Websecurity - Веб безпека

На початку місяця я знявся для телепередачі для журналістів телеканалу 1+1. Яка була показана на ТБ минулого тижня (в ранковому ефірі).

В даному матеріалі я розповів про основні загрози в Інтернеті: фішинг, хакерські атаки та спам. Та розповів про різновиди даних атак та надав поради Інтернет користувачам, як вберегти себе від шахрайства в Мережі. І деяка інформація увійшла до телепередачі.

Детально про дану передачу ви можете прочитати в статті Хіт-парад шахрайства в Інтернеті. До речі, в відео була продемонстрована одна свіже знайдена мною і робоча уразливість на одному веб сайті .

Можете також переглянути дане відео в своєму плеєрі:

http://websecurity.com.ua/uploads/articles/tv_video1.flv

Як повідомив RSnake в своєму пості Malware Uses Browser Plugin Sniffing, існують такі шкідливі програми, які слідкують за плагінами, що встановлені в браузері.

В пості він навів деякий код з даної шкідливої програми, що якраз аналізує встановлені плагіни. А також навів лінку на повний код даного сніфера плагінів. Дане шкідливе ПЗ, що розміщено на сторінках сайтів, відслідковує які плагіни встановлені в браузерах відвідувачів. Котрі відвідують сайти, де розміщене це шкідливе ПЗ.

Отримана інформація про плагіни накопичується зловмисниками для подальшого використання, зокрема для проведення атак на вразливі версії виявлених плагінів.

Вчора в мене в університеті відбувся захист дипломних робіт, на якому я захистив свою магістерськую роботу.

Можете ознайомитися з презентацією моєї роботи:

Інтерпретатор мов програмування з використанням Інтернет-технологій

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4. В новій версії:

• Додана підтримка циклів repeat until.
• В операторі repeat until підтримуються арифметичні вирази.
• Обмеження ($loop) дійсне для циклів repeat until так само як для міток.
• Покращена робота оператора if зі змінними та масивами.
• Покращена робота функцій delete, insert та copy зі змінними та масивами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Як я писав раніше, були виявлені численні уразливості в Adobe Flash Player. І як написав з цього приводу RSnake у своєму записі Flash XSS And Remediation Steps, він отримав листа від Adobe, з рекомендаціями для протидії новим уразливостям у флеш плеєрі.

Компанія Adobe випустила оновлену версію флеш плеєра, а також випустила бюлетень, в якому описується вирішення частини зі знайдених в другій половині 2007 року уразливостей. На початку 2008 вони планують випустити оновлення для вирішення іншої частини дір в флеш плеєрі.

Також Adobe радить флеш розробникам дотримуватися рекомендацій, що подані у розробленому компанією посібнику Creating more secure SWF web applications.

Два дні тому, 05.02.2008, вийшла нова версія WordPress 2.3.3 - оновлення для гілки WP 2.3.x.

WordPress 2.3.3 це секюріті випуск для 2.3 серії. В даній версії була виправлена уразливість в реалізації XML-RPC. Дана уразливість дозволяє будь-якому зареєстрованому користувачу редагувати пости будь-яких інших користувачів на сайті.

На доданок до виправлення цієї дірки в версії 2.3.3 також виправлено декілька невеликих багів.

Як стало відомо на початку лютого, компанія Microsoft планує купити компанію Yahoo, причому за рекордну суму в $44,6 млрд. Стосовно можливої купівлі зазначу в контексті безпеки сайтів та додатків обох компаній.

Майкрософту варто звернути увагу на безпеку сайтів Yahoo, тому що разом з купівльою самої компанії (за дуже велику суму), вони ще отримають масу уразливостей на додачу. Котрі доведеться виправляти. При тому що у Microsoft і своїх дір на сайтах вистачає, а також в Internet Explorer та ISS. Я вже не кажу про дірки в Windows та інших додатках Майкрософт.

Тому варто виправити спочатку свої поточні дірки, а вже потім братися за купівлю інших компаній (що додасть нових дірок). Зокрема варто виправити Cross-Site Scripting уразливість в IE, що я виявив в серпні минулого року, про яку одразу ж повідомив Microsoft, і яка й досі не виправлена.

Так що MS варто спочатку зайнятися своїми дірками, перед тим, як купувати Yahoo. Причому бажано перед купівлею оцінити дірявість веб сайтів компанії, яку планується придбати, і виставити їм умови, щоб вони ще до купівлі виправили дірки на своїх сайтах. Тобто компанії, яких планують купити інші компанії, мають серйозно починати ставитися до безпеки (чим вони повинні були займатися й раніше), щоб краще виглядати в очах покупця. Це повинно стати звичайною практикою для всіх компаній, особливо онлайн-компаній.

В Уанеті в 2006 та 2007 роках також відбулося ряд придбань та надходжень інвестицій. І при цьому купувалися компанії та веб проекти з уразливостями на своїх сайтах - з числа тих, що вже засвітился в моїх новинах (або ще засвітяться). Тобто на складову безпеки сайтів при купівлі онлайн-проектів зовсім не зверталася увага. Що є невірним підходом і його потрібно змінювати. Бо навіщо купувати дірявий сайт, переважно, за чималі кошти, щоб потім мати справу з його дірками, тобто доведеться ще додатково вкладати в його безпеку (що не зробили попередні власники). І по тим придбанням, що відбулися в Уанеті, добре видно, що безпека даних веб проектів не змінилася (дірявість залишилася на тому ж рівні). Тому в майбутньому компаніям, що планують придбати веб проект, варто оцінювати стан його безпеки, а самому кандидату на придбання, варто піднімати стан безпеки на високий рівень.

В минулому місяці я дав інтерв’ю журналу Афіша. І в п’ятому номері журналу, що вийде в лютому (вже на наступному тижні), буде розміщений опис моєї персони в рубриці Персона, зроблений на основі інтерв’ю.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав мій профайл в січневому номері InternetUA , так і всім іншим, можете дістати собі п’ятий номер Афіши.

В своєму записі Google Text Ad Subversion, RSnake розповідає про можливість підробки реклами Google AdSense.

В даному випадку, він навів лінку на статтю в ZDNet, де розповідається як підміняли текстову рекламу Гугла за допомогою трояна на комп’ютерах користувачів, щоб вони клікали на рекламу зловмисників. Тобто на різних сайтах, що відвідує користувач, де розміщена реклама Google AdSense, реклама замінялася на іншу (що посилається на акаунт шахрая), щоб при кліках на цю рекламу заробив не власник сайта, а розробник трояна.

Цікава методика шахрайства на PPC. Це варіант іншої методики, коли хакаються сайти, на котрих розміщена реклама Google AdSense (або інших систем) і її код замінюється на інший, в цій системі, що посилається на акаунт зловмисника. І власник сайта навіть не здогадується, поки в коді не побачить зміни, що реклама на його сайті приносить дохід зовсім не йому.

Позавчора вийшла нова версія програми Perl Pas Interpreter v.1.3.7. В новій версії:

• Додана підтримка функцій в циклах while.
• Додана підтримка вкладених циклів в циклах while. До будь-якого рівня вкладеності.
• Покращена підтримка функцій в операторі if та циклі for.
• Виправлені дебаг надписи в операторі присвоєння.
• Покращена робота функцій chr та ord з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.