Пользователь
0,0
рейтинг
12 апреля 2014 в 23:04

Разработка → Чем грозит Heartbleed простому пользователю?

imageМногие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.

На днях я совершал онлайн покупку в одной российской интернет-компании. Когда я дошел до момента оплаты, меня перебросило на платежный шлюз крупного банка с формой для ввода данных с банковской карты. Это был единственный способ оплаты и я начал заполнять форму.

Ничто не предвещало беды, кроме шестого чувства. Перед нажатием кнопки «Оплатить» я решил проверить платежный шлюз на уязвимость. Все публичные сервисы для проверки дали положительный ответ. Поняв, что продолжать покупку не стоит, я решил узнать, что реально может угрожать пользователям, которые даже не подозревают, что совершают платеж через уязвимый шлюз и насколько легко в этом убедиться?

Убедиться в этом оказалось не просто, а очень просто. После модификации кода одного из готовых эксплоитов на github, в моем распоряжении оказался дамп-файл из кусочков по 64 килобайта. Что же в нем было?

image

В нем было все. Буквально все, что проходит через платежный шлюз: номер заказа, номер карты, CVV2, ФИО, год и месяц до которого она действительна. За полчаса работы скрипта в дампе оказалось несколько сотен реальных банковских карт и данных об их владельцах.

Разумеется, вся необходимая информация была сразу же отправлена по контактам платежного шлюза и наиболее крупных его клиентов, но на данный момент уязвимость так и не устранена. Напоминаю, что прошла почти неделя с того момента, как публично стало известно о Heartbleed. Остается только удивляться беспечности службы безопасности некоторых крупных компаний и с ужасом представлять, сколько за это время могло утечь карт и другой критической персональной информации в руки реальных злоумышленников.

Обновлено (15.04.2014): уязвимость устранена спустя неделю, после публикации информации о Heartbleed, и три дня спустя с момента моего запроса.

Обновлено (16.04.2014): данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты.
Фёдор @FFF
карма
57,9
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (67)

  • +58
    — Чем грозит Heartbleed простому пользователю?
    — Статьей на хабре
    из vk.com :)
  • +43
    Как человека, которого зовут Андрей, скриншот из Вашей статьи меня очень пугает
    • +1
      А у вас Safari? :)
      • 0
        Да, только уже довольно давно 7.0.3 :)
    • +2
      Жалко, что там нет номера карты и CVV, а то бы Вы могли понять, бояться дальше, или это просто совпадение )

      Тем более что автор шлюз не назвал, как тут угадаешь?
      • +1
        в том и дело, что это может быть любой шлюз. Я вообще в плане карт немного параноик — обычно снимаю наличку только в одном банкомате, который стоит на работе за проходной, а тут был в кино и они по карте не принимали платежи, пришлось снимать — после ввода пин-кода оказалось, что у банкомата сломан тачскрин — осмотрел банкомат со всех сторон, увидел охранника, который рядом ходит, и немного успокоился. А тут оказывается, что все данные можно вытащить при любом платеже в сети через, казалось бы, защищённое соединение. Так что боюсь дальше в люом случае.
        • 0
          Разумная паранойя не повредит в случае финансов. Что касается оплаты чего-либо в сети по картам (даже через промежуточное звено типа пейпала) предпочитаю следующее правило — не держать средств на картах (у меня для этого дела 2 разных — виза и мастеркард, так как в одних случаях одна выгоднее, в других — другая), которые будут светится в сети. Если, не дай бог, данные карты будут украдены, то при попытке их заюзать я моментально узнаю это по смс, в которой будут сообщено, что операция отклонена из-за недостатка средств. Нужно что-то оплатить — через интернет банк перекидывается необходимая сумма на карты для интернета, а потом производится оплата. Что же касается интернет банка, то двухфакторная авторизация и подтверждение каждой операции разовыми кодами даже в случае кражи пароля не несет опасности для финансов. Не знаю, был ли мой банк подвержен Heartbleed, но единственный реальный сценарий ее эксплуатации — это атака MITM в случае кражи сертификата, что но и тут голова на плечах и внимательность помогут не попасться.
          Также подключены Verified by Visa and Mastercad secure, но это скорее защита магазина, а не владельца карты, так как эта опция не обязательная для всех операций. Ее поддерживают для своего спокойствия некоторые шлюзы. Именно для своего. Оплата была подтверждена паролем — деньги 100% наши. Если пароль был украден, то клиент сам виноват.
          • –8
            Угу, я… ги с двухфакторной у меня на раз-два-три увели, потом еще долго с саппортом я… ги переписывался. Поначалу таки и СМС на мобильник приходили c разовыми паролями, а потом раз — и нету у меня больше я… ег :-) Одно радует- там 200 российских рублей оставалось ;-) И было как раз в период действия Heartbleed!
          • –9
            Примерно в тот же период (период действия Heartbleed) с моего tw....r аккаунта рассылали всякую фигню, заодно увели аккаунт одно… ков и даже с gm.il отправили пачку спам-писем (служба поддержки утверждала, что это я сам отправлял из Въетнама :-)). Причем пароли ко все аккаунтам я сам вспоминаю с трудом — там 8-11 символов вперемешку с цифрами (записаны на бумажке и лежат в сейфе).
            Но да — двухфакторная авторизация помогла узнать о начале атаки. И финансы практически не пострадали ;-)
            Но! Теперь я боюсь в любом случае — и больше не доверяю всем этим сервисам!
            • +8
              Вы так стыдливо скрываете за точками Gmail, Яндекс.Деньги, Twitter и Одноклассники, как будто это что-то очень плохое, как будто боитесь страшной кары и сурового порицания сразу от всех присутствующих. Или как будто вам не заплатили за упоминание этих сайтов и сервисов. Странно, ведь они ж всем всегда платят.
              • 0
                За точками я скрываю свои нецензурные мысли ))
                • +1
                  tw....r мне в корму!
            • –1
              надеюсь минусовали разраб$$$$$ки я###кс де… Х? ))
          • +4
            атака MITM в случае кражи сертификата, что но и тут голова на плечах и внимательность помогут не попасться
            А как голова на плечах поможет не попасться на MITM, если сертификат украден и полностью соответствует «оригиналу»?
  • +2
    А разве это не проблема банка, что ему придется возвращать средства или даже перевыпускать карту?
    • +12
      Это как минимум не только его проблема. Например, если вы временно находитесь в другой стране.
      • 0
        Ну это то понятно, в другой стране много чего может случиться незапланированного. Но вот лично я например ни от одного сервиса или онлайн банка не получал письма о том, что мне нужно предпринять какие либо меры, однако же рекламу и спам по прежнему присылают во время.
        • 0
          Я на днях от одного крупного банка получил sms-ку с новым паролем. Одновременно с коллегой, у которого карточка в том же банке.
    • +36
      Банк всегда готов извиниться.
    • +1
      Уязвимый платёжный шлюз может принадлежать одному банку, а карта быть выпущена другим банком. Когда с карты украдут деньги — это будет проблема второго банка (и, как ни крути, клиента :-( ). А то, что кража произошла из-за халатности первого банка, никто и не узнает (если только мошенников не поймают).
      • 0
        Узнают в МПС и могут заблокировать карты, которыми платили через скомпрометированный шлюз. Думаю, это и произойдёт после расследования.
        • 0
          Вопрос в том как выяснить при платеже через какой именно шлюз произошла утечка. Компрометируется-то не шлюз, а данные карточки. А тот факт, что их слили с конкретного шлюза, можно достоверно узнать только анализом трафика в момент атаки, как я понимаю.
          Т.е. факт наличия уязвимости шлюза узнать легко, а вот доказать, что данные карточки были украдены именно с этого шлюза — сложно. А уязвимости сейчас есть много у кого. Вчера тоже написал в один крупный банк про их платёжный шлюз, пока уязвимость вроде осталась.
    • 0
      В любом банке уже заготовлен ответ: для вашей безопасности мы всегда рекомендовали вам брать карты с 3dsecure/securecode.Оспорить транзакцию вы можете вооон там.
    • 0
      только сначала надо как-то доказать, что данные у тебя украли, а не ты сам сначала купил спьяну 10 айфонов, но наутро передумал.
  • +10
    Heartbleed отлично разделил все компании на думающие о проблемах и не думающие. Думающие после обнаружения проблемы сообщают пользователям о необходимости поменять пароли и меняют сертификаты, помещая старые в списки отзыва. Не думающие — игнорируют, или молча патчат и считают, что лучше миллион хомячков ничего плохого не узнает, чем пара десятков толковых людей возмутится.
    • 0
      Не поймите неправильно, но аж захотелось что то у них украсть, на зло, лишь бы поняли. Но что то мне подсказывает что и это не поможет.
    • 0
      Я в этом плане был удивлен тем, что, вроде бы достаточно серьезная фирма, QNap — до сих пор не выпустила обновление прошивки под мой NAS, в котором бы запатчили Heartbleed, более того, судя по форуму, единственный способ обновиться в ближайшие дни будет — это поставить что-то типа nightly build'а какой-то последней толи беты толи альфы.
      • 0
        Не рекламы ради, а только констатации факта для. Synology выкатила 10 апреля.
        • 0
          А выкатила именно «вот последняя стабильная версия + новый/пересобранный без heartbeat openssl»? Или тоже «ну, мы в main ветку фикс добавили, вот вам найтли билд»?
          • 0
            Именно security hotfix к последней стабильной версии: www.synology.com/en-global/support/security_hotfix_dsm_5_0_4458_update_2
            • 0
              Молодцы. Хотя все же удивительно, почему у некоторых уходит несколько дней на выпуск подобных фиксов, когда решение известно заранее и достаточно простое (неужели они как-то завязались на конкретную версию либы, что ни heartbeat ни отключить, ни апгрейд/даунгрейд версии не сделать?).
              • 0
                10 числа вышла обнова именно к моему старенькому 210j (кроме этого фикса там еще пяток разных исправлений). Возможно, к топовым (или просто более актуальным) моделям выпустили и раньше :)
                • 0
                  В любом случае 2 дня и хотфикс гораздо лучше чем неделя и непонятной стабильности необкатанная прошивка. Присмотрюсь к Synology на замену. Там, кстати, нету Radius сервера с возможностью выпуска краткосрочных «1-5минут» одноразовых паролей?
                  • 0
                    Если FreeRADIUS не подойдет (http://www.synology.com/en-global/dsm/app_packages/RadiusServer), то там внутри внятный Linux, в общем-то, можно собрать то, что понравится. Со старыми моделями могут быть проблемы, конечно, ибо MIPS, а современные вроде как на Atom, соберется все.
    • 0
      От полусотни сервисов, для которых безопасность критична я получил одно SMS и ни одного письма.

      в SMS был только новый логин и пароль от интрнет-банка открытым текстом.

      Думающие компании — это миф.
      • 0
        Я от банка, через которого получаю зп, получил уведомление, мол, бегом пароли менять.
        • 0
          1) т.е. старый не заблокировали? Это мило.
          2) один раз — не статистика.
          3) Перевыпустить карточку на всякий случай не предложили, или за пределами их ИБ компрометация их не беспокоит? (конечно не беспокоит, в договоре так всегда и написано. А карточку перевыпускать — это ж 2 бакса.)
          • 0
            Это был самый ответственный банк из всех. Остальные патчились неделями и ни словом ни духом.
    • 0
      Я получил только от сервиса, на котором несомненно стоит мой Самый Главный Пароль и хранятся Самые Важные Данные — Metacritic.
      Никто из остальных даже письма не прислал.
    • 0
      Ну, тут еще зависит от того, что потенциально могло быть в памяти. Например многие сейчас ворчат что Steam так ничего и не сделал кроме закрытия дырки. А между тем они сменили сертификаты на следующий день и ночью с 11 на 12 сбросили все сессии с сохраненными паролями. Пароль при входе передается в шифрованном виде? и вроде как ключ шифрования меняется постоянно. Т.е. фактически получается что взломами не грозит, хотя не понятно по поводу данных банковских карт — они по идее передаются открыто в AJAX-запросе, и не понятно, могли ли они утечь за то время, пока уязвимость существовавала.
    • 0
      Неплохо было бы собрать статистику, какие компании и в какой срок устранили уязвимость. Очень объективная картина бы получилась.
  • +8
    Читая вашу статью возник совет пореже использовать деепричастные обороты.
  • –11
    • +4
      По ссылке неграмотная глупость — OpenSSL писан на си а не C++. Тут это существенно.
      • +1
        По ссылке много глупостей. Например, о том, что АНБ знала про это уже несколько лет. Хотя, сама дыра «несколько лет» не существует. Так же и про Android, где эта опция часто просто отключена. И прочие ляпы такого рода.
        «Журналистский роман».
  • 0
    Пишите следующее письмо: «Через пять дней информация об уязвимости будет опубликована, вместе с текущим статусом на тот момент. Время пошло.»
    Доведите свою работу на благо общества до конца.
    • 0
      Уязвимость устранена, добавил апдейт в пост.
  • +1
    можно пример этого
    После модификации кода одного из готовых эксплоитов на github

    Спасибо
  • 0
    Пожалуйста, поясните, что за данные позволяет получить Heartbleed в случае с банками? Если я правильно понимаю, баг позволяет читать оперативную память сервера, т.е. скорее всего это данные о недавних (либо текущих) транзакциях? Т.е. если я после опубликования информации о Heartbleed 7 апреля не платил по карточке в Интернете, то могу спать спокойно?
    • +1
      Увести можно очень многое, начиная от «голых» данных и заканчивая сертификатами. В вашем случае можно спать спокойнее, но я бы всё равно порекомендовал подождать еще одну-две недели, потому что в идеале банки должны не только исправить уязвимость, но и получить новые сертификаты, так как старые могли быть скомпрометированы.
    • 0
      >>Т.е. если я после опубликования информации о Heartbleed 7 апреля не платил по карточке в Интернете, то могу спать спокойно?
      Только при условии что о баге небыло известно до 7 апреля злоумышленникам.
  • 0
    А есть ли ссылки на How-to по исправлению проблем? А то кругом крики «все пропало, а они ничего не делают», но чего делать непонятно.
    • +1
      Крики потому, что достаточно обновить OpenSSL на сервере. Никакой магии в этом нет и об этом уже многократно писали.
  • –2
    Рядовой пользователь давно уже защищен от такого рода уязвимостей — лимит по расчетам картой. Условно, стандартно стоит 50уе (на транзакцию или в сутки), когда надо платить больше — звонок в банк и за 2 минуты лимит поднят до нужной суммы, потом лимит возвращается обратно. В таких ситуациях все потери сокращаются до суммы лимита, хоть 1 доллар ставь и нет проблем. Лучше изредка звонить в банк, зато спать спокойно. Всегда недоумевал от дикого страха некоторых людей рассчитываться в сети картой, мол, украдут данные карты…
    • 0
      Еще более просто — открыть виртуальную карту. Сейчас, наверное, можно сделать в любом банке. Зато быстро и надежно. Как минимум дважды это избавило меня от лишних платежей на услуги, которые мне были не нужны (в одном случае сервис не отключил платную подписку, хотя обещал это сделать, а во втором — снял за игру деньги трижды, правда лишние транзакции отменили автоматически).
    • +1
      Вы живёте в параллельном мире. Я тоже долго не понимал как люди могут с таким подходом вообще существовать, пока не осознал, что в России запрещено хранить данные кредиток и, соответственно, магазины не могут списывать деньги в момент отправки товара (что является обычным поведением в заграничных магазинах).

      Неужели вы никогда и ничего не покупали на Amazon'е??? Как вы собираетесь звонить в банк и поднимать лимит, если вы понятия не имеете когда конкретно произойдёт транзакция? А если вы подняли лимит на сутки, то тут и злоумышленник может влезть…

      А если не Amazon, то гостиница (очень многие гостиницы за границей блокируют на карте, скажем, по $200 каждый день, потом списывают заранее оговоренную сумму если нет дополнительных платежей) и прочее.
  • –5
    Автор, укажите что за сайт, пожалуйста — дампить там чего-то мне абсолютно не интересно, но не хотелось бы светить данные своих карт.
  • +1
    Автор, не была раскрыта тема клиентских уязвимостей. Вот то, чем ещё грозит HeartBleed простому пользователю:
    isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
    Получается, что кроме АНБ из наших с вами устройств смогут забирать данные всякие проходимцы средней руки.

    Нехороший сайт сможет выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать страницы и при этом обрабатывающее конфиденциальные данные — цель. Ваш домашний Linux тоже можно выпотрошить. Но сначала пройдутся по всему, что так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся, будут красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.

    Бизнесу грозит потрошение памяти веб-шлюзов, и никакие фаерволы от этой напасти не спасают. Но тут вендоры отреагируют быстрее.

    Веселее всего, наверное, удостоверяющим центрам, штампующим новые сертификаты взамен скомпрометированных. На штамп небось кулер уже пора ставить. Товар первой необходимости, вот бизнес сейчас у кого-то попрёт…

    Прошу прощения у всех, но в силу серьёзности проблемы мне придётся повторить этот комментарий в других топиках про HeartBleed на хабре, если там эта тема не упомянута. Берегите себя.
    • 0
      Вы правы, есть и такая сторона Heartbleed и она вполне тянет на отдельную статью на хабре. Это будет лучше, чем повторять комментарий.
  • +5
    Одна российская компания это РЖД и платежный шлюз был от ВТБ24?

    и теперь из-за их халатности данные карточек светятся на этом сайте sos-rzd.com/
    • 0
      Написал апдейт.
    • 0
      Есть глупое противодействие от ржд: justmedia.ru/news/economy/falshivyi-sait-sobiraet-dannye-platezhnyh-kart-klientov-rzd

      А на этом сайте светятся только маски номеров, а не полные номера карт.
      • 0
        я в курсе и даже пост про это сделал. просто если бы ВТБ24 вовремя обновился, никаких сайтов и шумихи бы не было.
        • 0
          Ещё не видел. Почитаю, спасибо.
  • 0
    Всем, кто интересовался касательно PVS-Studio: Скучная статья про проверку OpenSSL.
  • 0
    Вы знаете, насколько нетривиальна процедура релизов в банках? Так что неделя — это ещё довольно оперативно!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.