The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.04.2017 09:15  Поучительный опыт информировния банков об уязвимостях

Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, hoopoe, 09:47, 22/04/2017 [ответить] [смотреть все]
  • –5 +/
    а что здесь поучительного чуваку заплатили за молчание иначе любое соглашение ... весь текст скрыт [показать]
     
     
  • 2.2, Константавр, 09:51, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Ему даже не заплатили, его пообещали взять на работу. Правла, непонятно, взяли ли?
     
     
  • 3.3, angra, 09:56, 22/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Не взяли и с докладом на конференции прокатили А подписать заставили под угрозо... весь текст скрыт [показать]
     
  • 3.4, кверти, 09:56, 22/04/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Он подписал соглашение за обещания?!
     
     
  • 4.5, zanswer CCNA RS, 10:07, 22/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Вряд ли он подписал NDA находясь под влиянием возможных перспектив быть нанятым ... весь текст скрыт [показать]
     
     
  • 5.15, cmp, 14:40, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Рассказать как взломать и взломать разные вещи, писатели шифровальщиков сейчас п... весь текст скрыт [показать]
     
     
  • 6.23, Аноним84701, 16:28, 22/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Одно дело угрозы представителя шароварщика-фрилансера или мелкой фирмочки и немн... весь текст скрыт [показать]
     
  • 6.35, zanswer CCNA RS, 08:45, 23/04/2017 [^] [ответить] [смотреть все]  
  • +/
    А я и не ставил между этими событиями знак равенства, я лишь предположил, что во... весь текст скрыт [показать]
     
     
  • 7.45, Аноним, 10:49, 24/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Про исследование, тут по разному может быть Вот открываю я как-то сбербанк-онла... весь текст скрыт [показать]
     
  • 5.18, Аноним, 15:08, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    юрисконсульт!
     
  • 5.30, Аноним, 21:01, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    убителен Где таких словов народ подцепляет Даже наличие не проверяют в Гуглах р... весь текст скрыт [показать]
     
  • 1.6, тоже Аноним, 10:39, 22/04/2017 [ответить] [смотреть все]  
  • +/
    "
    Как правительство может быть таким процветающим и делать так много ошибок?
    – Я удивлялась этому тоже, – сказала она, – и думала об этом. В конце концов я пришла к единственному возможному ответу.
    – И каков же он?
    – Практика, – сказала она. – Неустанная, безжалостная практика.
    "
     
  • 1.7, Sabakwaka, 10:54, 22/04/2017 [ответить] [смотреть все]  
  • +2 +/
    Поучительный опыт информирования банков об уязвимостях С полгодика назад позвон... весь текст скрыт [показать]
     
     
  • 2.8, A.Stahl, 11:53, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    >не знаю даже

    Ты даже на своих ошибках не учишься? :)

     
     
  • 3.22, Аноним, 15:39, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Конечно не учится, да и случай не первый уже, стопудово Когда ему рассказали ка... весь текст скрыт [показать]
     
     
  • 4.25, vi, 18:04, 22/04/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    По прочтению комментария этого господина, не увидел непонимания Откуда Вы это в... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 23:56, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Лет мало, вот ты и не понял С возрастом многое становится очевидным, в том числ... весь текст скрыт [показать]
     
     
  • 6.43, vi, 23:31, 23/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, согласен И еще, забираю все свои советы ... весь текст скрыт [показать]
     
  • 2.12, dimqua, 13:42, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    > связываться с биржей уязвимостей

    Эксплуатируй сам.

     
  • 2.13, vantoo, 14:32, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Судя по всему, точный размер оплаты даже за основную работу не был заранее четко... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Sabakwaka, 14:49, 22/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    171 На словах 187 предполагалось, что он превысит, как минимум, 171 белую ... весь текст скрыт [показать]
     
     
  • 4.19, vantoo, 15:34, 22/04/2017 [^] [ответить] [смотреть все]  
  • +12 +/
    Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.
     
     
  • 5.44, vi, 23:33, 23/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Может быть им просто некогда ... весь текст скрыт [показать]
     
  • 2.24, Аноним, 18:02, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Причиняй добро и беги Желательно заметая при это следы средствами анонимизации ... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, Michael Shigorin, 20:08, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Судите сами, но я бы с такими если и связывался, то держа наготове причём не бл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Аноним, 21:06, 22/04/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Мишенька, ты тут недавно блистал познаниями УК РФ. Куда они вдруг подевались?
     
  • 3.32, Sabakwaka, 21:32, 22/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Когда zero-day озвучен, 8212 а я забил в колокола по всем инстанциям благо б... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 23:36, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Забей Дело не в русской душе У иностранцев бомбит еще хлеще Тут дело в том, ч... весь текст скрыт [показать]
     
  • 3.46, Аноним, 10:58, 24/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Что-бы другим не повадно было сначала применят УК за вымогательство вплоть до п... весь текст скрыт [показать]
     
  • 1.11, Аноним, 13:27, 22/04/2017 [ответить] [смотреть все]  
  • –1 +/
    Очередной опеннетовский горе-переводчик Откуда ты взял о том, что уязвимость по... весь текст скрыт [показать]
     
     
  • 2.14, Аноним, 14:32, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Penson confirmed that this software was affecting over 100,000 North Amerian re... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 15:01, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    То есть соглашение о неразглашении было нарушено?
     
     
  • 4.37, MrStell, 14:25, 23/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, автор это осознает и заявляет прямым текстом So I signed the NDA on 2008-1... весь текст скрыт [показать]
     
  • 4.40, www2, 20:11, 23/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Интересно, а что они ему сделают за это С работы уволят Или будут судиться и п... весь текст скрыт [показать]
     
  • 1.21, Аноним, 15:39, 22/04/2017 [ответить] [смотреть все]  
  • +3 +/
    Поучительно, значит анонимные угрозы эффективнее.
     
     
  • 2.26, Аноним, 18:51, 22/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сразу начинать пользоваться — эффективнее всего.
     
     
  • 3.28, нах, 20:41, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    не, ну надо ж дождаться пока кто-нибудь made it clear that unauthorized transact... весь текст скрыт [показать]
     
     
  • 4.42, Аноним, 22:42, 23/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Закупил биткоинов или прочих-коинов Перемешал их с другими как в Золотом копыт... весь текст скрыт [показать]
     
  • 1.29, anonymous, 20:57, 22/04/2017 [ответить] [смотреть все]  
  • +1 +/
    Давно уже известно, что банки - неблагодарные суки. Нашёл багу - сбросил в даркнет.
     
  • 1.36, Crazy Alex, 13:05, 23/04/2017 [ответить] [смотреть все]  
  • +/
    Вот что мне не понятно - откуда такая странная политика. Казалось бы - самим же выгодно получить информацию и быстро тихо всё починить. Я понимаю, что бывает, что для починки надо тупо весь код выкинуть и брать другую архитектуру. Тогда, если юридически прикрыт хорошо - можно и забить в надежде, что враги найдут попозже. Но CSRF-то чинится и так...
     
     
  • 2.38, Ordu, 16:35, 23/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если банк рассматривать холистически, как что-то цельное, то объяснить не удастс... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, АнониМ, 18:34, 23/04/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В крупных организациях всем на всё накакать. вот и вся политика. софт соответствует какому-нить стандарту разработки, какой-нить аудит прошли, деньги получены, если запроса от клиента нет, то чего напрягаться? за это премию не выпишут, а могут и наоборот. в энтерпрайзе это практически везде.
     
     
  • 3.41, www2, 20:16, 23/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > В крупных организациях всем на всё накакать.

    Это точно. И дело не в злом умысле или некомпетентности, там просто важные сообщения легко теряются в общем потоке информации. Иногда даже выяснить не удаётся, кто за это отвечает, а т.к. своей работы много, то просто кидаешь информацию куда-нибудь в рассылку или по направлению вверх, а дальнейшая судьба этого тебя не волнует.

     
  • 1.47, Ананас, 11:05, 25/04/2017 [ответить] [смотреть все]  
  • +/
    Уже которая история про то как вайтхет идеалистов поимела корпорация, а они все никак не учатся на своих ошибках. Поэтому уязвимости надо продавать тем кто может за них платить и использовать по назначению, жирный корпорас начнет крутиться только когда его поимеют.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor