Websecurity - Веб безпека

Аарон Корнблюм, головний юрист підрозділу Internet Safety Enforcement корпорації Microsoft, вважає, що основою сучасної кіберзлочинності є мережі зомбованих комп’ютерів із широкополосним виходом в інтернет.

Бот-мережі в даний час широко використовуються зловмисниками для розсилання спама, організації DoS-атак на неугодні ресурси і здійснення фішерських махінацій. За даними компанії Symantec, у першій половині поточного року кількість зомбованих машин перевищувала 4,5 мільйони. Причому власники таких комп’ютерів, як правило, навіть не підозрюють, що кіберзлочинці мають повний доступ до їх систем.

Корнблюм підкреслює, що в даний час спостерігається зростання кількості фішерських сайтів. Причому раніше зловмисники вибирали в якості жертв клієнтів великих і відомих онлайнових банків, а зараз усе більший інтерес вони виявляють до невеликих фірм і компаній середнього розміру, клієнти яких гірше інформовані про небезпеку фішинга.

Зараз у кожен окремий момент часу розсилання спама і шкідливого контента здійснюють порядка 50 тисяч зомбованих машин. Причому оскільки кіберзлочинцям не потрібно оплачувати трафік, у повідомлення може бути включена графіка великого об’єму чи документи. Фактично, відзначають експерти, бот-мережі визначають економіку і розміщення сил у світі кіберзлочинності.

По матеріалам http://security.compulenta.ru.

16.10.2006

До раніше згадуваних уразливостей на meta.ua (Уразливості на meta.ua та Уразливість на lib.meta.ua), додам про нові уразливості на проектах пошукової системи МЕТА. Зокрема на проектах http://rabota.meta.ua та http://zakon.meta.ua.

Деякий час тому, 08.10.2006, після дослідження сайту про пошук роботи (Уразливість на www.prorobotu.net.ua), які періодично попадають в моє поле зору, я зайшов на ще один подібний сайт, на цей раз на Меті, і знайшов декілька Cross-Site Scripting уразливостей на rabota.meta.ua. А 12.10.2006, досліджуючи Безпеку сайту Верховної Ради України, знайшов уразливість на zakon.meta.ua. Про що найближчим часом сповіщу адміністрацію Мети.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.12.2006

XSS:

zakon.meta.ua

• alert(document.cookie)

Уразливість вже виправлена.

06.01.2007

XSS:

rabota.meta.ua

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

На жаль Мета виправляє помилки вібірково - частину виправляє, частину ні (при тому, що нові діри, про які писав нещодавно, вони вже виправили і повідомили мені про це, а от деякі зі старих дір досі так і не виправили).

В даній добірці експлоіти в веб додатках:

• LoCal Calendar 1.1 (lcUser.php) Remote File Include Vulnerability (деталі)
• PHPEasyData Pro 2.2.2 (index.php) Remote SQL Injection Exploit (деталі)
• MySource CMS <= 2.16.2 (init_mysource.php) Remote File Include Exploit (деталі)
• Simple Website Software 0.99 (common.php) File Include Vulnerability (деталі)
• phpBB lat2cyr <= 1.0.1 Remote File Include Vulnerability (деталі)

Як писав деякий час тому Джеремія Гроссман в записі Top 5 signs you’ve selected a bad web application package (коментуючи повідомлення Роберта Аугера), існує список TOP5 ознак, що ви вибрали поганий веб додаток (в список експерти з безпеки додали найбільш поширені ознаки, які актуальні в наш час).

Ось п’ятірка ознак:

5. Суть процеса виправлення помилок в программі (тобто встановлення патчів) на думку виробника продукту полягає в тому, щоб відрегувати рядок X, замінівши його новим кодом.
4. Загальна кількість скачуваннь програми менша ніж її вік.
3. Власний веб додаток не використовується на сайті віробника.
2. В файлі readme вказано, що вам необхідно встановити права (chmod) 777 на деякий файл чи на директорію, щоб вони працювали.
1. Якщо в назві програми присутє слово ‘nuke’, то ви явно не в собі.

До речі, я й досі періодично ще практикую п.5 (з ручною заміною коду, зокрема в рекомендаціях про виправлення уразливостей), для веб програм це прийнятна річ.

Виявлена можливість обходу захисту від DNS pіnnіng в різних браузерах.

Эмулюя недоступність сервера можна обійти захист DNS pinning (від підміни IP-адреси по імені сервера з метою міжсайтових атак).

Уразливі продукти: Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003, Windows Vista, Mozilla Firefox 1.5, Firefox 2.0.

• DNS-Pinning demo (деталі)

В даній добірці уразливості в веб додатках:

• YapBB <= 1.2 Beta2 (yapbb_session.php) Remote File Include Exploit (деталі)
• PHP-Post <= 1.01 (template) Remote Code Execution Exploit (деталі)
• PH Pexplorer <= 0.24 (Cookie/language.php) Remote Code Execution Exploit (деталі)
• JaxUltraBB <= 2.0 (delete.php) Defaced Exploit (деталі)
• trawler <= 1.8.1 Remote File Inclusion (деталі)
• speedberg <= 1.2beta1 Remote File Inclusion (деталі)
• Net_DNS: Remote File Inclusion by ToXiC CreW (деталі)
• SQL-ін’єкція в XennoBB (деталі)
• Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
• Cross-site scripting (XSS) vulnerability in Webligo BlogHoster 2.2 (деталі)

Компанія Websense опублікувала прогнози по комп’ютерній безпеці. Відповідно до нього, у 2007 році комп’ютерна злочинність стане більш організованою і більш развиненою економічно. Збільшаться обсяги торгівлі готовими наборами програмних інструментів для проведення кібератак і експлоітами, що використовують нерозкриті уразливості програмного забезпечення. А проблеми безпеки Web 2.0 приведуть до ще більшого збільшення числа і поширеності цих явищ.

На думку авторів доповіді, веб буде продовжувати залишатися основним засобом доставки шкідливого коду на пристрої користувачів. Основним “вогнищами” поширення інфекцій стануть сайти, що містять динамічний контент, створюваний безліччю користувачів і який важко піддається контролю. Наприклад, сайти соціальних мереж, такі, як MySpace і Wikipedia. Крім соціальних мереж і користувацького контента, зонами підвищеного ризику залишаться веб-сервіси і продукти із сервіс-орієнтованою архітектурою.

Новим видам атак піддадуться антифішингові засоби захисту браузерів. Хакери будуть намагатися, використовуючи уразливості, відключати їхні захисні механізми. Зростання випадків викрадення інформації приведе до кращого захисту організаціями своїх даних, що у свою чергу змусить хакерів надійніше шифрувати шкідливий код з метою запобігання його виявлення.

Зомбі-мережі вийдуть на черговий етап еволюції і будуть керуватися за допомогою протоколів, відмінних від IRC чи HTTP. Також буде використовуватися шифрування для приховання ботів у комп’ютерах користувачів.

По матеріалам http://www.cnews.ru.

09.11.2006

У вересні, 17.09.2006, я знайшов Cross-Site Scripting уразливість на сайті http://adamant.ua. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше.

Я вже раніше писав про уразливість на іншому сайті компанії Адамант (Уразливість на inet.ua).

04.01.2007

XSS:

• alert(document.cookie) (IE)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• PHPmybibli <= 2.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• pandaBB (displayCategory) Remote File Include Vulnerabilities (деталі)
• PH Pexplorer <= 0.24 (explorer_load_lang.php) Local Include Exploit (деталі)
• EPNadmin <= 0.7 (constantes.inc.php) Remote File Include Exploit (деталі)
• news defilante horizontale <= 4.1.1 Remote File Include Vulnerability (деталі)

На секлабі пройшло цікаве опитування: “Який движок для веб сайта найбільш безпечний?”. В якому я також прийняв участь. На мою думку, найбільш безпечний, є той движок, при розробці якого приділялася достатьня (бажено посилена) увага питанням безпеки. А враховуючи те, що на інших розробників не варто розраховувати, можна лише на себе розраховувати - тому найбільш безпечним є саме власний движок.

А те, що я регулярно знахожу уразливості в різних движках (як комерційних, так і відкритих, причому в комерційних більше), а також про уразливості в движках пишуть на секюріті сайтах - лише відтверджує дану тезу. Сам я в більшості випадків використовую лише власні движки (виключенням є лише даний мій проект).

Результати опитування наступні:

• Власноруч написаний движок - 44,84%
• CMS під вільними ліцензіями (Drupal, XOOPS, PHP-Nuke та інші) - 18,89%
• Не знаю - 17,63%
• CMS під пропрієтарними ліцензіями з відкритим віхідним кодом (наприклад, Бітрікс) - 10,08%
• CMS під пропрієтарними ліцензіями с закритим віхідним кодом (більшість платних CMS) - 7,81%

Більшість опитаних (майже половина) мають подібну думку. Що власний движок є найбільш безпечною основою сайта.

• Какой движок для Web сайта наиболее безопасен? (деталі)