» »

Kaj je šlo narobe v British Airwaysu

Kaj je šlo narobe v British Airwaysu

Wired News - Minuli teden je odjeknila novica, da so hekerji vdrli v British Airways in odnesli osebne podatek 380.000 strank, med katerimi so bile tudi številne kreditnih kartice, datumi veljavnosti in kode CVV. Ker je British Airways takoj sporočil okno ranljivosti, ki so ga poznali do minute, in ker so hekerji dobili tudi številke CVV, ki se ne shranjujejo lokalno, je to sprožilo precej ugibanj, kaj natančno se je zgodilo. V podjetju RiskIQ, ki se ukvarja z računalniško varnostjo, so sedaj objavili svojo analizo, kaj se je zelo verjetno zgodilo. Skupina Magecart naj bi zlonamerno kodo vtihotapila v spletne strežnike British Airways, kjer je v realnem času prestrezala podatke kupcev letalskih vozovnic.

Vodja RiskIQ Yonathan Klijnsma pojasnjuje, da je skupina Magecart znan igralec, ki je bil na primer odgovoren tudi za vdor v Ticketmaster, aktivni pa so vsaj od leta 2015. Doslej so večinoma uporabljali standardne prijeme, medtem ko so pri napadu na British Airways uporabili posebej prilagojeno kodo, kar priča o dobrem poznavanju njihovega sistema. Pri napadu na Ticketmaster so vdrli v plačilno storitev, ki jo je zanj opravljalo tretje podjetje, medtem ko so to pot vdrli v same spletne strani British Airways. Z napadom cross-site scripting so vrinili lastno kodo. Na uporabniški strani je zadoščalo že 22 vrstic kode, seveda pa je bilo treba kodo postaviti na pravo mesto in dobiti dostop do tja. Kot kaže, napadalci niso dobili dostopa do baze, temveč so le prestrezali vneseno.

Zlonamerne skripte, ki jih je RiskIQ opazil pri rednem nadzoru spletni strani (dnevno jih prečešejo kar dve milijardi), so poklicale API na naslovu baways.com (litovski strežnik), do katerega so se povezovale s certifikatom, ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja). Ko je uporabnik kliknil pošlji, je skripta poslalo kopijo vseh vnesenih podatkov napadalcem. Ker so dodali še touchend, je napad deloval tudi prek mobilne aplikacije, ki je izkoriščala isto spletno infrastrukturo (kar je slaba ideja). Iz British Airways navedb niso komentirali.

25 komentarjev

dexterboy ::

Dokler ne bo kakšen avion sklaten doli z neba, je še "vredi, Fredi".
Ker sem predlani geldal predavanje na temo, kako lahko skoraj vsak radioamater sklati civilni jet six feet under.
In predavatelj je večkrat apeliral in prosil, naj tega ne počnejo... Hvala bogu se ni nič zgodilo.
Tole z BA je pa smeha polna hiša. Why invest in IT security? It does not make sense, old champ.
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

tikitoki ::

Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.

OttoParts ::

Saj nas ne ogrožajo teroristi ampak ruski hekerji....

Matej48 ::

ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja

Kaj je problem izdajatelja / podpisovalca javnega ključa certifikata? Verjetno so na nak način preverili lastništvo domene / spletnega strežnika.

jlpktnst ::

Matej48 je izjavil:

ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja

Kaj je problem izdajatelja / podpisovalca javnega ključa certifikata? Verjetno so na nak način preverili lastništvo domene / spletnega strežnika.

Exactly.

gendale2018 ::

tikitoki je izjavil:

Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.

https://www.thesun.co.uk/tech/4901413/b...
ja sam mali poštar, kurac mi je oštar
čuvajte se žene, bit ćete jebene

Isotropic ::

dexterboy je izjavil:

Dokler ne bo kakšen avion sklaten doli z neba, je še "vredi, Fredi".
Ker sem predlani geldal predavanje na temo, kako lahko skoraj vsak radioamater sklati civilni jet six feet under.
In predavatelj je večkrat apeliral in prosil, naj tega ne počnejo... Hvala bogu se ni nič zgodilo.

kako pa? seveda ni treba lih predstaviti celega postopka, ni pa treba biti spet pretirano skrivnosten za neznalce (ne-radio-amaterje).

meni sicer to ni hobi, si pa ne predstavljam, kako bi to izvedel. mogoče kot EW (electronic warfare), da bi preglasil signale inštrumentov letališča ob pristajanju.

blackbfm ::

Matej48 je izjavil:

ki ga je izdal Comodo (toliko o verodostojnosti tega izdajatelja

Kaj je problem izdajatelja / podpisovalca javnega ključa certifikata? Verjetno so na nak način preverili lastništvo domene / spletnega strežnika.


Osnovni certifikati se danes izdajajo avtomatsko in ni nobenega posebnega preverjanja, rabis samo dostop do dns/gostovanja

techfreak :) ::

Ce ze niso uporabili zunanjega ponudnika placevanja kot je Stripe, zakaj niso potem sami implementirali zadeve na varen nacin?

Formo za vnos bi lahko prikazovali preko iframe-a, preko locene (pod)domene, in software, ki bi tekel na tem serverju bi skrbel izkljucno za shranjevanje podatkov in procesiranje placil.

Kaj taksnega bi bilo precej lazje zavarovati, ter reviewati, kot pa ce zadevo serviras iz strani, ki ima tono javascripta (med drugim tudi razne 3rd party tracking skripte), ter je po moznosti postavljena na kaksen CMSu, na njej pa je ze delalo precej developerjev.

poweroff ::

tikitoki je izjavil:

Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.

Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.

Ampak v najbolj milem scenariju se pa mimogrede zgodi, da je posledica začasno zaprtje letališča in preusmeritev prometa na sosednja letališča. Kakšna je v te primeru ekonomska škoda si lahko predstavljaš.
sudo poweroff

GizmoX ::

poweroff je izjavil:

tikitoki je izjavil:

Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.

Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.

Ampak v najbolj milem scenariju se pa mimogrede zgodi, da je posledica začasno zaprtje letališča in preusmeritev prometa na sosednja letališča. Kakšna je v te primeru ekonomska škoda si lahko predstavljaš.
Ja, ampak kakšen je pa angle napada?:|
udirač => uni. dipl. inž. rač.

poweroff ::

Radijska komunikacija.
sudo poweroff

antonija ::

Glede na to da bi blio treba zapret letalisce, se najverjetneje moti/spoofa signale sistemov za pristajanje. Die Hard 2 brez Bruce Willisa in cetice zlobnih vojakov ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

poweroff ::

Ne. ;)

Načeloma morajo piloti obvladati pristajanje "na slepo", se pravi, če pride do izpada sistemov za pristajanje. Ampak kot rečeno, to ni problem v tem primeru.
sudo poweroff

Ahim ::

poweroff je izjavil:

tikitoki je izjavil:

Če bi bilo tolk simpl sklatiti letala z radioamatersko opremo, potem bi teroristi to že izkoristili.

Slučajno to ranljivost (v bistvu sploh ni ranljivost, "it is feature, not a bug") precej dobro poznam. Obstajajo ocene, da bi s takim napadom lahko povzročil do 600 mtrvih. Mogoče so te ocene pretirane, oz. je to precej skrajen scenarij.

Z letalom, ki je bilo dizajnirano za prevoz 200 (do 300) potnikov?

To je nekako tako, kot jaz lahko z biciklom povrzrocim do 666 mrtvih. Take that!!11!

MrStein ::

Če pade na drugo letalo... ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Ja, napad se specifično izvede na letališču. Ampak OK, nima veze to zdaj s tole temo.
sudo poweroff

Invictus ::

poweroff je izjavil:

Ne. ;)

Načeloma morajo piloti obvladati pristajanje "na slepo", se pravi, če pride do izpada sistemov za pristajanje. Ampak kot rečeno, to ni problem v tem primeru.

Ob slabih pogojih bo pač letel na drugo letališče.

Saj ima dovolj goriva za diverted airfields...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

To ni problem. Letala se bodo že preusmerila in prišla do alternativnih letališč.

Problem je, da če napad izvedeš v ravno pravem trenutku, obstaja velika verjetnost za nesrečo. (Napad je seveda time-sensitive.)

V vsakem primeru pa bo nastala zmeda in posledično bodo letališče zelo verjetno začasno zaprli. To pa za letališče in tudi družbe ter potnike pomeni strošek. Saj letalo bo že prispelo na drugo letališče. Ampak kot rečeno ima to finančne posledice.
sudo poweroff

GizmoX ::

poweroff je izjavil:

Radijska komunikacija.
No daj, izdavi že kaj več.:D
udirač => uni. dipl. inž. rač.

poweroff ::

Ni za javnost. 8-)

Sem bil pa lani na sestanku na Agenciji za civilno letalstvo in smo se tudi o tem pogovarjali. Evropski regulatorji to zadevo zelo dobro poznajo. Kaj dosti se pa trenutno ne da narediti.
sudo poweroff

Invictus ::

Če narediš dovolj močan oddajnik s pravo frekvenco, lahko zmotiš katerekoli radijski signal.

Sicer te lahko hitro najdejo, ampak vprašanje, če ima vsako letališče za to opremo...

Vem, da so še v Jugi lovili divje radijske in TV oddajnike, ki jih je folk doma naredil. Štromarji pač... :).

Rabili so par dni, ampak so te našli. Kazen je bila pa kar visoka. Sošolec je pač malo za foro naredil oddajnik v vasi in oddajala eno kamero :D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

Ja, DoS zna narediti vsak butec. Tukaj pa ni DoS napad, pač pa gre za real hack.

Kazni so sicer precej brutalno visoke. V takem primeru bi bila pa kazen AKOS-a verjetno še najmanjša. Kazenska ovadba, pa še kakšna civilna odgovornost bi priletela.
sudo poweroff

DamijanD ::

Enkrat sem bral nek članek o tem - mislim, da je razmeroma enostavno neko komunikacijo stolp-avion ponaredit, tako da se navidezni avion pokaže na radarju aviona ali nekaj podobnega. Možno, da se je avion celo na flightradar strani pojavil.
Vglavnem pozabil sem podrobnosti, članka tudi ne najdem zdajle, ampak bilo je nekaj na to foro.

GizmoX ::

DamijanD je izjavil:

Enkrat sem bral nek članek o tem - mislim, da je razmeroma enostavno neko komunikacijo stolp-avion ponaredit, tako da se navidezni avion pokaže na radarju aviona ali nekaj podobnega. Možno, da se je avion celo na flightradar strani pojavil.
Vglavnem pozabil sem podrobnosti, članka tudi ne najdem zdajle, ampak bilo je nekaj na to foro.
Ja, z ADS-B signalom lahko ustvariš virtualno letalo, ki leti... kakor pač želiš. ADS-B signale pobirajo in prikazujejo tudi flightradar in podobni.
Možni so sicer protiukrepi, a baje niso v uporabi. Ampak to tudi ni ravno hack nekega omrežja, je bolj spoofing.
udirač => uni. dipl. inž. rač.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na evropska letala prihaja hitrejši internet

Oddelek: Novice / Omrežja / internet
236546 (5005) Mavrik
»

British Airways zaradi kolapsa IT sistema odpovedala večino današnjih letov

Oddelek: Novice / Varnost
3713570 (9765) windigo
»

ZDA in Velika Britanija na določenih letih prepovedali vnos elektronskih naprav razen

Oddelek: Novice / Varnost
208640 (7547) no comment
»

Vlada razrešila Podobnika!

Oddelek: Novice / Omrežja / internet
402909 (2909) Boeing

Več podobnih tem