The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.04.2017 09:15  Поучительный опыт информировния банков об уязвимостях

Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, hoopoe (ok), 09:47, 22/04/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –5 +/
    а что здесь поучительного? чуваку заплатили за молчание (иначе любое соглашение о неразглашении идёт лесом), бага жила ещё много лет, чувак, вероятно, больше не пользовался этими сетями :)
     
     
  • 2.2, Константавр (ok), 09:51, 22/04/2017 [^] [ответить]    [к модератору]
  • +9 +/
    Ему даже не заплатили, его пообещали взять на работу. Правла, непонятно, взяли ли?
     
     
  • 3.3, angra (ok), 09:56, 22/04/2017 [^] [ответить]    [к модератору]
  • +2 +/
    Не взяли и с докладом на конференции прокатили. А подписать заставили под угрозой науськивания на него ФБР.
     
  • 3.4, кверти (ok), 09:56, 22/04/2017 [^] [ответить]    [к модератору]
  • –2 +/
    Он подписал соглашение за обещания?!
     
     
  • 4.5, zanswer CCNA RS (?), 10:07, 22/04/2017 [^] [ответить]     [к модератору]
  • +3 +/
    Вряд ли он подписал NDA находясь под влиянием возможных перспектив быть нанятым ... весь текст скрыт [показать]
     
     
  • 5.15, cmp (ok), 14:40, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Рассказать как взломать и взломать разные вещи, писатели шифровальщиков сейчас почти в открытую работают так как формально ничего не нарушают, а распространителей много и все риски на них.
     
     
  • 6.23, Аноним84701 (ok), 16:28, 22/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Одно дело угрозы представителя шароварщика-фрилансера или мелкой фирмочки и немн... весь текст скрыт [показать]
     
  • 6.35, zanswer CCNA RS (?), 08:45, 23/04/2017 [^] [ответить]     [к модератору]  
  • +/
    А я и не ставил между этими событиями знак равенства, я лишь предположил, что во... весь текст скрыт [показать]
     
     
  • 7.45, Аноним (-), 10:49, 24/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Про исследование, тут по разному может быть Вот открываю я как-то сбербанк-онла... весь текст скрыт [показать]
     
  • 5.18, Аноним (-), 15:08, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    юрисконсульт!
     
  • 5.30, Аноним (-), 21:01, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    убителен

    Где таких словов народ подцепляет? Даже наличие не проверяют в Гуглах разных, краснодипломники :).

     
  • 1.6, тоже Аноним (ok), 10:39, 22/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "
    Как правительство может быть таким процветающим и делать так много ошибок?
    – Я удивлялась этому тоже, – сказала она, – и думала об этом. В конце концов я пришла к единственному возможному ответу.
    – И каков же он?
    – Практика, – сказала она. – Неустанная, безжалостная практика.
    "
     
  • 1.7, Sabakwaka (ok), 10:54, 22/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Поучительный опыт информирования банков об уязвимостях:

    С полгодика назад позвонил один банкир по наводке другого банкира.
    Высокопоставленный банкир. Надо было сшить пару платежных сервисов.
    Забашыл им модуль в рекордный срок. Быстрее их штатного коллектива в сорок рыл бездельников.

    Нашел дырень на ширину плеч, — ходи кто хочешь, серьёзная брешь.

    Сел на корточки, как медведь у Салтыков-Щедрина, и жду поощрения.

    Приходит письмо «с самого верха» — «ну, да, вы выявили дыру, но вы же не сообщаете нам, как ее закрыть/исправить???»

    Как ее «исправлять», когда я не в ядре, а на клиентской стороне? :)

    НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно недодали из обещанных златых гор.

    Хотя я ОСОБО сообщал на «собеседовании», что я — трудоустроен, что я ХОРОШО ТРУДОУСТРОЕН, и что я не намерен искать г%в%а от добра, и что их желание «работать именно со мной» должно опираться на их возможность платить уж никак не меньше, чем на прежнем месте.

    Так что теперь и не знаю даже, информировать на будущее, или сразу связываться с биржей уязвимостей?

     
     
  • 2.8, A.Stahl (ok), 11:53, 22/04/2017 [^] [ответить]    [к модератору]  
  • +9 +/
    >не знаю даже

    Ты даже на своих ошибках не учишься? :)

     
     
  • 3.22, Аноним (-), 15:39, 22/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Конечно не учится, да и случай не первый уже, стопудово Когда ему рассказали ка... весь текст скрыт [показать]
     
     
  • 4.25, vi (ok), 18:04, 22/04/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    По прочтению комментария этого господина, не увидел непонимания Откуда Вы это в... весь текст скрыт [показать]
     
     
  • 5.34, Аноним (-), 23:56, 22/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Лет мало, вот ты и не понял С возрастом многое становится очевидным, в том числ... весь текст скрыт [показать]
     
     
  • 6.43, vi (ok), 23:31, 23/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, согласен И еще, забираю все свои советы ... весь текст скрыт [показать]
     
  • 2.12, dimqua (ok), 13:42, 22/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > связываться с биржей уязвимостей

    Эксплуатируй сам.

     
  • 2.13, vantoo (ok), 14:32, 22/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Судя по всему, точный размер оплаты даже за основную работу не был заранее четко... весь текст скрыт [показать]
     
     
  • 3.16, Sabakwaka (ok), 14:49, 22/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    171 На словах 187 предполагалось, что он превысит, как минимум, 171 белую ... весь текст скрыт [показать]
     
     
  • 4.19, vantoo (ok), 15:34, 22/04/2017 [^] [ответить]    [к модератору]  
  • +12 +/
    Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.
     
     
  • 5.44, vi (ok), 23:33, 23/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.

    Может быть им просто некогда ;)

     
  • 2.24, Аноним (-), 18:02, 22/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Причиняй добро и беги Желательно заметая при это следы средствами анонимизации ... весь текст скрыт [показать]
     
  • 2.27, Michael Shigorin (ok), 20:08, 22/04/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    Судите сами, но я бы с такими если и связывался, то держа наготове причём не бл... весь текст скрыт [показать]
     
     
  • 3.31, Аноним (-), 21:06, 22/04/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Мишенька, ты тут недавно блистал познаниями УК РФ. Куда они вдруг подевались?
     
  • 3.32, Sabakwaka (ok), 21:32, 22/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Когда zero-day озвучен, 8212 а я забил в колокола по всем инстанциям благо б... весь текст скрыт [показать]
     
     
  • 4.33, Аноним (-), 23:36, 22/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Забей Дело не в русской душе У иностранцев бомбит еще хлеще Тут дело в том, ч... весь текст скрыт [показать]
     
  • 3.46, Аноним (-), 10:58, 24/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Что-бы другим не повадно было сначала применят УК за вымогательство вплоть до п... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 13:27, 22/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Очередной опеннетовский горе-переводчик Откуда ты взял о том, что уязвимость по... весь текст скрыт [показать]
     
     
  • 2.14, Аноним (-), 14:32, 22/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Penson confirmed that this software was affecting over 100,000 North Amerian re... весь текст скрыт [показать]
     
     
  • 3.17, Аноним (-), 15:01, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    То есть соглашение о неразглашении было нарушено?
     
     
  • 4.37, MrStell (ok), 14:25, 23/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, автор это осознает и заявляет прямым текстом:
    "So I signed the NDA on 2008-10-27. In direct violation of the NDA I am also posting it publicly now in the public interest."
     
  • 4.40, www2 (ok), 20:11, 23/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Интересно, а что они ему сделают за это? С работы уволят? Или будут судиться и посадят в тюрьму? Так это они к себе ещё больше внимания привлекут таким способом. Я бы на их месте не стал обосравшись пытаться засадить того, кто это первым увидел, но терпеливо молчал, пока они не подмоются.
     
  • 1.21, Аноним (-), 15:39, 22/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Поучительно, значит анонимные угрозы эффективнее.
     
     
  • 2.26, Аноним (-), 18:51, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Сразу начинать пользоваться — эффективнее всего.
     
     
  • 3.28, нах (?), 20:41, 22/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Сразу начинать пользоваться — эффективнее всего.

    не, ну надо ж дождаться пока кто-нибудь
    made it clear that unauthorized transactions like this and later shown below would not be distinguishable
    ;-)

    а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.

     
     
  • 4.42, Аноним (-), 22:42, 23/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Закупил биткоинов или прочих-коинов Перемешал их с другими как в Золотом копыт... весь текст скрыт [показать]
     
  • 1.29, anonymous (??), 20:57, 22/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Давно уже известно, что банки - неблагодарные суки. Нашёл багу - сбросил в даркнет.
     
  • 1.36, Crazy Alex (ok), 13:05, 23/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот что мне не понятно - откуда такая странная политика. Казалось бы - самим же выгодно получить информацию и быстро тихо всё починить. Я понимаю, что бывает, что для починки надо тупо весь код выкинуть и брать другую архитектуру. Тогда, если юридически прикрыт хорошо - можно и забить в надежде, что враги найдут попозже. Но CSRF-то чинится и так...
     
     
  • 2.38, Ordu (ok), 16:35, 23/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Если банк рассматривать холистически, как что-то цельное, то объяснить не удастся. Но банк -- это много людей, разделение ответственности и обязанностей, многие из этих людей даже не знают о существовании друг друга. И цели каждого не совпадают с целями банка.
    Можно пофантазировать и представить себе организационные трудности -- может быть те, кто имел дело с исследователем, были сильно не заинтересованы в том, чтобы уязвимость всплыла, потому что они в какой-то мере были ответственны за разработку системы, и наличие уязвимости в системе было бы воспринято как пятно на их карьере.
    А может быть они воровали денег, и им дыра была нужна на случай залёта, чтобы списать недостачу на дыру: мол, это не мы, это какие-то внешние хакеры.
    Может быть разработчики системы оставили эту дыру намеренно, но имели компромат на того сотрудника банка. Разработчики потихоньку тырили денег, и шантажируя сотрудника вынуждали его работать прикрытием.
    Можно и ещё чего-нибудь придумать. Но это всё фантазии, и я даже не могу оценить насколько они могут быть далеки от реальности, потому что в банках никогда не работал и с их внутренней организационной структурой не знаком.
     
  • 2.39, АнониМ (ok), 18:34, 23/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    В крупных организациях всем на всё накакать. вот и вся политика. софт соответствует какому-нить стандарту разработки, какой-нить аудит прошли, деньги получены, если запроса от клиента нет, то чего напрягаться? за это премию не выпишут, а могут и наоборот. в энтерпрайзе это практически везде.
     
     
  • 3.41, www2 (ok), 20:16, 23/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > В крупных организациях всем на всё накакать.

    Это точно. И дело не в злом умысле или некомпетентности, там просто важные сообщения легко теряются в общем потоке информации. Иногда даже выяснить не удаётся, кто за это отвечает, а т.к. своей работы много, то просто кидаешь информацию куда-нибудь в рассылку или по направлению вверх, а дальнейшая судьба этого тебя не волнует.

     
  • 1.47, Ананас (?), 11:05, 25/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Уже которая история про то как вайтхет идеалистов поимела корпорация, а они все никак не учатся на своих ошибках. Поэтому уязвимости надо продавать тем кто может за них платить и использовать по назначению, жирный корпорас начнет крутиться только когда его поимеют.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor