Websecurity - Веб безпека

Раніше я писав про грудневі DoS і DDoS атаки в Україні, а зараз розповім про ситуацію в січні.

З початку січня відбулося чимало атак в зв’язку з політичними подіями в нашій державі.

Хакери Anonymous в якості акції протесту провели DDoS атаки на наступні державні та провладні сайти в Уанеті:

DDoS на www.president.gov.ua - 20-24.01.2014
DDoS на www.oblrada.lg.ua - 21.01.2014
DDoS на inter.ua - 22.01.2014
DDoS на mvs.gov.ua - 25.01.2014

Атака на сайт president.gov.ua продовжилася по 28 січня включно.

Також невідомими хакерами (явно провладними) були атаковані наступні сайти:

DDoS на eurokharkiv.org - 09.01.2014
DDoS на maidanua.org - 09.01.2014
DDoS на skoty.info - 11.01.2014
DDoS на 5.ua - 29.01.2014

Сьогодні вийшла нова версія програми DAVOSET v.1.1.6. Це революційний випуск - Revolution Edition. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав підтримку завершального слеша в адресі для translate.yandex.net.
• Покращив алгоритм роботи з відкритими файлами.

Всього в списку міститься 141 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.6.rar.

Минулого року, 07.06.2013 і 07.07.2013, я виявив Brute Force, Insufficient Process Validation та Insufficient Session Expiration уразливості в LiqPAY для Android та iOS. Перевіряв в клієнті для Android, але в клієнті для iOS повинно бути те саме (аналогічно, як це є в мобільному Приват24 для різних ОС).

Brute Force (WASC-11):

OTP код всього 4 символи, що всього 10000 комбінацій. Це легко підбирається. Для атаки достатньо знати тільки логін жертви (мобільний телефон, що можна взяти просто навмання, наприклад, будь-який номер мобільного телефону в Україні), то можна легко отримати доступ до LiqPAY акаунту, без наявності мобільного телефону жертви (бо 4 символьний OTP код підбирається легше, ніж 8 символьний у веб версії LiqPAY).

На це ПриватБанк зауважив мені, що в мобільних додатках (Приват24, LiqPAY та інших) де використовуються 4-символьні OTP - у всіх них наявні такі Brute Force уразливості - цей код працює лише для трьох спроб. Тобто після трьох спроб код скидається і треба робити запит на новий код. Але тим не менш, можна довго довбати запитами, поки не вгадаєш 4 цифри з 3 спроб. Вірогідність цього достатньо велика для проведення успішних атак.

Insufficient Process Validation (WASC-40) / Insufficient Session Expiration (WASC-47):

Можна входити в LiqPAY акаунт без OTP. Тому що має місце прив’язка до пристрою, подібно до мобільного Приват24. Тобто дані про авторизацію зберігаються локально після першого входу в акаунт з введенням OTP и далі вхід в акаунт відбувається автоматично (при натисканні іконки LiqPAY клієнта).

При цьому сесія діє необмежений час (хоч рік) - на відміну від мобільного Приват24, де сесія діє обмежений час. Я навіть через пів року все ще міг входити в акаунт, бачити всю інформацію (про карту, частину її номера, суму на рахунку, історію операцій) без введення OTP.

Перевірено в LiqPay 2.0 для Android.

Дані уразливості досі не виправлені, бо ПБ не бачить в них ризику.

Після відправлення листа 07.07.2013 і отримання відмови від ПриватБанку, я зробив 19.07.2013 відео демонстрацію Insufficient Process Validation уразливості. Яке надав ПБ, вони заявили, що після перегляду відео будуть думати, але в результаті довго думали і жодних відповідей не надавали, лише “розробники працюють”. І після багатьох моїх нагадувань, в січні нарешті отримав від них офіційну відмову у виправленні цих уразливостей.

Тому 16.01.2014 я розмістив демонстраційне відео Vulnerability in LiqPAY.

Нещодавно, 10 січня, вийшли PHP 5.4.24 і PHP 5.5.8. У версії 5.5.8 виправлено біля 20 багів, а у версії 5.4.24 виправлено біля 14 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

27.12.2013

Виявлена memory corruption уразливість в PHP.

Уразливі версії: PHP 5.3, PHP 5.4, PHP 5.5.

Пошкодження пам’яті в asn1_time_to_time_t().

• Vulnerability in PHP (деталі)

23.01.2014

Додаткова інформація.

• PHP openssl_x509_parse() Memory Corruption Vulnerability (деталі)

Офіційна заява з приводу вчорашнього блокування мого веб проекту. Робота двох моїх сайтів була відновлена майже опівночі.

Минулого тижня Верховна Рада прийняла нові закони, які люди назвали “диктаторськими”, а на наступний день президент підписав їх. Учора, 22.01.2014, дані закони вступили в силу.

І вчора після 16:00 два моїх сайти websecurity.com.ua і mlfun.org.ua були заблоковані. Тому що були відключені два домени провайдером в зв’язку з рішенням СБУ. Представники спецслужб заставили провайдера відключити мої домени через порушення нового законодавства. А саме через розміщення відео файлу про Віктора Януковича (на mlfun.org.ua) та розміщення лінки на нього (на websecurity.com.ua) - лінки на сайт президента, на якому я розмістив дане відео через Content Spoofing уразливість.

Це “диктаторські закони” в дії. Зокрема закон стосовно наклепу (в СБУ вважали “невідповідним закону” дане відео), що дозволяє без рішення суду закривати будь-які сайти на українських хостингах чи з українськими доменами. Через те, що будь-які матеріали на сайтах правоохоронці можуть вважати наклепом.

Після відновлення роботи своїх ресурсів, я прибрав відео файл і лінку на нього. Щоб не порушувати нові закони і щоб не було претензій до мене від правоохоронців. Поки діють дані скандальні закони. За останніми подіями в Україні, в тому числі подіями пов’язаними з моїми сайтами, ви можете слідкувати в мене в твіттері.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Витік інформації, численні пошкодження пам’яті.

• APPLE-SA-2013-12-16-1 Safari 6.1.1 and Safari 7.0.1 (деталі)
• APPLE-SA-2013-12-16-2 OS X Mavericks v10.9.1 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ifds.org.ua - інфекція була виявлена 23.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://djuice.ua - інфекція була виявлена 07.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://didjeridu.org.ua - інфекція була виявлена 05.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.net - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Managed Printing Administration (MPA), Remote Cross Site Scripting (XSS) (деталі)
• Symantec Workspace Streaming 7.5.0.493 SWS Streamlet Engine Invoker Servlets Remote Code Execution (деталі)
• ZAPms v1.42 CMS - Client Side Cross Site Scripting Web Vulnerability (деталі)
• DornCMS Application v1.4 - Multiple Web Vulnerabilities (деталі)
• HP LaserJet MFP Printers, HP Color LaserJet MFP Printers, Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.