Websecurity - Веб безпека

Нещодавно, 7 жовтня, був взломаний сайт блоку мера міста Києва Леоніда Черновецького blch.kiev.ua.

Як і у випадку попередніх взломів, відповідальність на себе взяли хакери з FRONT ZMIN h4ck t34m, які називають себе прихильниками Яценюка.

Дана серія взломів сайтів політичних партій схожа на кібервійну в Україні, що пов’язана з майбутніми президентськими виборами. Вона розпочалася у вересні після взломів двох сайтів Арсенія Яценюка і продовжилася в жовтні взломами сайтів Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.

По матеріалам http://www.securitylab.ru.

P.S.

Дана ситуація зі взломами сайтів політичних партій нагадує цирк.

Офіційний веб сайт Партії Регіонів www.partyofregions.org.ua, лідером якої є Віктор Янукович, 6 жовтня був взломаний хакерами, що назвали себе FRONT ZMIN h4ck t34m. Дана акція, як було заявлено, була актом помсти за взлом сайтів Арсенія Яценюка, що відбувся на початку вересня.

Нагадаю, що раніше, хакери, які підтримують рух Арсенія Яценюка вже взломали сайт Партії Зелених України. Про що я писав в останньому дослідженні похаканих сайтів в Уанеті.

У цей раз, текст взлому був менш радикальний і витриманий у строгому стилі. Внизу стояли загадкові ініціали “Ваш А.Я”, а постскриптум інформував про любов автора тексту до деякої Юлії.

По матеріалам http://www.securitylab.ru.

P.S.

Відношення Яценюка до даного інциденту під великим сумнівом.

В даній добірці уразливості в веб додатках:

• Computer Associates Alert Notification Service Multiple RPC Buffer Overflow Vulnerabilities (деталі)
• CA ARCserve Backup for Laptops and Desktops Server and CA Desktop Management Suite Multiple Vulnerabilities (деталі)
• Madrese-Portal Sql Injection (деталі)
• ViArt Shopping Cart v3.5 Multiple Remote Vulnerabilities (деталі)
• Joomla Component mdigg 2.2.8 Blind SQL Injection Exploit (деталі)
• New phppgadmin packages fix several vulnerabilities (деталі)
• PsychoStats v3.1 XSS (деталі)
• Multiple directory traversal vulnerabilities in AIST NetCat (деталі)
• Altiris Deployment Solution - SQL Injection (деталі)
• Altiris Deployment Solution - Domain Account Disclosure (деталі)

Дві людини були засуджені за відмову надати владі Великобританії ключі, необхідні для розшифровування інформації. Вони могли одержати вироки, що передбачають покарання аж до п’яти років позбавлення волі. Британський уряд повідомив про те, що про їхню долю йому нічого не відомо.

Повноваження притягати громадян до відповідальності за відмову розшифровувати інформацію в ході слідства з’явилися у влади цієї країни в жовтні 2007 року. Як стало відомо з опублікованої недавно щорічної доповіді глави урядової комісії з нагляду сера Крістофера Роуза, за період між першим квітня 2008 і тридцять першим травня 2009 по даній статті було винесено два обвинувальних вироки.

Щоб мати можливість скористатися поправкою, що передбачає притягнення до відповідальності за відмову розшифровувати інформацію, поліцейські зобов’язані спочатку звернутися в Національний центр технічної допомоги (NTAC). У NTAC підтвердили 26 випадків звертань, пов’язаних з новою поправкою, у 17 з який судді дали відповідним справам подальший хід.

По матеріалам http://www.xakep.ru.

Виявлена проблема з перевіркою сертифіката в Perl IO::Socket::SSL.

Уразливі версії: perl-IO-Socket-SSL 1.25.

Некоректно перевіряється ім’я хоста сертифіката в IO-Socket-SSL.

• Vulnerability in perl-IO-Socket-SSL (деталі)

В даній добірці експлоіти в веб додатках:

• UBB.threads 5.5.1 (message) Remote SQL Injection Vulnerability (деталі)
• phpComasy 0.9.1 (entry_id) SQL Injection Vulnerability (деталі)
• GDL 4.x (node) Remote SQL Injection Vulnerability (деталі)
• PHPRunner 4.2 (SearchOption) Blind SQL Injection Vulnerability (деталі)
• Mega File Hosting Script 1.2 (cross.php url) RFI Vulnerability (деталі)
• DeluxeBB <= 1.3 (qorder) Remote SQL Injection Vulnerability (деталі)
• Pivot 1.40.6 Remote Arbitrary File Deletion Vulnerability (деталі)
• Advanced Image Hosting (AIH) 2.3 (gal) Blind SQL Injection Vuln (деталі)
• Facil-CMS 0.1RC2 Multiple Remote Vulnerabilities (деталі)
• Bloginator v1a SQL Command Injection via Cookie Bypass Exploit (деталі)
• Bloginator v1a (Cookie Bypass/SQL) Multiple Remote Vulnerabilities (деталі)
• Hannon Hill Cascade Server Command Execution Vulnerability (post auth) (деталі)
• SW-HTTPD Server 0.x Remote Denial of Service Exploit (деталі)
• Pixie CMS (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• Exploits joomla com_lowcosthotels sql injection (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yanivgames.at.ua (хакером TH3_H4TTAB)
• http://svyatograd.com.ua (хакерами з ISLAMIC GHOSTS TEAM) - 08.09.2009, зараз сайт вже виправлений адмінами
• http://myadvert.com.ua (хакером ALFONSO) - похакана директорія сайта
• http://ksvolodar.com (хакерами з ParsiHacker Security Team) - похакана директорія сайта
• http://www.greenparty.ua (хакерами з FRONT ZMIN h4ck t34m) - сайт Партії Зелених України - 28.09.2009, зараз сайт вже виправлений адмінами

Фінансовий сервіс PayPal у вівторок заблокував аккаунт відомого “білого хакера” Моксі Марлінспайка. Відбулося це після того, як один з дослідників скористався його напрацюваннями й опублікував SSL-сертифікат, що імітує цифровий підпис даного платіжного оператора.

В електронному повідомленні, що одержав Марлінспайк, компанія повідомила, що відповідно до умов припустимого використання сервісу, через нього не можна одержувати гроші, виручені від продажу засобів, призначених для незаконного розкриття особистої інформації і довідок, що належать третім особам. Заблокувавши аккаунт, сервіс PayPal заморозив на ньому більше п’ятисот доларів, повернути які Марлінспайк зможе тільки тоді, коли надасть письмові гарантії того, що він прибрав логотип сервісу зі свого веб сайта.

Цей значок знаходиться на сторінці завантаження на його сайті і призначається для внесення добровільних пожертвувань. Відзначимо, що Марлінспайк є автором таких відомих утиліт, як SSLSniff і SSLStrip, в останній з який також наявна відповідна кнопка. Свої програми він поширює з 2002 року, однак його аккаунт на PayPal був заблокований лише після того, як невідомий хакер опублікував у понеділок підроблений сертифікат PayPal.

Подібні кроки з боку PayPal викликають деяку стурбованість, оскільки спрямовані вони проти дослідника в області безпеки, чиї дослідження вже допомогли виявити цілий ряд важливих особливостей SSL.

По матеріалам http://www.xakep.ru.

В даній добірці уразливості в веб додатках:

• Cisco Unified Presence Denial of Service Vulnerabilities (деталі)
• Численні уразливості в NetCat CMS <= 3.12 (деталі)
• CERT-FI Vulnerability Advisory on GnuTLS (деталі)
• Personal Sticky Threads v1.0.3c vbulletin Add-on problem (деталі)
• joomla com_lowcosthotels sql injection (деталі)
• PHP-Fusion Mod TI - Blog System Sql Injection (деталі)
• Cross-site request forgery (CSRF) vulnerability in Nagios (деталі)
• Arbitrary programs execution in Nagios (деталі)
• Mavi Emlak Sql Injection (деталі)
• MagpieRSS XSS 0day (деталі)

Виявлена можливість підміни DNS-записів у nginx.

Уразливі версії: nginx 0.7.

Некоректна реалізація алгоритму пошуку по хешу.

• nginx internal DNS cache poisoning (деталі)