Postřehy z bezpečnosti: admini PHP webů, bděte!

Lukáš Malý 16. 9. 2013

Útočníci se dlouhodobě zaměřují na zranitelnosti v PHP, nejen Apple přichází na trh s autentizací otiskem prstu, forenzní analýza paměti odhaluje malware. Linus odmítl odstranit Rdrand. Oracle vydal novou verzi JDK 7, opravuje mnoho chyb a přináší novinky. Fail2ban odhaluje útoky na emailové schránky.

Zranitelnost PHP Superglobální proměnné představuje hrozbu pro mnoho webových prezentací na internetu, včetně velkých jako je např. Facebook nebo Wikipedie. Společnost Imperva vydala „Hacker Intelligence Initiative Report“ se zvláštním zaměřením na dvě zranitelnosti, které mohou být použity ke spuštění kódu na serveru s podporou PHP a k selhání ochrany proměnných PHP před jejich modifikací z externích zdrojů. PHP má několik předdefinovaných globálních proměnných, kterým se říká Superglobální proměnné. Jsou to například $_POST, $_GET, $_FILES, $_COOKIES, $_SESSIONS apod. Superglobální proměnné byly poprvé představeny ve verzi PHP 4.1.0.
Report např. zmiňuje zneužití web aplikace phpMyAdmin (PMA) – Arbitrary Code Execution v kombinaci slabin CVE-2010–3065CVE-2011–2505. V případě, že aktivně používáte web aplikace phpMyAdmin, phpPgAdmin nebo phpLDAPadmin, je vhodné omezit jejich přístup jen z vybraných IP adres, pokud to je tedy možné (web hosteři toto omezení nemohou použít). Velmi doporučené je provozovat aktuální a opravené verze PHP.

Společnost Apple 18. září přichází s novým modelem chytrého telefonu iPhone 5s (produktové video), který po dlouhé době přináší funkcionalitu Touch ID. Tlačítko „Home“ okolo kterého je nový kroužek, který snímá s vysokým rozlišením obraz otisku prstu a dílčí epidermální vrstvy kůže. Obraz pak inteligentně analyzuje nový 64-bitový procesor A7. Tuto informaci má provádět s pozoruhodnou mírou přesnosti a detailů. Stejně jako odemknutí telefonu, bude snímač schopen schválit nákup v obchodě Apple. Jak těžké bude prolomit tento systém rozpoznávání otisků prstů? Crypto guru Bruce Schneier poukázal, že je tu velké nebezpečí v používání otisků prstů pro přístup k online službám. Na rozdíl od hesel je užití daktyloskopických údajů, převzatých z databáze hackerů mnohem složitější. Není uplně jednoduché ukradený otisk vyrobit a posléze podvrhnout při ověření.

Forenzní analýza paměti je schopnost nalézt artefakty v paměti, která je přítomna v běžícím počítači. Je to zajímavá metoda, jak nalézt běžící procesy, otevřená síťová připojení, přístupy do registrů, moduly jádra atd. Volatility je jeden z Open Source nástrojů psaný v Pythonu pro analýzu infikované paměti.

Linus Torvalds odmítl odstranit Rdrand z kódu pro generování náhodných čísel v linuxovém jádře. Jeden z algoritmů Dual_EC_DRBG použítý v NIST Special Publication 800–90 by mohl obsahovat zadní vrátka.

Oracle vydal ve středu Java Standard Edition verze 7 aktualizace 40. Java 7u40 obsahuje dlouhý seznam oprav a řadu nových funkcí. Nejzajímavější je oprava zabezpečení chyby použití Plug-inu při zpracování zastaralých certifikátů.
Nová verze přichází s lokální bezpečnostní politikou, která může definovat aplikacím přistupy k jednotlivým verzím Java runtime.

Hádání hesel mailboxů

Snad každý administrátor poštovního serveru, jakéhokoliv dodavatele se musel setkat s pokusy o uhádnutí hesel k emailovým schránkám. Tyto útoky jsou často robotického původu a pravděpodobně je provádí nějaký botnet či automat procházející databázi poštovních serverů. Jaká je úspěšnost uhádnutí hesla se moc zjistit nedá. V článku Fail2ban: konec hádání hesel na serveru, bylo nedávno podrobně popsáno, jak použít aplikaci Fail2ban, která má velmi široké použití. Nutno dodat, že lze nasadit Fail2ban i pro jine typy firewalů. Např. na FreeBSD s firewalem Packet Filter. Někdo může namítat, že tato metoda nic moc neřeší. Důležité je že útok detekujeme a alespoň zabráníme přetěžování serveru, který velmi intenzívně ověřuje špatného uživatele nebo heslo.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

DigiZone.cz: ČRa hodnotí pilotní 4K vysílání

ČRa hodnotí pilotní 4K vysílání

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Podnikatel.cz: Chce s trdelníky ovládnout Asii. Poznejte ho

Chce s trdelníky ovládnout Asii. Poznejte ho

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu