Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gazeta.ua - інфекція була виявлена 27.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://nightclubbing.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://crisis-coming.org.ua - інфекція була виявлена 22.03.2010. Зараз сайт входить до переліку підозрілих.
• http://private-school.sumy.ua - інфекція була виявлена 23.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mixon.ua - інфекція була виявлена 20.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 38 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Українській хакер Dementor за останній час взломам декілька сайтів, в тому числі в Уанеті. Про що повідомив в себе на форумі й виклав скріншоти взломів.

Серед взломаних сайтів два україньских та два російських:

• www.chilli.net.ua
• finnews.ru
• orichi.info
• shai.dp.ua

Він явно вирішив створити конкуренцію турецьким та азербайджанським хакерам , що активно взламують сайти в Уанеті. Як я вже зазначав раніше, в останні роки найбільше взламують сайти в Уанеті саме турки, і в 2010 році ця тенденція продовжується.

У січні, 04.01.2010, вийшла нова версія WordPress 2.9.1.

WordPress 2.9.1 це багфікс випуск 2.9 серії. В якому розробники виправили різноманітні баги.

А вже в лютому, 15.02.2010, вийшла нова версія WordPress 2.9.2.

WordPress 2.9.2 це секюріті випуск 2.9 серії. В якому виправлена Information Leakage уразливість, що дозволяла (через некоректну перевірку прав користувачів) зареєстрованим користувачам читати видалені пости (в Trash), навіть якщо вони і не були авторами даних постів.

Зазначу, що раніше я вже писав про Brute Force та Insufficient Authorization уразливості в WordPress, до яких вразлива також остання версія WP 2.9.2.

За останній час на сайті я зробив декілька оновлень. На найбільш важливі я зверну вашу увагу.

1. Оновив мій Посібник з безпеки. Його оновленням я періодично займаюся, додаю нову інформацію в посібник (хоча й повільно, але потроху цим займаюся).

2. Відкрив розділ Дослідження Уанета, в якому розповідається про мої секюріті дослідження Уанета та наводяться всі опубліковані звіти про їх результати. Що повинно полегшити процес ознайомлення з даними секюріті дослідженнями.

3. Навів перелік задач веб проекту, які я поставив перед своїм проектом (як в 2006 році, так і в подальші роки).

До задач мого веб проекту відносяться наступні:

1. Проведення соціального секюріті аудиту - інформування власників веб сайтів та розробників веб додатків про уразливості на їхніх сайтах та веб додатках.
2. Запропонування аудиту безпеки клієнтам.
3. Розробка онлайнового посібника з безпеки.
4. Запропонування тестування з веб безпеки, для перевірки знань з даної сфери.
5. Створення українського багтраку уразливостей та експлотів в веб додатках.
6. Випуск MustLive Security Pack.
7. Запропонування корисних онлайнових секюріті інструментів, таких як Генератор XSS та SQL Injection ASCII Encoder.
8. Запропонування корисних секюріті програми.
9. Публікація статей на тему безпеки, в тому числі моїх статей, доповідей та інтерв’ю різним журналам та ЗМІ.
10. Проведення секюріті досліджень Уанета (зокрема хакерської активності) та інших секюріті досліджень, та публікація звітів про їх результати.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010, зараз сайт вже виправлений адмінами
• http://dpks.dp.ua (хакером MulTiHaCkeR)
• http://www.virtlibrary.dp.ua (хакерами Google і Leon)
• http://www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010, був похаканий форум сайта, що вже виправлений адмінами
• http://www.santel.com.ua (хакером bejo6)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://klitschko.com - сайт братів Кличко - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Хоча, за заявою Гугла, зараз сайт не входить до переліку підозрілих, але на ньому все ще є інфіковані сторінки (по інформації того ж Гугла). Тобто зараз сайт все ж таки входить до переліку підозрілих.
• http://redox.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-pravda.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-24.com - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://rupor.info - інфекція була виявлена 21.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на поштових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.nb.mk.ua (хакером LeXx) - похаканий форум сайта
• http://www.medicalbulletin.com.ua (хакером Palyo34 з 1923Turk)
• http://foton.com.ua (хакером 3KB3R) - 11.01.2010, зараз сайт вже виправлений адмінами
• http://www.ontop.od.ua (хакером ADIGA)
• http://carlsenschool.com (хакером Mr.D4rK) - 11.12.2009, зараз сайт закритий провайдером

Раніше в 2008 році я вже писав про Brute Force уразливість в WordPress, що була виявлена Kad ще в 2007 році. Як я нещодавно перевірив в WordPress 2.9.2 дана уразливість досі не виправлена. А також я виявив нові уразливості в WP.

У березні, 02.03.2010, я знайшов Brute Force та Insufficient Authorization уразливості в WordPress.

Brute Force:

В функції захисту сторінок/записів паролем немає захисту від підбору паролю (від Brute Force атак).

Insufficient Authorization:

На кожну сторінку/запис в WP можна поставити пароль і ці паролі можуть співпадати. Але функція доступу по паролю записує глобальний кукіс, що працює одразу для всього сайту. І таким чином, вказавши один раз пароль для однієї сторінки/запису, можна подивитися всі запаролені сторінки/записи (с таким самим паролем, навіть не знаючи, що пароль співпадає), бо при запиті до них, доступ автоматично буде наданий.

В даному випадку є дві побічні дії:

1. У випадку коли є декілька сторінок з одним паролем (наприклад, окремий розділ сайта), то ця функціональність буде зручною, бо можна ввести пароль один раз і отримати доступ одразу до всіх сторінок з цим паролем.

2. У випадку коли є різні сторінки з різними паролями, то це приведе до незручностей, коли буде запам’ятований лише останній пароль і до інших сторінок (з іншими паролями) протрібно буде весь час вводити паролі.

Уразливі WordPress 2.9.2 та попередні версії (всі 2.х версії). Перевірив в різних версіях WP, зокрема в 2.0.11 та 2.9.2.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://era-fm.net - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://openbiz.com.ua - інфекція була виявлена 03.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://otvety.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pereklad.com - інфекція була виявлена 01.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 40 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://defend-pc.com - інфекція була виявлена 08.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Причому інфікований сайт http://defend-pc.com є секюріті проектом (псевдо секюріті), що пропонує послуги по захисту комп’ютера від вірусів та спамерів. Їм варто спочатку власний сайт захистити, а вже потім іншим пропонувати захист . Якщо ви пошукаєте інформацію в Інтернеті, то виясните, що подібні сайти - це поширений розвод на гроші інтернет-користувачів (даний сайт подібний defend-pc.ru). Ось такі сайти хостить в себе Укртелеком, окрім створення уразливостей на власних сайтах .