Websecurity - Веб безпека

Численні доповнення до браузера Firefox можуть стати новим вектором для хакерських атак, оскільки містять власні системи автоматичного оновлення, стверджує кандидат наук університету Індіани Кріс Согойан.

На відміну від шифрованого завантаження оновлень через хостінг на серверах Firefox по протоколу SSL модулі, що самостійно обновляються, завантажуються по нешифрованих каналах. А це означає, що хакери можуть перехопити трафік, наприклад Wi-Fi, і підставити замість оновлення шкідливий код.

Дослідник стверджує, що уразливі навіть самі популярні доповнення: Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar та інші.

Google Toolbar у цьому списку є самим потенційно небезпечним: він завантажує власні оновлення без оповіщення користувача.

За словами Дена Ведіца, члена команди безпеки Mozilla, компанія вже включила в документацію для розробників пораду обновляти свої продукти через захищене з’єднання. Ведіц сказав, що Mozilla стурбована питанням безпеки браузера і має намір у новій версії, Firefox 3, блокувати всі незахищені оновлення в доповненнях. Браузер повинний вийти наприкінці року.

По матеріалам http://www.securitylab.ru.

Істотна частина інцидентів, пов’язаних з нанесенням збитку ІТ-структурам компаній, має відношення до діючих чи колишніх співробітників цих компаній. Мова йде про людей, що мають схильність до запізнень, прогулів, сварок з колегами і просто поганому виконанню посадових обов’язків. Такі результати дослідження, що проводилося протягом 5 років фахівцями Секретної служби США і координаційного центра з питань комп’ютерної безопаности CERT при університеті Карнегі-Меллона.

80 відсотків організаторів так званих внутрішніх атак - люди, з якими недобре обійшлися роботодавці. Усього в дослідження включені 49 фактів дестабілізації ІТ-інфраструктури: від закладання логічних бомб до фінансових афер. Суми збитку при цьому варіювалися від 500 доларів до десятків мільйонів.

За даними фахівців CERT, 92% внутрішніх атак пішли за негативним моментом, пов’язаним з відносинами в колективі: сваркою, зниженням у посаді чи звільненням. При цьому в 59% випадків уже звільнені співробітники одержували доступ до систем колишніх роботодавців через старі паролі чи, використовуючи розширені адміністративні права, починали атаки ще до звільнення.

86% організаторів атак займали позиції технічних фахівців. 90% даних фахівців мали права адміністраторів ІТ-систем. Як превентивні міри проти подібних атак автори дослідження рекомендували ретельно видаляти облікові записи колишніх працівників, перевіряти статус облікових записів. І вчасно виявляти незадоволених співробітників.

По матеріалам http://www.securitylab.ru.

Виявлена можливість DoS проти сервера баз даних MySQL.

Уразливі версії: MySQL 5.0.

Ділення на нуль і посилання по нульовому вказівнику при обробці умови IF.

• Denial of Service in MySQL 5.x (деталі)

Додатки для захисту комп’ютерів і мереж цього року стоять на першому місці по важливості для ІТ-професіоналів, стверджує індустріальна асоціація комп’ютерних технологій (CompTIA) на основі онлайнового опитування 1100 фахівців. У 2006 році захист займав друге місце.

На думку президента і виконавчого директора компанії Джона Венатора, це невипадково, оскільки ІБ впливає на всі процеси, що відбуваються в компанії.

Безпеку поставили на перше місце 24,3% опитаних. 13,1% вважають, що саме головне - додатки бездротового обміну даними. На третьому місці стоїть IP-телефонія, конвергентні рішення й уніфіковані системи обміну повідомленнями. Торік вони стояли на чолі списку. Далі йдуть рішення з відкритим кодом, віртуалізація, Web 2.0, RFID, контроль доступу до мережі, бізнес-аналіз (BI) та системи збереження даних.

По матеріалам http://www.securitylab.ru.

Нещодавно, з 22 по 23 травня, призупинив свою роботу сервіс Google Analytics: сайт не надавав своїм користувачам інформацію, а після поновлення роботи навіть попросив повторити реєстрацію.

Безкоштовний корпоративний сервіс веб-метрики Google Analytics не працював майже протягом цілої доби, дуже стурбувавши своїх клієнтів. Коли робота сайта відновилася, здивовані користувачі знайшли сторінку з написом: “Ви усього в декількох кроках від того, щоб повернути свій аккаунт на Google Analytics”. Після поновлення реєстрації багато хто з полегшенням знайшли, що їхня інформація на сервері не втрачена і не ушкоджена.

На цьому інцидент був вичерпаний, але неприємні спогади залишилися. Крім того, по Мережі поповзли чутки: деякі фахівці вважають, що сервіс був взломаний.

По матеріалам http://www.securitylab.ru.

P.S.

Гуглу треба покращувати безпеку своїх сервісів і готуватися до участі в Місяці багів в Пошукових Системах. Де також буде йтися про безпеку пошукових сервісів Гугла.

Microsoft продовжує “славну традицію” випуску “патчів для патчів” після практично кожного виходу щомісячного пакета оновлень. Цього разу проблема торкнулася одного з травневих оновлень для Internet Explorer 7.

Після його встановлення під час роботи в браузері може з’явитися діалог “Save File” служби безпеки, якщо папка збереження тимчасових файлів “Temporary Internet Files” переміщена в обрану вами директорію. Далі можливі різні додаткові умови. Якщо ви користуєтеся Vista, антифішинговий фільтр відключений, але включений модуль Protected Mode (заборона на зміну настроювань браузера без відому користувача), то після закриття вікна діалогу, що з’явився, ви більше не зможете запустити IE до наступного завантаження системи. Ті ж незручності вам доведеться випробувати, якщо в Windows XP Service Pack 2 папка “Temporary Internet Files” у місці первісного розташування видалена, а для доступу до нової в IE немає відповідних прав доступу.

Як тимчасові міри Microsoft пропонує скасувати встановлення бюлетеня MS07-027, а також використовувати “Temporary Internet Files” у директорії, де він знаходиться по замовчуванню. Розробка патча, що усуває виниклу проблему, вже ведеться.

По матеріалам http://www.secblog.info.

Десять днів тому, 16.05.2007, вийшла нова версія WordPress 2.2 - перша версія нової гілки WP 2.2.x.

В цій версії додано безліч нових функцій (зокрема інтеграція Віджетів) та більше двох сотень виправлень багів.

Нові фішки:

• WordPress Widgets для налаштування вашого блогу (з можливістю drag-and-drop).
• Повна підтримка Atom.
• Новий імпортер Blogger.
• Нескінченний потік коментів (з використанням AJAX).
• Захист від активації плагінів чи редагування файлів, що можуть пошкодити блог.
• Оптимізована швидкість основних плагінів та фільтрів.
• Хук для підтрики WYSIWYG для наступних версій Safari.
• Та безліч інших покращень.

Нові можливості для розробників:

• Нові Вордпресовські XML-RPC APIs.
• Використання jQuery для внутрішніх функцій.
• Фіди коментарів підтримують нові формати, в тому числі Atom.
• Функція роботи з емайлом тепер використовує phpMailer (котрий підтримує SMTP).
• Налаштування collation та character set для БД у файлі конфігурації.
• Також у файлі конфігурації можна задати налаштування адреси вашого сайта та WP.
• Збільшена контекстна документація багатьох функцій движка.

Виявлена можливість впровадження запиту через аутентифікацію Digest у багатьох браузерах (digest authentication request splitting).

Уразливі продукти: Internet Explorer 7 під Windows XP, Windows 2003 Server, Windows Vista та Firefox 2.0.

Можливе впровадження символу переведення рядка в заголовок запиту через ім’я користувача.

• IE 7 and Firefox Browsers Digest Authentication Request Splitting (деталі)

Кількість кібератак на зразок нападів на інтернет-інфраструктуру Естонії, приписуваних російським хакерам, продовжує зростати, однак уряди по всьому світі не можуть забезпечити належного захисту, заявив заступник Держсекретаря США Джон Негропонте.

За його словами, у майбутньому кількість атак буде зростати, і з цим необхідно щось робити. Думку представника американської влади підтримує ряд експертів. “Я згодний, що кібератаки стануть ще більшою проблемою”, - вважає професор Джонатан Циттрейн, експерт по регулюванню Інтернету Оксфордського інституту Інтернету при Оксфордському університеті.

Політичні розбіжності між Росією й Естонією - не перший випадок, коли хакери виражають свою думку шляхом атак на сайти. Суперечка між Японією і Китаєм із приводу японських підручників історії викликала хвилю нападів на урядові та комерційні веб-ресурси з обох сторін. На середньому сході, тим часом, йде “кіберджихад” між Ізраїлем і Палестиною.

За словами доктора Маури Конвей, лектора університету Дубліна в Ірландії, фахівця з тероризму в Інтернеті, атаки, що проводяться під патронажем держави, як правило, більш акуратні й анонімні, ніж атаки одинаків, що ускладнює процес боротьби з ними. Найбільшою жертвою в Інтернеті є США - як країна, політикою якої незадоволені чимало країн. Уряд повинний ужити заходів по зміцненню інфраструктури, вважає Маура Конвей, але зараз він “дуже важкий на підйом” у цьому питанні.

По матеріалам http://www.securitylab.ru.

Повідомляю вам (хоча й з затримкою) про подію, яка відбулася на минулому тижні, 17 травня. Дана подія стосується кожного користувача Інтернет, в тому числі кожного машканця Уанету.

Цього року темою проведення Всесвітнього дня електрозв’язку й інформаційного суспільства стало освоєння інформаційних і комунікаційних технологій молоддю, вільний і широкий доступ до інформаційних технологій дітей із країн, що розвиваються, і країн з перехідною економікою.

Глава ООН призвав політичних діячів і лідерів промисловості сприяти доступу молодого покоління до інформаційно-комунікаційних технологій, і, таким чином, створити відкрите й орієнтоване на розвиток інформаційне суспільство.

Генеральний секретар ООН призвав міжнародне співтовариство проводити далекоглядну державну політику, сприяти інноваційним формам бізнесу і шукати творчі технологічні рішення, що будуть розширювати права молодих людей і забезпечувати їхню участь у глобальних зусиллях, спрямованих на реалізацію Цілей розвитку, поставлених у Декларації тисячоріччя.

Всесвітній день інформаційного суспільства був оголошений Генеральною Асамблеєю ООН у березні 2006 року. Раніш у цей день відзначався Всесвітній день електрозв’язку, присвячений створенню 17 травня в 1865 р. Міжнародного телеграфного союзу, перейменованого в 1934 р. у Всесвітній союз електрозв’язку.

По матеріалам http://www.securitylab.ru.