API tools faq
paste
Advertisement
gheja

BKK és T-Systems - Ördög Rafael

gheja
Jul 26th, 2017
130
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 10.42 KB | None | 0 0
raw download clone embed print report
  1. Többen is kérték tőlem, hogy magyarázzam el laikusok számára is érthetően, hogy mik is voltak azok a hibák, amiket a T-systems fejlesztői elkövettek. Azoknak, akiket érdekel, hát itt egy szájbarágó :)
  2.  
  3. TL;DR: ha regisztráltál a BKK rendszerébe, érdemes jelszót cserélni és új személyi igazolványt igényelni. Ott is cseréljük le a jelszót, ahol ugyanazt a jelszót használtuk, mint a BKK-nál. (Mondjuk például Facebook-on?)
  4.  
  5. Fontos, hogy igyekeztem teljesen politikamentesen, pusztán szakmai szempontból nézni a témát. Ebben a bejegyzésben nem kívánok semelyik politikai oldal mellé odaállni, itt pusztán a száraz tényeket közlöm interpretáció és értékítélet nélkül.
  6.  
  7. -----
  8.  
  9. Amit szerintem elsősorban meg kell érteni egy laikusnak, hogy az interneten egy bűncselekmény elkövetője tökéletesen el tud bújni, ezért a "bűnüldöző" logika nem működik, csak a "bűnmegelőző".
  10.  
  11. A második, amit kontextusként meg kell érteni, hogy egy szolgáltató, aki mások adatait kezeli az felel minden felhasználó adatainak biztonságáért. Ha őt feltörik, akkor azzal nem csak a saját biztonsága kompromittálódik, hanem a felhasználók biztonsága is.
  12.  
  13. Ebben a kontextusban menjünk végig a hibákon:
  14.  
  15. --- 50 forintos bérlet ---
  16.  
  17. Adott egy termék ára. A szerver megmondja a böngészőmnek, hogy mennyibe kerül a bérlet, a böngészőm pedig megmondja a banknak, hogy mennyit szeretne fizetni. Senki nem ellenőrzi, hogy ugyanazt a számot mondtam, amit nekem mondtak. Hasonlatnak azt tudom mondani, hogy ez olyan, mintha a közértben a hentes lemérné a kért felvágottat, majd megmondaná nekem, hogy mennyit kell majd a kasszánál fizetnem, de nem írja fel sehova. Ezután a kasszás pedig minden további nélkül elhiszi amit mondok árnak, akkor is, ha azt mondom 1 forint. Ha csupa becsületes ember lenne a világon, akkor ezzel nem lenne gond, csak hát az internet tele van kevésbé jó szándékú emberekkel is.
  18.  
  19. --- Plain text jelszavak ---
  20.  
  21. Minden szolgáltatónál előfordul, hogy minden erőfeszítés ellenére mégis bejutnak támadók az adatbázisba. Ilyen esetben az egyik legfontosabb megvédendő információ a felhasználók jelszava. Sajnos sokan ma is ugyanazt a jelszót használják több oldalon is (akár például a net bankjukhoz is), így ha kikerülnek a jelszavak, az különösen nagy baj.
  22.  
  23. Erre az iparági szabvány az, hogy a jelszavakat nem tároljuk, hanem egy egyirányú "titkosítást" (szakszóval hash-t) alkalmazunk. Így ha egy támadó hozzájut ezekhez a jelszavakból készített úgynevezett hash-ekhez, akkor még nem tudja megmondani az eredeti jelszót. (Annyi számítási kapacitás kellene hozzá, hogy ha a világ összes gépe ezen dolgozna, akkor is évekbe telne visszafejteni a jelszavakat.) Amikor valaki megadja a jelszavát, akkor arra újra kiszámítjuk a hash-t, és azt hasonlítjuk össze a tárolt hash-sel.
  24.  
  25. Ezt az amúgy elvileg törvényben is előírt szabványt nem követte a T-systems fejlesztő csapata, ezzel veszélybe sodorva a felhasználókat.
  26.  
  27. A hasonlat az, mintha rám bíznák egy falu összes házának kulcsát, és én azokat a kocsimban hagynám jól látható helyen. Persze fel kell törni az autómat, hogy valaki hozzájusson, de csak az én autómat kell feltörnie, és akkor mindenki kulcsához hozzájut.
  28.  
  29. Amúgy azt nem tudjuk, de sejthetjük, hogy a többi adatot sem titkosítva tárolták. Így például a személyi igazolvány számokat sem. Tehát ha valakinek sikerül feltörni az adatbázist, akkor hozzájut több ezer ember olyan személyes adataihoz titkosítatlan formában, amit felhasználva könnyebben tud visszaélni az emberek személyazonosságával.
  30.  
  31. --- E-mail-ben visszaküldött jelszó ---
  32.  
  33. Ez az előzőhöz annyiból kapcsolódik, hogy emiatt derült fény rá. Az e-mail-ről érdemes tudni, hogy eredetileg egyetemen belüli kommunikációra tervezték kísérletképpen, csak aztán véletlen elterjedt. Ezzel az a baj, hogy egyáltalán nem tervezték biztonságosra, út közben bárki elkaphatja, elolvashatja, sőt módosíthatja. (Ezért érdemes érzékeny információkat GPG alkalmazással titkosított formában küldeni, ha e-mail-t használunk.)
  34.  
  35. Magyarul elküldeni valakinek egy jelszót e-mail-ben olyan, mintha valakinek a lakáskulcsát egy átlátszó borítékban adnád fel, abban reménykedve, hogy a postás nem másolja le, és nem adja el utána betörőknek a másolatot a címmel együtt. (Megint csak fontos megjegyezni, hogy az emberek általában több helyen is használják ugyanazt a jelszót...)
  36.  
  37. --- Nyiltan elérhető profil adatok ---
  38.  
  39. Itt annyi történt, hogy elkérhetem a saját adataimat a rendszertől, de ehhez meg kell mondanom a nevem. A rendszer viszont nem ellenőrizte, hogy aki be van jelentkezve, az azonos azzal a személlyel, akinek a profilját kérte a bejelentkezett felhasználó. Épp ezért bármely másik felhasználó adataihoz hozzá lehetett férni.
  40.  
  41. Magyarul egy személyazonossággal visszaéléshez szükséges adatokat bármely felhasználóról meg lehet tudni programozási ismeret, vagy az adatbázis feltörése nélkül. Szinte bárki megszerezhetett nyomok nélkül ilyen adatokat.
  42.  
  43. --- Ellenőrizetlenül törölt regisztráció ---
  44.  
  45. Ez már a hackerkedésnek egy olyan területe, ami laikusoknak is könnyen érthető. Úgynevezett social engineering. Ilyenkor arra apellálsz, hogy az ügyfélszolgálatos nincs felkészítve megfelelően, és nem ellenőrzi a személyazonosságod, mielőtt adatot ad ki, vagy teljesíti egy kérésedet. Ezzel gyakorlatilag úgy lehet kiszúrni valakivel, hogy regisztrálsz egy hasonló e-mail címet, mint az övé (mondjuk kovacs.istvan@gmail.com helyett k0vacs.istvan@gmail.com) és a nevében kéred a regisztráció törlését. Legközelebb mikor utazni próbál a bérletével, azt fogja tapasztalni, hogy már nem elérhető. Ez persze inkább gyerekes csíntevésre jó, de azért bosszantó tud lenni.
  46.  
  47. Sokkal aggasztóbb, hogy adott esetben elképzelhető, hogy hasonló social engineering technikával érzékeny adatok megadására sikerül rávenni az ügyfélszolgálatost.
  48.  
  49. --- SSL DROWN sérülékenység ---
  50.  
  51. Ez az egyetlen hiba, amire azt tudom mondani, hogy nem számít amatőr hibának. Nehéz is lenne laikusok számára érthetően részletezni, mi a hiba. A lényeg az egészben, hogy a böngésző és a szerver közötti titkosított kommunikáció volt nem megfelelően beállítva, emiatt az lehallgatható volt. Itt is a jelszavak és személyes adatok kerülhettek rossz kezekbe, ha valakinek sikerül ezt kihasználva lehallgatni egy kommunikációt.
  52.  
  53. --- A BKK és a T-systems reakciója ---
  54.  
  55. Fontos megérteni, hogy a webes világban semmilyen körülmények között nem apellálhatunk a felhasználók jóindulatára, különösképp olyan esetben, mikor érzékeny adatokat tárolunk. Hibákat azonban mindenki elkövet. Éppen ezért a webfejlesztők között az a kultúra alakult ki, hogy ha megsejtünk egy sérülékenységet a másik rendszerében, akkor ellenőrizzük, hogy a sejtésünk helytálló-e (reprodukáljuk a hibát) és amennyiben igen, akkor azonnal értesítjük a szolgáltatót. Lényegében - tekintettel arra, hogy az interneten rengeteg rossz szándékú támadó van - mi szoftverfejlesztők így vigyázunk egymásra, és rátok, felhasználókra.
  56.  
  57. Ezt követően szoktunk időt adni a szolgáltatónak a hiba javítására, vagy legalább arra, hogy jelezze, hogy tudomásul vette a hibát, és javítani fogja mielőbb. Amennyiben azonban a szolgáltató nem reagál, akkor nyilvánosságra szokás hozni a sérülékenység tényét, annak érdekében, hogy ha szolgáltató nem jár el felelősségteljesen (nem javítja a hibát) akkor a felhasználók tehessék meg a szükséges óvintézkedéseket. (Például jelen esetben indokolt az összes jelszó lecserélése, és új személyi igazolvány igénylése, ha valaki regisztrálva volt a BKK oldalán.)
  58.  
  59. Amit a fentiekben írtam az azt fedi, ahogy általában el szoktunk járni a gyakorlatban. Hogy a 18 éves fiatalember aki a bejelentést tette, mennyire követte ezt, nem tudom maradéktalanul megítélni, de azt gondolom, hogy a mögöttes szándéka megfelelt a fenti szokásjog szellemiségének.
  60.  
  61. A probléma abból adódott, hogy a T-systems annak ellenére nem felelős módon járt el, hogy ők maguk is foglalkoznak etikus hackerkedéssel, sőt ezt fennhangon hirdették is. Nem tudom mi csúszhatott félre a kommunikációban a T-systems-nél, vagy a T-systems és a BKK között, mindenesetre érdekes volna egy beszámolót hallani valaki olyantól, aki benne volt a projektben.
  62.  
  63. Abból viszont, hogy a T-systems vezérigazgató arra hivatkozott, hogy azért kellett feljelentést tenniük, mert a bejelentés nem hozzájuk jött a hibáról, azt gondolom, hogy a kommunikációs hiba a BKK és a T-systems között volt. A bejelentés a BKK-hoz ment, akik nem tájékoztatták erről a T-systems-et, utóbbiak pedig észlelték a problémát, és feljelentést tettek. Persze ez csak hipotézis... hogy valójában min csúszott el az ügy, valószínű, soha nem tudjuk meg.
  64.  
  65. UPDATE: többen jelezték, hogy túlzónak érzik azt a javaslatot, hogy cseréljünk személyi igazolványt. Ezzel annyiból egyet tudok érteni, hogy rendkívül alacsony az esélye, hogy emiatt válunk egy bűncselekmény áldozatává. Ezzel együtt ez a valószínűség nem nulla, ennek megfelelően, ha én regisztráltam volna, akkor cserélnék személyi igazolványt a biztonság kedvéért. De dönthet úgy bárki, hogy ezt a tényleg aprócska rizikót vállalja.
  66.  
  67. UPDATE 2.: Arról, hogy amit a 18 éves srác csinált jogszerű-e szándékosan nem nyilatkoztam. Nem vagyok jogász, így ennek megítélését a bíróságra bízom. Amit próbáltam megfogalmazni az az, hogy amennyiben ez bűncselekménynek minősül, az szakmailag aggályos, hiszen egy nagyon fontos védelmi vonalat - a felhasználói bejelentéseket - teszi illegálissá.
  68.  
  69. UPDATE 3.: Többen jelezték, hogy azt nem tudjuk biztosan, hogy plain text jelszavakat tároltak. Ez igaz, előfordulhat, hogy olyan titkosítást használtak ami visszafele is kiszámolható. Habár ezt nem tartom valószínűnek, de még ha így is van, az sem sokkal jobb. Valamivel biztonságosabb, de közel sem annyira mint ha hash-t használtak volna.
  70.  
  71. Ördög Rafael
  72. https://www.facebook.com/photo.php?fbid=10211448936633799&set=a.1594326172769.2083871.1074367474&type=3&theater
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!