Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kirovograd.org.ua (хакером h242)
• http://www.celebis.com/forum/ (хакером DARK LORD) - взломаний форум сайта
• http://www.luk.com.ua (хакерами SecretlyX та BeLa) - сайт вже відновлений, лише на сайті залишилася сторінка дефейсу (Hackers.html)
• http://chizar.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 24.06.2008, зараз він вже виправлений адміном
• http://futureleaders.iatp.org.ua (хакером Hechizero) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла), коли орієнтовно і був похаканий

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа взломаних українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.a2k.org.ua (хакером Ans) - сайт був похаканий 26.07.2008 (або раніше) і зараз це вже виправлено. Але враховучи, що на сайті розміщена велика кількість зовнішніх лінок (з використанням “чорних” SEO методів), я можу сказати, що сайт знову був похаканий (SEOwned) вже іншим хакерами (причому давно). До речі, каталог сайта http://www.a2k.org.ua/catalog/ похаканий AnGe78 з ISLAMIC TEAM (причому також давно)
• http://ehard.com.ua (хакером DESPOT)
• http://www.vgoru.org (хакером EL_MuCaHiD)
• http://artzone.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 26.07.2008. Зараз він не працює, лише видає Full path disclosure уразливість
• http://www.salon.dn.ua (хакером AdReNaLin)

Додам, що раніше я вже писав про взлом сайту a2k.org.ua в підсумках хакерської активності в Уанеті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. Якщо минулого разу я навів приклади взломаних сайтів і в Уанеті і в інших частинах Інтернету, то цього разу наведу приклади лише похаканих сайтів Уанету. Зосереджу свої дослідження на нашому сегменті Мережі.

П’ятірка похаканих сайтів в Уанеті:

• http://www.binom.net.ua (хакерами XALIL і AINKA) - до речі, це сайт Центра безпеки “Біном” (секюріті сайт)
• http://www.zemukr.org.ua (хакером p@3t_b@y)
• http://www.gigabyte.net.ua (хакером START)
• http://finexpert.sumy.ua (хакером KatiL_Gakal) - був похаканий форум проекту, орієнтовно 10.03.2008, що адміни вже виправили
• http://www.gemjulia.com (хакером silver fox)

В своїй статті Кількість похаканих сайтів в Інтернеті я розповідав про розроблену мною методику пошуку похаканих (і ще не виправлених) сайтів. Дана методика дозволяє знайти дефейснуті сайти, на яких хакери, що їх взломали, залишили відповідні послання.

Наведу вам приклади взломаних сайтів з різних країн світу.

Ось п’ятірка похаканих сайтів в Інтернеті:

• http://school.journ.ru
• http://dikarka.com - окрім того, що сайт був взломаний, він також інфікований
• http://www.wagonlog.com
• http://www.stencilrevolution.com/forum/ - був поканий форум сайта, причому він ще був взломаним 22.07.2008, але зараз адміни вже прибрали дефейс
• http://koxptr.6te.net

А ось п’ятірка похаканих сайтів в Уанеті:

• http://uni-form.com.ua (хакерами з PR0H4CK3RZ) - сайт зараз не працює, останній раз він працював 19.06.2008 (за даними Гугла)
• http://kino.iatp.org.ua (хакерами з MassiF TeaM) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла)
• http://www.horse-travel.com.ua (хакером devil24)
• http://www.brodyaga.sumy.ua/phpBB2/ (хакером HUSEYINGAZI) - взломаний форум сайта
• http://lebedyn.com.ua/new_/ (хакерами з CYBERSOL)

Скільки зараз похаканих сайтів є в Інтернеті - це актуальне запитання. З новин ви знаєте, що сайти постійно хакаються, і кількість цих взломів вимірюється сотнями і тисячами (за одну хвилю взломів), іноди сягаючи сотень тисяч сайтів.

Щоб вияснити ситуацію зі взломами сайтів в Уанеті я проводжу власні дослідження, в результаті яких публікую звіти про хакерську активність в Уанеті. І в результаті нових досліджень сьогодні я розробив нову методу пошуку похаканих сайтів, причому як в Уанеті, так і в Інтернеті в цілому. Пошук відбувається за допомогою Гугла - через спеціальні дорки.

Даний метод дозволяє виявити похакані сайти, що були похакані нещодавно (або давно), і досі не були виправлені адмінами. Тому метод можна застосовувати для виявлення актуального стану похаканності Інтернета (щоб виявити свіже похакані сайти). Його також можна застосовувати взагалі для досліджень хакерської активності в Інтернеті, а також для проведення регіональних досліджень активності хакерів (в різних країнах).

Запити для виявлення похаканих сайтів:

intitle:”hacked by” - вцілому в Інтернеті до 1010000 сайтів зараз є похаканими.

Звичайно в результатах також є новинні сайти, що пишуть про взломи сайтів, але чимало й безпосередньо похаканих сайтів.

Пошук по Уанету:

intitle:”hacked by” site:ua - до 2060 сайтів зараз є похаканими.

intitle:”hacked by” + “сторінки з України” - до 2540 сайтів зараз є похаканими.

Другий запит більш точний (бо охоплює українські сайти, що не знаходяться в зоні ua) і тому має більше результатів.

В Інтернеті (і в Уанеті) в даний час знаходиться велика кількість похаканих сайтів. І з кожною хвилиною, як роботи Гугла (й інших пошуковців) обходять Мережу, дана інформація оновлюється.

Після оприлюднення результатів розвитку веб безпеки в 2007 році, надам свої прогнози на новий рік. Але спочатку зроблю огляд тих прогнозів, що я давав на 2007 рік.

На початку минулого року я зробив декілька прогнозів стосовно розвитку галузі веб безпеки в минулому році. Це був мій перший досвід прогнозування (розвитку галузі) , тому оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році ще більш поширилися (вони були найпоширенішими уразливостями веб додатків). Хоча такий тип як UXSS в PDF не поширився так, як я очікував, але в цілому різні типи XSS були дуже поширеними в 2007 році.
2. Фішинг став ще більш розповсюдженим і наніс великі збітки. Кількість фішерських технік також зросла в минулому році (що й призвело до більшого поширення фішингу).
3. Кількість веб вірусів та хробаків збільшилася.
4. Кількість Ajax уразливостей не дуже зросла, але атаки пов’язані з використанням Ajax були поширеними, особливо за рахунок веб вірусів.
5. Зросла хакерська активність (зокрема в Уанеті зростання на 240%).

Прогноз розвитку галузі веб безпеки в 2008 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Фішинг стане ще більш поширеним та з’являться нові техніки фішерських атак.
3. Insufficient Anti-automation уразливості стануть більш поширеними.
4. Збільшиться кількість і різноманітність веб вірусів та хробаків.
5. Зросте кількість заражених вірусами веб сторінок.
6. Збільшаться атаки на соціальні мережі.
7. Продовжиться подальше зростання хакерської активності.

Як я розповідав в своїй доповіді про стан Інтернет безпеки, в Уанеті є багато заражених вірусами веб сторінок (за даними компаній Sophos та PC Tools). І ця ситуація погіршується з кожним роком - кількість сайтів, що розповсюджують віруси постійно зростає, тому що власники сайтів в Уанеті (та в цілому в Інтернеті) недостатньо приділяють уваги безпеці.

Статистика Уанета:

Кількість сторінок з вірусами в 2006 - 3,2%.
Кількість сторінок з вірусами в 2007 - 7,7%.

Це кількість сторінок українських веб сайтів з числа усіх виявлених дослідниками сторінок з вірусами. Зростання в 2,4 рази за рік. Якщо дана динаміка продовжиться в 2008 році, що дуже вірогідно, то в цьому році отримаємо:

Кількість сторінок з вірусами в 2008 - 18,48% (прогноз).

Дані показники отримані Sophos після перевірки 8 мільярдів сторінок. І враховучи, що за даними компанії Google, в 2007 році як мінімум одна з десяти веб сторінок була заражена шкідливим кодом, то загальна кількість заражих веб сторінок (у Sophos) орієнтовно дорівнює 800 мільйонам. З наведених даних можна отримати абсолютні значення кількості заражених веб сторінок в Уанеті.

Кількість сторінок з вірусами в 2006 - 25600000 сторінок.
Кількість сторінок з вірусами в 2007 - 61600000 сторінок.
Кількість сторінок з вірусами в 2008 - 147840000 сторінок (прогноз).

Зазначу, що динаміка зростання числа зарежених веб сторінок дуже висока. За даними Sophos, щодня інфікується 6000 веб сторінок. І це те, що виявляється даною компанією, реальна ж кількість сторінок, що заражається вірусами щодня, може бути значно більшою.

Враховучи, що кількість веб сайтів в Уанеті (в доменній зоні ua) за даними Гугла дорінює 84500000, і припустивши, що в середньому на сайт припадає 10 сторінок, можна визначити рівень зараженості Уанета.

Зараженість Уанета (з 845 мільйонів сторінок):

Зараженість в 2006 - 3,03%.
Зараженість в 2007 - 7,29%.
Зараженість в 2008 - 17,50% (прогноз).

Ось така статистика з зараженістю веб сторінок Уанета і такій мій прогноз на даний рік. Тому власникам сайтів, якщо вони не хочуть, щоб їхні сайти розповсюджували шкідливе ПЗ, слід починати серйозно відноситися до їх безпеки.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2007 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2007 по 30.06.2007, а в звіті Хакерська активність в Уанеті в 2 півріччі 2007 - дані за період з 01.07.2007 по 31.12.2007.

За весь 2007 рік в Уанеті було проведено 17 атак на веб сайти - 6 за перше півріччя і 11 за друге. Для порівняння, за весь 2006 рік було зафіксовано всього 5 атак на веб сайти. Це невелика цифра порівняно з іншими регіонами Інтернету, але активність хакерів помітна і вона продовжує стрімко зростати.

Найбільш примітна динаміка зростання хакерської активності: за перше півріччя 2007 активність більша на 20% за весь 2006 рік, а за друге півріччя 2007 - на 83% більше за перше півріччя (і на 120% більше за весь 2006 рік). А в цілому в 2007 році активність зросла на 240% порівняно з 2006 роком - зростання в 3,4 рази.

В 2007 році загалом були атаковані наступні ресурси: www.vitrenko.org, www.kpu.net.ua, www.smru.com.ua, www.vydrin.com, www.partyofregions.org.ua, www.avtobazar.lg.ua, nik.ck.ua, www.spu.org.ua, blog.korrespondent.net, regions.org.ua, www.redtram.com, president.gov.ua, www.rabbinate.org.ua, forum.sevastopol.info та a2k.org.ua.

Зазначу, що це лише офіційна інформація, про яку власники сайтів офіційно заявили в пресу (зокрема в інтернет ЗМІ), тим самим підтвердивши її, або взлом був зафіксований зовнішніми веб ресурсами. Такий малий об’єм даних про взломи також свідчить про те, що більшість випадків просто приховується (або про них навіть не здогадуються, бо атаки хакерів просто не виявляються).

Серед головних тенденцій 2007 року в діяльності хакерів в Уанеті є те, що хакерська активність сильно зросла (на 240% порівняно з 2006 роком). Та те, що зросла кількість DDoS атак на сайти - 8 випадків DDoS атак за рік (при тому, що сайт президента України атакувався тривалий час і я всі атаки на даний сайт зарахував за одну). Це 47% від всіх атак за 2007 рік.

Підсумовуючи скажу, що хоча активність хакерів поки дуже низька, але ситуація змінюються і дуже стрімко. Тому разом із розвитком Уанету і збільшенням його аудиторії, буде збільшуватися і хакерська активність, що добре видно по результатам 2007 року.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2007 року.

За другу половину минулого року хакери в Уанеті вели себе ще більш активно. Якщо за весь 2006 рік в Уанеті було проведено 5 атак на веб сайти, за першу половину 2007 року - 6 атак, то за другу половину 2007 року - вже 11 атак на веб сайти. Що говорить про значне збільшення активності хакерів в минулому році.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2007 року - за період з 01.07.2007 по 31.12.2007.

За цей час були взломані наступні сайти:

• сайт ресторану “НІК” nik.ck.ua (хакером dexspace) - 02.08.2007 (по інформації void.ru)
• сайт СПУ www.spu.org.ua (DDoS невідомими хакерами) - 04.08.2007 (по інформації for-ua.com)
• сайт a2k.org.ua (хакером похеки) - 23.08.2007 (по інформації void.ru)
• Блоги на Корреспонденті blog.korrespondent.net, що зараз переїхали на blogs.korrespondent.net (краснодарським хакером Маг) - 11.06.2007, але інформація з’явилася лише в серпні (по інформації ain.com.ua)
• сайт Партії регіонів www.partyofregions.org.ua (DDoS невідомими хакерами) - 17.09.2007 (по інформації lenta.ru)
• сайт Фракції Партії регіонів regions.org.ua (DDoS невідомими хакерами) - 31.09.2007 (по інформації ain.com.ua)
• взлом офіційного сайта локальної мережі (колишнім співробітником провайдерської фірми), про що я писав - в жовтні 2007 (по інформації ain.com.ua)
• сайт RedTram www.redtram.com (DDoS невідомими хакерами) - 23.10.2007 (по інформації expert.com.ua)
• сайт Президента України president.gov.ua (DDoS Євразійським союзом молоді), про що я писав - 29.10.2007 (по інформації ain.com.ua)
• сайт Головного Раввіната України www.rabbinate.org.ua (DDoS невідомими хакерами) - 05.11.2007 (по інформації ain.com.ua)
• форум “Севастопольского портала” forum.sevastopol.info (DDoS невідомими хакерами) - 12.11.2007 (по інформації ain.com.ua)

Стосовно мого взлому ain.com.ua (інша лінка) 28.10.2007 (щоб прочитати текст потрібно знайти новину за 28.10), то в даному переліку я його не наводжу. Тому що в моєму випадку це був добрий хак , тому до подібних переліків він не відноситься.

Рейтинг хакерів:

1. краснодарський хакер Маг (за взлом blog.korrespondent.net, з подальшим доступом до БД icq.bigmir.net)
2. невідомі хакери (що атакували сайт Партії регіонів)
3. невідомі хакери (що атакували сайт Фракції Партії регіонів)
4. Євразійці (що атакували сайт Президента України)
5. хакер dexspace
6. невідомі хакери (що атакували сайт СПУ)
7. невідомі хакери (що атакували форум “Севастопольского портала”)
8. звільнений працівник (що взломав офіційний сайт локальної мережі)
9. хакер похеки
10. невідомі хакери (що атакували сайт Головного Раввіната України)
11. невідомі хакери (що атакували сайт RedTram)

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2007 рік.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2007 року.

За першу половину поточного року хакери в Уанеті ведуть себе більш активно ніж в 2006 році. Причому доволі відчутне політичне забарвлення - в минулому році хакали різні сайти (окрім політичних), то в цьому році атакують виключно політичні сайти. Це така регіональна специфіка . Особливо в контексті майбутніх виборів.

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2007 року - за період з 01.01.2007 по 30.06.2007.

За цей час були взломані наступні сайти:

• сайт Наталії Вітренко www.vitrenko.org (південно-корейськими хакерами) - 07.02.2007 (по інформації www.podrobnosti.ua)
• сайт Автобазар avtobazar.lg.ua (хакером XSPY3X) - 01.03.2007 (по інформації void.ru)
• сайт Компартії України www.kpu.net.ua (невідомими хакерами) - 05.05.2007 (по інформації ain.com.ua)
• форум сайта Союзу молоді регіонів України (хакерами націоналістами) - 10.05.2007 (по інформації ain.com.ua)
• сайт депутата від БЮТ Дмитра Видріна (невідомими хакерами) - 13.05.2007 (по інформації ain.com.ua)
• сайт Партії Регіонів (DDoS атака “вірусом”) - 15.05.2007 (по інформації ain.com.ua)

Рейтинг хакерів:

1. хакери націоналісти (які залишили веселе повідомлення на сайті)
2. невідомі хакери (які взломали сайт Дмитра Видріна)
3. “вірус” (що атакував сайт Партії Регіонів)
4. невідомі хакери (які взломали сайт КПУ)
5. південно-корейські хакери
6. XSPY3X (який взломав сайт Автобазар)

Наприкінці року підготую звіт за друге півріччя та підведу підсумки за 2007 рік. Вже зараз активність хакерів збільшується, в зв’язку з початком передвиборчої компанії.