Websecurity - Веб безпека

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на поштових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.nb.mk.ua (хакером LeXx) - похаканий форум сайта
• http://www.medicalbulletin.com.ua (хакером Palyo34 з 1923Turk)
• http://foton.com.ua (хакером 3KB3R) - 11.01.2010, зараз сайт вже виправлений адмінами
• http://www.ontop.od.ua (хакером ADIGA)
• http://carlsenschool.com (хакером Mr.D4rK) - 11.12.2009, зараз сайт закритий провайдером

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://era-fm.net - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://openbiz.com.ua - інфекція була виявлена 03.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://otvety.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pereklad.com - інфекція була виявлена 01.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 40 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://defend-pc.com - інфекція була виявлена 08.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Причому інфікований сайт http://defend-pc.com є секюріті проектом (псевдо секюріті), що пропонує послуги по захисту комп’ютера від вірусів та спамерів. Їм варто спочатку власний сайт захистити, а вже потім іншим пропонувати захист . Якщо ви пошукаєте інформацію в Інтернеті, то виясните, що подібні сайти - це поширений розвод на гроші інтернет-користувачів (даний сайт подібний defend-pc.ru). Ось такі сайти хостить в себе Укртелеком, окрім створення уразливостей на власних сайтах .

Про можливі атаки через редиректори, в тому числі сервіси редирекції, я писав в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Зокрема я наголошував на можливості розповсюдження шкідливого ПЗ через редиректори.

Також я писав про уразливості на багатьох сервісах редирекції, зокрема про уразливості на tinyurl.com. І я зокрема писав про можливість розповсюдження шкідливого коду саме через сервіс TinyURL. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.

І нещодавно, 03.03.2010, я виявив, що tinyurl.com почав активно використовуватися для поширення malware. Тому що Гугл виявив інфекцію на даному сайті, зокрема в його редиректорах (подібне використання tinyurl.com могло бути й раніше, але лише нещодавно я це виявив).

Це добре, що Google почав перевіряти на інфікованість і сервіси редирекції. Зокрема на tinyurl.com Гугл виявив 363 редиректори, з яких на 112 була виявлена підозріла активність за останні 90 днів. Частина сайта tinyurl.com була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 52 сайтів.

Що цікаво, TinyURL почали звертати увагу на використання їхнього сервісу для атаки на користувачів, і почали попереджати про можливість небезпеки при редирекції через них на деякі URL (потенційно вони можуть співробітничати з тим же Гуглом). Вони виводять сторінку “Warning - this URL may be harmful” з повідомленням про небезпеку даної адреси і пропонують користувачеві, якщо він бажає, самому перейти по лінці.

Зазначу, що TinyURL попереджає лише про деякі зі шкідливих URL (знайдених Гуглом), а ще багато інших їхніх редиректорів на шкідливі сайти працюють без жодних попереджень. Тому їм потрібно ще працювати над покращенням свого сервісу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.amnu.gov.ua (хакером the.spider) - це перший взлом державного сайта в цьому році - похаканий форум сайта, причому спочатку він був взломаний 09.01.2010 the.spider, потім 21.02.2010 Vezir.04 і в той же день взломаний The.caylak. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.sumy-bespredel.info (хакером SALDIRAY) - 24.02.2010, зараз сайт вже виправлений адмінами
• http://www.mp.dn.ua (хакером Palyo34 з 1923 Turk Group) - 26.02.2010, зараз сайт вже виправлений адмінами
• http://sfw.kharkov.ua (хакером DardanMiftari) - дефейс залишився на окремій сторінці сайта
• http://www.panbud.com.ua (хакером KuNdUz) - 26.12.2009 - зараз сайт не працює

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2009 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2009 по 30.06.2009, а в звіті Хакерська активність в Уанеті в 2 півріччі 2009 - дані за період з 01.07.2009 по 31.12.2009.

За весь 2009 рік в Уанеті була проведена 273 атака на веб сайти - 129 за перше півріччя і 144 за друге. Для порівняння, за весь 2008 рік було зафіксовано всього 151 атака на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою. Як видно активність хакерів все більш помітна і вона продовжує щороку зростати.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2009 активність більша на 360% в порівнянні з аналогічним періодом 2008 року, а за друге півріччя 2009 - на 17,1% більше за аналогічний період 2008 року (і на 11,6% більше за перше півріччя 2009 року). А в цілому в 2009 році активність зросла на 80,8% порівняно з 2008 роком - зростання в 1,81 рази.

В 2009 році загалом було атаковано 273 веб ресурси (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 67 сайтів, які вірогідно були похакані в 2009 році.

Головні тенденції 2009 року в діяльності хакерів в Уанеті:

• Хакерська активність значно зросла - на 80,8% порівняно з 2008 роком (збільшення динаміки у 1,81 рази).
• Все більше сайтів в Уанеті заражуються вірусами: в 2008 я виявив 4 інфікованих сайти, в 2009 - вже 67 сайтів.
• Кількість DDoS атак на сайти така сама як і в 2008 році - 7 випадків DDoS атак за рік. Це 2,6% від всіх атак за 2009 рік.
• Атаковані 7 державних сайтів (6 gov.ua-сайтів та сайт Укртелекома) та інфіковано ще 5 gov.ua-сайтів.
• Під час передвиборчої компанії було взломано 7 сайтів політичних партій.

Рейтинг хакерів за рік (TOP-5):

1. хакери з Azerbaijan Attacker Team (за взлом 12 сайтів)
2. хакери з ISLAMIC GHOSTS TEAM (за взлом 9 сайтів)
3. хакери з 1923TurK-Grup (за взлом 8 сайтів)
4. хакер AsSerT (за взлом 8 сайтів)
5. хакер SALDIRAY (за взлом 7 сайтів)

Підсумовуючи скажу, що активність хакерів в минулому році значно зросла і вона продовжує зростати. І в 2010 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ntr.lutsk.ua - інфекція була виявлена 22.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://norrest.com.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura-inform.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://radioera.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura.dn.ua - інфекція була виявлена 02.02.2010. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайти ntr.lutsk.ua та ранішезгаданий crazy-party.com.ua хостяться у провайдера Приват-онлайн, який є дочірньою компанією ПриватБанка. Тобто ПриватБанк окрім розробки власних дірявих сайтів та хронічного ігнорування проблем з їх безпекою, також хостить у себя діряві сайти, які взламують і розміщують на них шкідливе ПЗ. Ось такий “безпечний” у них підхід .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://donbasket.com (хакером FuaDanger34) - 12.02.2010, зараз сайт вже виправлений адмінами
• http://joomla.in.dn.ua (хакерами Palyo34 і KroNicKq з 1923Turk-Grup)
• http://koboabe.com (хакером Underworld)
• http://kenly2009.pp.ua (хакером jankiy3_es3r_genclik)
• http://www.nrb-ukraine.com (хакером SALDIRAY) - 19.02.2010, зараз сайт не працює (закритий хостером)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pusha.com.ua - інфекція була виявлена 24.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://yarlu4ok.com.ua - інфекція була виявлена 16.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://hichkok.org.ua - інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mircen.com.ua - інфекція була виявлена 05.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://crazy-party.com.ua - інфекція була виявлена 03.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fylypiv.com (хакером Metropolis)
• http://vavilon.in.dn.ua (хакером Palyo34 з 1923Turk) - 09.02.2010, зараз сайт вже виправлений адмінами
• http://autoexec.dp.ua (хакером SaDRaZaM) - причому спочатку сайт був взломаний 04.02.2010 SaDRaZaM, а вже 07.02.2010 взломаний LazRa. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.belmar-ltd.com (хакером Mr.D4rK) - похаканий форум сайта
• http://www.abcaudit.com.ua (хакерами з ParsiHacker Security Team) - похакана директорія сайта