Comments 61
Катурегли зарегистрировал домен (потратив $300), исследователь зафиксировал через DNS-сниффер
Это в какой стране надо жить, чтобы тебя за это не посадили?
Если бы Катурегли был злоумышленником
С точки зрения российского суда, на сколько я знаю, тот, что так делает, и есть злоумышленник. Бесполезно объяснять суду, что ты проэксплуатировал уязвимость только для того, чтобы твой отчет о ней был более убедителен, чем теоретические рассуждения. А сам отчет будет рассматриваться как признание вины
Это в какой стране надо жить, чтобы тебя за это не посадили?
Анализировать приходящий на свою личную машинку трафик (DNS запросы или что бы то ни было ещё) незаконно?
В Америке незаконно получать письмо, которое тебе отправили по ошибке. Так-то
Мда, а если бы пришло не на gmail а на локальный SMTP сервер у кого то дома...
Например, Хилари Клинтон с пометками Secret, Top Secret, SCI
С целью уйти от разглашения по FOIA...
Дак она и на gmail копировала эти письма... CarterHeavyIndustries@gmail.com
Что значит "незаконно получать письмо"? В указанном случае нет ничего про это. Там про то, что суд принял решение по обеспечению мер, направленных на то, чтобы лишить пользователя возможности прочитать (фактически - лишить его возможности получить на свою личную машину) ошибочно отправленное ему письмо. До личной машины пользователя письмо так и не дошло - оно осталось на серверах гугла, где позже было удалено.
ещё веселее, судя по описанию - они договорились с пользователем почты после блокировки, что пользователь пометит письмо как спам не открывая. после чего спаморезка его через какое-то время прибила автоматически. Что было бы если он его открыл и посмотрел, осталось невыясненным.
Нет, с пользователем они ни о чем не договаривались. После того, как суд обязал Гугл приостановить доступ и предоставить инофомацию об аккаунте, выяснилось, что письмо ранее было помечено пользователем как спам и позже автоматически удалено (т.е. что на момент высенения решения у пользователя уже не было возможности получить это письмо).
Если бы он его ранее открыл и посмотрел - ничего незаконного в его действиях бы не было. Но суд наверняка обязал бы его удалить то самое письмо.
замечательная ловушка-22 кстати
Врать-то зачем?
The Rocky Mountain Bank of Wyoming sent confidential account information belonging to 1,325 of its customers to the Gmail address in August.
Realising its mistake, it wrote to the account owner, asking them to delete the email and attachment, but when it received no reply it asked Google to step in.
Google refused to step in without a court order,
Незаконным было не получать, а не удалять.
Не просто личную, а специально настроенную так, чтобы принимать заведомо не предназначенный вам трафик. Конкретно DNS-запросы не являются охраняемой законом информацией, так что для описываемого в статье случая я не вижу оснований для уголовки (ст. 272 УК РФ), но я не прокурор. :) А если там коммерческая тайна, ПД или что-то похожее - тут уже без вариантов статья.
специально настроенную так, чтобы принимать заведомо не предназначенный вам трафик.
Вроде достаточно поднять DNS сервер - в этом ничего незаконного не вижу. То, что на него кроме меня и тех, для кого я его поднял, ломится кто-то ещё - скорее проблемы кого-то ещё (можно ещё их в DDOS атаке обвинить).
Нет, недостаточно, нужно ещё зарегистрировать домен. И в тот момент, когда вы этот домен регистрируете, прикручиваете к своему DNS и начинаете слушать трафик, вы в совокупности совершаете то, что судья, в соответствии со своим внутренним убеждением, сочтёт залётом.
А если я случайно это a22-65... придумал?
Я сталкивался с таким ответом, когда на игровом сервере, который я модерировал, игрок А обозвал мать игрока Б шлюхой, а потом пытался оправдаться тем, что это кот по клавиатуре прошёл и буквы случайно сложились в осмысленную фразу.
Это игроку А не помогло (хотя, теоретически, кот, конечно, может написать и "Войну и мир").
Я бы и в реальном суде не стал использовать такие отговорки, потому что это лишь настроит судью против, вызвав реакцию "да он меня за идиота держит?".
Модерация игрового сервера и суд немного отличаются. В суде вам бы пришлось доказывать, что это не кот прошел, а игрок А сам преднамеренно набрал слово.
Тогда разваливались бы буквально все дела о компьютерных взломах.
Потому что доказать, что вот это именно я (конкретный человек) сейчас набираю этот коммент, а не кот (прогуливающийся по клавиатуре, пока хозяин отошёл покурить) - невозможно, если только я сам не засниму себя на видео.
А если я случайно это a22-65... придумал?
"Создал кучу последовательных [a..z][00..99]-[00..99] в учебных целях, а потом случайно обнаружил трафик" будет, пожалуй, чуть более правдоподобно (если, конечно, все соответствующие DNS записи имеются)...
Ну это слишком глупой отмазкой посчитают просто)
Анализировать приходящий на свою личную машинку трафик (DNS запросы или что бы то ни было ещё) незаконно?
Там очень резиновые формулировки, а цель совершения действий не имеет значения (ну кроме как в отягчающих случаях).
ВС по этому поводу даже занялся нормотворчеством (при том, что формально у нас же "не прецедентное право"...), но всё равно не до конца адекватизировал толкование этих статей УК.
Это в какой стране надо жить, чтобы тебя за это не посадили?
Так в Нигере же.
В MasterCard компенсировали исследователю Катурегли $300, потраченные на домен, а также поблагодарили за обнаружение этой проблемы
Щедро
В MasterCard компенсировали исследователю Катурегли $300, потраченные на домен, а также поблагодарили за обнаружение этой проблемы.
А они весьма щедры оказались, за дыру, которая позволяет перехватывать 1/5 трафика к МПС, сказали целое спасибо. Если бы было 3/5, наверное, сказали бы целых три спасибо, остаток жизни можно было бы провести безбедно.
Сдается мне, опасность данной дыры в публикациях очень сильно преувеличена.
Даже если злоумышленнику путем подмены DNS и удалось бы перенаправить часть трафика на свои сервера, в эпоху повсеместного TLS из этого все равно бы особо ничего не вышло, т.к. у него все равно нету закрытых ключей для того, чтобы сгенерировать сертификаты настоящих доменов, которые ожидает со своей стороны клиент. Даже обычные браузеры в наше время в таком случае начинают поднимать панику и изо всех сил не пускать юзера на такой подозрительный ресурс, а всякий банковский софт уж подавно.
подмены DNS и удалось бы перенаправить часть трафика на свои сервера, в эпоху повсеместного TLS из этого все равно бы особо ничего не вышло, т.к. у него все равно нету закрытых ключей для того, чтобы сгенерировать сертификаты
Так он не домен украл, а купил себе свой домен, с которым можно делать что угодно, даже самые настоящие и валидные SSL генерировать, со всеми замочками и проверками. Конечно, вопрос какие именно данные там ходят - статья умалчивает, но думаю там есть чувствительная информация.
Это был косяк мастеркарда, что у них часть трафика пыталось стучаться на левый домен (не существовавший), а не на свой сервак.
Так он не домен украл, а купил себе свой домен, с которым можно делать что угодно, даже самые настоящие и валидные SSL генерировать, со всеми замочками и проверками
Ну вообще-то не так. Он купил себе домен, на который указывает одна из NS-записей. Соответственно он может в 1/5 случаев выдавать левые DNS-ответы для мастеркардовских доменов, когда к ним обращаются клиенты. Но получив такой ответ и обратившись в результате к фейковому серверу, клиенты все равно будут ожидать в ответах от этого фейкового сервера наличия валидных TLS-сертификатов - они думают что обращаются именно к *.mastercard.com или *.akam.net, и соответственно ожидают что этот сервер сможет предоставить им валидный сертификат. А он не сможет.
То что он легко может сгенерировать сертификаты для своего левого akam.ne вместо akam.net, ему вообще никак не поможет.
Ниже вон, конечно, предложили вариант с генерацией сертификатов сервисом типа Let'sEncrypt с вероятностью 1/5 для, но с их стороны есть защита от подобного. И даже в случае успешной подобной атаки, благодаря HSTS и пиннингу оно вскроется практически мгновенно.
Ниже вон, конечно, предложили вариант с генерацией сертификатов сервисом типа Let'sEncrypt с вероятностью 1/5 для, но с их стороны есть защита от подобного.
Так тут вопрос в том, есть ли у всех CA (а в Mozilla Root Store их десятки, например) такого же рода дополнительная защита для домена mastercard.com, как есть у Let'sEncrypt? Если среди этих десятков CA найдется хотя бы один, которому будет достаточно стандартной процедуры верификации домена через добавление TXT записи в DNS, то злоумышленник имеет возможность с вероятностью 1/5 получить валидный сертификат для *.mastercard.com. И как это потом может мгновенно вскрыться (если сертификат выдан условным Bypass CA после верификации через TXT запись), я не очень представляю, если честно.
И как это потом может мгновенно вскрыться
Но как это поможет в описанном мной случае - т.е. если найдется сертифицированный CA, который выпустит сетрификат после domain verification по TXT записи в DNS?
HPKP - obsolete, а CT logs, на сколько я понимаю не поддерживается, например, файрфоксом.
Certificate transparency позволит другому исследователю узнать о взломе. Если сам mastercard за этими логами не следит (а вполне может не следить).
Может пройти много времени.
Скорее даже не совсем так - если сертификат попадет в CT logs, то это в общем случае позволит другому исследователю узнать, что для какого-нибудь stage.heracles.nonp.eastus.az.mastercard.com выпущен новый сертификат таким-то CA с уровнем проверки DV. Но там же не будет написано, что это невалидный сертификат, полученный в результате взлома.
Подмененный DNS-сервер - контроль за зоной DNS, контроль за зоной DNS - возможность выпустить собственные сертификаты для сайтов в этой зоне через Let's Encrypt, например, после чего перенаправлять клиентов на них. И это я так, мимо проходил, а опытные люди наверняка еще что-нибудь интересное придумают.
Плюс сам по себе факт массовой подмены записей на невалидные не лучшим образом скажется на работе любых сервисов, опирающихся на этот домен.
А известно имя человека, который сделал эту запись в ДНС?
Я просто так интересуюсь, а не для того чтобы спросить о том, какое наказание понесёт ПЕРСОНАЛЬНО он.
Для этого как минимум должно быть признание уязвимости, а не признание не влияющей ни на что опечатки.
В комментах выше описан механизм эксплуатации этой уязвимости.
Признание уязвимости нужно от MasterCard, а не от сообщества Хабра.
Это какая-то странная схема, если косяк считается косяком только если это признаёт косяком тот кто косяк совершил.
Ок, может пальчиком пригрозят. Представьте, как скажется на компании то, что сотрудник публично заявит о том, что работодатель его наказал/уволил за создание уязвимости, в то время как сама компания, которая ежедневно обслуживает денежные транзакции миллионов пользователей почти всех стран мира, публично заявила об отсутствии уязвимости.
Как?
Негативно - падение акций, репутации, отказ банков подключаться к системе, etc.
Не-а. Банки не откажутся, ибо альтернатива - потеря клиентов. Если не в курсе, - банки платят МПС-ам немалые деньги за подключение (организация канала - что-то около 60к зелёных президентов и срок решения под полгода), тратятся на обеспечение соответствия PCI DSS (железо, софт, штат) и т.п., чтобы клиентов (и объём услуг) не терять.
Откуда у вас эти людоедские замашки, вы не госчиновник случайно?
Что вообще должно быть в черепной коробке, чтобы требовать наказания за опечатку?
Доказать, что опечатка была намеренной вы не сможете.
Что вообще должно быть в черепной коробке, чтобы требовать наказания за опечатку?
Нежелание жить в мире, где из-за рукожопов люди несут убытки и рискуют жизнями, а рукожопам за это никакого наказания не предусмотрено.
Человеку свойственно ошибаться. Наказания за ошибки не смогут исключить всех ошибок. Поэтому проблема должна решаться системно, организацией соответствующих процессов. И опять же поэтому в случае, если бы кто-то понес убытки, то требовать возмещения стали бы у компании, которая не выстроила соотвтетствующие процессы, а не у рядового сотрудника.
Но в России многие предпочитают искать виноватого стрелочника, да.
а не у рядового сотрудника.
Представим, что бухой водитель автобуса выехал на тротуар и это привело в гибели людей.
Должны ли мы наказать этого рядового сотрудника?
Представим, что бухой водитель автобуса
Как ловко вы ошибку подменили умышленным действием, даже умышленным нарушением закона (управление ТС в состоянии алкогольного опьянения). Только вот зачем? Ту ошибку в dns тоже допустил сотрудник, который в нарушение соответствующих норм на работу пьяный пришел?
Подмена тут в том, что Вы сперва говорите что нельзя наказывать работника, а потом я привожу пример и Вы делаете вид что это другое.
Давайте попробуем ещё раз.
Вы говорите:
> требовать возмещения стали бы у компании, которая не выстроила соотвтетствующие процессы, а не у рядового сотрудника.
Это универсальный принцип, или есть ситуации, когда должен быть наказан именно рядовой сотрудник?
Представим, что бухой водитель автобуса выехал на тротуар и это привело в гибели людей.
Должны ли мы наказать этого рядового сотрудника?
Вы сперва говорите что нельзя наказывать работника
Пожалуйста, не перевирайте мои слова. Я ведь не говорил, что работника нельзя наказывать никогда и ни при каких условиях только потому, что он где-то работает. И я вообще не использовал формулировку "нельзя наказывать". Если работник пришел со стволом и расстрялял пятерых своих коллег/клиентов (или совершил какое-то другое преступление/правонарушение) - то он, конечно, должен быть наказан. Но не за то, что кто-то понес убытки, а за то, что он нарушил закон. Но речь же шла про наказание за опечатки и ошибки. И да, умышленное нарушение закона по сравнению с неумышленной опечаткой - это действительно другое.
Это универсальный принцип, или есть ситуации, когда должен быть наказан именно рядовой сотрудник?
Если мы говорим о наказании и об ошибках/опечатках (а разговор шел именно о них), то требовать возмещения убытков у компании - это универсальный принцип. Если зайдет речь об умышленных действиях, или уж тем более об умышенном нарушении закона сотрудником - то тогда этот принцип, конечно, не всегда работает.
Но кстати в случае бухого водителя автобуса требовать возмещение потерпевшие вполне вероятно также будут у автотранспотртного предприятия. А водитель будет наказан за то, что нарушил конкретные статьи КоАП и/или УК.
Кто-нибудь видел каким серверам был делигирован домен MasterCard? В скрине, зона с самих серверов MasterCard, а была ли эта ошибка на DNS серверах зоны com?
Ошибка DNS в системе MasterCard оставалась незамеченной в течение многих лет