Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010, зараз сайт вже виправлений адмінами
• http://dpks.dp.ua (хакером MulTiHaCkeR)
• http://www.virtlibrary.dp.ua (хакерами Google і Leon)
• http://www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010, був похаканий форум сайта, що вже виправлений адмінами
• http://www.santel.com.ua (хакером bejo6)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://klitschko.com - сайт братів Кличко - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Хоча, за заявою Гугла, зараз сайт не входить до переліку підозрілих, але на ньому все ще є інфіковані сторінки (по інформації того ж Гугла). Тобто зараз сайт все ж таки входить до переліку підозрілих.
• http://redox.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-pravda.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-24.com - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://rupor.info - інфекція була виявлена 21.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на поштових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.nb.mk.ua (хакером LeXx) - похаканий форум сайта
• http://www.medicalbulletin.com.ua (хакером Palyo34 з 1923Turk)
• http://foton.com.ua (хакером 3KB3R) - 11.01.2010, зараз сайт вже виправлений адмінами
• http://www.ontop.od.ua (хакером ADIGA)
• http://carlsenschool.com (хакером Mr.D4rK) - 11.12.2009, зараз сайт закритий провайдером

Раніше в 2008 році я вже писав про Brute Force уразливість в WordPress, що була виявлена Kad ще в 2007 році. Як я нещодавно перевірив в WordPress 2.9.2 дана уразливість досі не виправлена. А також я виявив нові уразливості в WP.

У березні, 02.03.2010, я знайшов Brute Force та Insufficient Authorization уразливості в WordPress.

Brute Force:

В функції захисту сторінок/записів паролем немає захисту від підбору паролю (від Brute Force атак).

Insufficient Authorization:

На кожну сторінку/запис в WP можна поставити пароль і ці паролі можуть співпадати. Але функція доступу по паролю записує глобальний кукіс, що працює одразу для всього сайту. І таким чином, вказавши один раз пароль для однієї сторінки/запису, можна подивитися всі запаролені сторінки/записи (с таким самим паролем, навіть не знаючи, що пароль співпадає), бо при запиті до них, доступ автоматично буде наданий.

В даному випадку є дві побічні дії:

1. У випадку коли є декілька сторінок з одним паролем (наприклад, окремий розділ сайта), то ця функціональність буде зручною, бо можна ввести пароль один раз і отримати доступ одразу до всіх сторінок з цим паролем.

2. У випадку коли є різні сторінки з різними паролями, то це приведе до незручностей, коли буде запам’ятований лише останній пароль і до інших сторінок (з іншими паролями) протрібно буде весь час вводити паролі.

Уразливі WordPress 2.9.2 та попередні версії (всі 2.х версії). Перевірив в різних версіях WP, зокрема в 2.0.11 та 2.9.2.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://era-fm.net - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://openbiz.com.ua - інфекція була виявлена 03.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://otvety.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pereklad.com - інфекція була виявлена 01.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 40 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://defend-pc.com - інфекція була виявлена 08.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Причому інфікований сайт http://defend-pc.com є секюріті проектом (псевдо секюріті), що пропонує послуги по захисту комп’ютера від вірусів та спамерів. Їм варто спочатку власний сайт захистити, а вже потім іншим пропонувати захист . Якщо ви пошукаєте інформацію в Інтернеті, то виясните, що подібні сайти - це поширений розвод на гроші інтернет-користувачів (даний сайт подібний defend-pc.ru). Ось такі сайти хостить в себе Укртелеком, окрім створення уразливостей на власних сайтах .

Давно хотів розповісти про цей аспект роботи з Google. Ще в 2007 році Гугл ввела систему захисту від автоматизованих запитів в своій пошуковій системі. І дана система захисту від автоматизованих запитів в Гуглі потребує покращення.

Звичайно подібна система дозволяє Гуглу боротися з різними програмами, які намагаються використовувати їх пошукову систему для власних пошуків. Як різними інтернет сервісами, так і вірусами та хробаками. Ті сайти, які потребуватимуть легально використовувати пошукові можливості Гугла, можуть отримати від компанії власний ключ Google Search API.

Але як я багато разів стикався за останні роки, зокрема при секюріті дослядженнях - при деяких запитах Гугл на рівному місці їх блокує. Причому з роками я стикався з цим все частіше . Гугл починає вважати людей, користувачів своєї пошукової системи, ботами. Були в мене випадки, коли запит спрацьовує спочатку нормально, а коли заходиш далі по результатам пошуку (під час досліджень), то Гугл починає блокувати. Зовсім в них неякісна система захисту від автоматизованих запитів. Так що їм треба покращувати свої алгоритми ідентифікації людини.

Ось приклад роботи даної системи від trovich.

Зазначу, що в 2009 році Google переробив дану систему. Вірогідно їм часто лунали скарги на роботу їх системи захисту від ботів, тому вони вірішили її виправити . Вони додали капчу (замість простого блокування), що дозволяє підтвердити те, що ти людина, і далі деякий час Гугл вже не турбує. І з того часу стало значно зручніше проводити секюріті дослідження в даному пошуковці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.amnu.gov.ua (хакером the.spider) - це перший взлом державного сайта в цьому році - похаканий форум сайта, причому спочатку він був взломаний 09.01.2010 the.spider, потім 21.02.2010 Vezir.04 і в той же день взломаний The.caylak. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.sumy-bespredel.info (хакером SALDIRAY) - 24.02.2010, зараз сайт вже виправлений адмінами
• http://www.mp.dn.ua (хакером Palyo34 з 1923 Turk Group) - 26.02.2010, зараз сайт вже виправлений адмінами
• http://sfw.kharkov.ua (хакером DardanMiftari) - дефейс залишився на окремій сторінці сайта
• http://www.panbud.com.ua (хакером KuNdUz) - 26.12.2009 - зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ntr.lutsk.ua - інфекція була виявлена 22.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://norrest.com.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura-inform.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://radioera.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura.dn.ua - інфекція була виявлена 02.02.2010. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайти ntr.lutsk.ua та ранішезгаданий crazy-party.com.ua хостяться у провайдера Приват-онлайн, який є дочірньою компанією ПриватБанка. Тобто ПриватБанк окрім розробки власних дірявих сайтів та хронічного ігнорування проблем з їх безпекою, також хостить у себя діряві сайти, які взламують і розміщують на них шкідливе ПЗ. Ось такий “безпечний” у них підхід .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://donbasket.com (хакером FuaDanger34) - 12.02.2010, зараз сайт вже виправлений адмінами
• http://joomla.in.dn.ua (хакерами Palyo34 і KroNicKq з 1923Turk-Grup)
• http://koboabe.com (хакером Underworld)
• http://kenly2009.pp.ua (хакером jankiy3_es3r_genclik)
• http://www.nrb-ukraine.com (хакером SALDIRAY) - 19.02.2010, зараз сайт не працює (закритий хостером)