Websecurity - Веб безпека

Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у листопаді.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

voladm.gov.ua (хакером LUN4T1C0) - 09.11.2015

Проукраїнськими хакерами були атаковані наступні сайти:

акаунт сепаратиста в Twitter (Українські Кібер Війська) - 21.11.2015
sgzt.com (Українські Кібер Війська) - 24.11.2015
Листопадові DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі листопада.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт southfront.info (через скаргу хостеру) - 11.2015
Закритий сайт ukropfromua.com (через скаргу хостеру) - 11.2015
Закритий сайт euromaidanu.net (через скаргу хостеру) - 11.2015
Закритий сайт novosti-novostey.tv (через скаргу хостеру) - 11.2015
Закритий державний сайт svk.gov.ua, що був захоплений терористами (через скаргу хостеру) - 11.2015
Закритий державний сайт snezhnoe-rada.gov.ua, що був захоплений терористами (через звернення до СБУ) - 11.2015
Також СБУ закрила сайти krasnodon-pfu.gov.ua і krasnodon-rada.gov.ua - 11.2015
Закритий окупований державний сайт belogorsk.crimea.ua (через вплив на хостера) - 11.2015

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS15-112 - Critical Cumulative Security Update for Internet Explorer (3104517) (деталі)
• Microsoft Security Bulletin MS15-113 - Critical Cumulative Security Update for Microsoft Edge (3104519) (деталі)

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in Rhythm File Manager (деталі)
• PARSADEV CMS Cross-Site Scripting Vulnerability (деталі)
• Remote Code Execution in TYPO3 Extension ke_dompdf (деталі)
• Information Disclosure in TYPO3 Extension ke_questionnaire (деталі)
• RSA Adaptive Authentication (On-Premise) Multiple Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ndok.com.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
• http://rassvet.dn.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://nevagame.pp.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
• http://resurs.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://kratki.in.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

• Alphanumeric shellcode
• DSploit
• File inclusion vulnerability
• OWASP ZAP
• Reflected DOM Injection

02.03.2013

В грудні відбувся масовий взлом сайтів на сервері Astratelcom. Він тривав на протязі 2012-2013 років: від 03.12.2012 до 03.02.2013, а також було взломано 11 сайтів в 2011 році, про деякі з них я вже розповідав раніше (в тому числі 5 державних сайтів).

Був взломаний сервер української компанії Astratelcom. Взлом в 2012-2013 складався з двох невеликих дефейсів та двох крупних дефейсів сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 74 сайти на сервері хостера Astratelcom (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.izmail-rada.gov.ua (це вже другий дефейс). Перед цим у 2011 році були дефейснуті наступні державні сайти: vip.bereg-rda.gov.ua, sovet.izmail-rada.gov.ua, genich-rada.gov.ua, bereg-rda.gov.ua, izmail-rada.gov.ua.

З зазначених 74 сайтів 61 сайт був взломаний хакером xatli, 1 сайт хакером Sejeal, 1 сайт хакером misafir, 2 сайти хакером MCA-CRB, 1 сайт хакером Hmei7 та 8 сайтів хакером Dr-Angel.

У випадку двох великих дефейсів xatli, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

30.11.2015

Після попередніх 74 сайтів ще було взломано 131 сайт. Всього 205 сайтів. Серед них український державний сайт urss.gov.ua, euroinvest.gov.ua, dolyna-rada.gov.ua, idgk.gov.ua та знову izmail-rada.gov.ua.

Знову був взломаний сервер української компанії Astratelcom. Взлом в 2013-2015 складався з кількох невеликих дефейсів та двох крупних дефейсів сайтів.

Як у випадку двох попередніх великих дефейсів xatli, так і у випадку великих дефейсів IndonesianHaxor7 та Gabby сайти були атаковані хакером через взлом серверу хостінг провайдера.

У листопаді місяці Microsoft випустила 12 патчів. Що більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, .NET Framework, Office Web Apps і SharePoint Server, Skype for Business і Microsoft Lync.

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-100. Це третя частина дірок в router DIR-100.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-100 та D-Link DIR-300.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Виявлені уразливості безпеки в Google Chrome (V8 та Blink) і Oxide.

Уразливі продукти: Google Chrome 44, Oxide 1.9.

Обхід обмежень.

• Chrome and Oxide vulnerabilities (деталі)

Продовжуючи розпочату традицію, після попереднього відео про проблеми DNS та їх вирішення, пропоную нове відео на секюріті тематику. Цього разу відео про взлом SSL через атаки на синхронізацію часу. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 23 - Breaking SSL Using Time Synchronisation Attacks

Влітку на конференції DEFCON 23 відбувся виступ Jose Selvi. В своєму виступі він розповів про синхронізацію часу в різних ОС і про проблеми безпеки пов’язані з цим. В тому числі розповів про атаки на синхронізацію часу в ОС, зокрема на SSL.

Він розповів як за допомогою таких атак взломати SSL з’єднання в цільовій системі. Рекомендую подивитися дане відео для розуміння поточного стану безпеки в Інтернет.