Заметки о сетевой безопастности

По оценкам независимых экспертов, ежегодно тайпсквоттеры зарабатывают на компании Google в сумме около 500 млн долларов. Эксперты отмечают, что тайп-домены регистрируются как частными пользователями, так и компаниями.

Тайпсквоттинг представляет собой регистрацию доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей.

При близости к очень популярным доменам тайпсквоттер может собрать на своём сайте достаточно большой процент «промахнувшихся» посетителей и заработать за счёт показа рекламы. Или, если пользователь собрался ввести логин и пароль на оригинальном сайте, а ввел их на подложном, то тайпсквоттер-злоумышленник может получить эти данные для дальнейшего несанкционированного доступа к чужой информации. В большинстве развитых стран тайпсквоттинг торговых марок, как и их киберсквоттинг, является незаконной деятельностью и защищается различными постановлениями и законами о продажах.

По сообщению компании McAfee, в 2009 году феномен тайпсквоттинга был особенно распространён на сайтах Камеруна, так как домен этой страны (СМ) отличается лишь одной буквой от популярного международного домена СОМ. Каждый третий сайт, зарегистрированный в домене СМ, создан тайпсквоттерами, то есть является фальшивой копией какого-либо сайта в домене СОМ и существует лишь для того, чтобы обманным путём выманить секретную информацию о пользователе или показать ему рекламу. Наименее подверженными тайпсквоттингу доменами являются GOV, JP (Япония) и EDU.

В случае с Google тайп-домены окружают компанию со всех стороны. Гарвардские специалисты попытались подсчитать, сколько именно владельцы тайп-доменов могут получить от эксплуатации google-подобных доменов. Пользуясь статистическим данным системы Alexa.com исследователи на базе 3264 наиболее популярных в сети доменов установили, что в среднем каждый настоящий популярный домен окружен примерно 280 тайп-доменами.

Далее программное обеспечение для индексирования проверило 285 000 сайтов из полученных 900 000 тайп-доменов, и авторы исследования попытались подсчитать сколько мошенники смогут заработать на рекламе.

По данным расчетов, только на первой 100 000 тайп-доменов пользователи совершали около 68 млн заходов в день. 60% из этих визитов представляли собой заходы пользователей, которые пытались попасть на сайты Google. Если тайпсквоттер устанавливает рекламу, реагирующую на хиты, то в год на такой рекламе мошенники могут заработать около 487 млн долларов.

В компании Google согласились с представленными расчетами, дополнив, что компания всегда боролась с мошенниками. Напомним, что в 2009 году выручка Google составила 29 млрд долларов, причем 97% от этой суммы компания получила также за счет рекламы.
via http://securitylab.ru

Программа: Invision Power Board 2.3.6, возможно более ранние версии

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за того, что приложение некорректно устанавливает MIME тип для загруженного файла. Удаленный пользователь может загрузить вредоносный .txt файл и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре «starter» в сценарии forum/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Для успешной эксплуатации уязвимости требуются привилегии администратора приложения.

URL производителя: www.invisionboard.com

Решение: Установите версию 3.0.5 или выше с сайта производителя.

16 декабря, 2009

Программа: Mozilla Firefox версии до 3.5.6

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести спуфинг атаку, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за двух ошибок в механизме browser. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.

2. Уязвимость существует из-за ошибки в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и потенциально скомпрометировать целевую систему.

3. Уязвимость существует из-за множественных ошибок в библиотеке liboggplay. Удаленный пользователь может выполнить произвольный код на целевой системе.

4. Целочисленное переполнение обнаружено в видео библиотеке libtheora. Удаленный пользователь может с помощью специально сформированного видео файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за ошибки в реализации NTLM протокола, которая позволяет передать NTLM данные произвольному приложению.

6. Уязвимость существует из-за ошибки при обработке HTTP перенаправлений (document.location) на https:// ссылки, которая может привести к некорректному отображению индикатора SSL подключения.

7. Уязвимость существует из-за ошибки при обработке document.location для ссылок, которые не могут быть корректно отображены. Удаленный пользователь может с помощью подмененного URL внедрить произвольные данные в пустую страницу и произвести спуфинг атаку.

8. Уязвимость существует из-за ошибки при открытии окна с данными из окна chrome. Удаленный пользователь может посредством свойства window.opener выполнить произвольный JavaScript код с привилегиями chrome. Эта уязвимость может эксплуатироваться посредством некоторых дополнений, открывающих недоверенные страницы.

9. Уязвимость существует из-за ошибки при генерации сообщений об исключениях в GeckoActiveXObject(). Удаленный пользователь может определить наличие COM объектов и потенциально проследить за сессиями браузера пользователя.

URL производителя: www.mozilla.org

Решение: Установите последнюю версию 3.5.6 с сайта производителя.

18 числа на главной странице сайта злоумышленники разместили изображение, которое представляло собой фотографию развевающегося флага, на котором была оставлена надпись на арабском языке.

«Сайт был взломан иранской киберармией, — говорилось в сообщении хакеров. — Соединенные Штаты уверены, что интернет у них под контролем, но это не так. Интернет находится в нашей власти, поэтому даже не пытайтесь давить на иранский народ».

Кроме главной страницы ресурса не работали и другие другие поддомены Twitter.com, на которых находились сервисы, позволяющие пользователям узнавать о нагрузке и работоспособности сайта.

Нормальная работа сайта была восстановлена в течение часа. Пока представители Twitter никак не комментировали произошедшее.

Специалисты из Websense предупреждают о массовом заражении вебсайтов новым вредоносным кодом. К прошлой пятнице количество таких сайтов достигло 30 000.

При открытии зараженного сайта JavaScript-код незаметно перенаправляет пользователя на сервер, который анализирует программное обеспечение его компьютера. В зависимости от результатов анализа производится попытка использовать одну или несколько из десятка различных уязвимостей и установить фальшивый антивирус.

Если же на компьютер пользователя установлены «заплатки», закрывающие эти уязвимости, то используется другой план заражения. Всплывающее окно пугает пользователя сообщением о том, что его компьютер заражен, и предлагает установить «антивирус» самостоятельно.

Предполагается, что на сайты этот вредоносный код проникает за счёт использования какой-то известной уязвимости с помощью SQL-инъекцией. При этом встраиваемый скрипт маскируется под код Google Analytics, что затрудняет его обнаружение. Сам лже-антивирус является полиморфом, что также мешает его определению (по данным Virustotal от 29 апреля, этот вредонос вычисляли только 4 из 39 антивирусных программ).

Также отмечается, что JavaScript активно использует цифровые коды вместо символов. Подобной техникой воспользовались и авторы недавних JavaScript-троянов Gumblar/Martuz, которые, по прикидкам Websense, захватили в короткий срок около 60 000 сайтов.

Однако, специалисты считают, что несмотря на некоторую схожесть, новый вредонос не имеет отношения к Gumblar. Напротив, не исключена возможность, что он каким-то образом связан с русским хостингом RBN. На такую гипотезу сотрудников Websense натолкнуло использование той же тактики, которой придерживались в RBN: JavaScript, если его раскодировать, указывает на веб-адреса, очень похожие на легитимные домены Google Analytics.