Websecurity - Веб безпека

З ініціативи Єврокомісії вчора в Європі пройшов четвертий День безпечного Інтернету (з чим вас і поздоровляю). Його ціль - роз’яснення загроз, що несе Всесвітня павутина, у першу чергу підростаючому поколінню.

Головним координатором Дня безпечного Інтернету стала некомерційна організація Insafe (European Safer Internet Network). Її задачею, як зазначено на сайті, є “підтримка громадян у безпечному, етичному й ефективному використанні Інтернету, так само як і інших інформаційних та комунікаційних технологій”.

Необхідність залучення уваги до проблеми безпеки в Мережі викликана тим, що віртуальне середовище давно зрівнялося по небезпеці з реальним. Неприємності, що приходять з комп’ютера, приблизно ті ж, що й у звичайному житті: віруси, крадіжки і грабежі, хамство і переслідування, вимагання і погрози, неетична і нав’язлива реклама, тероризм і екстремізм.

У нинішньому році День безпечного Інтернету покликаний звернути увагу громадськості і влади в європейських країнах на небезпеку використання дітьми мобільних телефонів, що нерідко заміняють їм комп’ютери. Саме діти і підлітки сьогодні найменш захищені від потоку негативної інформації з Інтернету, наголошують експерти.

По матеріалам http://www.securitylab.ru.

Брайан Кребс, оглядач Washington Post, що спеціалізується на висвітленні технологічних і комп’ютерних тем, порахував, що торік браузер Internet Explorer був уразливий протягом 284 днів.

Протягом 284 днів (більш 9 місяців) експлоіти для відомих, невиправлених критичних уразливостей в Internet Explorer були доступи в Інтернет. Також протягом 98 днів були відсутні виправлення для уразливостей, що активно експлуатувалися мережевими злочинцями, щоб викрасти особисті та фінансові дані користувачів.

При цьому для браузера Mozilla Firefox, основного конкурента IE, торік спостерігалася принципово інша картина - за весь рік був лише єдиний подібний випадок, коли протягом дев’яти днів існував опублікований експлоіт, для якого не був випущений патч. Однак слід зазначити, що сумарно в Mozilla Firefox було виявлено в 2 рази більше критичних уязвимостей, ніж в Internet Explorer.

Торік було виявлено 10 уразливостей в IE, виправлення до яких з’явилися після того, як привселюдно була опублікована інформація про уразливість (я також в себе публікував подібні експлоіти).

Злочинці, що спеціалізуються в інтернет-шахрайстві, одержували велику частину своїх доходів експлуатуючи уразливості в браузері Internet Explorer торік. У 2006 році компанія Microsoft опублікувала 5 виправлень для 0day дір (це уразливості, про які виробник довідався в момент їхньої активної експлуатації злочинцями).

По матеріалам http://www.securitylab.ru.

Користувачі популярної соціальної мережі MySpace, ризикують стати жертвами фішерів. Деякий час тому в мережі був замічений шкідливий відеоролик у форматі QuickTime MOV, що експлуатує уразливість у програмному забезпеченні MySpace і особливості реалізації JavaScript у медіаплеєрі Apple (про подібний напрямок атаки я вже писав XSS в Quicktime, а також про XSS вірус в Quicktime).

Зараження користуцького профілю відбувається при відвідуванні сторінки в MySpace, що містить створений спеціальним чином відеофайл. Причому якщо для перегляду сторінки застосовується браузер Microsoft Internet Explorer, то шкідливий код активується автоматично, відзначають у компанії F-Secure. Після цього хробак видозмінює профіль, додаючи посилання на фішерські сайти. Крім того, шкідлива програма заміняє стандартний навігаційний рядок MySpace на новий, виконану в синьому кольорі.

Як видно, основна мета зловмисників, що поширили шкідливий відеоролик, полягає в тім, щоб заманити користувачів MySpace на підставні сайти і виманити в них конфіденційні дані. Такі сайти копіюють дизайн MySpace, і тому неуважні користувачі можуть цілком залишити на них свою реєстраційну інформацію.

Це вже не перший випадок, коли користувачі соціальної мережі MySpace стають жертвами кіберзлочинців. Раніше зловмисники вже намагалися шахрайством виманити в передплатників сервісу конфіденційні дані і поширити в MySpace програмне забезпечення, що відображає рекламні банери.

По матеріалам http://www.secblog.info.

30.01.2007

В багатьох браузерах виявлені уразливості пов’язані з короткочасними умовами (race conditions). Існують різні умови, пов’язані з міжпотоковою синхронізацією, що приводять до ушкодження пам’яті, коли кілька подій відбуваються одночасно.

Уразливі продукти: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Internet Explorer, Netscape 8.1, Firefox 1.5, K-Meleon 1.0.

• Concurrency strikes MSIE (potentially exploitable msxml3 flaws) (деталі)
• Flock Concurrency-related Memory Corruption Vulnerability (деталі)
• Netscape Concurrency-related Memory Corruption Vulnerability (деталі)
• K-Meleon Concurrency-related Vulnerability (деталі)
• Re: Concurrency-related vulnerabilities in browsers - expect problems (деталі)
• Concurrency-related vulnerabilities in browsers - expect problems (деталі)

04.02.2007

Пошкодження пам’яті в Microsoft Internet Explorer.

Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні додатка. Уразлива версія: Internet Explorer 6.x.

Уразливість стану операції існує при перезавантаженні XML файлів в iframe. Зловмисник може за допомогою спеціально сформованого XML файлу викликати пошкодження пам’яті й аварійно завершити роботу браузера.

• Повреждение памяти в Microsoft Internet Explorer (деталі)
• Race condition in the msxml3 module in Microsoft Internet Explorer (IE6 and IE7) (деталі)

На веб-додатки, що написані мовою PHP, приходиться 43% всіх проблем, позв’язаних з безпекою інформаційних мереж. Такі результати дослідження, проведеного в поточному році американським Національним інститутом стандартів і технології (NIST). У 2005 році на частку додатків на платформі PHP приходилося всего 29% уразливостей. З урахуванням того, що число дір у самій мові мінімально, цифри NIST показують, що проблема криється в розробниках, багато хто з яких не є професіоналами в області інформаційних технологій.

Проблеми з PHP здобувають особливу гостроту в той момент, коли дослідники сфери інформаційної безпеки стали звертати особливу увагу на діри у веб-додатках. На початку (минулого) року один з експертів звернув увагу на тенденцію зростання проломів у веб-додатках у цілому (про що я теж відмічав в своїх підсумках 2006 року) і PHP-додатках зокрема. За даними, зібраним за перші 9 місяців 2006 року, веб-додатки зайняли три верхніх позиції в списку найпоширеніших уразливостей. Наприклад, у вересні 45% інцидентів в області інформаційної безпеки були пов’язані з випадками кросс-сайт скриптінга, SQL-ін’єкцій чи уразливостей, пов’язаних зі зміною PHP файлів. В даний час PHP використовується на майже 20 мільйонах доменів і 1,3 мільйонах IP-адрес.

Популярна мова програмування стала об’єктом особливої уваги після того, як групу розробників мови залишив Стефан Ессер, що займався забезпеченням безпеки PHP. Як причину свого виходу Эссер назвав нерозторопність інших розробників у плані ліквідації загроз безпеки. У свою чергу, члени PHP Group заявили, що Эссер залишив їх через те, що втратив інтерес до розробки в складі їхньої команди.

Згідно даним NIST, за станом на 15 грудня з 6198 уразливостей, зафіксованих у 2006 році, 2690 (чи 43%) містили в описі слово “PHP”. “Я думаю, звичайним людям важко створювати безпечні динамічні веб-додатки. Мови для створення сайтів повинні бути максимально адаптовані під “чайників”. У багатьох випадках я, будучи професіоналом в області безпеки, ламав голову над тим, як зміцнити безпеку коду. Я хотів зміцнити її, але для мене не було очевидним, як це зробити”, - заявив представник NIST Пітер Мелл.

По матеріалам http://www.securitylab.ru.

Нещодавно, 22.01.2007 вийшов новий реліз WordPress 2.1 (Ella), лише через тиждень після виходу WordPress 2.0.7.

WordPress 2.1 - це нова гілка WP, яка буде розвиватися окремо від 2.0.x (оновлення будуть випускатися паралельно, але основна увага буде приділена розвитку саме 2.1.x гілки). В цій версії зроблено чимало виправлень помилок та уразливостей (всього в версії 2.1 більше 550 виправлень), та додано нові функції.

В новій версії:

• Функція автозбереження (autosave).
• Новий редактор з закладками (табами), що дозволить прямо під час написання записів миттєво перемикатися між режимами WYSIWYG та редагування коду.
• Імпор та експорт XML без втрат.
• В новому переробленому візуальному редакторі з’явилася перевірка орфографії (spell checker).
• Нова опція приватності від пошуковців (search engine).
• Можливість виставляти будь яку “сторінку” головною сторінкою.
• Оновлений та більш ефективний код роботи з БД (більш шивидкий).
• В лінки додана підтримка підкатегорій.
• Перероблена логін сторінка.
• Більше AJAX функціоналу в інтерфейсі, для швидкої та зручної роботи.
• Сторінки тепер можуть бути як чернетка чи приватна.
• Оновлена адмінка.
• Дошка оголошень зараз процює миттєво та асинхронно скачує RSS фіди в фоні.
• В фіді кометарів зараз включені всі коментарі, а не лише 10.
• Краща інтернаціоналізація.
• Менеджер заватажень дозволяє з легкістю керувати зображеннями, відео та аудио.
• В поставку входить нова версія плагіна Akismet.
• Та багато іншого.

Нові функції для розробників:

• Псевдо-cron функціональність.
• Покращене керування юзерами для адміна.
• Новий WP_Error клас для виведення помилок.
• Новий завантажувач javascript для розробників плагінів.
• Тонни нових хуків та API.
• Розпочато вбудоване документування коду.
• Нове API для зображень та ногітків для розробників плагінів.
• Власні заголовки, вибирачі кольору та обрізачі зображень фреймворки.

Починаючи з цієї версії розвиток Вордпресу піде по гілці 2.1 (та наступним), але попередня гілка 2.0 буде підтримуватися аж до 2010 (будуть випускатися виправлення помилок та уразливостей).

Очікується, що наступна версія WP з’явиться 23 квітня.

Останнім часом у компаній, які шукають нові кадри серед студентів, що завершують навчання, з’явилися конкуренти. Групи, що займаються кіберзлочинністю, активно вербують молодих фахівців у своє середовище, затверджують в антивірусній компанії McAfee.

Вербування, говориться в щорічній доповіді про стан справ у сфері комп’ютерної безпеки, не уступає по своїм методам радянському КДБ. Студентів і юних комп’ютерних дарувань шукають в університетах, школах, комп’ютерних клубах - скрізь, де вони можуть з’явитися. Групи навіть спонсують навчання деяких з них на комп’ютерних курсах і зараховують у резерв свого бізнесу. Студенти займаються написанням вірусів, крадуться персональну інформацію і допомагають у відмиванні грошей, заявляє McAfee. Адже кіберзлочинність по доходах стала набагато вигіднішою, ніж наркоторгівля.

“Хоча організовані кіберзлочинці можуть самі бути не настільки компетентними, щоб робити злочини, у них є засоби для купівлі необхідних людей, що усе зроблять за них”. У доповіді говориться, що приведені твердження засновані не тільки на спостереженнях компанії, але і на основі даних європейських спецслужб і ФБР США.

Зокрема, розквіт кіберзлочинності приходиться на країни Східної Європи. Тут високий рівень безробіття і низькі зарплати. За відносно невелику суму в хакерів замовляють віруси, трояни, що потім заражають мільйони машин, крадуть конфіденційну інформацію, зокрема, дані про кредитні карти. Хакери всі частіше стають найманцями в шпигунському бізнесі, а корпоративне шпигунство - це великий бізнес, говориться в доповіді.

По матеріалам http://www.cnews.ru.

Компанія Google видалила випадково занесені в базу конфіденційні дані користувачів зі списку фішингових інтернет-ресурсів, що поповнюється при сприянні рядових користувачів Мережі, що працюють із браузером Firefox із установленим Google Toolbar з функцією Safe Browsing. Відзначимо, що дана функція відсутня у версії Google Toolbar для браузера Internet Explorer.

Дані про облікові записи користувачів містилися разом з URL скомпрометованих веб-сайтів, занесеними в “чорний список”. Представники інтернет-гіганта також повідомили, що компанія впровадила спеціальний фільтр, що автоматично перевіряє інформацію, що надсилається користувачами, на наявність конфіденційних даних і перешкоджає їх занесенню в базу. Крім того, Google розсилає користувачам, чиї дані випадково виявилися в “чорному списку” електронні повідомлення з порадою змінити паролі.

Конфіденційні дані користувачів у списку Google були виявлені на початку січня фахівцями компанії Finjan Software, про що останні негайно повідомили в Google. На додаток до імен і паролів у базу також потрапили адреси електронної пошти.

По матеріалам http://security.compulenta.ru.

P.S.

Safe Browsing виявився не таким вже безпечним . Тому слід бути уважним, перед тим як відправляти дані про фішерські сайти, щоб ненароком ваші конфеденційні дані не потрапили до самих фішерів.

Викрадачі даних все активніше полюють за користувачами популярної соціальної мережі MySpace. Улюблений прийом шахраїв - посилання на фальшиві сторінки авторизації, що вимагають ввести пароль заново. У кращому випадку, невідомі “друзі” завалять жертву спамом, а в гіршому - приберуть до рук персональну інформацію, наприклад логіни і паролі в платіжних системах і онлайнових гаманцях.

По оцінках comScore, MySpace займає в США друге місце після Yahoo по кількості відвідувачів - за рік воно виросло до 38,7 мільйона. Однак, як відзначають фахівці в області мережевої безпеки, ефективної технології, яка б не дозволила зловмисникам “розгорнутися” на її просторах у соціальної мережі поки немає.

Величезну привабливість MySpace для шахраїв експерти пов’язують з тим, що вона пропонує ряд спеціальних технологій для спілкування користувачів між собою. Наприклад, можливістю розсилання повідомлень усієї френдлєнті відразу вже щосили використовують спамери.

Одна з останніх шахрайських схем у MySpace виглядала так. Спамер створив кілька фальшивих профілів, розмістивши на них пікантні фотографії дівчин і пообіцяв пізніше вивісити ще більш відверті фото. Потім він прикріпив одне з цих зображень до запиту на додавання в друзі і розіслав його декільком сотням користувачів. У підсумку, всі бажаючі подивитися картинки одержали хробака, що встановлював adware на комп’ютер.

MySpace вирішила боротися із шахраями їх же методами. Члени недавно сформованої Content Assurance Team теж створюють липові профілі, заманюючи спамерів, фішерів та інших злодіїв. Зараз, щоб протистояти несумлінним користувачам, MySpace планує набрати ще програмістів, юристів та інших експертів, котрі будуть стежити за діями шахраїв на сайті і пояснювати співтовариству, як уникнути обману. Надалі MySpace готова подавати позови проти шахраїв і тісно співробітничати з правоохоронцями.

По матеріалам http://net.compulenta.ru.

Більше третини сайтів, що містять зловмисне ПО, фізично розташовані на території США, крім того, по американському сегменту Інтернету в 2006 році було переслано спама більше, ніж у будь-якій іншій країні.

За даними фахівців Sophos, на території США знаходиться 34,2% сайтів, що поширюють шпигунське ПЗ і трояни, на другому місці з 31% йде Китай, на третьому місці Росія - 9,5%, на четвертому Нідерланди - 4,7%, замикає п’ятірку лідерів Україна - 3,2%.

Також вірусні аналітики відзначають, що швидкість появи “вірусних сайтів” по-справжньому лякає. У 2006 році в середньому по 5000 сайтів, що містять зловмисний код, виявлялося щодня. Усього ж у 2006 році було зареєстровано 41536 нових зразків вірусів, троянів та інтернет-хробаків, переважну більшість яких було призначено для ОС Windows.

Нарешті на останок в Sophos відзначають, що більш 90% спама розсилається не централізовано з якого-небудь сервера, а через заражені комп’ютери користувачів.

По матеріалам http://itua.info.

P.S.

Входити в п’ятірку кріїн, де знаходиться найбільше сайтів, які поширують зловмисні програми, може й для когось почесно, але на мій погляд, тут немає чим пишатися. Тому слідкуйте люди за своїми сайтами, щоб там не було вірусів, троянів і спайваре програм.