» »

Napad na Citigroup izkoristil trivialno luknjo

The New York Times - Prejšnji teden smo poročali, da so hekerji napadli strani ameriške banke Citigroup in odtujili osebne in osnovne finančne podatke (CVV-kod kartic niso dobili) številk približno 200.000 uporabnikov, kar predstavlja en odstotek vse komitentov banke. Uradnih podatkov o škodi tedaj ni bilo in jih ni niti danes, so pa na splet priplavali podatki o vrsti ranljivosti, ki so jo hekerji izkoristili. Izkazalo se je, da je bila za napako kriv površno spisana spletna stran, proti kateri je bila Sonyjeva zaščita kot Fort Knox, kot se je izrazil eden izmed bralcev Slashdota.

Hekerji so se na najprej kot običajen uporabnik prijavili na spletno stran, ki je bila namenjena njihovim komitentov, kar ni težko. Ko pa so bili enkrat na straneh, so med računi preskakovali tako, da so v naslovni vrstici zamenjali svojo številko računa z neko drugo in tako pristali v računu druge stranke. Morali so poslati zgolj 200.000 zahtevkov in strežnik je vsakokrat vrnil podatke o računu neke stranke.

To pomeni, da si hekerji tega imena pravzaprav niti ne zaslužijo. Citigroup je stran napisal tako malomarno, kot že dolgo nobeno resno podjetje. To ni bil niti najosnovnejši napad s SQL-vrivanjem, ampak še nekaj bolj preprostega. Strežnik sploh ni izvajal nobenega preverjanje pristnosti, tj. ustreznosti trenutne seje in zahtevanih podatkov, ampak jih je delil vsem, ki so poslali navaden HTTP-jevski zahtevek $_GET. Sistem je bil že po dizajnu odprt, saj številke računov niso tako tajne kot številke kreditnih kartic, tako da z njihovim poznavanjem ne bi smeli imeti možnosti pridobiti kakršnihkoli osebnih podatkov.

Po tovrstnem programiranju so znane tudi nekatere slovenske banke, ki zadnje čase ne odgovarjajo preveč rade na provokativna vprašanja v zvezi z njihovo varnostjo.

61 komentarjev

strani: « 1 2

M.B. ::

isti "napad" je bil mogoč na starem AIPS-u. Samo tam nisi rabo nič spremenit pa si včasih vido tuje podatke.
Najpogosteje se je to pojavljalo med prijavljanjem v novi letnik.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

]Fusion[ ::

Talenti, res... :P
"I am not an animal! I am a human being! I... am... a man!" - John Merrick

cegu ::

Še porno strani so bolj zaščitene.

carota ::

Link na "Sonyjevo zaščito" ne postreže strani s podatki o zaščiti oz. o ranljivosti. Kaj so pa tam izkoristili?

crobat ::

carota je izjavil:

Link na "Sonyjevo zaščito" ne postreže strani s podatki o zaščiti oz. o ranljivosti. Kaj so pa tam izkoristili?

Kaj je vprašanje?

DeGi- ::

To ni bil niti najosnovnejši napad s SQL-vrivanjem, ampak še nekaj bolj preprostega. Strežnik sploh ni izvajal nobenega preverjanje pristnosti, tj. ustreznosti trenutne seje in zahtevanih podatkov, ampak jih je delil vsem, ki so poslali navaden PHP-jevski zahtevek $_GET.


HTTP GET request nima veze s PHPjem. Poslje ga client, na server-sidu (npr. PHP ali kaj tretjega) pa potem preberejo ta request, v PHPju pac preko branja spremenljivke $_GET :)

amigo_no1 ::

Bwahaha, kakšni šalabajzerji @ Citigroup.Človek bi mislil da se šalijo :)).

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Keyser Soze ::

V bistvu je to še najboljša zaščita. Nihče namreč ne pričakuje, da bi bili tako glupi, da bi dopustili takšno pomankljivost. Dokler se ne najde nekdo, ki je enako ali še bolj glup. :D
OM, F, G!

carota ::

crobat je izjavil:

carota je izjavil:

Link na "Sonyjevo zaščito" ne postreže strani s podatki o zaščiti oz. o ranljivosti. Kaj so pa tam izkoristili?

Kaj je vprašanje?


Vprašanje je: kakšna je bila Sony-jeva zaščita? Link naj bi kazal na novico o opisu te Fort Knox zaščite, a tam nič ne piše o tem kakšna je bila.

Matthai ::

No, saj naša Sparkasse ni dosti boljša. :))

https://slo-tech.com/novice/t470871/p31...

Tudi na Sparkasse so me debelo gledali, ko sem rekel, da bi želel videti zgodovino svojih gesel, da vidim, če sem si ga narobe zapisal ali pa mi ga je dejansko kdo vkradel in geslo zamenjal.
Ženska na pulstu: ne rabite se bati, pri nas še ni bilo vdora.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

furion ::

Zakaj majo pol sploh login skripto, ce stran itaq ne zna delati z session/cookiesi? Krneki res...bolano debilno. Se 12 letni froc bi znal boljs naredit stran.

fiction ::

HTTP GET ne $_GET.

Pač avtentikacija je delovala, avtorizacije pa ni bilo :)

Matthai ::

Ja, na splošno pri nas ljudje ne razumejo kaj je to avtentikacija.

Me pa zanima katero visokokvalitetno podjetje je programiralo Sparkasse (in na kateri platformi vse skupaj teče)...

Anyone?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

amigo_no1 ::

b ::

@Matthai: Saj piše v onem zapisniku zgoraj (jpg), izgovarjali so se, da so popravek že pred 9 meseci (če sem si prav zapomnil) naročili S&T-ju.

Zvonko ::

Po moje je bolj zanimiva "dilema", a je tak način pridobitve podatkov vdor v sistem ali ne?

cholt45 ::

Zvonko je izjavil:

Po moje je bolj zanimiva "dilema", a je tak način pridobitve podatkov vdor v sistem ali ne?


Jp, to je že bolj v stilu odklenjene hiše/avta.

Malinovc ::

Banke so bankrot.

Če pa prideš z ponudbo za vzdrževalno pogodbo in jih opozoriš o napakah...te pa tožijo in dajo v zapor!!!
To je za obesit .... bad joke

techfreak :) ::

To ni nič takšnega, Windows Server 2003 in IIS6 se še vedno uporabljata.

Looooooka ::

Sj ma 90+% bank vse svoje storitve in APIje "zavarovane" na isti nacin.
Recimo...kup webservices, ki jih lahko uporabljas.Rabis username in geslo(da mislis da je neka varnost)...potem pa sledi salabajzarstvo.Username in geslo vpisujes v parametre funkcij webservica(ker majstri se niso slisali ne za SSL ne za client certifikate ali pa vsaj minimalno server side ssl+plaintext authorizacijo...kar je se zmer drek ampak vsaj 1 stopnicka boljse kot posiljanje plaintexta brez sslja).
Ce jim to omenis te pa pomirijo s tem, da bojo zadevo zafirewallal na tvoj ip.Problem je pa v tem, da zahtevajo storitve v 1 tednu tko, da programerji neki spacajo skupi...potem se verjetno zavezejo, da bojo ze kasneje izboljsali ampak ta kasneje se nikoli ne zgodi, ker pridev v veljavo rek "if it ain't broke don't fix it"...dokler se ne najde 15 letn mulc, ki se ti obesi na tist router in pogleda tvoj unsecure http get/post.
In take firme majo cez vecino placil z mastercardom,viso, diners club in podobnimi.Pomojem so njihova najvecja zascita ravno ponudniki, ki se obseijo na te apije in potem nudijo storitve naprej(EON al kaj mamo ze mi pri nas).

dronyx ::

techfreak :) je izjavil:

To ni nič takšnega, Windows Server 2003 in IIS6 se še vedno uporabljata.

Saj ni pomembno to, ali se še uporabljata, važno je, do kdaj zadevo podpira proizvajalec (lifecycle), ker po tem času nimaš več popravkov, krpanja varnostnih lukenj... Marsikje uporabljajo tudi še Win98.
Only the weak use their brains - the strong use their balls!

Zgodovina sprememb…

  • spremenil: dronyx ()

techfreak :) ::

Zaenkrat še izdajajo varnostne popravke za Server 2003.

amigo_no1 ::

Marsikje uporabljajo tudi še Win98.

(Online) banke ?

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

necromncr ::

Na isti način se je včasih dalo popravit oglas na bolhi. Lahko si si nastavil čas poteka izven običajnih 3 5 ali 7 (al kak je že bilo), seveda pa si lahko vse to delal tudi na druge accounte.

Zvonko ::

Obstaja neka slovenska državna inštitucija, ki ima svojo aplikacijo za vnos elektronskih vlog za prijavo na razpise "zavarovano" na tak način ...

EDIT: Luknja je tam že več kot leto in pol. Seveda še vedno nepopravljena ...

Zgodovina sprememb…

  • spremenil: Zvonko ()

3p ::

Zaščita je za lamerje. Oni so "too big to fail".

Gladi ::

b je izjavil:

@Matthai: Saj piše v onem zapisniku zgoraj (jpg), izgovarjali so se, da so popravek že pred 9 meseci (če sem si prav zapomnil) naročili S&T-ju.

Če se ne motim, imajo tudi vse "glavne" serverje za transakcije, hranjenje računov, baze etc pri S&T fizično locirane.

Matthai ::

Fino bi bilo slišat uradno stališče te firme glede varnosti in kvalitete njihovih storitev!

Pa za takole napako bi podjetje IMO moralo odškodninsko odgovarjat.

Glede banke pa - zanimivo bi bilo stališče Banke Slovenije ali ta banka še obvladuje tveganja. Ker če jih ne, lahko sledi odvzem licence.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

dronyx ::

>Glede banke pa - zanimivo bi bilo stališče Banke Slovenije ali ta banka še obvladuje tveganja. Ker če jih ne, lahko sledi odvzem licence.

Ha, ha! Če država sama ne obvladuje tveganja, zakaj bi ga pa neka mala banka z 2% tržnega deleža?
Only the weak use their brains - the strong use their balls!

Matthai ::

Po bančnih predpisih banke morajo obvladovati določena tveganja. Vseh seveda ne. Osnovna varnost spletnih bank je že med njimi.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

nebivedu ::

Matthai je izjavil:

Po bančnih predpisih banke morajo obvladovati določena tveganja. Vseh seveda ne. Osnovna varnost spletnih bank je že med njimi.


Hmm, kateri predpis pa določa karkoli v vezi s spletno banko? Jaz nobenega ne najdem, Na žalost je vse to v domeni samih bank.

ABX ::

Matthai je izjavil:

Fino bi bilo slišat uradno stališče te firme glede varnosti in kvalitete njihovih storitev!

Pa za takole napako bi podjetje IMO moralo odškodninsko odgovarjat.

Glede banke pa - zanimivo bi bilo stališče Banke Slovenije ali ta banka še obvladuje tveganja. Ker če jih ne, lahko sledi odvzem licence.


Večje firme ki se ukvarjajo z bančnem poslovanje v bilo kateri obliki imajo redne revizije. Problem je da vodstvo ne želi zapravit denar v nekaj kar ne prinaša dobička in IT vidijo kot strošek.

Vse deluje po principu good enough.

nebivedu je izjavil:

Matthai je izjavil:

Po bančnih predpisih banke morajo obvladovati določena tveganja. Vseh seveda ne. Osnovna varnost spletnih bank je že med njimi.


Hmm, kateri predpis pa določa karkoli v vezi s spletno banko? Jaz nobenega ne najdem, Na žalost je vse to v domeni samih bank.


Ni ne, bančne firme imajo najbolj urejen IT glede spoštovanja določenih standardov. Drugje je bistveno slabše.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

nebivedu ::

ABX je izjavil:

nebivedu je izjavil:

Matthai je izjavil:

Po bančnih predpisih banke morajo obvladovati določena tveganja. Vseh seveda ne. Osnovna varnost spletnih bank je že med njimi.


Hmm, kateri predpis pa določa karkoli v vezi s spletno banko? Jaz nobenega ne najdem, Na žalost je vse to v domeni samih bank.


Ni ne, bančne firme imajo najbolj urejen IT glede spoštovanja določenih standardov. Drugje je bistveno slabše.


Ne biti toliko siguren v to kar trdiš. Namreč IT je že kolikortoliko urejen in tudi na papirjih je veliko zapisano. Koliko se pa to napisano potem spoštuje je pa drugo vprašanje. So stvari, ki ne gredo samo mimo pravil, ampak tudi mimo vsake pametne ideje - in to celo za čisto trivialne zadeve.

DexterBoy ::

@nebivedu; lahko podaš prosim samo en tak primer trivialne zadeve?
Delam namreč v IT-ju ene slovenskih bank (pa nei Sparkasse) in se ne bi ravno mogel strinjati s tvojim pisanjem.
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

ABX ::

nebivedu je izjavil:

ABX je izjavil:

nebivedu je izjavil:

Matthai je izjavil:

Po bančnih predpisih banke morajo obvladovati določena tveganja. Vseh seveda ne. Osnovna varnost spletnih bank je že med njimi.


Hmm, kateri predpis pa določa karkoli v vezi s spletno banko? Jaz nobenega ne najdem, Na žalost je vse to v domeni samih bank.


Ni ne, bančne firme imajo najbolj urejen IT glede spoštovanja določenih standardov. Drugje je bistveno slabše.


Ne biti toliko siguren v to kar trdiš. Namreč IT je že kolikortoliko urejen in tudi na papirjih je veliko zapisano. Koliko se pa to napisano potem spoštuje je pa drugo vprašanje. So stvari, ki ne gredo samo mimo pravil, ampak tudi mimo vsake pametne ideje - in to celo za čisto trivialne zadeve.


Sem siguren, ker delam že preveč let v IT-ju.
Iz sistemskega vidika je zadeva zelo solidna, ampak programiranje je še vedno zapuščeno samo sebi. Tu na žalost še vedno ni definiranih standardov.
Vaša inštalacija je uspešno spodletela!

Ziga Dolhar ::

Pred par leti je podobno ranljivost imela spletna stran Gorenjske Borznoposredniške Družbe. Pri posodabljanju osebnih podatkov se je obrazec poslal na [nekje].php?id=[id_uporabnika]. Zamenjava id-a in hop, podatki ciljnega uporabnika [brez preverjanja] so bili spremenjeni.

Luknje kljub opozorilu niso zakrpali vse do zamenjave spletne strani.
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

ERGY ::

Tole je pa res sramotno! Tistmu, ki je to skup spravu naj ga pošlejo na učenje osnov...

BlueRunner ::

Praviš, da naj študenta torej pošljejo nazaj študirati.

Strinjal se bi, če bi vedel za kakšen predmet na kateri koli rač-inf smeri katere koli višje ali visoke šole v Sloveniji, ki se ukvarja s pristopi k pravilnem programiranju.

ERGY ::

BlueRunner je izjavil:

Praviš, da naj študenta torej pošljejo nazaj študirati.

Strinjal se bi, če bi vedel za kakšen predmet na kateri koli rač-inf smeri katere koli višje ali visoke šole v Sloveniji, ki se ukvarja s pristopi k pravilnem programiranju.


Pri nam so poleg parih vrstic kode tudi povedali in zahtevali, da je potreben pravilen pristop k programiranju. Sicer izgovor, da se šole ne ukvarjajo s tem je lari-fari... Če delaš na takem projektu, potem moraš bit sposoben sam iskat, brat in razumet literaturo, da se čimveč naučiš.

Izak ::

necromncr je izjavil:

Na isti način se je včasih dalo popravit oglas na bolhi. Lahko si si nastavil čas poteka izven običajnih 3 5 ali 7 (al kak je že bilo), seveda pa si lahko vse to delal tudi na druge accounte.


Ja še vedno je marsikaj možnega, recimo:

http://www.bolha.com/zvu.php?user_id=te...

in zveš pravo ime uporabnika, če imaš njegov nick. Še več je takih for, tudi v nekaterih spletnih trgovinah ki ponujajo dolpoteg, se da z malo igranja z URL-ji dobit marsikaj zastonj. :)

sammy73 ::

BlueRunner je izjavil:

Praviš, da naj študenta torej pošljejo nazaj študirati.

Strinjal se bi, če bi vedel za kakšen predmet na kateri koli rač-inf smeri katere koli višje ali visoke šole v Sloveniji, ki se ukvarja s pristopi k pravilnem programiranju.


Pravilnega programiranja ni!

]Fusion[ ::

Pravilnega programiranja ni!

Je samo bolj in manj narobe... :P
"I am not an animal! I am a human being! I... am... a man!" - John Merrick

sammy73 ::

Programiranje (kodiranje) je samo del celotnega procesa. Zadeva je bila verjetno čisto pravilno sprogramirana (sicer ne bi delovala), a je bila zasnovana napačno. Nikakor tudi ni stvar programerja, da se odloči o takih zadevah.

]Fusion[ ::

To, da se spomni preverjanje piškotov in seje je pomoje kar delo programerja :)
"I am not an animal! I am a human being! I... am... a man!" - John Merrick

techfreak :) ::

Meni se zdi dokaj logično, da uporabniku ne smeš zaupati.

Matthai ::

V Sloveniji je edino logično, da kot firma strankam pobereš čim več denarja za čim manj dela. :))
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

sammy73 ::

Matthai: tako je povsod. OK, tole, kar opisujete v zvezi s tema bankama je šlamparija brez primere, ampak vem, kako stiskaški so naročniki. Radi bi imeli vse za minimalno plačilo. Potem je precej stvari potrebno narediti zelo na hitro. Tukaj se je to na žalost naredilo pri napačnih stvareh.

gakiko ::

Real life example pri stranki:
"Lahko vam ponudimo rešitev A, narejeno točno kot ste vi zahtevali, za X EUR. Ampak vam svetujemo bolj optimalno, varno in robustno rešitev B, ki bo vzela malo več dela, toda s tem boste rešili tudi vse prihodnje težave, podobne trenutni. Stala bi pa X+5% EUR."
Stranka: "Hočemo rešitev A."
"Ampak (ponovi vse argumente in podkrepi s konkretnimi primeri)."
Stranka: "Ne, nimamo (5% EUR) denarja, hočemo cenejšo rešitev."
"Ampak, čez čas se bo težava ponovila in boste takrat dali spet X EUR za rešitev!"
Stranka: "Hočemo rešitev, ki je zdaj cenejša."

Pa ti kaj naredi...

Anyway, on topic: a kdo ve, če ima Sparkasse še vedno podobne varnostne luknje? Da ne bomo šli z dežja (NLB) pod kap, ko zamenjam banko...

techfreak :) ::

Dvomim, da je Session["id"] 5% dražji od Request.QueryString["id"].
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji Citigroupu ukradli 2,7 milijona dolarjev, celotna škoda okrog sto milijonov d

Oddelek: Novice / Varnost
153887 (2441) Matthai
»

Napad na Citigroup izkoristil trivialno luknjo (strani: 1 2 )

Oddelek: Novice / Varnost
618364 (4641) ABX
»

Hekerji napadli Citigroup

Oddelek: Novice / Varnost
52213 (1546) amigo_no1

Več podobnih tem