Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kérem igazolja magát!

2008.06.28. 18:50 | buherator | 7 komment

Nem egyszerű téma az IT-biztonság, lássuk be! Az embernek folyamatosan naprakésznek kell lennie a legújabb trendekkel és fenyegetésekkel kapcsolatban, ha talpon akar maradni, és dédelgetett rendszereink soha véget nem érő ápolásra szorulnak a virtuális világ ezer veszélyével szemben. A feladat nehézségét jól mutatja, hogy a hatalmas hírverés, és a csúcsra járatott vészcsengők ellenére még mindig több fontos, nagy forgalmat bonyolító magyar és külföldi weboldal SSL tanúsítványa érintett a majd' két hónapos OpenSSL hibában.

Legalábbis ez derül ki az Anka Márton oldalán vezetett listából, amelyet az általa fejlesztett, a tanúsítványok minőségét ellenőrző Firefox plug-in találatai alapján vezet. A listára Meister hívta fel a figyelmem, aki a Netbanknál volt kénytelen néhány hosszú kört futni, mire eljutott az illetékesek agyáig, hogy szar van a palacsintában. A levélváltás nagyon tanúlságos, már-már ijesztő látni a rendszergazda által az informatikai rendszerbe vetett korlátlan bizalmat, amely végül is - akár tetszik, akár nem - aláaknázta a rendszer biztonságát. Hibás tanúsítványt ugyanis bárki generálhat. Az azonban mindenkinek az egyéni hozzáállásán múlik, hogy egy új fenyegetés megjelenésekor gondosan ellenőrzi a rendszer védelmét, vagy lényegében egy verzióinformációra támaszkodva homokba dugja a fejét. De még ezt is elkönyvelhetnénk egy apró botlásnak: csak az nem hibázik, aki nem is csinál semmit. A segítő szándékú felvilágosítás hatására ügyvédekkel fenyegetőzni viszont egyszerűen szánalmas. Reméljük, hogy a többi érintett cég felvilágosultabban fog hozzáállni a kérdéshez!

Én megkockáztatom a dolgot, és kiküldök pár levelet. Ha gondoljátok, tegyetek így ti is! Kíváncsi vagyok a reakciókra!

Frissítés (2008.06.29):

Pénteken küldtem egy levelet többek között a MozDev csapatának is, ők válaszoltak elsőként:

"We are actually looking into purchasing a new cert in the near future and we'll ensure that the request is not generated with one of the compromised Debian SSL keys.  Thanks for bringing this to our attention."

Azt hiszem ez a fajta válasz kellene, hogy az etalon legyen!

Frissítés (2008.07.01):

Tegnap, azaz hétfőn a Pannon is válaszolt. A levelüket ellátták mindenféle "Bizalmas" cimkékkel, szóval nem fogom bemásolni, de a lényeg az, hogy ők is korrektül megköszönték a jelzést, és ígéretet tettek a tanúsítványok frissítésére. 

Címkék: pannon openssl netbank mozdev

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.29. 00:49:15

Ez tényleg hihetetlen sztori. Végigolvaltam Don Quijote csatáját ezzel a szánalmas bagázzsal. Egyszerűen nem tudok mit mondani. Megérdemelnének egy nagy buktát a fafejűségükért és akkor legközelebb változna a hozzáállásuk. A jelek tanúsága szerint nem láttak semmilyen kockázatot egy hibásan generált certificate-ben. Netbank, mi? Hihetetlen.

scripter-man 2008.06.29. 15:23:34

A multkor nekemis el lett küldve e-mailben a 300-as, és a 300/c § Mikor a heli művelődési ház honlapján tátongó résekről szóltam nekik. Mondjuk csak éhány helyen néztem, de ott rendre találtam xss, sql inject, és egyébb kritikus hibákat.

Meister · https://www.facebook.com/Meister1977 2008.06.30. 00:55:42

Egyébként a nem is kell venni új certificate-et, a régit vissza kell vonni, s le kell cserélni. Ez az aláírónál ingyen van.

Egyébként én még most várom, hogy a netbank.hu mit fog lépni hétfőn. Jogászokkal fenyeget-e, vagy ír mindenkinek egy levelet, hogy az elmúlt 2 hónapban sérülékenység volt a weblapon, amiről értesültek, de leszarták, s hogy mindenkinek javasolják, hogy változtassanak jelszót, s a one-time-key listájukat érvénytelenítsék.

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.30. 15:34:45

@buherator: A mozdev tényleg korrekt volt.

@Meister: dehogynem kerül pénzbe. Azaz nem pénzbe, hanem munkaerőbe. Sőt egy beismerésbe is, hogy valaki nagyon nincs képben.

BadKarma · http://netbank.hu 2008.07.01. 12:20:43

"A levelüket ellátták mindenféle "Bizalmas" cimkékkel"

email + bizalmas. Ja

A netbank szanalmas.

A debian is. Ilyet irt a maintainer: " Since both Purify and Valgrind is unhappy with that function call, something must be wrong with it."

MUST BE WRONG? Es utana sem jar csak kivagja? Neeee

De az egeszben az openssl volt a leg. Ugyan mi a francbol meri azt gondolni, hogy inicializalatlan memoriateruletbol entropiat lehet kinyerni? Mi tortenik, ha az os kinullazza? Mert hogy openbsd-ben nem nullazta (sigh security rulez) egy idoben, de linux peldaul igen es egyebkent sem random az a memoria. Szoval kerdem en mi a kenkoves pokol utott ezekbe a szerencsetlenekbe?

BK

Meister · https://www.facebook.com/Meister1977 2008.07.03. 09:53:40

Mondjuk lassan a *.pannon.hu is megérett arra, hogy megkapják a saját privát kulcsukat. :-)

buherator · http://buhera.blog.hu 2008.07.03. 21:40:00

@Meister
Nagy cég, lassan folynak keresztül a dolgok. Teljesen korrektül válaszoltak, szerintem hagyni kell neki időt. A flottáét egyébként állítólag már midnentől függetlenül cserélték.