна сказати, що 139262 нових уразливостей за один рік - це колосальне число, але чи правильне воно? Занадто багато людей недооцінюють кількість помилок у програмному забезпеченні, яким вони користуються вдома чи в офісі. Обнародувані являють собою лише невелике вікно в загальній кількості, що розкривається за рік”.

“Якщо ви засновували свою стратегію захисту тільки на обнародуваних уразливостях, ви не захистилися від 95% цього року. Якщо ваші захисні системи створені для захисту від специфічних уразливостей, наприклад, заснованих на сигнатурах, це, імовірно, означає, що вони були створені для захисту від підмножини публічно обнародуваних уразливостей. Для того, щоб захиститися від інших 97%, потрібні випереджаючі движки захисту”, - написав Оллманн.

По матеріалам http://www.securitylab.ru.

P.S.

Яка кількість уразливостей не була обнародувана, це ще під питанням, а ось уразливість на www.iss.net (сайті IBM Internet Security Systems) мною була оприлюднена .

Компанія Microsoft опублікувала на сайті своєї служби підтримки інструкцію зі створення програми, що дозволяє обійти захист веб-сервера Internet Information Services (IIS).

Зловмисник може скористатися помилкою в бібліотеці Webhits.dll, що входить в IIS, для доступу до закритих документів в обхід ідентифікації. Помилка відноситься тільки до IIS версій 5.х. На даний момент вихідний код програми, що використовує помилку, вже вилучений із сайта Microsoft. Проте, поки не існує оновлення для IIS, що виправляє цю помилку.

Для захисту від хакерів Microsoft рекомендує обновити IIS до версії 6.0. Цей програмний комплекс поставляється тільки в комплекті з серверною операційною системою Windows Server 2003.

По матеріалам http://www.securitylab.ru.

Численні доповнення до браузера Firefox можуть стати новим вектором для хакерських атак, оскільки містять власні системи автоматичного оновлення, стверджує кандидат наук університету Індіани Кріс Согойан.

На відміну від шифрованого завантаження оновлень через хостінг на серверах Firefox по протоколу SSL модулі, що самостійно обновляються, завантажуються по нешифрованих каналах. А це означає, що хакери можуть перехопити трафік, наприклад Wi-Fi, і підставити замість оновлення шкідливий код.

Дослідник стверджує, що уразливі навіть самі популярні доповнення: Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar та інші.

Google Toolbar у цьому списку є самим потенційно небезпечним: він завантажує власні оновлення без оповіщення користувача.

За словами Дена Ведіца, члена команди безпеки Mozilla, компанія вже включила в документацію для розробників пораду обновляти свої продукти через захищене з’єднання. Ведіц сказав, що Mozilla стурбована питанням безпеки браузера і має намір у новій версії, Firefox 3, блокувати всі незахищені оновлення в доповненнях. Браузер повинний вийти наприкінці року.

По матеріалам http://www.securitylab.ru.

Істотна частина інцидентів, пов’язаних з нанесенням збитку ІТ-структурам компаній, має відношення до діючих чи колишніх співробітників цих компаній. Мова йде про людей, що мають схильність до запізнень, прогулів, сварок з колегами і просто поганому виконанню посадових обов’язків. Такі результати дослідження, що проводилося протягом 5 років фахівцями Секретної служби США і координаційного центра з питань комп’ютерної безопаности CERT при університеті Карнегі-Меллона.

80 відсотків організаторів так званих внутрішніх атак - люди, з якими недобре обійшлися роботодавці. Усього в дослідження включені 49 фактів дестабілізації ІТ-інфраструктури: від закладання логічних бомб до фінансових афер. Суми збитку при цьому варіювалися від 500 доларів до десятків мільйонів.

За даними фахівців CERT, 92% внутрішніх атак пішли за негативним моментом, пов’язаним з відносинами в колективі: сваркою, зниженням у посаді чи звільненням. При цьому в 59% випадків уже звільнені співробітники одержували доступ до систем колишніх роботодавців через старі паролі чи, використовуючи розширені адміністративні права, починали атаки ще до звільнення.

86% організаторів атак займали позиції технічних фахівців. 90% даних фахівців мали права адміністраторів ІТ-систем. Як превентивні міри проти подібних атак автори дослідження рекомендували ретельно видаляти облікові записи колишніх працівників, перевіряти статус облікових записів. І вчасно виявляти незадоволених співробітників.

По матеріалам http://www.securitylab.ru.

Виявлена можливість DoS проти сервера баз даних MySQL.

Уразливі версії: MySQL 5.0.

Ділення на нуль і посилання по нульовому вказівнику при обробці умови IF.

• Denial of Service in MySQL 5.x (деталі)

Додатки для захисту комп’ютерів і мереж цього року стоять на першому місці по важливості для ІТ-професіоналів, стверджує індустріальна асоціація комп’ютерних технологій (CompTIA) на основі онлайнового опитування 1100 фахівців. У 2006 році захист займав друге місце.

На думку президента і виконавчого директора компанії Джона Венатора, це невипадково, оскільки ІБ впливає на всі процеси, що відбуваються в компанії.

Безпеку поставили на перше місце 24,3% опитаних. 13,1% вважають, що саме головне - додатки бездротового обміну даними. На третьому місці стоїть IP-телефонія, конвергентні рішення й уніфіковані системи обміну повідомленнями. Торік вони стояли на чолі списку. Далі йдуть рішення з відкритим кодом, віртуалізація, Web 2.0, RFID, контроль доступу до мережі, бізнес-аналіз (BI) та системи збереження даних.

По матеріалам http://www.securitylab.ru.

Нещодавно, з 22 по 23 травня, призупинив свою роботу сервіс Google Analytics: сайт не надавав своїм користувачам інформацію, а після поновлення роботи навіть попросив повторити реєстрацію.

Безкоштовний корпоративний сервіс веб-метрики Google Analytics не працював майже протягом цілої доби, дуже стурбувавши своїх клієнтів. Коли робота сайта відновилася, здивовані користувачі знайшли сторінку з написом: “Ви усього в декількох кроках від того, щоб повернути свій аккаунт на Google Analytics”. Після поновлення реєстрації багато хто з полегшенням знайшли, що їхня інформація на сервері не втрачена і не ушкоджена.

На цьому інцидент був вичерпаний, але неприємні спогади залишилися. Крім того, по Мережі поповзли чутки: деякі фахівці вважають, що сервіс був взломаний.

По матеріалам http://www.securitylab.ru.

P.S.

Гуглу треба покращувати безпеку своїх сервісів і готуватися до участі в Місяці багів в Пошукових Системах. Де також буде йтися про безпеку пошукових сервісів Гугла.

Microsoft продовжує “славну традицію” випуску “патчів для патчів” після практично кожного виходу щомісячного пакета оновлень. Цього разу проблема торкнулася одного з травневих оновлень для Internet Explorer 7.

Після його встановлення під час роботи в браузері може з’явитися діалог “Save File” служби безпеки, якщо папка збереження тимчасових файлів “Temporary Internet Files” переміщена в обрану вами директорію. Далі можливі різні додаткові умови. Якщо ви користуєтеся Vista, антифішинговий фільтр відключений, але включений модуль Protected Mode (заборона на зміну настроювань браузера без відому користувача), то після закриття вікна діалогу, що з’явився, ви більше не зможете запустити IE до наступного завантаження системи. Ті ж незручності вам доведеться випробувати, якщо в Windows XP Service Pack 2 папка “Temporary Internet Files” у місці первісного розташування видалена, а для доступу до нової в IE немає відповідних прав доступу.

Як тимчасові міри Microsoft пропонує скасувати встановлення бюлетеня MS07-027, а також використовувати “Temporary Internet Files” у директорії, де він знаходиться по замовчуванню. Розробка патча, що усуває виниклу проблему, вже ведеться.

По матеріалам http://www.secblog.info.