Websecurity - Веб безпека

Починаючи з 2008 року я опублікував багато статей на тему закриття сайтів через різні причини. Як закриття сайта з ініціативи власника ресурсу, так і закриття сайта правоохоронними органами у зв’язку з порушеннням законодавства.

Закриття веб сайта може бути повним, або тимчасовим (наприклад, тимчасове вилучення серверів правоохоронцями для проведення експертизи), але воно має місце і спричиняє незручності для власника сайта і його користувачів. При закритті пов’язаному з порушенням законодавства також існує можливість притягнення власників ресурсу до відповідальності (по кримінальому кодексу).

Раніше я писав про можливість закриття сайтів через розміщення порнографії, секретних матеріалів, терористичних матеріалів, через розміщення персональних даних та закриття сайтів по політичним мотивам. Закриття можливо як у зв’язку з наявністю на сайті вищенаведених матеріалів, коли власники сайта самі їх розмістили, так і можливе закриття сайтів через їх уразливості. Коли закриття станеться через взлом ресурсу та розміщення на ньому вищезазначених метеріалів.

До вищенаведених причин закриття веб сайтів в зв’язку з порушеннням законодавства додам ще одну - закриття через неліцензійний контент. Прикладом якого є закриття EX.ua, яке мало місце на минулому тижні.

Зазначу, що це не перший випадок закриття сайту через контрафакт. Ще в 2010 році міліця в Луганській області закрила декілька сайтів та порушила кримінальну справу проти власника ресурсів, на яких він розміщував неліцензійний контент. І цей випадок з EX.ua, що трапився через 1,5 роки після закриття тих сайтів (адреси яких міліція не розголосила), це другий публічно відомий випадок.

Причому в МВС заявляють, як повідомляють ЗМІ, стосовно коментарів МВС після закриття EX.ua, що вони регулярно закривають піратські сайти. Але жодної адреси закритого ресурсу міліція так і не назвала. Зазначу, що в Росії правоохоронці також регулярно закривають піратські сайти. Зокрема в 2011 році в Росії вступив в дію новий закон “Про поліцію”, що дозволив поліції блокувати доступ до сайтів без постанови суду.

Цікавим прикладом закриття сайту через неліцензійний контент є закриття upload.com.ua. Власники файлообмінника закрили свій сайт через ситуацію з ex.ua. Тобто вони не стали чекати доки правоохоронці завітають до них у гості й самі закрилися. Виникає лише одне питтання до всіх українських файлообмінників - на кожному з яких є нелегальний контент, де більше, де менше - чому вони чекали 1,5 року після того інциденту на Луганщині, щоб лише зараз братися за голову. Закриття ex.ua нарешті привернуло увагу власників сайтів до питання дотримання авторських прав.

Всі ці приклади закриття сайтів наочно демонструють всім власникам сайтів, що через наявність неліцензійного контенту можуть закрити їхній ресурс. В тому числі контрафакт може з’явитися на сайті через його взлом, тому всім адміністраторам сайтів потрібно слідкувати за безпекою власних ресурсів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fp.ua - інфекція була виявлена 18.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://studia.at.ua - інфекція була виявлена 14.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://vse-futbolki.pp.ua - інфекція була виявлена 12.12.2011. Зараз сайт входить до переліку підозрілих.
• http://onua.com.ua - інфекція була виявлена 20.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://fundmarket.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.2.

Витік інформації, обхід фільтрації, підвищення привілеїв, DoS.

• Apache HTTP Server 2.2.22 Released (деталі)

В даній добірці уразливості в веб додатках:

• Restorepoint Remote root command execution vulnerability (деталі)
• Elgg 1.8 beta2 and prior to 1.7.11 ‘container_guid’ and ‘owner_guid’ SQL Injection (деталі)
• phpList Improper Access Control and Information Leakage vulnerabilities (деталі)
• Elgg 1.7.10 <= | Multiple Vulnerabilities (деталі)
• ALTOGRADO (catalogo.php?id_categoria) Remote SQL injection Vulnerability (деталі)
• HP Managed Printing Administration, Remote Execution of Arbitrary Code and Other Vulnerabilities (деталі)
• Grupo Argentina Web Remote SQL injection Vulnerability (деталі)
• webyuss (prodotto.php?id) (quadri.php?id) Remote SQL injection Vulnerability (деталі)
• bizConsulting (prodotto.php?id) Remote SQL injection Vulnerability (деталі)
• Casper Suite (JSS 8.1) Cross-Site Scripting (деталі)

У вівторок, 31.01.2012, МВС України закрило найбільш популярний український файлообмінник EX.ua. Ця подія достатньо широко освітлюється в ЗМІ, як з моменту закриття, так і по сьогодні, тому що щодня відбуваються нові події пов’язанні з закриттям EX.ua.

Враховуючи, що я регулярно користуюся цим файлообмінником, то його закриття ясна річ створило для мене незручності. Ще більші, ніж це мало місце у випадку закриття Infostore в грудні 2008 року.

Коротко нагадаю ретроспективу подій:

31.01.2012 - МВС закрило EX.ua.
31.01.2012 - якщо в понеділок я нормально користувався ex.ua, то вже в вівторок сайт не відкривався. В мере одразу ж виникли підозри, що це може “міліція дісталася до ресурсу”, і після декількох годин, коли сайт все ще не працював, я знайшов новини в ЗМІ, що підтвердили мої підозри.
31.01.2012 - початок DDoS атак на державні сайти.
02.02.2012 - міліція відізвала заяву на блокування домену.
03.02.2012 - EX.ua відновив роботу, хоча більшість файлів все ще не доступні.

Закриття файлообмінника вилилося у незадоволення користувачів та прихильників ресурсу, що призвело до численних DDoS атак на gov.ua сайти. Зокрема на протязі перших днів після інциденту були атаковані сайти МВС, Президента, СБУ, Кабінету Міністрів, Податкової адміністрації, Партії Регіонів та НБУ.

Цей випадок схожий на інцидент з Infostore. Але тоді міліція закрила сайт через розміщення на ньому дитячої порнографії (така була офіційна причина). А у випадку з EX.ua офіційною причиною закриття МВС називає розміщення неліцензійного контенту. Тобто причина інша, але результат той же - міліція провела обшук і вилучила сервери проекту (всього 200 серверів), а також зобов’язала домен провайдера Imena.ua відключити домен. Тому це закриття сайту є наочним прикладом для всіх власників сайтів, що через наявність неліцензійного контенту можуть закрити їхній ресурс, про що я напишу окрему статтю.

І на відміну від випадку з Infostore, цього разу набагато більше громадян висловили своє обурення з цього приводу і висловили свою підтримку проекту. В тому числі були створенні групи підтримки у соціальних мережах та проведені акції протесту під стінами МВС. А також були проведені вищезгадані численні DDoS атаки на державні сайти. І це принесло свої плоди - МВС зрозуміло, що не варто було закривати домен і відкликало свою заяву, після чого домен ex.ua знову запрацював, але більша частина контенту на сервері відсутня (так як сервери з файлами вилучила МВС, лише залишилася БД з інформацією про файли), але адміністрація ресурсу працює над його відновленням.

В даній добірці уразливості в веб додатках:

• pfSense x509 Insecure Certificate Creation (деталі)
• CdeVision Cross Site Scripting Vulnerabilities (деталі)
• PCVmedia (free_gallery.php?cat_id) Remote SQL injection Vulnerability (деталі)
• CdeVision(students.php?id) (gallery.php?cat) Remote SQL injection Vulnerability (деталі)
• DoodleIT (gallery.php?id) (about.php?id) Remote SQL injection Vulnerability (деталі)
• Authentication Bypass Vulnerability in IBM TS3100/TS3200 Web User Interface (деталі)
• BACKEND (categoria.php?id) Remote SQL injection Vulnerability (деталі)
• SAY Comunicacion (producto.php?id) Remote SQL injection Vulnerability (деталі)
• awiki 20100125 multiple local file inclusion vulnerabilities (деталі)
• The LAD Melbourne Cms Sql Injection Vulnerability (деталі)

На цьому тижні прокотилася хвиля DDoS атак на gov.ua сайти, про що повідомило багато україньских онлайнових ЗМІ. На одні сайти атака тривала протягом кількох діб, на інші лише протягом кількох годин. Деякі з цих атак я застав і сам, зокрема на сайт МВС.

Дані DDoS атаки на україньські державні сайти пов’язуються з закриттям файлообмінника ex.ua, що мав місце у вівторок. Представники державних органів вважають це “актом помсти” за закриття файлообмінника. Після атаки на сайти МВС та Президента, також були атаковані сайти СБУ, Кабінету Міністрів, Податкової адміністрації, Партії Регіонів та НБУ.

Всього були проведенні DDoS атаки на наступні сайти:

• mvs.gov.ua - 31.01.2012
• president.gov.ua - 01.02.2012
• sbu.gov.ua - 01.02.2012
• kmu.gov.ua - 01.02.2012
• www.sta.gov.ua - 01.02.2012
• www.partyofregions.org.ua - 01.02.2012
• bank.gov.ua - 02.02.2012

У січні, 10.01.2012, вийшов PHP 5.3.9, а вже у лютому, 02.02.2012, вийшов PHP 5.3.10. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.9 Стефан Ессер виявив, що в ній має місце remote code execution уразливість, причому вона знаходиться в коді виправлення DoS уразливості, який був доданий в цій версії. Тому вже на початку лютого розробники випустили нову версію для виправлення RCE дірки.

Cеред секюріті покращень та виправлень в PHP 5.3.9:

• Додана директива max_input_vars для запобігання атакам, що базуються на колізіях хеша.
• Виправлений баг #60150 (Integer overflow при парсингу некоректного exif заголовку).

Cеред секюріті виправлень в PHP 5.3.10

• Виправлена уразливість віддаленого виконання довільного коду.

Випускати чергову версію інтерпретатора, після чого виясняти, що в ній є уразливість і швидко випускати нову версія для її виправлення - це вже траплялося з PHP раніше, зокрема в версії PHP 5.3.7. Коли вже через п’ять днів після її випуску, розробники PHP випустили версію 5.3.8, для виправлення уразливості в функції crypt(). Ці випадки вкотре показують, що розробники PHP недостатньо слідкують за безпекою, недостатньо тестують нові версії перед їх випуском і не вчаться на власних помилках.

По матеріалам http://www.php.net.

За повідомленням www.opennet.ru, виявлена критична уразливість у PHP 5.3.9, що дозволяє виконати код на сервері.

У PHP виявлена одна із самих серйозних уразливостей за час існування даної мови. Уразливість проявляється тільки в PHP 5.3.9 і дозволяє віддаленому зловмиснику виконати свій код на сервері, незалежно від того які PHP-скрипти використовуються. При успішному здійсненні атаки код буде виконаний із правами PHP-додатка, до якого відправлений спеціальний запит.

По іронії долі, уразливість пов’язанна з некоректним усуненням менш небезпечної проблеми безпеки в минулій версії PHP (про універсальний спосіб DoS-атаки я вже писав раніше). Уразливість виявлена Стефаном Ессером.

Молодець Стефан, що знайшов цю уразливість, причому CE уразливість в коді виправлення DoS уразливості. Що з однієї сторони виглядає кумедно, коли патч для однієї дірки додає нову дірку (і таке іноді трапляється). А з іншої сторони, виконання довільного коду підправивши спеціально сформований запит будь-якому PHP-скрипту - це доволі критична уразливість.

За повідомленням www.from-ua.com, хакери “поклали” сайт української міліції з помсти.

Сайт Міністерства внутрішніх справ України деякий час не працював у зв’язку з великою кількістю відвідувачів і можливими хакерськими атаками через закриття EX.UA. Про що повідомили в управлінні зв’язків із громадськістю МВС України, пообіцявши, що найближчим часом сайт відновить свою роботу.

Сайт МВС перестав працювати 31.01.2012 із-за DDoS атаки. І в даний час він все ще відкривається повільно, так як повністю атака не завершилася.

За повідомленням www.xakep.ru, VeriSign визнала факт “неодноразових проникнень” у корпоративну мережу.

Один з оплотів мережевої інфраструктури VeriSign визнав, що в 2010 в корпоративну мережу неодноразово проникали невідомі. Дуже несподівано почути подібне визнання, особливо через два роки після факту взломів. Компанія пояснює таку повільність тим, що вище керівництво нібито було сповіщено про інцидент тільки у вересні 2011 року. Уже тепер, відповідно до вимог звітності Комісії з цінних паперів США, компанія VeriSign, як і потрібно, повідомила про факт взлому в черговому квартальному звіті.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet, це ще один такий випадок. І якщо ці чотири компанії були взломані в 2011 році, то VeriSign був взломани ще в 2010, але лише зараз про це повідомив.

В даній добірці уразливості в веб додатках:

• Heap-based buffer overflow (Off-by-one error) in libxml in Apple Safari before 5.0.6 (деталі)
• InYourLife (dettaglio.php?id) (dettaglio_immobile.php?id) (notizia.php?id) Remote SQL injection Vulnerability (деталі)
• lab382 (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• WebsiteBaker 2.8.1 <= Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• WebsiteBaker 2.8.1 <= Arbitrary File Upload Vulnerability (деталі)
• RSA, The Security Division of EMC, announces the release of a Security Fix for RSA(r) Adaptive Authentication (On-Premise) (деталі)
• Calisto light, light plus and full, Sql Injection And user or Admin bypass (деталі)
• Neox (categoria.php?id) Remote SQL injection Vulnerability (деталі)
• QOLQA (categoria.php?id) Remote SQL injection Vulnerability (деталі)
• cdeVision (index.php?page) Remote File Inclusion Vulnerability (деталі)