Asi takýto text mi prebehol hlavou keď som dnes pozrel stránku www.naj.sk. Táto stránka je slovenským klonom www.navrcholu.cz (alebo naopak) a kladnie si za úlohu merať návštevnosť stránok. Ak chcete vedieť koľko máte návštevníkov denne/mesačne/ročne, tak si na stránku vložíte kód a poskytovateľ Vám meria návštevnosť. Ďalej to nebudem rozoberať nesúvisí to z témou (možno neskor).
Tak na tejto stránke je rebríček a v ňom v prvej desiatke slsp.sk a vub.sk. Pre neznalých Slovenská sporiteľňa a Všeobecná úverová banka?! Tož síce sympatické že tieto banky už konečne pochopili že existuje internet, ale toto je prešľap ako Londýn. Prečo?
1. Nechápem prečo seriózne bankové domy majú potrebu meriať návštevnosť svojej stránky a pomeriavať sa so stránkami typu Azet.sk, libimseti.cz. Serióznosť!?
2. Sú tieto bankové inštitúcie natom zle tak že si nedokážu meriať návštevnosť samé? Neverím. Ak už tak prečo si nezaplatia iba meranie. A napadá ma uštipačná otázka či si vobec niečo zaplatili či nepoužívajú náhodou bezplatnú službu.
3. Ďalej a to je teda dosť vážne, je phishing. Ako som písal v úvode, na meranie návštevnosti sa musí na stránku vložiť kód (alebo obrázok). Ak bude niekto chciet zaútočiť na internet banking tak sa nemusí trápiť s webovou stránkou banky (tá bude asi dobre zabezpečená), ale stačí mu zaútočiť na naj.sk (ktorá asi tak dobre zabezpečená nieje).
4. Vzhľadom na bod 3 nechápem ako mohla stránka prejsť bezpečnostným auditom.
Asi by sa hodil neaký záver. Ale najlepším záverom sú vždy komentáre ;o)
je rozdiel medzi http://www.slsp.sk a https://ib.slsp.sk ... staci pozriet ip adresy
na www.slsp.sk chodi mnozstvo ludi kvoli informaciam na ib.slsp.sk iba zakaznici
[1]: Samozrejme to som cakal.
Ale co ludia ktory chodia do IB priamo zo stranky www.slsp.sk (hned vlavo hore).
[2] hned na tej stranke maju info: Pharming/Phishing "Pozor na útoky" ... takze zavisi od pouzivatelov, ci im browser ukaze spravny ssl certifikat, ci nahodou na inej stranke nepotvrdia neznamy certifikat a pod. ... navyse ku kazdej operacii treba minimalne GRID kartu ... kazdy si precita upozornenia, ak mu zalezi na spolahlivosti a bezpecnosti
Ako sa to zoberie, v kontexte so spominanymi webmi je to porovnavanie smiesne.
Zasa u vacsiny firemnych stranok nie je navstevnost v zmysle kvantity dolezita a skor zaujimava je skladba navstevnosti (ake stranky, kto, odkial).
Volba meradla je otazka... miesto navrcholu by bola mozno potom vhodnejsia sluzba od Google (Analytics).
Pouzitie externeho meradla je na zvazenie, je to pohodlne a rychle riesenie.
Fakt, ci ide o platenu alebo neplatenu sluzbu je irelevantny.
Je tu vsak aj pohlad, kedy sa vo firme obcas spytaju, ako sme na tom vseobecne s navstevnostou v porovnani s nejakym znamejsim webom - je to obojstranny argument - vies povedat, kolko ludi dokazes vlastnym webom "zasiahnut" a ci ten alebo iny plan ma zmysel.
Ja osobne? Navrcholu som odskusal a nakoniec prestal pouzivat akonahle som zistil, ze Analytics mi dava zaujimavejsie informacie.
Myslmim, ze slovenske banky na tom zo zabezpecenim nie su az tak zle.
To, ze si meraju navstevnost externym portalom mi sice pride trochu chytene, ale preco nie. Je to reklama prakticky zadara. A ktora banka sa rada nepochvali, denne mame xyyx navstevnikov, teda viac ako konkurencia. Osobne si myslim, ze z tejto strany sa nebezpecia treba obavat minimalne.
len na okraj, to ze www.slsp.sk nie je ten isty server ako ib.slsp.sk je sice pekne, ale na www.slsp.sk je napr. link na ib.slsp.sk a ak by sa niekomu podarilo tento link upravit aby smeroval niekam inam (napr. na phishing stranku) tak to by uz problem bol.
Takze by som az tak nezlahcoval ze je tam iba www.slsp.sk
Na stránke slsp sa ten skript neťahá z externého zdroja, takže riziko je tam do značnej miery eliminované. Keď si pozriete ten skriptík, nerobí v podstate nič, akurát pošle nejaké údaje pomocou vypísania obrázku 1x1. Tam vidím jedine možnosť nejakého buffer overflow alebo čo (momentálne si neviem spomenúť na žiadny takýto exploit, ak vôbec existuje).
Na druhú stranu, čítali ste http://blog.synopsi.com/2008-11-13/internet-banking-po-slovensky ? Internet banking na Slovensku nie je nesmrteľný rytier, nepotrebujú ani externé skripty.
Keď už som pozeral to html, čo tam majú na stránke, veľmi ma prekvapilo, že tam majú toľko zbytočných medzier (prázdne riadky, tabulátory...). Keby obmedzili tieto zbytočné medzery, mohli by ušetriť (aspoň čo sa mne podarilo, možno by sa dalo aj viac) 8 kB na úvodnej stránke.
no ja teda neviem, táto celá diskusia je akosi o niečom inom, aj keď bude útočník mať moje prihlasovacie meno a heslo, tak nespraví ani prd, je tam niekoľko ďalších ochrán, minimálne GRID karta pri SLSP IB, s ktorou musíte potvrdzovať akúkoľvek transakciu a keď vám je to málo, môžete si tam ešte dávať potvrdzovacie SMS na váš telefón, t.j. príde vám kód, ktorý vložíte do stránky ako potvrdenie transakcie... takže pokiaľ mi niekto neukradne GRID kartu s mobilom a k tomu mi cez phishing zoberie prihlasovacie údaje, tak nespraví nič, akurát si tak pozie zostatok na mojom účte :)
preto je to v prvom rade na ľuďoch ako si chránia svoje veci, či už ide o prihlasovanie na internete alebo GRID, prípadne telefón....
Ak root.cz vybera z blogov na svojom webe, mohol by tak - uz konecne - robit na zaklade kvality clankov. Zase som omylom klikol na clanok text plny pocitov a gramatickych chyb. Prestante sa snazit byt dobri a konecne zacnite aj byt. Ale to bez kvalitnych odbornikov na tematiku a zurnalistiku tazko zvladnete.
[14] - myslím, že u niektorých ľudí je citlivý aj len zostatok na účte. Napríklad si predstav, že by si zistil číslo účtu a zostatok niektorému poslancovi NR SR. Poprask ako sviňa.
Ale s tým skriptom, čo je na stránke nespraví nikto nič, keďže sa neťahá z cudzieho zdroja. Je to planý poplach. No ešte mi tak napadlo CSRF pomocou headeru...
[17] vidíš to ma nenapadlo :)
apropó, ty si myslíš, že to majú v banke na účte pod svojím menom? Myslím, že to by sme museli inak pátrať aby sme im tie "čierne" prachy na nejakých účtoch našli... a potom ešte dokázali, že sú ich, na to ako sa správajú debilne si zrovna na takéto veci dávajú sakra pozor :)
zdeno, suhlas so vsetkym az na tu bezpecnost - by som bol opatrny. ten script aspon ja neviem o ziadnom exploite, ako to uzs niekto pisal, ako by to slo zneuzit. nieco snad s hlavickami.
davam ti za pravdu, ze toto je amaterizmus a traposina, pouzivat na toto naj. netreba sa bat a treba kritizovat, lebo len toto ich nauci.
1. Pomocou buffer overflow sfalsujem uvodnu stranku.
2. Necham obet presmerovat na "svoj internet banking"
3. Dalej uz "man-in-middle"
4. V okamziku ked obet vykona platbu podstrcim "svoje cislo uctu"
5. Obet opise autorizacny kod a tym sama dobrovolne posle peniaze inam.
Teraz budete namietat ze podrobne citate co v tej SMS je.
No ano to robime mi, ale existuje nemale percento ludi ktore to nerobi.
Ako dokaz moze sluzit ze existuju ludia ktori klikaju na spam, phishing v mailoch a pod.
Podla mna ma slsp najlepsi IB z pomedzi SK bank. Mam moznost porovnavat. A maju aj pekny zeleny certifikat co je dalsie +
A pardon, to ze daky magor neuvidi, ze zrazu nema pri URL zeleny pasik a pyta to od neho potvrdenie nejakeho nedoverihodneho certifikatu to je cisto jeho problem. Zvlast ak na to banka na svojom webe upozornuje.
[22] dobre som sa pobavil :) pri SLSP ti to je celé naprd, od bodu 4. ti to už vôbec nebude fungovať.... si úplne mimo :)
už som písal, že tých úrovní ochrany tam je viac, tak čo tu stále riešite, keby to malo byť len o nejakom prihlásení, tak si to presmerovať môžte a podstrkovať čokoľvek, ale našťastie to používa niekoľko ďalších ochrán, o ktorých sa bežný smrteľník nemá šancu dozvedieť, ale ako vidím, teoretikov je tu teda veľmi veľa...
snívajte ďalej....
PS: útok si viem predstaviť, ale k tomu by v prvom rade ten človek potreboval vedieť kompletne ako ten systém funguje, ale to je asi každému jasné a aj to, že SLSP a ani iná banka nebude dávať IB zdrojáky ako OpenSource :) alebo nedajbože niekomu k nahliadnutiu :)
zabavne, skoda jen, ze si autor blogu neuvedomil takovou primitivni vec, jako je REKLAMA, a toto je REKLAMA ZADARMO :) Protoze i ty ruzne toplisty a podobne seznamy jsou nemalym zdrojem lidi, a pokud jste nekde prvni, druzi, tak na vas lide proste klikaji ... veskere ty diskuse o tom hackovani jsou v ciste filozoficke rovine a ackoliv se autor blogu domniva, ze je to nebezpecne, bylo mu tu opakovane ukazano, ze se docela dost plete, nebo ze jeho predstavy jsou z knihy "Hackujeme bankovni weby, 1. trida ZS" :)
Tak vidim ze sa tu pohybuju aj ludia dotknutych bankovych domov.
Celkom spravne ma kritizujete za moje amaterstvo, ale ...
Nepotrebujem byt lepsi ako vy aby som vam dokazal ze system je deravy.
Navrhujem toto:
1. Na stranku slsp.sk umiestnit honey-pot (predpokladam ze lepsie zabezpeceny to necham na odbornikoch)
2. Dat priestor 6 mesiacov
3. Vypisat odmenu 50 tis. kazdemu kto ten honey-pot otvori
Tak teraz som zvedavi kto to zdvihne.
Blizsie si dohodneme na etrsek@gmail.com
PS: Tak vidite nakoniec budem ten posledny co sa smeje najviac.
Prajem vsetkym pekny den a nech mame tie Vianoce uz za sebou.
[37] Nie suvis s povodnou temou v tejto ponuke nieje.
Je to dokaz toho ze vsetci ste sice odbornici ale len pokial ide o reci.
Ked pride na lamanie chleba zapochybujete. To ze sa nik neozyva je toho dokazom. Ako som pisal nemusim mat vacsie vedomosti ako vy pretoze staci dobre polozena otazka aby ste sa usvedcili sami.
PS: Pevne dufam ze sa niekto ozve, ze niekoho tym vyprovokujem. Z toho by bol clanok juhuuu. Taktiez si uvedomte aka by to bola reklama pre vas bankovy dom. Tak sa posnazte a darujte tuto temu root.cz pod stromcek. O to vas prosim. Pekny den.
[36] Ziadas privela. Odpoveda to tvojej urovni myslenia. Citaj, skusaj, testuj a hlavne nad vsetkym rozmyslaj a kombinuj. Potrebujes mat prehlad, ten ziskas casom. Potom napis clanok a diskusia k clanku naberie opacny kurz. Tak sa zbavis naivity a priblizis objektivite.
K testom bezpecnosti systemov.
Ohrozit bezpecnost produkcneho prostredia dobrovolne, kvoli comukolvek, aj stavke 50 tis. fazul je samozvrazda. Testy bezpecnosti sa vykonavaju na identickom prostredi ako je produkcne, s tym rozdielom, ze je izolovane a nazyva sa testovacie.
Většina měřících systémů si nějak "označkuje uživatele" (zpravidla cookies) a pak krom toho že měří návštěvnost, tak sleduje kteří uživatele chodí na jaké stránky. Komu se tyto data dostanou, je jen na nich. Uživatel Inernetu je více méně anonymní položkou ve statistice, dokud se někam nezaloguje (např. do banky). Banka pak teoreticky může vědět, na jaké servery zapojené do naj.sk její klient chodí. Zda má o tato data zájem nebo ne, či jakým směrem a zda vůbec jsou nějaké údaje poskytovány, si netroufám odhadovat.
Cookies do různých měřáku návštěvnosti je tudíž dobré blokovat. Něco snad bývalo defaultně v prohlížečich, ale delší dobu jsem se na to nekoukal.
[40] Verim ze keby sa chcelo (uz sa mi nechce pisat ze keby ste svojmu systemu verili) tak by sa dalo. Nechcem od vas dat vsanc IB, preto som vravel len o uvodnej stranke. Ak mate svoje testovacie akvarko tak preco ho nevystavit na NET? Ak to nema byt www.slsp.sk tak preco nie spordat.sk alebo iny klon ktory mate zaregistrovany?
Ved by slo len o neaky honey-pot. Od toho honey-pot je, aby zachytaval zlych chlapcov. Mozno sa mylim a odbornici tomu hovoria inak ;o)
Ale chapem prist s takym niecim za vedenim tak vas poslu niekam.
Apropo uvodna stranka. Najprv som sa dozvedel ze o nic nejde a ze IB je oddeleny system a potom zase krcovita obrana uvodnej stranky na ktorej sice moze byt odkaz do naj.sk ale uz vobec nemoze byt odkaz "tu hacknite". ;o)
[37] Už fakt nechápem, o čo ti ako ide. Napíšeš najprv niečo, čo je jasné vyvrátené, a po tomto pokračuješ všeobecnými obvineniami. Áno, určite nejaké diery sú, dokonalý systém snáď ani neexistuje. Ale uniklo mi, čo tým chcel autor povedať. Chcel si niekoho nachytať na hruškách, nenachytal si ho, tak sa ho snažíš na tie hrušky dostať násilím? Trochu ako keby si chytal móresy nášho pána premiéra. Hovorí o tom, ako strašne všetky DSS-ky kradnú a všetkých chcú len obrať o peniaze - ale žiadny dôkaz nikdy namal, nemá a ani mať nebude.
Napíš nejakú konkrétnu SKUTOČNÚ zraniteľnosť a k nej sa ti vyjadríme (ja určite). Neviem ako ty, ale ja testovať útoky na skutočnú bankovú aplikáciu nebudem, som príliš mladý na to, aby som strvdol v lochu.
Vo voľnom čase sa venujem staručkému Turbo Pascalu na stránke www.trsek.com. Inak programujem v C/C++, PHP, SQL.
Přečteno 28 763×
Přečteno 24 691×
Přečteno 24 096×
Přečteno 23 085×
Přečteno 22 757×