Websecurity - Веб безпека

В цьому місяці в журналі “Auditing & Standards” була опублікована моя стаття. В червневому номері журналу Auditing & Standards 06/2012, що вийшов 11.06.2012, опублікована стаття “Штрафування та закриття веб сайтів через законодавство” (Fining or closing web sites due to legislation).

В ній розповідається про можливість накладання штрафів та закриття сайтів, які порушують законодавство. І з 2008 року я дослідив численні закони і вже розповідав про численні випадки, коли можуть закрити сайт чи оштрафувати його власника. В статті розглянуті такі закони, як EU Cookie Law (захист приватності в ЄС) та Ukrainian Euro 2012 Law (захист авторських прав УЄФА).

Дана стаття базується на двох моїх попередніх статтях: Закриття сайтів через законодавство ЄС та Штрафи та закриття сайтів через Євро 2012. Вона вміщує як матеріали цих статей, так і нову інформацію.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sta.gov.ua - інфікований сайт Державної податкової служби України. Інфекція була виявлена 10.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 12.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://deltaig.com.ua - інфекція була виявлена 17.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://rusteatr.odessa.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://dodmc.dn.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.

Виявлені проблеми з авторизацією в MySQL.

Уразливі версії: Oracle MySQL 5.0, MySQL 5.1, MySQL 5.5.

Некоректне обчислення хеша на деяких платформах дає можливість доступу без знання пароля.

• MySQL vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Apache OFBiz information disclosure vulnerability (деталі)
• Apache OFBiz information disclosure vulnerability (деталі)
• Siche Search v.0.5 Zerboard - Multiple Web Vulnerabilities (деталі)
• Total Quality Machines (productdetail.php) SQL Injection Vulnerabilities (деталі)
• Joomla! Plugin - Beatz 1.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• ABB WebWare RobNetScanHost.exe Remote Code Execution Vulnerability (деталі)
• Acuity CMS 2.6.x <= Cross Site Scripting (деталі)
• DokuWiki Ver.2012/01/25 CSRF Add User Exploit (деталі)
• Multiple web-vulnerabilities in ownCloud 3.0.0 (деталі)
• Multiple vulnerabilities in Newscoop (деталі)

За повідомленням www.xakep.ru, Німеччина сформувала бойовий кіберпідрозділ.

Міністр оборони Німеччини повідомив парламенту про створення спеціального підрозділу армії для ведення “наступальних” операцій в Інтернеті. Він додав, що підрозділ Computer Network Operations (CNO) базується в Бонні і сформований ще в 2006 році, але тільки зараз дозрів для розгортання під військовим командуванням.

За повідомленням www.opennet.ru, представлене TACK, розширення SSL/TLS для боротьби з MITM-атаками і підробленими сертифікатами.

На розгляд у комітет IETF (Internet Engineering Task Force) внесений чорновий варіант стандарту, що визначає доповнення до протоколу TLS, призначене для захисту користувачів від атак MITM (Man-in-the-middle), заснованих на використанні підроблених сертифікатів, виданих кореневими засвідчуючими центрами. Стандарт з’явився у відповідь на випадки взлому серверів кореневих засвідчуючих центрів (CA) Comodo і DіgіNotar торік.

Стандарт визначає розширення TLS-протоколу TACK (Trust Assertions for Certificate Keys), суть якого полягає в тому, щоб дозволити браузеру “запам’ятати” інформацію про сертифікати веб сайта і використовувати її для блокування з’єднання чи інформування користувача про загрозу в тому випадку, якщо проти нього буде здійснена MITM-атака з використанням підроблених сертифікатів, виданих іншими кореневими засвідчуючими центрами.

За повідомленням www.xakep.ru, Last.fm просить усіх користувачів поміняти паролі.

В останні декілька днів Мережу потрясають новини про взломи великих Інтернет-сервісів. Нещодавно на хакерському форумі виклали базу хешей паролів ділової соціальної мережі LinkedIn (6,5 млн. хешей) і сайта знайомств eHarmony (1,5 млн. хешей), учора стало відомо про витік паролів з музичного сервісу Last.fm. На сайті опубліковане попередження для користувачів. Як випливає з заяви, витік паролів Last.fm пов’язаний з витоками LinkedIn і eHarmony.

Як я вже неодноразово зазначав стосовно витоків даних, відомі сайти доволі часто недостатньо добре слідкують за безпекою. Тому й трапляються витоки баз даних подібних сайтів.

15.05.2012

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

DoS-умови, виконання коду, ін’єкції SQL.

• Vulnerabilities in PHP (деталі)
• Multiple vulnerabilities in PHP (деталі)

09.06.2012

Додаткова інформація.

• PHP CGI Argument Injection Remote Exploit V0.3 (деталі)

В даній добірці уразливості в веб додатках:

• Endian UTM Firewall v2.4.x & v2.5.0 - Multiple Web Vulnerabilities (деталі)
• t3_dbtools_seditio_plugin_CSRF (деталі)
• seditio_PmOS_plugin_XSS_vuln (деталі)
• sfquickban_plugin_CSRF (деталі)
• seditio-build170.20120302_sql_injection_CSRF_info_disclosure_XSS (деталі)
• Cisco Small Business SRP 500 Series Multiple Vulnerabilities (деталі)
• DHTMLX Suite v.3.0 - Multiple Web Vulnerabilities (деталі)
• Netjuke 1.0 RC1 - SQL Injection Vulnerabilities (деталі)
• ACC PHP eMail v1.1 - Multiple Web Vulnerabilites (деталі)
• FastPath Webchat | Multiple Cross Site Scripting Vulnerabilities (деталі)

Після найгучніших випадків витоку даних у 2009 році, розглянемо найгучніші випадки витоку даних у 2010 році.

За 2010 рік Identity Theft Resource Center (ITRC) зібрав інформацію про 662 подібні інциденти, у результаті яких було викрадено в цілому більше 16 мільйонів записів.

1. Netflix.

Netflix надала базу даних, що містить інформацію більш ніж про сотню мільйонів своїх абонентів, що брали участь у складанні рейтингу фільмів і підрахунку статистики глядацьких симпатій і переваг - учасникам проведеного компанією конкурсу.

2. Educational Credit Management Corp.

В сейфах, украдених у цієї фірми, тримали портативні носії інформації, на яких зберігалися особисті дані 3,3 млн. чоловік.

3. Gawker.

Хакер по імені Gnosis взломав базу даних популярної американської блогосфери Gawker, виклавши у вільному доступі в Мережі близько 1,3 млн. електронних адрес користувачів. А також виклав більше 250 тисяч взломаних паролів і всю базу даних MD5 хешів паролей.

4. AvMed Health Plans.

Два ноутбука були вкрадені з офісу корпорації AvMed у лютому 2010 року. Що призвело до витоку 1,2 млн. записів.

5. Lincoln National Financial Securities.

Витік логіна і пароля на сайті, який давав можливість доступу до бази даних, що містила персональну інформацію 1,2 мільйонів клієнтів центра.

6. South Shore Hospital.

Втрата старих магнітних стрічок, на яких зберігалося близько 800000 записів з персональною і фінансовою інформацією.

7. Університет штату Огайо.

Була виявлена хакерська активність на сервері, де зберігаються імена, номери соціального страхування, дати народження, адреси - вся інформація про 760000 нинішніх і колишніх студентів, викладачів, співробітників, консультантів і позаштатних працівників.

8. Citigroup.

Компанією Citigroup поштою були розіслані приблизно 600 тисяч податкових документів, а на зовнішній стороні кожного конверта разом з ім’ям і адресою одержувача були надруковані номери соціального страхування.

9. WellPoint / Anthem BlueCross.

Витік персональних даних 470000 заявників компанії.

10. Affinity Health Plan.

Витік 409000 записів з національної програми охорони здоров’я Affinity Health.

• Крупнейшие случаи утечки данных 2010 года (деталі)

Продовжуючи розпочату традицію, після попереднього відео про SSL Spoofing в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід sandbox в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

VUPEN Pwned Google Chrome aka Sandbox/ASLR/DEP Bypass

В ролику демонструється Code Execution уразливість в браузері Google Chrome. Що дозволяє виконати довільний код у браузері (в даному прикладі запускається calc.exe). При цьому обходяться такі захисні технології як пісочниця (sandbox) Chrome, ASLR та DEP.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://legalreform.gov.ua (хакерами з LatinHackTeam) - 21.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lr.nssmc.gov.ua (хакерами з TeaM MosTa) - 23.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mebligrand.com.ua (хакером RcP)
• http://promaua.dp.ua (хакером RcP)
• http://zolotoy-koshik.com.ua (хакером ikus4) - 04.06.2012, зараз сайт вже виправлений адмінами