Websecurity - Веб безпека

У червні, 17.06.2010, вийшла нова версія WordPress 3.0.

WordPress 3.0 це перший випуск нової 3.0 серії. В ній додано чимало покращень порівняно з попередніми 2.9.x версіями, всього було зроблено 1217 покращень та виправлень багів.

Серед нових функцій і можливостей нової версії движка можна віділити наступні: нова тема по замовчуванню Twenty Ten, нові API для налаштування тем (що дозволяють налаштовувати фони, заголовки, короткі лінки, меню, типи постів та таксономії), обєднання WordPress та WP MU (що дозволить створювати багато-сайтову функціональність з однієї інсталяції) та більш легкий інтерфейс.

Серед нових покращень стосовно безпеки в WP 3.0 була зроблена наступна можливість. Відтепер на етапі інсталяції можна вказати логін адміна.

Для привернення більшої уваги до проблеми описаної в статті Використання сайтів для атак на інші сайти, я провів додаткові дослідження. Для оцінки легкості, зручності та ефективності проведення атак на сайти через використання інших сайтів. Зокрема DoS та DDoS атак, про які я писав у вищезгаданій статті. Щоб показати, що дані атаки не є лише моїм припущенням, але їх цілком реально, легко і зручно проводити (і вони мають достатню ефективність).

Можливі наступні види DoS та DDoS атак з використанням даного методу:

1. DoS атака з використанням іншого сайту в якості проксі.
2. DoS атака з використанням іншого сайту в якості нападника.
3. DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Якщо з першим двума видами атак все відносно просто і їх відносно легко проводити (в першому випадку лише потрібно знайти DoS уразливість на сайті, а в другому - великий файл на сайті), то з третьою атакою з використанням серверів-зомбі все більш складніше. Бо потрібно знайти відповідні Abuse of Functionality уразливості на багатьох сайтах та створити ботнет з серверів-зомбі. І щоб продемонструвати реальність даних атак я розробив спеціальну програму, про яку розповім в даній статті.

DoS атака з використанням іншого сайту в якості проксі.

http://www.google.com/ig/add?feedurl=http://site/script?p=benchmark(100000,md5(now()))

В цьому випадку використовується DoS уразливість на сайті http://site (в даному випадку DoS через SQL Injection), для проведення атаки через сайт Гугла (через функціонал iGoogle).

DoS атака з використанням іншого сайту в якості нападника.

http://www.google.com/ig/add?feedurl=http://site/big_file

При наявності великого файлу на сайті http://site можна провести DoS атаку на нього через сайт Гугла, вказавши в iGoogle адресу цього файлу. І якщо зробити серію таких запитів до iGoogle, сервер Гугла перенавантажить своїми запитами сервер, що атакується.

DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Для дослідження ефективності даних атак я розробив програму для проведення DDoS атак через використання інших сайтів. Яку я назвав DDoS attacks via other sites execution tool (DAVOSET). Це інструмент для проведення DDoS атак через Abuse of Functionality уразливості на сайтах.

Для атаки в DAVOSET потрібно вказати лише адресу сайта, що атакується (http://site), або великого файлу на цьому сайті (http://site/big_file) чи DoS уразливості на ньому. Після чого всі зомбі-сервери зі списку заданого в програмі атакують вказаний сайт і перенавантажать сервер.

Для дослідження я використав 20 зомбі-серверів - це 20 онлайн сервісів, що мають Abuse of Functionality уразливості, що розміщені на 10 фізичних серверах (деякі з цих сервісів розміщені на одному сервері, а також є випадки використання декількох різних уразливих скриптів чи різних уразливостей в одному скрипті одного сервіса). Для тестування були вибрані два невеликих сайти на двух не дуже потужних серверах (враховуючи невелику кількість зомбі-серверів в ботнеті).

Для першого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 21,19% - з 4,72 с. до 5,72 с. Тобто сайт став тормозити на короткий час. І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:05, запитів 20, байт відправлено 3068. Тобто невеличкий об’єм трафіку використаного програмою призвів до значно більшого об’єму трафіку на сервер, що атакується. При циклічному запуску програми (наприклад, кожні 5 секунд) та при більшій кількості зомбі-серверів, можна повністю заблокувати роботу даного серверу.

Для другого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 1677% - з 2,21 с. до 39,28 с. (і на 3465% - до 78,80 с. при повторному тестуванні через пів години). І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:03, запитів 20, байт відправлено 3368. Зазначу, що другий сервер після запуску декількох атак (для підрахунку середнього значення) починав не просто сильно тормозити, а взагалі підвисав майже на пів години. Так що навіть невелика DDoS атака з 20 зомбі-серверами може надовго підвисити сервер.

Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють атакувати інші сайти, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах (де потрібно створювати трояни та експлоіти, що будуть їх завантажувати на ПК користувачів, а також потрібно поширювати дані експлоіти та пітримувати зомбі-мережу), то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому даний метод атак може стати поширеним в найближчій перспективі.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Browser Defender від PC Tools. І це ще один конкурент моїй Web VDS.

Компанія PC Tools є відомим розробником антивірусних продуктів і вона також пропонує продукти і сервіси для захисту від вірусів на веб сайтах. Зокрема PC Tools пропонує власний сервіс Browser Defender для захисту від вірусів на веб сайтах. Який доступний як у вигляді плагіна для браузерів Firefox та Internet Explorer, так і у вигляді онлайн сервіса. Плагін представляє собою тулбар.

Веб сервіс Browser Defender подібний сервісам McAfee SiteAdvisor, Norton Safe Web від Symantec та іншим сервісам. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися Browser Defender, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://www.browserdefender.com/site/site.com/

Можете подитивитися на роботу сервіса на прикладі www.browserdefender.com:

http://www.browserdefender.com/site/www.browserdefender.com/

Зазначу, що на момент написання запису, даний сервіс працював погано, і якщо зайти за іншою адресою для перевірки сайта, то замість інформації про сайт виводилося повідомлення про помилку з Full path disclosure .

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Haute Secure. І це ще один конкурент моїй Web VDS.

Компанія Haute Secure пропонує власний сервіс для захисту від вірусів на веб сайтах. Яким зокрема користується браузер Opera. А також компанія випускає плагін для браузерів та пропонує сервіс моніторинга сайтів. А в квітні 2009 року даного розробника сервіса для пошуку вірусів на сайтах, плагіна та сервіса моніторинга сайтів купила компанія TRUSTe.

Даним сервісом компанії можна користуватися через її веб сайт. Він подібний сервісам McAfee SiteAdvisor та Norton Safe Web від Symantec. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися сервісом Haute Secure, потрібно зайти на сторінку Haute Secure Site info чи Haute Secure Site info для Opera та вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://hautesecure.com/siteinfo.aspx?i=http://site.com

Можете подитивитися на роботу сервіса на прикладі hautesecure.com:

http://hautesecure.com/siteinfo.aspx?i=http://hautesecure.com

Зазначу, що в Haute Secure недостатньо велика база перевірених сайтів - вона значно менша ніж у Safe Browsing Гугла.

Вчора вийшла нова версія програми SQL Shell v.1.0.3. В новій версії:

• Додана підтримка усіх відповідей з помилками.
• Додана опція порта по замовчуванню для хоста.
• Покращена обробка пробілів в значенні вразливого скрипта.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.3.rar.

На початку квітня вийшло оновлення безпеки для Invision Power Board 3.0.5, що вийшла в грудні 2009 року. В даному оновленні виправлена невелика Information Leakage уразливість, яка стосується 3.0.x версій движка.

• Обновление безопасности в IP.Board 3.0.5 (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки в IP.Board останніх версій, а саме IPB 3.0.5. Була знайдена невелика уразливість, пов’язана з недостатньою перевіркою вхідних даних при редагування профілю. В останній версії дистрибютива IPB 3.0.5 дана уразливість вже виправлена.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це SiteAdvisor від McAfee. І це ще один конкурент моїй Web VDS.

Компанія McAfee є відомим розробником антивірусних продуктів і вона також пропонує продукти і сервіси для захисту від вірусів на веб сайтах. Зокрема, як я вже розповідав, компанія надає свою технологію Yahoo, для захисту користувачів даної пошукової системи від шкідливих сайтів.

Також компанія має веб сервіс McAfee SiteAdvisor. Він подібний сервісу Norton Safe Web від Symantec. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися сервісом McAfee SiteAdvisor, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://www.siteadvisor.com/sites/site.com

Можете подитивитися на роботу сервіса на прикладі siteadvisor.com:

http://www.siteadvisor.com/sites/siteadvisor.com

Також компанія випускає плагін до браузерів McAfee SiteAdvisor Software, що інтегрований з даним онлайновим сервісом. Плагін представляє собою тулбар і є подібним до плагіна Norton Safe Web Lite від Symantec.

Він дає більший захист ніж антивірусні системи вбудовані в пошуковці, бо тулбар захистить не тільки на сайтах пошуковців, але й на усіх інших сайтах (головне, щоб дані сайти були в базі). Але врахуючи низьку кількість сайтів в базі McAfee, ефективність їхнього тулбара невелика.

Вчора я писав про антивірус для сайтів від Symantec - сервіс Norton Safe Web. Окрім безпосередьно сайта, де можна подивитися на рейтинги інфікованості веб сайтів та зробити запит на перевірку ресурсів, які ще не були перевірені даним сервісом, Symantec також випустила тулбар (в лютому).

Norton Safe Web Lite - це плагін для браузерів (зокрема для IE), що представляє собою тулбар. Він є безкоштовною версією функції, що наявна в програмах Norton Internet Security та Norton 360. Цей плагін знаходиться в стадії бета версії з моменту його випуску 18.02.2010. І з офіціного сайта Norton Safe Web його скачати зараз неможна, бо, як повідомляє Symantec, вони набрали достатньо бета тестерів і поки призупинили роздачу даного плагіну. Цілком можливо, що компанія просто не задоволена якістю свого плагіну і/або сервісу .

Даний тулбар, що тісно інтегрований з онлайновою системою Norton Safe Web, призначений для захисту від інфікованих сайтів. Він дозволяє бачити рейтинги інфікованості веб сайтів при їх відвіданні та в результатах пошуку в популярних системах, а також дозволяє користувачам тулбара залишати власні оцінки сайтам.

Він дає більший захист ніж антивірусні системи вбудовані в пошуковці, бо тулбар захистить не тільки на сайтах пошуковців, але й на усіх інших сайтах (головне, щоб дані сайти були в базі). Але врахуючи низьку кількість сайтів в базі Symantec, ефективність їхнього тулбара невелика.

Зазначу, що для моєї системи Web VDS в 2008 році планувалося створення власного тулбара. Це був один з можливих варіантів використання системи, окрім роботи безпосередньо з веб інтерфейсом (вказуючи URL для перевірки).

Для WordPress існує такий цікавий плагін як WordPress Exploit Scanner. Це сканер експлоітів в WordPress.

Якщо ваш сайт на WP взломали, що може статися через численні уразливості в WordPress чи в плагінах до WP, про які я розповідав багато разів, чи ви підозрюєте, що ваш сайт могли взломати, то на ньому могли розмістити шкідливий код (або закачати шели). І от щоб виявити malware (експлоіти до браузерів), шели та бекдори на вашому сайті, можете скористатися даним сканером експлоітів в WP.

Для більш потужного сканування вашого сайта на WP на шкідливі коди, і особливо якщо ви використовуєте інші движки для сайта, для цього слід використовувати спеціалізовані системи. Такі як Web Virus Detection System.

Як я вже давно планував, розповім про мою систему Web VDS. В 2008 році я розробив Web Virus Detection System - систему виявлення вірусів на веб сайтах. Над системою я працював декілька місяців і довів її розробку до рівня бета версії. Вже на той час вона мала чимало можливостей і могла з деякою ефективнісю знаходити віруси на сторінках веб сайтів (хоча ефективність треба було покращувати і було багато планів по розробці системи).

В якості фінансового спонсора, для початку, а в подальшому і компанії, що прикладе свої ресурси для розробки і просування системи, виступала Head Technology. Тобто це мав бути наш спільний проект. Хоча спочатку ідея зацікавила компанію і план робіт був затверджений, але коли я довів розробку до стадії бета версії, Head Technology передумали приймати участь в даному проекті й, відповідно, не стали його фінансувати. Тому я доробив деякий функціонал системи і заморозив проект.

Мабуть вони Гугла злякалися, з яким потрібно було конкурувати . Або були інші причини (в тому числі ті, що вони мені назвали). Але проект був закритий, так і стартувавши. На той момент конкурентів в нас було не багато - в 2008 році лише два пошуковці Google та Yahoo надавали подібну інформацію і невелика кількість компаній займалися даною сферою. Зазначу, що на відміну від Гугла та інших сервісів, які демонструють стан зараженості веб сайтів, що лише заявляють інфікований сайт чи ні, моя Web VDS окрім остаточного висновку, також видавала оцінку зараженості (Infected score).

Цікаві події в даній сфері почали розгортатися в 2009 році. З кінця травня 2009 року Яндекс має подібний функціонал в своєму пошуковці - він вирішив не відставати від Гугла і Яху. А пізніше й інші компанії почали виходити на цей ринок (про що я розповів згодом).

Зазначу, що Яндекс, як і інші пошуковці, були одними з потенційних клієнтів для моєї системи (в мене було багато потенційних клієнтів, кого може зацікавити подібний функціонал). Тому, якщо б в 2008 році Web VDS була повністю розроблена, то можна було б Яндексу запропонувати наші послуги . А так Head Technology впустила дану нагоду, як й інші нагоди в цій сфері, що мали місце в останні роки (тому що зараз дана тема стала дуже актуальною).