Хакінг

В своїй презентації Insecurities 2.0, Martin Johns розповідає про сучасні уразливості веб додатків. Зокрема він порівнює уразливості для Веб 1.0 та Веб 2.0, відзначаючи їх особливості. Та детально розповідає про уразливості характерні для Веб 2.0.

Microsoft раніше заявляла, вихід першого сервіс-паку для ОС Windows Vista помітно ускладнить життя піратам. Компанія планувала покласти край двом найпоширенішим методам зламування активації.

Microsoft вже оголосила рішення суду великою перемогою у битві з піратством, передає Ars Technica.

Тепер безпекою інформації опікуватиметься окрема структура НАТО прийняло рішення створити спеціальну структуру для захисту країн-членів альянсу від кібератак, повідомив представник НАТО генерал-майор Джордж Д'Oлландер.

Адам Бойлі розповів усьому світу, як легко зламати Windows XP Фахівець з комп'ютерної безпеки Адам Бойлі з новозеландської компанії Immunity навчився обходити пароль Windows XP за декілька секунд.

Просто таки шпигунський спосіб обходу шифрування жорстких дисків виявили дослідники з Прінстонського Університету. Вони використовували властивість модулів пам'яті зберігати інформацію впродовж короткого проміжку часу навіть після припинення подачі живлення.

Вслід за недавньою перервою в роботі сервісів Amazon подібна доля спіткала і відеохостинг Youtube - але цього разу не по своїй провині: Згідно з повідомленням (http://system.opendns.com/2008/02/24/58/) на сайті OPENDNS, «Пакистанська телекомунікаційна компанія вирішила (ймовірно випадково) захопити адресний простір IP адрес Youtube» - через це, за словами представника відеохостингу, протягом двох годин був недоступний як сам сайт, так і багаточисельні відеоролики на сторонніх ресурсах.

В останнім часом Київі зареєстровани спроби зчитати даних з магнитних дорожек кредитних карт. В світі переважно використовуються карти з вбудованим чіпом. В бідніших країніх все ще стоїть старе обладнання яке працює з старими картами.

Британці в 2007 році витратять в інтернеті 40,2 мільярда фунтів стерлінгів. Таким чином, в середньому на одного британця доводиться по 300 спамерських листів на день, або 98 відсотків загального поштового трафіку, пише The Daily Telegraph з посиланням на дослідження, проведене компанією IronPort.

Гугл хакінг (Google hacking) - це пошук уразливостей на сайтах за домогою Гугла (дану техніку можна використовувати і з іншими пошуковими системами). Про Гугл хакінг я вже розповідав раніше в проекті MOSEB, в статті Полювання на Капчі та в серії статей про “Warning” Google хакінг (про пошук Full path disclosure та Information disclosure уразливостей).

Декілька останніх днів відбувається DDOS атака на відомий український сайт "maidan.org.ua/Пульс громадянського спротиву".

Фахівці з безпеки повідомляють, що невелика інтернет-компанія, розташована в Петербурзі, стала оплотом дитячої порнографії, спаму та притулком для людей, що займаються крадіжкою інформації. При цьому російська влада не поспішає допомагати тим, хто хоче припинити діяльність компанії.

Як повідомляється в ЖЖ-спілці "євроазійців", офіційний ресурс українського президента атакований у відповідь на аналогічну атаку сайту ЕСМ, який не працює протягом доби. За словами лідера ЕСМ Валерія Коровіна, диверсія проти сайту союзу, здійснювана з території України, не носить випадковий характер і є масовою і централізованою.

Лабораторія Касперського повідомила про те, що виявлено першу спамову розсилку, що використовує для донесення основного рекламного повідомлення аудіофайли у форматі mp3.

Хакеру загрожує покарання у вигляді штрафу від п'ятисот до тисячі неоподаткованих мінімумів доходів громадян, або виправні роботи терміном до двох років, чи позбавлення волі на той же термін У Севастополі суд вперше прийняв до розгляду кримінальну справу за фактом створення шкідливої комп'ютерної програми.

Apache Software Foundation випустила нові версії HTTP-сервера Apache - 2.0.61 і 2.2.6, у яких усунуті п'ять уразливостей і виправлений ряд помилок. Зокрема, закриті уразливості до відмови в обслуговуванні в модулях mod_proxy, mod_cache і mod_mem_cache, що дозволяли аварійно завершити сервер за допомогою спеціально сформованих шкідливих запитів. У той же час усунута уразливість до міжсайтового скриптінгу в mod_status

Група дослідників з Stanford's Security Lab зустрілася з представниками Microsoft, Mozilla, Sun Microsystems і Adobe, щоб обговорити способи протидії атаці на браузери, корені якої ідуть більш як на десять років тому. В основі безпеки таких ключових елементів сучасних браузерів як Flash чи Java лежить поняття політики єдності походження (Same Origin Policy, SOP).

Продовжуючи розпочату традицію, після попереднього відео про CRLF Injection, пропоную нове відео на тему безпеки. Цього разу відео про пошук уразливостей в веб додатках (зокрема в PHP додатках). Пошук проводиться за допомогою секюріті сканера. Find security bugs in your PHP applications in an instant В даному відео ролику розповідається про сканер Chorizo!, за допомогою якого проводиться пошук.

Сьогодні на milw0rm.com був опублікований набір для взлому сайтів на WordPress движку - Wordpress Multiple Versions Pwnpress Exploitation Tookit. Даний скрипт являє собою набір експлоітів для різних версій Вордпреса. І призначений для зручної атаки на різноманітні сайти на різних версіях WP, надаючи інтерфейс для роботи з великою кількістю експлоітів для даної платформи.

Зараз існує ціла серія програмних сканерів безпеки які цілком якісно можуть провести діагностику захисту сервера. В більшості серверів сканер видає повідомлення про наявність(функціонування) методу trace. Чомусь прийнято вважати, що це діра в захисті і її можна використати для взламування. Це правда, але часково. Метод TRACE призначений для діагностики мережі. Принцип роботи приблизно наступний – клієнт відсилає серверу певну інформацію, а сервер у свою чергу відпраляє отриману інформацію назад. Якщо в результаті була отримана видозмінена інформація – що десь не спрацювало. Проте цей метод був використаний для здійснення XSS атак: в TRACE запиті на сервер передаються кукіси, якщо вони є. Тому можна запит перехватити і витягнути звідти все що потрібно.