Postřehy z bezpečnosti: admini PHP webů, bděte!

Lukáš Malý 16. 9. 2013

Útočníci se dlouhodobě zaměřují na zranitelnosti v PHP, nejen Apple přichází na trh s autentizací otiskem prstu, forenzní analýza paměti odhaluje malware. Linus odmítl odstranit Rdrand. Oracle vydal novou verzi JDK 7, opravuje mnoho chyb a přináší novinky. Fail2ban odhaluje útoky na emailové schránky.

Zranitelnost PHP Superglobální proměnné představuje hrozbu pro mnoho webových prezentací na internetu, včetně velkých jako je např. Facebook nebo Wikipedie. Společnost Imperva vydala „Hacker Intelligence Initiative Report“ se zvláštním zaměřením na dvě zranitelnosti, které mohou být použity ke spuštění kódu na serveru s podporou PHP a k selhání ochrany proměnných PHP před jejich modifikací z externích zdrojů. PHP má několik předdefinovaných globálních proměnných, kterým se říká Superglobální proměnné. Jsou to například $_POST, $_GET, $_FILES, $_COOKIES, $_SESSIONS apod. Superglobální proměnné byly poprvé představeny ve verzi PHP 4.1.0.
Report např. zmiňuje zneužití web aplikace phpMyAdmin (PMA) – Arbitrary Code Execution v kombinaci slabin CVE-2010–3065CVE-2011–2505. V případě, že aktivně používáte web aplikace phpMyAdmin, phpPgAdmin nebo phpLDAPadmin, je vhodné omezit jejich přístup jen z vybraných IP adres, pokud to je tedy možné (web hosteři toto omezení nemohou použít). Velmi doporučené je provozovat aktuální a opravené verze PHP.

Společnost Apple 18. září přichází s novým modelem chytrého telefonu iPhone 5s (produktové video), který po dlouhé době přináší funkcionalitu Touch ID. Tlačítko „Home“ okolo kterého je nový kroužek, který snímá s vysokým rozlišením obraz otisku prstu a dílčí epidermální vrstvy kůže. Obraz pak inteligentně analyzuje nový 64-bitový procesor A7. Tuto informaci má provádět s pozoruhodnou mírou přesnosti a detailů. Stejně jako odemknutí telefonu, bude snímač schopen schválit nákup v obchodě Apple. Jak těžké bude prolomit tento systém rozpoznávání otisků prstů? Crypto guru Bruce Schneier poukázal, že je tu velké nebezpečí v používání otisků prstů pro přístup k online službám. Na rozdíl od hesel je užití daktyloskopických údajů, převzatých z databáze hackerů mnohem složitější. Není uplně jednoduché ukradený otisk vyrobit a posléze podvrhnout při ověření.

Forenzní analýza paměti je schopnost nalézt artefakty v paměti, která je přítomna v běžícím počítači. Je to zajímavá metoda, jak nalézt běžící procesy, otevřená síťová připojení, přístupy do registrů, moduly jádra atd. Volatility je jeden z Open Source nástrojů psaný v Pythonu pro analýzu infikované paměti.

Linus Torvalds odmítl odstranit Rdrand z kódu pro generování náhodných čísel v linuxovém jádře. Jeden z algoritmů Dual_EC_DRBG použítý v NIST Special Publication 800–90 by mohl obsahovat zadní vrátka.

Oracle vydal ve středu Java Standard Edition verze 7 aktualizace 40. Java 7u40 obsahuje dlouhý seznam oprav a řadu nových funkcí. Nejzajímavější je oprava zabezpečení chyby použití Plug-inu při zpracování zastaralých certifikátů.
Nová verze přichází s lokální bezpečnostní politikou, která může definovat aplikacím přistupy k jednotlivým verzím Java runtime.

Hádání hesel mailboxů

Snad každý administrátor poštovního serveru, jakéhokoliv dodavatele se musel setkat s pokusy o uhádnutí hesel k emailovým schránkám. Tyto útoky jsou často robotického původu a pravděpodobně je provádí nějaký botnet či automat procházející databázi poštovních serverů. Jaká je úspěšnost uhádnutí hesla se moc zjistit nedá. V článku Fail2ban: konec hádání hesel na serveru, bylo nedávno podrobně popsáno, jak použít aplikaci Fail2ban, která má velmi široké použití. Nutno dodat, že lze nasadit Fail2ban i pro jine typy firewalů. Např. na FreeBSD s firewalem Packet Filter. Někdo může namítat, že tato metoda nic moc neřeší. Důležité je že útok detekujeme a alespoň zabráníme přetěžování serveru, který velmi intenzívně ověřuje špatného uživatele nebo heslo.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Podnikatel.cz: Infolinka k EET? Poskytne až 100 úředníků

Infolinka k EET? Poskytne až 100 úředníků

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

DigiZone.cz: Fotbal na O2 TV Sport posiluje

Fotbal na O2 TV Sport posiluje

DigiZone.cz: Skylink přepracoval web

Skylink přepracoval web

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Podnikatel.cz: Salón na maloměstě? Funguje skvěle

Salón na maloměstě? Funguje skvěle

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

DigiZone.cz: Elektrická Formule E. Práva má Arena Sport

Elektrická Formule E. Práva má Arena Sport

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta