Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-alligator.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт входить до переліку підозрілих.
• http://top.zp.ua - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://volfy.at.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://best.ua - інфекція була виявлена 23.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://gorlovkadosk.net.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2010 - 2012 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2010, 2011 і 2012 роках.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2012 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень наявне загальне зменшення динаміки в останні два роки, кількість інфікованих державних сайтів зросла.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
• http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://srkom.snu.edu.ua (хакером joker)
• http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами

В своїх звітах про Інфіковані хостери в 1 півріччі 2012 року та Інфіковані хостери в 2 півріччі 2012 року я розповів, що в Уанеті було 98 інфікованих сайтів в першому півріччі та 105 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2012 році було інфіковано 203 сайти (виявлених мною), при цьому один сайт був інфікований в першому і в другому півріччі. Всього було 80 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так і другому півріччі минулого року (16 провайдерів), а деякі робили це і 2011 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Autocenter, Besthosting, BitterNet, Black Sea, BSB Service, CaroNet, Cityhost, Citynet, CloudFlare, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, DCKIEVUA, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Host VDS, Hosting.UA, HostLife, HostPro, Hvosting, iHome, Incapsula, Inetmar, Infocom, Internet-Hosting, Inter-Telecom, iomart Hosting, Keyweb Online, Lancom, Lan-Telecom, LeaseWeb, Limestone Networks, LuckyNet, Lux, Master-Service, MiroHost, NAU, Root, ServerBeach, Service Online, Smarty Media, SpaceWeb, STC Energy, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Telegroup-Ukraine, Telepark, Terabit, TEST, TOP NET, Triolan, UA Servers, Uadomen, UARNet, Ukrainehosting, Ukrainian Hosting, Ukrhosting, Ukrnames, UN, Unlim, Uplink, Valor, Vizor, Volia, VolumeDrive, Webalta, Wnet, Візор, Пряма Мова, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Freehost - 17 сайтів
2. Delta-X - 15 сайтів
3. Volia - 11 сайтів
4. Besthosting - 8 сайтів
5. Hetzner - 8 сайтів
6. MiroHost - 8 сайтів
7. Adamant - 7 сайтів
8. Compubyte Limited - 7 сайтів
9. UARNet - 6 сайтів
10. Infocom - 5 сайтів

Всього було виявлено хостінги 196 сайтів з 203. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://turizm.zp.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://albogroup.com - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://albogroup.com.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://medbiz.com.ua - інфекція була виявлена 13.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://ukraine-today.net - інфекція була виявлена 16.04.2013. Зараз сайт не входить до переліку підозрілих.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2012 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків). Зокрема я оприлюднив уразливості у флешках, що розміщувалися на мільйонах сайтів.
2. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 1,6 рази.
3. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
4. Збільшилася кількість DDoS-атак в Уанеті, в тому числі на державні сайти - зростання у 1,43 рази.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2011 я виявив 233 інфікованих сайтів, а в 2012 вже 202 сайти (зменшення динаміки у 1,15 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter та були взломані LinkedIn та інші відомі сайти.
7. В Уанеті хакерська активність дещо впала порівняно з 2011 роком, зокрема в Уанеті спад на 19,5% (але то я менше досліджував, а насправді вона зросла).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2013 році.

1. Уразливостей у веб додатках буде знайдено набагато більше, ніж у інших додатках.
2. Збільшиться кількість атак на державні сайти України.
3. Зростання кількості заражених вірусами веб сторінок буде більш активним.
4. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
5. Втрати від кібершахрайства в Україні збільшаться.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.disgu.gov.ua (хакером Hmei7) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://che.gov.ua (хакером ZiqoR) - 03.02.2013 - похаканий державний сайт, зараз сайт взломаний Dr.SHA6H. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.transavio.com.ua (хакером misafir) - 13.01.2013, зараз сайт вже виправлений адмінами
• http://www.blagfond-ch.com.ua (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://cafeneptun.com (хакерами з 3xp1r3 Cyber Army) - 09.04.2013, зараз сайт вже виправлений адмінами

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2012 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2012 по 30.06.2012, а в звіті Хакерська активність в Уанеті в 2 півріччі 2012 - дані за період з 01.07.2012 по 31.12.2012.

За весь 2012 рік в Уанеті було проведено 1142 атаки на веб сайти - 668 за перше півріччя і 474 за друге. Для порівняння, за весь 2011 рік було зафіксовано всього 1419 атак на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2012 активність менша на 14,6% в порівнянні з аналогічним періодом 2011 року, а за друге півріччя 2012 - на 25,6% менше за аналогічний період 2011 року. А в цілому в 2012 році активність впала на 19,5% порівняно з 2011 роком - спад в 1,24 рази.

В 2012 році загалом було атаковано 1142 веб ресурси (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 203 сайти, які вірогідно були похакані в 2012 році. При цьому сайт nbuv.gov.ua був інфікований в першому і в другому півріччі, тому за рік інфіковано 202 окремих сайти.

Головні тенденції 2012 року в діяльності хакерів в Уанеті:

• Хакерська активність дещо впала - на 19,5% порівняно з 2011 роком (зменшення динаміки у 1,24 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2011 я виявив 233 інфікованих сайтів, в 2012 - вже 202 сайтів (зменшення динаміки у 1,15 рази).
• Кількість DDoS атак на сайти більша ніж в 2011 році - 40 випадків DDoS атак за рік (зростання у 1,43 рази). Це 3,5% від всіх атак за 2012 рік.
• Атаковано 171 державних сайтів та інфіковано ще 16 gov.ua-сайтів.
• Зростання взломів державних сайтів в 1,6 рази та збільшення інфікування gov.ua-сайтів в 1,78 рази порівняно з 2011 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2013 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://musicband.net.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://tetra.zp.ua - інфекція була виявлена 09.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://key.in.ua - інфекція була виявлена 22.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://akcion.net - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dctel.net.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

В підсумках хакерської активності в Уанеті в 2 півріччі 2012 я зазначав, що всього за цей період я виявив 105 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Besthosting, BitterNet, CloudFlare, Colocall, Compubyte Limited, DCKIEVUA, Delta-X, Freehost, Goodnet, Hetzner, Host VDS, HostLife, HostPro, Hosting.UA, Hvosting, Incapsula, Infocom, Inter-Telecom, Lan-Telecom, LeaseWeb, LuckyNet, Lux, MiroHost, ServerBeach, Smarty Media, SpaceWeb, SteepHost, TEST, TOP NET, Telegroup-Ukraine, Telepark, UA Servers, UARNet, Uadomen, Ukrainian Hosting, Ukrhosting, Unlim, Uplink, Valor, Vizor, Volia, Wnet, iomart Hosting, Візор, Пряма Мова.

Найбільші інфіковані хостери (TOP-10):

1. Freehost - 14 сайтів
2. Delta-X - 8 сайтів
3. Hetzner - 8 сайтів
4. Volia - 8 сайтів
5. Infocom - 5 сайтів
6. Wnet - 5 сайтів
7. Besthosting - 4 сайтів
8. Colocall - 3 сайтів
9. Compubyte Limited - 3 сайтів
10. MiroHost - 3 сайтів

Були виявлені хостінги всіх 105 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.