Websecurity - Веб безпека

За повідомленням www.opennet.ru, на змаганні Pwn2Own 2014 продемонстровані взломи Chrome, Chrome OS, Firefox, IE, Safari та Flash.

Підведено підсумки змагання Pwn2Own 2014, проведеного в рамках конференції CanSecWest у Ванкуверу. На змаганні були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей, що привели до успішного виконання коду нападника в системі.

Захід вийшов як ніколи насиченим перемогами - за два дні змагань у сумі був виплачено 850 тисяч доларів винагород за демонстрацію 14 успішних атак. Найбільше яскраво відзначилась команда з компанії Vupen, що продемонструвала 5 успішних атак і заробила на них 400 тисяч доларів.

Були продемонстровані успішні атаки на Google Chrome, Chrome OS, Mozilla Firefox, Microsoft Internet Explorer та Apple Safari. А також на програми компанії Adobe: Flash і Reader.

За повідомленням threatpost.ru, Google виправила чотири баги з Pwn2Own в Chrome 33.

Після конкурсу Pwn2Own виробники браузерів почали випускати патчі для уразливостей, знайдених конкурсантами. Google випустила виправлення для декількох уразливостей у Chrome, виявлених і експлуатованих під час Pwn2Own, обновивши версії браузера для Windows, Mac і Linux.

VUPEN одержала нагороду $100000 від Google за дві уразливості у Chrome, а анонімний дослідник заробив $60000 за дві інші уразливості. Всього Гугл виправив 6 дірок в Chrome 33.

За повідомленням www.xakep.ru, Євросоюз прийняв нові закони по захисту персональних даних в Інтернеті.

Європейський парламент проголосував за великий пакет нових законів, що націлені на посилення захисту персональних даних жителів Євросоюзу. Прийняті Євросоюзом закони ще не набрали сили. Вони повинні бути затверджені новим складом парламенту після травневих виборів, а потім одержати схвалення Європейської ради. Проте, інтернет-компаніям можна готуватися до нового правового простору, що незабаром з’явиться в Європі.

У лютому, 20.02.2014, через півтора місяці після виходу Google Chrome 32, вийшов Google Chrome 33.

В браузері зроблено декілька нововведень, в тому числі за замовчуванням активоване блокування плагінів NPAPI (Netscape Plugin Application Programming Interface). А також виправлено 28 уразливостей. 20 з яких позначені як небезпечні та 8 як помірні.

18 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 33 (деталі)

У лютому, 14.02.2014, вийшов Mozilla Firefox 27.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 27. І в ній виправлено два баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 27.0.1 у якому усунуті наступні проблеми:

• усунуто проблеми зі стабільністю роботи, що виявляються при обробці JavaScript-кода, що використовує виклик ClearTimeoutOrInterval.
• виправлено помилку, що приводить до появи некоректних значень при використанні математичної функції Math.fround().

Хоча офіційно жодних дірок не виправлено, я відношу проблему з ClearTimeoutOrInterval до уразливостей. Це DoS уразливість в браузері.

Виявлена Buffer Overflow уразливість в Python.

Уразливі версії: Python 2.5, Python 3.3, Python 3.4.

Переповнення буфера в socket.recvfrom_info()

• Vulnerability in Python (деталі)

Раніше я писав про лютневі DDoS атаки в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з оголошенням Путіним війни Україні, в цьому місяці хакерська активність збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими хакерами були атаковані наступні сайти:

DDoS на hromadske.tv - 02-03.03.2014
DDoS на www.unian.net - 03.03.2014
DDoS на mvs.gov.ua - 04.03.2014
DDoS на www.pravda.com.ua - 04.03.2014
DDoS на www.1plus1.ua - 04.03.2014
DDoS на glavred.info - 04.03.2014
DDoS на www.telekritika.ua - 04.03.2014
DDoS на www.rnbo.gov.ua - 06.03.2014
DDoS на censor.net.ua - 13-14.03.2014 (сайт працював з перервами)
DDoS на www.ukrinform.ua - 16.03.2014
DDoS на www.segodnya.ua - 16.03.2014

В лютому сайти hromadske.tv і censor.net.ua вже зазнавали Distributed Denial of Service атак.

Також на протязі березня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 08-31.03.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 08-31.03.2014
DDoS на referendum2014.org.ua - 11.03.2014 - після атаки сайт закрили і змінили домен на .ru
DDoS на www.mid.ru - 14.03.2014
DDoS на www-ki.rada.crimea.ua - 15-31.03.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

rt.com - 02.03.2014 - сайт російського ЗМІ Russia Today
rg.ru - 07.03.2014 - сайт російського ЗМІ Российская газета
www.rada.crimea.ua - 09.03.2014 - я відмінив референдум в Криму
www.rada.crimea.ua - 13.03.2014 - я відправив у відставку прем’єра і спікера Криму

В 2011 році відбувся масовий взлом сайтів на сервері HostPro. А пізніше відбувся повторний масовий взлом цього ж сервера. Одинадцятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів і декількох крупних дефейсів сайтів.

Якщо першого разу було взломано 34 сайти, то цього разу було взломано 169 сайтів на сервері української компанії HostPro (IP 91.223.223.115). Всього 203 сайта.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти crimea.dzk.gov.ua, sms.gov.ua (в 2011) і crimea.dzk.gov.ua (в 2014).

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У лютому місяці Microsoft випустила 7 патчів. Що так само як і у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer та Forefront Protection for Exchange.

У січні, 14.01.2014, через два місяці після виходу Google Chrome 31, вийшов Google Chrome 32.

В браузері зроблено декілька нововведень, в тому числі додана функція автоматичного блокування завантаження шкідливих файлів. А також виправлена 21 уразливість. 16 з яких позначені як небезпечні та 5 як помірні.

18 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 32 (деталі)

Виявлена можливість виконання JS коду в Mozilla Thunderbird.

Уразливі продукти: Mozilla Thunderbird 17.0.6.

Можна виконати JavaScript код через теги object і embed з використанням base64 кодування.

• Mozilla Bug Bounty #5 - Thunderbird Remote Web Vulnerability (деталі)

Пертурбації з сайтом Президента України www.president.gov.ua. Після кривавих подій 18-20 лютого, президент утік, а в суботу в Верховній Раді обрали нового спікера та оголосили відставку президента. А в неділю спікера обрали в.о. президента.

Вже 18.02 почалася DDoS атака на www.president.gov.ua. А 22.02 почалася більш активна DDoS атака на офіційне представництво Президента України. З суботи сайт зовсім не відповідав (можливо, що сайт зовсім відключили, бо сам сервер працював). А вже 25.02.2014 сайт запрацював в оновленому вигляді, на якому зазначається, що зараз це представництво в.о. президента. Таким чином Янукович був остаточно відсторонений.

За повідомленням www.xakep.ru, браслет з електрокардіографом як універсальний пароль і гаманець.

Канадська компанія Bionym розробила браслети Nymi. Це дуже цікавий пристрій, що дозволяє здійснити трьохфакторну біометричну авторизацію. Щоб підтвердити свою особистість, користувач повинний 1) мати персональний браслет; 2) мати смартфон з персональним кодом у додатку Nymi; 3) мати пульс.

Розробники пропонують використовувати браслет не тільки як універсальний ключ від усіх пристроїв і пароль для комп’ютера, але і як гаманець. Програмне забезпечення підтримує роботу з Bitcoin.

За повідомленням threatpost.ru, хакери взломали Kickstarter.

У середині лютого адміністрація сервісу Kickstarter заявила про факт взлому їх сайта хакерами. Відповідна запис з’явився в корпоративному блозі компанії відразу після події.

У результаті атаки хакерам стали доступні імена, фізичні й електронні адреси, номери телефонів, а також авторизаційні дані користувачів. Цього рорку це черговий значний взлом після Yahoo.