אתר פועלים באינטרנט חשוף להתקפת POODLE - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

אתר פועלים באינטרנט חשוף להתקפת POODLE

save

נוצר על ידי save
ב טכנולוגיית מידע - IT

Recommended Posts

save Zone Freak

save

פורסם
פורסם

לפני מספר ימים נפרץ הפרוטוקול הישן SSLv3 (התקפה שמכונה POODLE) , עברתי ע"פ ההוראות לאבטח את הדפדפן שלי נגד הפירצה.

בלי להכנס לפרטים טכניים, בסופו של תהליך לתוקף יש את העוגיות והסיסמא שלכם .

אבל עכשיו אני לא יכול להכנס לפועלים באינטרנט. מסתבר שהם תומכים רק בפרוטוקול ההוא.

כתבתי להם , אך ללא מענה. בכל מקרה : ראו הוזהרתם.

אם למישהו יש פיתרון אשמח לשמוע.

עריכה: זה לא הפורום הנכון. מי מהמנהלים שיעביר את ההודעה שלי לפורום המתאים.

קישור לתוכן
שתף באתרים אחרים
needacomp Zone Junkie

needacomp

פורסם
פורסם

מעניין מה שאתה אומר. מה לגבי בנקים אחרים ?

- - - תגובה אוחדה: - - -

הרצתי בדיקות ציון ב 2 אתרים ונראה לי שזה קיבל ציון נמוך F:

https://sslcheck.globalsign.com/en_US/sslcheck?host=www.bankhapoalim.co.il

https://www.ssllabs.com/ssltest/analyze.html?d=bankhapoalim.co.il&hideResults=on&ignoreMismatch=on

ד"א הם מציינים שהם משתמשים שם במיטיגציה לבעיית POODLE.

קישור לתוכן
שתף באתרים אחרים
m1ke Zone Master

m1ke

פורסם
פורסם

אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

קישור לתוכן
שתף באתרים אחרים
save Zone Freak

save

פורסם
  • מחבר
פורסם
אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

מאד פשוט: ניטרלתי תמיכה ב SSL3 בדפדפן שלי (תחת הגדרות מתקדמות - מבקש מינימום TLSv1.0). באותו רגע , האתר של פועלים הפסיק לעבוד. אם אני משחזר את ההגדרות, הוא חוזר לפעול.

יכול להיות שאני איש פשוט אבל מהצד זה נראה שהם עובדים עם SSL3 כדרישה. למרות שבבדיקה מעמיקה נראה כאילו הם תומכים ב TLS1 ,הם לא עושים כך.

לא מבין בדיוק את תגובה 5. בגלל IE6 ? תהליכים כאלה לוקחים זמן ?! עד ש IE6 יתפוגג יעברו כמה שנים. ממילא IE6 לא תומך נכון בסטנדרטים ומחורר כולו. אז בשבילו ישאירו פירצה שקוראת לגנב ? ועוד בבנק ?!

קישור לתוכן
שתף באתרים אחרים
save Zone Freak

save

פורסם
  • מחבר
פורסם

עדכון: דיברתי עם שי ממוקד תמיכת של בנק הפועלים.

אז ככה: כיום בנק הפועלים דורש SSLv3 כפרוטוקול הזדהות.

כששאלתי אותו אם יש חלופות (כדוגמת TLS) הוא אמר שאין.

בשיחה איתו נראה כאלו הוא לא מודע כלל לפירצה (או שלא רוצה לדבר)

וזה הבנק הגדול במדינה.

דווקא המזרחי מקבל ציון A- (כמעט מעולה)

קישור לתוכן
שתף באתרים אחרים
m1ke Zone Master

m1ke

פורסם
פורסם 


~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.il


Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 IST
Nmap scan report for bankhapoalim.co.il (194.90.101.149)
Host is up (0.019s latency).
Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors:
|       NULL
|_  least strength: strong


Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds

זה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.

אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר.

אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!

חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות.

קישור לתוכן
שתף באתרים אחרים
save Zone Freak

save

פורסם
  • מחבר
פורסם

הם יצטרכו לפתור את הבעיה (לנטרל את SSL). אפל הודיעה שבעקבות הבעייה היא מסירה את התמיכה בפרוטוקול הנ"ל ברוב מערכות ההפעלה שלה (כולל מווריק , iOS8 , Lion, OSX3.x )

משמע: משתמשי לא יוכלו להתחבר לאפלקציה/אתר של הבנק אחרי שיורידו את העדכון.

אני רק מנחש שגוגל הולכת לעשות אותו דבר.

לגבי מיקרוסופט: הם משחררים עדכונים באיחור אופנתי, אז לא הייתי בונה עליהם.

קישור לתוכן
שתף באתרים אחרים
save Zone Freak

save

פורסם
  • מחבר
פורסם

משהו השתנה בשעה האחרונה.

עכשיו אני מסוגל להכנס לאתר של בנק הפועלים ללא SSLv3 בדפדפן.

מקודם הייתי מקבל:

Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)

אולי יש אוזניים לכותל ?!

קישור לתוכן
שתף באתרים אחרים
save Zone Freak

save

פורסם
  • מחבר
פורסם 

~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.il


Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 IST
Nmap scan report for bankhapoalim.co.il (194.90.101.149)
Host is up (0.019s latency).
Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors:
|       NULL
|_  least strength: strong


Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds

זה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.

אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר.

אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!

חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות.

לפי מיטב הבנתי RC4_MD5 and SHA עדיפים אך הוכחו כפגיעים כבר בינואר השנה (כשגוגל החליטה להחליף אותם ב TLS באלגוריתם חזק יותר https://www.imperialviolet.org/2014/02/27/tlssymmetriccrypto.html )

מעניין לראות ש nmap סימן אותם כ"חזקים".

המעבר ל RC4 הומלץ לפני שנה בעקבות פירצת BEAST . השאלה אם זה בכלל מספיק כדי להגן על משתמש בפני POODLE . לפי מה שקראתי זה כן. עדיין לדעתי היה צריך לחסל את ה SSL סופית. חיסול ממוקד עדיף ולא מעקפים.

הנה למה עדיף להמנע ממעקפים כדוגמת שימוש ב RC4 :

https://www.tinfoilsecurity.com/blog/how-to-fix-poodle-and-why-you-are-probably-still-vulnerable

קישור לתוכן
שתף באתרים אחרים
  • 2 שבועות מאוחר יותר...
taurus007 Zone Freak

taurus007

פורסם
פורסם
אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.

בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.

היי , בנק הפועלים תמך (עד השבוע הזה) רק בSSLV3 , השבוע הם הטמיעו את הTLS במערכות שלהם .

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...