Самые опасные ошибки веб-разработчиков
Международная организация Open Web Application Security Project (OWASP), занимающаяся анализом наиболее опасных ошибок в веб-приложениях, обновила список десяти самых популярных из них [1]. Первые два места не изменились. Безусловным лидером осталась возможность инъекции постороннего кода через пользовательские данные (PHP, SQL и др.). Второе место сохранила за собой слабая процедура аутентификации, ошибки в которой и позволяют хакерам захватывать веб-ресурсы. Бывшие на третьем месте XSS-атаки переместились на седьмое место, а на третье место теперь вышли ошибки публикации важной информации, которые раньше располагались на шестом. Четвертым пунктом в нынешнем рейтинге обозначен новый тип уязвимости − внешние XML-объекты (XXE), которые могут изменить поведение приложения. На пятое место попал класс уязвимостей, который связан с нарушением контроля доступа и объединил две существовавшие ранее уязвимости: небезопасную ссылку на объекты (четвертое место в прошлом рейтинге) и отсутствие функций контроля доступа (седьмое место). В новом рейтинге появилось еще два новых класса уязвимостей: небезопасная десерелизация (восьмое место − речь в основном идет о Java) и недостаточная регистрация и мониторинг (последнее, десятое место).
Купить год за 100 тыс. долл.
В ноябре 2017 г. вышла наружу пренеприятнейшая история [2] с лидером цифровой экономики − компанией Uber. В октябре 2016 г. хакеры украли у нее информацию о 57 млн водителей и клиентов компании по всему миру. При этом CISO Uber Джо Салливан откупился от хакеров, заплатив им 100 тыс. долл. якобы за обнаруженную уязвимость в рамках свободного поиска ошибок, хотя и потребовал, чтобы «исследователи безопасности» все-таки удалили скачанные данные. Однако через год они обнаружились на черном рынке, и вся история стала достоянием общественности. Теперь компанию в разных странах ожидают серьезные проблемы с нарушением законодательства о персональных данных, которое требует оповещения пользователей, утечка чьих данных была допущена, что Uber явно не сделал. В результате компания может лишиться лицензий, не говоря уже о штрафах и оплате услуг мониторинга мошенничества по картам, данные которых были разглашены.
Еще одна уязвимость в технологиях Intel
Компания Intel обнаружила [3] еще одну, вторую за год, уязвимость в фирменном программном обеспечении, которое устанавливается вместе с процессорами компании. На этот раз уязвимость оказалась в инструментах Management Engine (ME), Server Platform Services (SPS) и Trusted Execution Engine (TXE), которые предназначены для централизованного управления корпоративными компьютерами и серверами, но могут быть перехвачены злоумышленниками. Уязвимость была обнаружена российскими исследователями из компании Positive Technologies. Intel выпустила исправления уязвимости и разослала его производителям оборудования − они должны решить проблему обновления работающих у клиентов устройств. Компания также выпустила утилиту для проверки наличия уязвимостей в конкретном оборудовании. В мае этого года уже была обнаружена уязвимость в другой технологии Intel − Active Management Technology (AMT), о чем мы тоже писали.
Четыре девятки DNS
Международный альянс Global Cyber Alliance (GCA), среди учредителей которого полиция Лондона и прокуратура Нью Йорка, объявил [4] о создании DNS-сервиса по адресу 9.9.9.9 (IPv6-адрес 2620:fe::fe). Этот сервис не только обеспечивает преобразование доменных имён в IP-адреса, но и фильтрует те из них, которые помечены в репутационной базе IBM X-Force как опасные. Репутационная информация для сервиса собирается и из таких компаний, как Abuse.ch, the Anti-Phishing Working Group, Bambenek Consulting, F-Secure, mnemonic, 360Netlab, Hybrid Analysis GmbH, Proofpoint, RiskIQ и ThreatSTOP − всего 18 партнеров. Предполагается, что данный сервис будет использоваться IoT-устройствами − IP-камерами, телевизорами и другими интеллектуальными приборами, которые не имеют возможности обеспечить безопасность на борту с помощью антивируса. Чистый DNS сервис упростит очистку трафика таких устройств, хотя полностью решить проблему их защиты не сможет.
Касперский не шпионит за шпионами
«Лаборатория Касперского» опубликовала информацию об инциденте [5], который произошел с одним из инженеров NSA. Ранее компанию обвиняли в том, что ее антивирус скачал секретную информацию NSA в антивирусную базу. Однако в «Лаборатории Касперского» заявили, что инцидент был немного другой − инженер NSA скачал архив секретной информации, где были, в частности, уже обнаруживаемые антивирусом вредоносы от компании Equation Group, на свой домашний компьютер. Антивирус, естественно, сработал и отправил подозрительный файл на анализ в лабораторию. Получив его и поняв, что это секретная информация, сотрудники «Лаборатории Касперского» тут же уничтожили полученные данные. По словам представителей «Лаборатории Касперского», на том же компьютере инженера NSA была обнаружена пиратская версия Microsoft Office, в кейгене которой был установлен шпион другой хакерской группировки, т. е. секретный файл, скорее всего, ушел не только в «Лабораторию Касперского», но и к авторам кейгена для взлома Microsoft Office, а вот они вряд ли свою копию удалят.
[1] https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
[2] http://www.theregister.co.uk/2017/11/30/uber_hack_eu_data_protection_bods_launch_taskforce/
[4] http://www.theregister.co.uk/2017/11/20/quad9_secure_private_dns_resolver/