Websecurity - Веб безпека

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс, який я знайшов декілька днів тому. Це Norton Safe Web від Symantec. Це ще один конкурент моїй Web VDS.

Компанія Symantec відомий розробник антивірусних продуктів, тому подібний публічний сервіс від даної компанії мав коли-небудь з’явитися. Відповідно до знайденої мною інформації - даний сервіс Symantec запустила ще в 2008 році (у вигляді бета версії і зараз це вже офіційна версія сервісу). Це лише я натрапив на цей сервіс нещодавно .

На відміну від інших антивірусних компаній, таких як McAfee (що надає свою технологію Yahoo) та Sophos (що надає свою технологію Yandex), Symantec не стала надавати іншим компаніям власну технологію по виявленню вірусів на сайтах. І зробила власний веб сервіс, подібно до Google, який в минулому році зробив свій Safe Browsing публічним (при тому, що Гугл розробив свою технологію ще в 2006 році).

Щоб скористатися сервісом Norton Safe Web, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://safeweb.norton.com/report/show?url=site.com

Можете подитивитися на роботу сервіса на прикладі norton.com:

http://safeweb.norton.com/report/show?url=norton.com

Зазначу, що в Safe Web недостатньо велика база перевірених сайтів - вона на порядок менша ніж у Safe Browsing Гугла.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uspixm.com (хакерами з UAH-Crew)
• http://www.kompan.com.ua (хакерами з KING SOLUTIONZ)
• http://mirabela.com.ua (хакером RedGuard) - 20.03.2010, зараз сайт не працює
• http://www.compsysnet.chnu.edu.ua (хакером Top 511) - 23.03.2010, зараз сайт не працює (виводиться пуста сторінка)
• http://artalexdm.com.ua (хакером SALDIRAY) - 09.01.2010, зараз сайт вже виправлений адмінами

До речі, у групи UAH-Crew (United Albania Hackers) цікава назва - нагадує українську гривню (UAH) .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nahuinuzno.com - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ogk.kiev.ua - інфекція була виявлена 28.01.2010. Зараз сайт не входить до переліку підозрілих.
• http://kivi-x.if.ua - інфекція була виявлена 27.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://stoknig.com - інфекція була виявлена 23.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dobra-glina.com.ua - інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з defend-pc.com, інфіковані сайти kivi-x.if.ua та stoknig.com також хостить в себе Укртелеком.

Для WordPress існує такий цікавий плагін як WordPress Exploit Scanner. Це сканер експлоітів в WordPress.

Якщо ваш сайт на WP взломали, що може статися через численні уразливості в WordPress чи в плагінах до WP, про які я розповідав багато разів, чи ви підозрюєте, що ваш сайт могли взломати, то на ньому могли розмістити шкідливий код (або закачати шели). І от щоб виявити malware (експлоіти до браузерів), шели та бекдори на вашому сайті, можете скористатися даним сканером експлоітів в WP.

Для більш потужного сканування вашого сайта на WP на шкідливі коди, і особливо якщо ви використовуєте інші движки для сайта, для цього слід використовувати спеціалізовані системи. Такі як Web Virus Detection System.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kurash.com.ua (хакером RoAd_KiLlEr) - 13.03.2010, зараз сайт вже виправлений адмінами
• http://librkorec.rv.ua (хакером SALDIRAY)
• http://antivirus2010.org.ua (хакером ZH4RK) - 15.03.2010, зараз сайт не працює
• http://www.acmagistral.com.ua (хакером TimeLord)
• http://parktrade.com.ua (хакером DaNG3R)

Як я вже давно планував, розповім про мою систему Web VDS. В 2008 році я розробив Web Virus Detection System - систему виявлення вірусів на веб сайтах. Над системою я працював декілька місяців і довів її розробку до рівня бета версії. Вже на той час вона мала чимало можливостей і могла з деякою ефективнісю знаходити віруси на сторінках веб сайтів (хоча ефективність треба було покращувати і було багато планів по розробці системи).

В якості фінансового спонсора, для початку, а в подальшому і компанії, що прикладе свої ресурси для розробки і просування системи, виступала Head Technology. Тобто це мав бути наш спільний проект. Хоча спочатку ідея зацікавила компанію і план робіт був затверджений, але коли я довів розробку до стадії бета версії, Head Technology передумали приймати участь в даному проекті й, відповідно, не стали його фінансувати. Тому я доробив деякий функціонал системи і заморозив проект.

Мабуть вони Гугла злякалися, з яким потрібно було конкурувати . Або були інші причини (в тому числі ті, що вони мені назвали). Але проект був закритий, так і стартувавши. На той момент конкурентів в нас було не багато - в 2008 році лише два пошуковці Google та Yahoo надавали подібну інформацію і невелика кількість компаній займалися даною сферою. Зазначу, що на відміну від Гугла та інших сервісів, які демонструють стан зараженості веб сайтів, що лише заявляють інфікований сайт чи ні, моя Web VDS окрім остаточного висновку, також видавала оцінку зараженості (Infected score).

Цікаві події в даній сфері почали розгортатися в 2009 році. З кінця травня 2009 року Яндекс має подібний функціонал в своєму пошуковці - він вирішив не відставати від Гугла і Яху. А пізніше й інші компанії почали виходити на цей ринок (про що я розповів згодом).

Зазначу, що Яндекс, як і інші пошуковці, були одними з потенційних клієнтів для моєї системи (в мене було багато потенційних клієнтів, кого може зацікавити подібний функціонал). Тому, якщо б в 2008 році Web VDS була повністю розроблена, то можна було б Яндексу запропонувати наші послуги . А так Head Technology впустила дану нагоду, як й інші нагоди в цій сфері, що мали місце в останні роки (тому що зараз дана тема стала дуже актуальною).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gazeta.ua - інфекція була виявлена 27.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://nightclubbing.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://crisis-coming.org.ua - інфекція була виявлена 22.03.2010. Зараз сайт входить до переліку підозрілих.
• http://private-school.sumy.ua - інфекція була виявлена 23.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mixon.ua - інфекція була виявлена 20.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 38 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Українській хакер Dementor за останній час взломам декілька сайтів, в тому числі в Уанеті. Про що повідомив в себе на форумі й виклав скріншоти взломів.

Серед взломаних сайтів два україньских та два російських:

• www.chilli.net.ua
• finnews.ru
• orichi.info
• shai.dp.ua

Він явно вирішив створити конкуренцію турецьким та азербайджанським хакерам , що активно взламують сайти в Уанеті. Як я вже зазначав раніше, в останні роки найбільше взламують сайти в Уанеті саме турки, і в 2010 році ця тенденція продовжується.

У січні, 04.01.2010, вийшла нова версія WordPress 2.9.1.

WordPress 2.9.1 це багфікс випуск 2.9 серії. В якому розробники виправили різноманітні баги.

А вже в лютому, 15.02.2010, вийшла нова версія WordPress 2.9.2.

WordPress 2.9.2 це секюріті випуск 2.9 серії. В якому виправлена Information Leakage уразливість, що дозволяла (через некоректну перевірку прав користувачів) зареєстрованим користувачам читати видалені пости (в Trash), навіть якщо вони і не були авторами даних постів.

Зазначу, що раніше я вже писав про Brute Force та Insufficient Authorization уразливості в WordPress, до яких вразлива також остання версія WP 2.9.2.

За останній час на сайті я зробив декілька оновлень. На найбільш важливі я зверну вашу увагу.

1. Оновив мій Посібник з безпеки. Його оновленням я періодично займаюся, додаю нову інформацію в посібник (хоча й повільно, але потроху цим займаюся).

2. Відкрив розділ Дослідження Уанета, в якому розповідається про мої секюріті дослідження Уанета та наводяться всі опубліковані звіти про їх результати. Що повинно полегшити процес ознайомлення з даними секюріті дослідженнями.

3. Навів перелік задач веб проекту, які я поставив перед своїм проектом (як в 2006 році, так і в подальші роки).

До задач мого веб проекту відносяться наступні:

1. Проведення соціального секюріті аудиту - інформування власників веб сайтів та розробників веб додатків про уразливості на їхніх сайтах та веб додатках.
2. Запропонування аудиту безпеки клієнтам.
3. Розробка онлайнового посібника з безпеки.
4. Запропонування тестування з веб безпеки, для перевірки знань з даної сфери.
5. Створення українського багтраку уразливостей та експлотів в веб додатках.
6. Випуск MustLive Security Pack.
7. Запропонування корисних онлайнових секюріті інструментів, таких як Генератор XSS та SQL Injection ASCII Encoder.
8. Запропонування корисних секюріті програми.
9. Публікація статей на тему безпеки, в тому числі моїх статей, доповідей та інтерв’ю різним журналам та ЗМІ.
10. Проведення секюріті досліджень Уанета (зокрема хакерської активності) та інших секюріті досліджень, та публікація звітів про їх результати.