»

Najobsežnejši napad s SQL-vrivanjem v zgodovini

Okuženih je bilo tudi nekaj strani z iTunes, a je Apple okužbo že saniral.

Okuženih je bilo tudi nekaj strani z iTunes, a je Apple okužbo že saniral.

ComputerWorld - Vsaj od torka, ko je bil prvikrat odkrit, po internetu divja obsežen napad z vrivanjem SQL, ki je do danes okužil že več sto tisoč strani. Napad so prvi odkrili v podjetju WebSense, kjer so ga po poimenovali LizaMoon po domeni, na katero preusmerja obiskovalce napadenih strani.

Napadalci z vrivanjem SQL na stran poizkusijo vstaviti kodo za JavaScript s povezavo do strani Lizamoon, ki nato na obiskovalčev računalnik prenese strašilno programsko opremo (scareware). Ta se pretvarja, da gre za neobstoječi antivirusni program Windows Stability Center, ki je na računalniku zaznal viruse in ponudi odstranitev proti plačilu.

Napadalci naj bi uspeli vstaviti zlobno kodo v strani na vsaj 21 različnih domenah, skupno pa je prizadeti več sto tisoč strani. Strokovnjaki pravijo, da...

Preberi več »

22 komentarjev

Vdor v MySQL.com z vrivanjem SQL

vir: Sophos
Sophos - Včeraj je bila stran MySQL.com uspešno napadena s tehniko vrivanja SQL (SQL injection), je bilo razkrito na listi Full Disclosure. Hekerji so na splet že priobčili uporabniška imena in zgostitve gesel (hash), ki jih najdete na odlagališču pastebin.com.

Izkazalo se je, da je ogromno gesel prekratkih in preveč preprostih (recimo qa in podobno). Izjema ni niti direktor WordPressa, ki je imel za geslo štirimestno število. Žalostno je, da vdor ni posledica napada neke obskurne ranljivosti, ampak gre za osnovno tehniko, ki ima tudi relativno enostavno zaščito.

Poleg tega je bili napadeno tudi podjetje Oracle, mati MySQL-a, od koder so uspeli odtujiti tabele in elektronske naslove, gesel pa naj ne bi bili. Tudi tod je bil vdor izveden na enak način.

Sophos poroča še, da to ni edina huda...

Preberi več »

15 komentarjev

Na internetu spet ilegalna dražba dostopa do napadenih spletnih strani

ComputerWorld - Podjetje Imperva, ki se ukvarja z računalniško varnostjo, je na internetu našlo dražbo, kjer hekerji na črno prodajajo dostop do napadenih spletnih strani. Hekerji, ki vodijo dražbo, trdijo, da imajo nadzor nad velikim številom spletnih strani, med drugim vojaških, vladnih in univerzitetnih. Cene se gibljejo med 33 in 500 dolarji, odvisno od popularnosti, velikost in zaželenosti strani. Poleg tega so naprodaj tudi iz spletnih strani izvlečeni osebni podatki po ceni 20 dolarjev za tisoč.

Noa Bar-Yosef iz Imperve pojasnjuje, da so...

Preberi več »

12 komentarjev

Na spletu velikopotezen napad z vrivanjem stavkov SQL

Napadene strani najde Google

Napadene strani najde Google

Slo-Tech - Te dni na spletu poteka široko zastavljen napad z vrivanjem SQL-stavkov (angl. SQL injection) na strežnike, ki jih poganja IIS in ASP.net. Napadenih je bilo več kot sto tisoč strani, pri čemer so škodo utrpele tudi ugledne strani, kot sta The Wall Street Jorunal in The Jerusalem Post. Pri tem je treba poudariti, da napad zlorablja pomanjkljivo napisano kodo in ne kakšne inherentne varnostne luknje v IIS-u. Analiza napada je pokazala, da naj bi šlo za skripto za upravljanje oglasi tretjega ponudnika, ki je bila vsem stranem skupna. Zlobna koda izkoristi napako v njej in nato obiskovalce skuša preusmeriti na neko stran, ki na njihove računalnike namesti zlonamerno programsko opremo.

0 komentarjev

Petindvajset najnevarnejših programerskih napak

Slo-Tech - Tudi letos so strokovnjaki za računalniško varnost iz približno trideset organizacij sestavili seznam 25 najnevarnejših programerskih napak, ki na široko odpirajo vrata zlikovcem. Letošnji seznam je zelo podoben lanskemu. Glavni krivci ostajajo enaki, tj. XSS (cross-site scripting), SQL injection in buffer-overflow. Teh 25 napak je krivih za skoraj vse napade na spletu, med drugim tudi za zloglasni kitajski napad na Google in druga zahodna podjetja. Poleg napak je še obsežna razlaga, kaj točno je problematično in kako se pomanjkljivostim izogniti. Predlagajo pa še eno rešitev za odpravo napak, in sicer vključitev klavzule v pogodbe z razvijalci, da so za hrošče odgovorni oni.

7 komentarjev

Raziskava o napadu zombijev

TG Daily - Raziskovalci s kanadskih univerz v Ottawi in Carletonu so izdelali matematični model, ki nam pove, kaj bi se zgodilo s človeštvom, če bi prišlo do infekcije z nemrtvimi oz. zombiji. Za raziskavo so se odločili zaradi popularnosti zombijev v zabavni industriji in prav tam so tudi dobili vse potrebne podatke ter zmodelirali napad zombijev, ki nastanejo zaradi epidemije biološke okužbe. Najprej so vzpostavili model, ki je raziskovalcem povedal, kdaj bi okužba dosegla ravnovesje ter kako stabilna bi bila, le-to pa so nato popravili in dodali latentnost okužbe, kjer bi bili ljudje okuženi, a okužbe ne bi razširjali.

Raziskava, brez dvoma prva takšna v zgodovini človeštva, je pokazala, da bi bila takšna okužba verjetno kriva za propad človeštva. Okužene bi lahko na hitro strpali v karanteno, v primeru zdravila pa bi lahko z nemrtvimi tudi sobivali, a za naše preživetje so najbolj gotovi hitri, agresivni ter pogosti napadi, ki bi z okužbo opravili po hitrem postopku.

Kako ubiješ nemrtve??

64 komentarjev

Manj znane varnostne ranljivosti PHP programske kode

Slo-Tech - Za vse programerje v programskem jeziku PHP bo gotovo zanimiva naslednja informacija. Stefan Esser je namreč na svojem blogu objavil predavanje z naslovom Lesser Known Security Problems in PHP Applications, ki ga je imel na Zend konferenci septembra letos.

V predavanju je prikazal nekaj manj znanih možnosti napadov na PHP programsko kodo, na primer možnosti zlorabe zaradi napačne uporabe vhodnega filtriranja, nekatere zlorabe s pomočjo piškotkov, zlorabe spletnih sej, manj znane možnosti izvedbe XSS napadov, manj znane zlorabe SQL, zlorabe šibkih generatorjev naključnih števil, itd.

Vsekakor vredno branja.

31 komentarjev

Odkrita resna varnostna ranljivost v Firefox 3

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

50 komentarjev

Odkrita nova Flash ranljivost

Slashdot - Kot poročajo Slashdot in številni drugi mediji, so v Adobe Flash predvajalniku odkrili varnostno ranljivost, ki jo zlonamerni napadalci izkoriščajo v velikem obsegu. Zloraba (exploit) naj bi bila že vključena v kitajsko različico zbirke napadalskih orodij MPack exploit kit, zlonamerna koda pa je okužila že preko 20.000 spletnih strani.

Ob obisku okužene strani zlonamerna koda izrabi ranljivost predvajalnika Flash in prevzame popoln nadzor nad računalnikom.

Analiza Marka Dowda je pokazala, da gre za izkoriščanje ranljivosti CVE-2007-0071 v Flash predvajalniku 9.0.124.0, zato je priporočena čimprejšnja nadgradnja oz. posodobitev vašega predvajalnika.

5 komentarjev

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Slo-Tech - O XSS ranljivostih s(m)o na Slo-Techu že pisali. A kljub temu, da gre za tim. ranljivost na strani spletnega odjemalca, so posledice zlorabe lahko precej drastične.

Raziskovalec Billy Hoffman, znan tudi pod imenom Acidus, je namreč januarja lani na konferenci Black Hat Federal 2006 predstavil prispevek z naslovom Analysis of Web Application Worms and Viruses. V prispevku je predstavil možnosti napadov s tim. spletnimi virusi, ki izkoriščajo XSS ranljivosti ter AJAX tehnologijo.

V soboto pa bo imel Hoffman predavanje na to temo tudi na Smoocon konferenci v Washingtonu.

Na konferenci bo predstavil možnosti vzpostavitve prikritih omrežij (tim. botnetov) s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Predstavil bo tudi konkreten primer, aplikacijo Jikto, ki omogoča samodejno vzpostavitev prikritega omrežja.

Orodje Jitko se lahko preko okužene spletne strani namesti na uporabnikov računalnik. Po namestitvi lahko orodje izvaja samodejno skeniranje, oz. iskanje...

Preberi več »

22 komentarjev

Hekanje "letalske varnosti"

Schneier.com - Ameriški študent Christopher Soghoian je na svoji spletni strani objavil The Northwest Airlines Boarding Pass Generator. Gre za spletno stran, ki zgenerira kontrolni kupon za vstop na letalo (boarding pass), s pomočjo katerega se potnik lahko izogne obsežnejšemu varnostnemu preverjanju. Da, celo zloglasnemu seznamu nezaželjenih letalskih potnikov (tim. no-fly list).

Podobno varnostno ranljivost v letalskem prometu so lansko leto odkrili pri Slate magazine.

Toliko o visokotehnološki varnosti v letalskem prometu...

12 komentarjev

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Preberi več »

20 komentarjev

Bush krepko vodi pred Kerryem

Wired News - Seveda ne v anketah, pač pa v številu varnostnih napak in pomankljivosti, ki jih vsebuje njegova spletna stran georgewbush.com.

Wired News namreč poroča, da se je nekaj varnostnih analitikov odločilo analizirati Bushevo in Kerryevo spletno stran iz varnostnega vidika. Pri Bushu so odkrili več kot 30 varnostnih pomankljivosti s pomočjo katerih je mogoče prevzeti popoln nadzor nad Bushevo spletno stranjo, kar pomeni, da jo je mogoče sesuti, ali pa spreminjati informacije na njej (tudi slogane in slike).

Pri Kerryu je stvar malenkost boljša, vendar pa je ravno tako mogoče s pomočjo SQL injection brskati in spreminjati SQL bazo, ki poganja Kerryevo spletno stran.

Pri tem pa je na obeh spletnih straneh zapisano, da je poskrbljeno za najstrošje varnostne ukrepe, saj se strežnika nahajata v zaklenjenih prostorih, Kerry pa se še pohvali, da njegov strežnik varuje stražar. Očitno je tako za varnost strežnika dovolj poskrbljeno.

Oba kandidata pa s pomočjo spletnih hroščev zbirata...

Preberi več »

9 komentarjev