Websecurity - Веб безпека

Чеській поліції вдалося розкрити частину злочинної групи, що через Інтернет перевела з рахунків трьох клієнтів Комерційного банку більш півтора мільйона крон.

Організаторами злочину були, за даними поліції, українські громадяни, яким допомагали три чехи - підставні особи.

За словами Милослава Коцаба з відділу економічної злочинності празької поліції, злочинці в такий же спосіб знімали гроші й у банківських установах в інших країнах світу, наприклад, у Німеччині і США.

Чеські помічники, чиї особистості встановлені, були найняті по Інтернету й інструкції одержували по телефону. Вони стверджують, що не знали, що були спільниками шахраїв.

По матеріалам http://www.securitylab.ru.

Поява більшого числа сайтів на технології Web 2.0, написаних з використанням Ajax, в основі якого лежить мова сценаріїв JavaScript, становить нову загрозу для комп’ютерної безпеки, стверджує головний вчений і засновник компанії захисту інформації Fortify Software Брайан Чесс.

Зокрема, використання Ajax робить більш уразливими корпоративні додатки.

“Дуже складно помітити різницю між діями Ajax і атакою JavaScript, - сказав Чесс. - Потенційно він (Ajax) являє собою міст між зовнішніми інтернет-додатками і внутрішніми інтранет-додатками, що знаходяться під брандмауером”.

На цьому тижні Fortify представила нову версію свого продукту Secure Coding Rulepacks, призначеного для аналізу уразливостей коду на JavaScript.

По матеріалам http://www.secblog.info.

За станом на 1 січня 2007 року на обліку в МВС Білорусії знаходилися 1300 кіберзлочинців - хакерів, кардерів, інтернет-шахраїв. Про це повідомив начальник управління по розкриттю злочинів у сфері високих технологій МВС Білорусії Ігор Черненко. За його словами, 97% злочинів у сфері комп’ютерної інформації зроблено дорослими людьми, причому більш третини з них зробили жінки.

Усього за минулий рік у Білорусії зроблено 847 злочинів з використанням комп’ютерної техніки, у тому числі 334 - проти інформаційної безпеки. У першому кварталі таких злочинів зафіксовано 257, з яких 196 - проти інформаційної безпеки.

Як відзначив І.Черненко, кіберзлочинність у Білорусії перетерпіла за останні роки значні зміни. Так, якщо з 1998 по 2001 роки в її структурі переважали факти розкрадань із закордонних інтернет-магазинів по викрадених реквізитах кредитних карт, то зараз велике поширення одержали хакерські атаки на сайти державних і комерційних установ, впровадження в процес обміну електронними даними.

В усіх регіонах Білорусії також відзначені випадки розкрадання коштів по підроблених кредитних картах, несанкціонований доступ до комп’ютерної інформації та її модифікація, створення підробних сайтів банківських установ та інші злочини в сфері високих технологій, розробка і використання шкідливих програм.

Говорячи про збитки, що наносяться білоруськими киберзлочинцями, І.Черненко навів як приклад так звану “справу Павловича”. Цей громадянин за участю українських хакерів організував в Інтернеті злочинне співтовариство, що займалося розкраданням з банківських структур реквізитів кредитних карт, їхнім продажем і виготовленням підроблених кредитних карт. Збиток, нанесений діяльністю групи Павловича міжнародним платіжним системам, оцінюється в 15 млн. доларів США. В даний час він засуджений у Білорусії по статтях 212 (розкрадання майна за допомогою комп’ютерної техніки) і 222 (реалізація підроблених платіжних засобів).

По матеріалам http://www.securitylab.ru.

Кожна десята сторінка, перевірена інженерами Google, містила програми-віруси, що здатні заразити комп’ютери користувачів.

Програмісти інтернет-компанії досліджували мільярди сайтів. Близько 450 тисяч з них були здатні завантажити небезпечні програми, такі як шпигунські програми чи віруси, без відому користувача. Ще 700 тисяч сторінок, потенційно містили програми, здатні завдати шкоди комп’ютерам користувачів.

У Google вирішили зайнятися цією проблемою. Програмісти почали роботу з ідентифікації в мережі усіх веб-сторінок, що містять небезпечні програми.

По матеріалам http://obozrevatel.com.

P.S.

Вже деякий час, як можна спостерігати в Гуглі попередження в результатах пошуку, що звертають увагу на небезпечність деяких сайтів (по оцінці Гугла). Компанія вже давно працює в цьому напрямку, і результати її роботи стають доступними користувачам.

Нові версії PHP 5.2.2 і 4.4.7 тепер доступні для скачування. В обох версіях були виправлені численні баги, чимало з який були виявлені протягом Month of PHP Bugs.

В changelog версії 5.2.2 були перераховані 15 виправлених уразливостей, а версія 4.4.7 має 11 усунутих помилок. Хоча більшість з цих уразливостей можуть експлуатуватися тільки локально, вони являють собою серйозний ризик для користувачів Інтернет. Користувачам PHP рекомендується обновитися до нових версій якомога швидше й встановити відповідні пакети.

По матеріалам http://www.web-hack.ru.

19.02.2007

В FireFox виявлена проблема слабкого генератора випадкових чисел (weak PRNG). Уразливі версії: Firefox 1.5.

Слабкий генератор псевдо-випадкових чисел використовується для генерації імен тимчасових файлів у XMLHttpRequest, що дозволяє одержати доступ до вмісту локальних файлів.

• Firefox + popup blocker + XMLHttpRequest + srand() = oops (деталі)
• Vulnerability in nsExternalAppHandler::SetUpTempFile function in Mozilla Firefox 1.5.0.9 (деталі)
• Cross-zone vulnerability in Mozilla Firefox 1.5.0.9 (деталі)

11.05.2007

Виявлена можливість обходу обмежень безпеки в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 1.5.0.9, можливо більш ранні версії.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних в системі.

Використовуючи дані уразливості, зловмисник може зберегти на локальній системі спеціально сформований HTML файл і виконати його в браузері жертви в контексті безпеки локальної зони.

• Обход ограничений безопасности в Mozilla Firefox (деталі)

У журналі PC Magazine був опублікований список з десяти самих популярних паролів, що найбільш часто використовуються користувачами в Мережі. Якщо якимось чином ви використовуєте один з цих паролів, рекомендуємо їх негайно змінити.

Список самих популярних паролів на думку PC Magazine:

1. password;
2. 123456;
3. qwerty;
4. abc123;
5. letmein;
6. monkey;
7. myspace1
8. password1;
9. blink182;
10. (имя пользователя).

По матеріалам http://www.3dnews.ru.

Виявлений витік інформації в Python (information leak).

Уразливі версії: Python 2.4, Python 2.5.

Функція strxfrm дозволяє читати вміст пам’яті.

• Off-by-one error in the PyLocale_strxfrm function in Python 2.4 and 2.5 (деталі)

На триваючій у Лас-Вегасі (США) конференції Microsoft Mix07 представники софтверного гіганта розповіли про те, що буде представляти із себе майбутня версія броузера Internet Explorer 8.

Кріс Уілсон, програмний архітектор підрозділу IE відзначив, що якщо про майбутнє IE8 говорити двома словами, то це буде удосконалена версія IE7. Також він сказав, що 8 версія з’явиться восени 2008 року. “Основні пріоритети при розробці IE8 - це ще більша безпека, простота використання, а також утілення всіх новітніх технологій” - сказав Уілсон.

Окремо він відзначив, що Microsoft інвестує додаткові кошти в створення нових розширень системи каскадних таблиць стилів CSS 2.1. Крім того, IE8 буде підтримувати тісну інтеграцію з альтернативними броузерами.

На додаток до цього Уілсон примітив, що веб-разробки Ajax потребують поліпшеної підтримки з боку броузерів і клієнтських додатків у цілому. Взагалі, за його словами, IE8 буде максимально старанний до стандартів по обробці коду і рендерінга сторінок.

“Сьогодні ми працюємо над проблемою стандартизації в W3C технологій HTML 5 і XHTML 1.5″ - резюмував він.

По матеріалам http://www.secblog.info.

Виявлені можливості DoS атак проти Microsoft Internet Explorer через різні параметри ActiveX.

Уразливі продукти: Internet Explorer 6 та 7 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista та DivX Player 6.4.

Помилки виникають при звертанні по нульовому вказівнику.

• Vulnerability in ActiveX control in the Common Controls Replacement Project CCRP BrowseDialog Server (ccrpbds6.dll) (деталі)
• Vulnerability in multiple ActiveX controls (Internet Explorer crash) (деталі)
• Vulnerability in DivXBrowserPlugin (aka DivX Web Player) npdivx32.dll (деталі)
• Vulnerability in ActiveX control in the Common Controls Replacement Project CCRP BrowseDialog Server (ccrpbds6.dll) (деталі)
• Vulnerability in Common Controls Replacement Project (CCRP) FolderTreeview (FTV) ActiveX control (ccrpftv6.ocx) (деталі)