Websecurity - Веб безпека

Відповідно до повідомлення, заснованому на дослідженнях команди ISS XForce, у 2006 році було виявлено і проаналізовано 7247 нових уразливостей, що складає більш 20 уразливостей у день. Кількість уразливостей за 2006 рік збільшилося більш ніж на 40%, у порівнянні з 2005 роком. Більш 88% уразливостей, виявлених у 2006 році, можуть експлуатуватися віддаленно і більш 50% дозволяють нападнику одержати доступ до системи в результаті успішної експлуатації.

У 2007 році, як очікується, збільшиться напад на веб браузери, що є результатом створеної індустрії по розробці експлоітів. Продаж експлоітів стає усе більш організованим й усе більш нагадує форму продажів, використовувану законними компаніями. Зловмисники купують код експлоіта в підпільних хакерів, а потім продають його злочинним угрупованням, що розсилають спам повідомлення. У результаті організована розробка і продаж зашифрованих експлоітів приведе до низької ефективності сигнатурних систем захисту в новому році.

Також X-Force звертає увагу на наступні статистичні дані:

• За минулий рік частка спам повідомлень виросла на 100% у порівнянні з 2005 роком.
• Найчастіше джерелом спама стають комп’ютери США, Іспанії і Франції.
• C кожним роком підвищується частка спам повідомлень, написаних на мовах, відмінних від англійської.
• Сама популярна тема повідомлення в спам розсиланнях у 2006 році була “Re: hi.”.
• Південна Корея найчастіше є джерелом фішингових email повідомлень.
• Найбільш популярною категорією зловмисних програм у 2006 році були даунлоадери, на частку яких приходиться 22% усіх зловмисних програм.
• Найбільш популярний експлоіт, що використовується в мережі Інтернет для зараження веб браузерів, експлуатував уразливість MS04-013, виявлену ще в 2004 році.

По матеріалам http://www.securitylab.ru.

P.S.

Свій прогноз на цей рік я зробив у записі Розвиток веб безпеки в 2007 році.

Виявлена уразливісь, що дозволяє виконати код через Adobe Macromedia Flash Player (code execution).

Можливе виконання коду на *nix-платформах (Linux, Solaris та FreeBSD).

• Vulnerability in the Adobe Macromedia Flash Player 7.x and 9.x plug-in on Opera (деталі)

Розробник додатків для захисту від вірусів і вторгнень - компанія “F-Secure” запропонувала міжнародній корпорації по розподілу доменних імен (ICANN) створити домен “.safe”, призначений спеціально для фінансовий установ. На думку компанії, це дозволить відгородити користувачів від шахраїв, що створюють підробні веб сайти відомих банків та фінансових компаній. Таким чином, кібер-злочинці шляхом обману довідаються в користувачів паролі й одержують доступ до їх банківських рахунків.

Як повідомляє прес-центр “F-Secure”, створювати сайти в “фінансовому” домені зможуть тільки перевірені фінустанови. Таким чином, користувачі зможуть бути впевнені, що заходять на ресурс реального банку, і безпечно здійснювати фінансові операції через Інтернет.

Представники компанії відзначають, що в окремій доменній зоні провайдерам і компаніям, що займаються інформаційною безпекою, буде простіше побудувати надійні захисні механізми.

Раніше фахівці компанії “Panda Software” повідомляли, що на сьогоднішній день практично не існує банка, що пропонує онлайн-послуги, що не був би уразливий для атак т.зв. банківських троянів. Віруси цього виду склали 20% усіх троянів, що були виявлені компанією в 2006 році.

Банківські трояни використовуються для перехоплення доступу до банківських сайтів і крадіжки інформації, що вводиться на цих сторінках. Зокрема, це номера рахунків, кредитних карт, пін-коди і паролі. Після цього трояни відправляють отриману інформацію своєму творцю, що може використовувати її для здійснення усіх видів злочинів - від крадіжки грошей до “підміни особистості”.

По матеріалам http://news.liga.net.

Виявлена можливість підміни вмісту сторінки в Microsoft Internet Explorer (page content spoofing). Про що я вже писав в новині В Internet Explorer 7 виявлена уразливість.

Уразливі версії: Microsoft Internet Explorer 7.0 на Windows XP, Windows 2003 Server та Windows Vista.

Міжсайтовий скриптінг у ресурсі res://ieframe.dll/navcancl.htm #http://www.site.com дозволяє вставити текст у сторінку.

• Cross-site scripting (XSS) vulnerability in Microsoft Internet Explorer 7.0 (деталі)
• Phishing using IE7 local resource vulnerability (деталі)

Відповідно до опитування європейської дослідницької компанії Experian, кількість випадків крадіжок персональних даних у 2006 році зросла на 67% у порівнянні з 2005 роком. Основним джерелом крадіжок, як неважко здогадатися, опитані назвали Інтернет.

Experian говорить, що з 2124 жертв, що так чи інакше постраждали від рук інтернет-злочинців, більше половини відзначили, що характер роботи шахраїв став більш організованим, багато хто позбавлялися даних, потім виявляли їх у продажі на ряді хакерських ресурсів.

У компанії говорять, що за минулий рік викрадачі даних остаточно сформувалися в ринок зі своїми законами і правилами, створивши, так звані анти-соціальні мережі.

Найчастіше зловмисники вступали в контакт із потенційними жертвами за допомогою електронної пошти (більш 60% випадків). Найбільші фінансові втрати користувачі несли у випадку крадіжок номерів кредитних карт і номерів банківських рахунків.

У середньому по Європі збиток від крадіжок банківських карт виріс на 28% у порівнянні з 2005 роком. Власники карт, що стали жертвами хакерів, у середньому торік позбавлялися порядку 3000 доларів, у той же час середній банк втратив від дій зловмисників майже по 10000 доларів.

По матеріалам http://itua.info.

Можливий обхід фільтрації в Microsoft ASP.NET (protection bypass). Уразливі версії: ASP.NET 2.0.

Існують численні способи обійти фільтрацію з метою використання міжсайтового скриптінга (Cross-Site Scripting).

• Microsoft .NET request filtering bypass vulnerability (деталі)

Пошуковий інструментарій Google активно використовується хакерами для пошуку конфіденційної інформації в Мережі. Досить лише знати, як це робити, - стверджує керуючий директор консалтингової компанії ІТ-безпеки Security Constructs LLC зі штату Пенсільванія Том Боуерс.

Мова йде не про уразливість у пошуковій системі, а про недбалість ІТ-персоналу компаній, що дозволяє “павучкам” пошуковця пробиратися занадто далеко. Боуерс - не перший, хто попереджає про це. Дослідник уразливостей Джонні Лонг на своєму сайті навіть опублікував “Базу даних по хакінгу Google”. Але багато компаній не мають уяви про цю проблему, стверджує Боуерс. Серед хакерів навіть існує термін Google Hack - хакерство за допомогою Google, коли уразливі місця сайтів відшукуються через пошукову систему. Утім, це стосується не тільки Google.

Боуерс радить ІТ-службовцям перевіряти, чи не видна закрита інформація з їх сайта на пошуковій системі, перевіряти документи на наявність прихованих посилань, що система може побачити і проіндексувати. І у випадку виявлення заповнювати спеціальну онлайнову форму на сайті Google із проханням забрати ті чи інші сторінки з індексної бази.

По матеріалам http://www.secblog.info.

P.S.

Про гугл-хакінг, я ще з часом розповім більш детально. Ще з минулого року планую розповісти про різноманітні випадки використання Гугла - бо існує чимало ситуацій, коли Гугл (чи іншу пошукову систему) можна використати для пошуку уразливостей.

Виявлені численні уразливості suexec в Apache (multiple vulnerabilities). Уразливі версії: Apache 2.0, Apache 2.1, Apache 2.2.

Короткочасні умови при роботі із символьними лінками, можливість доступу до схожих каталогів, підвищення привілеїв через відсутність перевірки GID/UID користувача.

• Apache HTTPD suEXEC Multiple Vulnerabilities (деталі)

Виявлений міжсайтовий скриптінг через HREFTrack в Apple QuickTime (Сross-Site Scripting та зокрема його різновид Cross-Zone Scripting). Уразливі версії: Apple QuickTime 7.1.

Скрипт може звертатися до локальних ресурсів. Уразливість використовується для поширення шкідливого коду.

• Cross-zone scripting vulnerability in Apple Quicktime 3 to 7.1.3 (деталі)
• MOAB-03-01-2007: Apple Quicktime HREFTrack Cross-Zone Scripting vulnerability (деталі)

Також розроблені експлоіти для даної уразливості:

• Exploit for Apple Quicktime HREFTrack Cross-Zone Scripting vulnerability (деталі)
• Apple Quicktime <= 7.1.3 (HREFTrack) Cross-Zone Scripting Exploit (деталі)

Виявлена можливість ін’єкції FTP-команд у PHP (FTP commands injection). Уразливі версії: PHP 4.4, PHP 5.2.

Неперевіряється наявність переведення рядка в імені файлу, що дозволяє включити FTP-команди.

• CRLF injection in PHP ftp function (деталі)