Websecurity - Веб безпека

Тиждень тому, 05.01.2007, вийшла нова версія движку WordPress 2.0.6 (не одразу написав про це, так як був дуже заклопотаний останнім часом). Всім хто використовує попередні версії движка рекомендується оновити движок своїх сайтів. Але дуже поспішати не варто, тому що і в новій версії існують уразливості (про що я буду розповідати), які потібно буде виправляти, тому виважено підходьте до апгрейда.

WordPress 2.0.6 - це останній стабільний реліз Вордпреса, який доступний для скачування з сайта виробника. В цьому релізі було виправлено чимало уразливостей та помилок, тому в першу чергу це секюріті фікс випуск, і розробники всім рекомендують оновити свій движок. В цій версії також виправили чимало дір, про які я згадував в записах Численні уразливості в WordPress та Нові уразливості в WordPress (але ще є дірі, які потрібно виправляти).

Серед головних оновлень цієї версії:

• Численні секюріті виправлення
• Підтримка HTML quicktags для браузера Safari
• Фільтрація коментарів, для запобігання псуванню ними дизайна блога
• Сумісність з PHP/FastCGI налаштуванням

Для розробників була зроблена нова анти-XSS функція та новий фільтр SQL запитів (зокрема і на моє прохання, бо доводилося багато разів звертати увагу розробників WP на існуючі недоліки). Розробникам плагінів та додатків для WordPress рекомендується використовувати нові функції.

Брюс Шнайер опублікував свіжі дані про те, які паролі найчастіше використовують інтернет-користувачі. Дослідження було проведено силами шахраїв-фішерів, що створили підроблену сторінку сайта MySpace, куди довірливі користувачі сервісу вводили свої дані.

Двадцятка самих популярних виглядає наступним чином:

1. password1
2. abc123
3. myspace1
4. password
5. blink182
6. qwerty1
7. fuckyou
8. 123abc
9. baseball1
10. football1
11. 123456
12. soccer
13. monkey1
14. liverpool1
15. princess1
16. jordan23
17. slipknot1
18. superman1
19. iloveyou1
20. monkey

Треба відзначити, що раніш самим популярним паролем було слово “password”. Як бачимо, є прогрес. Користувачі починають прислухатися до рекомендацій фахівців з безпеки (порада сполучити в паролі букви і цифри), але цей процес йде повільно. В цілому, ситуація залишається дуже сумною.

По матеріалам http://www.securitylab.ru.

Виявлені численні уразливості в безпеці браузера Opera.

Уразливі версії: Opera 9.02.

Ушкодження динамічної пам’яті при розборі JPEG, виклик функції по контрольованому вказівнику в Javascript.

• Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability (деталі)
• Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability (деталі)

Виявлена кілька днів тому уразливість дозволяла вкрасти контакт лист цільового користувача, що відвідав спеціально сформовану веб сторінку.

Уразливість пов’язана з тим, що список контактів зберігався в javascript коді, що міг бути викликаний довільним сайтом. Gmail не перевіряв, який сайт викликав уразливу функцію, в результаті довільний веб сайт міг прочитати список контактів цільового користувача. Єдина умова для експлуатації уразливості полягала в тім, що користувач повинний у момент експлуатації мати активну сесію в Gmail.

PoC код був опублікований 1-го січня і Google знадобилося більше 30 годин для усунення виявленої уразливості.

По матеріалам http://www.securitylab.ru.

Норвезька компанія Opera Software випустила чергову версію однойменного браузера. Ключовим нововведенням в Opera 9.1 є антифішинговий фільтр, що перевіряє відвідувані користувачем сайти на благонадійність. Фільтр використовує технології, розроблені компаніями GeoTrust і OpenDNS.

Нагадаємо, що фішингом називається крадіжка персональних даних за допомогою підставних веб-сайтів чи шахрайських електронних листів та повідомлень. Вбудовані засоби для боротьби з фішингом є в браузерах Mozilla Firefox і Internet Explorer. Буквально днями Microsoft випустила оновлення для недавно представленого браузера Internet Explorer 7, у якому антифішинговий фільтр був дороблений.

Відзначимо, що функція відображення в правій частині адресного рядка імені власника сертифіката при перегляді безпечних онлайнових ресурсів з’явилася вже в останніх версія браузера Opera для персональних комп’ютерів. У новій версії з’явилася можливість одержувати інформацію про благонадійність сайта від бази даних PhishTank, що поповнюють самі користувачі, додаючи в список нові фішингові ресурси, з якими їм довелося зіткнутися.

Передбачається, що при введенні адреси сайта інформація буде автоматично пересилатися на сервер Opera для перевірки. У випадку якщо з’ясується, що набраний URL належить шкідливому сайту, браузер автоматично заблокує завантаження сторінки. Для завідомо безпечних ресурсів у правій частині адресного рядка буде виводитися символ “i”, клацнувши по який, користувачі зможуть одержати додаткову інформацію. Нарешті, ресурси, відомості про які відсутні, будуть маркіруватися знаком питання в адресному рядку.

По матеріалам http://www.secblog.info.

Аарон Корнблюм, головний юрист підрозділу Internet Safety Enforcement корпорації Microsoft, вважає, що основою сучасної кіберзлочинності є мережі зомбованих комп’ютерів із широкополосним виходом в інтернет.

Бот-мережі в даний час широко використовуються зловмисниками для розсилання спама, організації DoS-атак на неугодні ресурси і здійснення фішерських махінацій. За даними компанії Symantec, у першій половині поточного року кількість зомбованих машин перевищувала 4,5 мільйони. Причому власники таких комп’ютерів, як правило, навіть не підозрюють, що кіберзлочинці мають повний доступ до їх систем.

Корнблюм підкреслює, що в даний час спостерігається зростання кількості фішерських сайтів. Причому раніше зловмисники вибирали в якості жертв клієнтів великих і відомих онлайнових банків, а зараз усе більший інтерес вони виявляють до невеликих фірм і компаній середнього розміру, клієнти яких гірше інформовані про небезпеку фішинга.

Зараз у кожен окремий момент часу розсилання спама і шкідливого контента здійснюють порядка 50 тисяч зомбованих машин. Причому оскільки кіберзлочинцям не потрібно оплачувати трафік, у повідомлення може бути включена графіка великого об’єму чи документи. Фактично, відзначають експерти, бот-мережі визначають економіку і розміщення сил у світі кіберзлочинності.

По матеріалам http://security.compulenta.ru.

Виявлена можливість обходу захисту від DNS pіnnіng в різних браузерах.

Эмулюя недоступність сервера можна обійти захист DNS pinning (від підміни IP-адреси по імені сервера з метою міжсайтових атак).

Уразливі продукти: Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003, Windows Vista, Mozilla Firefox 1.5, Firefox 2.0.

• DNS-Pinning demo (деталі)

Компанія Websense опублікувала прогнози по комп’ютерній безпеці. Відповідно до нього, у 2007 році комп’ютерна злочинність стане більш організованою і більш развиненою економічно. Збільшаться обсяги торгівлі готовими наборами програмних інструментів для проведення кібератак і експлоітами, що використовують нерозкриті уразливості програмного забезпечення. А проблеми безпеки Web 2.0 приведуть до ще більшого збільшення числа і поширеності цих явищ.

На думку авторів доповіді, веб буде продовжувати залишатися основним засобом доставки шкідливого коду на пристрої користувачів. Основним “вогнищами” поширення інфекцій стануть сайти, що містять динамічний контент, створюваний безліччю користувачів і який важко піддається контролю. Наприклад, сайти соціальних мереж, такі, як MySpace і Wikipedia. Крім соціальних мереж і користувацького контента, зонами підвищеного ризику залишаться веб-сервіси і продукти із сервіс-орієнтованою архітектурою.

Новим видам атак піддадуться антифішингові засоби захисту браузерів. Хакери будуть намагатися, використовуючи уразливості, відключати їхні захисні механізми. Зростання випадків викрадення інформації приведе до кращого захисту організаціями своїх даних, що у свою чергу змусить хакерів надійніше шифрувати шкідливий код з метою запобігання його виявлення.

Зомбі-мережі вийдуть на черговий етап еволюції і будуть керуватися за допомогою протоколів, відмінних від IRC чи HTTP. Також буде використовуватися шифрування для приховання ботів у комп’ютерах користувачів.

По матеріалам http://www.cnews.ru.

Із січня 2007 року браузер Internet Explorer 7 буде позначати безпечні банківські сайти і ресурси компаній, що займаються інтернет-комерцією. Планується, що адресний рядок при відвідуванні таких сайтів стане офарблюватися в зелений колір. Користувачі перевірених “зелених” ресурсів зможуть бути впевненими, що їхня персональна інформація не стане надбанням онлайнових шахраїв і не потрапить у руки спамерам.

“Правильні” сайти повинні мати цифрові сертифікати, що будуть видаватися за результатами всебічних ретельних перевірок. Крім того, ресурсам буде потрібно одержати “знак якості” - цифрову печатку WebTrust, що гарантує, що онлайновий бізнес пройшов перевірку ліцензованої аудиторської компанії і відповідає критеріям AICPA і CICA.

Щоб одержати всі необхідні сертифікати, сайтам і компаніям, що ними володіють, прийдеться пройти багатоступінчасту перевірку. Зокрема, орган сертифікації упевниться в легальності бізнесу і наявності інформації про нього в різних базах даних (включаючи базу даних Whois), дійсності телефонних номерів, зазначених на сайті для зв’язку, і у вірогідності інших відомостей.

У деяких випадках при сертифікації можливі послаблення, але для цього компаніям прийдеться надати листа від юриста, нотаріуса чи бухгалтера. Пройти перевірку за рядом додаткових критеріїв необхідно буде банкам і компаніям, що знаходяться в групі ризику - тобто тим, що можуть становити великий інтерес для кібершахраїв. А від фірм, що існують менш трьох років, можуть зажадати надати свідчення про те, що їхній банківський рахунок дійсний. Ряду компаній сертифікація поки буде недоступна, серед них - суспільства з необмеженою відповідальністю, некорпоративні асоціації, фірми, що знаходяться в одноособовому володінні, а також приватні підприємці.

По матеріалам http://www.secblog.info.

На секлабі опублікована стаття, яка наводить підсумки минулого року, про 10 самих цікавих подій в області інформаційної безпеки (в Росії і в світі), що відбулися в 2006 році.

1. RIAA подала позов проти російської компанії на 1.650.000.000.000,00 доларів США.

2. Винесено вирок системному адміністратору, що установив неліцензійний AutoCad.

3. Депутатська грамота за дефейс сайта.

4. Windows 2003 Server - одна із самих надійних операційних систем.

5. Microsoft примусово встановлює на комп’ютери користувачів Windows Genuine Advantage.

6. Російські вчені направили лист Путіну про заборону закордонного ПО.

7. У Windows Vista буде нова антипіратська технологія.

8. Microsoft розробила закон, що дозволяє розробникам ПО віддалено видаляти свої програми на комп’ютерах користувачів.

9. $20000 за донос на роботодавця, що використовує неліцензійне ПО.

10. Вперше в Росії була порушена кримінальна справа проти інтернет форуму.

З деякими з цих подій я погоджусь, з деякими ні. Відносно порядку цих подій та їх місця в списку 10 найцікавіших секюріті подій минулого року, я теж частово погоджуюсь, частково ні (зокрема треба було згадати про запуск мого веб проекту, і розмістити його на початку списку ). Але в цілому 2006 рік видався доволі цікавим, в тому числі і в області інформаційної безпеки.

• Итоги уходящего года (деталі)