https://bugtraq.ru/review/archive/2009/21-02-09.html

Успешная атака на SSL; Пара недель с уязвимым Акробатом; Итальянская полиция оказалась бессильной перед Skype; Ложный факт в Википедии подтвердил себя сам; SQL injection на сайте Лаборатории Касперского.

#270, 21.02.2009

Успешная атака на SSL
dl // 20.02.09 22:33
Исследователь, называющий себя Moxie Marlinspike, продемонстрировал на очередной BlackHat-конференции утилиту SSLstrip, которая реализует технику перехвата SSL-соединений, основанную на том факте, что, как правило, перед началом взаимодействия по https и установкой SSL-соединения пользователи заходят на некоторую обычную веб-страницу с помощью незащищенного http-соединения, где и нажимают заветную кнопку Login.

Прелесть этой атаки в том, что собственно SSL-соединение никто и не атакует. SSLstrip работает как обычный прокси, отслеживающий http-трафик. Хотя пользователь искренне считает, что взаимодействует с сайтом по https, на самом деле он общается с SSLstrip по простому http, ну а та в свою очередь честно идет на сайт по https от имени пользователя. Путем подмены favicon даже получается имитировать значок защищенного соединения, ну а http там в строке адреса или https - на такую мелочь не каждый обратит внимание.

По словам автора атаки, с помощью SSLstrip за сутки ему удалось собрать 117 паролей к почтовым аккаунтам, семь логинов PayPal и 16 номеров кредитных карт.
Источник: InfoWorld

Пара недель с уязвимым Акробатом
dl // 20.02.09 18:25
Adobe сообщила о критической уязвимости в Adobe Reader и Acrobat (как девятой, так и более ранних версий), которая может приводить к аварийному завершению приложения и исполнению произвольного кода на атакуемой системе. Имеются свидетельства успешного использования данной уязвимости. Дополнительную радость этой новости придает тот факт, что Adobe планирует выпустить исправление для девятки аж 11 марта, а для других версий еще чуть позже. До тех же пор пользователям предлагается положиться на свои антивирусы и не открывать документы из непроверенных источников.
Источник: Adobe

Итальянская полиция оказалась бессильной перед Skype
dl // 15.02.09 14:42
Миланские полицейские озабочены тем, что представители организованной преступности стали все активнее пользоваться Скайпом для переговоров. Система шифрования, которой компания ни с кем не делится, не дает использовать привычные для полицейских методы перехвата. Тревогу подняли таможенники и налоговики, услышав, как подозреваемый в перевозке наркотиков предложил сообщнику переключиться на Скайп для уточнения деталей по поставке двухкилограммовой партии кокаина.

Любопытно, что несмотря на то, что полиция стала все активнее использовать средства технического перехвата и все более зависеть от них в последнее время, правительство Италии наоборот собирается ограничить возможности по прослушиванию переговоров, разрешив использование прослушки только для наиболее серьезных преступлений и запретив огласку результатов до вынесения вердикта суда (что с учетом медлительности итальянского правосудия может означать задержку на полтора десятка лет).

Итальянские журналисты крайне негативно относятся к готовящемуся законопроекту, в то время как многие политики (включая самого премьер-министра Берлускони, частные телефонные разговоры которого регулярно утекали в печать), явно вздохнут с облегчением.
Источник: BBC

Ложный факт в Википедии подтвердил себя сам
dl // 11.02.09 17:34
Новый министр экономики Германии благодаря происхождению из аристократической семьи с длинной историей обладает не менее длинным именем: Karl Theodor Maria Nikolaus Johann Jacob Philipp Franz Joseph Sylvester Freiherr von und zu Guttenberg. Когда только пошли слухи о его возможном назначении, кто-то подправил посвященную ему страницу в Википедии, добавив Wilhelm между Philipp и Franz (Вильгельмом больше, Вильгельмом меньше, делов-то). Когда же назначение случилось, и немецкая, и международная пресса, включая весьма известные газеты и телеканалы, просто взяли имя из Википедии. Тем временем в википедийной статье случился откат, мотивированный необходимостью подтверждения информации. Каковое и предоставили, сославшись на авторитетный источник в виде статьи на spiegel.de, автор которой взял "полное" имя министра - правильно - из Википедии. Круг замкнулся.
Источник: Slashdot

SQL injection на сайте Лаборатории Касперского
dl // 09.02.09 06:22
HackersBlog опубликовал в субботу информацию о наличии SQL injection на сайте Лаборатории Касперского, позволяющей получить доступ к списку пользователей, кодам активации и прочей критичной информации путем простой модификации адреса запрашиваемой веб-страницы. В качестве подтверждения опубликован список имен таблиц (более 150 штук), доступ к которым был получен таким образом, и несколько скриншотов, на которых можно увидеть имя пользователя, хэш пароля и т.п.

Пока не вполне понятно, действительно ли был получен доступ ко всей критичной информации, или дело ограничилось только списком таблиц, официальной реакции еще не было. Открытым остается и вопрос, не повлияет ли все это на конечных пользователей, называется как минимум два гипотетических сценария усугубления проблемы: целенаправленные атаки на "засвеченных" пользователей, а также модификация страниц обновления с линковкой затрояненных версий продуктов. Ситуация не самая приятная, впрочем, согласно архивам Zone-h, с 2000 года уже было 36 взломов различных сайтов ЛК - например, в июле опять-таки через SQL injection на малайзийском сайте ЛК были размещены протурецкие лозунги. Так что ребятам не привыкать.
Источник: The Register