Was bedroht Heartbleed für einen einfachen Benutzer?

    BildViele haben über hörte die gefundenen in der OpenSSL Verletzlichkeit. Man kann mit Sicherheit sagen, dass die Berichterstattung in den Internetmedien einen ehrenwerten ersten Platz einnehmen wird. Sie schreiben nicht nur über sie, sondern erstellen auch spezielle Websites , auf denen Dienste überprüft und sogar Comics gezeichnet werden . Und nicht überraschend - das Ausmaß der Niederlage ist nach einigen Schätzungen wirklich beeindruckendmehr als 17% aller ssl-fähigen sites sind anfällig. Angesichts der einfachen bedienung kann dieses ereignis mit einer epidemie verglichen werden. Leider ist auch dies für viele kein ausreichendes Argument - eine Woche später sind viele Standorte weiterhin gefährdet. Dies ist für einfache Dienste möglicherweise nicht kritisch, für finanzielle jedoch nicht. Dies kann besonders schmerzhaft für die Zahlungsgateways sein, über die Zahlungen erfolgen. Ich werde über eines davon sprechen.

    Neulich habe ich einen Online-Einkauf bei einer russischen Internetfirma getätigt. Als ich den Zeitpunkt der Zahlung erreicht hatte, wurde ich mit einem Formular zur Dateneingabe von einer Bankkarte zum Zahlungsportal einer großen Bank weitergeleitet. Dies war die einzige Zahlungsmethode und ich begann das Formular auszufüllen.

    Nichts deutete auf Ärger hin als der sechste Sinn. Bevor ich auf die Schaltfläche "Bezahlen" geklickt habe, habe ich mich entschlossen, das Zahlungsgateway auf Schwachstellen zu überprüfen. Alle öffentlichen Dienste zur Überprüfung gaben eine positive Antwort. Als ich merkte, dass Sie den Kauf nicht fortsetzen sollten, beschloss ich herauszufinden, was Benutzer, die nicht einmal den Verdacht haben, dass sie eine Zahlung über ein anfälliges Gateway leisten, wirklich bedrohen könnte, und wie einfach ist es, dies zu überprüfen?

    Dies zu überprüfen war nicht einfach, aber sehr einfach. Nachdem ich den Code eines der vorgefertigten Exploits auf Github geändert hatte, erhielt ich eine Dump-Datei mit 64 Kilobyte-Stücken. Was war drin?

    Bild

    Es war alles. Buchstäblich alles, was das Zahlungsportal passiert: Bestellnummer, Kartennummer, CVV2, vollständiger Name, Jahr und Monat, bis zu dem es gültig ist. Für eine halbe Stunde des Drehbuchs in der Müllhalde gab es mehrere hundert echte Bankkarten und Daten über ihre Besitzer.

    Natürlich wurden alle erforderlichen Informationen sofort an die Kontakte des Zahlungsgateways und seiner größten Kunden gesendet, aber im Moment ist die Sicherheitsanfälligkeit nicht beseitigt. Ich erinnere Sie daran, dass fast eine Woche vergangen ist, seit Heartbleed öffentlich bekannt wurde. Man kann sich nur über die Nachlässigkeit der Sicherheitsdienste einiger großer Unternehmen wundern und sich entsetzt vorstellen, wie viele Karten und andere wichtige persönliche Informationen während dieser Zeit in die Hände echter Angreifer gelangen könnten.

    Aktualisiert (15.04.2014):Die Sicherheitslücke wurde eine Woche nach der Veröffentlichung von Informationen über Heartbleed und drei Tage nach dem Datum meiner Anfrage behoben.

    Aktualisiert (16.04.2014): Diese Sicherheitslücke wurde im Zahlungsportal der VTB24 Bank entdeckt, das insbesondere auf der Website der Russian Railways verwendet wurde. Ich habe nichts mit sos-rzd.com und seinen Autoren zu tun. Ich empfehle jedem, der vom 7. bis 14. April Einkäufe damit getätigt hat, die Karten neu auszustellen.

    Jetzt auch beliebt: