Websecurity - Веб безпека

У грудні я дав інтерв’ю службі BBC. І сьогодні воно було опубліковане на сайті порталу.

В статті розповідається про кібер війну Росії проти України. Про операції Українських Кібер Військ та діяльність різних хакерів в цій війні, що впливає на реальний світ.

Ukraine conflict: Hackers take sides in virtual war

Через два дні стаття була оприлюднена українською мовою:

Конфлікт в Україні: хакери ведуть віртуальну війну

Так що кому буде цікаво прочитати інформацію про мене та Українські Кібер Війська, як тим хто вже читав мої попередні інтерв’ю в газеті Global Voices та інших журналах, так і всім іншим, можете прочитати цю статтю.

В даній добірці експлоіти в веб додатках:

• ZTE ZXDSL 831CII - Insecure Direct Object Reference Vulnerability (деталі)
• ZTE ZXDSL 831 Multiple Cross Site Scripting Vulnerability (деталі)
• ManageEngine Desktop Central / Password Manager Pro / IT360 SQL Injection (деталі)
• Air Transfer Iphone 1.3.9 Multiple Vulnerabilities (деталі)
• IBM 1754 GCM KVM Multiple Vulnerabilities (деталі)

У грудні, 16.12.2014, я виявив Information Leakage та Insufficient Authorization уразливості в SyncThru Web Service. Після чого анонсував, що Українські Кібер Війська почали операцію по захопленню мережевих принтерів в Росії.

Це веб додаток для принтерів Samsung, зокрема я знайшов Samsung ML-1865W та інші принтери з ним. Про що найближчим часом повідомлю розробникам.

Information Leakage (WASC-13):

http://site
http://site:631

Можливий доступ без авторизації до інформації про всі налаштування принтера (для читання).

Insufficient Authorization (WASC-02):

В розділі Print Information можна друкувати тестові документи без авторизації. Таким чином без знання логіна і паролю можна витратити папір і картридж принтера.

Також я знаходив інші принтери Samsung (з ранньою версією прошивки), де без авторизації була доступна функція Direct Print. Що дозволяє друкувати довільні документи.

Уразливі Samsung SyncThru Web Service 6.01 та попередні версії.

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами. А ось аудіо УКВ.

Наші аудіо записи, що зроблені в рамках розвідувальної операції:

Секретна розмова з Павлом Губарєвим - УКВ записали розмову з Губарєвим.

2014.09.12 06:34 Доброго ранку, Губарєв!) - УКВ записали нову розмову з Губарєвим.

Секретна розмова з помічником Гіркіна - УКВ записали розмову з помічником терориста Гіркіна.

Українські Кібер Війська провели розвідку в Zello - УКВ записали розмову сепаратистів в Zello.

Українські Кібер Війська: покупка коштовностей в Донецьку - УКВ записали аудіо та відео покупки в магазині Донецька.

Продовжуючи розпочату традицію, після попереднього відео про протидію шпигунству, пропоную нове відео на секюріті тематику. Цього разу відео про масове сканування Інтернету. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 22 (2014): Massscanning the Internet

Влітку на конференції DEFCON 22 відбувся виступ Rob Graham, Paul McMillan і Dan Tentler. В своєму виступі вони розповіли про масове сканування Інтернету.

Навіщо потрібно сканувати хости в Інтернеті, що це дає (як секюріті дослідникам, так і зловмисникам), що можна знайти при такому скануванні та як його проводити. Рекомендую подивитися дане відео для розуміння сучасного стану безпеки мережевих пристроїв, в тому числі в Мережі.

В даній добірці уразливості в веб додатках:

• Stem Innovation IZON Hard-coded Credentials (деталі)
• python-lxml clean_html() input sanitization flaw (деталі)
• Denial of Service attacks against Dovecot v1.1+ (деталі)
• Local File inclusion in Cobbler (деталі)
• Vulnerabilities in ICU (used in Google Chrome) (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка терористів в Донецьку за 19.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: російська гуманітарка в Донецьку - УКВ записали переміщення камаза з гумконвою Росії разом з російською військовою технікою (урали з гарматами).

Українські Кібер Війська: військова техніка терористів в Донецьку за 20.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 21.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 22.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 23.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 24.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bioenergy.gov.ua (хакером DrSHA67) - 07.12.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.archives.gov.ua (хакером d3b~X) - 03.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://photo-shkola.odessa.ua (хакером Criminal BD)
• http://www.elay.com.ua (хакером ahor4)
• http://blogs.ukrinform.gov.ua (хакером Sh4d0w-26) - 16.11.2014, хакнутий один з блогів, зараз він вже виправлений адмінами

Виявлені численні уразливості безпеки в Apple iOS, в тому числі в Safari Mobile.

Уразливі продукти: Apple iOS 8.0, iOS 8.1.

Витік інформації, виконання непідписаного коду, виконання коду, обхід обмежень, пошкодження пам’яті.

• APPLE-SA-2014-11-17-1 iOS 8.1.1 (деталі)

В даній добірці експлоіти в веб додатках:

• JExperts Tecnologia / Channel Software Multiple Vulnerabilities (деталі)
• ManageEngine OpManager / Social IT Plus / IT360 Multiple Vulnerabilities (деталі)
• Senkas Kolibri WebServer 2.0 Buffer Overflow Exploit (деталі)
• HybridAuth install.php PHP Code Execution Exploit (деталі)
• ManageEngine Password Manager MetadataServlet.dat SQL Injection Exploit (деталі)