פריצת אבטחה "מעניינת"

walla לפניכם תמונה. כפי שאתם יכולים לראות בתמונה, אתם רואים מסך עם Windows XP, וחלון מלא של אקספלורר ובתוכו רואים את אתר "וואלה" (אפשר ללחוץ על התמונה ולקבל גירסה מוגדלת של התמונה). מה בדיוק פרוץ פה? אה, הסיפור הולך כך..

הלכתי עם ידידתי הנחמדה לבנק דיסקונט לסניף שבו היא מנהלת את חשבון הבנק שלה והיא היתה צריכה מס' שרותים מהפקידים שיושבים בקידמת הסניף. לי לא היה מה לעשות. הסתובבתי קצת בלובי ואז ראיתי את המסוף של טלבנק דיסקונט. החלטתי קצת "לחטט", ולקח לי בערך 10 שניות (טוב, שורת ה-Address Bar היתה גלויה) לגלוש החוצה, לאתר של "וואלה". למי שעוד לא הבין, הצלחתי לגלוש החוצה במסוף שלא אמור לתת גלישה חופשית בלי שום בעיה מתוך המערכת הפנימית של בנק דיסקונט.

חקרתי קצת יותר לעומק את המחשב (בכל זאת, הפקידים היו עסוקים…). איזה פתרון אבטחה ה-XP מריץ? הופתעתי: Symantec Antivirus Corporate Edition, הגוויה הצפה הזו אמורה להגן על המחשב. ניחא.

אז אוקיי, אפשר לגלוש, לא ביג דיל, נכון? זהו, שזה כן. ברשותכם אעשה סוויץ' ואהיה איזה Black Hat Hacker (אני לא, אבל נניח). כל מה שאצטרך לעשות הוא פשוט לגלוש לאתר מסוים שפשוט "יסרוק" את האקספלורר לפריצות שלא נחסמו לאחרונה, ומי שלא יודע, מיקרוסופט אין לה רקורד זוהר בסגירת פריצות (שלא לדבר על פריצות שיש בפלאש) וימצא פריצה מסויימת. מהרגע שהוא מוצא, אני אתן לו להוריד קובץ Loader קטן ותמים שירוץ ושיוריד "בתשלומים" (כדי לעקוף מערכות פילטרים או פיירוולים) תוכנת Key Logger ולאחר ההורדה, ה-Loader ירכיב את החלקים ביחד, יכניס את ההפעלה ל-Registry של ה-XP (יש לא מעט דרכים לכך, תשאלו כל בחור עם תעודת MCSE) ופשוט ישב ברקע ויאזין להקלקות של הלקוחות  הבאים שבבטחון גמור יכניסו את מס' הזהות שלהם, סיסמא וגם קוד, ואחרי זה ה-Key Logger הנחמד ישלח את הפרטים החוצה אליי ותנחשו מה אני יכול לעשות עם הפרטים…

הבה נהיה יותר רשעים: אינני רוצה לגנוב כספים מלקוחות הבנק (למרות שרבים מהלקוחות חותמים על אישורים להעברת כספים דרך מערכת הטלבנק!), אני רק רוצה לעשות אנדרלמוסיה קטנה: תוכנת ה-Key Logger תוריד גם תוכנה אחרת, שתדע לפתוח חלון אקספלורר ב-Minimize (מה הלקוחות מבינים בחלונות minimized?) או חלון נסתר של אקספלורר, תזין את הפרטים שהיא לקחה מלקוח תמים מלפני שעה, ופשוט תעביר כספים (אחרי הכל, זה רק עניין של parsing, שליחת POST, אין שום captcha להגן) אל הלקוח שנכנס לפני 20 דקות. (אפשר להעביר עד 10000 ש"ח). הלקוח של לפני 40 דקות אם ירגיש בכך ויתלונן, כספו יוחזר רק אחרי המון ויכוחים, כי אין כאן פריצה קלאסית: הלקוח היה במסוף, ומבחינת המערכת הוא העביר מאותו מסוף ללקוח לפני 20 דקות את הכסף. תארו לכם את אותו טריק חוזר כמה עשרות פעמים במשך חודש, כפול מספר סניפים שאני "מתקין" את 2 התוכנות בביקור תמים באותם סניפים, ולבנק יש סיוט לא קטן.

את הסיוט הזה אפשר לגמור עוד היום, אם הבנק יעשה את הצעדים הבאים:

  • יעיף החוצה גלישה. המסוף אמור לתת את אתר הבנק? אז את אתר הבנק בלבד
  • ירד מאקספלורר: לאינטרנט אקספלורר לא חסרים פריצות גם כיום שמיקרוסופט עדיין לא טיפלה בהם.
  • אם הבנק רוצה לתת גלישה מוגבלת מאוד לאתרים חיצוניים, כדאי שהבנק ירד מ-XP ואקספלורר ויחפש פתרונות אחרים יותר מאובטחים ויותר נעולים (לא חסרות שיטות להריץ פקודות ב-XP גם אם מבטלים את כפתור ה"התחל"). לינוקס עם מנהל גרפי מינימלי (לא GNOME או KDE) ו-FireFox במצב Kiosk נעול לגמרי יציג את הדברים בצורה מצוינת.

ולבסוף, אשאיר אתכם עם תמיהה: אני בטוח שאני לא היחיד שגיליתי את עניין הגלישה החוצה ממסופי טלבנק. לי אין כמובן שום כוונה לנצל את אותו "גילוי" לרווח/רמייה של הבנק, אך אולי מישהו אחר ברחבי הארץ גילה זאת והתקין דברים מזיקים באותם מסופים?

אני נדהם שבנק גדול כמו בנק דיסקונט שכסף לא חסר לו, נכשל ברמת אבטחת מידע בצורה כזו מביכה.

מוגש כחומר למחשבה.

עדכון: שלחתי הודעה "דחופה" למחלקת אבטחת מידע של הבנק לפני שהתחלתי לכתוב את הטקסט (בסביבות 7 וחצי בערב) עם פרטיי המלאים וביקשתי שיחזרו בדחיפות. עד לרגע זה (20:54) איש לא חזר.

Comments

comments

15 תגובות בנושא “פריצת אבטחה "מעניינת"

  1. הזוי. בטח אף אחד שם פשוט לא עובד בלילה…ולא בשישי…אז אל תצפה לכלום לפני יום ראשון. אבל סתם ד"א, אני חושב שלא ראוי להעלות את זה ככה, כי מישהו עוד ילך לעשות את זה מחר בבוקר.

    אגב, אני ראיתי פעם כספומט עושה ריסט, ומתברר שיש גם לא מעט כספומטים על XP…

    אסף.

    • מה שאני מתאר פה לא ניתן לעשות ב"שלוף". אני מאמין שיש להם מערכות סינון שיצליחו לזהות כל מיני rootkit שמסתובבים בשוק, ובגלל זה דיברתי על תהליך של Loader וכו'.

      כספומטים עם XP זה כספומטים שמריצים XP Embedded. הם היו מריצים פעם OS/2 בבנק פועלים.

  2. האם בדקת האם ניתן להתקין משהו על המערכת הזו? רוב המסופים של חברות פיננסיות מוגדרים באופן כזה שלא ניתן להתקין עליהן דבר. גם לא flash (אלא אם הוא כבר הותקן).

      • מה שאתה מתאר נשמע תקלה נקודתית, שמאוד לא אופיינית לבנק.
        מניסיוני אבטחת המידע בבנק היא מהחזקות שקיימות כיום במגזר הפיננסי

  3. אני בטוח שהם הקשיחו את התחנה ולא איפשרו לעדכן את ה-Registry ואולי גם לא איפשרו לעשות save בתוך הדפדפן. בדקת את זה?

    • הפוסט לא דיבר על צעדים אופרטיביים לפריצה.

      אם הבנק מאפשר גלישה מהמסופים, הכל אפשר להאמין, אבל זו לא הנקודה. הנקודה היא שהם חובבנים.

סגור לתגובות.