Websecurity - Веб безпека

10.02.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 та 16.

Ось нова добірка уразливих секюріті сайтів:

• www.szru.gov.ua
• hackua.com
• www.md5this.com

Всім спецслужбам та security проектам слід приділяти більше уваги безпеці власних сайтів.

07.04.2010

Ще одна добірка уразливих секюріті сайтів:

• ufrnsb.kiev.ua
• www.seti-ua.com
• www.sec.ru

Секюріті проектам та компаніям варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://suninbev.com.ua - інфекція була виявлена 03.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kivi-x.info - інфекція була виявлена 05.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://design.lutsk.ua - інфекція була виявлена 02.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ukrtel.net - офіційний сайт ВАТ Укртелеком (сайт державної компанії) - інфекція була виявлена 05.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 21 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dnop.kiev.ua - інфікований державний сайт - інфекція була виявлена 02.02.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими сайтами, інфіковані сайти suninbev.com.ua, kivi-x.info та ukrtel.net також хостить в себе Укртелеком.

Існують системи пошуку вірусів на веб сайтах. Зокрема моя Web Virus Detection System, про яку я розповідав раніше. Сьогодні я відкрив окремий розділ на сайті, в якому викладена інформація про систему Web VDS.

Подібних систем є чимало від різних компаній, в тому числі вбудованих в пошукові системи. Дані системи можуть бути використані для захисту користувачів Інтернет від інфікованих сайтів. Також зазначу, що найближчим часом я опублікую результати мого комплексного дослідження різних систем пошуку вірусів на веб сайтах.

Зокрема я згадував про подібний сервіс від Symantec - Norton Safe Web. Так от компанія Symantec торік провела дослідження найбільш брудних (тобто небезпечних) веб сайтів і оприлюднила його результати.

В досліженні Dirtiest Web Sites of Summer 2009 оприлюднені 100 найбільш інфікованих сайтів, базуючись на даних про кількість вірусів на сайтах від сервіса Norton Safe Web за серпень 2009. Дані сайти становлять загрозу користувачам Інтернет.

В своєму дослідженні Symantec наводить наступні факти:

• Середнє число загроз на одному сайті зі списку Dirtiest Web Sites приблизно 18000, порівняно з 23 загрозами на сайт для всіх сайтів оцінених Norton Safe Web.
• 40 сайтів з Top 100 Dirtiest Web sites мають більше 20000 загроз на сайті.
• 48% сайтів з Top 100 Dirtiest Web sites мають контент для дорослих.
• 3/4 сайтів з Top 100 Dirtiest Web sites розповсюджували шкідливі коди більше 6 місяців.
• Найбільшою загрозою на сайтах з даного списку є віруси.

Вчора я писав про антивірус для сайтів від Symantec - сервіс Norton Safe Web. Окрім безпосередьно сайта, де можна подивитися на рейтинги інфікованості веб сайтів та зробити запит на перевірку ресурсів, які ще не були перевірені даним сервісом, Symantec також випустила тулбар (в лютому).

Norton Safe Web Lite - це плагін для браузерів (зокрема для IE), що представляє собою тулбар. Він є безкоштовною версією функції, що наявна в програмах Norton Internet Security та Norton 360. Цей плагін знаходиться в стадії бета версії з моменту його випуску 18.02.2010. І з офіціного сайта Norton Safe Web його скачати зараз неможна, бо, як повідомляє Symantec, вони набрали достатньо бета тестерів і поки призупинили роздачу даного плагіну. Цілком можливо, що компанія просто не задоволена якістю свого плагіну і/або сервісу .

Даний тулбар, що тісно інтегрований з онлайновою системою Norton Safe Web, призначений для захисту від інфікованих сайтів. Він дозволяє бачити рейтинги інфікованості веб сайтів при їх відвіданні та в результатах пошуку в популярних системах, а також дозволяє користувачам тулбара залишати власні оцінки сайтам.

Він дає більший захист ніж антивірусні системи вбудовані в пошуковці, бо тулбар захистить не тільки на сайтах пошуковців, але й на усіх інших сайтах (головне, щоб дані сайти були в базі). Але врахуючи низьку кількість сайтів в базі Symantec, ефективність їхнього тулбара невелика.

Зазначу, що для моєї системи Web VDS в 2008 році планувалося створення власного тулбара. Це був один з можливих варіантів використання системи, окрім роботи безпосередньо з веб інтерфейсом (вказуючи URL для перевірки).

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс, який я знайшов декілька днів тому. Це Norton Safe Web від Symantec. Це ще один конкурент моїй Web VDS.

Компанія Symantec відомий розробник антивірусних продуктів, тому подібний публічний сервіс від даної компанії мав коли-небудь з’явитися. Відповідно до знайденої мною інформації - даний сервіс Symantec запустила ще в 2008 році (у вигляді бета версії і зараз це вже офіційна версія сервісу). Це лише я натрапив на цей сервіс нещодавно .

На відміну від інших антивірусних компаній, таких як McAfee (що надає свою технологію Yahoo) та Sophos (що надає свою технологію Yandex), Symantec не стала надавати іншим компаніям власну технологію по виявленню вірусів на сайтах. І зробила власний веб сервіс, подібно до Google, який в минулому році зробив свій Safe Browsing публічним (при тому, що Гугл розробив свою технологію ще в 2006 році).

Щоб скористатися сервісом Norton Safe Web, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://safeweb.norton.com/report/show?url=site.com

Можете подитивитися на роботу сервіса на прикладі norton.com:

http://safeweb.norton.com/report/show?url=norton.com

Зазначу, що в Safe Web недостатньо велика база перевірених сайтів - вона на порядок менша ніж у Safe Browsing Гугла.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uspixm.com (хакерами з UAH-Crew)
• http://www.kompan.com.ua (хакерами з KING SOLUTIONZ)
• http://mirabela.com.ua (хакером RedGuard) - 20.03.2010, зараз сайт не працює
• http://www.compsysnet.chnu.edu.ua (хакером Top 511) - 23.03.2010, зараз сайт не працює (виводиться пуста сторінка)
• http://artalexdm.com.ua (хакером SALDIRAY) - 09.01.2010, зараз сайт вже виправлений адмінами

До речі, у групи UAH-Crew (United Albania Hackers) цікава назва - нагадує українську гривню (UAH) .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nahuinuzno.com - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ogk.kiev.ua - інфекція була виявлена 28.01.2010. Зараз сайт не входить до переліку підозрілих.
• http://kivi-x.if.ua - інфекція була виявлена 27.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://stoknig.com - інфекція була виявлена 23.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dobra-glina.com.ua - інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з defend-pc.com, інфіковані сайти kivi-x.if.ua та stoknig.com також хостить в себе Укртелеком.

Для WordPress існує такий цікавий плагін як WordPress Exploit Scanner. Це сканер експлоітів в WordPress.

Якщо ваш сайт на WP взломали, що може статися через численні уразливості в WordPress чи в плагінах до WP, про які я розповідав багато разів, чи ви підозрюєте, що ваш сайт могли взломати, то на ньому могли розмістити шкідливий код (або закачати шели). І от щоб виявити malware (експлоіти до браузерів), шели та бекдори на вашому сайті, можете скористатися даним сканером експлоітів в WP.

Для більш потужного сканування вашого сайта на WP на шкідливі коди, і особливо якщо ви використовуєте інші движки для сайта, для цього слід використовувати спеціалізовані системи. Такі як Web Virus Detection System.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kurash.com.ua (хакером RoAd_KiLlEr) - 13.03.2010, зараз сайт вже виправлений адмінами
• http://librkorec.rv.ua (хакером SALDIRAY)
• http://antivirus2010.org.ua (хакером ZH4RK) - 15.03.2010, зараз сайт не працює
• http://www.acmagistral.com.ua (хакером TimeLord)
• http://parktrade.com.ua (хакером DaNG3R)

Як я вже давно планував, розповім про мою систему Web VDS. В 2008 році я розробив Web Virus Detection System - систему виявлення вірусів на веб сайтах. Над системою я працював декілька місяців і довів її розробку до рівня бета версії. Вже на той час вона мала чимало можливостей і могла з деякою ефективнісю знаходити віруси на сторінках веб сайтів (хоча ефективність треба було покращувати і було багато планів по розробці системи).

В якості фінансового спонсора, для початку, а в подальшому і компанії, що прикладе свої ресурси для розробки і просування системи, виступала Head Technology. Тобто це мав бути наш спільний проект. Хоча спочатку ідея зацікавила компанію і план робіт був затверджений, але коли я довів розробку до стадії бета версії, Head Technology передумали приймати участь в даному проекті й, відповідно, не стали його фінансувати. Тому я доробив деякий функціонал системи і заморозив проект.

Мабуть вони Гугла злякалися, з яким потрібно було конкурувати . Або були інші причини (в тому числі ті, що вони мені назвали). Але проект був закритий, так і стартувавши. На той момент конкурентів в нас було не багато - в 2008 році лише два пошуковці Google та Yahoo надавали подібну інформацію і невелика кількість компаній займалися даною сферою. Зазначу, що на відміну від Гугла та інших сервісів, які демонструють стан зараженості веб сайтів, що лише заявляють інфікований сайт чи ні, моя Web VDS окрім остаточного висновку, також видавала оцінку зараженості (Infected score).

Цікаві події в даній сфері почали розгортатися в 2009 році. З кінця травня 2009 року Яндекс має подібний функціонал в своєму пошуковці - він вирішив не відставати від Гугла і Яху. А пізніше й інші компанії почали виходити на цей ринок (про що я розповів згодом).

Зазначу, що Яндекс, як і інші пошуковці, були одними з потенційних клієнтів для моєї системи (в мене було багато потенційних клієнтів, кого може зацікавити подібний функціонал). Тому, якщо б в 2008 році Web VDS була повністю розроблена, то можна було б Яндексу запропонувати наші послуги . А так Head Technology впустила дану нагоду, як й інші нагоди в цій сфері, що мали місце в останні роки (тому що зараз дана тема стала дуже актуальною).