Websecurity - Веб безпека

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття (на англійській мові). В лютневому номері журналу PenTest Extra 02/2012, що вийшов 15.02.2012, опублікована стаття “CSRF атаки на мережеві пристрої” (CSRF Attacks on Network Devices).

В ній розповідається про проведення CSRF атак на різні мережеві пристрої, такі як ADSL модеми, роутери, Wi-Fi точки доступа та інші девайси. Наявність CSRF уразливостей в даних пристроях дозволяє віддаленому нападнику взяти їх під повний контроль. І атакувати користувачів, що використовують дані пристрої (зокрема для доступу в Інтернет).

Такі уразливості в різних мережевий пристроях я неодноразово знаходив та писав про них в новинах. Зокрема про Cross-Site Request Forgery уразливості в Iskra Callisto 821+, D-Link DSL-500T ADSL Router та D-Link DAP 1150. І на прикладі уразливостей в Callisto 821+ та DAP 1150 я показав можливість проведення віддалених атак на мережеві пристрої в своїй статті.

Я розглянув два приклади атак на мережеві пристрої: в першій атаці нападник робить віддалений CSRF запит для відкриття доступу до адмінки і входить до адмінки, щоб змінити конфігурацію пристрою, а в другій атаці нападник робить всі дії віддалено через CSRF запити. Всі приклади CSRF експлоітів для статті були зроблені використовуючи мій Генератор CSRF.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

P.S.

Виклав на сайті повну версію статті CSRF attacks on network devices.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://motormusic.kiev.ua - інфекція була виявлена 26.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://pankurchak.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://majorich.com - інфекція була виявлена 29.01.2012. Зараз сайт входить до переліку підозрілих.
• http://kidstaff.com.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://astermius.io.ua - інфекція була виявлена 24.12.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт astermius.io.ua також хостить в себе Укртелеком.

Вчора вийшов мій новий комерційний реліз - мій альбом “It’s My House”. В даному випадку це EP і це третій комерційний реліз після мого сінглу “Sense Of Beat”.

Альбом складається з трьох house, tech-house і techno-house композицій. Він вже розміщений на Juno Download та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 3 композиції, що були створені мною в 2010-2011 роках. Це наступні композиції:

1. My House
2. My Tech-house
3. In The House Of Techno

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dizklz-lviv.gov.ua (хакером Z4R4THUSTR4) - 30.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://mr.gov.ua (хакером Over-X) - 02.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://eng.ukurier.gov.ua (хакером Lekosta) - 13.11.2011 - взломаний державний сайт, зараз сайт не працює (немає контенту)
• http://vichna-ukraina.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://сходница.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fp.ua - інфекція була виявлена 18.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://studia.at.ua - інфекція була виявлена 14.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://vse-futbolki.pp.ua - інфекція була виявлена 12.12.2011. Зараз сайт входить до переліку підозрілих.
• http://onua.com.ua - інфекція була виявлена 20.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://fundmarket.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.

У вівторок, 31.01.2012, МВС України закрило найбільш популярний український файлообмінник EX.ua. Ця подія достатньо широко освітлюється в ЗМІ, як з моменту закриття, так і по сьогодні, тому що щодня відбуваються нові події пов’язанні з закриттям EX.ua.

Враховуючи, що я регулярно користуюся цим файлообмінником, то його закриття ясна річ створило для мене незручності. Ще більші, ніж це мало місце у випадку закриття Infostore в грудні 2008 року.

Коротко нагадаю ретроспективу подій:

31.01.2012 - МВС закрило EX.ua.
31.01.2012 - якщо в понеділок я нормально користувався ex.ua, то вже в вівторок сайт не відкривався. В мере одразу ж виникли підозри, що це може “міліція дісталася до ресурсу”, і після декількох годин, коли сайт все ще не працював, я знайшов новини в ЗМІ, що підтвердили мої підозри.
31.01.2012 - початок DDoS атак на державні сайти.
02.02.2012 - міліція відізвала заяву на блокування домену.
03.02.2012 - EX.ua відновив роботу, хоча більшість файлів все ще не доступні.

Закриття файлообмінника вилилося у незадоволення користувачів та прихильників ресурсу, що призвело до численних DDoS атак на gov.ua сайти. Зокрема на протязі перших днів після інциденту були атаковані сайти МВС, Президента, СБУ, Кабінету Міністрів, Податкової адміністрації, Партії Регіонів та НБУ.

Цей випадок схожий на інцидент з Infostore. Але тоді міліція закрила сайт через розміщення на ньому дитячої порнографії (така була офіційна причина). А у випадку з EX.ua офіційною причиною закриття МВС називає розміщення неліцензійного контенту. Тобто причина інша, але результат той же - міліція провела обшук і вилучила сервери проекту (всього 200 серверів), а також зобов’язала домен провайдера Imena.ua відключити домен. Тому це закриття сайту є наочним прикладом для всіх власників сайтів, що через наявність неліцензійного контенту можуть закрити їхній ресурс, про що я напишу окрему статтю.

І на відміну від випадку з Infostore, цього разу набагато більше громадян висловили своє обурення з цього приводу і висловили свою підтримку проекту. В тому числі були створенні групи підтримки у соціальних мережах та проведені акції протесту під стінами МВС. А також були проведені вищезгадані численні DDoS атаки на державні сайти. І це принесло свої плоди - МВС зрозуміло, що не варто було закривати домен і відкликало свою заяву, після чого домен ex.ua знову запрацював, але більша частина контенту на сервері відсутня (так як сервери з файлами вилучила МВС, лише залишилася БД з інформацією про файли), але адміністрація ресурсу працює над його відновленням.

Торкнуся теми інформування про витоки інформації, що сталися внаслідок секюріті інцидентів, таких як взлом сайта, проникнення в СУБД, на комп’ютери в LAN, тощо. Зокрема це стосується різних компаній, що мають клієнтську базу і які мали б інформувати своїх клієнтів про такі випадки.

За звичай про витоки інформації (особливо клієнтської) компанії особливо не розголошують, ні публічно, ні клієнтів не інформують. Зокрема це стосується України, на заході такі випадки іноді мають місце, але вони нечисленні - набагато більше випадків приховуються, ніж стають публічними. В тому числі це стосується таких компаній як домен і хостер провайдери, приклади випадків з деякими з них я наведу далі.

Іноді компанії, зокрема ті ж хостери, повідомляють своїх клієнтів, що їм змінили паролі, але нічого більше не згадуючи. Або ж додаючи, що цю зміну вони зробили за для безпеки своїх користувачів - такі вони компанії, що дуже піклуються про безпеку власних користувачів (при цьому маючи численні дірки на власних сайтах).

Нещодавно я писав про новий закон Євросоюзу, що повинен буде змусити компанії в ЄС повідомляти про взлом протягом 24 годин. Як приймуть цей закон, то в країнах ЄС компаніям доведеться вже не приховувати інциденти (чи зовсів не сповіщати, чи “не уточнювати”, що саме сталося), а оперативно інформувати своїх клієнтів, при цьому чітко вказуючи, що мав місце саме взлом (чи інший витік інформації). А раз клієнтів проінформують, то і в ЗМІ ця інформація з’явиться. Колись ця практика дійде й до України.

В цій же новині я згадував про інцидент з DreamHost - цього хостера взломали і вони публічно сповістили про це своїх клієнтів. Яких у компанії багато - на хостінгу DreamHost розміщується близько 1,22 млн. доменів. Подібних кроків від провайдерів побачиш не часто. Приведу вам приклад з українських реалій.

Мені доводилося отримувати листи про зміну пароля на сайтах, якими я користуюся, адміни яких робили вигляд, що турбуються про безпеку, тому змінили пароль. Хоча при цьому мають дірявий сайт, бо на його безпеку вони забивають, і зміна пароля користувачам - це найлегший і безкоштовний спосіб “зробити вигляд”.

Наприклад, 30.10.2008 домен провайдер Imena.ua, послугами якого я користуюся для своїх сайтів ще з 2003 року, вислав сповіщення про зміну пароля в адмінку. Пояснювалося це турботою про безпеку. Жодних заяв про взломи чи витоки інформації не було, хоча це перше, що напрошується в якості причини. І якби це в них була така практика - щомісяця змінуювати паролі - то це було б зрозуміло, але це був перший випадок за 5 років і за наступні 3,5 років більше таких змін не було. Й таких “тихих” змін паролів, без жодних заяв про взломи, серед україньских компаній я гадаю відбується чимало.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт, на сайті все ще розміщений html файл хакера
• http://fish.com.ua (хакером isyanqar musqaral1)
• http://festival-shopping.com (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011, на сайті все ще розміщений файл хакера

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу записи на тему Man-In-The-Middle (MITM) атак. Торік я вже наводив статтю з Вікіпедії, в якій детально розповідається про даний клас атак.

В своєму записі Detecting MITM/Hacking Proxies Via SSL, RSnake розповідає про визначення проксі для MITM атак через SSL.

В своєму записі Places to MITM, RSnake розповідає про місця для MITM атак.

В своєму записі MITM, SSL and Session Fixation, RSnake розповідає про проведення Session Fixation атаки через MITM при використанні SSL у браузері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 03.01.2012. Зараз сайт входить до переліку підозрілих.
• http://poleznoe-40s.ucoz.ua - інфекція була виявлена 10.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://digitallworld.com.ua - інфекція була виявлена 30.01.2012. Зараз сайт входить до переліку підозрілих.
• http://ppi.pp.ua - інфекція була виявлена 24.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://x3mal.com.ua - інфекція була виявлена 11.12.2011. Зараз сайт входить до переліку підозрілих.