The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Поучительный опыт информировния банков об уязвимостях

22.04.2017 09:15

Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46427-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, hoopoe (ok), 09:47, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    а что здесь поучительного? чуваку заплатили за молчание (иначе любое соглашение о неразглашении идёт лесом), бага жила ещё много лет, чувак, вероятно, больше не пользовался этими сетями :)
     
     
  • 2.2, Константавр (ok), 09:51, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ему даже не заплатили, его пообещали взять на работу. Правла, непонятно, взяли ли?
     
     
  • 3.3, angra (ok), 09:56, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не взяли и с докладом на конференции прокатили. А подписать заставили под угрозой науськивания на него ФБР.
     
  • 3.4, кверти (ok), 09:56, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Он подписал соглашение за обещания?!
     
     
  • 4.5, zanswer CCNA RS (?), 10:07, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вряд ли он подписал NDA находясь под влиянием возможных перспектив быть нанятым на работу. Скорее всего юрист консульт был более убителен, когда описывал возможные перспективы встречи с ФБР, по обвинению во взломе.
     
     
  • 5.15, cmp (ok), 14:40, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Рассказать как взломать и взломать разные вещи, писатели шифровальщиков сейчас почти в открытую работают так как формально ничего не нарушают, а распространителей много и все риски на них.
     
     
  • 6.23, Аноним84701 (ok), 16:28, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Рассказать как взломать и взломать разные вещи,
    > формально ничего не нарушают, а распространителей много и все риски на них.

    Одно дело угрозы представителя шароварщика-фрилансера или мелкой фирмочки и немного другое, когда там "банка каменная" и тех юристов "цельный легион". При желании и некоторых финансовых возможностях, можно формально ничего не нарушая, очень усложнить кому-то жизнь, хотя бы исками (я уж не говорю о мелких пакостях, типа внесения в черный список, в СRA, отказ от обслуживания, попытки повесить всех собак и сделать козлом отпущения при любом взломе и т.д.).
    Поэтому рассуждения на опеннете "как надо правильно" и реальность "а оно мне или тем более, моей семье, надо?" частенько немного расходятся.

     
  • 6.35, zanswer CCNA RS (?), 08:45, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А я и не ставил между этими событиями знак равенства, я лишь предположил, что возможные перспективы доказывать, что виновник новости совершил первое деяние, а не второе, представителям правоохранительных органов его не прельщал.

    Я не сомневаюсь в чистоте его намерений, когда он проводил своё исследование безопасности их продукта, но ведь на это можно посмотреть и с другой стороны, и не все коммерческие компании готовы признавать свои ошибки открыто, отсюда и требование о подписании NDA.

     
     
  • 7.45, Аноним (-), 10:49, 24/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Про исследование, тут по разному может быть.
    Вот открываю я как-то сбербанк-онлайн, а утилитка по приватности мне пишет, заблокировано 2 ссылки, смотрю что за ссылки, а там гугл аналитика с внешнего источника, как по вашему проблема или нет на форме ввода пароля?
    Сейчас вроде убрали, но как-то не по себе немного от крупного банка такое.
     
  • 5.18, Аноним (-), 15:08, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    юрисконсульт!
     
  • 5.30, Аноним (-), 21:01, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    убителен

    Где таких словов народ подцепляет? Даже наличие не проверяют в Гуглах разных, краснодипломники :).

     

  • 1.6, тоже Аноним (ok), 10:39, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "
    Как правительство может быть таким процветающим и делать так много ошибок?
    – Я удивлялась этому тоже, – сказала она, – и думала об этом. В конце концов я пришла к единственному возможному ответу.
    – И каков же он?
    – Практика, – сказала она. – Неустанная, безжалостная практика.
    "
     
  • 1.7, Sabakwaka (ok), 10:54, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Поучительный опыт информирования банков об уязвимостях:

    С полгодика назад позвонил один банкир по наводке другого банкира.
    Высокопоставленный банкир. Надо было сшить пару платежных сервисов.
    Забашыл им модуль в рекордный срок. Быстрее их штатного коллектива в сорок рыл бездельников.

    Нашел дырень на ширину плеч, — ходи кто хочешь, серьёзная брешь.

    Сел на корточки, как медведь у Салтыков-Щедрина, и жду поощрения.

    Приходит письмо «с самого верха» — «ну, да, вы выявили дыру, но вы же не сообщаете нам, как ее закрыть/исправить???»

    Как ее «исправлять», когда я не в ядре, а на клиентской стороне? :)

    НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно недодали из обещанных златых гор.

    Хотя я ОСОБО сообщал на «собеседовании», что я — трудоустроен, что я ХОРОШО ТРУДОУСТРОЕН, и что я не намерен искать г%в%а от добра, и что их желание «работать именно со мной» должно опираться на их возможность платить уж никак не меньше, чем на прежнем месте.

    Так что теперь и не знаю даже, информировать на будущее, или сразу связываться с биржей уязвимостей?

     
     
  • 2.8, A.Stahl (ok), 11:53, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    >не знаю даже

    Ты даже на своих ошибках не учишься? :)

     
     
  • 3.22, Аноним (-), 15:39, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно не учится, да и случай не первый уже, стопудово. Когда ему рассказали какой он уникальный и нужный, лучше 40 бездельников, которым исправно платят зарплату - комментатор расстаял в момент. Так приятно быть доминантной особью. Ладно хоть догадался бы не рассказывать что его кинули на деньги, но нет. Наш юнный друг цветет и пахнет красуясь на опеннете своим эго, даже не понимая, что это не он раскрыл уязвимость, а уязвимость под  названием "дармовая рабочая сила" раскрыли и успешно проэксплуатировали в нём. Но жертва мнит себя героем-победителем, что прекрасно иллюстрирует содержимое головы.
     
     
  • 4.25, vi (ok), 18:04, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ладно хоть догадался бы не рассказывать что его кинули на
    > деньги, но нет. Наш юнный друг цветет и пахнет красуясь на
    > опеннете своим эго, даже не понимая, что это не он раскрыл
    > уязвимость, а уязвимость под  названием "дармовая рабочая сила" раскрыли и
    > успешно проэксплуатировали в нём. Но жертва мнит себя героем-победителем, что прекрасно
    > иллюстрирует содержимое головы.

    По прочтению комментария этого господина, не увидел непонимания! Откуда Вы это взяли?
    И то что рассказал, что кинул на деньги, молодец! Хотя конечно всем известно, что банкиры этим и зарабатывают. Это у них такой способ заработка, ЗАРАБОТКА, такой способ! Они всех сажают на процент, а тех кого можно кинут сразу, сразу и кидают! Иначе ни как ("С волками жить, по волчьи выть."). Так что узбагойтесь гражданин. С ними необходимо каждый "чих" записывать, и на подпись с печатью. А еще лучше, ... Ну Вы сами понимаете ;)

    Мое мнение, молодец! Пусть растет ;)

    Тут самое главное, ГЛАВНОЕ, научится быстро, БЫСТРО, отделять мух от котлет.

     
     
  • 5.34, Аноним (-), 23:56, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лет мало, вот ты и не понял. С возрастом многое становится очевидным, в том числе, по тому как именно человек излагает свои мысли. Тебя ситуация с эго тоже касается, раз возникает желание давать советы незнакомым людям.
     
     
  • 6.43, vi (ok), 23:31, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Лет мало, вот ты и не понял. С возрастом многое становится очевидным,
    > в том числе, по тому как именно человек излагает свои мысли.
    > Тебя ситуация с эго тоже касается, раз возникает желание давать советы
    > незнакомым людям.

    Да, согласен! И еще, забираю все свои советы ;)

     
  • 2.12, dimqua (ok), 13:42, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > связываться с биржей уязвимостей

    Эксплуатируй сам.

     
  • 2.13, vantoo (ok), 14:32, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему, точный размер оплаты даже за основную работу не был заранее четко оговорен? Ну тогда чего вы ждали? Думали они сами щедро отсыпят с барского плеча, руководствуясь вашими намеками, что на основной работе вы хорошо зарабатываете? Будет вам наука на следующий раз.
     
     
  • 3.16, Sabakwaka (ok), 14:49, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> точный размер оплаты даже за основную работу не был заранее четко оговорен

    «На словах» предполагалось, что он превысит, как минимум, «белую» часть, подтвержденную выписками Пенсионного фонда за последний год.
    Люди сильно «большие». Из тех, которым «надо верить нА слово».

     
     
  • 4.19, vantoo (ok), 15:34, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.
     
     
  • 5.44, vi (ok), 23:33, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.

    Может быть им просто некогда ;)

     
  • 2.24, Аноним (-), 18:02, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причиняй добро и беги. Желательно заметая при это следы средствами анонимизации.
    Но вообще из таких историй напрашивается вывод, что если явно отсутствует программа поощрения уязвимостей, то эти самые уязвимости нужно продавать в даркнетах.
    Либо угрожать распространить информацию об уязвимости, если дыру не закроют в такой-то срок. Опять же, заметая следы.
     
  • 2.27, Michael Shigorin (ok), 20:08, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно
    > недодали из обещанных златых гор. [...] Так что теперь и не знаю даже,
    > информировать на будущее, или сразу связываться с биржей уязвимостей?

    Судите сами, но я бы с такими если и связывался, то держа наготове (причём не блефом) подход "ребята, через N дней ваша дырка всплывёт, даже если вы устроите мне дырку в голове -- будьте умничками и сделайте хоть что-то по совести".

     
     
  • 3.31, Аноним (-), 21:06, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Мишенька, ты тут недавно блистал познаниями УК РФ. Куда они вдруг подевались?
     
  • 3.32, Sabakwaka (ok), 21:32, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Судите сами, но я бы с такими если и связывался, то держа
    > наготове (причём не блефом) подход "ребята, через N дней ваша дырка
    > всплывёт, даже если вы устроите мне дырку в голове -- будьте
    > умничками и сделайте хоть что-то по совести".

    Когда zero-day озвучен, — а я забил в колокола по всем инстанциям (благо были контакты всех сторон) — от банка-участника системы платежей, до эквайера и поставщика/производителя фреймворка, — тут уже не очень прилично (по-моему) «качать права» и «выкручивать руки».

    Дыра, по большому счёту, не на стороне банка-заказчика, а на стороне партнера-эквайера (хоть и аффилированного) и производителя «решения», фреймворка, на котором запилен эквайринг.

    Тут и по голове можно словить по-настоящему. От совершенно несвязанных со мной никакими обязательствами сторон, например.

    Но дело-то в том, что я ожидал хотя бы русских масштабов премии за дырень, идеологическому противостоянию которой был посвящен целый слой взаимодействия как клиентвари, так и мидлвари.

    С охерительными ухищрениями, ключами-глючами и дырой в конце процесса :)

    Есть мнение, что весь интернет-магазининг имеет сей вход в туду :)

     
     
  • 4.33, Аноним (-), 23:36, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Но дело-то в том, что я ожидал хотя бы русских масштабов премии за дырень

    Забей. Дело не в русской душе. У иностранцев бомбит еще хлеще. Тут дело в том, что а) ты не являлся авторитетом в глазах руководства б) ты отослал данные барину, а не его советнику, к которому он прислушивается.

    В следующий раз пиши в oss-security, те кто его читают люди достаточно авторитетные. И если не поверят, то можешь смело разглашать. Твое дело бабло рубить, а не играть в шута:

    -- "ой, смотрите какой я умный, нашел дырень!"

    -- "ой, ну ты молодец, но лучше тебе помалкивать, мы тебя не для нахождения дыр нанимали и вообще, где код?!"

     
  • 3.46, Аноним (-), 10:58, 24/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно
    >> недодали из обещанных златых гор. [...] Так что теперь и не знаю даже,
    >> информировать на будущее, или сразу связываться с биржей уязвимостей?
    > Судите сами, но я бы с такими если и связывался, то держа
    > наготове (причём не блефом) подход "ребята, через N дней ваша дырка
    > всплывёт, даже если вы устроите мне дырку в голове -- будьте
    > умничками и сделайте хоть что-то по совести".

    Что-бы другим не повадно было сначала применят УК за вымогательство (вплоть до подставной выплаты с участием силовиков), а остальные вопросы будут решать по мере возникновения проблем, может и героически и с потерями.
    Ключевое - с террористами переговоров никто не хочет вести, особенно если жизни не угрожает.

     

  • 1.11, Аноним (-), 13:27, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Очередной опеннетовский горе-переводчик. Откуда ты взял о том, что уязвимость пофиксили? Там вся мякоть разворачивающегося скандала в том, что уязвимость до сих пор не пофиксили спустя почти 10 лет, а нашедшего уязвимость заставили замолчать подписанным NDA.


    "2017 I have yet hear from FINRA that any action has been take. I have yet to hear from ZECCO / Trade King that the issue has been resolved.

    If you have made any transaction with ZECCO / Trade King / Penson between 2005 and present you may wish to contact an attorney to understand if that transaction was made without your permission and under the gross negligence of the company's management."

    > Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций.

    Эта отсебятина откуда? Нету в оригинале этого.

     
     
  • 2.14, Аноним (-), 14:32, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эта отсебятина откуда? Нету в оригинале этого.

    "Penson confirmed that this software was affecting over 100,000 North Amerian retail branches (I will not say which). Also their engineers made it clear that unauthorized transactions like this and later shown below would not be distinguishable from other legitemate transactions."

     
     
  • 3.17, Аноним (-), 15:01, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То есть соглашение о неразглашении было нарушено?
     
     
  • 4.37, MrStell (ok), 14:25, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, автор это осознает и заявляет прямым текстом:
    "So I signed the NDA on 2008-10-27. In direct violation of the NDA I am also posting it publicly now in the public interest."
     
  • 4.40, www2 (ok), 20:11, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересно, а что они ему сделают за это? С работы уволят? Или будут судиться и посадят в тюрьму? Так это они к себе ещё больше внимания привлекут таким способом. Я бы на их месте не стал обосравшись пытаться засадить того, кто это первым увидел, но терпеливо молчал, пока они не подмоются.
     

  • 1.21, Аноним (-), 15:39, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Поучительно, значит анонимные угрозы эффективнее.
     
     
  • 2.26, Аноним (-), 18:51, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу начинать пользоваться — эффективнее всего.
     
     
  • 3.28, нах (?), 20:41, 22/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Сразу начинать пользоваться — эффективнее всего.

    не, ну надо ж дождаться пока кто-нибудь
    made it clear that unauthorized transactions like this and later shown below would not be distinguishable
    ;-)

    а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.

     
     
  • 4.42, Аноним (-), 22:42, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.

    Закупил биткоинов или прочих-коинов. Перемешал их с другими как в "Золотом копытце". На коины можно заказать благотворительную посадку пальмовой рощи. Ходишь по роще рвешь бананы. Кушаешь бананы, поливаешь пальмы.

     

  • 1.29, anonymous (??), 20:57, 22/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давно уже известно, что банки - неблагодарные суки. Нашёл багу - сбросил в даркнет.
     
  • 1.36, Crazy Alex (ok), 13:05, 23/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот что мне не понятно - откуда такая странная политика. Казалось бы - самим же выгодно получить информацию и быстро тихо всё починить. Я понимаю, что бывает, что для починки надо тупо весь код выкинуть и брать другую архитектуру. Тогда, если юридически прикрыт хорошо - можно и забить в надежде, что враги найдут попозже. Но CSRF-то чинится и так...
     
     
  • 2.38, Ordu (ok), 16:35, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если банк рассматривать холистически, как что-то цельное, то объяснить не удастся. Но банк -- это много людей, разделение ответственности и обязанностей, многие из этих людей даже не знают о существовании друг друга. И цели каждого не совпадают с целями банка.
    Можно пофантазировать и представить себе организационные трудности -- может быть те, кто имел дело с исследователем, были сильно не заинтересованы в том, чтобы уязвимость всплыла, потому что они в какой-то мере были ответственны за разработку системы, и наличие уязвимости в системе было бы воспринято как пятно на их карьере.
    А может быть они воровали денег, и им дыра была нужна на случай залёта, чтобы списать недостачу на дыру: мол, это не мы, это какие-то внешние хакеры.
    Может быть разработчики системы оставили эту дыру намеренно, но имели компромат на того сотрудника банка. Разработчики потихоньку тырили денег, и шантажируя сотрудника вынуждали его работать прикрытием.
    Можно и ещё чего-нибудь придумать. Но это всё фантазии, и я даже не могу оценить насколько они могут быть далеки от реальности, потому что в банках никогда не работал и с их внутренней организационной структурой не знаком.
     
  • 2.39, АнониМ (ok), 18:34, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В крупных организациях всем на всё накакать. вот и вся политика. софт соответствует какому-нить стандарту разработки, какой-нить аудит прошли, деньги получены, если запроса от клиента нет, то чего напрягаться? за это премию не выпишут, а могут и наоборот. в энтерпрайзе это практически везде.
     
     
  • 3.41, www2 (ok), 20:16, 23/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В крупных организациях всем на всё накакать.

    Это точно. И дело не в злом умысле или некомпетентности, там просто важные сообщения легко теряются в общем потоке информации. Иногда даже выяснить не удаётся, кто за это отвечает, а т.к. своей работы много, то просто кидаешь информацию куда-нибудь в рассылку или по направлению вверх, а дальнейшая судьба этого тебя не волнует.

     

  • 1.47, Ананас (?), 11:05, 25/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже которая история про то как вайтхет идеалистов поимела корпорация, а они все никак не учатся на своих ошибках. Поэтому уязвимости надо продавать тем кто может за них платить и использовать по назначению, жирный корпорас начнет крутиться только когда его поимеют.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру