Jak wynika z raportu firmy IBM w pierwszej połowie 2011 roku spadła liczba podatności w aplikacjach webowych. Pierwszy raz od 5 lat. Z 49% do 37%. Podobnie krytyczne błędy w przeglądarkach osiągnęły poziom tak niski jak w roku 2007. Jeśli w tej materii pozostanie bez zmian, można będzie wysnuć założenie, że producenci przeglądarek wykonują coraz lepszą robotę. W poprzednim roku aż 44% opublikowanych podatności nigdy nie zostało naprawionych, w tym roku znów odnotowaliśmy spadek do 37%. Same plusy z perspektywy bezpieczniejszego świata :] Czytaj dalej »
Archiwum (tag: www
)
-
Spadek ilości odkrywanych podatności WWW
- Data dodania:
- 04 10.11
- Kategorie:
- newsy, statystyki
-
Spamerzy wykorzystują serwis do darmowego umieszczania plików imageshack przemycając aplikacje Flashowe
Proste metody są jak zawsze najskuteczniejsze. Od wczoraj otrzymuję spam, który w treści wiadomości zawiera zwyczajowe parę zdań bez zbędnych HTML i cudów oraz bezpośrednio w treści wpisany link do pliku Flash, który umieszczany jest na jednym z popularniejszych serwisów umożliwiających darmowe przechowywanie plików graficznych, filmowych, flashowych czyli imageshack.us. Spamerzy umieszczają plik Flashowy, który robi wyłącznie tyle, że kieruje automatycznie przeglądarkę na stronę sprzedającą medykamenty najpopularniejszego sklepu aptekarskiego czyli Canadian Pharmacy. Niedługo spamerzy zaczną wykorzystywać takie technologie jak np. Opera Unite do hostowania swoich plików :]
Treść spamu:
Got troubles with receiving medicaments to your house?
Our web-store is ideal for helping you! Submit your order here and get your package to your apartment the same day.
We don’t care about prescription, but we care about confidentiality of shipping and transactionsZdezasemblowany kod flasha z użyciem narzędzia flasm wygląda mniej więcej tak: Czytaj dalej »
-
Drobna wpadka nacinających czyli do czego może przydać się błąd Directory Traversal
- Data dodania:
- 11 2.10
- Kategorie:
- newsy
Czasami próbując odnaleźć jakąś darmową aplikację w sieci (np. OpenOffice) możemy trafić na stronę, która będzie oferowała za drobną opłatą (karta kredytowa, SMS) możliwość pobrania aplikacji, które tak na prawdę można pobrać za darmo. Z taką sytuacją spotkał się zajmujący się bezpieczeństwem Russ McRee, który natrafił na domenę messenger-download_info. Po krótkiej chwili i przyjrzeniu się działania aplikacji WWW, znalazł drobny błąd na stronie umożliwiający pobranie pliku znajdującego się na serwerze, do którego serwer WWW posiadał odpowiednie uprawnienia. W dużym skrócie – pobrał plik /etc/passwd, w którym co najciekawsze – znalazł listę pozostałych domen, które wykorzystywane są do naciągania użytkowników! Przydatna lista, zwłaszcza jeśli ktoś korzysta z mechanizmów blokujących złe domeny. W tym wypadku okazało się, że Ciemna strona nie zadbała o swoje bezpieczeństwo i stali się ofiarą strony przeciwnej. Jak widać niezależnie od miejsca w szeregu – o bezpieczeństwo należy dbać tak samo dobrze.
Tak wygląda część pliku /etc/passwd:
conv001:x:683:501::/var/www/html/Sites/www.converter-2010_com:/sbin/nologin
express013:x:684:501::/var/www/html/Sites/www.expressmailsite_com:/sbin/nologin
office006:x:685:501::/var/www/html/Sites/www.office-suite2010_net:/sbin/nologin
vers001:x:686:501::/var/www/html/Sites/www.2010-version_net:/sbin/nologin
down008:x:687:501::/var/www/html/Sites/www.2010-download_net:/sbin/nologin -
Najpopularniejsze hasła serwisu RockYou
- Data dodania:
- 26 1.10
- Kategorie:
- newsy
Kilka dni temu dość głośno było o kradzieży 32 milionów haseł użytkowników serwisu RockYou. Analiza tych haseł, wykonana przez reasercher’ów firmy Imperva Application Defense Center, wykazała że najczęściej używanym hasłem było ‘123456’. Takie hasło miało 290 731 użytkowników. Drugie miejsce zajęło hasło ‘12345′ z liczbą 79 078 użytkowników. Trzecim najpopularniejszym hasłem było ‘123456789′ – 76 790 użytkowników.
Moje ulubione hasło ‘password,’ było używane tylko przez 61 958 indywidualistów.
Może nie jest tak źle, biorąc pod uwagę całkowitą liczbę użytkowników ;)Więcej tutaj: http://www.scmagazineus.com/rockyou-hack-reveals-most-common-password-123456/article/162071/
-
Kilkaset stron internetowych klientów firmy Network Solutions zostało podmienionych
- Data dodania:
- 26 1.10
- Kategorie:
- newsy
Network Solutions jest jednym z pięciu czołowych rejestratorów domen internetowych, który zarządzał ok. 6.5 mln domen w styczniu 2009 roku. Niezależnie od biznesu domenowego, świadczą także usługi takie jak hosting, marketing online czy usługi e-commerce. Kilka dni temu okazało się, że ktoś najpewniej używając do ataku podatności Remote File Include, podmienił zawartość kilkuset stron internetowych. Z niejasnych informacji firmy odnoszę wrażenie, że problemem była aktywna opcja register_globals w konfiguracji serwerów, która w połączeniu z błędną aplikacją doprowadziła do zmasowanego ataku. W kontekście dużej liczby klientów Network Solutions taki atak nie jest może zbyt spektakularny, jednak fakt, że w podobny sposób zostało zaatakowanych wiele serwerów i domen wskazuje na zorganizowaną akcję. Na podmienionych stronach pojawiły się treści skierowane przeciwko Izraelowi. I oczywiście, że w głównej mierze byli winni zapewne klienci, którzy używali podatnego na atak oprogramowania, jednak warto zauważyć, że w ostatnich latach coraz częściej firmy hostingowe starają się w doraźny sposób pomagać swoim klientom w rozwiązywaniu problemów związanych z bezpieczeństwem. Ciekaw jestem, kiedy standardem staną się przypomnienia od firm hostujących na przykład o nowej wersji oprogramowania, z którego korzysta klient i konieczności aktualizacji. W pewnym momencie być może zostanie uruchomiona usługa, w której nieaktualne oprogramowanie (w przypadku krytycznych błędów) na przykład po danym okresie – zostanie zastąpione automatycznym komunikatem typu „Trwają prace związane z modernizacją serwisu… Proszę czekać” ;] . Kto wie :]
Źródło: http://cyberinsecure.com/hundreds-of-websites-hosted-at-network-solutions-defaced
-
Raport dotyczący bezpieczeństwa serwisów internetowych
- Data dodania:
- 19 1.10
- Kategorie:
- analizy, statystyki
Firma zajmująca się bezpieczeństwem serwisów internetowych – Cenzic wydała raport dotyczący tendencji i liczb ataków na serwisy WWW w pierwszym jak i drugim kwartale 2009 roku. W wielkim skrócie przedstawia się on następująco:
-
Baza army.mil zaatakowana z użyciem SQL Injection
- Data dodania:
- 08 1.10
- Kategorie:
- newsy
Znany wszystkim osobnik ukazujący od kilku tygodni błędy związane z bezpieczeństwem witryn WWW największych firm świata IT zabrał się tym razem za wojskową stronę Amerykańskiej Armii czyli domenę army.mil. Udało mu się z pełnym sukcesem uzyskać dostęp do bazy danych, którą okazał się: Microsoft SQL Server 2000 – 8.00.2282 (Intel X86) Dec 30 2008 02:22:41 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2. A chyba najprzyjemniejszymi danymi są informacje dotyczące logowania takie jak nazwa użytkownika i hasło. #Username: Dynatouch, #Password: AHOS. Oczywiście nie zakodowane w żaden sposób :]
Źródło: http://tinkode.baywords.com/index.php/2010/01/army-mil-full-disclosure/
-
Trojan ukrywający swój kod w HTMLu z użyciem tajnej techniki
- Data dodania:
- 25 12.09
- Kategorie:
- newsy
Różne widziałem cuda ale to mi się spodobało bardzo. Na pewnym forum internetowym możemy przeczytać o standardowym przypadku kiedy trojan wykrada hasło i podmienia zawartość strony. Sam bot aktualizuje się między innymi po WWW z użyciem pozostawionego przez siebie backdoora ale najlepsze w tej całej przygodzie jest to, że wykorzystuje on nader skuteczną technikę ukrywania się. Zacytuję:
Cały kod był czysty, nic nie zostało doklejone do plików .html, .php, ani .htaccess.
Trojan doskonały, nie do wykrycia?
Innymi słowy kod atakuje, nie wiadomo skąd w kodzie go nie ma – można domniemać, że przejęty został cały system operacyjny i podmienione zostały biblioteki lub aplikacje serwera WWW. A nie! W późniejszej wiadomości na forum wszystko się wyjaśnia. I znów zacytuję:
Tym razem do plikow nie ma dopisanego iframa czy kodu js natomiast dopisany jest zwykly kod backdora w taki sposob ,ze przy edycji pliku go nie widac bo jest przesuniety o kilka stron w prawo.
Ja się na prawdę długo starałem wykombinować, jak twórca trojana wpadł na to, żeby ukrywać kod – przesuwając całość mocno w prawo (czyli zapewne dorzucał mnóstwo spacji w linii). Pomysł tak genialny i szalony co skuteczny, jak pokazuje życie. Dla takich przykładów chce się żyć! :]
Zainteresowanych odsyłam do wątku gdyż trojan rzekomo wykorzystuje błędy w Apachu co jest swego rodzaju nowością na rynku. Niedługo po przejęciu hasła do FTP taki trojan będzie uruchamiał środowisko wirtualne, potem system w chmurze, a na końcu będzie tańczył :] Pięknie jest, pięknie!
-
Fałszywy torrent wysyła fałszywy plik, który otwiera fałszywą stronę, która zaleca zainstalować fałszywy kodek
Przytrafiła się mi właśnie taka dziwna historia jak w temacie. Miałem okazje przetestować jedno z łącz więc pierwszym odruchem było uruchomienie programu do protokołu BitTorrent, wybranie jakiegoś nośnego filmu dla nastolatków granego akurat w kinie, znalezienie .torrenta z sensowną liczbą udostępniających i próba rozpędzenia łącza. Po chwili zobaczyłem listę adresów IP, od których zacząłem pobierać dane. Pierwsza rzecz, która mnie zaciekawiła to dziwna zbieżność adresów IP. Wszystkie były z tej samej klasy adresów /24 i wszystkie miały ustawione takie same co do joty wersje klienta (kliknijcie w screenshot aby powiększyć). Postanowiłem poczekać i zobaczyć co wydarzy się dalej. Drugą dziwnością było to, że pobierało się powoli. Tak jakby udostępniające specjalne komputery miały skonfigurowane odpowiednie limity na przepływnościach per IP. Film miał mieć około 700 MB, za kilkanaście godzin miałem doczekać się finału więc stwierdziłem, że na pewno warto.
Następnego dnia radośnie postanowiłem sprawdzić co otrzymałem w prezencie. Plik został rozpoznany jako film: Czytaj dalej »
-
Złośliwe oprogramowanie na serwerze dużej agencji reklamowej
- Data dodania:
- 25 11.09
- Kategorie:
- newsy
Można napisać, że było blisko. Witryna dużej firmy Media-servers zajmującej się kampaniami internetowymi została rozszerzona o elementy serwujące ataki w niezabezpieczone aplikacje użytkownika. Na całe szczęście główna witryna serwująca reklamy nie została podmieniona. Mogłoby się wtedy całkiem wesoło wydarzyć. Coraz więcej spotykamy ataków wykorzystujących sieci reklamowe. Jak wiadomo jeśli taka reklama jest dystrybuowana na setki tysięcy różnorakich witryn – ofiar może być porównywalnie więcej :]
Sam trojan podczas wykrycia, miał bardzo niski stopień wykrywalności w systemach antywirusowych. W tym akurat konkretnie przypadku wykorzystywane były błędy popularne choć nie najświeższe. Skoro jednak są one wykorzystywane – zapewne działają…
Microsoft DirectShow – CVE-2008-0015
Microsoft Snapshot Viewer – CVE-2008-2463
Microsoft Data Access Components – CVE-2006-0003
AOL ConvertFile() remote buffer overflow
Adobe Reader i Acrobat 8.1.1 buffer overflow – CVE-2007-5659
Adobe Acrobat i Reader 8.1.2 buffer overflow – CVE-2008-2992Źródło: http://cyberinsecure.com/media-servers-net-website-hacked-serving-exploits-cocktail/
-
Coraz więcej podmienionych witryn WWW atakujących odwiedzających i coraz więcej kampanii klikających na lewo
- Data dodania:
- 16 11.09
- Kategorie:
- newsy
W sumie nie ma się co dziwić. Cyberprzestępczy proceder na całego ma się dobrze. Ludziki z czarnymi pelerynami zarabiają krocie więc dlaczego mieliby przestać inwestować i nagle przestać ciężko pracować na chleb. Żadnych radykalnych zmian po stronie producentów systemów, aplikacji, ISP itd. nie widać więc będzie jeszcze przez jakiś czas cały czas coraz gorzej. Nie spodziewajmy się cudów bo Wisła nie płynie w całym internecie :]
Firmy analizujące fałszywe kliknięcia w kampanie reklamowe, odnotowały iż w trzecim kwartale tego roku, 42.6 procent takich kliknięć było wykonane z komputerów będących częścią sieci botnet. Porównując tę liczbę do liczby z poprzedniego kwartału (36.9) oraz jeszcze z roku 2008 (27.6) jasno można wywnioskować, że jest coraz gorzej. Między innymi z uwagi na to, że złośliwe oprogramowanie jest coraz bardziej zaawansowane i coraz trudniej się z nim walczy. Dane zostały zebrane z 300 firm zajmujących się kampaniami Pay-per-click i jak przyznają specjaliści przez ostatnie kilka miesięcy obserwują wysyp tego typu funkcjonalności w aplikacjach będących częścią sieci botnet.
I podobnie w kwestii zainfekowanych stron WWW trzeci kwartał okazał się rekordowo interesujący. Prawie 6 milionów zainfekowanych stron na ponad 640 000 serwisach co jest znaczącym postępem w złą stronę oczywiście w odniesieniu do poprzednich kwartałów. Skalę problemu i jego specyfikę ukazuję także inna statystyka. Prawie 40 % zainfekowanych stron, które zostały wyczyszczone ze złośliwego kodu – zostało ponownie zarażonych. Nie jest jak widać łatwo i z każdej możliwej strony możemy spodziewać się ataków.
I powiadam Wam, będzie gorzej czytaj zabawniej :]
Źródło: http://cyberinsecure.com/malware-infected-computer-botnets-click-fraud-at-record-high
http://cyberinsecure.com/mass-web-infections-spike-to-6-million-pages-in-640000-sites
-
Rekordowa ilość kodów infekujących na stronie WWW
Pan Paul Ducklin z laboratorium firmy Sophos poinformował o stronie rekordzistce, która posiadała 22 wersje infekującego kodu JavaScript. Najprawdopodobniej po przechwyceniu hasła do konta i wykorzystaniu protokołu FTP, 22 napastników dodało swój kod przekierowujący użytkownika na atakującą stronę. W większości przypadków złośliwe oprogramowanie dodaje w komentarzach unikalny kod, po którym rozpoznaje czy strona już posiada złowrogie linie kodu. Zapobiega to wielokrotnemu dodawaniu takiego kodu przez tę samą grupę trojanów. Niestety z uwagi na fakt, że w większości przypadków kod taki jest zamaskowany, ciemna strona mocy nie usuwa poprzedniego znajdującego się już wpisu w kodzie strony. Z tego co pamiętam to zazwyczaj trojany te dodawały kod na końcu strony (czasami na początku) przed tagiem /BODY. Myślę, że nowe wersje zaczną starać się dodawać o kilka linijek kodu wcześniej lub właśnie zaraz po rozpoczynającym tagu BODY. Metoda ta wydaje się być bardziej optymalną przy walce z konkurencją. Jak pisze Ducklin używanie zaciemniania kodu z użyciem JavaScript jest także wykorzystywane przez webdeweloperów zarządzających stronami WWW i jak podkreśla Ducklin taka metodologia jedynie utrudnia wykrywanie zainfekowanych stron, gdyż legalne strony zostają oznaczone jako złośliwe. Samo zaciemnienie jest jedynie utrudnieniem przed podglądem, a nie sposobem na całkowite ukrycie kodu i dlatego sugeruje aby nie korzystać z tego typu mechanizmów na swoich stronach.
Źródło: http://www.heise-online.pl/security/Trzymajcie-sie-z-dala-od-pakerow-JavaScriptu–/news/8415