RSS-каналы
Уровень опасности: 1
Главная→Блог→Проект→28 окт 2009→В одну реку не войти дважды
В одну реку не войти дважды
Эксперт «Лаборатории Касперского»
опубликовано 28 окт 2009, 18:44 MSK
Сюжеты: Взломы веб-сайтов, Уязвимости веб-сайтов
В воскресенье на популярном российском ресуре «Хабрахабр» было опубликовано сообщение «Securelist.com — XSS и SQL Injection уязвимости». В нём автор описал найденную им XSS-уязвимость в русской версии нашего портала.
Вчера вечером все зарегистрированные пользователи securelist.com получили от нас сообщение о том, что их существующие пароли были изменены и им всем были сформированы новые пароли. Это было одним из проведенных нами действий по устранению последствий обнаружения XSS-уязвимости.
Прочие действия включали в себя комплекс мер, направленных не только на техническую реализацию исправлений, но и на дополнительный анализ сайта с целью предотвращения других возможных проблем.
В настоящий момент обнаруженная уязвимость нами полностью исправлена. Рассматривая хронологию событий, мы считаем необходимым уточнить, что уязвимость была исправлена нами еще 19 октября, однако исправленный код не был опубликован на «боевом» сервере, так как не были закончены дополнительные тесты. После публикации подробностей об обнаруженной уязвимости на «Хабре», вечером воскресенья, 25 октября, нам пришлось форсировать процесс и опубликовать изменения тогда же.
Детальный timeline инцидента следующий:
- 18 октября мы получили уведомление от пользователя.
- 19 октября исправления были внесены, но не опубликованы.
- 20 октября наши представители ответили автору на его сообщение.
- 22 октября автор публикует статью о данных проблемах на сайте r3al.ru, в которой он подчеркивает, что уязвимость до сих пор не закрыта.
- 25 октября выходит публикация на «Хабре».
Разумеется, мы бы могли сейчас написать очередные истины о том, что XSS-уязвимости являются наиболее распространенными в Сети, что их находят практически у всех и постоянно, что мы всегда приветствуем любую помощь в обнаружении подобных проблем со стороны исследователей и уделяем повышенное внимание проблемам безопасности ресурсов.
Но не будем. Или не сейчас.
В комментариях на «Хабре» ряд читателей заметил, что действия LMaster могут быть признаны нарушением ряда статей Уголовного Кодекса РФ и что он может быть привлечен к ответственности.
Это действительно так, и для этого есть дополнительные основания.
В первую очередь то, что он, обнаружив уязвимость, не стал сразу в этот же момент уведомлять нас о ней. Вместо этого он воспользовался данной уязвимостью для получения неавторизованного доступа. Об этом он пишет сам:
«Не долго думая, я вставил сниффер, прокомментировал несколько блогов и стал ждать. Сниффер висел на сайте около месяца. За это время я смог перехватить 91 аккаунт к сайту».
Вызывает вопросы и желание автора «получить свои 15 минут славы», опубликовав информацию о неисправленной уязвимости. Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним.
Что интересно, это не первый подобный случай: похоже, что в июле этого года, точно по такой же схеме автор (LMaster) опубликовал информацию о неисправленной XSS-уязвимости в Яндексе.
Ко всему прочему, мы обнаружили, что пользователь, известный как LMaster, является давним и активным участником «Антивирусной Школы», еще одного открытого проекта ЛК, в котором участвуют школьники и студенты.
Мы ожидали более этичного поведения от людей, которые являются нашими регулярными читателями.
Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз.
Кроме того, в действиях данного человека мы увидели и желание помочь, однако, как указано выше, это было сделано не совсем корректно. Ему следовало сразу при обнаружении уязвимости (еще в сентябре) связаться с нами. Если он хотел помочь нам с проведением дополнительных исследований и оценкой рисков уязвимостей, то делать это можно было, только получив наше на то согласие.
28 окт 2009, 20:05
Я-то думал, откуда мне минусы приходят))Так вот, кому я не понравился) |
|
-1 |
Re: Re:
Вот ты мне дал плюс, а кто-то нехороший в ответ с таким усердием меня минусами забросал...))Прям в каждом моём комменте постарался)
|
28 окт 2009, 21:13
То-то я думал, с чего вдруг мне мой непробиваемый (:D) пароль сменили... Вот оно что оказывается! |
|
28 окт 2009, 21:34
Этичность Исходя из последних веяний в уголовной практике по "интернет-делам", взломщик мог получить достаточный букет неприятностей. |
|
29 окт 2009, 11:33
Этичность Не буду касаться УК, к этичности это имеет слабое отношение. А с точки зрения этичности автор статьи на хабре поступил нормально. Цитата из хабра: |
|
0 |
Re: Этичность
В момент постинга LMaster понимал, что уязвимость не закрыта, так что этот довод не проходит.
Конечно ему ответили некорректно, и как я понимаю в диалог не вступили, а это неправильно.
|
29 окт 2009, 21:32
По-моему, чисто по-человечески его понять можно - "15 минут славы" все-таки многим хочется. А учитывая юный возраст - тем паче. Давайте не будем его осуждать - ведь намерения у него были благие, он не стал заниматься вандализмом - уже только это говорит о достаточно высоких нравственных качествах. |
|
29 окт 2009, 22:53
Всем привет! Сразу заявляю: исправлено: LMaster, 30 окт 2009, 00:05 |
комментарий удалён: SetupNick, 30 окт 2009, 00:15
|
-2 |
Re: Re:
Вы меня просто не так поняли: уязвимость уже закрыли, я говорил про тот момент, когда мне ответили, но уязвимость все еще присутствовала на сайте.
|
-1 |
|
2 |
Re:
"я не хотел причинять вред сайту" - знаешь, а теперь давай попробуем поразмыслять вслух.
1. Ты находишь уязвимость.
2. Используешь ее месяц, тыря пароли и балуясь с админкой.
3. Пытаешься проюзать SQL-иньекцию и в этот момент (это очевидно же) - палишься.
4. Понимая что попался - решаешь устроить типа "явку с повинной" - написав наконец нам.
5. Вываливаешь в паблик информацию о неисправленной уязвимости.
Как тебе такой взгляд на произошедшее ?
И что это за аргументы по поводу "а мне ответили". Ты четко знал, что уязвимость все еще активна ! И с этим знанием ты ДВАЖДЫ эту информацию публиковал. Говорить о том, что "писал в саппорт, а тебе не ответили" - ну знаешь, я вот честно говоря уже не знаю куда еще и каким размером шрифта нам надо написать информацию о том куда конкретно писать о таких проблемах. Написано же все ! Что тут, что на kaspersky.com. Так нет же, как что - все начинают говорить "а мы в саппорт писали". Чего вы в саппорт пишете ? Для вот этих вот оправданий потом или вы реально помочь хотите ? Хотите помочь - пишите куда сказано.
P.S. Сорри за резкость. Накипело.
исправлено: Александр Гостев, 30 окт 2009, 01:56
|
-2 |
Re: Re:
Вот так ближайший человек, который хочет сообщить сайту об уязвимости, должен будет ещё искать информацию о том, куда именно надо об этом писать?
По-моему, хорошо если он вообще напишет куда-то. кстати, в охранном предприятии, например, это был бы серьёзный прокол, если информация от одного человека банально не досталась бы другому, или приходила бы с опозданием. Это, кстати, входит в мои прямые рабочие обязанности - чтобы люди были в курсе дел. И персонал (клиент) на моём объекте тоже ни фига не знает, что передавать эту информацию надо сразу мне - они передают её тому представителю моей фирмы, который им ближе окажется. И дальше уже начинается целиком моя ответственность эту информацию получить и передать дальше. Иначе меня бы сняли с занимаемой мною должности (а она не так уж и низка) и обосновали бы это тем, что из-за меня затормаживается информационный поток. Так вот, у вас в компании ведь наверняка тоже есть такой человек, который координирует работу саппорта с другими отделами вашей фирмы? Что сложного ему сказать саппортерам, чтобы они при получении таких писем не молчали и игнорили, а пересылали эти письма прямиком в соответствующие инстанции?
Извиняюсь, тоже накипело. Просто я зашёл на касперски. ру. там я первым делом вижу два варианта: "прислать вирус" и "связаться с нами". Ну у меня ж не вирус, у меня уязвимость. Поэтому я выберу "связаться с нами". И что? Где мне там сказано, к кому обращаться по вопросам уязвимости данного сайта?
И вот на секьюр-лист я маленькими буквами вижу раздел "контакты" (лично у меня ушло секунд 5 чтобы его найти на фоне громких заголовков остальной части страницы). И вот уж там-то я нахожу искомое - websecurity@kaspersky.com.
Обратите внимание, сколько времени у меня уйдёт для того, чтобы сделать вам приятное так, чтобы вам самим это понравилось.НАВЕРНОЕ, Я СЛЕПОЙ, ИЛИ ТУПОЙ, или вам опять кажется, что я глупость какую-то несу?))А ведь, между прочим, я ваш клиент, господин Гостев, у меня КИС 2010 совершенно официально купленный в интернет-магазине, любым способом докажу вам, если захотите. А вы нас тут выстраиваете, мол, письма мы не туда шлём) Клиент ведь всегда прав, разве не так?))
Извиняюсь за резкость, вы первый начали =)))
исправлено: SetupNick, 30 окт 2009, 02:34
|
1 |
Re: Re: Re:
во-первых, я не к вам обращался.
во-вторых, раз уже желаете высказаться - еще раз перечитайте то, что я написал: "я вот честно говоря уже не знаю куда еще и каким размером шрифта нам надо написать информацию о том куда конкретно писать о таких проблемах. Написано же все ! " Если для вас является проблемой потратить 5 секунд на поиск раздела "Контакты", то мне кажется что дальнейшие дисскуссии бесполезны. Имейте совесть, господа! Как месяц ковыряться по сайту в поисках уязвимостей - так запросто, а как адрес для связи искать - так "сложно".
P.S. То же самое касается и "а что сложного сказать саппортерам, чтобы они пересылали". Знаете - им сказано и они таки пересылают. Вот только не стоит ожидать в таком сценарии, что на ваши письма ответят в ту же минуту, а потом строить из себя возмущенную справедливость - "ах мне за два дня не ответили". И вроде же очевидно должно быть, что у саппорта до таких писем элементарно руки могут дойти в последнюю очередь, ибо у них другие задачи и обьемы запросов (представляете себе хоть?) и заниматься этой проблемой точно будут другие люди, а не саппорт.
|
2 |
Re: Re: Re:
"А ведь, между прочим, я ваш клиент, господин Гостев, у меня КИС 2010 совершенно официально купленный в интернет-магазине, любым способом докажу вам, если захотите. А вы нас тут выстраиваете, мол, письма мы не туда шлём) Клиент ведь всегда прав, разве не так?)) ".... ТАК. 1) Жалобы по продукту 2010 есть ? Если есть - в саппорт. 2) То, что вы купили продукт - не дает вам автоматически никаких особых прав и особого к вам отношения на данном портале. Не надо путать разные вещи, разные сервисы и разные ответственности. 3) Для данного портала абсолютно все равно - кто чей клиент и клиент ли.
|
30 окт 2009, 00:36
Нет, все пароли, что я мог видеть, были хешированы. Единственный способ получить твой пароль - подставить в куки перехваченные значения твоих кук, зайти в твою учетку, узнать и поменять твой E-Mail на мой и восстановить пароль (приходит в открытом виде). |
|
1 |
Re: Re:
Да уж, молодец редкостный: 'Имеется доступ супер-администратора к сайту одной очень крупной фирмы
<:>
Цена не высокая. Кто заинтересовался - P.M.'
http://forum.antichat.ru/showthread.php?t=125206
|
-1 |
Re: Re: Re:
Да, пожалуй, это конечно лишнее с его стороны. Кстати, насчёт того, каким шрифтом писать, чтобы видно было.Есть вариант.
Года эдак 3 назад администрация сайта combats.ru, в период расцвета данного ресурса, задумалась над тем же вопросом. Суть в том, что за счёт виртуальных ценностей, на сайте крутилось большое количество реальных денег, при том, что по количеству дыр в системе безопасности, данный сайт мог конкурировать с непропатченной виндой. И как следствие, количество взломов аккаунтов пользователей за день исчислялось десятками, или даже сотнями. ЛК даже рассказывала нам в новостях о троянских программах, разработанных специально под пользователя этого сайта. И что тогда придумали админы - рекламную акцию. "Найди дыру в нашем сайте, скажи нам о ней, и если ты будешь первый, кто нам об этом скажет, а мы будем единственные, кому ты о ней расскажешь, получишь вознаграждение...". Админам того сайта было проще - люди рассказывали о многочисленных уязвимостях в обмен на те же виртуальные ценности.
Отсюда мой вариант ответа - писать можно попробовать не толсто-жирным шрифтом, а рисованным баннером на главной странице. Тогда любой желающий точно не ошибётся с адресом, а вы будете узнавать о дырах быстрее. Да, желающих взломать сайт прибавится в разы) Ну это ведь достойное испытание для ваших специалистов)
|
30 окт 2009, 03:08
"1. Ты находишь уязвимость. 2. Используешь ее месяц, тыря пароли и балуясь с админкой. 3. Пытаешься проюзать SQL-иньекцию и в этот момент (это очевидно же) - палишься." |
|
2 |
Re:
В общем, как я вижу, ты так все-таки не понял, где и в чем ты реально нарушил закон и в чем ты был не прав. Ну что же, увы, но тогда на этом предлагаю разговор закончить.
|
31 окт 2009, 12:38
Спор о том, чтобы найти адрес на сайте для обращений - это попытка оправдать себя, т.к. других аргументов нет. Исходя их картины, описанный здесь, можно сделать хронологию: |
|
0 |
Re:
Вот этого реально не ожидал.
Нет, SetupNick, он и в Африке SetupNick. Наберите в гугле, он вам всё расскажет)
|
0 |
|
31 окт 2009, 22:18
То сообщение на Ачате совершенно не относится к этому порталу. (Вы бы хоть по ссылке бы перешли). Там говориться про совершенно другой сайт. |
|
0 |
Re:
Ну и мне ассоциироваться с хакером тоже невесело)
Ну и ладно, пусть думают, что мы -одно. В этом возможно, тоже есть свои плюсы))
Вообще, Гостев прав. Поступил ты некрасиво. Другое дело, что сложно понять, откуда у него ко мне такая агрессия. Ни заступиться, ни мнения высказать - всё в критику и в минусы)
|
31 окт 2009, 22:26
Согласен, что имея форматирование/элементарные BB-коды было бы общаться намного удобнее. |
Также в аналитике
В блоге
В предупреждениях
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей