Архів за Травень, 2012

Закриття сайтів через розміщення вірусів

22:49 31.05.2012

Раніше я розповідав про різні причини, через які в Україні правоохоронні органи можуть закрити веб сайти. В останнє я писав про закриття сайтів через обшук податкової, а також про закриття сайтів через законодавство ЄС (що може стосуватися як європейських сайтів, так і ресурсів інших країн, що направлені на аудиторію ЄС). А зараз розповім вам про закриття сайтів через розміщення шкідливого коду (вірусів).

Після того як в листопаді 2008 СБУ закрила сайт Daily-UA та в грудні 2008 МВС закрила Infostore, я написав статтю про закриття сайтів через їх уразливості, базуючись на цих прикладах (коли сайти закрили через розміщення на них секретних матеріалів та порнографії). Після чого я навів ще багато прикладів українських законів, через які можуть закрити сайти, що їх порушують, та навів випадки подібного закриття веб ресурсів.

Але ще раніше, ще на початку вересня 2008, коли мені потрапив на очі сайт www.crime.org.ua - який є онлайновою версією Кримінального Кодексу України - я звернув увагу на статтю КК України 361.1 (про яку я знав ще з 2004 року), що стосується розповсюдження вірусів, і поглянув на неї під іншим кутом. Як раз з точки зору закриття сайтів зі шкідливим кодом. І з тих пір планував про це написати. Але так як не було прецендентів, то про це я не писав, зате раніше написав статтю про закриття сайтів через секретні матеріали та порнографію, після вищезгаданих випадків з Daily.ua та Infostore. С тих пір дана стаття була лише в планах, чекав доки з’явиться перший прецендент в Україні (хоча писав про випадки закриття сайтів хостерами чи власниками ресурсів саме в зв’язку з розміщенням на них вірусів). Але при спілкуванні з журналістами в останні роки я наводив серед різних причин, чому потрібно слідкувати за безпекою власних сайтів, дані приклади закриття сайтів через законодавство (про які я писав на сайті), в тому числі про можливість закриття в зв’язку з даною статтею КК про розповсюдження вірусів.

І от нарешті з’явився перший прецендент в Україні. Якщо в попередні роки, як я писав в новинах, міліція і СБУ затримували лише продавців “CD з вірусами”, то в цьому році вони вже дісталися до сайтів. При тому, що ще з початку 2000-х років Інтернет є найбільшим джерером розповсюдження вірусів. Як повідомлялося у ЗМІ, 23 березня МВС України припинило роботу веб проекта VX Heavens. Сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК (при цьому власники сайта не вважають себе винними). Цей випадок наочно показує, що українські сайти можуть закривати по цій статті КК.

Нагадаю, що в Кримінальному Кодексі стаття 361-1 передбачає відповідальність за “Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут”. Тобто окрім безпосередньо закриття сайтів, власникам веб ресурсів, які підпали під дію цієї статті, також загрожує штраф, або виправні роботи, або позбавлення волі.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням чи продажем вірусів, подібне закриття сайтів може бути спровоковане через розміщення вірусів на сайтах. Тобто це може бути malware для браузерів, що також є вірусом і підпадає під цю статтю. А malware можуть бути розміщені як власниками сайтів, так і через дірки на сайтах. В своїй доповіді про системи виявлення інфікованих веб сайтів на конференції, я описав всі варіанти потрапляння шкідливого коду на сайт.

Тобто, окрім випадків, коли сам власник сайта розміщує віруси на своєму ресурсі, будь-який сайт може бути взломаний через уразливості на ньому та інфікований. Щотижня я повідомляю про нові випадки інфікувань сайтів в Уанеті, в тому числі й державних сайтів. І всі ці сайти по суті підпадають під дану статтю. Так що зловмисники таким чином можуть підставити власника сайта. І дана стаття КК України є гарним приводом для власників веб сайтів для покращення їхньої безпеки.

Травневий вівторок патчів від Microsoft

20:13 31.05.2012

У травні місяці Microsoft випустила 7 патчів. Що значно менше ніж у квітні.

У травненому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office.

Добірка уразливостей

16:06 31.05.2012

В даній добірці уразливості в веб додатках:

  • CheckPoint Firewall VPN - Information Disclosure (деталі)
  • Landshop v0.9.2 - Multiple Web Vulnerabilities (деталі)
  • ME Firewall Analyzer v7.2 - Cross Site Vulnerabilities (деталі)
  • Flatnux CMS 2011 08.09.2 - Multiple Web Vulnerabilities (деталі)
  • DirectAdmin v1.403 - Cross Site Scripting Vulnerability (деталі)
  • Multiple Vulnerabilities in Uploadify 2.1.4 (деталі)
  • File Existence Disclosure in Uploadify 3.0.0 (деталі)
  • vBulletin 4.1.10 Sql Injection Vulnerabilitiy (деталі)
  • 0day; Open Proxy vulnerability in Umbraco 4.7 (деталі)
  • Enterasys SecureStack Switch v6.x - Multiple Persistent XSS Vulnerabilities (деталі)

SSL Spoofing в Mozilla Firefox

23:56 30.05.2012

Продовжуючи розпочату традицію, після попереднього відео про URL Bar Spoofing в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про SSL Spoofing в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Mozilla Firefox SSL Spoofing vulnerability

В ролику демонструється SSL Spoofing уразливість в браузері Mozilla Firefox. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображується одна адреса, а потім адреса двічі змінюється і в результаті один сайт отримує SSL сертифікат від іншого. Дана уразливість дещо схожа на Certificate Spoofing в Google Chrome для Android, що я знайшов торік.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Новини: діяльність МВС, статистика по ДБО та збитки від шахрайства в інтернет-банкінгу

22:44 30.05.2012

За повідомленням ain.ua, МВС України закрило проект hack-ентузіастів VX Heavens.

МВС України припинило роботу веб проекта VX Heavens, що довгий час служив площадкою для hack-ентузіастів. Як повідомляється на головній сторінці проекту, “у п’ятницю, 23 березня, сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК України (Створення шкідливих програм з метою поширення чи збуту) по сигналу про “розміщення для вільного доступу шкідливих програмних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин, автоматизованих систем, комп’ютерних мереж”. Абсурдність даного твердження нам доведеться доводити в суді”.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням вірусів (наприклад, їх продажем), подібне закриття сайтів може бути спровоковане через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням www.xakep.ru, статистика по ДБО від Центробанку РФ.

Центральний банк Російської Федерації опублікував статистику за 2011 рік по шахрайствах, чиненим за допомогою терміналів, банкоматів та інших засобів дистанційного банківського обслуговування (ДБО). Цифри оголосив начальник головного управління безпеки і захисту інформації Банку Росії Олег Крилов на засіданні круглого столу з проблем безготівкових і готівкових розрахунків.

Торік обсяг фродових транзакцій через ДБО виріс на 40%. Перше місце займають розкрадання через віддалені термінали, на їхню частку приходиться 58% обсягу фрода, 40% коштів викрадається через банкомати, а 2% приходяться на електронні гроші.

За повідомленням ain.ua, збиток від шахрайства в сфері українського інтернет-банкінга перевищив 9 млн. гривень за рік.

У 2011 році зловмисники подвоїли кількість неправомірних операцій із платіжними системами і банківськими картами в Україні, зумівши вкрасти майже в півтора рази більше коштів: 9,1 млн. грн. Представники банків і платіжних систем скаржаться, що основні проблеми виникають при інтернет-платежах, а також через крадіжку персональних даних шляхом скіммінга. Чипові картки можуть зробити транзакції захищеними, але експерти ремствують на низькі темпи їхнього впровадження.

Масовий взлом сайтів на сервері Cityhost

19:29 30.05.2012

За період з 25.10.2010 по 19.03.2012 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Взлом складався з серії взломів і останній взлом відбувся після згаданого масового взлому сайтів на сервері CityNet.

Всього було взломано 46 сайтів на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua, tour.stsrda.gov.ua, ved.svittancu.com.ua, artisthall.com, svittancu.com.ua, test.svittancu.com.ua, www.tramtata.net.ua, impulsbud.com, stabilizatora.net, ukrgasoil.com, www.akit.in.ua, advokat.delok.info, delok.info, ferokupidon.com, poluneeva.org.ua, dobro-diy.com.ua, foto.delok.info, nicer.com.ua, ajure.com.ua, lsu.kiev.ua, georgia-tour.com, radojavor.com, test.delok.info, ur-poslugi.com.ua, avto-boss.com.ua, h.akit.com.ua, test2.delok.info, utic.com.ua, taxi-boss.com.ua, akit.com.ua, brendonmusic.com, jt-fashion.net, for-tour.com.ua, chehoeva.com, www.fds-sales.ru, www.lesnoyray.com, grafplast.com.ua, sharanet.com.ua, www.nimchenko-design.com.ua, rubin.kharkov.ua, www.niidkif.org.ua, www.klt.org.ua, kofeinbest.com.ua, x.akcia.kiev.ua. Серед них українські державні сайти rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua та tour.stsrda.gov.ua.

З зазначених 46 сайтів 4 сайти були взломані хакерами з LatinHackTeam, 4 сайти хакером ghost-dz, 1 сайт хакерами з 1923Turk, 7 сайтів хакером iskorpitx, 25 сайтів хакером Torres, 1 сайт хакером kaMtiEz, 3 сайти хакером EraGoN та 1 сайт хакером Big-SMoke.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 25 сайтів, немає сумнівів, що вони були взломані Torres через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Уразливість на plimus.com

16:11 30.05.2012

05.02.2012

У грудні, 01.12.2011, я знайшов Denial of Service уразливість на відомому сайті http://plimus.com. Про що найближчим часом сповіщу адміністрацію сайта.

Plimus - це популярна е-комерс система, що дозволяє продавати та купувати товари і послуги через свій сайт. І його власники заявляють про відповідність PCI DSS, при цьому маючи уразливості на сайті. Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua.

Детальна інформація про уразливість з’явиться пізніше.

30.05.2012

DoS:

https://secure.plimus.com/servlet/humanity.jpg?imageWidth=10000&imageHeight=10000

Використовуючи великі значення в параметрі imageWidth, imageHeight або в обох параметрах можна спожити всю пам’ять сервера. Про аналогічні DoS уразливості в багатьох веб додатках, в тому числі в Megapolis.Portal Manager, що використовується на багатьох українських державних сайтах та сайтах спецслужб, я вже писав раніше.

Дана уразливість досі не виправлена. Що несерйозно для відомого е-комерс сайта.

Закриття сайтів через законодавство ЄС

22:42 29.05.2012

Як я писав раніше, в 2011 році в ЄС прийняли закон стосовно cookies, а в деяких країнах ЄС, зокрема в Великобританії, вступ в дію закону відсрочили на рік. І даний закон може призвести до штрафів власникам сайтів, що його не дотримуються, в тому числі це може призвести до закриття сайтів (якщо сума штрафу буде занадто велика для власника сайту, щоб продовжувати його роботу).

Розглянемо цей закон ЄС в контексті штрафів та закриття сайтів. Подібно до всіх тих випадків в законодавсті України, про які я неодноразово писав з 2008, що призводили до закриття сайтів. В останнє я писав про закриття сайтів через обшук податкової.

Цей закон називається EU Cookie Law. Ви можете ознайомитися з детальним поясненням всіх особливостей даного закону в статті Definitive guide to the Cookie Law, в тому числі методів, які власники сайтів можуть використати для дотримання чи не дотримання даного закону. На даний час сайти в Євросоюзі переважно не дотримуються даного закону, але враховуючи, що це діючий закон ЄС, всім сайтам, які підпадають під дію цього закону, бажано його дотримуватися.

З травня 2011 цей закон вніс такі зміни в законодавство про онлайн приватність в ЄС, що у відвідувачів сайтів повинні запитувати дозволу перед використанням кукісів (окрім визначених випадків, таких як форми логіна). Один рік був наданий (як мінімум в UK) для веб сайтів, щоб вони змінили методи своєї роботи відповідно до нового закону і з 26.05.2012 цей закон почав діяти в повну силу (в даному випадку в UK).

Це означає, що сайти, які не відповідають новому закону, можуть бути оштрафовані (на суму до 500000 євро). Як зазначається, зокрема на вищезгаданому сайті, цей закон стосується всіх сайтів направлених на аудиторію ЄС (і власники яких є зарєєстованими компаніями на території ЄС). Тобто не тільки сайти в країнах ЄС (для локальної аудиторії), але всі сайти для аудиторії ЄС.

Що це означає для веб сайтів.

Вони повинні змінити звичайний метод роботи з кукісами (який використовується з часу створення HTTP cookies), тобто “прихований метод”, і почати використовувати “голосний метод” - запитувати кожного користувача і відвідувача перед встанновлення кукісів.

Поточна ситуація.

Я бачив деякі сайти ЄС, включаючи вищезгадані сайти, які запитували перед встановленням кукісів, але небагато сайтів. Більшість сайтів ЄС, які я відвідав за останній рік, не робили цього, тому вони є не сумісними з EU Cookie Law.

Як я перевірив декілька популярних сайтів в ЄС напередодні 26.05.2012, ситуація з сумісністю до нового закону була наступна:

http://www.google.fr - не сумісний (приховано встановив два кукіси)

http://www.google.de - не сумісний (приховано встановив два кукіси)

http://fr.yahoo.com (редирект з yahoo.fr) - не сумісний (приховано встановив сім кукісів)

http://www.bing.com/?cc=fr (редирект з bing.fr) - не сумісний (приховано встановив одинадцять кукісів)

http://ec.europa.eu - на головній сторінці не встановлює кукіси, але після того, як я відвідав наступну сторінку, він встановив один кукі.

Аспект безпеки в даному законі.

Існує зв’язок між законом ЄС стосовно cookies та безпекою веб сайтів. Якщо сайт буде взломаний і кукіси будуть встановлені відвідувачам приховано (автоматично), то цей сайт може бути оштрафований - навіть якщо по замовчуванню цей сайт сумісний закону ЄС (запитує перед встанновленням кукісів).

Так що уразливості на будь-якому сайті (що підпадає під законодавство ЄС) можуть наразити його на штрафи в ЄС в зв’язу з цим законом. І це можуть бути як серйозні уразливості, що призводять до повної компрометаці сайта, так і Cross-Site Scripting (persistent XSS чи навіть reflected XSS) або HTTP Response Splitting уразливості. Тому що за допомогою XSS і HTTPRS уразливостей можна встановлювати кукіси - що робить ці сайти не відповідними до нового закону. Тому даний закон є гарною нагодою для власників веб сайтів для покращення їхньої безпеки.

Вийшов Mozilla Firefox 12

19:07 29.05.2012

Минулого місяця, 24.04.2012, вийшов Mozilla Firefox 12. Нова версія браузера вийшла через півтора місяця після виходу Firefox 11.

Mozilla офіційно представила реліз веб-браузера Firefox 12. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.4, підтримка гілки 3.6.x припинена. Реліз Firefox 13 очікується в середині червня, а Firefox 14 вийде в кінці липня.

Також був випущений Thunderbird 12, а згодом і Firefox 12 for Android та Seamonkey 2.9. Нагадаю, що версія Firefox 11 for Android була пропущена через неготовність реліза.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 12.0 усунуто 8 уразливостей, серед яких присутні 3 проблеми, що мають високий ступінь небезпеки, і 2 критичні проблеми, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Критичні уразливості знайдені в коді перевірки шрифтів OpenType і в реалізації WebGL-функції textImage2D.

  • Релиз web-браузера Firefox 12 и почтового клиента Thunderbird 12 (деталі)

Інфіковані сайти №121

16:12 29.05.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nbuv.gov.ua - інфікований державний сайт, інфекція була виявлена 22.05.2012. Зараз сайт не входить до переліку підозрілих.
  • http://simonischool.at.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
  • http://medsjoy.biz - інфекція була виявлена 27.05.2012. Зараз сайт не входить до переліку підозрілих.
  • http://tcp.com.ua - інфекція була виявлена 23.05.2012. Зараз сайт не входить до переліку підозрілих.
  • http://campton.pp.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.