Arhiv novic @ Slo-Tech

Slo-Tech - Te dni na spletu poteka široko zastavljen napad z vrivanjem SQL-stavkov (angl. SQL injection) na strežnike, ki jih poganja IIS in ASP.net. Napadenih je bilo več kot sto tisoč strani, pri čemer so škodo utrpele tudi ugledne strani, kot sta The Wall Street Jorunal in The Jerusalem Post. Pri tem je treba poudariti, da napad zlorablja pomanjkljivo napisano kodo in ne kakšne inherentne varnostne luknje v IIS-u. Analiza napada je pokazala, da naj bi šlo za skripto za upravljanje oglasi tretjega ponudnika, ki je bila vsem stranem skupna. Zlobna koda izkoristi napako v njej in nato obiskovalce skuša preusmeriti na neko stran, ki na njihove računalnike namesti zlonamerno programsko opremo.

Slo-Tech - Tudi letos so strokovnjaki za računalniško varnost iz približno trideset organizacij sestavili seznam 25 najnevarnejših programerskih napak, ki na široko odpirajo vrata zlikovcem. Letošnji seznam je zelo podoben lanskemu. Glavni krivci ostajajo enaki, tj. XSS (cross-site scripting), SQL injection in buffer-overflow. Teh 25 napak je krivih za skoraj vse napade na spletu, med drugim tudi za zloglasni kitajski napad na Google in druga zahodna podjetja. Poleg napak je še obsežna razlaga, kaj točno je problematično in kako se pomanjkljivostim izogniti. Predlagajo pa še eno rešitev za odpravo napak, in sicer vključitev klavzule v pogodbe z razvijalci, da so za hrošče odgovorni oni.

TG Daily - Raziskovalci s kanadskih univerz v Ottawi in Carletonu so izdelali matematični model, ki nam pove, kaj bi se zgodilo s človeštvom, če bi prišlo do infekcije z nemrtvimi oz. zombiji. Za raziskavo so se odločili zaradi popularnosti zombijev v zabavni industriji in prav tam so tudi dobili vse potrebne podatke ter zmodelirali napad zombijev, ki nastanejo zaradi epidemije biološke okužbe. Najprej so vzpostavili model, ki je raziskovalcem povedal, kdaj bi okužba dosegla ravnovesje ter kako stabilna bi bila, le-to pa so nato popravili in dodali latentnost okužbe, kjer bi bili ljudje okuženi, a okužbe ne bi razširjali.

Raziskava, brez dvoma prva takšna v zgodovini človeštva, je pokazala, da bi bila takšna okužba verjetno kriva za propad človeštva. Okužene bi lahko na hitro strpali v karanteno, v primeru zdravila pa bi lahko z nemrtvimi tudi sobivali, a za naše preživetje so najbolj gotovi hitri, agresivni ter pogosti napadi, ki bi z okužbo opravili po hitrem postopku.

Kako ubiješ nemrtve??

Slo-Tech - Za vse programerje v programskem jeziku PHP bo gotovo zanimiva naslednja informacija. Stefan Esser je namreč na svojem blogu objavil predavanje z naslovom Lesser Known Security Problems in PHP Applications, ki ga je imel na Zend konferenci septembra letos.

V predavanju je prikazal nekaj manj znanih možnosti napadov na PHP programsko kodo, na primer možnosti zlorabe zaradi napačne uporabe vhodnega filtriranja, nekatere zlorabe s pomočjo piškotkov, zlorabe spletnih sej, manj znane možnosti izvedbe XSS napadov, manj znane zlorabe SQL, zlorabe šibkih generatorjev naključnih števil, itd.

Vsekakor vredno branja.

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

Slashdot - Kot poročajo Slashdot in številni drugi mediji, so v Adobe Flash predvajalniku odkrili varnostno ranljivost, ki jo zlonamerni napadalci izkoriščajo v velikem obsegu. Zloraba (exploit) naj bi bila že vključena v kitajsko različico zbirke napadalskih orodij MPack exploit kit, zlonamerna koda pa je okužila že preko 20.000 spletnih strani.

Ob obisku okužene strani zlonamerna koda izrabi ranljivost predvajalnika Flash in prevzame popoln nadzor nad računalnikom.

Analiza Marka Dowda je pokazala, da gre za izkoriščanje ranljivosti CVE-2007-0071 v Flash predvajalniku 9.0.124.0, zato je priporočena čimprejšnja nadgradnja oz. posodobitev vašega predvajalnika.

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje varnostnih ranljivosti na spletnih straneh (npr. XSS ranljivosti in SQL vrivanje), rezultate pa sporoča poljubnemu strežniku. Hkrati pa se lahko tudi poveže v prikrito omrežje in čaka na navodila upravljalca omrežja. Upravljalec omrežja lahko vidi kdaj je računalnik vključen in kdaj je neaktiven ter mu pošilja ukaze, ki se izvedejo lokalno.

Zadeva je še posebej nevarna zato, ker je praktično nemogoče ločiti zlonamerno JavaScript kodo od dobre. Ker se JavaScript v Web 2.0 aplikacijah pogosto spreminja sama, je tudi nemogoče preverjati integriteto JavaScripta z digitalnimi prstnimi odtisi, torej s tehniko, ki jo antivirusna podjetja uporabljajo za zaznavanje virusov. Hoffman zato napoveduje eksplozijo tim. spletnih virusov ter svari, da tudi majhna varnostna ranljivost v spletni aplikaciji lahko predstavlja resno grožnjo.

Bomo pričeli v spletnih brskalnikih izklapljati JavaScript?

Schneier.com - Ameriški študent Christopher Soghoian je na svoji spletni strani objavil The Northwest Airlines Boarding Pass Generator. Gre za spletno stran, ki zgenerira kontrolni kupon za vstop na letalo (boarding pass), s pomočjo katerega se potnik lahko izogne obsežnejšemu varnostnemu preverjanju. Da, celo zloglasnemu seznamu nezaželjenih letalskih potnikov (tim. no-fly list).

Podobno varnostno ranljivost v letalskem prometu so lansko leto odkrili pri Slate magazine.

Toliko o visokotehnološki varnosti v letalskem prometu...

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo zmanjkalo...

Wired News - Seveda ne v anketah, pač pa v številu varnostnih napak in pomankljivosti, ki jih vsebuje njegova spletna stran georgewbush.com.

Wired News namreč poroča, da se je nekaj varnostnih analitikov odločilo analizirati Bushevo in Kerryevo spletno stran iz varnostnega vidika. Pri Bushu so odkrili več kot 30 varnostnih pomankljivosti s pomočjo katerih je mogoče prevzeti popoln nadzor nad Bushevo spletno stranjo, kar pomeni, da jo je mogoče sesuti, ali pa spreminjati informacije na njej (tudi slogane in slike).

Pri Kerryu je stvar malenkost boljša, vendar pa je ravno tako mogoče s pomočjo SQL injection brskati in spreminjati SQL bazo, ki poganja Kerryevo spletno stran.

Pri tem pa je na obeh spletnih straneh zapisano, da je poskrbljeno za najstrošje varnostne ukrepe, saj se strežnika nahajata v zaklenjenih prostorih, Kerry pa se še pohvali, da njegov strežnik varuje stražar. Očitno je tako za varnost strežnika dovolj poskrbljeno.

Oba kandidata pa s pomočjo spletnih hroščev zbirata podatke o svojih obiskovalcih (Bush je najel podjetje Omniture, Kerry pa Aquantive), česar pa seveda v "izjavi o zasebnosti" ne navajata. Varnostni analitik Richard Smith ob tem pravi, da je za razliko od sledenja obiskovalcev komercialnih spletnih strani sledenje obiskovalcev na političnih spletnih straneh zanj nesprejemljivo.

Oba kandidata sta patriotsko razpoložena, saj uporabljata ameriške programske rešitve, vendar je Kerry bolj odprt. Njegova spletna stran namreč teče na Apacheju pod Red Hat Linuxom, medtem ko Bush prisega na Microsoft IIS 5.0 in ASP.net.

Hmm, morda pa je to vzrok za Bushevo "prednost"?