Форум

Ваш банк уже взломан

от 11.04.2014 07:00

Цитата
Banki.ru:
7 апреля стало известно о том, что в популярной криптографической библиотеке
OpenSSL на протяжении двух последних лет имеется уязвимость, которая позволяет
запросто взламывать самые защищенные веб-сайты, включая интернет-банки.
Портал Банки.ру выяснял, чем это грозит клиентам банков и как кредитные
организации решают возникшую проблему.


Читать материал полностью »

Сообщение создано автоматически
 
У компаний, "обеспечивающих информационную безопасность", закончился презренный металл?

Цитата
Кусочек небольшой — всего 64 килобайта


Мде. А ведь когда-то такой кусочек составлял всю оперативную память компьютера, занимающего, вместе с периферией, 12 аршин. И ведь хватало, чтобы не только ракеты через полмира пулять, но и на Луну высаживаться. smile:D
 
Цитата
Сообщить банкам об уязвимости оказалось не так просто. Телефонная поддержка зачастую не может перевести звонок на системных администраторов, почта для связи или вообще отсутствует, или на нее реагируют непозволительно долго. Большинство банков либо не понимали, о чем идет речь, либо недооценивали опасность уязвимости. Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма.

зажировали банчки, зажировали... Давно их в судах на крупные суммы не ставили из-за их зажравшейся неторопливости smile@=
В ТКС больше не привожу принципиально.
«Я испорчу им праздник!» (С)
 
А что говорят пара крупнейших? СБР и ВТБ?
 
В статье существует много очень тонких мест, а кое-где и откровенного вранья.

Давайте уточним:

1) Уязвимость очень и очень страшная, а закрыть ее очень и очень легко. Для нормального сисадмина это займет не более 3-5 минут, без учета перезагрузки и подготовки к перезагрузке.

2) Почти что ВСЕ крупные банки и топа banki.ru, кроме банка Зенит(который закрыл уязвимость одним из последних), показывали отвратительную вменяемость своих операционисток, которые считали что это у меня проблема со счетом, не знали слова уязвимость и часто отказывались перевести в инженерный отдел.

Далее по частям:

Цитата
Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма.


Это стоило больших трудов: пробиться и донести.

Цитата
Представитель упомянутого в посте
Альфа-Банка заявил порталу Банки.ру, что относительно них в посте допущена ошибка. «Интернет-банк не был подвержен уязвимости. Имелась проблема с сайтом банка, и мы смогли его защитить в течение часа после того, как узнали об этом. Перевыпуск сертификата для сайта также начат, на всякий случай. В результате инцидента могли утечь логины и пароли пользователей нашего сайта, но не интернет-банка. Угрозы финансам наших клиентов нет», — уверяет руководитель интернет-представительства Альфа-Банка Константин Гусев.


Это наглое вранье! Присутствовала возможность воровства логинов и паролей!

ubmitted=true&auth.logon=do&auth.name=zayac-******%40mail.ru&auth.passwd=19******AW‘ьЭЈ
вот строчка из похищенных данных из альфабанка.

Таких данных с паролями и логинами сотни мегабайт, если не гигабайты. Но это не все. Можно было похитить ВСЕ ПАСПОРТНЫЕ ДАННЫЕ человека, включая его телефон, адрес, прописку и так далее. Все это можно было выкачивать из памяти тоннами. Не удивлюсь, если там даже были кодовые слова, или вроде того.

И они уже хранятся у умельцев на компьютерах. Так что уязвимость была, и была она в интрнет банкинге, и исправил ее не сам альфабанк, по своей инициативе, а только когда ему ПОЗВОНИЛИ и СКАЗАЛИ, что у него уязвимость, которая позволяет воровать данные пользователей любому школьнику, и об этой уязвимости было официально объявлено еще вчера!

Цитата
Банк «Ак Барс» признал, что в их
интернет-банке имеется данная уязвимость, но непосредственной угрозы финансам нет. Отвечая на запрос Банки.ру, департамент информационных технологий банка «Ак Барс» сообщил: «В настоящее время совместно с производителем программного обеспечения ведется работа по устранению уязвимости Heartbleed в OpenSSL и ее последствий. В ОАО «АКБ «Ак Барс» проведение всех финансовых операций в ДБО физических лиц требует введения дополнительного секретного кода, полученного в банкомате либо присланного при помощи СМС-сообщения. Данная степень защиты не позволяет осуществить хищение денежных средств со счетов и пластиковых карт клиентов с использованием вышеуказанной уязвимости».


АК Барс ДО СИХ ПОР(абсолютный рекорд!) уязвимость не убрал. Прямо сейчас вы можете скачать в интернете скрипт и начать получать реквезиты доступа пользователей АК БАРСА. Прямо в 10:30 11.04.2014. Эти сказки про "уязвимость не опасна" пусть они читают альфабанку на ночь. Уязвимость позволяет зайти в личный кабинет. Это уже нонсенс.

Цитата
Управление по связям с общественностью банка «Зенит» также оперативно отреагировало на наш запрос о Heartbleed в их интернет-банке: «Банк «Зенит», как и многие другие участники рынка, использует технологию OpenSSL. В нашем банке данная технология используется для ДБО физических лиц, другие продукты в банке используют иные технологии. При этом для всех продуктов, предусматривающих удаленный доступ, на регулярной основе проводится совместно с разработчиками работа по контролю и совершенствованию систем защиты, развитию и внедрению структурных решений, противодействующих несанкционированному доступу. Потенциальный риск уязвимости Heartbleed был устранен на серверах ДБО физических лиц банка «Зенит».


Банк Зенит устранил уязвимость ОДНИМ ИЗ ПОСЛЕДНИХ, хоть и может похвастаться тем, что операционистка таки соденила меня с инженерным отделом.

Цитата
Вице-президент банка «Русский Стандарт» Артем Лебедев сообщил порталу Банки.ру о мерах, принимаемых банком: «Банк оперативно произвел обновления библиотеки OpenSSL



Тоже убрали одними из последних.
 
Цитата

А что говорят пара крупнейших? СБР и ВТБ?

Shirokiy

У них, к счастью, все хорошо.
 
БРС, ну, очень долго реагировал. Если не ошибаюсь, то у них уязвимость почти весь день была актуальна.
 
Цитата

Цитата

А что говорят пара крупнейших? СБР и ВТБ?

Shirokiy

У них, к счастью, все хорошо.

Алексей Семенов

Он вроде как все еще не пропатчился.
 
Позвонил в СБР, спросил сейчас про эту дыру в openSSL и СберОнлайн. Сказали, что служба безопасности никакой информации по этому поводу не распространяла, а значит эта уязвимость Сбера не касается.
Какая-то сомнительная логика.
 
Цитата

Позвонил в СБР, спросил сейчас про эту дыру в openSSL и СберОнлайн. Сказали, что служба безопасности никакой информации по этому поводу не распространяла, а значит эта уязвимость Сбера не касается.
Какая-то сомнительная логика.

Shirokiy

Да тупо не получается в себере использовать уязвимость. Будьте спокойны.
 
А ВТБ24?
 
Цитата

А ВТБ24?

Plity

Тоже.
 
Как хорошо когда нет денег
 
как вы можете использовать мои доступы в инет-банк, если все операции проходят с подтверждением по смс и вы не знаете мой номер телефона и не можете его поменять?
Выжимай из банков максимум вместе с Фин Форумом
 
Цитата

как вы можете использовать мои доступы в инет-банк, если все операции проходят с подтверждением по смс и вы не знаете мой номер телефона и не можете его поменять?

Shtirlitz

Для перевыпуска симки не нужно семи пядей во лбу иметь. Номер телефона во многих интернет-банках можно узнать, залогинившись в него. Иными словами, если раньше для фрода необходимо было заразить компьютер клиента трояном, чтобы стырить пароли, теперь в этом нет необходимости.
 
Как-то у меня хакеры украли 34 рубля с яндекс денег.
 
Судя по комментариям представителей банков, охрана персональных данных как была лишь фразой на бумаге, так и осталась: главное, что дс не вывели (СМС же), остальное неважно.
 
Цитата

главное, что дс не вывели (СМС же), остальное неважно.
Василий

"... а выведут -- можно свалить все на пользователя и на небрежное хранение паролей и работу под нелицензионной виндой"
В ТКС больше не привожу принципиально.
«Я испорчу им праздник!» (С)
 
Цитата
Это наглое вранье! Присутствовала возможность воровства логинов и паролей!

А что скажете PR-отделу Альфы делать кроме как врать?.. Сказать что у нас дырявый ИБ и все могли тырять и, возможно, все ваши логины/пароли тоже стырили? smile:D smile:D
В ТКС больше не привожу принципиально.
«Я испорчу им праздник!» (С)
 
Цитата
По статистике две трети веб-серверов в Интернете для шифрования передаваемых данных используют компонент OpenSSL

Хочу отметить, что данной уязвимости были подвержены только версии 1.0.1 и 1.0.1f. В остальных версиях такой проблемы нет.
"Российская власть должна держать свой народ в состоянии постоянного изумления." М. Е. Салтыков-Щедрин
 
Цитата

Хочу отметить, что данной уязвимости были подвержены только версии 1.0.1 и 1.0.1f. В остальных версиях такой проблемы нет.

Monetizator

Не совсем так. С 1.0.1 по 1.0.1f включительно, т.е. все версии, выпущенные с января 2012 года до апреля 2014 года.
 
Цитата

В статье существует много очень тонких мест, а кое-где и откровенного вранья.

Давайте уточним:

1) Уязвимость очень и очень страшная, а закрыть ее очень и очень легко. Для нормального сисадмина это займет не более 3-5 минут, без учета перезагрузки и подготовки к перезагрузке.

2) Почти что ВСЕ крупные банки и топа banki.ru, кроме банка Зенит(который закрыл уязвимость одним из последних), показывали отвратительную вменяемость своих операционисток, которые считали что это у меня проблема со счетом, не знали слова уязвимость и часто отказывались перевести в инженерный отдел.

Далее по частям:

Цитата
Порадовал только Альфа-Банк, который исправил уязвимость в течение часа после моего звонка и письма.


Это стоило больших трудов: пробиться и донести.

Цитата
Представитель упомянутого в посте
Альфа-Банка заявил порталу Банки.ру, что относительно них в посте допущена ошибка. «Интернет-банк не был подвержен уязвимости. Имелась проблема с сайтом банка, и мы смогли его защитить в течение часа после того, как узнали об этом. Перевыпуск сертификата для сайта также начат, на всякий случай. В результате инцидента могли утечь логины и пароли пользователей нашего сайта, но не интернет-банка. Угрозы финансам наших клиентов нет», — уверяет руководитель интернет-представительства Альфа-Банка Константин Гусев.


Это наглое вранье! Присутствовала возможность воровства логинов и паролей!

ubmitted=true&auth.logon=do&auth.name=zayac-******%40mail.ru&auth.passwd=19******AW‘ьЭЈ
вот строчка из похищенных данных из альфабанка.

Таких данных с паролями и логинами сотни мегабайт, если не гигабайты.Но это не все. Можно было похитить ВСЕ ПАСПОРТНЫЕ ДАННЫЕ человека, включая его телефон, адрес, прописку и так далее. Все это можно было выкачивать из памяти тоннами. Не удивлюсь, если там даже были кодовые слова, или вроде того.

И они уже хранятся у умельцев на компьютерах. Так что уязвимость была, и была она в интрнет банкинге, и исправил ее не сам альфабанк, по своей инициативе, а только когда ему ПОЗВОНИЛИ и СКАЗАЛИ, что у него уязвимость, которая позволяет воровать данные пользователей любому школьнику, и об этой уязвимости было официально объявлено еще вчера!

Цитата
Банк «Ак Барс» признал, что в их
интернет-банке имеется данная уязвимость, но непосредственной угрозы финансам нет. Отвечая на запрос Банки.ру, департамент информационных технологий банка «Ак Барс» сообщил: «В настоящее время совместно с производителем программного обеспечения ведется работа по устранению уязвимости Heartbleed в OpenSSL и ее последствий. В ОАО «АКБ «Ак Барс» проведение всех финансовых операций в ДБО физических лиц требует введения дополнительного секретного кода, полученного в банкомате либо присланного при помощи СМС-сообщения. Данная степень защиты не позволяет осуществить хищение денежных средств со счетов и пластиковых карт клиентов с использованием вышеуказанной уязвимости».


АК Барс ДО СИХ ПОР(абсолютный рекорд!) уязвимость не убрал. Прямо сейчас вы можете скачать в интернете скрипт и начать получать реквезиты доступа пользователей АК БАРСА. Прямо в 10:30 11.04.2014. Эти сказки про "уязвимость не опасна" пусть они читают альфабанку на ночь. Уязвимость позволяет зайти в личный кабинет. Это уже нонсенс.

Цитата
Управление по связям с общественностью банка «Зенит» также оперативно отреагировало на наш запрос о Heartbleed в их интернет-банке: «Банк «Зенит», как и многие другие участники рынка, использует технологию OpenSSL. В нашем банке данная технология используется для ДБО физических лиц, другие продукты в банке используют иные технологии. При этом для всех продуктов, предусматривающих удаленный доступ, на регулярной основе проводится совместно с разработчиками работа по контролю и совершенствованию систем защиты, развитию и внедрению структурных решений, противодействующих несанкционированному доступу. Потенциальный риск уязвимости Heartbleed был устранен на серверах ДБО физических лиц банка «Зенит».


Банк Зенит устранил уязвимость ОДНИМ ИЗ ПОСЛЕДНИХ, хоть и может похвастаться тем, что операционистка таки соденила меня с инженерным отделом.

Цитата
Вице-президент банка «Русский Стандарт» Артем Лебедев сообщил порталу Банки.ру о мерах, принимаемых банком: «Банк оперативно произвел обновления библиотеки OpenSSL



Тоже убрали одними из последних.

Алексей Семенов


Может я что-то не понимаю, но логин в Альфа-Клике состоит исключительно из цифр. У вас же какой-то заяц... Если это логин и пароль от сайта (не интернет банк, а именно их сайт), то:
1. Где враньё?
2. Кому эти данные интересны (ценность как логин/пароль от любого форума?

И ещё, телефон клиента в Клике не показан, так что узнать телефон конкретного клиента и сделать копию sim-карты - это дополнительный квест.
"Ah, arrogance and stupidity all in the same package. How efficient of you!"
"... is used to being beast of burden to other people's needs. Very sad life. Probably have... very sad death. But... at least there is Symmetry."
 
Как говорят хохлы
"Тиха украинская ночь, но сало надо перепрятать".
Вообще полезно иногда пароли в ИБ менять. Память опять же развивает.
 
Цитата
и вы не знаете мой номер телефона

Shtirlitz
Забыл, как я тебе позвонил внезапно? smile;) smile:D

@.
Против лома есть приём - грабли с длинным черенком!
Неправда, что деньги находят в капусте. Их берут в банке!
 
Цитата
Вице-президент банка «Русский Стандарт» Артем Лебедев сообщил порталу Банки.ру о мерах, принимаемых банком: «Банк оперативно произвел обновления библиотеки OpenSSL на всех используемых продукционных серверах. Банк использует двухфакторную авторизацию для системы интернет-банка

Двухфакторность в БРС только на словах, т.к. в смс-сообщении присылается только код подтверждения и сумма операции, данных о получателе нет.
 

Все продукты Банки.ру

Показать ещеСкрыть