Архів за Липень, 2008

Ресурс Google став площадкою для хакерів

22:41 31.07.2008

Дослідження компанії Sophos показали, що 2% усіляких вірусів Інтернету - на совісті блог-хостінга Blogger.com, що належить Google. Компанія, що займається комп’ютерною безпекою, думає, що зловмисники використовують безкоштовну блог-площадку для того, щоб розміщати на ній шкідливий код, або поміщати лінки на інфіковані сайти в коментарях у користувачів.

Як говорить старший консультант по безпеці Sophos Грема Клулі, Blogger.com привабливий для кіберзлочинців через тісний зв’язок з пошуковим гігантом Google - завдяки пошуковцю, недобрі наміри хуліганів активніше “йдуть у народ”. У Sophos також відзначили, що не накладають провину за сформовану ситуацію на Google - на їхню думку, компанія докладає серйозних зусиль для того, щоб вчасно видаляти лінки на потенційно небезпечні веб-сторінки з пошукової видачі.

У компанії Sophos говорять, що припинити небезпечну тенденцію в Google все-таки не вийде - щодня з’являється близько 16000 заражених сторінок - і це тільки по самих скромних підрахунках.

Представники Google відреагували на це таким чином: “Google відноситься до безпеки своїх користувачів дуже серйозно; ми наполегливо працюємо, щоб захистити їх у необхідній мері. Використання Blogger.com, чи будь-якого іншого продукту Google для розміщення шкідливого вмісту - це порушення наших правил. Ми активно працюємо над виявленням і видаленням вірусів, розміщених на наших площадках”.

По матеріалам http://itua.info.

P.S.

Як би Sophos не захищав Гугла, мовляв вони не винні в цій ситуації та роблять все що можуть, вся провина за це лежить на Google. І як би Гугл не заявляв, що вони серйозно відносяться до безпеки і активно над цим працюють - Гугл до сих пір не зробив реальних кроків для вірішення проблеми з шкідливим контентом на Блогері.

Головна проблема полягає в можливості використання html тегів (зокрема скриптів) на блог-хостінгу, про що я писав раніше. Ще в 2007 році секюріті дослідники виявили цю особливість (дірку) сервіса Гугла, але до сих пір вона не була виправлена.

Уразливість на www.picsearch.com

20:32 31.07.2008

10.03.2008

У серпні, 07.08.2007, я знайшов Cross-Site Scripting уразливість в пошуковій системі http://www.picsearch.com. Про що найближчим часом сповіщу адміністрацію системи.

Детальна інформація про уразливість з’явиться пізніше.

31.07.2008

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

17:26 31.07.2008

В даній добірці експлоіти в веб додатках:

  • BlogWorx 1.0 (view.asp id) Remote SQL Injection Vulnerability (деталі)
  • Acidcat CMS 3.4.1 Multiple Remote Vulnerabilities (деталі)
  • Kubelance 1.6.4 (ipn.php i) Local File Inclusion Vulnerability (деталі)
  • HostDirectory Pro Insecure Cookie Handling Vulnerability (деталі)
  • W1L3D4 Philboard 1.0 (philboard_reply.asp) SQL Injection Vulnerability (деталі)
  • RedDot CMS 7.5 (LngId) Remote SQL Injection Exploit (деталі)
  • TR News 2.1 (nb) Remote SQL Injection Vulnerability (деталі)
  • Joomla Component FlippingBook 1.0.4 SQL Injection Vulnerability (деталі)
  • Joomla Component Filiale 1.0.4 (idFiliale) SQL Injection Vulnerability (деталі)
  • JBlog version: 1.0 cookies Manipulation + Cross Site Scripting (деталі)

Уразливість на www.cuil.com

23:55 30.07.2008

Сьогодні, 30.07.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.cuil.com. Про що найближчим часом сповіщу адміністрацію проекту.

Cuil - це пошукова система, що розроблена колишніми працівниками Гугла і, як пишуть ЗМІ, позиціонується як “убивця Гугла” (Google killer). Розробники пошуковця явно не слідкували за моїм проектом MOSEB, виходячи з його рівня безпеки ;-) .

XSS:

Анонсовані номінанти Pwnie Awards 2008

22:48 30.07.2008

Нещодавно були анонсовані номінанти на цьогорічну The Pwnie Awards. Про переможців минулорічної Pwnie Awards я писав раніше.

Номінанти The Pwnie Awards 2008 розташовані в різних категоріях. Серед цьогорічних категорій наступні: Best Server-Side Bug, Best Client-Side Bug, Mass 0wnage, Most Innovative Research, Lamest Vendor Response, Most Overhyped Bug, Best Song, Most Epic FAIL, Lifetime Achievement Award.

Зверну вашу увагу на цікаву номінацію в категорії Pwnie for Mass 0wnage: An unbelievable number of WordPress vulnerabilities. Враховуючи, що я виявив найбільшу кількість дірок в WP за 2006-2008 роки (і ще планую чимало дірок в WP опублікувати), то варто було мене згадати в цій номінації серед тих, хто виявив ці дірки ;-) . Тому що я разом з іншими секюріті дослідниками, що виявили дірки в WordPress, є тими, хто привели в життя цю номінацію.

Цікаво бути долученим до номінації в категорії Mass 0wnage :-) . Раджу жюрі проголосувати саме за цю номінацію в даній категорії (і вибрати достойні номінації в інших категоріях).

Також можете ознайомитися з номінантами в категорії Pwnie for Best Song (два з яких доступні у вигляді відео роліків).

Добірка уразливостей

15:24 30.07.2008

В даній добірці уразливості в веб додатках:

  • Elite Forum Full HTML ENject versin 1.0.0.0 (деталі)
  • Safari Bookmarks Buffer Overflow Vulnerability (деталі)
  • Minb Is Not A Blog default password directory (деталі)
  • Webspell 4.x Local File Inclusion (деталі)
  • Image Racer SearchResults.asp SQL INJECTION vuln. (деталі)
  • PHMe CMS 0.0.2 local File Include Vulnerabilitiy (деталі)
  • Remote command execution in Joomla! CMS (деталі)
  • Webbler CMS forms are susceptible to spamming and phishing abuses (деталі)
  • Webroot disclosure on Webbler CMS (деталі)
  • Cross-site scripting (XSS) vulnerability in Fullaspsite ASP Hosting Site (деталі)

Українцю загрожує 72 роки в’язниці за кібершахрайство

22:42 29.07.2008

Окружний суд Анталії почав розглядати справу українського хакера Максима Ястремського, якому за кібершахрайство загрожує до 72 років в’язниці. Ястремського затримали в 2007 році в турецькому місті Кемер. Місяць тому, за даними американських спецслужб, йому висунули обвинувачення в незаконному присвоєнні більш ніж 10 мільйонів доларів, що він розмістив на різних банківських рахунках у 13 країнах світу.

Незважаючи на те, що суд Анталії вже почав розглядати справу українця, у даний час активно обговорюється питання про те, де повинні судити Ястремського, що є громадянином України. У прес-службі МЗС України Василь Кирилич заявив про те, що Ястремський знаходився в міжнародному розшуку і був затриманий також за кордоном, тому Україна не може порушувати питання про його повернення на батьківщину.

А юристи заявляють про те, що Україна може зажадати екстрадиції українця тільки з метою покарати за злочини, що зроблені тут. Причому в даній ситуації Туреччина може судити його за злочини, зроблені на своїй території, а США - на своїй. Так що після турецького правосуддя Ястремського може очікувати американська Феміда.

Згідно даних спецслужб США, українець через Інтернет взломав коди 50 - 60 тисяч кредитних карт, взломавши термінал збереження конфіденційної інформації однієї з американських ресторанних мереж. Крім того, йому інкримінують розкрадання засекречених даних про 1200 турецьких власників кредитних карт. Відомо, що Ястремський працював не один, а зі спільниками - естонцем Олександром Суворовим і американцем Альбертом Гонсалесом.

По матеріалам http://itua.info.

Уразливість на www.drweb.com.ua

20:37 29.07.2008

08.03.2008

У серпні, 05.08.2007, я знайшов Cross-Site Scripting уразливість на http://www.drweb.com.ua - сайті секюріті компанії ЦТП “Доктор Веб”. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.07.2008

XSS:

Дана уразливість вже виправлена.

Добірка експлоітів

17:29 29.07.2008

В даній добірці експлоіти в веб додатках:

  • Simple Customer 1.2 (contact.php id) SQL Injection Vulnerability (деталі)
  • PhShoutBox <= 1.5 (final) Insecure Cookie Handling Vulnerability (деталі)
  • OpenInvoice 0.9 Arbitrary Change User Password Exploit (деталі)
  • 2532|Gigs <= 1.2.2 Arbitrary Database Backup/Download Vulnerability (деталі)
  • PHP-Fusion 6.00.307 Remote Blind SQL Injection Exploit (деталі)
  • Apartment Search Script (listtest.php r) SQL Injection Vulnerability (деталі)
  • Aterr 0.9.1 (class) Local File Inclusion Vulnerabilities (php5) (деталі)
  • XOOPS Module Recipe (detail.php id) SQL Injection Vulnerability (деталі)
  • Crazy Goomba 1.2.1 (id) Remote SQL Injection Vulnerability (деталі)
  • Java Web Start Buffer Overflow POC Exploit (деталі)

Number of hacked sites in Internet

22:42 28.07.2008

This is English version of my Number of hacked sites in Internet article.

How much of hacked sites are currently in Internet - it’s urgent question. From news you know, that sites are constantly hacking, and number of this hacks is measured in hundreds and thousands (per one way of hacks), sometimes reaches hundreds of thousands of sites.

To find out the situation with hacks of sites in Uanet I lead own researches, as a result of which publish reports about hackers activity in Uanet. And as a results of new researches today I created new method of searching hacked sites, as in Uanet, as in a whole Internet. Searching occurs with help of Google - via special dorks.

This method allow to reveal hacked sites, which were hacked recently (or long ago), and still were not fixed by admins. So this method can be used for revealing of actual state of Internet’s hacked level ;-) (to reveal recently hacked sites). It can be used also in general for researching of hackers activity in Internet, and also for leading of regional researches of hackers activity (in different countries).

Queries for revealing of hacked sites:

intitle:”hacked by” - as a whole in Internet up to 1010000 sites are currently hacked.

Of course there are also news sites in results, which wrote about hacks of sites, but there are many directly hacked sites.

Search on Uanet:

intitle:”hacked by” site:ua - up to 2060 sites are currently hacked.

intitle:”hacked by” + “pages from Ukraine” - up to 2540 sites are currently hacked.

Second query more precision (because include Ukrainian sites, which not located in ua zone) and so has more results.

In Internet (and in Uanet) there are large number of hacked sites in current time. And with every minute, when robots of Google (and other search engines) walk around the Net, this information is updating.