Najväčšie slovenské banky používajú OpenSSL, kritickej zraniteľnosti sa ale vyhli

Značky: OpenSSLSlovenskointernet bankingbankyHeartbleed

DSL.sk, 10.4.2014

Internet bankingy a iné verejné zabezpečené stránky troch najväčších slovenských bánk využívajú implementáciu protokolu SSL knižnicou OpenSSL, v ktorej verziách z posledných dvoch rokov sa nachádzala extrémne kritická bezpečnostná zraniteľnosť.

Banky Slovenská sporiteľňa, VÚB a Tatra banka to potvrdili vo svojich stanoviskách pre server DSL.sk.

Ani jedna z bánk ale nepoužíva zraniteľnú verziu knižnice. Slovenská sporiteľňa a VÚB pre DSL.sk potvrdili, že zraniteľnú verziu ani nikdy nevyužívali. Aktualizácia 1: Rovnako Tatra banka zraniteľnú verziu nevyužívala ani nikdy v minulosti.

Banka ČSOB na externých zabezpečených stránkach implementáciu OpenSSL nevyužíva.

Zároveň všetky tieto štyri banky používajú na stránkach svojich internet bankingov a zabezpečených hlavných stránkach banky certifikáty, ktoré majú dátum začiatku platnosti pred zverejnením informácií o novej kritickej zraniteľnosti v OpenSSL.

Informácie o kritickej zraniteľnosti v knižnici OpenSSL, označovanej menom Heartbleed, boli zverejnené v utorok. Chyba typu absencie kontroly hraníc umožňuje útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie tzv. heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL. Útok, ktorý nezanecháva stopy v štandardných logoch, je možné opakovať a potenciálne tak získať podstatnú časť pamäte daného procesu.

Napríklad v prípade webového servera poskytujúceho zabezpečené stránky internet bankingu by cez zneužitie chyby bolo potenciálne možné získať jednak privátne kľúče k SSL X509 certifikátu stránok ale napríklad aj prihlasovacie údaje minimálne ostatných užívateľov aktuálne sa prihlasujúcich do internet bankingu a obsah stránok zobrazovaných týmto užívateľom, vrátane potenciálne stavov na účtoch a zoznamov transakcií.

Zároveň získaný privátny kľúč certifikátu umožňuje dešifrovať prípadné zachytávané šifrované zabezpečené stránky banky pri prístupe užívateľov napríklad cez verejné WiFi siete alebo iným spôsobom náchylným na odchytávanie prenášaných dát.

Zraniteľná bola hlavná verzia knižnice 1.0.1 vydaná prvýkrát v marci 2012, až do opravenia verziou 1.0.1g vydanou tento pondelok. Otestovať na zraniteľnosť webový server poskytujúci zabezpečené HTTPS stránky je možné pomocou tohto webového testu.




Najnovšie články:



Diskusia:

preco mam na stranke francuzsku reklamu ? Od: juro marhula | Pridané: 10.4.2014 13:55 jasne ze sa jej vyhli,ked pozuivaju 100rocne verzie Odpovedať Známka: 8.5 Hodnotiť:

Re: preco mam na stranke francuzsku reklamu ? Od reg.: anonymouser007 | Pridané: 10.4.2014 14:26 hááá, 100 ročné verzie asi ťažko!!! Dostal som ťa!!! Odpovedať Známka: -3.1 Hodnotiť:

Re: preco mam na stranke francuzsku reklamu ? Od: dagi1984 | Pridané: 10.4.2014 16:16 v IT je mesiac ako inde 100 rokov, takze nedostal :) Odpovedať Známka: 6.8 Hodnotiť:

Re: preco mam na stranke francuzsku reklamu ? Od: Sanxo | Pridané: 10.4.2014 21:07 Hmm, ale ten čas letí... Odpovedať Hodnotiť:

Re: preco mam na stranke francuzsku reklamu ? Od: xvzf | Pridané: 10.4.2014 23:32 prehlad najvacsich sluzieb ktore boli chybou postihnute a je na nich potrebne zmenit si hesla: http://is.gd/Es8ff6 Odpovedať Hodnotiť:

openssl Od: opensourceftw | Pridané: 10.4.2014 13:58 CSOB - jedina banka, ktora ma rozum. imho, za pouzivanie open source pri kriticky dolezitych aplikaciach by mali ist ludia sediet - pekne par rokov na tvrdo, nech si do buducna rozmyslia, ci budu aj nadalej hazardovat s datami uzivatelov. Odpovedať Známka: -8.0 Hodnotiť:

Re: openssl Od reg.: WinstonSmith | Pridané: 10.4.2014 14:01 Prdele, Ty máš nasrané v hlave? Načo sú dobré aj komerčné produkukty, keď sú ČASTO deravejšie ako OpenSource? Včera som tu uvádzal Adobe, dnes doplním M$. Bankomaty chodia dokonca na Windowsoch. Cítiš sa až tak bezpečne?? Odpovedať Známka: 7.0 Hodnotiť:

Re: openssl Od reg.: Trovaricon | Pridané: 10.4.2014 20:13 SSL je ako vacsina protokolov tak primitivny, ze ho mozes dat naprogramovat IT vysokoskolakovi. Samozrejme takemu, co cez prednasky na matematike (najma na RSA) a predmetoch o bezpecnosti / sifrovani (najma na AES) nepozera serialy. Problem programovania dnesnej doby je, ze 95% nie je o algoritmizacnych schopnostiach ale o poznani kniznic a ich lepeni dokopy. Ako odflaknute je to v tych knizniciach nikto neriesi. Ak aj treba kupit nejaku kniznicu za 1000€, tak to firma uprednosti pred tym nechat podobnu funkcionalitu mesiac smudlit junior programatora (a to sa bavime o nekritickej funkcionalite, kde tzv "nema co pokazit") - proste je to lacnejsie. Odpovedať Známka: 5.7 Hodnotiť:

Re: openssl Od: dnesJulius | Pridané: 11.4.2014 0:49 Ano, ale ved predsa o tom je cele to modularne (ci komponentove ci jak to volaju dnes) programovanie. Proste nema vyznam, aby si banka robila svoje cpu, svoj OS, svoj aplikacny server... Ono sa ti to totiz tak nazbiera, ze by nemalo vyznam ani zacinat. Ak by kniznica stala 1000eur, tak to urcite nebude nieco na mesiac pre juniora. 1000eur stoji napr windows server aj s exchangeom a to ti urcite nezbastli jeden junior za mesiac. Ovela rozumnejsie je zobrat opensource ssl kniznicu a skontrolvat kod. Odpovedať Známka: 2.0 Hodnotiť:

Re: openssl Od: sensei-san | Pridané: 11.4.2014 8:04 > SSL je ako vacsina protokolov tak primitivny O tom si pri všetkej úcte dovolím zapochybovať. Primitívne je možno RSA, Diffie-Hellman či AES. Ale SSL je viac než to. Ak vieš za týždeň od gruntu nakódovať niečo, čo dokáže šifrovane komunikovať s bežným https serverom, tak dám klobúk dolu. A potom ho zjem. Odpovedať Hodnotiť:

Re: openssl Od reg.: Trovaricon | Pridané: 11.4.2014 17:54 Lenze tebe na zabezpecenie servera netreba full support na sifrovacie mody - komunikujes 1 max 2 z nich a kto to nepoporuje resp rad by downgradoval SSL / TLS verziu, tak ho posles kade lahsie. Odpovedať Hodnotiť:

Re: openssl Od: ja. | Pridané: 12.4.2014 13:46 Ale treba. Je to sice pekne ze ty podporujes TLS 1.2 a AES v GCM mode, co ti je ale dost naprd, ked tvoji zakaznici tam prifrcia napr. s takym MSIE8-10 alebo Firefoxom < 27. Odpovedať Hodnotiť:

Re: openssl Od: xvzf | Pridané: 10.4.2014 14:07 veta: "Banka ČSOB na externých zabezpečených stránkach implementáciu OpenSSL nevyužíva." neimplikuje absenciu opensource :) Odpovedať Známka: 9.3 Hodnotiť:

Re: openssl Od reg.: OmeGa | Pridané: 10.4.2014 14:30 co ma open source s bezpecnostou? to ze mas moznost pozriet zdrojaky neznamena, ze vies ako to prelomit. a ako vyvojar si radsej pozriem zdrojaky, ubezpecim sa ze "podla mna je to ok", a implementujem, ako zobrat nieco closed, a verit ze je vsetko OK, bezpecne a bez backdooru Odpovedať Známka: 7.0 Hodnotiť:

Re: openssl Od: ewrtgwers | Pridané: 10.4.2014 14:33 Tak hod do placu nejaky kriticky dolezity websever, ktory nepouziva nic z opensource, vratane doplnkovej ochrany, napr. IPS, WAF atd... Odpovedať Známka: 10.0 Hodnotiť:

Re: openssl Od: microsoftfhffdfghf | Pridané: 10.4.2014 14:53 Microsoft.com? Odpovedať Známka: -8.8 Hodnotiť:

Re: openssl Od: brano2 | Pridané: 10.4.2014 15:18 myslim ze zrovna v microsofte maju hodne vela BSD serverov, kedysi sa to uz rozoberalo, teda davali to hlavne na tie najvytazenejsie sluzby Odpovedať Známka: 8.8 Hodnotiť:

Re: openssl Od: dnesJulius | Pridané: 11.4.2014 0:52 To uz je daaaavno. Neviem ci ta sluzba vobec este existuje. Niekde som cital vyjadrenie, ze ano mali, ale ze uz to maju vsetko na winoch. Odpovedať Hodnotiť:

Re: openssl Od: wergwser | Pridané: 10.4.2014 15:22 ty si vazne myslis, ze microsoft.com samotny chrani akurat tupe UAGcko? :-))) samozrejme, ze ako firewall, IPS a WAF pouziuvaju aktualne spickove produkty. Odpovedať Známka: 10.0 Hodnotiť:

Re: openssl Od: aaaa23452345 | Pridané: 10.4.2014 15:35 myslim ze tam budu nejake proprietarne veci od cisca a spol... Odpovedať Hodnotiť:

Re: openssl Od: 2342345 | Pridané: 10.4.2014 15:36 a pokial viem BSD tam boli ked to bol este hotmail... teraz uz je to asi windows server... Odpovedať Hodnotiť:

Re: openssl Od: wergwsedwa | Pridané: 10.4.2014 16:13 vsetky dnesne spickove veci z oblasti bezpecnosti, ci uz to robi F5, Radware, Websense, Imperva alebo CheckPoint vyuzivaju vo velkom opensource veci. Odpovedať Známka: 10.0 Hodnotiť:

Re: openssl Od: dagi1984 | Pridané: 10.4.2014 16:17 mommy,look, a faggot! Odpovedať Známka: -6.0 Hodnotiť:

Re: openssl Od: XMen | Pridané: 10.4.2014 17:35 Takze sa zarucis, ze close source bude bezpecny? Nabuduce si premysli co napises. Odpovedať Známka: 0.0 Hodnotiť:

Re: openssl Od: opensourceftw | Pridané: 11.4.2014 13:46 moj ano. a rucim ti mojim menom - ked zistis, ze moj kod nie je bezpecny, pojdes ku konkurencii a ja tratim prachy. a, ak ako spravny nespokojny zakaznik informujes o chybach aj tvojich znamych, pridem aj o znacnu cast ostatnych zakaznikov. preto si dvakrat rozmyslim, ci pustim nedorobok do sveta. a taketo nieco v opensource komunite neexistuje. Odpovedať Známka: -5.0 Hodnotiť:

Re: openssl Od: ja. | Pridané: 12.4.2014 13:47 Tak toto je fest naivna predstava. Odpovedať Hodnotiť:

Re: openssl Od: m44 | Pridané: 12.4.2014 14:11 absolutne nevies o com rozpravas. prave openssl moze byt vdaka svojej otvorenosti skumane stovkami/tisickami ludi. uplne rovnake chyby mozes urobit, a urcite urobis, aj ty v svojej zaprdenej s.r.o. a jediny rozdiel bude, ze ta tvoja verzia sa bude stale len zneuzivat a nikto na to neupozorni. a kedze zakaznik asi tazko plati za openssl, ale za cele riesenia, tak asi len tak nezmeni dodavatela zo dna na den. a aj keby na tvoj zabugovany kod zakaznici prisli, tak sa vsadim, ze tak po slovensky zmenis nazov firmy, nazov produktu a budes ho predavat dalej, je tak? open source FTW Odpovedať Hodnotiť:

Re: openssl Od: Kleofasz Kutya | Pridané: 10.4.2014 22:34 Daj si facku ty jebo. Odpovedať Známka: 0.0 Hodnotiť:

Re: openssl Od: xvzf | Pridané: 10.4.2014 23:34 trochu urovne, chlape... Odpovedať Známka: 6.7 Hodnotiť:

Re: openssl Od: opensourceftw | Pridané: 11.4.2014 13:51 vyfajc slona, chuj! Odpovedať Známka: 2.0 Hodnotiť:

go lang Od: quix_ | Pridané: 10.4.2014 15:20 mna napariklad dnes zarazil mail z koding.com kde hovoria "We've never used the OpenSSL library. Koding built its own proxies using Go and Go has its own implementation of TLS." ak by to niekoho zaujimalo. ak nie tak nic ale tych 20sekund zivota vam uz nik nevrati :D Odpovedať Známka: 6.0 Hodnotiť:

Re: go lang Od: quix_ | Pridané: 10.4.2014 15:21 cim som chcel ctenu dsl komunitu a jozka informovat o tom, ze go ma vlastnu implementacu. Odpovedať Hodnotiť:

Re: go lang Od: ja. | Pridané: 10.4.2014 16:21 Go sice ma vlastnu implementaciu, ale ta este nie je vhodna na produkciu - podla vyjadrenia jej autora. Nemala nikdy vykonany nezavisly audit. Odpovedať Známka: 10.0 Hodnotiť:

Redakcia Od: JUSTO | Pridané: 10.4.2014 17:47 Útok, ktorý !nezanechádza! stopy v štandardných logoch ... Odpovedať Známka: 10.0 Hodnotiť:

Re: Redakcia Od reg.: Redakcia DSL.sk | Pridané: 10.4.2014 23:18 Díky za upozornenie, opravené. Odpovedať Hodnotiť:

vsetci ste sa teraz dozvedeli Od: a je to tu | Pridané: 10.4.2014 21:23 vsetci ste sa teraz dozvedeli preco ma Open SSL v nazve "open". Takze dva roky sme bezpecnost na strankach s HTTPS iba predstierali. Odpovedať Známka: 0.0 Hodnotiť:

Re: vsetci ste sa teraz dozvedeli Od: xvzf | Pridané: 10.4.2014 23:36 najlepsie na tom je, ze dalsich takychto kritickych chyb mozu byt (a asi aj su) desiatky.... Odpovedať Hodnotiť:

Re: vsetci ste sa teraz dozvedeli Od: dnesJulius | Pridané: 11.4.2014 0:56 Vies kolko ludi realne vie v com je rozdiel medzi http a https? A kolko ludi si realne cita to varovanie o zlom certifikate? Predstierat sa bude aj nadalej, ci je open, alebo nie.. Odpovedať Hodnotiť:

SLSP klame Od: Cpx | Pridané: 11.4.2014 8:04 Slovenská sporiteľňa porusuje bankovy kodex ktory podpisala, klame zakaznikov ohladom bezpecnosti, poplatkov atd atd, takze tam by som asi doporucil zmenit heslo alebo rovno banku. Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár