Websecurity - Веб безпека

Департамент інформаційних технологій Індії обнародував результати дослідження, згідно яких ця країна лідирує по кількості хакерів.

Тільки за першу половину 2006 року взломані 39 сайтов “gov.in”, 81 сайт “co.in” і 158 сайтів того ж домена (”net.in”, “nic.in”, “ernet.in” і інші). В цілому “комп’ютерні пірати” взломали 1752 сайта, 15,9% яким знаходяться в домені “.in”, 67,5 % - в домені “.com”. Для порівняння, у 2005 році було взломано всього лише 373 сайта.

Крім того, за словами глави лабораторії Symantec у Пуні (штату Махараштра) Прабхата Сінгха, у минулому році, Індія зайняла 18 місце в рейтингу країн, громадяни яких замічені в спамерських розсиланнях.

Найчастіше хакери в Індії за допомогою великої кількості звертань до сервера викликають помилку переповнення буфера, завдяки якій зловмисник може виконати будь-як програму на стороні сервера (примітка - ох уж ці журналісти, як понаписують , тут скоріше за все йшла мова про DoS атаки).

По матеріалам http://www.rian.ru.

Хоча лише нещодавно вийшов WordPress 2.0.6, учора, 15.01.2007, вийшла нова версія WordPress 2.0.7 - всього лише через 10 днів після виходу попередньої версії.

WordPress 2.0.7 - це секюріті фікс, причому терміновий фікс. Причина випуску даного релізу в тому, що майже одразу після виходу версії 2.0.6, була знайдена серйозна уразливість та був випущений експлоіт для WP 2.0.6, який дозволяв захопити адмінський аккаунт (я вже давно планую розповісти про цей експлоіт, а також вже написав свою версію експлота і як доберусь, розповім про це детальніше).

Тому на даний час WP 2.0.7 - це останній стабільний реліз Вордпреса, вже доступний для скачування з сайта виробника. І який рекомендований всім користувачам цього движка.

Список змін в новий версії порівняно з 2.0.6:

• Секюріті фікс для wp_unregister_GLOBALS() для виправлення zend_hash_del_key_or_index бага в PHP 4 < 4.4.3 та PHP 5 < 5.1.4 з включеними register_globals.
• Фіди тепер нормально обробляють 304 Not Modified заголоки (виправлений так званий FeedBurner баг).
• Порт ще одного виправлення для 304 Not Modified з WordPress 2.1.
• Видалення сторінок в WordPress більше не виводить “Are You Sure?” діалог.
• Після видалення сторінок в WP, зараз коректно редиректить на екран редагування сторінок.
• Відправлення зображень в орігіальному розмірі в Internet Explorer більше не додає некоректний “height” атрибут.

Виявлені численні уразливості в додатках Mozilla Firefox, Thunderbird, Seamonkey. Частково я торкався даних уразливостей в записі Численні уразливості в Mozilla Firefox.

Міжсайтовий скріптінг через прототипи функцій. Витік інформації. Переповнення буфера динамічної пам’яті на довгих Content-Type повідомленнях. Ушкодження пам’яті через заголовок CVG. Міжсайтовий скріптінг через img.src. DoS. Підвищення привілеїв через watchpoint в JavaScript. Переповнення буфера через властивість image cursor у CSS. Численні ушкодження пам’яті.

Уразливі версії: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

• Mozilla Foundation Security Advisory 2006-68 (деталі)
• Mozilla Foundation Security Advisory 2006-69 (деталі)
• Mozilla Foundation Security Advisory 2006-70 (деталі)
• Mozilla Foundation Security Advisory 2006-71 (деталі)
• Mozilla Foundation Security Advisory 2006-72 (деталі)
• Mozilla Firefox SVG Processing Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2006-73 (деталі)
• Mozilla Foundation Security Advisory 2006-74 (деталі)
• Mozilla Foundation Security Advisory 2006-75 (деталі)
• Mozilla Foundation Security Advisory 2006-76 (деталі)

Велике число користувачів поштового сервісу Gmail скаржаться на містичну пропажу з їх аккаунтов усіх повідомлень. Уперше ця подія одержала розголос на сайті Майкла Аррінгтона, де він повідомив, що говорити про Gmail як про досконалий сервіс поки ще зарано. Там же було розміщено перше повідомлення з Google Groups, що стосується зникнення вмісту електронних поштових скриньок.

Одне з перших повідомлень від користувача Gmail про подібний інцедент прийшло 19.12.2006. Як виявилося, більшість потерпілих користувалися браузером Firefox і знайшли пропажу контента при відкритті аккаунта через нього. Деякі користувачі одержали від зловмисників повідомлення про те, що проти них була проведена атака.

Один з користувачів стверджує, що що для атаки була використана уразливість Firefox 2.0, що була пізніше закрита версією 2.0.0.1. Усього ж у результаті інциденту були “очищені” 60 аккаунтів користувачів. Google принесла офіційні вибачення потерпілим і заявила про початок робіт із з’ясування причин інциденту. Витерті послання і контакти Gmail, до речі, не підлягають відновленню.

По матеріалам http://www.secblog.info.

Тиждень тому, 05.01.2007, вийшла нова версія движку WordPress 2.0.6 (не одразу написав про це, так як був дуже заклопотаний останнім часом). Всім хто використовує попередні версії движка рекомендується оновити движок своїх сайтів. Але дуже поспішати не варто, тому що і в новій версії існують уразливості (про що я буду розповідати), які потібно буде виправляти, тому виважено підходьте до апгрейда.

WordPress 2.0.6 - це останній стабільний реліз Вордпреса, який доступний для скачування з сайта виробника. В цьому релізі було виправлено чимало уразливостей та помилок, тому в першу чергу це секюріті фікс випуск, і розробники всім рекомендують оновити свій движок. В цій версії також виправили чимало дір, про які я згадував в записах Численні уразливості в WordPress та Нові уразливості в WordPress (але ще є дірі, які потрібно виправляти).

Серед головних оновлень цієї версії:

• Численні секюріті виправлення
• Підтримка HTML quicktags для браузера Safari
• Фільтрація коментарів, для запобігання псуванню ними дизайна блога
• Сумісність з PHP/FastCGI налаштуванням

Для розробників була зроблена нова анти-XSS функція та новий фільтр SQL запитів (зокрема і на моє прохання, бо доводилося багато разів звертати увагу розробників WP на існуючі недоліки). Розробникам плагінів та додатків для WordPress рекомендується використовувати нові функції.

Брюс Шнайер опублікував свіжі дані про те, які паролі найчастіше використовують інтернет-користувачі. Дослідження було проведено силами шахраїв-фішерів, що створили підроблену сторінку сайта MySpace, куди довірливі користувачі сервісу вводили свої дані.

Двадцятка самих популярних виглядає наступним чином:

1. password1
2. abc123
3. myspace1
4. password
5. blink182
6. qwerty1
7. fuckyou
8. 123abc
9. baseball1
10. football1
11. 123456
12. soccer
13. monkey1
14. liverpool1
15. princess1
16. jordan23
17. slipknot1
18. superman1
19. iloveyou1
20. monkey

Треба відзначити, що раніш самим популярним паролем було слово “password”. Як бачимо, є прогрес. Користувачі починають прислухатися до рекомендацій фахівців з безпеки (порада сполучити в паролі букви і цифри), але цей процес йде повільно. В цілому, ситуація залишається дуже сумною.

По матеріалам http://www.securitylab.ru.

Виявлені численні уразливості в безпеці браузера Opera.

Уразливі версії: Opera 9.02.

Ушкодження динамічної пам’яті при розборі JPEG, виклик функції по контрольованому вказівнику в Javascript.

• Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability (деталі)
• Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability (деталі)

Виявлена кілька днів тому уразливість дозволяла вкрасти контакт лист цільового користувача, що відвідав спеціально сформовану веб сторінку.

Уразливість пов’язана з тим, що список контактів зберігався в javascript коді, що міг бути викликаний довільним сайтом. Gmail не перевіряв, який сайт викликав уразливу функцію, в результаті довільний веб сайт міг прочитати список контактів цільового користувача. Єдина умова для експлуатації уразливості полягала в тім, що користувач повинний у момент експлуатації мати активну сесію в Gmail.

PoC код був опублікований 1-го січня і Google знадобилося більше 30 годин для усунення виявленої уразливості.

По матеріалам http://www.securitylab.ru.

Норвезька компанія Opera Software випустила чергову версію однойменного браузера. Ключовим нововведенням в Opera 9.1 є антифішинговий фільтр, що перевіряє відвідувані користувачем сайти на благонадійність. Фільтр використовує технології, розроблені компаніями GeoTrust і OpenDNS.

Нагадаємо, що фішингом називається крадіжка персональних даних за допомогою підставних веб-сайтів чи шахрайських електронних листів та повідомлень. Вбудовані засоби для боротьби з фішингом є в браузерах Mozilla Firefox і Internet Explorer. Буквально днями Microsoft випустила оновлення для недавно представленого браузера Internet Explorer 7, у якому антифішинговий фільтр був дороблений.

Відзначимо, що функція відображення в правій частині адресного рядка імені власника сертифіката при перегляді безпечних онлайнових ресурсів з’явилася вже в останніх версія браузера Opera для персональних комп’ютерів. У новій версії з’явилася можливість одержувати інформацію про благонадійність сайта від бази даних PhishTank, що поповнюють самі користувачі, додаючи в список нові фішингові ресурси, з якими їм довелося зіткнутися.

Передбачається, що при введенні адреси сайта інформація буде автоматично пересилатися на сервер Opera для перевірки. У випадку якщо з’ясується, що набраний URL належить шкідливому сайту, браузер автоматично заблокує завантаження сторінки. Для завідомо безпечних ресурсів у правій частині адресного рядка буде виводитися символ “i”, клацнувши по який, користувачі зможуть одержати додаткову інформацію. Нарешті, ресурси, відомості про які відсутні, будуть маркіруватися знаком питання в адресному рядку.

По матеріалам http://www.secblog.info.

Аарон Корнблюм, головний юрист підрозділу Internet Safety Enforcement корпорації Microsoft, вважає, що основою сучасної кіберзлочинності є мережі зомбованих комп’ютерів із широкополосним виходом в інтернет.

Бот-мережі в даний час широко використовуються зловмисниками для розсилання спама, організації DoS-атак на неугодні ресурси і здійснення фішерських махінацій. За даними компанії Symantec, у першій половині поточного року кількість зомбованих машин перевищувала 4,5 мільйони. Причому власники таких комп’ютерів, як правило, навіть не підозрюють, що кіберзлочинці мають повний доступ до їх систем.

Корнблюм підкреслює, що в даний час спостерігається зростання кількості фішерських сайтів. Причому раніше зловмисники вибирали в якості жертв клієнтів великих і відомих онлайнових банків, а зараз усе більший інтерес вони виявляють до невеликих фірм і компаній середнього розміру, клієнти яких гірше інформовані про небезпеку фішинга.

Зараз у кожен окремий момент часу розсилання спама і шкідливого контента здійснюють порядка 50 тисяч зомбованих машин. Причому оскільки кіберзлочинцям не потрібно оплачувати трафік, у повідомлення може бути включена графіка великого об’єму чи документи. Фактично, відзначають експерти, бот-мережі визначають економіку і розміщення сил у світі кіберзлочинності.

По матеріалам http://security.compulenta.ru.