Postřehy z bezpečnosti: admini PHP webů, bděte!

Lukáš Malý 16. 9. 2013

Útočníci se dlouhodobě zaměřují na zranitelnosti v PHP, nejen Apple přichází na trh s autentizací otiskem prstu, forenzní analýza paměti odhaluje malware. Linus odmítl odstranit Rdrand. Oracle vydal novou verzi JDK 7, opravuje mnoho chyb a přináší novinky. Fail2ban odhaluje útoky na emailové schránky.

Zranitelnost PHP Superglobální proměnné představuje hrozbu pro mnoho webových prezentací na internetu, včetně velkých jako je např. Facebook nebo Wikipedie. Společnost Imperva vydala „Hacker Intelligence Initiative Report“ se zvláštním zaměřením na dvě zranitelnosti, které mohou být použity ke spuštění kódu na serveru s podporou PHP a k selhání ochrany proměnných PHP před jejich modifikací z externích zdrojů. PHP má několik předdefinovaných globálních proměnných, kterým se říká Superglobální proměnné. Jsou to například $_POST, $_GET, $_FILES, $_COOKIES, $_SESSIONS apod. Superglobální proměnné byly poprvé představeny ve verzi PHP 4.1.0.
Report např. zmiňuje zneužití web aplikace phpMyAdmin (PMA) – Arbitrary Code Execution v kombinaci slabin CVE-2010–3065CVE-2011–2505. V případě, že aktivně používáte web aplikace phpMyAdmin, phpPgAdmin nebo phpLDAPadmin, je vhodné omezit jejich přístup jen z vybraných IP adres, pokud to je tedy možné (web hosteři toto omezení nemohou použít). Velmi doporučené je provozovat aktuální a opravené verze PHP.

Společnost Apple 18. září přichází s novým modelem chytrého telefonu iPhone 5s (produktové video), který po dlouhé době přináší funkcionalitu Touch ID. Tlačítko „Home“ okolo kterého je nový kroužek, který snímá s vysokým rozlišením obraz otisku prstu a dílčí epidermální vrstvy kůže. Obraz pak inteligentně analyzuje nový 64-bitový procesor A7. Tuto informaci má provádět s pozoruhodnou mírou přesnosti a detailů. Stejně jako odemknutí telefonu, bude snímač schopen schválit nákup v obchodě Apple. Jak těžké bude prolomit tento systém rozpoznávání otisků prstů? Crypto guru Bruce Schneier poukázal, že je tu velké nebezpečí v používání otisků prstů pro přístup k online službám. Na rozdíl od hesel je užití daktyloskopických údajů, převzatých z databáze hackerů mnohem složitější. Není uplně jednoduché ukradený otisk vyrobit a posléze podvrhnout při ověření.

Forenzní analýza paměti je schopnost nalézt artefakty v paměti, která je přítomna v běžícím počítači. Je to zajímavá metoda, jak nalézt běžící procesy, otevřená síťová připojení, přístupy do registrů, moduly jádra atd. Volatility je jeden z Open Source nástrojů psaný v Pythonu pro analýzu infikované paměti.

Linus Torvalds odmítl odstranit Rdrand z kódu pro generování náhodných čísel v linuxovém jádře. Jeden z algoritmů Dual_EC_DRBG použítý v NIST Special Publication 800–90 by mohl obsahovat zadní vrátka.

Oracle vydal ve středu Java Standard Edition verze 7 aktualizace 40. Java 7u40 obsahuje dlouhý seznam oprav a řadu nových funkcí. Nejzajímavější je oprava zabezpečení chyby použití Plug-inu při zpracování zastaralých certifikátů.
Nová verze přichází s lokální bezpečnostní politikou, která může definovat aplikacím přistupy k jednotlivým verzím Java runtime.

Hádání hesel mailboxů

Snad každý administrátor poštovního serveru, jakéhokoliv dodavatele se musel setkat s pokusy o uhádnutí hesel k emailovým schránkám. Tyto útoky jsou často robotického původu a pravděpodobně je provádí nějaký botnet či automat procházející databázi poštovních serverů. Jaká je úspěšnost uhádnutí hesla se moc zjistit nedá. V článku Fail2ban: konec hádání hesel na serveru, bylo nedávno podrobně popsáno, jak použít aplikaci Fail2ban, která má velmi široké použití. Nutno dodat, že lze nasadit Fail2ban i pro jine typy firewalů. Např. na FreeBSD s firewalem Packet Filter. Někdo může namítat, že tato metoda nic moc neřeší. Důležité je že útok detekujeme a alespoň zabráníme přetěžování serveru, který velmi intenzívně ověřuje špatného uživatele nebo heslo.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,29

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Syndrom počítačového vidění: stačí dvě hodiny denně

Syndrom počítačového vidění: stačí dvě hodiny denně

Podnikatel.cz: Miliony hodin nad hlášením k DPH. K vzteku

Miliony hodin nad hlášením k DPH. K vzteku

Vitalia.cz: Tři sta kilogramů tuňáka obsahovalo histamin

Tři sta kilogramů tuňáka obsahovalo histamin

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Podnikatel.cz: Myšlenky Henryho Forda. Berte je za své

Myšlenky Henryho Forda. Berte je za své