Уязвимость на сайте кандидата в сенаторы привела к компрометации спонсоров
Владелица располагающейся в Миннесоте консалтинговой фирмы Aden Networks Адрия Ричардс защищает свое решение о публикации подробностей уязвимости, обнаруженной на сайте бывшего сенатора от штата Миннесота Норма Коулмана. Опубликованная в январе информация впоследствии привела к компрометации базы данных, содержащей сведения о спонсорах избирательной компании Коулмана.
Указанная база данных в прошлый вторник была выложена на сайте Wikileaks. В результате, любой желающий мог почерпнуть информацию об именах, номерах телефонов, домашних адресах и адресах электронной почты тех людей, которые поддерживали Коулмана. Кроме того, частично скомпрометированными (за исключением последних четырех цифр) оказались и номера кредитных карт свыше 4700 сторонников республиканца.
Компрометация базы стала возможной из-за наличия ошибки в конфигурации сайта, благодаря которой любой, кто вводил в адресную строку своего браузера IP-адрес ресурса, мог получить доступ ко всем его файлам, которые лежали в незашифрованном виде.
Добавим, что Норм Коулман с минимальным отрывом проиграл последние выборы в Сенат своему оппоненту от Демократической партии Элу Франкену, победа которого, однако, пока не признана, поскольку счетная комиссия занята повторным, более тщательным подсчетом голосов.
Госпожа Ричардс, мотивирует свои действия тем, что никто в лагере Коулмана все равно не обратил бы на ее предупреждения никакого внимания. По ее словам, в прошлом она уже сталкивалась с равнодушным отношением к своей информации, когда она предупреждала заинтересованные стороны об аналогичных проблемах.
В результате утечки информации избирательный штаб Коулмана вынужден был уведомить спонсоров о потенциальной компрометации данных. Члены штаба назвали публикацию базы "федеральным преступлением" и пообещали предпринять для установления виновных в случившемся все предусмотренные законодательством меры.
Скачать в
Проделки пьяного админа обошлись австралийским налогоплательщикам в 1,2 миллиона долларов
IT-консультант, устроивший правительственной компьютерной системе Северной Территории Австралии коллапс, выход из которого обошелся налогоплательщикам в 1,2 миллиона австралийских долларов, в момент совершения преступления был пьян и расстроен тем обстоятельством, что его невеста объявила о разрыве помолвки.
В мае 2008 года, через месяц после того как Дэвид Энтони Макинтош оставил занимаемую им должность, он получил доступ к правительственным серверам и удалил с них 10 475 аккаунтов пользователей, принадлежавших сотрудникам Министерства здравоохранения, а также служащим больниц, Верховного суда и тюрем. Он заявил суду Северной Территории, что пытался тем самым продемонстрировать наличие уязвимостей в правительственной IT-системе.
Согласно данным стороны обвинения, для того чтобы восстановить систему, потребовалось 130 экспертов, пять дней и 1,25 миллиона долларов. В январе этого года Макинтош признал свою вину в совершении данного правонарушения. Он находится в тюрьме со времени своего ареста, который был проведен практически сразу после инцидента. В письменном обращении к суду Макинтош написал: "Я испытываю отвращение к себе и к тому, что сделал. Я ни на секунду не задумался о том, что все это может кончиться тюрьмой". Помимо этого он сообщил, что получил доступ к серверам при помощи ноутбука и пароля своей бывшей коллеги по работе, с которой в то время вместе жил.
Макинтош планирует пройти переобучение после того, как отбудет срок своего наказания. Ранее ему уже был предоставлен "доступ высокого уровня" для обслуживания всей правительственной IT-системы и если он вновь вернется к работе в сфере информационных технологий, это никого не удивит, поскольку он уже не будет являться первым осужденным киберпреступником, которому доверяют ответственное компьютерное администрирование.
Скачать в
Уязвимости в бизнес-процессах представляют собой угрозу безопасности
Создание безопасного сайта – это нечто большее, чем простое обеспечение защиты от межсайтового скриптинга и SQL-инъекций, поскольку серьезные риски для безопасности кроются и в организации самих бизнес-процессов. Такое мнение на прошлой неделе озвучил в ходе конференции Source Boston Security Showcase технический директор WhiteHat Security Джеремия Гроссман.
По его словам, эксплуатация недостатков в организации инфраструктуры бизнеса и бизнес-процессов может быть весьма прибыльной для хакеров, не требовать при этом серьезных технических навыков и зачастую быть даже вполне законной.
В доказательство своих слов господин Гроссман привел несколько реальных примеров.
В 2007 году обвинение в мошенничестве было предъявлено женщине, которая заработала 412 000 долларов, используя недоработку в системе заказа товаров компании QVC. Она разместила заказы на 1800 предметов через аналог "магазина на диване", а затем отказалась от их покупки через веб-сайт. Однако товар ей был уже выслан, и вместо того, чтобы вернуть его, она предпочла продать вещи через eBay. В QVC узнали об этом после того, как пользователи аукциона сообщили в компанию, что получили купленные ими вещи в ее фирменной упаковке. В конечном счете, злоумышленницу признали виновной в компьютерном мошенничестве.
В качестве примера несанкционированного доступа к аккаунту через слишком простую систему сброса паролей Гроссман рассказал о бывшем американском операторе мобильной связи Sprint. Для того чтобы сбросить пароль, хакеру нужно было знать лишь место проживания жертвы, номер ее мобильного телефона или марку машины. Получив доступ к профилю, злоумышленник мог заказывать от чужого имени новые телефоны, или включать новые услуги на телефонах пострадавших людей.
Представляют собой угрозу и электронные купоны. Если их номера близки друг к другу и возрастают последовательно, хакер может воспользоваться этим для скупки дорогих вещей по очень низкой цене. Именно это и произошло, когда один из американских розничных продавцов обнаружил, что некоторые из его дорогостоящих товаров были проданы за несколько долларов из-за того, что хакер написал скрипт, вскрывающий номера купонов, которые отличались лишь на несколько цифр.
Другой проблемой является предоставление доступа ко всему сайту тем пользователям, которые имеют данные авторизации лишь для отдельных сервисов. Например, сотрудники одной из эстонских фирм были подписаны на услугу чтения пресс-релизов от Business Wire, начиная с 2004 года. Выяснилось, что некоторые ссылки на сайте указывали на те новости, которые еще не стали достоянием общественности. Используя программу поиска таких URL, сотрудники фирмы получили возможность узнавать важную бизнес- и финансовую информацию. Продавая и покупая на ее основе различные акции, они заработали 7,8 миллиона долларов, однако впоследствии также были привлечены к ответственности американскими регуляторами.
На основании описанных им инцидентов Джеремия Гроссман заключил, что веб-безопасность должна простираться за пределы обеспечения качества сервисов и надлежащего программирования онлайн-приложений, чтобы учитывать то, как эти сервисы выстроены и как они работают.
Скачать в
Изобретатель интернета стал жертвой интернет-мошенников
Сэр Тим Бернерс-Ли, считающийся создателем интернета, рассказал о том, как его провели интернет-мошенники.
Бернерс-Ли поведал, что захотел купить рождественский подарок через интернет. По его словам, компания, продававшая интересовавший его товар, выглядела очень солидной, однако, как потом выяснилось, была "мыльным пузырем". При этом "отец WWW" рассказал, что позвонил по телефону, указанному на сайте, и ему сообщили, что по данному номеру нет компании, занимающейся торговлей через интернет. Однако и это не насторожило Бернерса-Ли. Изобретатель Интернета заявил, что еще надеется получить свои деньги обратно. Впрочем, по его словам, он потерял совсем немного.
Скачать в
Новая вредоносная атака прикрывается именем Facebook
Очередная атака с применением подложных ссылок на видеоролики начала свое распространение под видом сообщений с Facebook. Согласно сведениям компании Websense, атака проводится через электронные письма, и использует старый добрый метод "отсутствующего кодека".
Начинается она после того, как пользователь получает электронное письмо от имени Facebook с заголовком типа "Девчонки напились и пляшут в баре" или "Танец очень красивой девочки". Письмо содержит ссылку, которая, как кажется на первый взгляд, ведет на сайт популярной социальной сети. Кликнувшие по ссылке пользователи перенаправляются на сторонний ресурс, который выглядит, как Facebook. Веб-страница грузит нечто похожее на видеоролик с танцующей женщиной, после чего пытается загрузить исполняемый файл под названием Adobe_Player11. Этот файл заражает машину пользователя, позволяя атакующему получить к ней удаленный доступ.
Добавим, что использование Facebook для распространения вредоносных приложений становится среди хакеров все более популярным. Последний такой случай произошел в прошлом месяце, когда пользователям социальной сети были разосланы письма от лица "системы уведомления об ошибках".
Скачать в
Журнал Nature вынужден был сменить пароли пользователей после взлома
Веб-сайт научного журнала Nature пострадал от уязвимости в системе безопасности из-за которой данные авторизации пользователей, вероятно, были скомпрометированы.
Имена пользователей и пароли хранились в зашифрованном виде, что затрудняет их восстановление, однако несмотря на это сайт Nature.com предпочел изменить пароли пострадавших пользователей в качестве меры предосторожности.
Всем затронутым инцидентом пользователям в четверг было разослано уведомление по электронной почте. Представитель Nature подтвердил его подлинность и сообщил о том, что проблема коснулась не только зарегистрированных на сайте журналистов, но и ряда подписчиков. В течение ближайшего дня каждый из пострадавших должен будет получить еще одно электронное письмо, содержащее новые данные авторизации.
Общее число скомпрометированных записей на момент публикации новости остается неизвестным. Риску разглашения подвергаются такие сведения, как логин пользователя, имена и фамилии и связанные с ними хэши паролей. Никакая финансовая информация не пострадала.
Отметим, что взлом Nature.com является серьезной проблемой лишь потому, что многие пользователи используют один и тот же пароль для разных ресурсов. Поэтому компрометация малозначащего на первый взгляд аккаунта может привести к взлому более важных профилей, например на сайтах для осуществления онлайн-расчетов.
Опубликованное на этой неделе компанией Sophos исследование подтвердило, что треть от общего числа пользователей Интернет использует один и тот же пароль для всех сайтов, а еще 48% опрошенных работают всего с несколькими паролями.
Скачать в
HD Moore выпускает утилиту нового поколения для сканирования телефонных номеров
War-dialing возвращается, и на этот раз он не ограничивается одним лишь обнаружением модемов. Широко известный эксперт HD Moore сейчас занят добавлением последних штрихов к своему новому творению – утилите для аудита телефонных линий, которая способна обнаруживать также мини-АТС, тональные сигналы готовности, голосовую почту, факсимильные аппараты, и другие виды телефонных соединений. Программа предназначена для исследовательских целей, инвентаризации и проверки безопасности телефонных линий.
И это не старый добрый отцовский war-dialer. Утилита WarVOX от HD Мура – это бесплатное, основанное на Linux приложение, не требующее наличия оборудования для телефонии и использующее для осуществления звонков сервис VoIP. Программа работает намного быстрее классических сканеров модемных соединений, позволяя просматривать более тысячи номеров в час через широкополосное соединение. За 8 часов с ее помощью можно просканировать до 10 000 телефонных номеров.
Планируется, что следующая версия утилиты будет включать в себя функцию группировки по сходным признакам и систему обнаружения определенных аудиосэмплов по подписям.
WarVOX также может записывать и архивировать аудиопоток. Если на другом конце провода кто-то возьмет трубку, WarVOX это обнаружит и начнет запись любого типа аудиосигнала. Генерировать тоновый сигнал и инициировать аудио-ответ программа пока не может, но работа над этими функции уже ведется.
Утилита может быть также полезна для сбора разного рода важной информации, например, о числе сотрудников компании, именах служащих и даже о количестве уволенных работников, причем весь анализ проводится на основании ответов на звонки. Однако не во всех странах такое сканирование будет являться законным. Мур напоминает, что каждый человек, заинтересованный в оценке инфраструктуры своей организации, должен получить на это недвусмысленное разрешение, а также отдавать себе отчет в том, насколько применима для такой оценки двусторонняя прослушка.
Скачать в
Жертвы хакеров с HackersBlog заявляют о том, что те преувеличивают свои достижения
Румынские "белые хакеры" под предводительством эксперта, известного под ником "unu", публикуют результаты своей деятельности на собственном сайте hackersblog.org. Среди их достижений – обнаружение уязвимостей к SQL-инъекциям на веб-порталах Лаборатории Касперского, BitDefender, F-Secure и Symantec. В числе опубликованных на этой неделе материалов – отчеты о взломе веб-сайта газеты The Daily Telegraph и онлайн-ресурса телекоммуникационной компании BT.
Однако Symantec и BT, в свою очередь, заявляют, что взломщики преувеличивают свои достижения. В частности, представители BT сочли нужным подчеркнуть, что хакерам удалось получить доступ лишь к тестовой базе данных, которая не содержала никакой реальной пользовательской информации, а специалисты Symantec признали лишь наличие "несовместимой обработке исключений", отказавшись при этом согласиться с тем, что обнаруженный хакерами баг может привести к незаконному доступу к базе данных.
Эксперты Symantec заявили следующее: "В результате исчерпывающего расследования мы установили, что слепая SQL-инъекция, по сути, неэффективна. Разница в ответе на валидный и инжектированный запросы существовала лишь из-за некорректной обработки исключений для языковых опций. Мы изменили упомянутую страницу с целью обеспечения лучшей обработки исключений".
В то же время, в Telegraph сообщили, что доступ к базе данных одного из партнерских сайтов этой медиа-группы действительно имел место. Это стало возможным благодаря уязвимости в коде сайта.
Пол Чессброу, старший сотрудник службы информации Telegraph Media Group, в связи со случившимся сообщил, что данный инцидент не затронул главный сайт издания (telegraph.co.uk), как о том поспешили сообщить конкуренты, однако, несмотря на это, там весьма серьезно отнеслись к возможности компрометации ресурса. Поэтому затронутый этой проблемой сайт был немедленно отключен, а двухлетней давности сторонний код, на котором он работал, был полностью переписан.
Мистер Чессброу поблагодарил коллектив HackersBlog за содействие, отметив: "Хакеров сейчас редко можно назвать друзьями, однако в этом случае для нас очень важно выразить благодарность команде сайта hackersblog.org за то, что они обратили внимание на данную проблему. Мы прислушались и работаем над устранением ее причин".
Скачать в
Директора Microsoft наняли защищать американские сети
Министерство национальной безопасности США приняло на работу одного из руководителей Microsoft. Его задачей будет обеспечение безопасности компьютерной инфраструктуры американских правительственных организаций.
Филип Рейтинджер, бывший директор департамента Microsoft по разработке архитектуры Trustworthy Computing, был назначен заместителем главы Директората национальной защиты и программ Министерства национальной безопасности США.
В основные обязанности Рейтинджера будет входить мониторинг частных и государственных компьютерных сетей, играющих ключевую роль в национальной сетевой инфраструктуре. Задача, стоящая перед ним, не обещает быть легкой, поскольку она осложняется борьбой за эту сферу влияния, которую Министерство национальной безопасности уже не первый год ведет с Агентством национальной безопасности США.
Впрочем, обширный опыт работы в правительственных структурах у Рейтинджера уже имеется, поскольку он, в числе прочего, является членом консультативного совета Федерального агентства по чрезвычайным ситуациям. До этого господин Рейтинджер был исполнительным директором подразделения по борьбе с киберпреступностью в Министерстве обороны Соединенных Штатов, а также занимал ответственную должность в Министерстве юстиции.
Скачать в
Секретная служба США провела операцию против кардеров
Секретная служба США (U.S. Secret Service) провела операцию по нейтрализации международной преступной группы, занимавшейся взломом банковских платежных систем и изготовлением поддельных кредитных карт. Группа насчитывает порядка 4 тысяч участников, которые для координации своих действий использовали интернет-сайт ShadowCrew.com. С четверга сайт находится под контролем агентов Секретной службы, которые разместили на нем предупреждения в адрес мошенников о грядущем возмездии. Вместе с тем, на сайте продолжает действовать форум, в котором имеется особый раздел на русском языке.
Секретная служба занимается охраной первых лиц США и расследованием особо важных преступлений. Операция против ShadowCrew готовилась ей около года, были привлечены спецслужбы семи стран. В ходе завершающей фазы операции были задержаны 28 человек, среди которых жители США, Великобритании, Аргентины, Болгарии, Канады, Эстонии, Польши и Швеции.
Как сообщил помощник генпрокурора США Скотт Кристи, одним из лидеров группы является россиянин Анатолий Тюканов. Вместе с тем, как пишет "ГАЗЕТА.RU", программист Тюканов в настоящее время живет в Москве и об операции против него узнал из Интернета. По информации издания, правоохранительные органы России и США с ним не связывались.
Как сообщили в Министерстве юстиции США, члены группы имели в своем распоряжении около 1,7 миллиона украденных номеров кредитных карт и в процессе своей деятельности нанесли банковским структурам во всем мире ущерб на сумму более 4 миллионов долларов.
Скачать в
Магическая программа для торговли на бирже оказалась мошенничеством
Регулятор американского финансового рынка обвинил двух жителей Калифорнии в организации многомиллионной аферы, в ходе которой они убеждали своих клиентов инвестировать деньги в созданную ими компанию, мотивируя это тем, что данная фирма обладает особой проприетарной программой для торговли на бирже, позволяющей практически без всякого риска получать до 3,5% ежемесячного дохода.
Поданный федеральной торговой комиссией (SEC) против Энтони Вассалло и Кеннета Кенитцера иск требует заморозки счетов основанной Энтони Вассалло компании EIMT.
Согласно материалам иска, за период с мая 2004 по ноябрь 2008 года Энтони Вассалло удалось обмануть около ста пятидесяти инвесторов на общую сумму порядка 40 миллионов долларов.
SEC утверждает, что указанной мошенниками программы в действительности не существовало, а на самом деле Вассалло всего лишь открыл биржевой счет в одной из брокерских фирм, после чего для прикрытия осуществил через него несколько операций. Затем он просто переводил все перечисляемые ему средства на банковский счет компании EIMT, где и использовал их "в неправомочных целях". Инвесторам же на запароленном сайте компании он показывал благополучную статистику торгов, осуществляемых при помощи разработанной им программы, в которых он никогда не терял денег. В некоторых случая он даже фабриковал скриншоты на которых был виден остаток на счете компании в несколько десятков миллионов долларов, хотя на самом деле его брокерский аккаунт был совершенно пуст.
Пол под мошенниками зашатался после того, как один из вкладчиков поговорил с официальным представителем брокера Вассалло, в результате чего выяснил, что принадлежащий последнему счет неактивен уже больше года и в данный момент технически заблокирован.
После того, как в офисе компании EIMT собрались разгневанные инвесторы, Вассалло вынужден был признать, что предыдущие заявления о состоянии биржевого счета были им "имитированы". Тем не менее, несмотря на признание, Вассалло до последнего момента пытался ввести вкладчиков в заблуждение.
С содержанием иска SEC можно ознакомится здесь.
Скачать в
С помощью подкастов хакеры могут красть имена пользователей и пароли к iTunes
Хакеры имеют возможность создавать опасные подкасты, предназначенные для кражи данных авторизации пользователей Apple iTunes.
Согласно опубликованному Apple предупреждению, "архитектурная особенность" подкастов iTunes позволяет злоумышленникам вставлять в них особые аудиофайлы, в ходе прослушивания которых перед пользователем может появиться окно авторизации. С его помощью хакеры перехватывают данные аутентификации и передают их на сервер подкастов.
В связи с этой уязвимостью компания Apple выпустила патч для iTunes, позволяющий установить источник запроса авторизации. Кроме этого, заплатка устраняет уязвимость, приводящую к отказу в обслуживании (отметим, что проблема с отказом в обслуживании для систем на базе Mac OS X неактуальна), вызванному специальным образом составленными сообщениями проприетарного протокола DAAP, используемого в iTunes для публикации мультимедийных файлов.
Скачать в