Comments 67
— Чем грозит Heartbleed простому пользователю?
— Статьей на хабре
из vk.com :)
— Статьей на хабре
из vk.com :)
Как человека, которого зовут Андрей, скриншот из Вашей статьи меня очень пугает
А у вас Safari? :)
Жалко, что там нет номера карты и CVV, а то бы Вы могли понять, бояться дальше, или это просто совпадение )
Тем более что автор шлюз не назвал, как тут угадаешь?
Тем более что автор шлюз не назвал, как тут угадаешь?
в том и дело, что это может быть любой шлюз. Я вообще в плане карт немного параноик — обычно снимаю наличку только в одном банкомате, который стоит на работе за проходной, а тут был в кино и они по карте не принимали платежи, пришлось снимать — после ввода пин-кода оказалось, что у банкомата сломан тачскрин — осмотрел банкомат со всех сторон, увидел охранника, который рядом ходит, и немного успокоился. А тут оказывается, что все данные можно вытащить при любом платеже в сети через, казалось бы, защищённое соединение. Так что боюсь дальше в люом случае.
Разумная паранойя не повредит в случае финансов. Что касается оплаты чего-либо в сети по картам (даже через промежуточное звено типа пейпала) предпочитаю следующее правило — не держать средств на картах (у меня для этого дела 2 разных — виза и мастеркард, так как в одних случаях одна выгоднее, в других — другая), которые будут светится в сети. Если, не дай бог, данные карты будут украдены, то при попытке их заюзать я моментально узнаю это по смс, в которой будут сообщено, что операция отклонена из-за недостатка средств. Нужно что-то оплатить — через интернет банк перекидывается необходимая сумма на карты для интернета, а потом производится оплата. Что же касается интернет банка, то двухфакторная авторизация и подтверждение каждой операции разовыми кодами даже в случае кражи пароля не несет опасности для финансов. Не знаю, был ли мой банк подвержен Heartbleed, но единственный реальный сценарий ее эксплуатации — это атака MITM в случае кражи сертификата, что но и тут голова на плечах и внимательность помогут не попасться.
Также подключены Verified by Visa and Mastercad secure, но это скорее защита магазина, а не владельца карты, так как эта опция не обязательная для всех операций. Ее поддерживают для своего спокойствия некоторые шлюзы. Именно для своего. Оплата была подтверждена паролем — деньги 100% наши. Если пароль был украден, то клиент сам виноват.
Также подключены Verified by Visa and Mastercad secure, но это скорее защита магазина, а не владельца карты, так как эта опция не обязательная для всех операций. Ее поддерживают для своего спокойствия некоторые шлюзы. Именно для своего. Оплата была подтверждена паролем — деньги 100% наши. Если пароль был украден, то клиент сам виноват.
Угу, я… ги с двухфакторной у меня на раз-два-три увели, потом еще долго с саппортом я… ги переписывался. Поначалу таки и СМС на мобильник приходили c разовыми паролями, а потом раз — и нету у меня больше я… ег :-) Одно радует- там 200 российских рублей оставалось ;-) И было как раз в период действия Heartbleed!
Примерно в тот же период (период действия Heartbleed) с моего tw....r аккаунта рассылали всякую фигню, заодно увели аккаунт одно… ков и даже с gm.il отправили пачку спам-писем (служба поддержки утверждала, что это я сам отправлял из Въетнама :-)). Причем пароли ко все аккаунтам я сам вспоминаю с трудом — там 8-11 символов вперемешку с цифрами (записаны на бумажке и лежат в сейфе).
Но да — двухфакторная авторизация помогла узнать о начале атаки. И финансы практически не пострадали ;-)
Но! Теперь я боюсь в любом случае — и больше не доверяю всем этим сервисам!
Но да — двухфакторная авторизация помогла узнать о начале атаки. И финансы практически не пострадали ;-)
Но! Теперь я боюсь в любом случае — и больше не доверяю всем этим сервисам!
Вы так стыдливо скрываете за точками Gmail, Яндекс.Деньги, Twitter и Одноклассники, как будто это что-то очень плохое, как будто боитесь страшной кары и сурового порицания сразу от всех присутствующих. Или как будто вам не заплатили за упоминание этих сайтов и сервисов. Странно, ведь они ж всем всегда платят.
надеюсь минусовали разраб$$$$$ки я###кс де… Х? ))
атака MITM в случае кражи сертификата, что но и тут голова на плечах и внимательность помогут не попастьсяА как голова на плечах поможет не попасться на MITM, если сертификат украден и полностью соответствует «оригиналу»?
UFO just landed and posted this here
Это как минимум не только его проблема. Например, если вы временно находитесь в другой стране.
Банк всегда готов извиниться.
Уязвимый платёжный шлюз может принадлежать одному банку, а карта быть выпущена другим банком. Когда с карты украдут деньги — это будет проблема второго банка (и, как ни крути, клиента :-( ). А то, что кража произошла из-за халатности первого банка, никто и не узнает (если только мошенников не поймают).
Узнают в МПС и могут заблокировать карты, которыми платили через скомпрометированный шлюз. Думаю, это и произойдёт после расследования.
Вопрос в том как выяснить при платеже через какой именно шлюз произошла утечка. Компрометируется-то не шлюз, а данные карточки. А тот факт, что их слили с конкретного шлюза, можно достоверно узнать только анализом трафика в момент атаки, как я понимаю.
Т.е. факт наличия уязвимости шлюза узнать легко, а вот доказать, что данные карточки были украдены именно с этого шлюза — сложно. А уязвимости сейчас есть много у кого. Вчера тоже написал в один крупный банк про их платёжный шлюз, пока уязвимость вроде осталась.
Т.е. факт наличия уязвимости шлюза узнать легко, а вот доказать, что данные карточки были украдены именно с этого шлюза — сложно. А уязвимости сейчас есть много у кого. Вчера тоже написал в один крупный банк про их платёжный шлюз, пока уязвимость вроде осталась.
UFO just landed and posted this here
только сначала надо как-то доказать, что данные у тебя украли, а не ты сам сначала купил спьяну 10 айфонов, но наутро передумал.
Heartbleed отлично разделил все компании на думающие о проблемах и не думающие. Думающие после обнаружения проблемы сообщают пользователям о необходимости поменять пароли и меняют сертификаты, помещая старые в списки отзыва. Не думающие — игнорируют, или молча патчат и считают, что лучше миллион хомячков ничего плохого не узнает, чем пара десятков толковых людей возмутится.
Не поймите неправильно, но аж захотелось что то у них украсть, на зло, лишь бы поняли. Но что то мне подсказывает что и это не поможет.
Я в этом плане был удивлен тем, что, вроде бы достаточно серьезная фирма, QNap — до сих пор не выпустила обновление прошивки под мой NAS, в котором бы запатчили Heartbleed, более того, судя по форуму, единственный способ обновиться в ближайшие дни будет — это поставить что-то типа nightly build'а какой-то последней толи беты толи альфы.
Не рекламы ради, а только констатации факта для. Synology выкатила 10 апреля.
А выкатила именно «вот последняя стабильная версия + новый/пересобранный без heartbeat openssl»? Или тоже «ну, мы в main ветку фикс добавили, вот вам найтли билд»?
Именно security hotfix к последней стабильной версии: www.synology.com/en-global/support/security_hotfix_dsm_5_0_4458_update_2
Молодцы. Хотя все же удивительно, почему у некоторых уходит несколько дней на выпуск подобных фиксов, когда решение известно заранее и достаточно простое (неужели они как-то завязались на конкретную версию либы, что ни heartbeat ни отключить, ни апгрейд/даунгрейд версии не сделать?).
10 числа вышла обнова именно к моему старенькому 210j (кроме этого фикса там еще пяток разных исправлений). Возможно, к топовым (или просто более актуальным) моделям выпустили и раньше :)
От полусотни сервисов, для которых безопасность критична я получил одно SMS и ни одного письма.
в SMS был только новый логин и пароль от интрнет-банка открытым текстом.
Думающие компании — это миф.
в SMS был только новый логин и пароль от интрнет-банка открытым текстом.
Думающие компании — это миф.
Я от банка, через которого получаю зп, получил уведомление, мол, бегом пароли менять.
Я получил только от сервиса, на котором несомненно стоит мой Самый Главный Пароль и хранятся Самые Важные Данные — Metacritic.
Никто из остальных даже письма не прислал.
Никто из остальных даже письма не прислал.
Ну, тут еще зависит от того, что потенциально могло быть в памяти. Например многие сейчас ворчат что Steam так ничего и не сделал кроме закрытия дырки. А между тем они сменили сертификаты на следующий день и ночью с 11 на 12 сбросили все сессии с сохраненными паролями. Пароль при входе передается в шифрованном виде? и вроде как ключ шифрования меняется постоянно. Т.е. фактически получается что взломами не грозит, хотя не понятно по поводу данных банковских карт — они по идее передаются открыто в AJAX-запросе, и не понятно, могли ли они утечь за то время, пока уязвимость существовавала.
Неплохо было бы собрать статистику, какие компании и в какой срок устранили уязвимость. Очень объективная картина бы получилась.
Читая вашу статью возник совет пореже использовать деепричастные обороты.
Пишите следующее письмо: «Через пять дней информация об уязвимости будет опубликована, вместе с текущим статусом на тот момент. Время пошло.»
Доведите свою работу на благо общества до конца.
Доведите свою работу на благо общества до конца.
можно пример этого
Спасибо
После модификации кода одного из готовых эксплоитов на github
Спасибо
Пожалуйста, поясните, что за данные позволяет получить Heartbleed в случае с банками? Если я правильно понимаю, баг позволяет читать оперативную память сервера, т.е. скорее всего это данные о недавних (либо текущих) транзакциях? Т.е. если я после опубликования информации о Heartbleed 7 апреля не платил по карточке в Интернете, то могу спать спокойно?
Увести можно очень многое, начиная от «голых» данных и заканчивая сертификатами. В вашем случае можно спать спокойнее, но я бы всё равно порекомендовал подождать еще одну-две недели, потому что в идеале банки должны не только исправить уязвимость, но и получить новые сертификаты, так как старые могли быть скомпрометированы.
>>Т.е. если я после опубликования информации о Heartbleed 7 апреля не платил по карточке в Интернете, то могу спать спокойно?
Только при условии что о баге небыло известно до 7 апреля злоумышленникам.
Только при условии что о баге небыло известно до 7 апреля злоумышленникам.
А есть ли ссылки на How-to по исправлению проблем? А то кругом крики «все пропало, а они ничего не делают», но чего делать непонятно.
Крики потому, что достаточно обновить OpenSSL на сервере. Никакой магии в этом нет и об этом уже многократно писали.
Рядовой пользователь давно уже защищен от такого рода уязвимостей — лимит по расчетам картой. Условно, стандартно стоит 50уе (на транзакцию или в сутки), когда надо платить больше — звонок в банк и за 2 минуты лимит поднят до нужной суммы, потом лимит возвращается обратно. В таких ситуациях все потери сокращаются до суммы лимита, хоть 1 доллар ставь и нет проблем. Лучше изредка звонить в банк, зато спать спокойно. Всегда недоумевал от дикого страха некоторых людей рассчитываться в сети картой, мол, украдут данные карты…
Еще более просто — открыть виртуальную карту. Сейчас, наверное, можно сделать в любом банке. Зато быстро и надежно. Как минимум дважды это избавило меня от лишних платежей на услуги, которые мне были не нужны (в одном случае сервис не отключил платную подписку, хотя обещал это сделать, а во втором — снял за игру деньги трижды, правда лишние транзакции отменили автоматически).
Вы живёте в параллельном мире. Я тоже долго не понимал как люди могут с таким подходом вообще существовать, пока не осознал, что в России запрещено хранить данные кредиток и, соответственно, магазины не могут списывать деньги в момент отправки товара (что является обычным поведением в заграничных магазинах).
Неужели вы никогда и ничего не покупали на Amazon'е??? Как вы собираетесь звонить в банк и поднимать лимит, если вы понятия не имеете когда конкретно произойдёт транзакция? А если вы подняли лимит на сутки, то тут и злоумышленник может влезть…
А если не Amazon, то гостиница (очень многие гостиницы за границей блокируют на карте, скажем, по $200 каждый день, потом списывают заранее оговоренную сумму если нет дополнительных платежей) и прочее.
Неужели вы никогда и ничего не покупали на Amazon'е??? Как вы собираетесь звонить в банк и поднимать лимит, если вы понятия не имеете когда конкретно произойдёт транзакция? А если вы подняли лимит на сутки, то тут и злоумышленник может влезть…
А если не Amazon, то гостиница (очень многие гостиницы за границей блокируют на карте, скажем, по $200 каждый день, потом списывают заранее оговоренную сумму если нет дополнительных платежей) и прочее.
Автор, укажите что за сайт, пожалуйста — дампить там чего-то мне абсолютно не интересно, но не хотелось бы светить данные своих карт.
Автор, не была раскрыта тема клиентских уязвимостей. Вот то, чем ещё грозит HeartBleed простому пользователю:
isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
Получается, что кроме АНБ из наших с вами устройств смогут забирать данные всякие проходимцы средней руки.
Нехороший сайт сможет выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать страницы и при этом обрабатывающее конфиденциальные данные — цель. Ваш домашний Linux тоже можно выпотрошить. Но сначала пройдутся по всему, что так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся, будут красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Бизнесу грозит потрошение памяти веб-шлюзов, и никакие фаерволы от этой напасти не спасают. Но тут вендоры отреагируют быстрее.
Веселее всего, наверное, удостоверяющим центрам, штампующим новые сертификаты взамен скомпрометированных. На штамп небось кулер уже пора ставить. Товар первой необходимости, вот бизнес сейчас у кого-то попрёт…
Прошу прощения у всех, но в силу серьёзности проблемы мне придётся повторить этот комментарий в других топиках про HeartBleed на хабре, если там эта тема не упомянута. Берегите себя.
isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
Получается, что кроме АНБ из наших с вами устройств смогут забирать данные всякие проходимцы средней руки.
Нехороший сайт сможет выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать страницы и при этом обрабатывающее конфиденциальные данные — цель. Ваш домашний Linux тоже можно выпотрошить. Но сначала пройдутся по всему, что так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся, будут красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Бизнесу грозит потрошение памяти веб-шлюзов, и никакие фаерволы от этой напасти не спасают. Но тут вендоры отреагируют быстрее.
Веселее всего, наверное, удостоверяющим центрам, штампующим новые сертификаты взамен скомпрометированных. На штамп небось кулер уже пора ставить. Товар первой необходимости, вот бизнес сейчас у кого-то попрёт…
Прошу прощения у всех, но в силу серьёзности проблемы мне придётся повторить этот комментарий в других топиках про HeartBleed на хабре, если там эта тема не упомянута. Берегите себя.
Вы правы, есть и такая сторона Heartbleed и она вполне тянет на отдельную статью на хабре. Это будет лучше, чем повторять комментарий.
полутора часов хватило, благодарю за идею
habrahabr.ru/post/219335/
habrahabr.ru/post/219335/
Одна российская компания это РЖД и платежный шлюз был от ВТБ24?
и теперь из-за их халатности данные карточек светятся на этом сайте sos-rzd.com/
и теперь из-за их халатности данные карточек светятся на этом сайте sos-rzd.com/
Написал апдейт.
Есть глупое противодействие от ржд: justmedia.ru/news/economy/falshivyi-sait-sobiraet-dannye-platezhnyh-kart-klientov-rzd
А на этом сайте светятся только маски номеров, а не полные номера карт.
А на этом сайте светятся только маски номеров, а не полные номера карт.
Всем, кто интересовался касательно PVS-Studio: Скучная статья про проверку OpenSSL.
Вы знаете, насколько нетривиальна процедура релизов в банках? Так что неделя — это ещё довольно оперативно!
Sign up to leave a comment.
Чем грозит Heartbleed простому пользователю?