Websecurity - Веб безпека

На початку січня Pete Herzog опублікував в Web Security Mailing List свою статтю Top 5-ish Threats to Watch for in 2009. В якій він розповів, з деякими нотками гумору, про 5 найбільших загроз, які слід очікувати в 2009 році.

Ось його п’ятірка найбільших загроз безпеки в 2009 році.

1. Продовжиться використання нагадувачів (для працівників) про найкращі практики безпеки. Нагадувачі - це такі програми (зокрема скрінсейвери), стікери, або коврики для мишки з надписами на тему секюріті. В ефективності яких Піт дуже сумнівається. І я також дуже сумніваюся.

2. Продовжиться використання людьми секюріті порад взятими з веб сайтів. Які потім можуть стати поширеними найкращими практиками, що увійдуть до керівництв, політик і документації. Ясна річ не варто брати інформацію з сумнівних джерел і використовувати подібні поради, але варто знайти авторитетне джерело якому ти довіряєш.

3. Все більше людей будуть вивчати секюріти метрики від anti-malware чи intrusion detection компаній. Що перетворить метрики в інструмент отримання коштів клієнтів.

4. Шукачі уразливостей почнуть все більше переживати за легальність їхньої діяльності. Що призведе до зменшення деталізації при оприлюднені уразливостей. Стосовно легальності, то тут переживати будуть лише секюріті дослідники декількох країн, і на кількості релізів дірок це особливо не позначиться. А ось якість релізів, через недолуге законодавство, може погіршитися. І навіть може погіршитися загальний стан безпеки.

5. Все більше людей з мінімумом знань про безпеку будуть ставати сертифікованими секюріті професіоналами. Тобто сертифікація в галузі безпеки буде приносити більше шкоди ніж користі. До речі, подібна ситуація стосується сертифікації й в інших галузях ІТ.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.agroklondaik.com.ua (хакером aLeSha) - 11.01.2009, зараз сайт вже виправлений адмінами
• http://senegal.pl.ua (хакером Pit10) - 04.01.2009, зараз сайт вже виправлений адмінами
• http://www.umt-ua.com (хакером GONZHACK)
• http://www.e-pokupka.kiev.ua (хакером DarK_SovaLy3)
• http://www.hqhosts.com (хакером XXxxImmortalxxXX) - причому спочатку сайт 11.01.2009 був похаканий XXxxImmortalxxXX, а 17.01.2009 похаканий F0RMAIL. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.6. В новій версії:

• Додана можливість включення дебаг режиму в онлайн версії.
• Покращена робота оператору присвоєння з масивами (з індексом-змінною).
• Виправлена робота write і writeln при наявності в рядку більше однієї пари дужок.
• Покращена робота функцій copy та concat з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SpamBam, Peter’s Math Antispam Spinoff та Page Flip Image Gallery. Для котрих з’явилися експлоіти. SpamBam - це антиспам плагін, Peter’s Math Antispam Spinoff - це антиспам плагін (про уразливості в іншому плагіні від Peter я писав раніше), Page Flip Image Gallery - це плагін для створення галереї зображень.

• Exploiting the SpamBam plugin for wordpress (деталі)
• Defeating audio captcha systems (Peter’s Math Antispam Spinoff plugin for wordpress) (деталі)
• Wordpress Plugin Page Flip Image Gallery <= 0.2.2 Remote FD Vuln (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.manometr.net.ua (хакером KaTLiaMCi06) - причому спочатку сайт 21.12.2008 був похаканий KaTLiaMCi06, а 07.01.2009 похаканий KіzGіN (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.kvestclub.com.ua (хакером aLeSha) - 21.12.2008, зараз сайт не працює
• http://www.lag.lviv.ua (хакерами з 1923TurK-Grup)
• http://aminazin.com (хакером xGOR) - 05.01.2009, зараз сайт вже виправлений адмінами
• http://zelezok.net (хакерами з 1923TurK-Grup) - спочатку сайт 27.11.2008 був похаканий 1923TurK-Grup, а 12.12.2008 ще додатково похаканий Dr.3-x і Sean-Paul

Як і 2007 року, я підведу власні підсумки розвитку веб безпеки в 2008 році.

Результати розвитку галузі веб безпеки в 2008 році.

1. Хоча в 2007 було й більше секюріті проектів, тим не менш в 2008 я провів декілька цікавих проектів: День багів в Google Chrome, День багів в браузерах, День багів в браузерах 2.
2. Розпочалася нова фаза браузерних війн, з виходом Google Chrome, який продемонстрував разом зі своїми нововведеннями, також і численні уразливості.
3. XSS уразливості поширилися ще більше і знову стали найпоширенішими уразливостями веб додатків.
4. Відбулося збільшення активності хакерів. Зокрема в Уанеті зростання хакерської активності на 200% в першому півріччі 2008 року поріняно з аналогічними періодом 2007 року (і як показують мої додаткові дані, що я незабаром оприлюдню, цей показник значно більший).
5. Фішинг став ще більш поширеним та з’явилася нова техніка фішерських атак з використанням Flash.
6. Поширилися атаки з використанням Insufficient Anti-automation уразливостей. Зокрема на captcha популярних поштових систем.
7. Відбулося збільшення атак на соціальні мережі.
8. З’явилися нові веб хробаки, зокрема Facebook Worm.
9. Відбулося зростання кількості заражених вірусами веб сторінок. В тому числі й в Уанеті, де я нерідко виявляв заражені веб сайти.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.agrocombank.kiev.ua (хакером Agn0) - 05.01.2009, причому шостого числа сайт ще був невиправлений, зараз сайт вже виправлений адмінами. Про цей взлом банківського сайта мені повідомив мій читач
• http://board.fellini.net.ua (хакером 3RqU)
• http://www.pobeda.org.ua (хакером AsSerT) - 07.01.2009, зараз сайт вже виправлений адмінами
• http://avtopalitra.com.ua (хакером aLeSha) - 15.12.2008, зараз сайт вже виправлений адмінами
• http://rendram.com (хакерами Ktemel2006 і Ayaz)

Поздоровляю вас з Різдвом Христовим!

У зв’язку зі святами - Новим Роком та Різдвом - пропоную подивитися мою нову святкову листівку на флеші.

Бажаю вам всього найкращого!

Пропоную вашій увазі відео про секюріті прогнози на 2008 рік. В якому секюріті експерт Saumil Shah розповідає про власний секюріті досвід та свої прогнози в сфері безпеки на 2008 рік.

Security Predictions for 2008

До речі, торік я писав про свої прогнози розвитку веб безпеки в 2008 році. І можу сказати, що в більшості випадків мої прогнози справдилися.

Пропоную вашій увазі відео про Web Application Security. В якому секюріті експерт Jeremiah Grossman розповідає про безпеку веб додатків та особливості webappsec галузі інформаційної безпеки.

Web Application Security with Jeremiah Grossman

В відео-ролику Джеремія також розповідає про свою компанію та власний досвід у сфері безпеки веб додатків.