Websecurity - Веб безпека

Вже двадцять один рік повідомляв банки, веб брокерів та платіжні системи про уразливості та майже завжди всі забивали. Як російські, так і українські компанії. Безпека e-commerce сайтів в Уанеті - прочитайте всі 33 мої статті про діряві банки і магазини. Десятки років вони не слідкують за безпекою.

У травні розробники своєї нової ШІ моделі почали консультувати банки. Anthropic will brief the Bank of England on financial cyber risks found by its AI model, Mythos. Нагадаю, що я виявив тисячі дірок у більшості банків України, лише в одному ПриватБанку декілька тисяч, але майже всі забивали. Ну, а ПБ кинув мене по виплатам за більшість дірок і він був єдиним банком, хто з 2012 року мав bug bounty програму. Про все це писав неодноразово.

Стало відомо, що Mozilla знайшла 271 уразливості в Firefox за допомогою Mythos AI, багато інших компаній теж отримали доступ до ШІ чи компанія Anthropic сама знайшла дірки в різних додатках. Але їх число величезне для короткого часу. Нещодавно вони заявили, що їхній ШІ знайшов понад 23000 уразливості в тисячі опенсорс проектів.

Нехай вони спробують знайти дірки на сайтах і додатках без доступу до коду. Тобто blackbox методом. Бо я з початку 2005 саме так усі уразливості знаходжу.

Чимало людей в травні написали про те, як Mythos швидко знаходить дірки в різному ПЗ і акцентують, що виробники не встигають виправляти дірки у власних програмах. Але проблема не лише в часі для фіксингу дір, як показує мій досвід з 2005 року. Бо понад 21 рік я знаходив дірки в численних веб додатках і на мільйонах сайтів, та майже завжди ніхто не хотів їх виправляти в Україні (в інших країнах краще). Потім за рік чи кілька років приховано виправляли, зазвичай після зламів.

Нещодавно закрили ботнет із 17 мільйонів IoT пристроїв.

Це зробила поліція в Нідерландах і таких ботнетів за декаду було багато та регулярно їх знешкоджують. Цього року вже кілька випадків було. Лише у травні закрили цей ботнет і ще затримали в Канаді адміна іншого великого ботнету. Першим був Mirai з таких.

І мова про ботнет з IoT, що застосовувався для DDoS атак чи як проксі. Бо це не інфіковані ПК чи гаджети користувачів, а саме хакнуті мережеві пристрої. Знаходив уразливості мережеві пристрої з 2000-х років та повідомляв, але майже завжди всі виробники пристроїв це ігнорували.

Вже писав про власну роботу з 2014 року в сфері зламу пристроїв у нас та у ворожих країнах. Українські Кібер Війська захопили 260000 мережевих пристроїв. Роками нагадую, проте всім байдуже на діряві мережеві пристрої.

Дванадцять років щодня кажу всім українцям і владам про небезпеку веб камер, через які росіяни слідкують за нами, але всі завжди це ігнорують. Тому сам у 2022 році заблокував YT трансляції з наших міст.

З початку року набув поширення новий вектор кібератак і розповсюдження шкідливого ПЗ - це злами розробників.

Тривалий час активно зламують сайти, GitHub і npm акаунти розробників, щоб поширювати шкідливе ПЗ в інсталяторах і пакетах. А про цей вектор поширення троянів я вперше написав, коли на початку 2007 хакнули сайт розробників WordPress.

Ще у квітні хакнули сайт сайт CPUID та замінили інсталятори CPU-Z і HWMonitor на версії з троянами. Усім варто перевірити на віруси, хто викачав їх звідти 9-10 квітня. Потім хакнули сайт JDownloader та замінили пакети для Windows та Linux на версії з троянами. Усім варто перевірити на віруси, хто викачав їх звідти 6 травня.

І вже другий рік бачу інформацію про розміщення шкідливого коду на GitHub, як у фішингових чи клон акаунтах, так і зламаних. Це дуже популярна платформа й сам користуюся нею з 2010 року для викладання кодів деяких своїх програм.

Мої статті на цю тему за десятки років: Бекдори у веб додатках, Бекдори у плагінах для WordPress, Включення бекдорів у веб додатки та ОС.

А також я провів тестування сканерів бекдорів та надаю послуги як з аудиту безпеки, так і з пошуку бекдорів і шкідливого ПЗ на сайтах і веб додатках.

Нещодавно 73 розширення для VS Code були помічені як шкідливі. Це ще один напрямок поширення, крім зламу сайтів та офіційних репозитаріїв розробників.

У березні з’явилася новина про нову дірку в черговому WP плагіні, що ставив під ризик 60000 сайтів. У даному випадку це User Registration and Membership розширення. Такі новини з’являються регулярно. Нагадаю всім про свої дослідження в цій сфері.

Безпека плагінів для WordPress / Security of plugins for WordPress

Численні уразливості в 73 плагінах для WordPress, що я знайшов за 2006-2014 роки. Скільки я не сповіщав розробників, але вони майже завжди ігнорували дірки і ніколи не замовляли аудити безпеки своїх програм, зокрема WP розширень і шаблонів.

Єдиний раз, коли в мене замовили аудит, то це був не розробник, а один європеєць, який для себе захотів знайти всі дірки там, щоб виправити їх та мати безпечний код на власному сайті. Виклав цей плагін Register Plus Redux та інші безпечні веб додатки.

Безпека шаблонів для WordPress / Security of themes for WordPress

Численні уразливості в 173 шаблонах (темах) для WordPress, що я знайшов за 2006-2014 роки.

Тобто 60000 сайтів це дрібниці. Мої дірки стосувалися мільйонів сайтів на цій CMS.

Окрім власних досліджень безпеки розширень і шаблонів до цього та інших движків, я роками публікую добірки дірок, що були знайдені в них іншими дослідниками. Прочитайте сотні постів про уразливості в плагінах і темах для WordPress.

Нещодавно дослідники з Tenable виявили дев’ять уразливостей в Google Looker Studio, які прозвали LeakyLooker дірками. Вони дозволяли робити довільні SQL запити до БД і отримувати дані з хмари. В тому числі був доступ між тенантами.

Були використані BigQuery, Sheets, PostgreSQL та інші конектори. Це можна назвати Cross-tenant SQL Injection, коли був доступ між різною хмарною інфраструктурою.

У своїй статті Класифікація SQL Injection уразливостей я навів два типи SQLi - Reflected SQL Injection та Persistent SQL Injection, а вже в 2010 році навів третій тип Encoded SQL Injection. Можливо це буде новим типом.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Мене іноді запитують стосовно відсутності SSL/TLS сертифікату на сайті. До безпеки моїх читачів SSL сертифікат прямого відношення не має. Саме тому не встановив його з 2006 року.

Хакають сайти через дірки, а не через наявність чи відсутність сертифікату. Який лише шифрує дані між браузером та сайтом. І як ви можете бачити по спискам зламаних сайтів за останні 30 років на західних архівах дефейсів чи в моїх публікаціях за всі ці роки - раніше хакали переважно http, бо мало хто ставив сертифікати на сайти, в останні роки майже всі хакнуті з https (як раз активно почали встановлювати з 2014 року). Тобто ніякої безпеки ресурсам це не додало, як би реклама не нав’язувала сертифікати.

Але тотальна пропаганда https впливає на людей, бо всі постійно чують про SSL сертифікати і знають “популярні правила”, що треба лише на https ходити. І для деяких сайтів це правильно, зокрема банки та всі сайти, де є фінансові дані чи будь-які облікові дані. Проте варто розуміти де насправді це потрібно.

Впливає також на власників сайтів і вони купують сертифікати. Продавці заробляють на цьому. Для деяких сайтів це важливо, але для просто інформаційних ні. Вони як не були потрібні в 1991 році, коли з’явився перший сайт і не було ще SSL, так і зараз не потрібні для багатьох сайтів, як от мій.

Також чимало стикався з випадками ще з 2005, коли люди відмовлялися виправляти дірки на своїх сайтах, про які їм повідомляв. Бо в них SSL сертифікат на сайті, тому вважають “все безпечним” і по факту забивають на безпеку. Ні секюріті аудитів не проводять, ні дірки не виправляють.

Сам звернув увагу, що багато власників сайтів почали купувати сертифікати в 2014 і поголовно в 2015, кожен сайт терористів ДНР, ЛНР та інші вороги перейшли на SSL. За рік тоді всі перейшли.

А продавці сертифікатів за 2014-25 роки багато грошей заробили на росіянах та досі підтримують агресію проти України, про це я щодня нагадую багато років. Перелік компаній, що роками видають SSL сертифікати сайтам російських терористів. Серед них компанії з Англії, США, Бельгії та інших країн https://bit.ly/3ccqDRi. Тому не варто їх фінансово підтримувати, слід боротися з цими компаніями.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DDoS attacks on Dyn
• Slashdot effect
• Stresser
• Wi-Fi deauthentication attack
• WinNuke

Існує технологія 3-D Secure (3DS) - це протокол розрахунків платіжними картками, що застосовується в операціях без наявності картки в місці платежу (зокрема, при розрахунках через мережу Інтернет). Передбачає двофакторну аутентифікацію держателя, тобто до CVV і даних карти ще додається OTP код, що надходить по смс.

Відома під назвами Verified by Visa, Mastercard SecureCode та від інших платіжних систем. Багато років маю карти МС і Visa та давно користуюся 3-D Secure для онлайн платежів. А в 2024 році я двічі обійшов цей захист під час легальної оплати. І на початку 2025 також.

Торік виявив можливість, як знімати гроші з карти без підтверджень по смс, тобто з обходом захисту від MC і Visa. Перевірив у березні та в грудні на одному українському сайті. Тестував на своїх картах ПБ, але я впевнений, що воно стосується всіх карт усіх наших банків.

Раніше я писав про нові уразливості на bonus.privatbank.ua.

Атака проводиться на сайтах, як то на Імена, де я двічі торік оплачував свій домен, що приймають карти через Stripe - це західних онлайн еквайєр. Коли я весь минулий рік та раніше платив онлайн з карт через еквайрінги ПБ та інших українських банків, то завжди приходив OTP по смс, але не на сайтах, які працюють через Stripe. Гроші просто знімаються з карти без підтвердження, тобто без двофакторної аутентифікації.

Вже в січні та лютому я робив оплату за електрику через онлайн еквайєр ПУМБ і так само жодного коду по смс не надійшло, спокійно гроші з карти списалися.

Якщо вкрадуть дані карт і CVV в українців, то далі заберуть гроші при оплаті через систему Stripe чи сервіс ПУМБ, обійшовши захист 3DS для карт, що його мають, як мої банківські карти.

Мої статті по захисту Wi-Fi роутерів:

Кібербезпека та енергозбереження IoT в Україні

І моя стаття CSRF Attacks on Network Devices, що вийшла у журналі PenTest Extra 02/2012. Вона стосується Wi-Fi роутерів та всіх мережевих пристроїв. Пояснив, що незалежно від ваших дій, через дірки можуть хакнути будь-які ваші мережеві пристрої.

Поради по захисту Wi-Fi роутерів. Навів корисні поради, зокрема стосовно паролів і старих пристроїв.

Почитайте про небезпеку веб камер та IoT, де пояснив як в Україні щодня хакають IP камери та інші мережеві пристрої.