Архів для категорії 'Дослідження'

Інфіковані сайти №22

22:48 29.03.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nahuinuzno.com - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://ogk.kiev.ua - інфекція була виявлена 28.01.2010. Зараз сайт не входить до переліку підозрілих.
  • http://kivi-x.if.ua - інфекція була виявлена 27.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://stoknig.com - інфекція була виявлена 23.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://dobra-glina.com.ua - інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з defend-pc.com, інфіковані сайти kivi-x.if.ua та stoknig.com також хостить в себе Укртелеком.

Похакані сайти №89

22:46 24.03.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.kurash.com.ua (хакером RoAd_KiLlEr) - 13.03.2010, зараз сайт вже виправлений адмінами
  • http://librkorec.rv.ua (хакером SALDIRAY)
  • http://antivirus2010.org.ua (хакером ZH4RK) - 15.03.2010, зараз сайт не працює
  • http://www.acmagistral.com.ua (хакером TimeLord)
  • http://parktrade.com.ua (хакером DaNG3R)

Інфіковані сайти №21

20:05 23.03.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://gazeta.ua - інфекція була виявлена 27.12.2009. Зараз сайт не входить до переліку підозрілих.
  • http://nightclubbing.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://crisis-coming.org.ua - інфекція була виявлена 22.03.2010. Зараз сайт входить до переліку підозрілих.
  • http://private-school.sumy.ua - інфекція була виявлена 23.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://mixon.ua - інфекція була виявлена 20.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 38 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Взломи Dementor-а

19:14 22.03.2010

Українській хакер Dementor за останній час взломам декілька сайтів, в тому числі в Уанеті. Про що повідомив в себе на форумі й виклав скріншоти взломів.

Серед взломаних сайтів два україньских та два російських:

  • www.chilli.net.ua
  • finnews.ru
  • orichi.info
  • shai.dp.ua

Він явно вирішив створити конкуренцію турецьким та азербайджанським хакерам ;-) , що активно взламують сайти в Уанеті. Як я вже зазначав раніше, в останні роки найбільше взламують сайти в Уанеті саме турки, і в 2010 році ця тенденція продовжується.

Похакані сайти №88

22:42 17.03.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010, зараз сайт вже виправлений адмінами
  • http://dpks.dp.ua (хакером MulTiHaCkeR)
  • http://www.virtlibrary.dp.ua (хакерами Google і Leon)
  • http://www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010, був похаканий форум сайта, що вже виправлений адмінами
  • http://www.santel.com.ua (хакером bejo6)

Інфіковані сайти №20

19:25 15.03.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://klitschko.com - сайт братів Кличко - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Хоча, за заявою Гугла, зараз сайт не входить до переліку підозрілих, але на ньому все ще є інфіковані сторінки (по інформації того ж Гугла). Тобто зараз сайт все ж таки входить до переліку підозрілих.
  • http://redox.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://ua-pravda.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://ua-24.com - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://rupor.info - інфекція була виявлена 21.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Розвиток веб безпеки в 2010 році

22:44 12.03.2010

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

  1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
  2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
  3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
  4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на поштових сервісах та кількість спаму з них.
  5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
  6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
  7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися :-) .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

  1. Уразливості XSS будуть поширюватися й надалі.
  2. Збільшаться випадки витоків важливої інформації.
  3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
  4. Фішинг стане ще більш розповсюдженим.
  5. Продовжить зростати кількість заражених вірусами веб сторінок.
  6. Атаки на соціальні мережі продовжать збільшуватися.
  7. Продовжиться подальше зростання хакерської активності.

Похакані сайти №87

22:43 10.03.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.nb.mk.ua (хакером LeXx) - похаканий форум сайта
  • http://www.medicalbulletin.com.ua (хакером Palyo34 з 1923Turk)
  • http://foton.com.ua (хакером 3KB3R) - 11.01.2010, зараз сайт вже виправлений адмінами
  • http://www.ontop.od.ua (хакером ADIGA)
  • http://carlsenschool.com (хакером Mr.D4rK) - 11.12.2009, зараз сайт закритий провайдером

Інфіковані сайти №19

22:43 09.03.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://era-fm.net - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://openbiz.com.ua - інфекція була виявлена 03.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://otvety.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://pereklad.com - інфекція була виявлена 01.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 40 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://defend-pc.com - інфекція була виявлена 08.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Причому інфікований сайт http://defend-pc.com є секюріті проектом (псевдо секюріті), що пропонує послуги по захисту комп’ютера від вірусів та спамерів. Їм варто спочатку власний сайт захистити, а вже потім іншим пропонувати захист :-) . Якщо ви пошукаєте інформацію в Інтернеті, то виясните, що подібні сайти - це поширений розвод на гроші інтернет-користувачів (даний сайт подібний defend-pc.ru). Ось такі сайти хостить в себе Укртелеком, окрім створення уразливостей на власних сайтах ;-) .

Розповсюдження шкідливого ПЗ через TinyURL

22:42 06.03.2010

Про можливі атаки через редиректори, в тому числі сервіси редирекції, я писав в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Зокрема я наголошував на можливості розповсюдження шкідливого ПЗ через редиректори.

Також я писав про уразливості на багатьох сервісах редирекції, зокрема про уразливості на tinyurl.com. І я зокрема писав про можливість розповсюдження шкідливого коду саме через сервіс TinyURL. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.

І нещодавно, 03.03.2010, я виявив, що tinyurl.com почав активно використовуватися для поширення malware. Тому що Гугл виявив інфекцію на даному сайті, зокрема в його редиректорах (подібне використання tinyurl.com могло бути й раніше, але лише нещодавно я це виявив).

Це добре, що Google почав перевіряти на інфікованість і сервіси редирекції. Зокрема на tinyurl.com Гугл виявив 363 редиректори, з яких на 112 була виявлена підозріла активність за останні 90 днів. Частина сайта tinyurl.com була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 52 сайтів.

Що цікаво, TinyURL почали звертати увагу на використання їхнього сервісу для атаки на користувачів, і почали попереджати про можливість небезпеки при редирекції через них на деякі URL (потенційно вони можуть співробітничати з тим же Гуглом). Вони виводять сторінку “Warning - this URL may be harmful” з повідомленням про небезпеку даної адреси і пропонують користувачеві, якщо він бажає, самому перейти по лінці.

Зазначу, що TinyURL попереджає лише про деякі зі шкідливих URL (знайдених Гуглом), а ще багато інших їхніх редиректорів на шкідливі сайти працюють без жодних попереджень. Тому їм потрібно ще працювати над покращенням свого сервісу.