Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oficjalny sklep ISO prześle Ci Twoje hasło w plaintext
Ciekawe zachowanie zauważyliśmy w oficjalnym sklepie międzynarodowej organizacji ISO (International Organization for Standardization), w którym można zakupić rozmaite uznawane światowo normy (np. związane z jakością: seria 9000; bezpieczeństwem IT: seria 27000, czy zarządzaniem bezpieczeństwem żywności: seria 22000).
W sklepie dostępna jest funkcjonalność przypominania hasła, która jak się okazuje wysyła nam e-mailem nasze stare hasło w postaci plaintext! Formularz resetu hasła wygląda tak:
Następnie otrzymujemy maila następującej treści:
Co ciekawe w komunikacie powyżej jest mowa o 'new password’. Przy czym hasło jest jak najbardziej 'old’ i można się nim śmiało zalogować. Oznacza to tyle, że albo hasła przechowywane są w bazie plaintekstem albo są szyfrowane za pomocą odwracalnej kryptografii (patrz wyjaśnienia samego ISO), czyli tak jak miało to miejsce w przypadku shackowanego Adobe. Redaktor arstechniki pisze zresztą o przypadku Adobe w ten sposób:
Surprisingly, they flouted almost universally recognized best practices that call for stored passwords to be protected by bcrypt or another one-way cryptographic hashing algorithm.
Gdzie my tu widzimy ewentualne problemy?
- W przypadku ewentualnego włamania, atakujący jest w stanie zdobyć bazę haseł użytkowników w formie plaintext. Co więcej, w sklepie ISO raczej nie kupują przypadkowe osoby…
- Przesyłane e-mailem hasła nie są w żaden sposób szyfrowane, a zatem mogą być przechwycone w trakcie ich wysyłki przez Internet.
- Zadanie domowe dla czytelników: czy sklep ISO jest zgodny z normami bezpieczeństwa ISO (2700x)? ;-)
Więcej zresztą o problemach z przechowywaniem haseł można poczytać u nas: tutaj, tutaj oraz tutaj.
Co na to samo ISO? Generalnie informacja zwrotna jest taka, że wszystko jest OK a hasła są szyfrowane :-) Poniżej zapis naszej korespondencji z działem 'Customer Service’.
Nasze zapytanie:
Dear Sir/Madam, I have an account in the ISO store (https://store.iso.org/), and I forgot the password. I used the password reset function (https://store.iso.org/store/app?page=account%2FSendMail&service=page) and the store sent me the password in plaintext which means that you store all the passwords in plaintext (!) (or use reversible encryption to store the passwords). Moreover you are sending the passwords in plain text e-mails. I think it can be a quite big security issue. Please be so kind to comment the problem. Thank you. regards ms
Odpowiedź ISO:
Dear Michael, Thank you for your email. Please note the passwords are stored encrypted, but sent in clear version when requested. Also, the password does not give access to credit card or payment information. We appreciate your feedback as we are constantly working on improving our systems and I will make sure your comments are forwarded to the appropriate persons.
OK, mail poszedł do odpowiednich osób. No ale kolejne nasze pytanie o rozwój sytuacji uzyskało taką odpowiedź:
Dear Michal, For the moment we have not encountered any issues with our system and did not get particular complaints related with passwords security from our customers, so we are OK. We are not really looking at any specific solution since we don’t have relevant problems.
Co Wy na to?
–michal.sajdak<at>securitum.pl
„We are not really looking at any specific solution since we don’t have relevant problems.”
Bez komentarza… :)
Czyli poczekamy, jak ktoś się włamie i buchnie bazę z loginami i hasłami i wtedy się będziemy martwić, tak?
Rozkoszne :)
Proponuję nowe hackme na Sekuraku – włam do bazy ISO. Kto pierwszy poda zapisane tam Twoje hasło – wygrywa :D
Nie ma skarg to jest ok. Co za prymitywne wytłumaczenie. Już dawno przestałem uświadamiać debili.
https://youtu.be/MDUhy578tI4?t=53m17s do 55:52.
Tejknąć serwer, upublicznić i uznać ten czyn jako zapłatę za głupotę ludzi z tego sklepu.
Podobną funkcjonalność widziałem na portalu międzynarodowej firmy rekrutacyjnej :D
Problem jest, niestety, bardzo popularny
hitem też jest ich wyjaśnienie o czym pisze bl4de :)
Odpowiedź jest kuriozalna ale nie broniąc sklepu wzięła się z bardzo prostego powodu – została udzielona przez panienkę/chłoptasia z sekretariatu lub innego działu nie mającego związku z IT i bezpieczeństwem. Co więcej sklep nie zmienił się znacząco od wielu lat (zmiana wyglądu to nie zmiana) i zapewne system sprzedaży/kont pochodzi z czasów dawniejszych kiedy to nie myślano wiele o bezpieczeństwie. Jak zaznaczyłem na wstępie – nie usprawiedliwiam nikogo, tylko podaję możliwe powody.
Poza tym wyobrażacie sobie takiego inżyniera w sweterku i z papieroskiem dajmy na to hydraulika czy chemika co skończył polibudę w latach 80/90 jak go informują, że nie mogą mu podać jego starego hasła tylko musi przejść procedurę stworzenia nowego? Jaki klient taki sklep :-)
No a jak się mleko rozleje a hasełka wyciekną do sieci to trzeba im posłać pytanie (w nawiązaniu do ich odp.) czy teraz już dostrzegają jakiś problem.
Widocznie ich fachowiec od bezpieczeństwa, z dwóch wielkich ścieżek rozwoju wybrał tą pierwszą. Czyli jak zostać Guru na skróty ;)
Fajna ta niefrasobliwość ISO. Zarówno oni jak i IEC drą niemiłosiernie z klientów przy każdej okazji grubą kasiorę. Spróbujcie kupić sobie jakąś normę do poczytania :( Ale żeby samemu zachować standardy, to już zbyt duży kłopot…
@MateuszM, @steppe
Tak teraz zastanawiam się, jaki sens mają te wszystkie normy i regulacje, skoro nawet organizacja je tworząca ma je głęboko w… poważaniu… :P
Taka sztuka dla sztuki trochę. A życie i cyberprzestrzeń swoje, czyli wszelkiej maści script kiddie, Black Hats i im podobni jak się włamywali, tak się będą włamywać – oni to dopiero mają fajnie, bo ich żadne normy nie obowiązują :D
Gdzieś jakiś czas temu rzucił mi się w oczy tekst, w którym jakaś organizacja czy firma związana z security próbowała, teraz uwaga, będzie fajne :) – stworzyć NORMY dla hakerów, czyli taki odpowiednik Konwencji Wiedeńskiej odnośnie prowadzenia działań zbrojnych, tylko na gruncie cyberprzestrzeni – no wiecie, nie strzelamy komuś w plecy i tym podobne bzdury.
Czytając to uszami wyobraźni słyszałem ten pusty śmiech ogarniający cały hakerski underground. I jak czytam takie informacje, to zastanawiam się, czy ktokolwiek na świecie tak naprawdę i do końca zdaje sobie sprawę z faktu, że cyberprzestrzeń nie jest miejscem, gdzie można uregulować wszystko przepisami. Nie da się żadnego hakera zmusić, by uważał, że ślimak to ryba.
Powtórzę tutaj moją ulubioną sentencję, która ostatnio stała się moim mottem: „Dla specjalistów od IT security nadchodzą tłuste lata” :)
Zatem uczmy się Panowie (i Panie), ćwiczmy, doskonalmy nasze „fu”, a za parę lat firmy i instytucje będą się o nas zabijać :)
@all – oczywiście problem jest dość zabawny (jeśli wliczymy w to też oficjalną reakcję), ale też oczywiście zdecydowanie nie namawiamy do atakowania ISO…
A samo hackme na naszych środowiskach – będzie lada moment (przyszły tydzień).
@bl4de
Nie wiem jak w Polsce stoją regulacje prawne odnośnnie dopuszczenia wycieku danych użytkowników, ale w innych krajach ostre przepisy już napędzają biznes ITsec.
bl4de:
Zgadzam się z prawie wszystkim, co napisałeś. Jeden drobiazg mogę wyjaśnić. ISO – podkreślam, że moim zdaniem – to nie tylko sztuka dla sztuki, lub chęć ujęcia wszystkiego w porządne ramy. ISO to świetny (i działający do dzisiaj) sposób na grubą kasę. Nawet więcej: sposób na jej stały napływ. Zbiera się grupa ekspertów i tworzy normę. Nikt nie ma obowiązku jej wdrażać i używać, ale powoływanie się na nią robi świetne wrażenie. Wdrożenie jakiejś normy pomaga ściągnąć jeszcze więcej klientów. Wiadomo, że norma przydaje się też do uporządkowania procesów w organizacji. Tylko dlaczego wszyscy tak się chwalą, że wdrożyli jakieś ISO? Warto zastanowić się nad powodami :)
W dodatku do zorganizowania takiego choćby bezpieczeństwa, to takie ISO nie jest absolutnie konieczne. Są też inne źródła dobrych praktyk, ale jak tu się tym pochwalić.
A ten sposób na grubą kasę, o którym mówiłem, to opłaty za audyty certyfikujące, certyfikaty (zarówno dla klientów jak i firm audytujących, czyli pośredników), audyty kontrolne (nadzór), szkolenia, kursy, papierki. Właśnie, papierki. Każda licencja na pojedynczą (!) kopię tekstu normy to niezła kasa, a przecież nie wolno zrobić ksera i rozdać pracownikom. Trzeba kupić tyle kopii, ile osób ma ich używać.
Tak jest nie tylko z ISO. Znajomy kupił normę IEC. Jedna kopia – przypisana tylko do niego – kosztowała kilka tysięcy PLN. I niech się teraz czyjaś firma zobowiąże, że zrobi coś zgodnego z którąś normą IEC…
Popieram apel o uczenie się, bo z własnego doświadczenia mogę powiedzieć, że warto. Osobiście uważam też, że wciąż jest za mało ludzi w tej branży. Poza tym te „tłuste lata”, o których mówisz, przyciągną również ambitnych ignorantów i lepiej się od nich różnić. Dla dobra własnego oraz firmy/organizacji.
Widziałem już takie przypadki, że aż skłoniło mnie to do opisania dwóch różnych dróg do kariery w bezpieczeństwie (sorry za autokryptoreklamę, ale może ktoś skorzysta). Dlatego cieszę się widząc kompetentne portale o bezpieczeństwie i wysyp autentycznych fachowców. Ci fałszywi potrafią naprawdę dużo zepsuć :(
Aha, mam papiery na wewnętrznego audytora jednej z norm. Widzę z bliska, że wiele regulacji można spokojnie zastąpić zdrowym rozsądkiem, tylko trudno go potem powiesić na ścianie zamiast dyplomu ;)
>nie namawiamy do atakowania ISO…
te kropeczki na końcu jednak zostawiają takie niedopowiedzenie i różnie to można interpretować ;-)
@Maciek – eeee, byłeś zbyt pilny na lekcjach języka polskiego ;-)
@steppe
To, co napisałeś, tylko utwierdza mnie w mojej niechęci do biurokracji, regulacji, papierologii stosowanej i tym podobnych bzdetów.
Praktycy w pocie czoła dwoją się i troją, żeby cały ten internet trzymał się kupy. Tymczasem panowie w garniakach od Armaniego poklepują się po pleckach i wymieniają „normami”, szczerząc do kamer i zapewniając, że „dane są bezpieczne” – gdy tymczasem gdzieś właśnie jakiś mający głęboko w d… wszystkie ich normy cracker robi dumpa bazy :)
„wiele regulacji można spokojnie zastąpić zdrowym rozsądkiem, tylko trudno go potem powiesić na ścianie zamiast dyplomu ;)” – a to zdanie, to powinni dodawać gratis w formie grawerowanej tabliczki każdemu krawaciarzowi w każdej firmie czy korporacji.
Przy okazji – zaciekawiłeś mnie tym „skłoniło mnie to do opisania dwóch różnych dróg do kariery w bezpieczeństwie” – masz to gdzieś online i możesz podać linka?
bl4de:
Przepisy i regulacje mogą być przydatne. Warunkiem jest jakiś skuteczny mechanizm weryfikacji ;)
Co do audytów ISO, to kiedyś pewien „manager” sprowadził mnie na ziemię mniej więcej taką wypowiedzią: „Wyobraź sobie, że jest firma audytorska, która bardzo mocno przykłada się do audytów i nie przymyka oczu na niezgodności. W wyniku tego duża ilość audytów wypada negatywnie, bo firmy nie zawsze dobrze się przygotują. Co wtedy będzie? Straci klientów, bo będzie miała złą opinię. Domyślasz się teraz, jak pójdzie audyt.”
Normy nie są złe, tylko podejście do nich oraz rzeczywisty wygląd stosowania może być trochę… inny niż się spodziewamy :) Jedyne, co można zrobić, to samemu dobrze przykładać się do audytów (jako audytowany lub audytujący) oraz mówić o tej ISO-histerii.
Cały czas mówię o swojej opinii oczywiście :)
Aha, o karierze: http://cybersteppe.blogspot.com/search/label/kariera
Chyba lepiej zacząć lekturę od pierwszej drogi, czyli Guru :)
A tutaj link do informacji o raporcie Cisco, która uważa, że na całym świecie brakuje aktualnie ok. MILIONA specjalistów od IT security, a ataki cyberprzestępców są coraz bardziej zaawansowane i korporacje najnormalniej w świecie sobie tym nie radzą (bo nie ma kto sobie radzić :) )
W zasadzie to Cisco przyznało mi rację w moich przewidywaniach o nadchodzącej sytuacji na rynku IT security :D
PS. Zapomniałem o linku :D
http://news.softpedia.com/news/An-Additional-One-Million-Cyber-Security-Experts-Needed-Across-the-Globe-Cisco-Says-418788.shtml
@bl4de, pozwolę sobie zająć odmienne stanowisko, zaznaczając przy tym, że co do meritum nie zgłaszam zastrzeżeń. Otóż wszystko zależy od tego jak kto podchodzi do norm, standardów i papierów. Można wszelkie standardy i metodyki wykorzystywać jako dupochrony dla przełożonych, co jest typowym podejściem urzędniczym albo można korzystać ze standardów dla osiągnięcia przewagi konkurencyjnej i uporządkowania tego co jak napisałeś – podpowiada zdrowy rozsądek. To, którą ścieżką podążysz zależy głównie od Ciebie i Twojego otoczenia (bo przecież nie działasz w próżni). Powiem więcej, w słabych firmach o niskiej kulturze zarządzania, ISO jest dokładnie po to, po co napisał @steppe. W firmach bardziej dojrzałych organizacyjnie sam certyfikat odgrywa rolę „wisienki na torcie” bo cała firma działa rozsądnie. Na koniec smutna prawda o stosunku rozsądnych do nierozsądnych – 2:8 (taka moje obserwacja).
@steppe
Dzięki za linka. Wisisz mi dwie niedzielne godziny, które spędziłem na Twoim blogu ;)
Bl4de: ha ha :)
To i tak mniej niż ja przez was spędzam na Sekuraku i Zaufanej Trzeciej Stronie. Jesteśmy kwita :)
MateuszM: dobrze mówisz :) Standardy to tylko narzędzie, a najważniejsze jest podejście…
The problem is not the problem. The problem is your attitude about the problem. Do you understand?
— Captain Jack Sparrow
;-)