Websecurity - Веб безпека

Виявлена можливість витоку інформації в багатьох браузерах (information leaks).

Уразливі продукти: Microsoft Internet Explorer, Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Firefox 1.5, Firefox 2.0, Opera 9.10.

Сервер може визначити сторінки, відвідані користувачем шляхом використання, наприклад, різних фонових малюнків для відвіданих (visited) та інших елементів.

• Stealing Browser History Without Using JavaScript (деталі)

Дану методику виявлення відвіданих сторінок розробив RSnake - відомий західний діяч в сфері веб безпеки. Про роботи (та дослідження) якого я регулярно згадую в себе на сайті. Стосовно згаданої методики викрадення історії браузера без використання JavaScript я ще розповім додатково (там є багато цікавих деталей).

У Всесвітній мережі з’явився експлоіт для діри в браузері Internet Explorer, що дозволяє виконати довільні деструктивні операції на комп’ютері жертви.

Шкідливий код, опублікований на сайті Milw0rm.com, використовує діру в IE, виявлену ще влітку минулого року. Уразливість була виявлена експертом з питань мережевої безпеки HD Moore у липні, і тоді ж з’явився приклад коду, за допомогою якого можна спровокувати аварійне завершення роботи браузера.

Через півроку після виявлення уразливості корпорація Microsoft, нарешті, випустила для неї заплатку. Однак, у компанії Websense відзначають, що в зв’язку з появою нового експлоіта імовірність проведення зловмисниками атак через діру може сильно зрости.

Опублікований шкідливий код дозволяє здійснити напад на комп’ютери, власники яких використовують браузер Internet Explorer шостої версії. Для користувачів Internet Explorer 7 експлоіт небезпеки не представляє. Однак, на думку фахівців компанії eEye Digital Security, що займається питаннями комп’ютерної безпеки, поява універсального експлоіта - це лише справа часу. Тому користувачам настійно рекомендується встановити патчі, випущені корпорацією Microsoft.

По матеріалам http://www.secblog.info.

P.S.

Зазначений експлоіт та безліч інших експлоітів для IE ще будуть опубліковані на моєму сайті.

Інститут дослідження проблем програмної безпеки - SANS Software Security Institute, професіонали ІТ-безпеки, софтверні компанії та некомерційні групи представили систему сертифікації програмістів на надійність створюваного ними коду. Програмісти, що здали кваліфікаційні іспити, одержать статус GIAC Secure Software Programmer.

SANS розробив чотири екзамени з різних областей програмування: C/C++, Java/J2EE, Perl/PHP і .NET/ASP. Програміст повинний уміти визначати і виправляти помилки в коді, що ведуть до уразливостей в безпеці. Перший, пілотний іспит пройде в серпні у Вашингтоні, після чого система буде розширена у світовому масштабі.

Більшість уразливостей, від яких страждають програмні продукти, можна легко знайти й усунути на етапі створення вихідного коду. Однак для цього розробник повинний розуміти, який код являє потенційну загрозу безпеки, вважає редактор програми сертифікації MITRE Corp. Стив Крісті. До такого висновку він прийшов після аналізу більш 7 тисяч уразливостей, виявлених у різних програмних продуктах у 2006 році. На жаль, більшість коледжів і університетів не приділяють увагу питанню безпечного програмування, констатує Крісті. “Необхідний переворот такого стану справ. Іспити на безпечне програмування допоможуть кожному… сказати “досить” і встановити мінімальні вимоги до розробників”.

По матеріалам http://www.secblog.info.

P.S.

Цікава ідея , подивимося на її реалізацію. Питаннями безпечного програмування потрібно займатися.

Позавчора, 03.04.2007, вийшли нові версії WordPress: 2.1.3 та 2.0.10 (відповідно для гілок WP 2.1.x та 2.0.x).

Дані версії є секюріті оновленнями для обох гілок 2.1 та 2.0 WordPress. І вони дуже рекомендовані для всіх користувачів Вордпреса.

В цих релізах виправлені деякі вже відомі XSS уразливості та одна XML-RPC дірка. А також проведена серйозна профілактична чистка коду движка для захисту від майбутніх проблем.

Виявлена можливість вичерпання ресурсів через mod_perl в Apache (resource exhaustion). Уразливі версії: mod_perl 1.30, mod_perl 2.0.

Змінна PATH_INFO використовується для складання регулярних виразів без коментування спеціальних символів.

• Vulnerability in Apache mod_perl 1.30 and in mod_perl 2.x (деталі)

Корпорація Microsoft опублікувала повідомлення про виявлення небезпечної діри в програмних платформах Windows.

Як повідомляється, проблема пов’язана з особливостями обробки операційними системами Microsoft файлів анімованих курсорів (.ani). Експлуатуючи діру, зловмисник теоретично може одержати несанкціонований доступ до віддаленого комп’ютера і виконати на ньому довільні операції. Для організації атаки необхідно заманити користувача на створену спеціальним чином веб-сторінку. При перегляді такої сторінки через браузер Internet Explorer на ПК буде автоматично виконаний шкідливий програмний код. Крім того, задіяти уразливість можна через електронний лист.

Діра актуальна для всіх програмних платформ Windows, у тому числі Windows Vista, яка нещодавно надійшла у широкий продаж. Фахівці корпорації Microsoft у даний час займаються розробкою заплатки. Користувачам Windows рекомендується утриматися від відвідування сумнівних сайтів і перегляду електронних листів, отриманих з невідомих адрес.

По матеріалам http://www.secblog.info.

P.S.

З даною уразливістю я вже детально ознайомився і з часом опублікую експлоіти для неї.

Виявлене цілочислене переповнення в Mozilla Firefox (integer overflow). Уразливі версії: Firefox 2.0.

Переповнення відбувається при великих розмірах зображення GIF.

• Re: [Full-disclosure] firefox 2.0.0.2 crash (деталі)
• [Full-disclosure] firefox 2.0.0.2 crash (деталі)

Не секрет, що 2006 рік запам’ятався не тільки новими програмами, технологіями і голосними анонсами. Безпека - люди, що намагаються її забезпечити і ті, хто намагаються її зламати, безумовно стали одними з головних діючих осіб ІТ-індустрії в минулому році. Представляємо вашій увазі п’ятірку особистостей за версією порталу eWeek, чия діяльність весь рік не давала спокою дослідникам безпеки, щораз розвіюючи надію про появу абсолютно захищеного коду.

H.D. Moore - свого роду культовий персонаж у хакерському середовищі. Як дослідник і автор шкідливих модулів написав відомий хакерський open-source додаток Metasploit Framework. У 2006 році обновив програму, наділив її новими можливостями, зокрема автоматизував використання для атак скриптів.

Результати досліджень H.D. Moore були включені у відомий публічний проект “Month of Browser Bugs”, у ході якого розкрилися серйозні уразливості ядра в багатьох популярних програмах, включаючи драйвери Wi-Fi, браузери і пошукову систему Google. Хакери захоплюються його принципами роботи, зате продавці ПО засуджують за публічне розкриття виявлених помилок.

На конференції Black Hat у Лас-Вегасі хакер Джон “Джоні Кеш” Елч (Jon “Johnny Cache” Ellch) об’єднався з дослідником SecureWorks Девідом Мейнором (David Maynor), щоб попередити користувачів відносно уразливостей при використанні бездротових пристроїв. У результаті були розкриті численні помилки в продуктах Mac, що Apple дотепер не “розгребла”. Дослідники безпеки по достоїнству оцінили пророблену роботу. Одна з помилок, розкрита Елчем і Мейнором, стала відправною крапкою проекту “Month of Kernel Bugs”. При співробітництві двох хакерів також були розкриті програмні помилки в продуктах компаній Broadcom, D-Link і Toshiba.

Використання Sony BMG технології із серії DRM для захисту музичних дисків привело до практично легального поширення шкідливих програм класу “rootkit”. Виявлення цього прикрого факту належить Маркові Расиновичу (Mark Russinovich), за допомогою якого відбулося розкриття випадкової (чи навмисної) помилки Sony. Завдяки діяльності Расиновича в 2006 році вдалося привернути увагу виробників антивірусного ПО до поширення rootkits.

Замикає п’ятірку фахівців польський дослідник Джоана Ратковська (Rutkowska), що у 2006 році використовувала Black Hat для демонстрації rootkits і malware. Нею був представлений механізм “Blue Pill” - rookit, що “на 100% неможливо знайти” навіть засобами захисту Windows Vista x64.

Також у 2006 році Рутковська визначила “слабкості”, властиві антивірусам, попередила про неготовність операційних систем до технології “залізної” віртуалізації та підтвердила побоювання про malware як про найбільшу загрозу безпеки систем.

По матеріалам http://www.securitylab.ru.

P.S.

В даному рейтингу представлені фахівці з інформаційної безпеки в цілому. І окрім H.D. Moore до галузі веб безпеки діяльність наведених спеціалістів відношення не має. Тому варто було б зробити окремий рейтинг фахівців з веб безпеки (як за 2006 рік, так і продовжити цей рейтинг в майбутньому).

Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.

• Русская версия Invision Power Board v2.2.2 (деталі)

Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.

Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.

У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.

Компанія Symantec сьогодні випустила комплексний звіт про безпеку, що складається аналітиками компанії кожні півроку. Головний висновок, що міститься в документі, полягає в тому, що в США як і раніше створюється більше всього шкідливих програм, крім того, саме на території США нараховується більше всього хакерських угруповань, що роблять атак більше, ніж будь-яка інша країна у світі.

Також у Symantec відзначають, що між хакерськими угрупованнями існує досить тверда конкуренція на підпільному ринку взломів і торгівлі краденою інформацією. Саме завдяки даній конкуренції, за словами експертів, купити сьогодні чиїсь крадені дані можна дешевше і простіше, ніж ще півроку тому.

У звіті Internet Security Threat Report Symantec приводить ряд прикладів. Наприклад на початку поточного року фахівці компанії змогли придбати крадені номери пластикових банківських карт за ціною 1 долар за кожен номер, також на чорному ринку в США присутні і різні банківські бази даних. Однак на відміну від Росії, де така інформація коштує від 70 до 1000 доларів за CD, у США середня вартість диска з краденими банківськими даними коштує всего 14 доларів, стверджують у Symantec.

Відзначається, що близько 30% від загальної кількості комп’ютерних атак у другій половині 2006 року відбувалося саме за рахунок американських зловмисників. По кількості генеруємого зловмисного коду США також попереду планети всієї - так за звітний період у США була створена кожна третя шпигунська програма і написаний кожен третій вірус чи троян. На другому місці йде Китай з 10%, третє місце за Німеччиною - 7%.

Окрім цього, лідирують США і по кількості бот-мереж, що складаються з інфікованих комп’ютерів за допомогою яких хакери розсилають спам і роблять атаки. У переважній більшості випадків власники комп’ютера не підозрюють про те, що машина інфікована і витрачає процесорний час і трафік в інтересах хакерів.

Примітно, що кількість персональних комп’ютерів, втягнених у хакерські бот-мережі, у другій половині 2006 року збільшилося на 29% до 6 млн штук, а от кількість серверів, що керують даним ПК знизилося на 25% - до 4700 штук, що говорить про консолідацію бот-мереж у руках меншої кількості зловмисників. Більше всього бот-мереж розташовано на території Китаю - 26%.

Symantec також відзначає і ріст спама в другій половині 2006 року на 59%, що, як говорять фахівці, досить багато, якщо врахувати ріст спама на 5% в першому півріччі 2006 року. Більше всього спама було пов’язано з грою на біржі та різними фінансовими махінаціями.

Також США лідирують і по кількості інсайдерів. У компанії відзначають, що як мінімум половина американських компаній так чи інакше мали справу з інсайдерами. У Symantec говорять, що в середньому кожен другий ПК у компанії використовується співробітниками частково не по призначенню.

Вперше в Symantec вивчили й активність мережевих шахраїв (фішерів), котрі створюють сайти, що імітують сайти великих магазинів чи банків з метою крадіжок персональних даних відвідувачів. За словами Альфреда Хьюгера, віце-президента підрозділу Symantec Security Response, фішинг став найвищою мірою організованим, високорозвиненим і без яких-небудь моральних бар’єрів. Ріст кількості сайтів-підробок склав 65% у порівнянні з першим півріччям 2006 року. Що стосується інтернет-браузерів, те самим “привабливим” для хакерів залишається Internet Exploer - 77% атак і уразливостей так чи інакше пов’язані з ним.

По матеріалам http://itua.info.