Websecurity - Веб безпека

Позавчора вийшли нові версії WordPress: 2.1.1 та 2.0.9 (відповідно для гілок WP 2.1.x та 2.0.x).

Версія 2.1.1 є заміною WordPress 2.1, першої версії з нової гілки WP. А версія 2.0.9 є заміною для WordPress 2.0.7 (версія 2.0.8 пропущена, так як цей реліз був помічений для Debian).

В версії 2.1.1 включено біля 30 виправлень уразливостей та багів. В версії 2.0.9 включені лише секюріті оновлення (пов’язані з кодом протидії XSS). Дана версія не буде більше поповнюватися новими функціями (розвиватися буде лише 2.1.x гілка та нові), але для гілки 2.0.x будуть виходити оновлення безпеки аж до 2010 року.

Ці релізи є низько-середньо пріоритетним оновленням і рекомендовані для всіх користувачів Вордпреса.

Свіжий патч виправляє уразливість, що дозволяла викрасти особисту інформацію і, можливо, захопити керування віддаленою системою. Проблема полягала в XSS-уразливості, що дозволяла перехопити запити до веб-інтерфейсу Google.

В останні версії Google Desktop доданий додатковий рівень перевірок, що страхує користувачів від подібних помилок у майбутньому.

По матеріалам http://bugtraq.ru.

Яндекс.Лєнта провела сеанс наочної демонстрації того, чим може обернутися передача яких-небудь паролів стороннім сервісам.

Як відомо, LiveJournal підтримує схему аутентифікації користувачів з передачею логіна/пароля безпосередньо в url - в основному це використовується для доступу до так званих підзамочним записів своїх друзів з різних програм-агрегаторів. Цей же механізм використовувався деякими користувачами і для читання таких записів через Яндекс.Лєнту.

Вказана дірка вже прикрита. Повідомляється, що після першого додавання стрічки LJ-користувача її адреса запам’ятовувалася (разом з логіном/паролем) і надалі використовувалася повторно вже при підключенні іншими користувачами. Причому не тільки використовувалася, але і легко цими самими іншими користувачами переглядалася. Мабуть, помилка була пов’язана зі спробою уникнути скачування однієї стрічки щораз для кожного хто її додав, тільки от при пошуку дублікатів чомусь було прийняте рішення ігнорувати паролі.

Так що всім хто використував Яндекс.Лєнту для читання LJ за описаною схемою варто терміново змінити свої LJ-паролі. До речі, якщо причина помилки вгадана правильно, те вона дозволяла читати підзамочні записи користувачів і не тільки їх друзям.

По матеріалам http://www.secblog.info.

P.S.

Стосовно паролів я писав в своєму Посібнику з безпеки, в другому розділі (з одноіменною назвою).

Компанія Symantec спільно зі Школою інформатики при Університеті Індіани попереджають про виявлення нового різновиду так званих фармінг-атак.

Суть фармінга зводиться до автоматичного перенапрямку користувачів на фальшиві сайти з метою викрадання конфіденційної інформації, наприклад, паролів і номерів банківських рахунків. На відміну від фішинга, фармінг-атаки практично не вимагають виконання яких-небудь дій потенційною жертвою. При проведенні фармінг-атак кіберзлочинці використовують уразливості в браузерах, операційних системах, а також програмному забезпеченні DNS-серверів.

Новий тип фармінг-атак одержав назву Drive-by Pharming. Суть його зводиться до того, що зловмисники змінюють налаштування маршрутизаторів чи бездротових точок доступу в Інтернет, після чого користувачі, самі того не підозрюючи, перенаправляються на шкідливі сайти. Даний тип атак являє загрозу, насамперед, для тих користувачів, що підключені до Мережі за допомогою широкополосних ліній. Сценарій нападу, як правило, припускає застосування JavaScript-кода, що і вносить зміни в налаштунки устаткування потенційної жертви.

Відповідно до дослідження, проведеному фахівцями Університету Індіани, порядку 50% користувачів широкополосних каналів теоретично можуть стати жертвами атак Drive-by Pharming. Фахівці настійно рекомендують встановити на маршрутизаторах пароль чи змінити заводський пароль, вгадати який для зловмисників практично не складає зусиль. Крім того, експерти радять не зневажати брандмауерами, засобами виявлення вторгнень і намагатися не переходити по лінках, отриманим з невідомих чи ненадійних джерел.

По матеріалам http://www.secblog.info.

У Челябінську пройшли Уральські змагання з захисту інформації в комп’ютерних системах, у ході яких хакери Південного Уралу змагалися проти хакерів Єкатеринбурга. Переможцями стали єкатеринбуржські хакери.

“Ціль команди - захистити свій комп’ютер і захопити деякі “прапори” команди суперника”, - пояснює Данило Шмаков, організатор змагань. Саме змагання нагадує урок інформатики з елементами “Блискавиці”. На сервері кожної з команд зберігається “прапор”. По ходу гри учасники повинні були підмінити прапор суперника своїм власним. На попередніх змаганнях в Єкатеринбурзі збірна ЧЕЛГУ і Юургу виграла.

У ході гри заборонено користуватися мережею Інтернет і мобільним телефоном. Змагання продовжувалися п’ять годин без перерви і закінчилися пізно вночі. Перемогу одержали гості з Єкатеринбурга. Свої корисні навички чемпіони обіцяють використовувати лише в мирних цілях.

По матеріалам http://www.cnews.ru.

P.S.

Цікаві в них змагання

Співробітники відділу Державної служби по боротьбі з економічною злочинністю (ДСБЕЗ) Управління Міністерства внутрішніх справ України в м. Севастополі викрили і припинили діяльність творця і розповсюджувача нового комп’ютерного вірусу-шпигуна “Eye”.

Як повідомили у Центрі суспільних зв’язків УМВС у Севастополі, за словами начальника відділу ДСБЕЗ севастопольського УМВС В’ячеслава Синченко, це перший випадок порушення кримінальної справи у відношенні автора “шкідливих” комп’ютерних програм у Севастополі.

“Севастопольський “троян” залишався невидимим для більшості розповсюджених антивірусних програм. Вірус-шпигун складався з двох частин - клієнтської і серверної. Клієнтська частина була встановлена на ноутбуці зловмисника і здійснювала керування програмою. Серверна частина була захована в оболонку флеш-мультика, що хакер помістив у файлообмінник загальнодоступного сервера комп’ютерної мережі. Забавні персонажі відомих “флешек”, що раз у раз попадають в курйозні ситуації, користуються чималою популярністю в любителів комп’ютерного гумору. На цьому і будувався розрахунок розповсюджувача вірусу”, - відзначили в МВС.

Співробітники відділення по боротьбі зі злочинами в сфері інтелектуальної власності і високих технологій ДСБЕЗ УМВС України в м. Севастополеві простежили маршрут вірусу-шпигуна й встановили, хто їм керує. Як з’ясувалося, севастопольський вірус-шпигун створив 20-літній юнак, що не має ніякої освіти, крім середньої школи. Своє творіння хакер назвав “Eye”.

За матеріалами, зібраним співробітниками ДСБЕЗ, порушена кримінальна справа по ч.1 ст.361 Кримінального кодексу України (створення шкідливих комп’ютерних програм). Санкції статті передбачають великий грошовий штраф чи позбавлення волі на термін до двох років. Ведеться розслідування.

По матеріалам http://news.liga.net.

P.S.

Нечасто у нас з’являються вірусо-писаки (офіційно, щоб про них в новинах писали), і ще рідше у нас їх ловлять. І як завжди преса віднесла автора віруса до “хакерів”, це розповсюджене кліше (хоча лише частково його можна назвати хакером - він то молодець, що сам створив трояна, але тим не менш це злочинна діяльність).

Дослідницька компанія NGS Software і незалежний фахівець з безпеки Девід Лічфілд стверджують, що знайшли новий клас уразливостей, до яких вразлива СУБД Oracle.

Експерти говорять, що уразливості дозволяють зловмиснику запустити SQL-код, що дозволить викрасти конфіденційну інформацію. “Даний клас уразливостейтей не є супер критичним, однак у більшості випадків успішна атака майже гарантує хакеру одержання даних, що зберігаються в СУБД”, - говорить Лічфілд.

Уразливість виявляє себе тоді, коли який-небудь відкритий курсор у СУБД оперує даними. У цей момент зловмисник може використовувати більш обмежені привілеї для фактичної роботи з адміністраторськими привілеями, що дозволить одержати йому доступ до різних частин баз даних, змінювати дані чи копіювати їх.

Уразливість, пояснюють фахівці, також виникає тоді, коли який-небудь третій додаток чи навіть додаток самої Oracle не закриває курсор після роботи. Якщо курсор був створений з більш високими привілеями і залишився відкритим у результаті невірного коду чи помилки БД, то зловмисник з більш низькими привілеями може захопити контроль над даними курсору і керувати їм.

За словами Лічфілда, написання зловмисного коду вимагає деяких навичок, однак Oracle не зможе випустити патч для даної уразливості, тому що вона стосується самої суті роботи БД.

Незалежні експерти рекомендують усім користувачам ще раз ретельно переглянути свої додатки і переконатися в тому, що всі курсори, що відкриваються, негайно закриваються. А також рекомендується поставити посилені засоби валідації користувачів під час їхньої роботи з Oracle.

По матеріалам http://www.secblog.info.

У Росії зростає хвиля комп’ютерних злочинів, що носять уже не хуліганський характер, а спрямовані на одержання економічної вигоди. У 2006 році в РФ зареєстровано 14 тис. кабірзлочинів - аналогічна цифра називалася в 2005 році. Авторами таких злочинів переважно є не окремі “ентузіасти”, а організовані злочинні групи.

Відповідно до діючого законодавства Російської Федерації, за несанкціоноване проникнення в комп’ютерні мережі передбачається покарання у вигляді штрафу, як максимум - позбавлення волі на термін до 7 років. Російські правоохоронці вважають, що ці міри недостатні для ефективної боротьби з кіберзлочинцями. Наприклад, у США дане питання вирішене більш жорстко - за антисоціальні дії хакер може відсидіти за ґратами до 20 років.

Ще однією проблемою в боротьбі з кіберзлочинністю є інтернаціональність атак. Атаки через Інтернет можуть виконуватися з будь-якої точки світу, що лише ускладнює піймання злочинців.

У той же час, не всі потерпілі від нападів комп’ютерних піратів заявляють про це. Зокрема, банки з великим небажанням оголошують подібну інформацію боячись відлякнути клієнтів. Таким чином, реальна статистика нападів виглядає ще більш загрозливою.

По матеріалам http://news.liga.net.

P.S.

Про подібну статистику комп’ютерних злочинів в Україні я писав. У нас кіберзлочинів за рік відбувається в 24 рази менше ніж в РФ.

Виявлена уразливість в Microsoft Windows XMLHTTP, яка дозволяє проксувати запити через XMLHTTP.

Уразливі продукти: Windows XP, Windows Vista.

Через недостатню перевірку запиту користувача ActiveX об’єкт Msxml2.XMLHTTP може бути використаний для проксування HTTP-запиту через браузер клієнта. Тобто браузер може бути використаний як бекдор (для проведення різноманітних атак в Інтернеті через браузер відвідувачів сайта).

• Web 2.0 backdoors made easy with MSIE & XMLHttpRequest (деталі)

Відповідно до досліджень фахівців Інженерної школи Джеймса Кларка при Університеті Меріленда, хакерські атаки в Глобальній мережі здійснюються кожні 39 секунд, і найуживанішим для взлому паролем є “1234″. Звання самого популярного логіна, використовуваного хакерами при спробах взлому, удостоївся “root”.

Примітно, що логін “root” і пароль “1234″ залишаються самою розповсюдженою комбінацією для більшості користувачів, не вважаючи тих, хто взагалі не знає, як змінити пароль. Інші розповсюджені “здогади” хакерів включають паролі на зразок “12345″, “1″, “123″ і так далі, а також “password” (слово “пароль”, напевно, здається цілком логічним рішенням, коли програма просить ввести пароль), “passwd” і “test”. Самими популярними логінами є “admin”, “administrator”, “user”, “oracle”, “mysql” та “info”. З метою безпеки користувачам настійно рекомендується не користуватися жодним з подібних логинів і паролів.

“Для більшості атак використовуються скрипти, що обшукують тисячі машин на предмет уразливостей. Комп’ютери, що були задіяні в нашому досліді, піддавалися атакам, у середньому, 2244 рази в день”, - заявив професор Мішель Кукье, під керівництвом якого здійснювалося дослідження.

Крім найпоширеніших паролів і логінів дослідники також назвали основні причини, що спонукують хакерів до протизаконних дій: це прагнення одержати доступ до особистої інформації користувачів, наприклад номерів банківських рахунків чи кредитних карт.

По матеріалам http://www.secblog.info.