Одним прекрасным днём я наткнулся на этот твит:
Да, этот скриншот ситуации, которая, по мнению большинства людей, нереальна. Короче говоря, фотошоп. Хотя дискуссия на Реддите о пределе человеческой глупости развернулась знатная.
Именно о глупости в сфере информационной безопасности мне и хотелось бы поговорить. Просто потому, что подобные штуки вполне могут быть реальными. Я сталкивался с историями, от которых волосы шевелились абсолютно во всех местах. Наиболее яркими поделюсь сегодня с вами.
Запомнить меня
Допустим, вы хотите заюзать функцию "Запомнить меня". Ну, знаете, ту, где вы ставите галочку, а при следующем посещении сайта вас пускает в систему. Вот как это сделали Black and Decker:
Да, это всего лишь закодированная в Base64 версия вашего пароля в файле cookie. И да, он отправляется небезопасно при каждом запросе, а ещё он не помечен как "безопасный", поэтому отправляется в открытом виде.
Ай-я-яй, думаете вы, это же очень плохо! Но их переплюнули австралийские фермеры:
Вот это действительно безопасность! Пароль всё ещё в cookies, а ещё я вижу Reflected XSS-уязвимость, которая возникает, если пользовательский ввод с URL-адреса или данных POST отражается на странице без сохранения. Как вы думали, как они отреагировали на сообщение об уязвимости? Правильно, меня мягко послали. И это ещё один пункт в перечне ИБ-проблем.
Реакция компаний
Я поступил как честный человек, сообщив австралийским фермерам о рисках в далёком 2013 году. А ещё добавил, что им, возможно, не следует рассылать пароли по электронной почте, на что получил эмоциональный ответ от "менеджер по маркетингу":
На сегодняшний день у нас не было ни одной проблемы с безопасностью, связанной с тем, что новые клиенты получали по электронной почте свой пароль, и я точно знаю, что 90% сайтов, на которые я лично регистрируюсь в Интернете, делают точно так же.
А-а-а-а!, не так ли? Это напоминает мне сообщение Oil and Gas International, которые внезапно стали очень капризными, когда Firefox начал предупреждать пользователей о том, что форма входа загружается небезопасно. Ошибка была добавлена в багзиллу.
Ваше уведомление о небезопасном пароле и/или логине, автоматически появляющееся при входе в систему на нашем сайте Oil and Gas International, нежелательно и было помещено туда без нашего разрешения. Пожалуйста, удалите его немедленно. У нас есть собственная система безопасности, и за более чем 15 лет её ни разу не взламывали. Ваше уведомление вызывает беспокойство у наших подписчиков и наносит ущерб нашему бизнесу.
Ироничненько, что их сайт перестал работать вскоре после этого инцидента. Потом они восстановили его работу, хотя неясно, обновили ли информацию про «15 лет».
Кстати, у British Gas в прошлом тоже были проблемы:
Трудно было пройти и мимо Tesco, тоже удивившей своим лёгким ИБ-безумием:
Безопасный сброс пароля — это ведь так сложно. Мне кажется, им стоит внимательнее изучить тему.
Сброс пароля
Всё началось с этого:
Сейчас вы, можете подумать: "О, ваше имя пользователя — это ваш адрес электронной почты, и Betfair просто отправит вам электронное письмо, и вы сбросите пароль по уникальной ссылке". Увы, ваши размышления слишком правильные, чтобы быть правдой. Betfair не поверила Полу, и мне пришлось снять видео показывающее всю глубину факапа:
Всё именно так ужасно: зная чей-то адрес электронной почты и дату рождения, вы можете беспрепятственно сбросить его пароль и заменить на любой другой. Но апофеозом глупости компании стало сообщение для Пола, в котором Betfair с невозмутимым видом любезно сообщила, что пользователь нарушит их условия пользования сервисом, если сообщит свой адрес электронной почты и дату рождения кому-либо ещё. Чёрт возьми, ЧТО?
Похоже, в Betfair службой безопасности и не пахнет.
Вопросы безопасности
Можно я просто оставлю это здесь?
Что, не особо страшно? Давайте ещё!
На самом деле все эти секретные вопросы — ерунда! Не конкретно эти (хотя они особенно трешовые), а вся идея секретных вопросов. Попробуем что-нибудь более разумное.
Вход в систему
Знаешь, что самое сложное в нашей жизни? Придумывать пароли. Вот бы был какой-нибудь простой способ:
Нет, серьёзно. Это скриншот из интернет-архива.
К чёрту пароли, скажете вы. Но, к сожалению, пока ещё никто не придумал, как от них избавиться. Существует множество технических решений, которые на самом деле никто не хочет использовать. И по факту у нас сейчас больше паролей, чем когда-либо, и они никуда не денутся. Впрочем, я видел кое-что и похуже...
Физическая безопасность
Это невозможно прокомментировать хоть как-то непредвзято и спокойно. Так что я просто покажу вам это:
Знаете, что действительно меня зацепило? Подумайте о своих друзьях и родственниках, которые ничего не смыслят в технике. Им просто нужно подключить приставку к телевизору. И вот они отправляются в магазин, берут два кабеля HDMI и смотрят на коробки, сравнивая характеристики: у одного кабеля есть антивирусная защита, у другого нет. Как же им быть?
Игры с аккаунтами
А вот ещё одна глупая штука с безопасностью. Представьте: вы заходите на популярный маркетплейс и бросаете в корзину какой-нибудь тонизирующий лосьон, пудру или что-то ещё, о чем я не имею ни малейшего понятия, а затем нажимаете кнопку «Оформить заказ». И вы видите это:
Непонятно? Вроде норм? Не-а. Когда вы вводите адрес электронной почты — любой адрес электронной почты с учетной записью на сайте — вам представляются чужие личные данные.
WTF?! Они же раскрывают личные данные любого, кто оставлял свой email в системе?! А пользователей там ого-го сколько, сами понимаете. Так что вы можете зайти на сайт, ввести любое женское имя, затем популярный почтовый сервис, и вот вы внутри аккаунта! И если вы думаете «ну, это просто ужасно», то нет. На самом деле это не баг, а фича:
Обратите внимание, что в опросах, которые мы провели, подавляющему большинству клиентов нравится наша система без пароля. Использование вашего адреса электронной почты в качестве пароля является достаточной защитой.
Нет, это не так! Это небезопасно. Я даже завёл там учётную запись, чтобы проверить, как это работает:
Вот такие пироги с котятами. GDPR, конечно, улучшила ситуацию. Но глупости всё ещё много. А что у вас? Какие истории с безопасностью случались в вашей жизни?
Что ещё интересного есть в блоге Cloud4Y
→ Как открыть сейф с помощью ручки
→ It's Alive! Аккордеон из двух Commodore 64 и дискет
→ Как распечатать цветной механический телевизор на 3D-принтере
→ WD-40: средство, которое может почти всё
→ Подержите моё пиво, или как я сделал RGBeeb, перенеся BBC Micro в современный корпус
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.
Комментарии (30)
lyagushkaa
28.10.2022 15:31+12"Каждый год свиньи убивают больше людей, чем акулы, что показывает как хорошо люди умеют оценивать риски."
Gor40
28.10.2022 15:44-1Hidden text
$(document).ready(function(){
dvr_camcnt = Cookies.get("dvr_camcnt");
dvr_usr = Cookies.get("dvr_usr");
dvr_pwd = Cookies.get("dvr_pwd");
if(dvr_camcnt == null || dvr_usr == null || dvr_pwd == null)
{
location.href = “/index.html”;
}
dartraiden
28.10.2022 16:33+9Что-то похожее на историю с антивирусным кабелем было. Прихожу я к юзеру, и вижу, что у него ПК проводом соединён с роутером, но в роутер ничего похожего на входящий канал не заведено. Зато этот самый входящий канал воткнут во вторую сетевую карту этого же ПК.
Оказалось, что юзер краем уха услышал, что роутеры защищают от хакеров. Это отчасти правда, но для этого роутер должен находится между оборудованием провайдера и компьютером, а вот этого юзеру уже никто не сказал... в итоге, роутер он воткнул просто как талисман, в свободный Ethernet-порт.
YDR
29.10.2022 13:01+1я видел человека, который купил бесперебойник, и ждал, что сбоев в компьютере не будет совсем.
Sild
28.10.2022 16:51+5История по секретные вопросы не раскрыта. Это же еще один способ аутентификации, не более того. Спрашиваете столицу Калифорнии, отвечаете "творожок", в чем проблема...
eji
28.10.2022 17:24+5Главное в этой фишке - вспомнить, каких же молочных изделий Ваш организм желал при регистрации лет этак 5-7 назад... ;)
MonkeyWatchingYou
28.10.2022 18:46+1И это было бы не проблемой, если бы не...
В один момент сервис просто в корне меняет список вопросов.
---
Я записываю всегда аут. данные, когда присоединяюсь к новому сервису. Но видать они находят способ сломать мозг. (Это было связано с площадкой для фотографов вроде)
illegally_happy
28.10.2022 20:56+5У меня была проблема с яндекс почтой. 20 лет назад заводил аккаунт - тоже вводил секретный вопрос от фонаря, но записывал себе в блокнот логин/пароль/ответ на секретный вопрос. За 20 лет блокнот потерялся, но логин/пароль всегда можно посмотреть в почтовом клиенте при переустановке винды и т.п., этого было достаточно, секретный вопрос не нужен был. А тут вдруг при очередной переустановке винды оказалось, что мало логина и пароля, яндекс вдруг ввели требование вводить ответ на секретный вопрос при восстановлении почты/логина. Больше я не использую яндекс почту. Хорошо там ничего важного не было.
mayorovp
28.10.2022 21:20Аналогичная ерунда была с Battle.net, но через 5 лет они одумались и разрешили мне снова играть в их игры...
XenRE
28.10.2022 23:56+7Ага, при том, что при регистрации аккаунта писали что контрольный вопрос нужен только для восстановляния забытого пароля, и никто не предупреждал, что через 10 лет их торнет спрашивать этот вопрос вместе с паролем.
Для таких борцунов за «безопасность» должен быть предусмотрен отдельный котел в аду, с турбонаддувом и 2 кнопками управления: жарче и горячее.
Никто не в курсе, не было ли сливов базы яндекса с этими вопросами?
telpos
30.10.2022 10:33Можно войти, перебросив хранилище с куками со старого компа. Даже если вошёл в аккаунт, сбросить контрольный вопрос без знания ответа на прежний вопрос нельзя. Можно только добавить альтернативные способы восстановления доступа (например, другой e-mail)
vconst
30.10.2022 10:51Можно войти, перебросив хранилище с куками со старого компа
Один знакомый довольно долго подсматривал «корпоративную почту», которая, к стыду компании, была на мейл.ру — таская на флешке одну куку ))
rqdkmndh
31.10.2022 00:01У меня такая же фигня. Завел несколько лет назад пару акков на яндексе. Недавно пересел за новый комп, ввел правильные логин пароль и тут пишут, что акк заблокирован и требуют ответ на контрольный вопрос - всё перепробовал - ни черта так и не вышло. Ладно бы я с другого IP адреса заходил, так ведь нет - с того же самого.
Nagh42
28.10.2022 20:57+4Уже давно обнаружил и сообщил мегафону о небольшом их сервисе, который позволяет легко проверить баланс любого абонента мегафона по номеру телефона:
https://money.megafon.ru/money-transfers/mobile-to-mobile
Откуда - вводите номер абонента мегафона, Куда - любой другой номер, а дальше в сумме подбираете циферки, пока не перестанет писать "недостаточно средств на счёте".
Мегафон на моё сообщение пожал плечами и забил.
vikarti
29.10.2022 09:37И реально работает а не влетает бан по IP на x часов после y попыток?
Nagh42
29.10.2022 09:59Я же ссылку оставил, можете сами попробовать. Тут же не "взлом" какой-то формы, а её штатное поведение, как в примере с аутентификацией по адресу электронной почты кто-то подумал, давайте пользователю сообщать, что у него денег на счёте недостаточно для перевода, чтобы он не получал отказ в транзакции после ввода кода из смс. Удобно же? Ну а то, что сервис не требует аутентификации и номер можно вбить любой, мелочи же? =) Да и кому он нужен, ваш баланс, да? =)
KrivisKrivaitis
30.10.2022 07:41Уже давно обнаружил и сообщил мегафону о небольшом их сервисе, который позволяет легко проверить баланс любого абонента мегафона по номеру телефона:
У них с Yota это семейное.
В чате с их поддержкой не происходит авторизации, кода из смс или чего-то подобного, поэтому можно узнать, например, баланс любого абонента, сказав, что деньги не дошли и назвав номер интересующего абонента.
Moskus
28.10.2022 22:00+2Служба поддержки Ancestry.com (которая работает, сюрприз, через SMS, а не через веб-чат или email) сходу при обращении с технической проблемой (bug report-ом) требует личные данные (имя, телефон, часть адреса). А потом, внимание, инициирует доступ к вашему аккаунту (даже если проблема не связана с конкретным пользователем) и требует сказать им одноразовый пароль, пришедший вам по SMS, запрошенный ими от вашего имени.
USPS.com позволяет отключить двухфакторную аутентификацию без авторизации (повторного ввода credentials) этого действия.
RranAmaru
29.10.2022 00:16+18Ок, поделюсь )
Работал в одной аутсорсинговой конторе. К нам обратилась одна немелкая компания занимающейся прогнозированием и всякой аналитикой для бизнеса, а также выполняющей некоторые госсаказы на туже тему. Вот именно в такой госзаказ для одного министерства меня и угораздило.
Вначале пришло паническое письмо от менеджера проекта, что-то в духе того, что у них дедлайн через 10 дней, что все нужно сделать еще вчера, и, что сейчас админы дадут мне доступ к TFS, и к концу недели нужно закончить, т.к. у них начнется тестирование.
Потом, пришло грозное письмо от тамошней СБ (службы безопасности) где мне расписали свои требования к безопасности и заодно постращали разными карами в случае разглашения и т.п. Впечатлился, проникся, осознал, о чем и написал им в ответном письме.
Далее выяснилось, что в целях безопасности, сервер БД у них изолирован от интернета и работает на на виртуальной машине в их дата центре, поэтому я не могу работать на своем компьютере, а также должен работать на виртуалке через rdp (удаленный рабочий стол). Мои робкие возражения, что я нахожусь вообще в другой стране за 1000 км и из-за лагов кодить будет невозможно, были сходу отметены, - мол, канал у виртуалки 100 Мбит и никаких лагов быть не может! И у них все разработчики так работают... [Пошел за фейсплмовым маслом].
(Причем тут вообще толщина канала, когда речь идет о пинге? И зачем было так прятать сервер БД, неужели это копия боевой базы с реальными данными?) На вопрос "чем не устроил VPN?", ответили что, мол, руководство так решило. Ну, ладно, хозяин - барин.
Жду url/логин/пароль от rds. Наконец, приходит письмо с docx вложением с длиннющей инструкцией в картинках. Оказывается, в виртуалку меня так просто не пустит, нужно поставить на своей машине сертификаты (пароль от файла с сертификатом прилагается), затем через их шлюз (еще один логин/пароль) нужно подключиться к виртуальной машине (третий логин пароль), а уже на виртуалке нужно снова поставить сертификаты и только тогда через прокси сервер (четвертый логин/пароль) можно подключиться к tfs (пятый логин/пароль) и скачать, наконец, исходники. [Вылил на голову бутылку с фейспалмовым маслом].
Тот факт, что это письмо со всеми сертификатами, логинами и паролями пришло обычным мэйлом и это был где-то 5-й форвард (админ->начальник СБ->руководитель проекта->менеджер->мой начальник->я) через кучу ящиков, в том числе gmail и yandex, их службу безопасности почему-то не смущало.
Пытаюсь подключиться - не пускает. Оказывается меня еще не авторизовали на шлюзе, о чем и пишу им в скайпе. Через часа три (которые, видимо, понадобились чтобы добраться до админов по цепочке из кучи начальников) наконец, прошел первый рубеж обороны - шлюз пустил, но теперь не могу зайти в виртуалку. Снова пинаю по скайпу. Начались пляски с бубном: а попробуйте так, а попробуйте эдак. На следующий день админы дали новую виртуалку, в которую вошел с первого раза.
Вообще-то я ожидал, что дадут клон виртуалки с уже установленой средой, либами и т.п. и можно будет сразу приступить к работе. Ага! [Пошел за губозакатачной машинкой] Дали девственно чистую виртуалку со свежеустановленной триальной Win7. Причем ни дистрибутивов среды IDE, ни гита, ничего. И, видимо, для абсолютной безопасности отключенную от сети вообще. [Открыл новую бутылку с фейспалмовым маслом].
Наконец, в конце недели (помним о дедлайне, да?), админы настроили сеть, залили дистрибутивы и даже некоторые из них поставили. Весь оставшийся день ушел на доустановку и настройку.
Сервер tfs также без админского пинка не пускал, как, собственно, и сервер БД (кстати, шестой логин/пароль). И наконец, за 3 дня до дедлайна, все откомпилилось, запустилось и получилось войти (седьмой логин/пароль) в их систему.
О дальнейшей работе, я уж умолчу, там тоже было немало "веселого". Скажу лишь, что все полимеры (читай "дедлайн"), естественно, проколебали, и я получил гневное письмо от тамошнего начальства с требованием отчитаться чуть ли не за каждый час. Данный текст и есть тот самый, немного приукрашенный, отчет. После него, менеджер внезапно пропал из скайпа и 2 недели на мои письма вообще никто не отвечал.
Дальнейшее мне неизвестно, однако, больше никаких претензий в мою сторону высказано не было, и, в конце-концов, договор с этой конторой был расторгнут.
Upd: Спустя 4 месяца. Случайно узнал, что этот проект таки дорос до продакшена. Из любопытства заглянул. Зашел с девелоперским логином паролем на продакшен! А это, на минуточку, внутренний сайт одного из министерств со всей их внутренней документацией! Быстро вышел. Но похоже, никто и не заметил. [Срочно куплю крупную партию фейспалмового гуталина!]
PS: По понятным причинам название компании, министерства и страну не указываю.
Yoker
29.10.2022 13:51+2Это заслуживает отдельной статьи, это намного больше, чем просто комментарий!
Моих нервов не хватило бы.
Olgeir
29.10.2022 23:25+2Работал на государственную контору.
Все ваши приключения объясняются ровно одним - глубоким наплевательским непрофессионализмом сотрудников гос. контор, причём это какой-то воинственный непрофессионализм, знаете даже с каким-то налётом лихости «да мы не знаем и знать не хотим, и что ты нам сделаешь?».Я общался с людьми, которые проработали 10-15 лет с одной и той же системой и понятия не имели как она работает. Меня такая упертая ограниченность вводит в глубокую и печальную озадаченность.
И оправдывать такое положение вещей низкими зарплатами никак нельзя.
А знаете, что самое ужасное? Те жильцы этого болота, кто высидел достаточно, становятся начальниками и начинают на большую площадь распространять свои унылые криворукие флюиды. Только теперь флюиды имеют форму указаний, положений, инструкций, регламентов и, следовательно, становятся обязательны к исполнению.
karavan_750
29.10.2022 05:20+8Году примерно в 2013-14 побывал в одном гос.учреждении некоторой страны.
Секьюрность здания требовала согласования моей персоны где-то наверху.
Задача была простая - "установить одинэс на предоставленную виртуалку". Работы выполнил под присмотром сотрудника за спиной.
Самое веселое случилось месяца через два, когда "что-то где-то сломалось и перестало работать", со мной созвонились и продиктовали номер teamviewer и пароль для удаленного доступа...
Еще через месяц, соблюдая предельную осторожность, я проверил, что teamviewer доступен и пароль валиден...
Kwisatz
29.10.2022 06:08+4Ситуация на КПДВ не фотошоп, я натыкался на такое, как минимум дважды.
По безопасному входу, честно говоря, перечитал трижды не мог поверить глазам. Я такое тоже делал, в 2012 году на мобилках начиная с c100, но там был миллиард проблем в виде отсутсвия куков, аггрессивного кеширования итд итп И то все делалось с полным осознанием глупости и безысходности и с пачкой лекарств для сглаживания проблем, но в 2022 году...
Я бы в любой такой список добавил политику обязательной смены паролей раз в n дней. Обсуждали уже миллиард раз но народ все равно очень любит это дело
BobArctor
29.10.2022 09:09+1Справедливости ради "секретные" вопросы не так плохи если использовать их как key:value, а не отвечать на них честно.
Nagh42
29.10.2022 10:22Так же плохи, зачастую никто же не беспокоится о безопасном хранении ответов? Это же не пароль?
Тут просто нужно понимать, что есть проблема "забывания паролей". Нужно как-то уметь их сбрасывать. Для этого нужно как-то валидировать инициатора сброса, когда у нас нет никаких персональных данных, мы должны их эмулировать. Вот тут и были придуманы вопросы. И когда вы используете их правильно, а именно: давая пользователю ввести свой вариант вопроса, храня ответы так же как пароли, безопасно и в виде хеша; ограничивая возможность перебора, N попыток и велком в саппорт; а самое главное - используя этот способ, только когда у вас нет никаких других вариантов установить подлинность владельца аккаунта. Ну или, если это просто еще один "заборчик" для доп.защиты в многоуровневой проверке (например как "кодовое слово" в банках).
Тут нужно понимать, что проблема не столько в методах, сколько в том где и как их реализуют и используют.
DaneSoul
29.10.2022 13:53Очень жаль, что не используется указание двух е-мейлов при регистрации, чтобы при утере доступа к одному из них (проблема необоснованных блокировок обсуждалась не однократно) можно было воспользоваться резервным (который естественно на другом сервисе и может даже в другой стране).
IT-Boss
31.10.2022 09:00+1"Вы не можете поставить этот пароль, так как его уже поставил себе user123", просто смешно. Они бы ещё рассылку в сообщения бы устроили. Ваш друг сменил пароль, теперь его пароль: ... Не хотите ли вы тоже его сменить???
Было бы интересно
XsamX
31.10.2022 09:00Иногда сильно бесят конторы, которые диктуют юзеру, какой именно у него должен быть пароль, тем самым давая подсказку злоумышленникам.
Например - гипотетический злоумышленник, являющийся клиентом моего банка, АБСОЛЮТНО ТОЧНО знает максимальную длину паролей в интернет-банкинге, т.к. мой банк в невообразимой мудрости своей решил ограничить длину пароля для всех клиентов. Ещё злоумышленник АБСОЛЮТНО ТОЧНО знает список разрешённых символов и что в любом пароле есть КАК МИНИМУМ одна цифра, одна строчная и одна заглавная буква. Причём логины (которые невозможно поменять) банк раздаёт сам по одному и тому же принципу...что-то вроде "первые четыре буквы имени + год рождения".И это крупный международный банк. Я по началу отказывался в это верить. Но вот как есть.
Ronkosa
Месяц назад был в HOFF в Московском Аффимоле (возможно такие терминалы есть не только там), там стоит терминал для оплаты без кассира, для добавления к заказу карты лояльности можно ввести просто номер телефона, внезапно после ввода номера телефона на экране, без всяких проверок типа смски на телефон, отобразились данные с карты лояльности, включая "фамилию имя отчество" вот вам и советский телефонный справочник в 2022 году
vconst
Однажды зашел в магазин пчелайна и стал тыкать в планшет на витрине. Открыл браузер и увидел там профиль вконтакте какой-то девчонки )))
Позырил пару альбомов, поменял ей статус на «я никогда больше не буду логиниться в магазинах» и вышел из профиля ))