עבור לתוכן

אתר פועלים באינטרנט חשוף להתקפת POODLE

על-ידי save
ב טכנולוגיית מידע - IT

Featured Replies

פורסם

לפני מספר ימים נפרץ הפרוטוקול הישן SSLv3 (התקפה שמכונה POODLE) , עברתי ע"פ ההוראות לאבטח את הדפדפן שלי נגד הפירצה.

בלי להכנס לפרטים טכניים, בסופו של תהליך לתוקף יש את העוגיות והסיסמא שלכם .

אבל עכשיו אני לא יכול להכנס לפועלים באינטרנט. מסתבר שהם תומכים רק בפרוטוקול ההוא.

כתבתי להם , אך ללא מענה. בכל מקרה : ראו הוזהרתם.

אם למישהו יש פיתרון אשמח לשמוע.

עריכה: זה לא הפורום הנכון. מי מהמנהלים שיעביר את ההודעה שלי לפורום המתאים.

נערך על-ידי save
פורום שגוי.

  • ציטוט
    • פורסם

    מעניין מה שאתה אומר. מה לגבי בנקים אחרים ?

    - - - תגובה אוחדה: - - -

    הרצתי בדיקות ציון ב 2 אתרים ונראה לי שזה קיבל ציון נמוך F:

    https://sslcheck.globalsign.com/en_US/sslcheck?host=www.bankhapoalim.co.il

    https://www.ssllabs.com/ssltest/analyze.html?d=bankhapoalim.co.il&hideResults=on&ignoreMismatch=on

    ד"א הם מציינים שהם משתמשים שם במיטיגציה לבעיית POODLE.

  • ציטוט
    • פורסם

    חשוב מאוד העניין הזה ולפי בדיקה שעשיתי הרגע אתה גם צודק, אני חושב שכולנו נשמח אם תעדכן ברגע תקבל תשובה מהם.

  • ציטוט
    • פורסם

    אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

    בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

  • ציטוט
    • פורסם
    • מחבר
    אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

    בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

    מאד פשוט: ניטרלתי תמיכה ב SSL3 בדפדפן שלי (תחת הגדרות מתקדמות - מבקש מינימום TLSv1.0). באותו רגע , האתר של פועלים הפסיק לעבוד. אם אני משחזר את ההגדרות, הוא חוזר לפעול.

    יכול להיות שאני איש פשוט אבל מהצד זה נראה שהם עובדים עם SSL3 כדרישה. למרות שבבדיקה מעמיקה נראה כאילו הם תומכים ב TLS1 ,הם לא עושים כך.

    לא מבין בדיוק את תגובה 5. בגלל IE6 ? תהליכים כאלה לוקחים זמן ?! עד ש IE6 יתפוגג יעברו כמה שנים. ממילא IE6 לא תומך נכון בסטנדרטים ומחורר כולו. אז בשבילו ישאירו פירצה שקוראת לגנב ? ועוד בבנק ?!

    נערך על-ידי save

  • ציטוט
    • פורסם
    • מחבר

    עדכון: דיברתי עם שי ממוקד תמיכת אינטרנט של בנק הפועלים.

    אז ככה: כיום בנק הפועלים דורש SSLv3 כפרוטוקול הזדהות.

    כששאלתי אותו אם יש חלופות (כדוגמת TLS) הוא אמר שאין.

    בשיחה איתו נראה כאלו הוא לא מודע כלל לפירצה (או שלא רוצה לדבר)

    וזה הבנק הגדול במדינה.

    דווקא המזרחי מקבל ציון A- (כמעט מעולה)

    נערך על-ידי save

  • ציטוט
    • פורסם 


    ~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.il


    Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 IST
    Nmap scan report for bankhapoalim.co.il (194.90.101.149)
    Host is up (0.019s latency).
    Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62
    PORT    STATE SERVICE
    443/tcp open  https
    | ssl-enum-ciphers:
    |   SSLv3:
    |     ciphers:
    |       TLS_RSA_WITH_RC4_128_MD5 - strong
    |       TLS_RSA_WITH_RC4_128_SHA - strong
    |     compressors:
    |       NULL
    |   TLSv1.0:
    |     ciphers:
    |       TLS_RSA_WITH_RC4_128_MD5 - strong
    |       TLS_RSA_WITH_RC4_128_SHA - strong
    |     compressors:
    |       NULL
    |_  least strength: strong


    Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds

    זה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.

    אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר.

    אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!

    חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות.

  • ציטוט
    • פורסם

    לשנות סיסמא?

  • ציטוט
    • פורסם
    וזה הבנק הגדול במדינה. עצוב. לא נורא. בנק דיסקונט באותה צרה.
    דווקא לא נתקלתי בבעיות כניסה לבנק דיסקונט מאז החסימה של SSLV3 בדפדפן.
  • ציטוט
    • פורסם
    • מחבר

    הם יצטרכו לפתור את הבעיה (לנטרל את SSL). אפל הודיעה שבעקבות הבעייה היא מסירה את התמיכה בפרוטוקול הנ"ל ברוב מערכות ההפעלה שלה (כולל מווריק , iOS8 , Lion, OSX3.x )

    משמע: משתמשי אייפון לא יוכלו להתחבר לאפלקציה/אתר של הבנק אחרי שיורידו את העדכון.

    אני רק מנחש שגוגל הולכת לעשות אותו דבר.

    לגבי מיקרוסופט: הם משחררים עדכונים באיחור אופנתי, אז לא הייתי בונה עליהם.

    נערך על-ידי save

  • ציטוט
    • פורסם

    אתה פשוט כותב דברים לא נכונים...

  • ציטוט
    • פורסם
    • מחבר

    משהו השתנה בשעה האחרונה.

    עכשיו אני מסוגל להכנס לאתר של בנק הפועלים ללא SSLv3 בדפדפן.

    מקודם הייתי מקבל:

    Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)

    אולי יש אוזניים לכותל ?!

    נערך על-ידי save

  • ציטוט
    • פורסם
    • מחבר

    ~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.il


    Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 IST
    Nmap scan report for bankhapoalim.co.il (194.90.101.149)
    Host is up (0.019s latency).
    Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62
    PORT    STATE SERVICE
    443/tcp open  https
    | ssl-enum-ciphers:
    |   SSLv3:
    |     ciphers:
    |       TLS_RSA_WITH_RC4_128_MD5 - strong
    |       TLS_RSA_WITH_RC4_128_SHA - strong
    |     compressors:
    |       NULL
    |   TLSv1.0:
    |     ciphers:
    |       TLS_RSA_WITH_RC4_128_MD5 - strong
    |       TLS_RSA_WITH_RC4_128_SHA - strong
    |     compressors:
    |       NULL
    |_  least strength: strong


    Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds

    זה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.

    אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר.

    אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!

    חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות.

    לפי מיטב הבנתי RC4_MD5 and SHA עדיפים אך הוכחו כפגיעים כבר בינואר השנה (כשגוגל החליטה להחליף אותם ב TLS באלגוריתם חזק יותר https://www.imperialviolet.org/2014/02/27/tlssymmetriccrypto.html )

    מעניין לראות ש nmap סימן אותם כ"חזקים".

    המעבר ל RC4 הומלץ לפני שנה בעקבות פירצת BEAST . השאלה אם זה בכלל מספיק כדי להגן על משתמש בפני POODLE . לפי מה שקראתי זה כן. עדיין לדעתי היה צריך לחסל את ה SSL סופית. חיסול ממוקד עדיף ולא מעקפים.

    הנה למה עדיף להמנע ממעקפים כדוגמת שימוש ב RC4 :

    https://www.tinfoilsecurity.com/blog/how-to-fix-poodle-and-why-you-are-probably-still-vulnerable

    נערך על-ידי save

  • ציטוט
    • 2 שבועות מאוחר יותר...
    פורסם
    אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

    בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

    היי , בנק הפועלים תמך (עד השבוע הזה) רק בSSLV3 , השבוע הם הטמיעו את הTLS במערכות שלהם .

  • ציטוט

    • ארכיון

    דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

    עבור לרשימת הדיונים

    דיונים חדשים