Postřehy z bezpečnosti: admini PHP webů, bděte!

Lukáš Malý 16. 9. 2013

Útočníci se dlouhodobě zaměřují na zranitelnosti v PHP, nejen Apple přichází na trh s autentizací otiskem prstu, forenzní analýza paměti odhaluje malware. Linus odmítl odstranit Rdrand. Oracle vydal novou verzi JDK 7, opravuje mnoho chyb a přináší novinky. Fail2ban odhaluje útoky na emailové schránky.

Zranitelnost PHP Superglobální proměnné představuje hrozbu pro mnoho webových prezentací na internetu, včetně velkých jako je např. Facebook nebo Wikipedie. Společnost Imperva vydala „Hacker Intelligence Initiative Report“ se zvláštním zaměřením na dvě zranitelnosti, které mohou být použity ke spuštění kódu na serveru s podporou PHP a k selhání ochrany proměnných PHP před jejich modifikací z externích zdrojů. PHP má několik předdefinovaných globálních proměnných, kterým se říká Superglobální proměnné. Jsou to například $_POST, $_GET, $_FILES, $_COOKIES, $_SESSIONS apod. Superglobální proměnné byly poprvé představeny ve verzi PHP 4.1.0.
Report např. zmiňuje zneužití web aplikace phpMyAdmin (PMA) – Arbitrary Code Execution v kombinaci slabin CVE-2010–3065CVE-2011–2505. V případě, že aktivně používáte web aplikace phpMyAdmin, phpPgAdmin nebo phpLDAPadmin, je vhodné omezit jejich přístup jen z vybraných IP adres, pokud to je tedy možné (web hosteři toto omezení nemohou použít). Velmi doporučené je provozovat aktuální a opravené verze PHP.

Společnost Apple 18. září přichází s novým modelem chytrého telefonu iPhone 5s (produktové video), který po dlouhé době přináší funkcionalitu Touch ID. Tlačítko „Home“ okolo kterého je nový kroužek, který snímá s vysokým rozlišením obraz otisku prstu a dílčí epidermální vrstvy kůže. Obraz pak inteligentně analyzuje nový 64-bitový procesor A7. Tuto informaci má provádět s pozoruhodnou mírou přesnosti a detailů. Stejně jako odemknutí telefonu, bude snímač schopen schválit nákup v obchodě Apple. Jak těžké bude prolomit tento systém rozpoznávání otisků prstů? Crypto guru Bruce Schneier poukázal, že je tu velké nebezpečí v používání otisků prstů pro přístup k online službám. Na rozdíl od hesel je užití daktyloskopických údajů, převzatých z databáze hackerů mnohem složitější. Není uplně jednoduché ukradený otisk vyrobit a posléze podvrhnout při ověření.

Forenzní analýza paměti je schopnost nalézt artefakty v paměti, která je přítomna v běžícím počítači. Je to zajímavá metoda, jak nalézt běžící procesy, otevřená síťová připojení, přístupy do registrů, moduly jádra atd. Volatility je jeden z Open Source nástrojů psaný v Pythonu pro analýzu infikované paměti.

Linus Torvalds odmítl odstranit Rdrand z kódu pro generování náhodných čísel v linuxovém jádře. Jeden z algoritmů Dual_EC_DRBG použítý v NIST Special Publication 800–90 by mohl obsahovat zadní vrátka.

Oracle vydal ve středu Java Standard Edition verze 7 aktualizace 40. Java 7u40 obsahuje dlouhý seznam oprav a řadu nových funkcí. Nejzajímavější je oprava zabezpečení chyby použití Plug-inu při zpracování zastaralých certifikátů.
Nová verze přichází s lokální bezpečnostní politikou, která může definovat aplikacím přistupy k jednotlivým verzím Java runtime.

Hádání hesel mailboxů

Snad každý administrátor poštovního serveru, jakéhokoliv dodavatele se musel setkat s pokusy o uhádnutí hesel k emailovým schránkám. Tyto útoky jsou často robotického původu a pravděpodobně je provádí nějaký botnet či automat procházející databázi poštovních serverů. Jaká je úspěšnost uhádnutí hesla se moc zjistit nedá. V článku Fail2ban: konec hádání hesel na serveru, bylo nedávno podrobně popsáno, jak použít aplikaci Fail2ban, která má velmi široké použití. Nutno dodat, že lze nasadit Fail2ban i pro jine typy firewalů. Např. na FreeBSD s firewalem Packet Filter. Někdo může namítat, že tato metoda nic moc neřeší. Důležité je že útok detekujeme a alespoň zabráníme přetěžování serveru, který velmi intenzívně ověřuje špatného uživatele nebo heslo.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Vitalia.cz: 10 potravin, po kterých budete mít ještě větší hlad

10 potravin, po kterých budete mít ještě větší hlad

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Podnikatel.cz: Stvrzeno prezidentem! O svátcích bude zavřeno

Stvrzeno prezidentem! O svátcích bude zavřeno

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

Vitalia.cz: Mateřská - nejlepší období v životě ženy? Hahahaha

Mateřská - nejlepší období v životě ženy? Hahahaha

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

120na80.cz: SOS aneb spálená pokožka

SOS aneb spálená pokožka

Lupa.cz: Seznam.cz sleduje stisky kláves, aby odhalil roboty

Seznam.cz sleduje stisky kláves, aby odhalil roboty

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT