»

Kako se izogniti nevarnosti SQL vrivanja?

Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.

SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.

...

28 komentarjev

Brian Krebs spet na udaru hekerjev

Policija pred Krebsovo hišo neposredno po vpadu specialcev.

Slo-Tech - Znani ameriški preiskovalni novinar, ki se ukvarja tudi z informacijsko varnostjo, Brian Krebs, na svojem blogu pogosto razkriva hekerske kriminalne združbe. Tako je v preteklosti razkril različne gostitelje otroške pornografije in pošiljatelje spam sporočil, resno pa je ogrozil tudi dejavnosti organizirane kriminalne združbe znane kot Russian Business Network.

In kriminalnim hekerjem se kot kaže ni dobro zameriti.

Brian je bil namreč pred kratkim žrtev že drugega resnega napada. Prvič so ga napadli 14. marca letos in sicer tako, da je nekdo na policijo...

19 komentarjev

Ameriška višja šola potrdila desetletno virusno okužbo in krajo občutljivih osebnih podatkov

Zapečateni računalniki v učilnici, kjer so najprej odkrili okužbo.

Slo-Tech - Rektorat ameriške višje šole City College v San Franciscu je potrdil obsežno in vsaj desetletno okužbo njihovega informacijskega sistema z virosom, ki naj bi kradel občuteljive osebne podatke in jih v nočnih urah prenašal na strežnike v Rusiji in na Kitajskem. Sumijo, da so bili odtujeni prijavni podatki za spletno bančništvo, e-poštna in facebook gesla, ter drugi podatki, ki bi lahko koristili za potrebe kraje identitete. Razkritje je toliko bolj občutljivo, ker gre za eno največjih višješolskih inštitucij v državi, z letnim vpisom blizu 100 tisoč študentov in ducat campusi širom San Francisca.

Dolgotrajnost okužbe naj bi bila v veliki meri posledica sorazmerno slabega odnosa vodstva do informacijske varnosti, kar se...

13 komentarjev

Vdor v MySQL.com z vrivanjem SQL

vir: Sophos
Sophos - Včeraj je bila stran MySQL.com uspešno napadena s tehniko vrivanja SQL (SQL injection), je bilo razkrito na listi Full Disclosure. Hekerji so na splet že priobčili uporabniška imena in zgostitve gesel (hash), ki jih najdete na odlagališču pastebin.com.

Izkazalo se je, da je ogromno gesel prekratkih in preveč preprostih (recimo qa in podobno). Izjema ni niti direktor WordPressa, ki je imel za geslo štirimestno število. Žalostno je, da vdor ni posledica napada neke obskurne ranljivosti, ampak gre za osnovno tehniko, ki ima tudi relativno enostavno zaščito.

Poleg tega je bili napadeno tudi podjetje Oracle, mati MySQL-a, od koder so uspeli odtujiti tabele in elektronske naslove, gesel pa naj ne bi bili. Tudi tod je bil vdor izveden na enak način.

Sophos poroča še, da to ni edina huda...

15 komentarjev

Hekerji pokradli za milijon evrov Microsoft Points

Slashdot - Microsoft Points so točke, ki jih Microsoft uporablja kot virtualno valuto v spletnih trgovinah za Xbox Live, Games for Windows Live, Windows Live Gallery in Zune. Osemsto točk stane okrog 10 dolarjev (odvisno od države in menjalnega tečaja). Kupiti jih je mogoče z nakupom predplačilnih kartic, tako da uporabniki za njihovo uporabo ne potrebujejo kreditne kartice. Na spletu sicer najdemo na tone strani, ki obljubljajo domnevno brezplačne točke, a v preteklih dneh je bilo resnično mogoče priti do brezplačnih točk. Hekerji so namreč zlomili algoritem za tvorjenje promocijskih številk na eni spletni strani.

Tako je bilo mogoče generirati nove in nove veljavne kode ter z njimi dostopati do spletne strani, ki je ob vsaki osvežiti uporabnikovemu računu prištela...

4 komentarji

Na internetu spet ilegalna dražba dostopa do napadenih spletnih strani

ComputerWorld - Podjetje Imperva, ki se ukvarja z računalniško varnostjo, je na internetu našlo dražbo, kjer hekerji na črno prodajajo dostop do napadenih spletnih strani. Hekerji, ki vodijo dražbo, trdijo, da imajo nadzor nad velikim številom spletnih strani, med drugim vojaških, vladnih in univerzitetnih. Cene se gibljejo med 33 in 500 dolarji, odvisno od popularnosti, velikost in zaželenosti strani. Poleg tega so naprodaj tudi iz spletnih strani izvlečeni osebni podatki po ceni 20 dolarjev za tisoč.

Noa Bar-Yosef iz Imperve pojasnjuje, da so...

12 komentarjev

Heker zahteval pet dolarjev od lastnikov iPhonov

TG Daily - Jailbreaking je postopek, ki odklene Applov iPhone, tako da je na njem moč poganjati tudi nepodpisane aplikacije, ki jih Apple ni potrdil. S tem si uporabniki krepko razširijo nabor aplikacij, ki jih lahko prenesejo in uporabijo, sedaj ne več le z uradnega App Stora, marveč tudi s konkurenčnih strani Cydia in Icy.

Neki nizozemski heker se je domislil, kako za talce vzeti kar te odklenjene iPhone in od lastnikov izsiliti pet dolarjev. Ni veliko, a se z množico uporabnikov nabere. S skeniranjem portov je odkril, kateri iPhoni v omrežju T-mobile Netherlands so odklenjeni in imajo omogočen SSH. Slednji protokol se uporablja za dostop prek terminala in poganjanje standardnih UNIX-ovih ukazov. Ker Apple uporabi kar privzeto geslo za root dostop, je heker to uporabil in na te telefone poslal SMS-opozorilo, da je njihov telefon napaden, ker je nezavarovan, ter jih napotil na stran, kjer ga lahko zaščitijo. Tam jih je pričakalo obvestilo, naj nakažejo pet dolarjev prek PayPala, nato pa...

25 komentarjev

Razkosanje Googlove poravnave za knjige

Slashdot - Lani smo poročali, da je Google dosegel poravnavo z založbami, ki so imele nemalo pripomb in pravnih pomislekov zoper Googlovo skeniranje in priobčitvijo knjig oz. njihovih delov na spletu. Tedaj je Google svoje početje retroaktivno legaliziral in si izposloval še nekatere druge ugodnosti glede dostopa do knjig, kar ga je veljalo 125 milijonov dolarjev. Ugodna cena, če upoštevamo, da je bilo v postopku sedem milijonov knjig.

Izkazalo se je, da bo šlo avtorjem knjig in njihovim založnikom le 45 milijonov dolarjev tega denarja, medtem ko bo preostanek pobasala cehovska organizacija Authors Guild in odvetniki. Ta v svojem sporočilu članom sporoča, da lahko avtor za posamezno knjigo dobi od 60 do 300 dolarjev, odvisno od števila knjig tega avtorja. Omenimo, da letna članarina v cehu stane od 90 dolarjev za avtorje, ki zaslužijo manj kot 25.000 dolarjev letno s knjigami, do 500 dolarjev za najplodovitejše.

6 komentarjev

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

20 komentarjev

Springdale prihaja

DigiTimes - Kot kaže, bo Intelovo čipovje z imenom Springdale prišlo na trg kot prvo čipovje za Penitume 4 s podporo 800 MHz FSB. Konkurenčni podjetji VIA Technologies ter SiS sicer pripravljata protiudarec s čipovjema PT600 ter 655FX, a jima, po napovedih, ne bo uspelo le-teh spraviti na tržišče v prvi četrtini prihodnjega leta. Še cena; za čipovje Springdale se bo gibala med 33 ter 50 dolarji, odvisno od različice. Klik!

2 komentarja

Microsoft spet žrtev hekerskih napadov

The Register - Tokrat se je nad Microsoft spravil razvpiti heker Prime Suspectz. Posledica njegovih napadov je nedostopnost štirih Microsoftovih spletnih strani. Tri spletne strani so bile žertev napadov, četrto stran (webcfeedback.msn.com) pa je po Prime Suspectz-ovemu napadu še dodatno obdelala hekerska skupina Silver Lords s protestom proti zlorabi človekovih pravic v Kašmirju. Prime Suspectz-ov rekord je sesutje arhiva Alldas.de. Zanimivo je, da so vse napadene strani uporabljale Microsoft's IIS web server na Windows platformi. Dejstvo je, da je Microsoft's IIS web server poln varnostnih lukenj, zato ni izključen hrošč v IIS, možno pa je, da je bil izrabljen tudi hrošč v Unicodu. Microsoft je že izdal popravek.
Ob vseh teh napadih se človek sprašuje, kakšen je sploh smisel teh napadov na strežnike. Kot pri vseh stvareh, obstaja tudi tukaj več vzrokov za napadov. Hekerji lahko napadejo strežnik iz dolgočasja, protesta (pohekana Ljubljana, napad Silver Lordsov na Microsoft), sovraštva do...

16 komentarjev