save פורסם 2014 בנובמבר 8 Share פורסם 2014 בנובמבר 8 לפני מספר ימים נפרץ הפרוטוקול הישן SSLv3 (התקפה שמכונה POODLE) , עברתי ע"פ ההוראות לאבטח את הדפדפן שלי נגד הפירצה.בלי להכנס לפרטים טכניים, בסופו של תהליך לתוקף יש את העוגיות והסיסמא שלכם .אבל עכשיו אני לא יכול להכנס לפועלים באינטרנט. מסתבר שהם תומכים רק בפרוטוקול ההוא.כתבתי להם , אך ללא מענה. בכל מקרה : ראו הוזהרתם.אם למישהו יש פיתרון אשמח לשמוע. עריכה: זה לא הפורום הנכון. מי מהמנהלים שיעביר את ההודעה שלי לפורום המתאים. קישור לתוכן שתף באתרים אחרים More sharing options...
needacomp פורסם 2014 בנובמבר 8 Share פורסם 2014 בנובמבר 8 מעניין מה שאתה אומר. מה לגבי בנקים אחרים ?- - - תגובה אוחדה: - - -הרצתי בדיקות ציון ב 2 אתרים ונראה לי שזה קיבל ציון נמוך F:https://sslcheck.globalsign.com/en_US/sslcheck?host=www.bankhapoalim.co.ilhttps://www.ssllabs.com/ssltest/analyze.html?d=bankhapoalim.co.il&hideResults=on&ignoreMismatch=onד"א הם מציינים שהם משתמשים שם במיטיגציה לבעיית POODLE. קישור לתוכן שתף באתרים אחרים More sharing options...
gadykay פורסם 2014 בנובמבר 8 Share פורסם 2014 בנובמבר 8 חשוב מאוד העניין הזה ולפי בדיקה שעשיתי הרגע אתה גם צודק, אני חושב שכולנו נשמח אם תעדכן ברגע תקבל תשובה מהם. קישור לתוכן שתף באתרים אחרים More sharing options...
needacomp פורסם 2014 בנובמבר 8 Share פורסם 2014 בנובמבר 8 https://www.ssllabs.com/ssltest/analyze.html?d=hb2.bankleumi.co.il&hideResults=onבנק לאומי מקבל ציון B קישור לתוכן שתף באתרים אחרים More sharing options...
m1ke פורסם 2014 בנובמבר 8 Share פורסם 2014 בנובמבר 8 אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן. קישור לתוכן שתף באתרים אחרים More sharing options...
save פורסם 2014 בנובמבר 9 מחבר Share פורסם 2014 בנובמבר 9 אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.מאד פשוט: ניטרלתי תמיכה ב SSL3 בדפדפן שלי (תחת הגדרות מתקדמות - מבקש מינימום TLSv1.0). באותו רגע , האתר של פועלים הפסיק לעבוד. אם אני משחזר את ההגדרות, הוא חוזר לפעול.יכול להיות שאני איש פשוט אבל מהצד זה נראה שהם עובדים עם SSL3 כדרישה. למרות שבבדיקה מעמיקה נראה כאילו הם תומכים ב TLS1 ,הם לא עושים כך.לא מבין בדיוק את תגובה 5. בגלל IE6 ? תהליכים כאלה לוקחים זמן ?! עד ש IE6 יתפוגג יעברו כמה שנים. ממילא IE6 לא תומך נכון בסטנדרטים ומחורר כולו. אז בשבילו ישאירו פירצה שקוראת לגנב ? ועוד בבנק ?! קישור לתוכן שתף באתרים אחרים More sharing options...
save פורסם 2014 בנובמבר 9 מחבר Share פורסם 2014 בנובמבר 9 עדכון: דיברתי עם שי ממוקד תמיכת אינטרנט של בנק הפועלים.אז ככה: כיום בנק הפועלים דורש SSLv3 כפרוטוקול הזדהות.כששאלתי אותו אם יש חלופות (כדוגמת TLS) הוא אמר שאין.בשיחה איתו נראה כאלו הוא לא מודע כלל לפירצה (או שלא רוצה לדבר)וזה הבנק הגדול במדינה. דווקא המזרחי מקבל ציון A- (כמעט מעולה) קישור לתוכן שתף באתרים אחרים More sharing options...
m1ke פורסם 2014 בנובמבר 9 Share פורסם 2014 בנובמבר 9 ~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.ilStarting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 ISTNmap scan report for bankhapoalim.co.il (194.90.101.149)Host is up (0.019s latency).Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62PORT STATE SERVICE443/tcp open https| ssl-enum-ciphers:| SSLv3:| ciphers:| TLS_RSA_WITH_RC4_128_MD5 - strong| TLS_RSA_WITH_RC4_128_SHA - strong| compressors:| NULL| TLSv1.0:| ciphers:| TLS_RSA_WITH_RC4_128_MD5 - strong| TLS_RSA_WITH_RC4_128_SHA - strong| compressors:| NULL|_ least strength: strongNmap done: 1 IP address (1 host up) scanned in 2.49 secondsזה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר. אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות. קישור לתוכן שתף באתרים אחרים More sharing options...
Vlad3 פורסם 2014 בנובמבר 9 Share פורסם 2014 בנובמבר 9 לשנות סיסמא? קישור לתוכן שתף באתרים אחרים More sharing options...
QttP פורסם 2014 בנובמבר 9 Share פורסם 2014 בנובמבר 9 וזה הבנק הגדול במדינה. עצוב. לא נורא. בנק דיסקונט באותה צרה.דווקא לא נתקלתי בבעיות כניסה לבנק דיסקונט מאז החסימה של SSLV3 בדפדפן. קישור לתוכן שתף באתרים אחרים More sharing options...
save פורסם 2014 בנובמבר 9 מחבר Share פורסם 2014 בנובמבר 9 הם יצטרכו לפתור את הבעיה (לנטרל את SSL). אפל הודיעה שבעקבות הבעייה היא מסירה את התמיכה בפרוטוקול הנ"ל ברוב מערכות ההפעלה שלה (כולל מווריק , iOS8 , Lion, OSX3.x )משמע: משתמשי אייפון לא יוכלו להתחבר לאפלקציה/אתר של הבנק אחרי שיורידו את העדכון.אני רק מנחש שגוגל הולכת לעשות אותו דבר.לגבי מיקרוסופט: הם משחררים עדכונים באיחור אופנתי, אז לא הייתי בונה עליהם. קישור לתוכן שתף באתרים אחרים More sharing options...
m1ke פורסם 2014 בנובמבר 9 Share פורסם 2014 בנובמבר 9 אתה פשוט כותב דברים לא נכונים... קישור לתוכן שתף באתרים אחרים More sharing options...
save פורסם 2014 בנובמבר 9 מחבר Share פורסם 2014 בנובמבר 9 משהו השתנה בשעה האחרונה.עכשיו אני מסוגל להכנס לאתר של בנק הפועלים ללא SSLv3 בדפדפן.מקודם הייתי מקבל:Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap) אולי יש אוזניים לכותל ?! קישור לתוכן שתף באתרים אחרים More sharing options...
save פורסם 2014 בנובמבר 9 מחבר Share פורסם 2014 בנובמבר 9 ~ -> nmap -Pn --script ssl-enum-ciphers -p 443 bankhapoalim.co.ilStarting Nmap 6.47 ( http://nmap.org ) at 2014-11-09 11:02 ISTNmap scan report for bankhapoalim.co.il (194.90.101.149)Host is up (0.019s latency).Other addresses for bankhapoalim.co.il (not scanned): 194.90.195.149 192.116.222.49 212.150.5.62PORT STATE SERVICE443/tcp open https| ssl-enum-ciphers:| SSLv3:| ciphers:| TLS_RSA_WITH_RC4_128_MD5 - strong| TLS_RSA_WITH_RC4_128_SHA - strong| compressors:| NULL| TLSv1.0:| ciphers:| TLS_RSA_WITH_RC4_128_MD5 - strong| TLS_RSA_WITH_RC4_128_SHA - strong| compressors:| NULL|_ least strength: strongNmap done: 1 IP address (1 host up) scanned in 2.49 secondsזה מה שאני רואה מדף הבית. תמיכה בtlsv1 וsslv3.אתה לא מבין את התגובה שלי כי אתה מסתכל על זה בצורה מאוד צרה. אני לא יודע מה השיקולים האמיתיים שלהם, מהכרותי עם בחור שעבד בצוות הsecurity של בנק הפועלים, לא מדובר באנשים טפשים. אתה חייב להבין שאתר של בנק שם בשביל לעשות כסף קודם כל, ולא לתת את הפתרון הבטוח ביותר. אם כרגע 5% מהכניסות בחודש לאתר שלהם מבוצעות ע"י דפדפנים ישנים, זה 5% שלא יוכלו לקבל שרות בכלל אם הם יבטלו SSLv3 ברגע. זו לא החלטה טריוויאלית!חוץ מזה, כמו שנאמר למעלה, הם עושים מיטיגציה לדבר על ידי שימוש בRC4 אשר אינו פגיע לPoodle אבל חושף חולשות תאורטיות אחרות.לפי מיטב הבנתי RC4_MD5 and SHA עדיפים אך הוכחו כפגיעים כבר בינואר השנה (כשגוגל החליטה להחליף אותם ב TLS באלגוריתם חזק יותר https://www.imperialviolet.org/2014/02/27/tlssymmetriccrypto.html )מעניין לראות ש nmap סימן אותם כ"חזקים".המעבר ל RC4 הומלץ לפני שנה בעקבות פירצת BEAST . השאלה אם זה בכלל מספיק כדי להגן על משתמש בפני POODLE . לפי מה שקראתי זה כן. עדיין לדעתי היה צריך לחסל את ה SSL סופית. חיסול ממוקד עדיף ולא מעקפים.הנה למה עדיף להמנע ממעקפים כדוגמת שימוש ב RC4 :https://www.tinfoilsecurity.com/blog/how-to-fix-poodle-and-why-you-are-probably-still-vulnerable קישור לתוכן שתף באתרים אחרים More sharing options...
taurus007 פורסם 2014 בנובמבר 20 Share פורסם 2014 בנובמבר 20 אין לי מושג למה החלטת שאתר של הפועלים תומך רק ב sslv3, הוא לא.בלי קשר, יכול מאוד להיות שיש להם אחוז קטן של משתמשים שעדין עובדים עם sslv3 (למשל ie6), והם לא יכולים פשוט לבטל את sslv3 ברגע. במיוחד בבנקים, תהליכים כאלה לוקחים זמן.היי , בנק הפועלים תמך (עד השבוע הזה) רק בSSLV3 , השבוע הם הטמיעו את הTLS במערכות שלהם . קישור לתוכן שתף באתרים אחרים More sharing options...
Recommended Posts
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.