Websecurity - Веб безпека

Десять днів тому, 16.05.2007, вийшла нова версія WordPress 2.2 - перша версія нової гілки WP 2.2.x.

В цій версії додано безліч нових функцій (зокрема інтеграція Віджетів) та більше двох сотень виправлень багів.

Нові фішки:

• WordPress Widgets для налаштування вашого блогу (з можливістю drag-and-drop).
• Повна підтримка Atom.
• Новий імпортер Blogger.
• Нескінченний потік коментів (з використанням AJAX).
• Захист від активації плагінів чи редагування файлів, що можуть пошкодити блог.
• Оптимізована швидкість основних плагінів та фільтрів.
• Хук для підтрики WYSIWYG для наступних версій Safari.
• Та безліч інших покращень.

Нові можливості для розробників:

• Нові Вордпресовські XML-RPC APIs.
• Використання jQuery для внутрішніх функцій.
• Фіди коментарів підтримують нові формати, в тому числі Atom.
• Функція роботи з емайлом тепер використовує phpMailer (котрий підтримує SMTP).
• Налаштування collation та character set для БД у файлі конфігурації.
• Також у файлі конфігурації можна задати налаштування адреси вашого сайта та WP.
• Збільшена контекстна документація багатьох функцій движка.

Виявлена можливість впровадження запиту через аутентифікацію Digest у багатьох браузерах (digest authentication request splitting).

Уразливі продукти: Internet Explorer 7 під Windows XP, Windows 2003 Server, Windows Vista та Firefox 2.0.

Можливе впровадження символу переведення рядка в заголовок запиту через ім’я користувача.

• IE 7 and Firefox Browsers Digest Authentication Request Splitting (деталі)

Кількість кібератак на зразок нападів на інтернет-інфраструктуру Естонії, приписуваних російським хакерам, продовжує зростати, однак уряди по всьому світі не можуть забезпечити належного захисту, заявив заступник Держсекретаря США Джон Негропонте.

За його словами, у майбутньому кількість атак буде зростати, і з цим необхідно щось робити. Думку представника американської влади підтримує ряд експертів. “Я згодний, що кібератаки стануть ще більшою проблемою”, - вважає професор Джонатан Циттрейн, експерт по регулюванню Інтернету Оксфордського інституту Інтернету при Оксфордському університеті.

Політичні розбіжності між Росією й Естонією - не перший випадок, коли хакери виражають свою думку шляхом атак на сайти. Суперечка між Японією і Китаєм із приводу японських підручників історії викликала хвилю нападів на урядові та комерційні веб-ресурси з обох сторін. На середньому сході, тим часом, йде “кіберджихад” між Ізраїлем і Палестиною.

За словами доктора Маури Конвей, лектора університету Дубліна в Ірландії, фахівця з тероризму в Інтернеті, атаки, що проводяться під патронажем держави, як правило, більш акуратні й анонімні, ніж атаки одинаків, що ускладнює процес боротьби з ними. Найбільшою жертвою в Інтернеті є США - як країна, політикою якої незадоволені чимало країн. Уряд повинний ужити заходів по зміцненню інфраструктури, вважає Маура Конвей, але зараз він “дуже важкий на підйом” у цьому питанні.

По матеріалам http://www.securitylab.ru.

Повідомляю вам (хоча й з затримкою) про подію, яка відбулася на минулому тижні, 17 травня. Дана подія стосується кожного користувача Інтернет, в тому числі кожного машканця Уанету.

Цього року темою проведення Всесвітнього дня електрозв’язку й інформаційного суспільства стало освоєння інформаційних і комунікаційних технологій молоддю, вільний і широкий доступ до інформаційних технологій дітей із країн, що розвиваються, і країн з перехідною економікою.

Глава ООН призвав політичних діячів і лідерів промисловості сприяти доступу молодого покоління до інформаційно-комунікаційних технологій, і, таким чином, створити відкрите й орієнтоване на розвиток інформаційне суспільство.

Генеральний секретар ООН призвав міжнародне співтовариство проводити далекоглядну державну політику, сприяти інноваційним формам бізнесу і шукати творчі технологічні рішення, що будуть розширювати права молодих людей і забезпечувати їхню участь у глобальних зусиллях, спрямованих на реалізацію Цілей розвитку, поставлених у Декларації тисячоріччя.

Всесвітній день інформаційного суспільства був оголошений Генеральною Асамблеєю ООН у березні 2006 року. Раніш у цей день відзначався Всесвітній день електрозв’язку, присвячений створенню 17 травня в 1865 р. Міжнародного телеграфного союзу, перейменованого в 1934 р. у Всесвітній союз електрозв’язку.

По матеріалам http://www.securitylab.ru.

Чеській поліції вдалося розкрити частину злочинної групи, що через Інтернет перевела з рахунків трьох клієнтів Комерційного банку більш півтора мільйона крон.

Організаторами злочину були, за даними поліції, українські громадяни, яким допомагали три чехи - підставні особи.

За словами Милослава Коцаба з відділу економічної злочинності празької поліції, злочинці в такий же спосіб знімали гроші й у банківських установах в інших країнах світу, наприклад, у Німеччині і США.

Чеські помічники, чиї особистості встановлені, були найняті по Інтернету й інструкції одержували по телефону. Вони стверджують, що не знали, що були спільниками шахраїв.

По матеріалам http://www.securitylab.ru.

Поява більшого числа сайтів на технології Web 2.0, написаних з використанням Ajax, в основі якого лежить мова сценаріїв JavaScript, становить нову загрозу для комп’ютерної безпеки, стверджує головний вчений і засновник компанії захисту інформації Fortify Software Брайан Чесс.

Зокрема, використання Ajax робить більш уразливими корпоративні додатки.

“Дуже складно помітити різницю між діями Ajax і атакою JavaScript, - сказав Чесс. - Потенційно він (Ajax) являє собою міст між зовнішніми інтернет-додатками і внутрішніми інтранет-додатками, що знаходяться під брандмауером”.

На цьому тижні Fortify представила нову версію свого продукту Secure Coding Rulepacks, призначеного для аналізу уразливостей коду на JavaScript.

По матеріалам http://www.secblog.info.

За станом на 1 січня 2007 року на обліку в МВС Білорусії знаходилися 1300 кіберзлочинців - хакерів, кардерів, інтернет-шахраїв. Про це повідомив начальник управління по розкриттю злочинів у сфері високих технологій МВС Білорусії Ігор Черненко. За його словами, 97% злочинів у сфері комп’ютерної інформації зроблено дорослими людьми, причому більш третини з них зробили жінки.

Усього за минулий рік у Білорусії зроблено 847 злочинів з використанням комп’ютерної техніки, у тому числі 334 - проти інформаційної безпеки. У першому кварталі таких злочинів зафіксовано 257, з яких 196 - проти інформаційної безпеки.

Як відзначив І.Черненко, кіберзлочинність у Білорусії перетерпіла за останні роки значні зміни. Так, якщо з 1998 по 2001 роки в її структурі переважали факти розкрадань із закордонних інтернет-магазинів по викрадених реквізитах кредитних карт, то зараз велике поширення одержали хакерські атаки на сайти державних і комерційних установ, впровадження в процес обміну електронними даними.

В усіх регіонах Білорусії також відзначені випадки розкрадання коштів по підроблених кредитних картах, несанкціонований доступ до комп’ютерної інформації та її модифікація, створення підробних сайтів банківських установ та інші злочини в сфері високих технологій, розробка і використання шкідливих програм.

Говорячи про збитки, що наносяться білоруськими киберзлочинцями, І.Черненко навів як приклад так звану “справу Павловича”. Цей громадянин за участю українських хакерів організував в Інтернеті злочинне співтовариство, що займалося розкраданням з банківських структур реквізитів кредитних карт, їхнім продажем і виготовленням підроблених кредитних карт. Збиток, нанесений діяльністю групи Павловича міжнародним платіжним системам, оцінюється в 15 млн. доларів США. В даний час він засуджений у Білорусії по статтях 212 (розкрадання майна за допомогою комп’ютерної техніки) і 222 (реалізація підроблених платіжних засобів).

По матеріалам http://www.securitylab.ru.

Кожна десята сторінка, перевірена інженерами Google, містила програми-віруси, що здатні заразити комп’ютери користувачів.

Програмісти інтернет-компанії досліджували мільярди сайтів. Близько 450 тисяч з них були здатні завантажити небезпечні програми, такі як шпигунські програми чи віруси, без відому користувача. Ще 700 тисяч сторінок, потенційно містили програми, здатні завдати шкоди комп’ютерам користувачів.

У Google вирішили зайнятися цією проблемою. Програмісти почали роботу з ідентифікації в мережі усіх веб-сторінок, що містять небезпечні програми.

По матеріалам http://obozrevatel.com.

P.S.

Вже деякий час, як можна спостерігати в Гуглі попередження в результатах пошуку, що звертають увагу на небезпечність деяких сайтів (по оцінці Гугла). Компанія вже давно працює в цьому напрямку, і результати її роботи стають доступними користувачам.

Нові версії PHP 5.2.2 і 4.4.7 тепер доступні для скачування. В обох версіях були виправлені численні баги, чимало з який були виявлені протягом Month of PHP Bugs.

В changelog версії 5.2.2 були перераховані 15 виправлених уразливостей, а версія 4.4.7 має 11 усунутих помилок. Хоча більшість з цих уразливостей можуть експлуатуватися тільки локально, вони являють собою серйозний ризик для користувачів Інтернет. Користувачам PHP рекомендується обновитися до нових версій якомога швидше й встановити відповідні пакети.

По матеріалам http://www.web-hack.ru.

19.02.2007

В FireFox виявлена проблема слабкого генератора випадкових чисел (weak PRNG). Уразливі версії: Firefox 1.5.

Слабкий генератор псевдо-випадкових чисел використовується для генерації імен тимчасових файлів у XMLHttpRequest, що дозволяє одержати доступ до вмісту локальних файлів.

• Firefox + popup blocker + XMLHttpRequest + srand() = oops (деталі)
• Vulnerability in nsExternalAppHandler::SetUpTempFile function in Mozilla Firefox 1.5.0.9 (деталі)
• Cross-zone vulnerability in Mozilla Firefox 1.5.0.9 (деталі)

11.05.2007

Виявлена можливість обходу обмежень безпеки в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 1.5.0.9, можливо більш ранні версії.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних в системі.

Використовуючи дані уразливості, зловмисник може зберегти на локальній системі спеціально сформований HTML файл і виконати його в браузері жертви в контексті безпеки локальної зони.

• Обход ограничений безопасности в Mozilla Firefox (деталі)