Често задавани въпроси

С популяризирането на блогването рязко се увеличиха потребителите на различните блог системи - типичен пример са Wordpress, Movable Type, Serendipity. Една от основните черти на тези системи е тяхната гъвкавост, която позволява да правите почти всичко с тях - включително и да модифицирате външния им вид. Благодарение на нароилите се множество сайтове, които предлагат безплатни ( и не толкова ) теми или скинове, можете лесно да се сдобиете с ( почти ) уникален изглед на блога си.

Ядрото на платформата на Wordpress е софтуер, наречен The Loop, който обработва всяка част от блога и визуализира резултата като страница ( например тази, която гледате в момента ). Ядрото също така обработва темата, която е изсталирана в момента, която позволява да се модифицира външния вид. Сама по себе си темата представлява набор от HTML темплейти, PHP код¹ и CSS описания. Пакетирани от дизайнера на темата, те могат да бъдат инсталирани с няколко щраквания с мишката и можете да ги използвате, дори и да нямате познания по програмиране или талант за дизайн.

Популярността на платформата я правят интересна цел за злонамерените хакери, а доста свободното търсене и предлагане на теми осигурява направлението на атака.

Нека да разгледаме един пример:
Сиатълският дизайнер Derek Punsalan е направил няколко добри Wordpress теми и ги е публикувал в Интернет. Няколко сайта са копирали темите и ги предоставят на потребителите си. Един от тези сайтове е WP-Sphere. Ако изтеглите някоя от темите на Punsalan от този сайт обаче, ще намерите в темата PHP код, който не е поставен там от дизайнера и изглежда ето така:

Този код всъщност изтегля от някой от сайтовете wpssr.com, wpsnc.com или wpsnc2.com JavaScript файл и го стартира. По този начин, ако инсталирате тази тема, всъщност вие предоставяте потенциално зловреден JavaScript на своите посетители. Друга възможност е да се визуализират реклами, които носят печалба не на собственика на блога, а на сайта, разпространител на темите.

Има няколко решения на този проблем - първото е да внимавате какви теми сваляте и използвате. Има и решение предложено от създателя на Wordpress Matthew Mullenweg - централизиран сайт, предлагащ сертифицирани теми под GPL лиценз. Друго решение, което сканира използваната от вас тема е описано тук.

Като цяло, бих посъветвал да прочетете и следвате съветите на Илиян Даргънов, който е написал прекрасен материал на български.

Technorati : wordpress, сигурност

1. програмният език, на който е написан Wordpress [обратно горе↩]

В последните няколко години на пазара масово навлязоха виртуализационните технологии като например VMWare, Parallelis за MacOS и т.н. Този тип технологии позволяват използването на няколко виртуални системи, всяка със собствена, напълно отделна операционна система и приложения, които работят върху една физическа машина. Предимствата са много - по-добро използване на наличните ресурси, балансиране на натоварването, осигуряване на надеждност на функционирането и т.н. От друга страна обаче виртуализацията добавя изцяло нови заплахи за сигурността и дори повечето IT мениджъри препоръчват да не се използват виртуализирани машини в DMZ или за т.нар. mission-criticall системи.

Всяка от инсталираните виртуални машини идва със слабостите на собствената си операционна система. В допълнение обаче тази операционна система няма достъп до т.нар. “хипервайзор” - софтуерният слой, който предоставя работна среда и достъп до хардуерните компоненти на виртуалните машини. От друга страна специално проектирана атака може да компрометира хипервайзора, като по този начин ще бъдат компрометирани всички виртуализирани системи, контролирани от този хипервайзор. Такава атака все още не е демонстрирана на практика, но остава теоретично възможна. Другата основна насока на възможна атака е самият хипервайзор. Тъй като това е относително млада технология, все още бъговете и грешките не са изчистени достатъчно добре - все пак си говорим за продукт, съперничещ по сложността си на операционна система. Още по-лошо - хипервайзора образува нов софтуерен слой, стоящ между виртуализираните системи и хардуера, като по този начин предоставя идеална възможност за изключително сериозни пробиви в сигурността, включително прехващане на криптиращи ключове, пароли и идентификатори, без самото прехващане да може да бъде разпознато от операционната система - жертва.

Technorati : vmware, виртуализация, сигурност, хак

В скорошно изследване на сигурността на банковите карти с чип, Saar Drimer, Steven J. Murdoch и Ross Anderson от университета в Кеймбридж са успели да преодолеят защитите на няколко устройства за въвеждане на ПИН. Този тип устройства се свързват към POS терминалите, обикновено на касите на магазините и представляват цифрова клавиатура с малък екран, както и четец за карти, което позволява на клиента сам да сложи картата си и да въведе ПИН-а си. Изследователите използват няколко метода:

Прочетете цялата статия »

Битките из Интернет продължават:

През последната седмица няколко от сървърите за обновления ( update за небългароговорящите ) на популярния антивирус NOD32 са били добавени в списъка на PeerGuardian като сървъри за анти-P2P, което е довело до блокирането им при използващите този софтуер. В отговор Eset ( фирмата, произвеждаща NOD32) в последните версии на продукта си е почнала да маркира софтуера на PeerGuardian като зловреден и да го премахва.

Прочетете цялата статия »

На 24-ти февруари правителството на Пакистан нарежда на ISP-тата в страната да блокират Youtube поради “богохулно web съдържание/филми”. Подобни блокирания не са новост - в миналото подобни декрети са издавани и за други услуги на Google, a именно блог платформата blogger.com. На следващия ден един от пакистанските доставчици , решава да се престарае в изпълнението и използва част от фунционалността на BGP за да разпространи невярни маршрутизирания по рутерите из цял свят:

Pakistan Telecom (AS 17557) започва да разизпраща част¹ от мрежата на YouTube² (AS 36561) към собственият си доставчик - PCCW ). Вредното съдържание е направено така, че маршрутизаторите по света да изпращат трафика, предназначен за YouTube към PCCW. В резултат на атаката сайта е паднал за няколко часа ( както и някои са забелязали ), като за още няколко часа след това има проблеми със скоростта на достъп. Подобни атаки не са новост, макар и предишните случаи ( примери за случки през 1997 ( AS 7007 ), началото на 2006 и Коледа 2005 ) да става основно въпрос за грешна конфигурация, а не за целенасочена атака. Въпреки, че атаката е прекратена няколко часа след това ( подробно обяснение и лог тук ) остава съмнението в модела на работа на маршрутизаторите, основан на доверие между доставчиците. Подобен модел е поддатлив на атаки от един ( или няколко ) злонамерени доставчици, а евентуалните криптографски решения във вид на цифрови подписи и т.н. могат да бъдат твърде ресурсоемки, за да бъдат изградени със сегашната инфраструктура

1. 208.65.153.0/24 [обратно горе↩]
2. 208.65.152.0/22 [обратно горе↩]

Тъй като напредъка в борбата с бот-мрежите заплашват солидните приходи на бот-пастирите, то последните се стараят следващите им отрочета да са по-хитри, по-незабележими и да носят все повече пари. Типичен пример за това е споменатия наскоро ботнет Mega-D, както и една новооткрита бот-мрежа, наречена MayDay от откривателите си от Dambalia. При MayDay  има изградени няколко комуникационни канала, които осигуряват надежност на връзката:

•  стандартен HTTP към сървърите за контрол и управление. Този протокол ползва дори и настройките за прокси на заразения компютър и може да премине през доста от традиционните мерки за сигурност, които се прилагат от администраторите. Нещо повече - взети са специални мерки да се затрудни анализа на бот-а от антивирусните компании, включително генериране/проверка на времеви кодове.
• P2P комуникационен канал между отделните компрометирани машини, като комуникацията е замаскирана като ICMP протокол¹
• втори P2P канал, който не е замаскиран като друга услуга.

Mega-D пък използва нов гаден трик - голяма част от е-майл сървърите ( SMTP за техничарите ) използват проста техника за отказване на спамъри - ако за даден изпращач се подозира, че е спамър, то мейл сървъра го кара да отложи изпращането на писмото с известно време ( достигащо до няколко часа ). За обикновен спам рилей това е достатъчно да се откаже, но Mega-D всъщност запазва писмото и наистина го изпраща след исканият период от време.  За първи път такава функционалност се забелязва на толкова ниско ниво.

Също така изследователи твърдят, че са намерили връзка между бот-а на Mega-D и малко известната фамилия вируси “Ozkok”, често използвана от руските хакерски общности.

1. или пинг - за лаиците [обратно горе↩]