Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ekonomika.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://old.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.nissanforklift.com.ua (хакером NG689Skw) - 28.02.2015, зараз сайт вже виправлений адмінами
• http://music-blog.org.ua (хакером ZoRRoKiN) - 05.04.2015, зараз сайт вже виправлений адмінами
• http://www.nadiyavv.com.ua (хакерами з Team_CC) - 26.05.2015, зараз сайт закритий хостером

Виявлене виконання коду в Microsoft SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013.

Виконання коду через уміст документа.

• Microsoft Security Bulletin MS15-047 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (3058083) (деталі)

Окрім інформаційної безпеки державних сайтів є ще фізичний вимір безпеки. Він полягає в тому, в якій країні фізично розміщені державні сайти. Торік в статті Фізичний вимір безпеки державних сайтів я писав про це.

В 2013-2014 роках я виявив 5 державних сайтів на російських хостінгах. Нещодавно я перевірив чи змінили вони свій хостинг. Це наступні сайти:

dubno-adm.gov.ua - вже розміщений в Україні
milicialviv.gov.ua - вже розміщений в Україні
utmlviv.gov.ua - закрили
turka-rda.gov.ua - вже розміщений в Україні
turka-culture.gov.ua - закрили

Як ви бачите за рік є деякі зміни: три сайти переїхали на український хостинг і два закрили.

Цього року я виявив інші українські державні сайти на закордонних хостингах (і це я дослідив лише похакані сайти, без перевірки всіх сотень тисяч gov.ua - загальна кількість державних сайтів на закордонних хостингах може бути значною). Це наступні сайти:

ivfdai.gov.ua - Германія
sts-rrada.gov.ua - Франція
www.ojigivcirada.gov.ua - Франція (але нещодавно вже розміщений в Україні)
zmr.gov.ua - Германія
perechyn-rada.gov.ua - Германія

Навіть якщо хостинг не в Росії, а в Германії чи Франції, не можна допускати розміщення державних сайтів чи пошти за кордоном. Немає гарантії, що хостер у Германії, Франції чи інший країні не передає дані ФСБ, як це роблять провайдери в Росії. Тому всіх цих чиновників, що починаючи з 01.03.2014 розміщували сайти в РФ (те саме стосується емайлів), потрібно притягати до відповідальності.

В даній добірці уразливості в веб додатках:

• Vulnerability in elinks with SSL certificates (деталі)
• Reflected Cross-Site Scripting (XSS) in MODX Revolution (деталі)
• Reflected Cross-Site Scripting (XSS) in Textpattern (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• SimplyShare v1.4 iOS - Multiple Web Vulnerabilities (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Shrew attack
• Slowloris (software)
• SQL Slammer
• SYN flood
• Torrent poisoning

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tv.te.ua - інфекція була виявлена 12.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://mystyle.lviv.ua - інфекція була виявлена 30.05.2015. Зараз сайт не входить до переліку підозрілих.
• http://ukrhost.com - інфекція була виявлена 07.05.2015. Зараз сайт не входить до переліку підозрілих.
• http://rent-car.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 12.04.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.4.

DoS, розкриття інформації.

• postgresql-9.4 security update (деталі)

В даній добірці експлоіти в веб додатках:

• Apexis IP CAM - Information Disclosure (деталі)
• WebDrive 12.2 (Build #4172) - Buffer OverFlow PoC (деталі)
• Airties login-cgi Buffer Overflow (деталі)
• Seagate Central 2014.0410.0026-F Remote Root Exploit (деталі)
• Filezilla 3.11.0.2 - SFTP Module Denial of Service Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Calendar Events, MaxButtons, WP Google Maps, Database Manager. Для котрих з’явилися експлоіти. А також Brute Forcer - це програма для підбору паролів на WP сайтах.

• WordPress Google Calendar Events 2.0.1 Cross Site Scripting (деталі)
• WordPress MaxButtons 1.26.0 Cross Site Scripting (деталі)
• WordPress WP Google Maps 6.0.26 Cross Site Scripting (деталі)
• WordPress Brute Forcer (деталі)
• WordPress Database Manager 2.7.1 Command Injection / Credential Leak (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 05.05.2015, я дав інтерв’ю італійському сервісу Swiss Radio. Що транслювалося в прямому ефірі на Швейцарському радіо.

Аудіо запис був розміщений 11.06.2015 на сайті радіо. В сюжеті йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Cyber War

Можете послухати цей сюжет та подивися мої виступи на каналі ТВі та інших каналах.