The Economist - V noči z 31. oktobra na 1. november je med 0.52 in 2.15 uro 501 spletna stran, ki uporablja PageFair, obiskovalcem stregla okužen JavaScript. Pod pretvezo, da gre za posodobitev za Adobovo programsko opremo Flash, je poizkušal okužiti obiskovalce z operacijskim sistemom Windows. PageFair je vdor odkril v nekaj minutah in ga saniral v dobri uri, podrobno analizo pa objavil na svojih straneh. Največja med prizadetimi stranmi je gotovo The Economist, medtem ko so bile preostale manjše.

...

Spiegel Online - Spiegel poroča, da imajo zanesljive indice, da so internetni napad na nemški parlament, ki so ga razkrili pred dobrima dvema tednoma, organizirali in izvedli ruski državni hekerji. Napad na Parlakom (parlamentarische Kommunikationen) se je začel razpletati maja, ko so nadzorniki omrežja opazili, da se dva računalnika na službenem omrežju poizkušata povezati na vzhodnoevropske strežnike, ki so povezani s kriminalnimi združbami. Preiskava je odkrila, da gre za obsežen napad.

Napadalci so pridobili dostop do več računalnikov, zato IT-služba vseh 20.000 uporabniških računov šteje kot kompromitirane, med njimi pa je tudi račun kanclerke Merklove. Tiskovna predstavnica je včeraj povedala, da je odteklo precej podatkov in da so...

ComputerWorld - Spletna stran MySQL.com, ki jo vzdržuje Oracle, je bila že drugič v manj kot letu dni napadena. Marca so hekerji z vrivanjem SQL pridobili uporabniška imena in zgoščene vrednosti (hash) gesel, včeraj pa je stran nekaj ur servirala zlobno kodo vsem obiskovalcem.

Da je stran kompromitirana, so odkrili včeraj okrog poldne po slovenskem času, čez približno šest ur pa je bila stran že očiščena. V vmesnem je stran, ki je bila očitno napadena prek orodja Black Hole, ogrožala obiskovalce, ki niso imeli najnovejših in zakrpanih verzij brskalnikov, Adobe Acrobata in Readerja oziroma Jave, saj je izkoriščala znane in že odpravljene ranljivosti, da je na njihove računalnike nameščala zlobno kodo.

Spomnimo, da je v zadnjem času priljubljeno...

ComputerWorld - Vsaj od torka, ko je bil prvikrat odkrit, po internetu divja obsežen napad z vrivanjem SQL, ki je do danes okužil že več sto tisoč strani. Napad so prvi odkrili v podjetju WebSense, kjer so ga po poimenovali LizaMoon po domeni, na katero preusmerja obiskovalce napadenih strani.

Napadalci z vrivanjem SQL na stran poizkusijo vstaviti kodo za JavaScript s povezavo do strani Lizamoon, ki nato na obiskovalčev računalnik prenese strašilno programsko opremo (scareware). Ta se pretvarja, da gre za neobstoječi antivirusni program Windows Stability Center, ki je na računalniku zaznal viruse in ponudi odstranitev proti plačilu.

Napadalci naj bi uspeli vstaviti zlobno kodo v strani na vsaj 21 različnih domenah, skupno pa je prizadeti več sto tisoč strani. Strokovnjaki pravijo, da...

BBC - Iz Južne Koreje poročajo o zelo obsežnem internetnem napadu na ključno računalniško infrastrukturo, ki se je odvijal v glavnem ta petek. Napadalci so merili tako na državne uradne strani ministrstev, parlamenta, vojske, predsednika kot tudi strani večjih bank, borze in nekaterih drugih podjetij. Prizadetih je bilo vsaj 29 inštitucij, za nekaj minut pa so morali tudi prekiniti trgovanje na borzi. Podobne napade so doživeli že julija 2009.

V uradni izjavi iz predsedniške palače so sporočili, da je šlo za klasične napade DDoS, ki pa niso povzročili nobene trajne škode. Analitiki predvidevajo, da so napadalci prek omrežij P2P razširili škodljivo programsko opremo, ki jim je omogočila...

Slo-Tech - Te dni na spletu poteka široko zastavljen napad z vrivanjem SQL-stavkov (angl. SQL injection) na strežnike, ki jih poganja IIS in ASP.net. Napadenih je bilo več kot sto tisoč strani, pri čemer so škodo utrpele tudi ugledne strani, kot sta The Wall Street Jorunal in The Jerusalem Post. Pri tem je treba poudariti, da napad zlorablja pomanjkljivo napisano kodo in ne kakšne inherentne varnostne luknje v IIS-u. Analiza napada je pokazala, da naj bi šlo za skripto za upravljanje oglasi tretjega ponudnika, ki je bila vsem stranem skupna. Zlobna koda izkoristi napako v njej in nato obiskovalce skuša preusmeriti na neko stran, ki na njihove računalnike namesti zlonamerno programsko opremo.

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Slo-Tech - Na 24ur.com so se prijazno opravičili za včerajšni izpad njihove spletne strani. Za nedosegljivost so obtožili neznane napadalce in napad prijavili policiji.

Vsekakor edina pravilna poteza, saj vedno obstaja minimalna možnost, da bodo zlikovce odkrili in primerno kaznovali. Vseeno ne bi škodilo, če bi si njihov IT-oddelek prej malo boljše pogledal osnove DNS strežnikov, saj imajo oba na istem delu omrežja. To v praksi pomeni, da lahko napadalec z enim samim napadom na tisti del omrežja onesposobi celotno spletno stran. Kot nasvet za v prihodnje ter tudi drugim administratorjem spletnih strežnikov priporočamo, da imajo vsaj še en DNS strežnik v popolnoma ločenem omrežju. Potem jim ne bo potrebno pisati prijav policiji in bodo lahko še naprej v miru brali Slo-Techov Forum.