by ·0 Comments

Czasem na rynku pojawiają się aplikacje, których miejsce jest w kolejce do testów, a nie we wdrożeniu na produkcji. Świetnym przykładem takiej sytuacji może być system miejskich biletów, wdrożony niedawno w Budapeszcie.

Gdy goni termin i zespół odpowiedzialny za wdrożenie poddawany jest różnym naciskom, dzieją się rzeczy, o których filozofom się nie śniło. Architekt bezpieczeństwa nie ma nic do powiedzenia, deweloperzy idą na skróty, testy skracane są do weryfikacji czy system się uruchamia i ogłaszane jest zwycięstwo. Niestety skutki takich działań prędzej czy później okazują się opłakane.

Szybkie wdrożenie

Laszlo Marai opisuje smutną historię budapesztańskiego systemu biletu miejskiego, wdrożonego przez miejską spółkę transportową wspólnie z firmą T-Systems Hungary. System ruszył pierwszego dnia mistrzostw świata w pływaniu, które odbywały się w Budapeszcie. Jego premiera była zaskoczeniem – nikt nie słyszał o żadnych wcześniejszych testach. System został oparty o witrynę WWW – rozwiązanie przyjazne użytkownikom, ale będące dużym wyzwaniem dla twórców aplikacji z punktu widzenia bezpieczeństwa. Nie będzie chyba dla Was zaskoczeniem, że już w pierwszych dniach działania nowego systemu znaleziono w nim trochę błędów.  Niestety słowo „trochę” jest tutaj dużym niedomówieniem, ponieważ okazało się, że:

  • system przechowuje hasła użytkowników otwartym tekstem i odsyła je emailem w procesie odzyskiwania hasła,

vista@vista_df
W odpowiedzi do @vista_df @bkkbudapest

Some background info: FINA 2017 just began in Budapest, the local transport authority had a hard deadline to roll out the e-tickets/passes.

vista@vista_df

Oh dear. This can’t be good. pic.twitter.com/nkjPW5YO6c

Zobacz obraz na Twitterze
Twitter Ads – informacje i Polityka prywatności
  • manipulacja parametrami wywoływanych linków pozwalała na wyświetlanie danych innych użytkowników takich jak imię, nazwisko, adres i numer dokumentu tożsamości,
  • wejście na stronę shop.bkk.hu nie skutkowało jej wczytaniem, bo ktoś zapomniał ustawić przekierowanie http -> https,
  • hasło administratora systemu zostało szybko ustalone, ponieważ brzmiało adminadmin,
  • kupione bilety można było bez problemu kopiować między urządzeniami i okazywać do kontroli,
  • serwis korzysta z CAPTCHA, które można zwyczajnie odczytać programowo.

vista@vista_df

I would like to congratulate the devs / ticket controllers of @bkkbudapest on the rollout of the new e-ticket system. Very secure CAPTCHA! pic.twitter.com/TbkZKaHLwX

vista@vista_df

I would like to thank the devs for following modern web standards and making it easy to programatically solve CAPTCHA. No need for scraping! pic.twitter.com/JPSbdmlRxB

Zobacz obraz na Twitterze
Twitter Ads – informacje i Polityka prywatności

Brzmi jak spektakularna katastrofa, prawda? Ale to nie koniec, ponieważ pewien 18-letni uczeń odkrył, że jeśli zmodyfikuje żądanie do serwera WWW podmieniając np. cenę kupowanego biletu miesięcznego z 9500 forintów na 50 forintów, to bilet otrzyma, tylko dużo taniej. Uczeń zgłosił swoje odkrycie właścicielowi systemu i w odpowiedzi dowiedział się, że kupiony w ten sposób bilet został unieważniony. Na tym jednak korespondencja się zakończyła. Kiedy – pewnie za sprawą odkrywcy – historia trafiła do prasy, zaczął się prawdziwy cyrk.

vista@vista_df
W odpowiedzi do @vista_df @bkkbudapest

This is a goddamn train wreck at this point. pic.twitter.com/v261CeRqNU

Gabor Heja@gheja_

Also, a local news portal have been told (and got a screenshot) that pass price can be modified on the client side. http://index.hu/tech/2017/07/14/meghekkelheto_a_bkk_rendszere_barmennyiert_lehet_jegyet_venni/ 

Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Szakértők elképesztően durva hibát találtak a jegyeladó rendszerben. A BKK azt mondja, a rendszerük kiszűri a visszaéléseket.

index.hu

Twitter Ads – informacje i Polityka prywatności

Spółka zarządzająca systemem transportowym wraz z wykonawcą systemu ogłosiły, że system padł ofiarą ataków hakerów (a firewall zatrzyma wiele z nich), oskarżyli społeczeństwo o niedojrzałe zachowanie oraz poinformowali, że każdy system może zostać zhakowany a ich nie jest wyjątkiem. Twórca systemu na konferencji prasowej poinformował, że chętnie przyjmuje zgłoszenia o błędach oraz że jeden z przypadków włamania został zgłoszony organom ścigania. Niestety okazało się, że dotyczyło to przypadku wspomnianego wcześniej 18-latka. Odkrywca błędu został zatrzymany przez policję i dopiero po kilku godzinach wypuszczony. Społeczeństwo zareagowało wystawiając spółce transportowej niskie oceny na Facebooku, z których każda ma w opisie tę samą historię 18-latka, który chciał tylko zgłosić błąd.

Sprawa jest świeża, zatem nie znamy jeszcze dalszych losów odkrywcy błędu. Pozostaje mieć nadzieję, że ktoś pójdzie po rozum do głowy i błędy naprawi, a badaczy je wskazujących potraktuje jako pomocników, a nie wrogów. Na szczęście w Polsce przynajmniej od strony przepisów problem ten wygląda nieco lepiej.

Wszystkie opisane powyżej błędy – oraz wiele więcej omawiamy na naszych szkoleniach z atakowania i obrony aplikacji WWW. Najbliższy termin już na początku września w Warszawie.

by ·0 Comments

Choć tytuł tego wpisu brzmi jak nagłówek z sensacyjnej powieści niezbyt wysokich lotów, to wszystko wskazuje na to, że te wydarzenia faktycznie niedawno miały miejsce, a na dokładkę ich główny sprawca jest Polakiem.

Włoskie, brytyjskie i amerykańskie media donoszą o niecodziennych zdarzeniach, które miały miejsce w ostatnich tygodniach w okolicach Mediolanu. Nie dość, że jest w nich porwanie, deep web, handel ludźmi i bitcoiny, to jeszcze organizatorem i sprawcą przestępstwa jest niejaki Łukasz H., trzydziestoletni Polak, zamieszkały ostatnio w Birmingham.

Porwanie modelki

Dwudziestoletnia brytyjska modelka przyjechała 11 lipca do Mediolanu, wysłana tam przez brytyjską agencję by wzięła udział w zdjęciach do kampanii reklamowej. Na miejscu zamiast kamer i aparatów fotograficznych czekał jednak nasz rodak wyposażony w strzykawkę w Ketalarem, środkiem znieczulającym zawierającym ketaminę. Łukasz H. wstrzyknął modelce środek usypiający, założył jej na głowę poszewkę od poduszki i zapakował ją do ogromnej walizki.

Policyjna rekonstrukcja

Następnie zawiózł ją w bagażniku swojego samochodu do Turynu, gdzie umieścił w wynajętym wcześniej w oparciu o fałszywe dokumenty pomieszczeniu.

Pojazd porywacza

Fałszywy dowód osobisty porywacza

Następnie zrobił jej kilka zdjęć, których rzekomo użył w opisie aukcji internetowej, na której wystawił porwaną dziewczynę. Aukcja rzekomo miała być zamieszczona w deep webie a cena wywoławcza wynosiła 300 000 EUR płatne w bitcoinach.

Porwana Brytyjka była przez tydzień utrzymywana w stanie otumanienia w trakcie trwania aukcji, jednak w pewnym momencie odzyskała przytomność na tyle, by poinformować porywacza, że jest matką dwuletniego dziecka. Porywacz podobno oznajmił wtedy, że sprzedawanie matek jest sprzeczne z zasadami organizacji, którą reprezentował (podobno zwanej „Czarna Śmierć”) i skontaktował się z właścicielem agencji modelek, by zażądać okupu za jej uwolnienie w wysokości 50 000 EUR (także w bitcoinach). Inna wersja wydarzeń informuje, że modelka sama miała zapłacić 50 000 EUR po swoim uwolnieniu i otrzymała poniższy list na pamiątkę.

Następnie skontaktował się z brytyjskim konsulatem w Mediolanie, gdzie zapowiedział, ze przywiezie odnalezioną Brytyjkę. Konsulat poinformował policję, policja aresztowała porywacza gdy pojawił się ze swoją ofiarą.

Gdy Łukasz H. został aresztowany, włoska policja znalazła na jego telefonie zdjęcia ofiary wykonane jeszcze w Wielkiej Brytanii. To wskazuje, że ofiara była wcześniej wybrana a cała akcja zaplanowana ze sporym wyprzedzeniem. Na telefonie Polaka znaleziono także zdjęcia wykonane po porwaniu ofiary, w tym te, które znalazły się w opisie aukcji. Znaleziono także ślady przygotowań do porwania.

Czy „Czarna Śmierć” istnieje

Grupa o tej nazwie była już opisana dwa lata temu przez magazyn Motherboard. Choć jej rzekomi członkowie rozmawiali z dziennikarzem i dostarczyli pewne dowody swojej działalności, to nigdy nie udało się uzyskać niezależnego potwierdzenia, że grupa istnieje naprawdę i naprawdę handluje żywym towarem.

by ·0 Comments

Atak ransomware NotPetya sparaliżował pracę wielu firm na całym świecie, szczególnie mocno dotykając firmy na Ukrainie, które były pierwotnym celem napastników. Czego zatem zaatakowanym pozazdrościli konkurenci?

Ukraińska jednostka policji zajmująca się cyberprzestępstwami ogłosiła niedawno, że zatrzymała osobę odpowiedzialną za rozpowszechnianie ransomware Petya.A. Petya.A, zwany także NotPetya,  to ransomware użyty w niedawnym masowym ataku na Ukrainie. W opisywanym teraz incydencie ransomware nie było rozsyłane do firm w żaden sposób – każda firma musiała sama złośliwy plik pobrać z serwera a następnie, korzystając z poradnika wideo, zainfekować swoje systemy. Dlaczego zatem plik został pobrany kilkaset razy a policja zaczyna ścigać firmy, które skorzystały z tej oferty?

Aaaaaaby podatków uniknąć

Skala ataku NotPetya na Ukrainie była tak ogromna (atak dotknął tysiące firm), że ukraińskie organy podatkowe podjęły decyzję o pomocy dla podatników, którzy ucierpieli w ataku. Do ataku doszło pod koniec czerwca, a termin złożenia rocznego rozliczenia przypadał na 30 czerwca. Firmy, które na skutek zaszyfrowania dysków straciły dane finansowe, mogą odroczyć termin okresowego rozliczenia podatkowego do końca roku. Jest to zrozumiały gest przy takiej skali problemu, jednak, jak to w życiu się zdarza, każda furtka przygotowana dla poszkodowanych niezwłocznie bywa poszerzana, by mogli z niej skorzystać także inni.

/via @hasherezade

Najwyraźniej organy podatkowe mogły sprawdzać, czy do infekcji faktycznie doszło, ponieważ w sieci pojawiła się instrukcja, jak komputery zainfekować i pliki zaszyfrować. Opublikował ją Siergiej Niewierow, 51-letni Ukrainiec z Nikopolu. W sieci umieścił film pokazujący proces infekcji a na swoim koncie w serwisie społecznościowym zamieścił potrzebne do infekcji pliki. Siergiej raczej nie miał złych zamiarów – nie ukrywał nigdy swojej tożsamości a jego konto na Youtube śledzi ponad 11 tysięcy osób.

Ukraińska policja namierzyła i zatrzymała autora instrukcji, przeszukała jego mieszkanie i zatrzymała wszystkie komputery oraz nośniki danych.

Postawiono mu zarzuty manipulowania zawartością systemów informatycznych. Policja ustaliła także listę firm, które z instrukcji korzystały. Ich kierownictwo może spodziewać się zarzutów w podobnej kategorii plus dodatkowo za próbę oszustwa i uniknięcia konieczności zapłaty należnego podatku lub karnych odsetek.

Trzeba ukraińskim firmom, które same się zainfekowały, przyznać nagrodę za przedsiębiorczość – może właśnie odkryto nową rynkową niszę, gdzie pojęcie ransomware-as-a-service nabiera nowego znaczenia? Na deser film opublikowany przez ukraińską policję.