Weak passwords

Решил консолидировать все имеющиеся TOP’ы наиболее распространенных паролей в одной публикации. Собственно, подборка самых популярных (и как следствие уязвимых) паролей представлена ниже.

7Safe Security Breach Investigations Report

Компанией 7Safe опубликован отчет по анализу случаев компрометации данных (UK Security Breach Investigations) произошедших в 2009 году. По данным указанного отчета в прошедшем году основным источником компрометации данных был внешний нарушитель (80%):


Сразу на трех крупных сайтах за последние две недели главные страницы подверглись дефейсу (usa.gov, eset.co.il и microsoftstoragepartners.com)

Такие данные приводит портал Zone-H, целью которого является создание интернет-архива интересных кибер-инцидентов во всем мире. Из наиболее примечательных атак на Web-сайты, произошедшие за последнее время, стоит отметить следующие:


Вообще, надо сказать, что начало 2010 года выдалось, как минимум не скучным: "0day MySQL 5.x, IE 6/7/8 0day bypass DEP (операция "Аврора", etc), MS Windows Kernel 0-Day (17 лет нулевого дня), Army.mil full disclosure, в центре Москвы рекламный экран показывает порнографию, а в Липецке автобус ругается матом... и адобе продолжает нас радовать новыми уязвимостями", отличное начало 2010 года %))

NASA Hacked again (via SQL Injection)

В очередной раз на Web-сервере в домене nasa.gov (aerocenter.gsfc.nasa.gov) хакером, скрывающемся под псевдонимом TinKode, была обнаружена классическая уязвимость, SQL-инъекция [1] (видимо собсем плохо обстоит дело с веб-безопасностью у Национального управления США по аэронавтике и исследованию космического пространства). Скриншот с уязвимым сценарием, который приводит исследователь:



То есть, классическая SQL-инъекция под 5-м мускулем. Кроме того, наиболее простая к компрометации базы, т.к. за один http-запрос можно получить все необходимые данные:


Подборка инструментов для автоматизации проведения атаки SQL Injection

sqlmap (http://sqlmap.sourceforge.net/)
Полная поддержка: MySQL, Oracle, PostgreSQL и Microsoft SQL Server.
Частичная поддержка: Microsoft Access, DB2, Informix, Sybase и Interbase.

Safe3 SQL Injector (http://sourceforge.net/projects/safe3si/files/)
Полная поддержка: MySQL, Oracle, PostgreSQL, MSSQL, ACESS, DB2, Sybase, Sqlite.

SQL Power Injector (http://www.sqlpowerinjector.com/)
Реализована поддержка: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive Server и DB2.

Absinthe (http://www.0x90.org/releases/absinthe/index.php)
Реализована поддержка: Microsoft SQL Server, MSDE, Oracle и Postgres.

bsqlbf-v2 (http://code.google.com/p/bsqlbf-v2/)
Реализована поддержка: MySQL, Oracle, PostgreSQL и Microsoft SQL Server.

Marathon Tool (http://www.codeplex.com/marathontool)
Реализована поддержка: MySQL, Oracle, Microsoft SQL Server и Microsoft Access.

Havij (http://itsecteam.com/en/projects.htm)
Реализована поддержка: MySQL, Oracle, Microsoft SQL Server и Microsoft Access.

pysqlin (http://code.google.com/p/pysqlin/source/checkout)
Реализована поддержка: Oracle, MySQL и Microsoft SQL Server.

Быстрые техники эксплуатации blind SQL Injection в Oracle

Обладая интересной подборкой быстрых способов эксплуатации слепых SQL-инъекций, мне недоставало аналогичных техник под не менее распространенную СУБД Oracle. Это побудило меня провести небольшой ресерч, направленный на поиск подобных техник в указанной базе данных.

Убедившись в том, что все известные способы эксплуатации error-based blind SQL Injection не работают в среде оракла, мое внимание привлекли функции взаимодействия с форматом XML. Немного поковырявшись в них, была обнаружена функция XMLType(), которая возвращает в сообщении об ошибке первый символ из запрашиваемых данных (LPX-00XXX):

SQL> select XMLType((select 'abcdef' from dual)) from dual;
ERROR:
ORA-31011: XML parsing failed
ORA-19202: Error occurred in XML processing
LPX-00210: expected '<' instead of 'a'
Error at line 1
ORA-06512: at "SYS.XMLTYPE", line 301
ORA-06512: at line 1
no rows selected
SQL>

Франция и Германия призвали пользователей отказаться от Internet Explorer

Власти Германии и Франции посоветовали гражданам отказаться от использования браузера Internet Explorer, брешь в котором, предположительно сделала возможной атаки на Google и другие интернет-компании. Во Франции агентство CERTA, занимающееся выявлением киберугроз, предупредило пользователей всех версий Internet Explorer о недостаточной безопасности этого браузера, сообщает Securitylab.

Официальный представитель Microsoft опроверг эту информацию. Ответом же на рекомендацию французских властей стало заявление о том, что "Internet Explorer 8 на сегодняшний день является самым безопасным продуктом на рынке, и риск его использования минимален".

Я поддержал эту точку зрения в своем интервью для радиостанции "Серебряный Дождь":

Whois.com Hacked, Defaced By "NetDevilz"



Вот такой симпатичный дефейс можно было наблюдать менее 12 часов назад при обращении к сайту whois.com :) Удар нанесла турецкая группа хакеров "NetDevilz", также известна по взломам сайтов Photobucket [1] и ICANN [2]. Официальные подробности произошедшего инцидента неизвестны в настоящее время, но учитывая "подвиги" группы "NetDevilz" в прошлом, можно предположить, что наиболее вероятный вектор атаки – это угон домена whois.com.

Источники: [3, 4]

US Army full disclosure again MSSQL injection

В очередной раз по Web-серверу в домене армии США успешно был нанесен удар со стороны исследователя, скрывающегося под псевдонимом TinKode. На сей раз, скомпрометирован сервер www.first.army.mil:


0day в Microsoft Internet Explorer

Залатали свои системы двухдневными патчами от Microsoft? Добро пожаловать в первый день нулевого дня:) Сегодня secunia выпустили уведомление о возможности выполнения произвольного кода в Microsoft Internet Explorer 6.x, 7, 8. Уязвимость существует из-за ошибки разыменования некорректного указателя, которая позволяет получить доступ к указателю после удаления объекта. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Уязвимость активно эксплуатируется злоумышленниками в настоящее время, сообщает securitylab.

Baidu, China's largest search engine, defaced by Iranian Cyber Army

Команда зохеров "Iranian Cyber Army" снова напомнили о себе. В понедельник на этой неделе при обращении к сайту Baidu.com можно было наблюдать следующую картину:


Волшебные кавычки



При последнем пентесте довелось мне встретиться с архитектурой Web-приложения, как показано на картинке справа.

Что тут не так спросите вы?

Да дело все в том, что ораклятина не мускуль. И не про какое экранирование, в стиле обратного слеша, oracle попросту не знает :) У оракла вообще нет такого понятия, как "экранирование" - это ведь серьезная СУБД:

Быстрые техники эксплуатации blind SQL Injection

Пару дней назад TinKode вновь напомнил о себе, "поломав" web-сайт в домене army.mil. Под удар попал сервер onestop.army.mil, на котором исследователь обнаружил уязвимость "Слепое внедрение операторов SQL" (blind SQL Injection).

Логически "истинный запрос":



Логически "ложный запрос":



Но на этот раз меня не на столько заинтересовал сам факт компрометации указанного сервера, сколько используемая техника эксплуатации уязвимости blind SQL Injection на СУБД MSSQL 2000:

Проверь защищенность своего компьютера

Решение WEB CAP, разработанное компанией "Positive Technologies" на базе системы мониторинга информационной безопасности MaxPatrol, позволяет оперативно проводить экспресс-анализ безопасности компьютера без установки дополнительного программного обеспечения. Я уже писал об этом замечательном продукте в контексте его использования при проведении социотехнических тестирований на проникновение. После публикации соответствующего материала на портале securitylab осмелюсь предположить, что теперь WEB CAP официально доступен широкой аудитории Интернет. Таким образом, оценить решение и проверить защищенность своего компьютера можно по следующей ссылке: http://webcap.securitylab.ru/report.aspx.

0day в MySQL 5.x

Intevydis включили 0day-сплоит для MySQL v5.x в свою сборку VulnDisco Pack Professional, который предназначен для работы в среде Immunity CANVAS. В качестве доказательства, команда Intevydis предоставляет видеоролик эксплуатации zero-day уязвимости в MySQL v5.0.51a-24+lenny2 для осуществления remote command execution [1].

Kaspersky Website Hacked (round three)

Наступил 2010 год, но безопасность Web-приложений по-прежнему оставляет желать лучшего. В блоге исследователя Ne0h сегодня появилось сообщение о найденных им уязвимостях на сайте www.thaikaspersky.com, который принадлежит Лаборатории Касперского.

Классическая SQL-инъекция:



Полагаю, что при таком подходе к Web-безопасности, уязвимость было найти собсем не сложно :)



И, конечно же, Cross-Site Scripting (по всей видимости - SiXSS):


Опубликована финальная версия классификации угроз в Web-приложениях (WASC-TC-v2_0)

Web Application Security Consortium опубликовали финальную версию классификации угроз в Web-приложениях (WASC-TC-v2_0). Данная классификация представляет собой совместную попытку собрать воедино угрозы безопасности Web-приложений. WASC Threat Classification v2.0 доступен в виде PDF-файла и по адресу: http://projects.webappsec.org/Threat-Classification.

По сравнению с первой версией классификации угроз в Web-приложениях, WASC-TC-v2 претерпел множество изменений и нововведений. Нельзя сказать, что все они являются необходимыми и, с моей точки зрения, не все они являются правильными. Так, например, в текущей версии WASC-TC-v2 отсутствуют весьма полезные категории разделения уязвимостей - "Классы атак" (Authentication/Authorization/Client-side Attacks/Command Execution/etc). С другой стороны введены новые понятия - "Атака" (Attacks) и "Слабость защитных механизмов" (Weaknesses). Появилось три новых классификатора уязвимостей: Design, Implementation и Deployment.

Design – уязвимости на уровне архитектуры Web-приложения. Например, отсутствие механизмов противодействия атаке типа "Перебор пароля" или отсутствие защиты от CSRF – это уязвимости архитектуры приложения.

Implementation – уязвимости уровня реализации самого Web-приложения. В данную категорию попадает наибольшее число уязвимостей (внедрение операторов SQL, межсайтовое выполнение сценариев и пр.).

Deployment – уязвимости развертывания. Например, индексация директорий и предсказуемое расположение ресурсов относятся к уязвимостям развертывания Web-приложения.

Сюрпризы 2010 года: продолжение

Как и предполагал ваш покорный слуга, разменять десяток лет программному обеспечению совсем без косяков вряд ли удастся. Помимо самого раннего инцидента, произошедшего со SpamAssassin, проблема 2010 года отразилась также на клиентах европейских банков: "Многие владельцы пластиковых карт не смогли обналичить деньги в банкоматах и рассчитаться пластиковыми картами через терминалы. Проблема была вызвана ошибкой в программном обеспечении чипов, которыми были оснащены банкоматы", сообщает securitylab.

Проблема не обошла стороной и крупного игрока на рынке ИБ, компанию Symantec, которой пришлось выпустить обновление "задним числом" для своего решения Symantec Endpoint Protection Manager (SEPM).

Но все это мелочи. По-настоящему страшно будет 19 января 2038 :) возможно...

Блог сменил шкурку

Давно хотел сменить дефолтовый дизайн блога, но все как-то времени на это действо не оставалось. Новогодние праздники пришлись как раз кстати;) Из огромного разнообразия шкурок для blogspot приглянулась только текущая мордочка от Wordpress (by NeoEase).

Попутно разобрался со списком своей rss-подписки и перетащил все хозяйство в Google Reader. А также провел небольшую оптимизацию, чтобы сильно не мучить браузер при обработке контента:)

Какие сюрпризы приготовил нам 2010 год?

Первым "подарок" к новому году преподнес SpamAssassin, который с боем курантов старательно стал помечать большую часть пробегающих писем, как спам :) Активное по умолчанию правило FH_DATE_PAST_20XX приводит к повышению на 3.4 пункта негативного веса писем (Date =~ /20[1-9][0-9]/), сообщает opennet.ru [1].