venerdì 31 agosto 2012

Truffe Virus, ingegneria sociale, storie vittima e di sensibilizzazione della comunità


Come molti lettori e seguaci sapranno, ho avuto un po 'di divertimento con i truffatori in passato. Ricordate quei ragazzi che si richiama mentre si sta seduti per la cena e dirti che il tuo computer è dotato di tutti i tipi di cattivi in esso? Sì, quei ragazzi.
I post del blog che ho fatto è stata una parte della storia e inevitabilmente l'uno maggior parte delle persone hanno familiarità con, ma ci sono alcune altre cose che accadono che mi pare alcuni di voi sarebbe interessato a, tanto più che aiuta a capire il quadro generale .
Il catalizzatore di questo post è venuto dopo di ottenere un certo tempo di trasmissione buona settimana scorsa. Una cosa che può essere fatto facilmente e ha un impatto molto significativo è quello di sensibilizzare i popoli "(bastone in giro - ho intenzione di chiedere un po 'di aiuto con questo). La scorsa settimana sono stato intervistato da Today Tonight (un cittadino australiano spettacolo di attualità), che in onda alle 18:30 il Venerdì. Non so i numeri esatti spettatore, ma suppongo le sue figure sette. Ecco il video (clic per accedere al loro sito):
Oggi Stasera il video
Come risultato di questo show, numerose persone si resero conto che avevano avuto e prontamente cancellato pagamenti. Tornerò ad alcuni esempi di questo breve, ma prima, vorrei provare a fare un po 'di luce sulle tattiche di questi ragazzi stanno usando perché è un po' più intelligente di quello che molti stanno dando loro credito.

Capire ingegneria sociale

Una delle cose che sento spesso è "Wow, che avrebbe dovuto essere stupido a cadere per questo". Allo stesso modo, le persone che ricadono spesso per parlare di come si sentono sciocco. Quest'ultimo può essere vero, la prima non è e questo perché si tratta di un caso di molto intelligente ingegneria sociale. Mi spiego meglio:
Quando si parla di sicurezza nell'era digitale, noi (me compreso) di solito parlare di sistema di sicurezza. Crittografia, SQL injection e cross site scripting sono tutti i concetti essenziali per capire quando si costruisce sistemi sicuri ma sono tutti facilmente superata da elusione sociale:
Rompere una chiave crittografica con 5 dollari
Ok, non è molto sottile "engineering", ma si ottiene l'idea. Kevin Mitnick dà una visione più precisa nel suo libro intitolato The Art Of Deception - Controllare l'elemento umano della sicurezza :
Perché attacchi di ingegneria sociale così tanto successo? Non è perché le persone sono stupide o la mancanza di buon senso. Ma noi, come esseri umani, sono tutti vulnerabili a essere ingannati perché la gente può sbagliare la loro fiducia, se manipolate in un certo modo.
L'ingegnere sociale anticipa sospetto e resistenza, ed è sempre pronto a trasformare la sfiducia in fiducia. Un buon ingegnere sociale prevede il suo attacco come una partita a scacchi, anticipando le domande potrebbero porre il suo obiettivo in modo che possa essere pronto con le risposte corrette.
Una delle sue tecniche comuni comporta la costruzione di un senso di fiducia da parte della sua vittima. Come fa un uomo con fare ti fidi di lui? Fidati di me, che può.
Permettetemi di cercare di illustrare come questa fiducia truffa guadagni utilizza quindi per sfruttare la vittima. Esso si articola in sei fasi e vedrete gli stessi sei fasi in ognuna di queste truffe di virus:
  1. Stabilire la credibilità: La truffa inizia sempre dal chiamante la pretesa di rappresentare Microsoft. Sono i "Windows Support Department" o la "Official Partner" o talvolta semplicemente Microsoft se stessi. Il truffatore sostiene inoltre che si dispone di un computer Windows e il più delle volte, questo sarà corretto. Sono anche chiamando la vittima sul proprio numero di casa in un'ora in cui sono di solito di relax - sono nella loro zona confortevole e non come allarme o come sospetto in quanto sarebbe normalmente.
  2. Creare un senso di urgenza: Il truffatore passa poi a fare in modo che la vittima si siede e presta attenzione, creando un senso di urgenza. Di solito questo è sulla falsariga di "Abbiamo appena stato informato che il PC ha un virus" o "Abbiamo ricevuto una segnalazione di attività sospette". Questo, ovviamente, ha bisogno di attenzione immediata e dato il truffatore ha già stabilito la credibilità, non c'è ragione per non crederci.
  3. Instillare la paura: Questa fase è necessario in quanto il timore è quello che il truffatore in seguito capitalizzare. Faranno parlare di tutte le cose brutte i file di virus o malware farà al computer ei vostri dati personali. E 'questa paura che farà sì che la vittima per iniziare gettando al vento la prudenza.
  4. Dare la vittima posteriore un certo controllo: Urgenza e la paura per sé non sono sufficienti, però, a guidare davvero il punto a casa il truffatore aiuta la vittima a vedere i "virus" per se stessi. Questo è dove il truffatore dirige la vittima al visualizzatore di eventi in cui vengono spiegate le avvertenze perfettamente innocui ed errori come attività dannose.
  5. Creazione di sollievo e gratitudine: Questa fase prevede due attività distinte: in primo luogo, il truffatore prende il controllo del PC. A rigor di termini, le mani della vittima per il controllo utilizzando LogMeIn ma ovviamente ormai sono stati veramente bene e condizionato e non hanno alcun motivo per non lasciare che il ragazzo che sta per salvarli trovi Poi il truffatore "risolve" i problemi che può significare qualsiasi cosa, da l'esecuzione di software libero come Care System Advanced da IObit o anche solo l'eliminazione dei file di sistema che essi affermano di essere virus.
  6. Commercializzare la truffa: Ormai la vittima è stata convinta che sono stati "salvati" e sono felice di pagare il truffatore per i servizi resi. La quota sarà diverso, ma di solito si va da $ 150 a più 100 dollari che comprende "un sostegno continuo".
Quando si guarda la truffa in questa luce - come un esercizio di cura artigianale di ingegneria sociale - che la posizione di "stupido come avete bisogno di essere a cadere per questo" cambia rapidamente. Che cosa potrebbe anche aiutare a capire di più su questa truffa è sentito dalle persone che sono già stato punto da così mi permetta di condividere un paio di storie.

Nigel nel Regno Unito

Anche se ho il permesso di riprodurre questi messaggi, ho intenzione di cambiare i nomi delle persone. A parte che questi sono del tutto originali, conti legittimi del mondo reale da parte delle vittime della truffa.
Nel primo caso, perché è nel Regno Unito, che significa che è Nigel (che sarebbe Bruce se era un australiano!). Nigel mi ha scritto la settimana scorsa dopo aver ottenuto un po 'sospetto e trovare il mio blog:
Cordiali saluti, io non sono, (o almeno non ho pensato prima di oggi), il tipo di persona che sarebbe caduto per questo tipo di truffa. Tuttavia, come ho detto nel mio post, hanno ottenuto solo perché ho appena riscontrato un errore della banda larga e sono stato in attesa di una risposta dal mio ISP, (British Telecom).
Il telefono squillò una quindicina di minuti dopo aver messo giù il telefono dal centro BT chiamata, (in India). Un uomo ha detto che stava suonando il mio "problema del computer", che ho scambiato per il call-back da BT.
Perché ho lasciato ottenere l'accesso remoto? Beh, la parte intelligente di questa truffa è che si punta a log di Windows che hanno allarmanti simboli che cercano insieme la voce di registro, che sono tutti ragionevolmente benigna. Hanno poi hype-up questa "minaccia" con un po 'di suono piuttosto impressionante, (per noi utilizzatori non professionali di PC), le minacce e poi trovi
Una volta dentro, devono depositare alcuni file fasulli sulla vostra macchina, come i file di log / mi hanno mostrato, sono introvabili adesso.
La cosa che mi rende ancora più pazzo, (a me), è che ero costantemente confutare i tori ** t. Per esempio, ho chiesto perché tutte le voci nel registro mi stavano mostrando, (per dimostrare che era stato violato ... e suppongo che era), aveva la stessa data e ora.Ha solo detto "Oh, è perché non aveva scaricato il log degli errori fino ad oggi ed è per questo". Non sono riuscito a fargli la domanda dollaro $ 64K tuttavia, "Chi ti ha detto di chiamare me"?
Ho anche chiesto: "Perché sto pagando di eliminare questi file? Posso solo spegnere la mia macchina ed eseguire il software di protezione antivirus e rilevatore di malware ". Poi, (ancora una volta), ha dato alcuni motivi piuttosto impressionante che suonano, (almeno per me), perché questo non avrebbe funzionato.
Voleva pagare tramite Western Union ma ho detto che non era contento di questo e voleva usare Paypal, cosa che ho fatto. Ho contattato Paypal ma hanno semplicemente gettato la sicurezza "porte" sul mio conto, ma ha promesso di non fare nulla circa i truffatori come avevo permesso loro di accedere alla mia macchina, di mia spontanea volontà. Il che è abbastanza giusto suppongo.
Ho fatto vedere quello che stava facendo sul mio PC da remoto e nulla sembrava particolarmente dannoso, anche se ora sono in uno stato di panico che ha ottenuto abbastanza informazioni dalla mia macchina di avviare una qualche forma di furto d'identità.
La "fine" è venuto quando ho visto lo disinstallare AVG, (che ho reinstallato BTW), e installare la copia gratuita di Malwarebytes. Questo era qualcosa che potevo fare, (ovviamente), così gli ho chiesto perché questo pezzo standard di software è stato utilizzato, per questo inamovibile "clean-up"? Ha dato qualche ragione, fatto le sue scuse e ha detto che sarebbe andato e che avrei dovuto lasciare Malwarebytes in esecuzione fino al completamento. Poi scomparve.
Ora ho cambiato tutte le password su tutti i miei conti on-line, da bacheche alla mia banca. Sto ancora discutendo se non contatto con la mia carta di credito. Anche se tutte le password sono stati modificati, sono timorosi che avrebbero potuto in qualche modo riuscita ad impossessarsi della mia carta di credito, data di scadenza e le cifre di sicurezza dalla mia macchina. Ho anche contattato British Telecom per dire loro quello che è successo. Sono molto sospetto che minuti dopo la chiamata dal un call center indiano, ricevo una chiamata ... non richiesto da un altro call center indiano. Almeno BT viene messa a conoscenza, ma, naturalmente, tutto questo sarà speculativo e poco dimostrabile.
Infine, il tuo blog mi ha fornito alcune risposte e una grande quantità di comfort freddo, quindi grazie per questo. Intendo ora avvertire quante più persone è possibile che io, come la mia penitenza tecnico per essere stato così stupido da cadere per una truffa come questa.
La cosa che vuole veramente la gente a portare via da questo è che Nigel è chiaramente articolato e che, in altre circostanze, di norma maggiore cautela. Si noti anche come il truffatore è persistente di fronte a una sfida, sempre pronto con una risposta alle preoccupazioni tipiche di una vittima aumentare.
Naturalmente l'altro comportamento preoccupante è la rimozione del software di sicurezza legittimo, come AVG. Una volta che il truffatore fa seguito installando la versione gratuita diMalwarebytes (anche legittime, ma allo stesso modo, probabilmente inutile), che hanno "salvato" la vittima e hanno eseguito un servizio che può sfruttare.
Ma c'è un lato positivo a questo ed illustra quanto sia preziosa la campagna di sensibilizzazione è:
Qualche buona notizia. Paypal è venuto attraverso e si fermò il pagamento ai truffatori!
Lo so per certo, in quanto ho ricevuto una chiamata pochi minuti fa, (0915 UK), dai truffatori che si lamentano che il pagamento era stato fermato.
Questo mi ha dato l'opportunità di sfogare la mia milza. Devo dire che erano ancora molto persuasivo, "ho intenzione di perdere il mio lavoro" e "Tu sei il trucco, non pagare per i servizi resi", ecc, tuttavia, Once Bitten Twice Shy e questa volta, non solo Ho alcune domande pertinenti della mia, ma mi ha anche dato la possibilità di comunicare loro che avevo cambiato tutte le mie password, dati bancari, ecc Ho anche registrato con Experian (una società di controllo del credito) che hanno un cane da guardia furto d'identità e regime di assicurazione. Si tratta di 7 £ al mese, ma quale pace prezzo della mente?
Ancora una volta, devo ringraziare te e il tuo blog. Il video della vostra interazione con i truffatori mi tolse il respiro, tale era l'identico "modus operandi" con il mio caso. E 'stato il tuo blog che mi ha galvanizzato in azione, di contattare Paypal. Sono stato, (fino a quel momento), ancora il dithering per vedere se queste persone erano legittimo o meno.
Grandi notizie per Nigel, ma mostra anche il fiele del truffatore, anche dopo che sono stati presi alla sprovvista, hanno la pelle di richiamarlo per cercare di recuperare la "loro" soldi.Incredibile!
Ora, a quanto pare, Nigel da allora ha avuto la sua carta di credito utilizzata per l'acquisto di Skype fraudolenta, subito dopo la truffa è stato tirato fuori. Questo non era account Skype di Nigel e la sua banca in realtà sollevato la questione con lui come parte del loro processo di rilevamento delle frodi. Purtroppo Nigel aveva memorizzato i suoi dati della carta di credito - con un certo numero di password - in un file in chiaro sul suo desktop. Naturalmente la preoccupazione più grande che si pone è che non solo sono i truffatori che rubano denaro per i "servizi resi", che stanno rubando anche i file personali. Il danno che si potrebbe fare con il tipo di informazioni che la maggior parte di noi ha in formato digitale da qualche parte è limitata solo dalla fantasia.
Questo è molto importante e va ben oltre il (relativamente) piccolo inconveniente di perdere solo qualche centinaio di dollari, i truffatori si utilizza l'accesso guadagnano per rubare informazioni personali dalle loro vittime .

Nancy il pensionato

Questo caso è probabilmente più demografica si potrebbe immaginare come normalmente soccombere alla frode informatica, ma Nancy non è l'utente medio di computer di anziani.Continua a leggere:
Il mio nome è Nancy, ho 71 anni e un autodidatta utente di computer. Ti ho mandato un messaggio su facebook e improvvisamente questa e-mail è venuto sul mio schermo, quindi eccomi di nuovo qui.
Dopo aver visto il programma e vedervi davanti al computer mi sono reso conto che questa folla e mi ha truffato un paio di giorni fa. Erano davvero buono convincermi che ho avuto un problema e che potrebbe risolvere il problema. Tutte le informazioni che mi hanno dato sembrava molto legittima così stupido mi è andato per questo. Anche ripresero la loro offerta di un servizio di durata di finestre con uno sconto del pensionato.Costo $ 230. Mi hanno dato un numero di Adelaide -
08 72001191 per chiamare se ho avuto problemi.
Dal momento che vederti in TV che ho cancellato la mia carta di credito dicendo la banca della truffa. Non so se in tempo per fermare il pagamento.
Dopo aver sentito che sono molto spaventato e non sono sicuro di cosa fare dopo. Devo andare alla polizia? Affari dei consumatori? Trova un tecnico di computer? Si può fare qualcosa per fermare l'accesso futuro?
Potete per favore darmi qualche consiglio? Molto felice di pagare la tassa se ​​si può aiutare. Sono situato in un sobborgo di Newcastle. Il mio numero di telefono è [redatto] .O rispondere via e-mail.
Tutto ciò che si può fare per aiutare me sarebbe veramente apprezzato.
Ho dato Nancy una chiamata ieri e abbiamo parlato per circa 40 minuti. Aveva in realtà solo presentato una segnalazione errori a Microsoft (sapete quelli - un'applicazione si blocca quindi chiede se si desidera inviare resi anonimi i dati a MS), così lei naturalmente ha tratto la conclusione che i due eventi sono stati collegati.
Durante la truffa l'attaccante ha fatto di tutto per ripulire il PC di virus - hanno anche eseguito "defragler", come ha fatto riferimento ad essa. Poi, dopo aver pagato per il servizio e salvato le ricevute della carta di credito a livello locale, li hanno cancellati. Poi le ordinò di lasciare il suo PC mentre continuavano "fissare" e di non preoccuparsi, l'avevano arrestato quando ebbero finito. Non hanno mai l'ho chiuso in modo Nancy chiamato il numero che mi hai mandato e li lasciò un messaggio in segreteria. Questo è il modo in cui ha risposto:
con il dovuto rispetto, ci scusiamo con voi per il inconvinience dal us.Actually il vostro portatile non è stato chiuso, perché, i nostri ingegneri sono stati ancora lavorando it.but non preoccuparti signore, il vostro servizio è stato completato.
E per quanto riguarda le ricevute di pagamento, il entrate ha rimosso automaticamente mentre i file spazzatura sono stati la rimozione, ma non ti preoccupare,
ci sarà presto sen te le copie delle ricevute.
Bastards. Questo è stato inviato da customercare.sol1 @ gmail.com . L'indicizzazione di Google, fatevi avanti! Il fatto è che Nancy è abbastanza abili a usare il PC e nella nostra discussione spesso dimostrato una buona consapevolezza di molti concetti che sarebbe estraneo alla maggior parte del pubblico metà dei suoi anni. Nancy semplicemente ceduto a una truffa intelligente di ingegneria sociale, ed è ora in procinto di tentare di recuperare il denaro e proteggere il suo PC.

La miglior difesa è la consapevolezza

Questo è in realtà un po 'scoraggiante, ma ad oggi, nessuno è stato effettivamente in grado di fare qualcosa di concreto per fermare i bastardi che eseguono queste truffe. E intendo proprio bastardi plurale così, questo non è solo una organizzazione.
Ho provato a contattare il gateway di pagamento che ho visto usato - nessuna risposta. Ho avuto una serie di colloqui con LogMeIn sia via email e per telefono (il loro software è quello che ho sempre visto usare per controllare in remoto il PC), ma chiaramente sono troppo preoccupati per l'impatto sui clienti legittimi di inserire un avvertimento sul loro sito. Ho avuto discussioni con AusCERT e (indirettamente) con la polizia federale australiana, ma perché le truffe sono originari all'estero, è al di fuori della loro giurisdizione (si spera l'ultimo che ho registrato sarà un'eccezione perseguibile).
Ma una cosa che ha effettivamente funzionato molto, molto bene ultimamente è YouTube.Ora ho quattro video lassù e la più lunga - truffa i truffatori - catturare i truffatori call center virus in flagrante - ha ora 130.000 visite (si tratta di un video di 1 ora e 22min per l'amor del cielo!). Hanno anche notevolmente aumentato nelle ultime settimane (si tratta di visite al giorno):
Vista truffe del video Scammer
I commenti di questi video stanno dicendo e tendono a suddividere in tre diverse categorie:
  1. Abuso razziale: Sì, i chiamanti sono di solito indiano e purtroppo molti YouTubers prendo come un motivo per andare in città sulla cultura nel suo insieme (nota a sé - non guardare ai commenti di YouTube per la maturità e la comprensione!)
  2. Divertimento in disgrazia scammer: ho questo - vedere qualcuno che si attacchi un truffatore poi vederli provare a vite senza fine la via d'uscita è divertente (chiaramente penso di sì!)
  3. Rapporti di essere truffati: Un sacco di persone a trovare i miei video e blog dopo essere stati loro stessi truffati. Spesso è solo dopo aver visto questo materiale che ci si possa capire che sono stati avuto.
In tutto, i quattro video su YouTube scammer hanno circa 170.000 visite più i post del blog sono in esecuzione a circa 70.000 visite in modo che il problema è sempre un sacco di occhi su di esso. La cosa grandiosa di questo è che non è niente di più di parola digitale di bocca e, probabilmente, un po 'di natura virale di YouTube.
Inoltre, naturalmente, c'è l'episodio di stasera Oggi ho parlato in modo tutto sommato mi piacerebbe pensare che siamo da qualche parte nei milioni di persone che sono state esposte a questa truffa. Ma è chiaro che questo non basta in quanto rort continua e la gente dietro tenerlo snaring nuove vittime. Più consapevolezza è necessaria ...

Si prega di condividere generosamente

Condividi questo post. Condividi post precedenti. Condividere i video. Non importa se è il mio contenuto o di qualcun altro, basta ottenere la parola fuori là. Speriamo che le informazioni in precedenza sul social engineering e le storie delle vittime contribuito a dimostrare che non c'è bisogno di essere stupido per innamorarsi di questa truffa né è necessario avere alcuna idea su PC, basta essere vulnerabile ad intelligente ingegneria sociale - e questo è tutto di noi.
Molti di voi leggendo questo sarà già a conoscenza della truffa o sarà più tecnicamente inclinato e meno probabilità di cadere per esso, ma si sa le persone che hanno maggiori probabilità di essere vittime. Meno persone esperte di computer o semplicemente persone che hanno più probabilità di prendere una posizione di fiducia nel loro prossimo. Queste sono le persone che hanno bisogno di aiutare ad educare soprattutto per se stessi, ma in secondo luogo, se sei un tecnico, sai chi andranno a rivolgersi nel caso di non ottenere truffati!

mercoledì 29 agosto 2012

Perché XSS è una cosa seria (e perché Tesco deve prestare attenzione)


E 'stato tre settimane fa, ora che ho scritto nel sito Lezioni di sicurezza anti-patterns da Tesco dove ho fatto notare tutta una serie di pratiche di base, difettose che messo a rischio la sicurezza e la privacy dei clienti. Queste pratiche in sé e per sé erano (sono) male, ma quello che sembrava davvero di sparare un sacco di gente è stata la risposta di Tesco quando l'ho fermato con loro:
Twitter: @ troyhunt password vengono memorizzate in modo sicuro.  Stanno solo copiato in testo normale quando incollato automaticamente in una mail di promemoria della password.
1883 retweet più tardi, numerosi articoli dei media e un coro di professionisti del software e della sicurezza denunciando l'approccio Tesco alla sicurezza (e il servizio clienti, in questo caso) tra cui uno dei cervelli di sicurezza più autorevoli del settore relativi alla loro sicurezza password come "schifo" , e nulla è cambiato. Una delle cose che non è cambiata è la loro affermazione costante che non c'è niente da vedere qui - problemi di sicurezza, si muovono lungo ora "
Continua l'affermazione che Tesco sicurezza è "robusto"
Questo era proprio la settimana scorsa e ben dopo la teoria "robusto" era stato veramente bene e respinto da un gran numero di persone che effettivamente sanno cosa solida sicurezza sembra (o almeno sapere che cosa non sembrare). Naturalmente questa stessa risposta in scatola è stato utilizzato molte, molte volte le persone che sollevano preoccupazioni legittime, quindi sono sicuro che sia nulla contro Craig in particolare.
Ma Tesco avere problemi di sicurezza che vanno al di là di quanto ho scritto, ben al di là. A quel tempo, ho ipotizzato che questo era ricorda il Billabong situazione in cui ci sono stati numerosi cattive pratiche di sicurezza facilmente osservabili in aggiunta a quelli che hanno permesso a un utente malintenzionato di rubare 21.000 dettagli dell'account. Quindi non fu una sorpresa quando la gente ha iniziato commentando le altre vulnerabilità come SQL injection (non verificato) o personalmente mi si invia dettagli di rischi quali cross site scripting (verificato). E 'stata anche una sorpresa di sentire che molte persone aveva sollevato problemi di sicurezza con Tesco nel corso degli anni, ma senza alcun risultato. Dopo tutto, che avevano "mai stato violato" (la citazione) e quindi le cose devono essere resistenti, giusto?
Vorrei arrivare al punto di questo post, ho avuto qualcuno da Tesco in contatto con me in privato dopo di che ho chiesto per alcuni contatti tecnici che potrebbero trasferire informazioni. Non ho intenzione di divulgare pubblicamente i nomi o posizioni pubblicamente, ma quello che posso dire è che mi hanno dato i dettagli di più persone in ruoli di alto livello di tecnologia, dopo che ho poi trasferiti (anonimi) dettagli del cross site scripting (XSS ) il rischio che è stato inviato a me. E 'stato due settimane e mezzo fa, quindi quasi una settimana più tardi, dopo aver ricevuto nessuna risposta, ho seguito sul messaggio originale.Niente. Nada. Zip. E la vulnerabilità è ancora lì.

Quello che c'è da sapere sul XSS

A questo punto voglio smettere di parlare di Tesco in modo specifico e cambiare questa situazione a un posto più costruttivo, le cose che dovete sapere su XSS. Ho intenzione di avvicinarsi a questo un po 'diverso e di fornire un video in quanto richiede un po' di ingegneria sociale che è meglio illustrato in tempo reale. Un certo numero di rischi che vedete in questo video sono presenti sul sito web di Tesco, ma allo stesso modo, alcuni di loro non lo sono. Chiaramente non ho intenzione di rivelare qualsiasi dettaglio che permetterà a qualcuno di andare fuori e coinvolti in attività pericolose, ma quello che sto andando a fare è mostrare come XSS possono essere utilizzati per provocare gravi problemi ed è quello che mi auguro Tesco (e altri) può iniziare ad apprezzare.
Proprio sul browser compatibilmente per quella XSS: IE9 e IE10 sono in realtà abbastanza buono e vi mettono in guardia senza exexuting esso. Tutti gli altri browser testati - Chrome, Firefox e Safari (desktop e iOS) - sarà lieto di analizzarlo e consentire l'exploit che si verifichi.

Riassunto

Come ho detto prima, non tutti i rischi che ho evidenziato nel video possono essere presenti sul sito web di Tesco e ho volutamente evitato riproducendo le circostanze specifiche in cui sono vulnerabili. Alcuni potrebbero sostenere che un tempo sufficiente è passato da quando la divulgazione responsabile di pubblicare i dettagli, ma io non credo che sia necessario a prescindere da come frivolo Tesco ritengono che il rischio è. Ma certamente ci sono abbastanza di questi rischi di essere molto interessato, però, decisamente più preoccupato di lasciarlo slegato per giorni per non parlare di settimane.
È interessante notare, sembra che l'approccio piuttosto unico di Tesco per la sicurezza è ora sotto esame proveniente dal l'Ufficio Informazioni commissari nel Regno Unito . Mentre una dichiarazione del tipo "Siamo a conoscenza di questo problema e sarà l'avvio di indagini" è ben lungi dall'essere un atto d'accusa schiacciante, sarà interessante vedere come questo si svolge e se la società potrebbe in realtà essere chiamato questi "schifosi" pratiche.
Per concludere la discussione generale XSS, ci sono davvero due cose fondamentali che assolutamente, positivamente devono accadere, ma spesso non lo fanno:
  1. Tutti gli input devono essere convalidati contro una whitelist di intervalli di valori accettabili. In realtà questo è così importante appare in grandi, grassetto sul mio post su OWASP Top 10 per gli sviluppatori NET parte 2:. Cross-Site Scripting (XSS)
  2. All uscita deve essere codificato per il contesto in cui viene emessa. HTML, gli attributi HTML, CSS, JavaScript, XML, XML ecc attributi non ricevendo il giusto contesto o peggio ancora, non la codifica a tutti può essere disastroso.
Altre pratiche di sicurezza lassiste può essere combinato con XSS per rendere il sito più facilmente sfruttabili cookie che non sono contrassegnati come solo il protocollo HTTP, per esempio. Inoltre, naturalmente, c'è una buona tecnologia vecchia sociale per contribuire a valorizzare XSS riflesse.
Poi c'è il fatto che in termini di vulnerabilità web app, XSS diventa molto, molto disordinato.Come? Beh, per cominciare con browser differenti dell'attrezzo diversi livelli di difesa. Per esempio IE10 protegge contro alcuni di questi esempi precedenti in cui ultima generazione Chrome e Firefox non lo fanno. Poi c'è il fatto che la XSS è solo approssimativamente alla giusta semanticamente HTML, browser spesso consentono markup da analizzare che non dovrebbe essere, per esempio IE6 sarà lieto di analizzare un tag come <IMG SRC = 'vbscript: MsgBox ("XSS") '> che contiene VB Script. Il Cheat Sheet XSS vi darà un senso di come le cose possono diventare oscuro.
Come sempre, siamo tornati alla sicurezza a strati. Un difetto particolare potrebbero non essere troppo grave, ma in combinazione con altri rischi, le cose possono diventare molto brutto molto rapidamente. XSS attenuanti per la stragrande maggioranza dei siti web è semplice - voglio dire molto semplice, almeno per le cose come whitelist e la codifica di output. Il sito utilizzato nel video qui sopra è stato fatto facilmente insicuro come è facilmente reso sicuro e si scarica il tutto da GitHub (compresi i commenti su come fissarlo) dalle risorse di seguito.

Risorse

  1. La base di codice per il sito "robusta" utilizzato nel video è pubblicamente accessibile su su GitHub sotto ShopWithRobustSecurity
  2. Si può ancora vedere in azione a ShopWithRobustSecurity.apphb.com
  3. Il sito che è stato poi utilizzato per i cookie raccolto e credenziali anche su GitHub sotto EvilShopliftingSite
  4. Relazione WhiteHat Security riferimento al XSS essere il rischio più prevalente
  5. Dettagli su verme XSS MySpace Samy sono sul sito SecurityFocus

martedì 28 agosto 2012

Chiamata a freddo truffati ancora una volta - ma questa volta, è il locale


E 'successo di nuovo. Dopo 6:00, numero riservato, accento straniero. Ho sentito questo prima . E ancora prima . Ed ancora prima che troppo . E ancora un sacco di altre volte in cui ho o non l'ho registrare, è venuto su un po 'forte o, uh, ha cercato di insegnare loro alcune parole nuove che non hanno sentito parlare prima.
Ho anche intervistato l'uomo dietro una delle truffe originali (che è senza dubbio stato copiato da altri truffatori) e chiesto LogMeIn per arginare la diffusione della truffa (anche avuto una chiacchierata molto piacevole con loro - ma senza alcun risultato). In breve, ho dato qualche pensiero prima di questo.
Ma c'era qualcosa di molto, molto diverso su invito di questa sera, i truffatori sono (presumibilmente) solo pochi k è lontano da me. Hanno anche lasciato un numero di telefono di Sydney (che verifica alla fine del video) e sapevano il mio cognome quando hanno chiamato. Oh - e un altro tratto singolare - hanno educato. Anche di fronte, Austin (sì, come la spia che ci provava ) mantenuto raffreddare in modo prepotente per lei, signor Powers.
Ecco cosa è successo:
Un paio di note:
  1. Mi scuso con gli spettatori olandesi per macellare la loro lingua. Ho fatto davvero passare un paio di anni che vivono in Olanda, ma 20 anni e gli olandesi è, beh, arrugginito.
  2. La macchina virtuale ho sparato è stato un anno speciale che teneva a portata di mano per la prossima volta hanno chiamato. L'ho configurato in olandese per vedere come ha gestito quando hanno ottenuto il controllo remoto.
  3. Camtasia non era reale felice quando ho esaurito lo spazio su disco e anche se in parterecuperato, ha accelerato l'audio tempo di triple (che ho risolto) e ha perso il video dal 16 e poi un po 'minuto segnato (che non ho potuto risolvere).
  4. Nel caso in cui non si guarda fino alla fine, ho chiamato il numero locale che era rimasto con me e ottenuto attraverso una receptionist. Speriamo che questo sarà sufficiente per perseguire ulteriormente.
  5. Mi hanno anche dato un indirizzo locale e come ho detto prima, è molto vicino a me in effetti. Potrei aver bisogno di prendere un PC per un po 'di persona di sostegno.
  6. Per il bene dei motori di ricerca, il numero di telefono è stato lasciato (02) 8005 4980.
Si apre ora nuove strade multiple di ricorso, ammesso, naturalmente, questi ragazzi sono davvero locale. Per cominciare, c'è il Do Not Call Registrati che sto quotata e (locale) le società che abusano questo faccia multe fino a 250.000 dollari. Se veramente sono locali, che otterranno un follow-up molto presto.
Sarò anche tornare al mio contatto a LogMeIn, che era fantastico di parlare l'ultima volta, anche se purtroppo non è stato in grado di applicare concretamente qualcosa. Eppure, hanno bisogno di sapere questo è ancora un problema.
Poi ci sono le autorità locali. In passato ho avuto un dialogo positivo con la polizia federale australiana e anche loro erano chiaramente frustrato per l'incapacità di affrontare truffe provenienti da oltreoceano. Anche in questo caso, se questi ragazzi sono veramente locale, speriamo che troverete a ricevere un colpo alla porta presto.
Idealmente, avrei tenuto la sessione in corso (ho finito per scollegare la rete sulla macchina virtuale) e catturato in flagrante di "fissare" la macchina. Eppure, ci sono prove più che sufficienti in là di attività fuorvianti, ingannevoli e fraudolente che ammesso che siano locali, si può intervenire. Restate sintonizzati.
Aggiornamento, 9 agosto: Dato Austin "Guida per Windows" aveva gentilmente mi ha dato un indirizzo locale a pochi km da casa (circa il 40 per minuto nel video), ho pensato di andare e dire G'day. L'indirizzo è 106/283 Alfred St a North Sydney e sembra proprio come questo:
Esterno 106/283 Alfred St a North Sydney
All'interno, la directory salta a destra sopra il numero 106:
Directory senza mostrare Suite 106 di cui
Al piano superiore al primo piano non c'è segnaletica aziendale, come le altre unità nello stesso edificio (questo appare normalmente sopra il numero nello spazio vuoto):
Suite 106 senza segnaletica
La cassetta delle lettere sembra anche essere un po 'trascurato:
Traboccante letterbox a 106
Ho anche in piedi davanti alla porta poco dopo le 09:00 e chiamato il numero che ha risposto ieri sera, ma senza alcun risultato (diretto alla casella vocale). Al momento in cui scriviamo (le 18.00 locali), che stanno rispondendo di nuovo quindi potrebbe essere solo un'operazione di notte. L'altra cosa importante è che non suona come se fosse il collegamento all'estero, suona come una normale chiamata locale.
Un po 'Googling in giro e sembra che il locale dove in precedenza occupato da Mobilion , consulenti telcoms che sono già da quando si trasferì accanto . E 'stato anche un tempo occupata da Champion riparazione computer Italia , ma sono anche oggi accanto . Poi il luogo era in su per affittare un paio di anni fa anche .
Poi c'è il numero di telefono - (02) 8005 4980 - e una rapida ricerca mostra i truffatori hanno utilizzato questo almeno dal ottobre dello scorso anno , anche sotto la "Guida per Windows" nome. Inoltre appare sul sito web Reverse Italia in modo così chiaro che hanno ottenuto abbastanza fuorigioco alle persone di ottenere molti commenti in siti diversi.
L'altro posto che il numero di telefono era apparso sul sito web per Hyper-Tech PC Solutions, un sito web costruito su freebie Weebly. Sembra che Hyper-Tech offerte "I professionisti di supporto computer Cura instancabilmente ed efficiente Riparazioni online per computer per desktop, laptop, Reti, Stampanti" - suona familiare? Per i tech-savvy lettori, date un'occhiata alla fonte della pagina di registrazione , in particolare linea 56 in poi :)
E adesso? Tutto dipende se sono veramente locale, ma certamente sembra che ci sia abbastanza informazioni per diverse autorità locali a prendere atto quindi mi pacchetto tutto questo e inviarlo nelle direzioni opportune imminente. Speriamo che questa volta vedremo un po 'di azione.

lunedì 27 agosto 2012

Benvenuti allo scheduler ASafaWeb


Ho iniziato a costruire ASafaWeb - l'analizzatore automatico di sicurezza per i siti web ASP.NET - circa un anno fa per cercare di automatizzare i processi che ho trovato ho continuato a fare manualmente, vale a dire il controllo della configurazione di sicurezza di ASP.NET applicazioni web. Vedete, il problema è che sono stato coinvolto nella costruzione di un sacco di applicazioni grandi, ma la gente spesso ottenere configurazioni di sicurezza poco male, la mancanza di un pagina personalizzata degli errori, analisi dello stack zampillante o richiesta di convalida è spento tra numerosi altri reati web app di sicurezza.
Il fatto è che tutte queste cose sono molto facilmente rilevabili a distanza senza alcun accesso al codice sorgente, è solo bisogno di fare alcune richieste HTTP e trarre alcune conclusioni in base alla struttura delle risposte. Volevo rendere morto facile per le persone a eseguire queste scansioni sui loro siti in modo ho costruito ASafaWeb , inserire una casella di testo grande grande in prima pagina per prendere un URL e disse: "Ecco qui". Questo è stato - ed è tuttora - ASafaWeb su richiesta:
ASafaWeb su richiesta
Dal dicembre 2011, quando ho iniziato la registrazione de-identificati dati, ASafaWeb ha collezionato più di 27.000 su scansioni su richiesta. Quando ho analizzato la scansione risultaun paio di mesi fa, i due terzi dei siti web sono stati trovati ad avere gravi vulnerabilità di configurazione. Chiaramente ASafaWeb era trovare un sacco di problemi con i siti Web ASP.NET.
Ma una cosa che mi ha continuato a nag è che i siti web non sono statici, un sito web che passa una scansione oggi non garantisce che passerà domani. La facilità di configurazione in ASP.NET rimane, sia un punto di forza e di debolezza e ogni volta che abbiamo comunicato non c'è il rischio che un cambiamento nella configurazione ha introdotto una vulnerabilità. È per questo che oggi ho rilasciato la prossima fase di beta ASafaWeb al pubblico - scheduler:
Logo2
Dovrebbe essere evidente con il suo nome, ma la mia intenzione con lo scheduler è non solo di assicurarsi che il sito è oggi "sicuro", ma che rimane in quel modo. Questo è il mio bisogno, e credo che sia il bisogno di molti altri.

I casi d'uso

Vorrei sottolineare alcuni casi in cui un programmatore ha senso. Uno che Mi capita spesso di vedere è quando gli sviluppatori sono le eccezioni non gestite risoluzione dei problemi sul sito. Un sito web ben configurato ha errori personalizzati acceso e un default redirect per mostrare una pagina di errore descrittivo quando le cose vanno male. Il problema è che questo non vi dice esattamente quale sia la causa principale è - che è esattamente il modo in cui dovrebbe essere. Messaggi di errore interno dovrebbero mai essere mostrato al pubblico. Così l'autore si spegne errori personalizzati, pubblica il web.config e identifica la causa principale. Poi si dimentica di accendere di nuovo su.
Che lo scheduler ASafaWeb si è assicura che se questo scenario si pone, si trova su di esso presto perché il sito è regolarmente in fase di test per le vulnerabilità di configurazione come questa. Naturalmente per lo sviluppatore, l'opzione migliore è quella di utilizzare ELMAH per registrare gli errori da qualche parte visibile solo a loro - fintanto che tenere al sicuro. E c'è il nostro caso d'uso successivo - è facile da configurare ELMAH errata (vedere quel link precedente) e, anche se si ritiene che il configurazione di sicurezza è buona, la guida può cambiare nel corso del tempo, così come il lavaggio-up dal mio post.
Un altro caso classico è l'uso di nuove vulnerabilità. La questione hash DoS da dicembre colto tutti di sorpresa, ma il giorno dopo la patch di Microsoft, ASafaWeb era in grado di rilevare a distanza la presenza della patch. Ora, con lo scheduler, quando qualcosa del genere accade prossimo (e ricordate, hash DoS non è stato il primo episodio del genere ) ASafaWeb sarà in grado di identificare la non-patched siti e avvertire coloro che hanno configurato un programma in brevissimo tempo.

Impostazione di un programma di

Quindi, come si fa a impostare un programma di ASafaWeb? Ho fatto il più semplice possibile con un minimo assoluto nudo di attrito. Tutto quello che dovete fare è lì solo perché non avrebbe funzionato senza di essa e voglio spiegare ognuno di questi passi adesso.
In primo luogo, è necessario registrarsi . In realtà ci sono alcune ragioni per questo tra cui il fatto che avete bisogno di un po 'di metodo di accesso al scansioni personali. È necessario lasciare un indirizzo e-mail in modo da poter essere contattati, se necessario, dopo l'esecuzione della scansione e, infine, il programma di pianificazione consente di eseguire un sacco di scansioni su base regolare e non ci deve essere una qualche forma di responsabilità per questo. Tale responsabilità è che avete bisogno di identificarsi (più su quello a breve).Passando, ecco cosa ti verrà richiesto al momento della registrazione:
Modulo di registrazione
Il fuso orario è probabilmente l'unico campo che non esporre immediatamente il suo scopo.Quando si pianifica una scansione, tutto viene riconvertito l'ora locale e l'unico modo ASafaWeb può fare è che ha bisogno di sapere che cosa "locale" significa per voi.
Dopo l'iscrizione è necessario per verificare il tuo indirizzo e-mail. Avete tutti visto in azione su altri siti prima - subito dopo registrati si ottiene una e-mail con un "clicca qui per verificare" link allora sei in Questo torna alla responsabilità di nuovo, vi è il rischio di abuso e la verifica delle e-mail in qualche modo a mitigare tale.
Una volta verificato, si può immediatamente il login e iniziare a creare le scansioni pianificate dal link "Schedule" nella barra di navigazione:
Il link "Schedule" nella barra di navigazione
Non avrete alcun scansioni pianificate per cominciare così la prima cosa che si vede è un grande grande link "Crea". Ecco che cosa c'è dietro (l'ho già compilato per indicare scopo dei campi):
immagine
Lasciate che si esegue attraverso ciò che sta succedendo qui. In primo luogo, è necessario un URL, che è molto più evidente. Ciò che non è immediatamente evidente è che l'URL deve essere univoco per ogni utente, non si può effettivamente eseguire la stessa scansione ogni ora con la creazione di 24 programmi giornalieri per lo stesso URL.
A proposito di orari, è possibile pianificare le scansioni per funzionare sia ogni giorno o ogni settimana. Quando sono settimanale è possibile scegliere il giorno della settimana e in entrambi i casi si sceglie l'ora del giorno in cui si desidera che venga eseguito fino ad un intervallo di cinque minuti. Ciò consente di pianificare la scansione attorno a un ciclo di rilascio o di un incontro settimanale o semplicemente in modo che ti sta aspettando prima cosa ogni mattina.
Le notifiche sono ASafaWeb modo di comunicare i risultati della scansione a voi. Si può essere im Plicit o ex Plicit su come si desidera essere comunicato con. L'approccio esplicito deve essere notificata ogni volta il programma viene eseguito indipendentemente dal fatto che trova qualcosa o no. Significa che è possibile ottenere un feedback positivo sullo stato del vostro sito (s) senza chiedersi se la cosa funziona, semplicemente perché non ha trovato un problema. Naturalmente l'approccio inverso è solo una notifica quando qualcosa è andato storto. In realtà inizialmente questo è quello che ho pensato la maggior parte delle persone vorrebbe - dimmi solo dopo che l'ho rotto - ma il feedback del beta privata era che alcune persone vogliono la comunicazione in più, o per lo meno la possibilità di scegliere.
Se si decide di essere informato una volta che qualcosa va storto, è quindi necessario scegliere cosa deve andare male per essere notificato. Lasciate che vi faccia un esempio: dire che hai un sito DotNetNuke e si desidera impostare una pianificazione ASafaWeb. Ora, purtroppo, DotNetNuke fallirà sempre la scansione convalida della richiesta in modo da essere in grado di scegliere di ignorare questo è importante.
Una volta che la scansione impostato apparirà indietro sulla pagina programma insieme a tutti quelli successivi si aggiunge:
Eseguire la scansione della pagina di pianificazione
Ora si può sempre basta premere il pulsante "Scan Now", che richiama verso il ASafaWeb classico scansione su richiesta, ma anche aggiornare il record pianificato. Oppure, in alternativa, aspettare fino a quando il programma viene intorno e fa sì che venga eseguita la scansione in questo caso si otterrà una bella email con tutti i dettagli:
immagine
Una volta che l'esecuzione della scansione, lo stato nella pagina programma sarà aggiornato e in questo caso, la scansione non riesce:
immagine
È inoltre possibile sempre e solo mettere in pausa la scansione poi reattiva in un secondo momento (per esempio, si sa che ha problemi si sta risolvendo) o eliminare la cosa in modo permanente. Inoltre, naturalmente, puoi sempre tornare indietro e modificarlo.

Monitoraggio e privacy

Fino ad oggi, una cosa che ho sempre stato irremovibile circa con ASafaWeb non è in possesso di alcun dato assolutamente, positivamente non ha bisogno di tenere. Non c'è modo più sicuro di non averlo rivelato piuttosto che non avere in primo luogo!
I cambiamenti di programma, ma solo per un po '. Chiaramente ASafaWeb deve ora seguire l'URL da controllare nel programma e, ovviamente, per il raggiungimento degli stati nella schermata afferra sopra di esso ha bisogno di memorizzare questi contro tali URL. Per ovviare a questo, non ci sono dati storici memorizzati (è solo lo stato della scansione) più non c'è fedeltà memorizzate su ciò scansione non riuscita (stack ad esempio).
Nel corso del tempo, terrò d'occhio il feedback in merito alla legittimità di questo approccio rispetto al valore di contenere più dati. Già ho avuto feedback da parte della beta privata che la gente vorrebbe essere in grado di visualizzare i risultati storici (vale a dire come profilo di sicurezza di un sito è cambiato nel corso del tempo), e questa è una possibilità per il futuro (tra molte altre possibilità).

Avvertenze

Sono finora riuscita a evitare termini e condizioni e gli accordi inane che soddisfano nessuno al di fuori della professione di avvocato e sarò mantenendo in questo modo il più a lungo possibile. Ma ci sono alcune cose di essere a conoscenza e sono per lo più le cose di buon senso:
  1. Le scansioni pianificate sono un "Best Effort" sforzo. In altre parole, ASafaWeb farà tutto il possibile per eseguire la scansione, al momento previsto, ma non ci sono garanzie. Ci potrebbe essere una coda massiccia di scansioni contemporaneamente, ci potrebbero essere interruzioni della rete, ci potrebbero essere interruzioni piattaforma.Detto questo, è dimostrato altamente affidabile nel mesi di test, quindi sono cautamente ottimista.
  2. Non c'è ancora la prova della proprietà necessaria per eseguire una scansione su un sito web, è possibile letteralmente correre contro qualcosa. Tuttavia, vi è ora una funzione "lista nera", che è un peccato sottoprodotto di incidenti precedenti (sì, c'è stato più di uno) in cui un proprietario del sito ha richiesto ASafaWeb non eseguire la scansione del sito. E `una reazione eccessiva? Forse, sono innocui richieste HTTP in un mare di quelli maligni (a giudicare da alcune delle richieste che vedo), ma è meglio per giocare a questo al sicuro. In breve, si prega di pianificare le scansioni contro ivostri siti!
  3. Mi tengo il tag "beta". A torto oa ragione, questo è un esempio che io ancora non considerano ASafaWeb essere "completo". Ora, naturalmente, implica che ci uno stato assoluto in cui non succede un ulteriore sviluppo che tutti conosciamo se non il caso (né deve essere), ma ci sono un paio di cose in cantiere che a mio avviso devono essere completate prima di considerare questo un approccio olistico offrendo. Tutto questo è quello che accadrà dopo ...

Che cosa succederà dopo?

ASafaWeb ha una tabella di marcia - orari è una delle fermate lungo il percorso, ma ci sono molti, molti di più a venire. La tabella di marcia si rompe in realtà giù in un paio di sfaccettature che si può pensare come funzioni su un asse (di cui la programmazione è uno) e analizza sull'altro asse.
Le caratteristiche hanno una tabella di marcia che prevede la ricerca di modi migliori per legare scansioni in punti chiave del ciclo di rilascio di un'applicazione oltre a rendere più facile per eseguire la scansione di più dei vostri siti. Terrò i dettagli un po 'tranquilla, per ora, ma questo è il senso generale.
Ci sono molte opzioni a sinistra per le scansioni troppo, in realtà ci sono una serie di attributi aggiuntivi configurazione di sicurezza che possono essere rilevati dai modelli esistenti di richiesta per non parlare di quelli che possono essere perseguiti facendo più richieste. Il trucco è che con le scansioni fatte richieste HTTP è costoso . Non in termini di dollari (almeno non direttamente), ma in termini di risorse di sistema legare con lunghi processi in esecuzione.
La tabella di marcia per entrambe le caratteristiche e le scansioni scorrerà sulle con contributi continui a ciascuno. In realtà parlare di continuo, il concetto di erogazione continua è molto caro al mio cuore e alcune di queste nuove funzionalità si legano in quella molto bene. Restate sintonizzati!

Go for it!

In modo che è tutto per ora - gli orari sono finalmente dal vivo! Mi piacerebbe il tuo feedback su questa funzione e, infatti, che è il modo migliore per assicurarsi che sia pertinente e utile a tutti. Come prima, anche al di fuori delle nuove funzionalità ASafaWeb continuerà ad evolversi, non una settimana è passato dal momento del lancio, che non ho scritto almeno un manciata miglioramenti che vanno da semplici modifiche CSS alla compatibilità cellulare per modifiche funzionali per la scansione comportamento. In modo da mantenere il feedback venire e mi aiuta a fare ASafaWeb una risorsa davvero preziosa per voi.

giovedì 23 agosto 2012

Lezioni di siti web di sicurezza anti-patterns da Tesco


Vorrei creare le premesse per questo post, condividendo un tweet semplice di ieri sera :
Twitter: @ troyhunt password vengono memorizzate in modo sicuro.  Stanno solo copiato in testo normale quando incollato automaticamente in una mail di promemoria della password.
Ok allora, questo è come infrazioni di sicurezza quante Mi sa che può andare bene in 140 caratteri! Per coloro che chiedono, sì, questo è in realtà un account verificato e in realtà è Tesco risponde a me. Tornerò a molti punti di vista Tesco interessanti in materia di sicurezza un po 'più tardi, ma prima, alcuni retroscena:
Tengo un orologio sul menzioni del mio blog su Twitter e su un sacco di tweets in questo senso :
Twitter: Wow, @ UKtesco memorizza le password del sito web non salato, ed e-mail in chiaro li.  Qualcuno ci dovrebbe leggere
Curioso, come sempre, mi sono diretto verso tesco.com a dare un'occhiata. A pochi sguardi sommari intorno mostrato forse c'era un po 'di un'opportunita' - l'opportunità di istruzione per gli sviluppatori che vogliono imparare da anti-patterns, cioè vedere come coloro che li hanno preceduti hanno fatto male. Quindi, diamo uno sguardo ai molti errori di sicurezza semplici Tesco hanno consegnato e vedere come ci si avvicinerebbe in modo diverso quando si applicano i principi di sicurezza di base.
Oh - e per il pubblico al di fuori del Regno Unito, Tesco è una catena di supermercati importante del calibro di Coles in Australia o CostcoSafeway negli Stati Uniti. Sai, il tipo di multi-miliardi di dollari marchio che dovrebbe sapere come ottenere nozioni fondamentali sulla protezione web giusto, soprattutto quando si sta fornendo servizi di shopping online e gestire le tue informazioni di pagamento. Essi forniscono anche servizi bancari e assicurativi, anche se questo non è uno spazio prenderò in esame in questo post.

Password di archiviazione

Questo è ovviamente il primo posto per iniziare in commento di Dan. Come si è visto, anche se vivo a Sydney Mi hanno fatto un conto Tesco dal mio tempo di ritorno nel Regno Unito, a cavallo del millennio. Mi chiedo che la mia password era allora ...
Password via email con testo in chiaro
Oh cara, beh certamente Dan inchiodato quando ha citato senza sale, chiaramente le password non viene eseguito l'hashing a tutti e tanto meno salato. Nella migliore delle ipotesi sono criptati ma le probabilità sono che stanno memorizzata in testo normale, purtroppo non ci sono prove del contrario.

La crittografia non è selettiva - i dati o è importante o non è

Quando si decide di dati vale la pena proteggere, è necessario essere coerenti nel vostro approccio. Non ha senso strettamente fissandolo in una posizione poi averlo sbattere in giro per la brezza in un altro.
A quanto pare, la crittografia è importante per mantenere i vostri dati personali privati:
Tesco pagina sostenendo che è sicura
Agli ordini, così come era esattamente quello protetto da password in email? Beh, certo non è stato protetto a tutti, è stato appena espulso volenti o nolenti.
Ma aspetta - Tesco mettere un grosso lucchetto giallo sulla pagina - che deve essere sicuro! Questo è esattamente il tipo di cosa che stavo parlando di un anno fa, quando ho detto che l'icona del lucchetto deve morire . E 'diventato nulla più di un gesto simbolico, che non garantisce uno dei tuoi contenuti siano effettivamente sicuro. E 'come quelle persone che hanno messo dei cartelli che dicono "attenti al cane", quando tutto quello che hai è un criceto geriatrica.

Contenuto misto e gli avvisi del browser

Tutti ricordare ciò che è contenuto misto? Questo è quando si carica una pagina su HTTPS - che implica un certo grado di sicurezza - ma poi si incorpora risorse caricate su HTTP che ti dà alcuna garanzia di sorta.
Questo è male. In effetti è così male che i browser di oggi vi darà un avvertimento molto evidente quando questo sta accadendo. Torna con la mente torna l'immagine qui sopra con il testo che dice "Perché è sicuro di fare shopping in Tesco.com". Sapere cosa che puntanofa? Questo:
Contenuti avvertimento mista da Google Chrome
Ok, quindi il browser è stato molto chiaro: non mi fido di questa pagina (quella di fiducia), in realtà non lo carica a tutti. Che diamine, mi piace vivere pericolosamente:
Negozi Tesco Garanzia di sicurezza
Quando si avvia ottenere grandi croci rosse nel browser, avere paura, molta paura. Ma probabilmente dovrebbe essere ancora più paura del paragrafo semplice apertura di Tesco:
E 'sicuro fare acquisti in Tesco.com
Beh, almeno sono diretto. Completamente sbagliato (almeno in base a ciò che abbiamo visto finora), ma diretto. Hanno un server sicuro (lo sappiamo perché abbiamo visto il loro lucchetto) in modo che tutti noi dovremmo avere la certezza che "transazione con noi sono private". Nizza.

Browser versione follia

Ma Tesco non lasciare che qualsiasi browser vecchio, oh no, è necessario utilizzare qualcosa di moderno come la versione 3.0 di "esploratore" o 3.02 di Netscape (questo è da più in basso nella schermata del grab precedente):
Requisiti per Explorer 3.0 o Netscape 3,02
Ricordate ciò che questi ragazzi sembrava? Ti ricordi di Netscape? Molto probabilmente non perché c'è un pubblico considerevole là fuori l'esplorazione del Web che oggi sono stati ancora allattando quando ha lanciato a metà del 1996. Ecco un riassunto:
Netscape Screen Grab
Fancy.
Perché Tesco sente il bisogno di indirizzare gli utenti per garantire il rispetto di una versione del browser 16 anni di età (o al di sopra, grazie) è piuttosto strano. In effetti dà l'impressione che nessuno è davvero prestare molta attenzione al sito. Heck, era strano quando ho inizialmente creato il mio account nel 1999!

Insicurezza persistente attraverso i cookie HTTP

Ricordate come Tesco è sicuro? Deve essere perché avevano l'icona del lucchetto, ma a loro credito, hanno fatto effettivamente fornire moduli di login su HTTPS. Ma poi vanno a fare questo:
Pagina autenticato caricata su HTTP
Vedi il problema? Nessun HTTPS più - ma stiamo ancora registrato! Ah, ma la password è stata inviata tramite HTTPS al momento del login in modo che deve essere sicuro, diranno.Tranne, naturalmente, SSL non è sulla crittografia , o almeno non si tratta solo di crittografia delle credenziali di accesso.
Vedete, HTTP è stateless quindi l'unico (in pratica) così uno stato come essere collegati può essere persistente è passando cookie avanti e indietro tra il browser e il sito web. Ogni volta che l'utente effettua una richiesta, il browser dice: "Ehi, sono destinati ad essere connessi come Troy, ecco il mio biscotto per dimostrarlo". Potete vedere quei biscotti proprio qui per gentile concessione di Modifica questo cookie :
Lista dei cookie sul sito Tesco
E perché sono stati inviati tramite una connessione HTTP, chiunque può osservare il trafficopuò vedere quei biscotti stessi. E copiarli. E dirottare la sessione. Suona complicato? Non è, infatti mi ha dimostrato quanto fosse facile nella parte 9 della mia OWASP per. sviluppatori NET serie sulla protezione insufficiente livello di trasporto quando l'ho fatto proprio questo.

Regole password

Devo confessare - io sono un peccatore. Non ho sempre creato password complesse. Li ho riutilizzato. A volte usato il nome del cane sanguinario, la maledizione! Ma sono riformate e ora sono un fervente sostenitore del mantra che L'unica password sicura è quella che non riesce a ricordare .
Quindi cerchiamo di saltare su oltre al "change password" pagina e generare me una forte con 1Password:
Rigorose regole delle password
Oh cara, 10 caratteri. Tutto qui. La saggezza convenzionale - qualsiasi saggezza - afferma che le password dovrebbe essere lunga, casuale e unico nel suo genere, più di ogni, il migliore (e per favore, non pubblicare che f ****** XKCD comico batteria a cavallo come un contro-argomento) . Così che cosa sta succedendo a Tesco? Solo il 10? Te lo dico io cosa dice a me e risale fino al punto di memorizzazione delle password in precedenza: qualcuno si ha un varchar (10) là sotto da qualche parte ed è tutti seduti in testo normale. Certo che può solo speculare, ma le prove sembra suggerire questo su numerosi fronti.
Ma sai la cosa strana di questo? Ci sono 10 personaggi in entrambi i campi di password, in realtà il valore è "g'Szq \ 5tMk". Allora, perché il problema? Ho rispettato la regola, non è vero?
Ci vuole un po 'di indagini in giro per il sito per capire che cosa è andato storto:
La password deve essere compresa tra 6 e 10 caratteri Non maiuscole e minuscole
Ah, solo lettere e numeri. Oh - e non preoccuparsi di caso, che confonde le cose. Si tratta ora mi solito uscire il palco per i tuoi vecchi e cera lirica per la facilità di brute forcing una password con queste regole, ma, beh, solo tendono a forza bruta una password quando è protetta per cominciare.
La mancanza di sensibilità caso è anche un altro puntatore a come le password possono essere memorizzate, quali sono le probabilità che la colonna password nel database è semplicemente un non-caso confronto sensibile e c'è una query che fa un confronto diretto con il nome utente fornito e la password? Certamente la password fornita all'accesso non viene eseguito l'hashing e rispetto a quella nel database o che non superano il test di sensibilità caso (e lo sappiamo perché sono comunque email password), e sappiamo anche la password fornita non è in corso criptato poi confrontato o che anche fallire. In realtà l'unica reale possibilità che lascia di credibilità è che la password memorizzata viene decodificato quindi confrontato con la password forniti al momento dell'accesso utilizzando un operatore di confronto non tra maiuscole e minuscole.
L'altra cosa strana sul fronte caso è che la password che è stato originariamente inviato a me era tutto maiuscolo. Ora so che non è così che ho creato, quindi forse sono solo la conversione in alto prima della memorizzazione? O in altre parole, la fedeltà si crea nella tua entropia password originale - anche all'interno della lunghezza restrittiva e vincoli di tipo di carattere - si perde non appena l'account è stato creato.
Ma questo è quello che mi piace di quella pagina (per inciso, è mostrato durante il processo di registrazione):
Si può essere al 100% negli acquisti con Tesco.com. Per garantire la vostra sicurezza online vi chiederà la password quando si accede a dati personali o andare a pagare. Questa informazione verrà sempre crittografato in modo che non è possibile per chiunque di accedervi.
Wow - sicuro al 100%! Sempre criptato! Liars.

Sicurezza errori di configurazione

Una delle cose che mi passano un sacco di tempo a guardare attraverso il mio lavoro suASafaWeb è errata configurazione di sicurezza. Questo si riferisce a tali impostazioni piccoli disponibili in pile moderne web al giorno che può facilmente andare a monte e iniziare a divulgare implementazioni interne che poi perdita di informazioni a un utente malintenzionato potrebbe sfruttare.
Un controllo semplice per errori di configurazione della sicurezza è quello di vedere se un gestore Trace.axd è presente. Una delle tre cose di solito accade:
  1. E 'presente ed e' garantito esponendo così tutti i tipi di interni cattivi.
  2. Un marchio, pagina di errore personalizzata viene restituito educatamente scusa per l'inconveniente (ovviamente il presupposto è che hai atterrato lì per caso)
  3. Un errore interno del server viene restituito perché, anche se il gestore traccia non può essere visualizzato, il sito non è configurato in modo da visualizzare i messaggi di errore. Sembra esattamente come questo:
Errore del server sul gestore Trace.axd
Così, in breve, Tesco ha un caso di errore di configurazione di sicurezza che potrebbe fuoriuscire implementazioni interne del codice. Nizza. In realtà quella schermata infame sopra è colloquialmente nota come un YSOD, o Schermo giallo della morte.

Molto vecchio server web e un quadro

Sai qual è il problema con le applicazioni web di oggi è? Parlano troppo dannatamente tanto .Infatti Tesco parla così dannatamente tanto è felice di dirvi molto a proposito di ciò che è in esecuzione sotto le coperte:
Intestazioni di risposta che mostrano ASP.NET 1.1
Quello che state vedendo qui sono le intestazioni di risposta restituiti insieme al precedente YSOD. Ho usato Fiddler per controllare le intestazioni e rivelano un po 'di raccontare le cose circa la scelta della tecnologia:
  1. Sono ancora in esecuzione su IIS 6, ora a 7 web server anni e per due volte superato (in realtà, sarà tre volte sostituita in un futuro molto prossimo quando Windows Server 2012 con IIS 8 lanci)
  2. Sono ancora in esecuzione ASP.NET 1.1. Questo è molto sorprendente - è ormai 9 anni e sostituito da NET 2, NET 3, NET 3.5, Framework 4 e.... quasi NET 4.5..
Ora, niente di tutto questo è per dire che si trattava di cattivi tecnologie nel giorno, non erano, ma è come dire che il disco floppy 5,25 pollici è una buona cosa. Aveva un tempo e un luogo e due di questi sono ormai passati. Il panorama della sicurezza è cambiato in modo significativo dal momento che queste tecnologie in cui avviate e la continua ricerca di nuove generazioni di razza compiere continui progressi nel garantire un'applicazione più sicura per impostazione predefinita.
Non sottovalutare il valore di mantenere componenti software fino ad oggi, in OWASP infatti specificamente chiamare questa nella parte 6 dei loro Top 10 dei rischi sicurezza delle applicazioni web :
Avete un processo per mantenere tutti i vostri software aggiornato? Questo include il sistema operativo, Web / App Server, DBMS, applicazioni e tutte le librerie di codice.
Questo non è necessariamente un alta intensità di esercizio, una volta ogni qualche anno è sufficiente assicurarsi che non sono caduti troppo dietro la palla otto. Certamente non lasciare componenti software chiave ottenere 9 anni e quasi 5 versioni su data.

Incompetenza inconscia

Mai sentito parlare di quattro stadi di competenza ? Si inizia con incompetenza inconscia:
L'individuo non capire o sapere come fare qualcosa e non necessariamente riconoscere il deficit.
Dopo tweeting per le carenze di sicurezza, Tesco ampiamente dimostrato che in termini di sicurezza web, stanno saldamente incollato in questa prima fase di competenza :
Twitter: @ troyhunt Vi assicuro che tutte le password dei clienti sono memorizzati in modo sicuro e in linea con gli standard del settore in tutta rivenditori online.
Mi piace la natura autorevole di questa risposta e la prodezza software di sicurezza dell'account Customer Care! L'altra affermazione che è sempre una bandiera rossa per me è "standard", nella mia esperienza, questa è la risposta canonica data da persone che in realtà non conoscono la meccanica di quello che stiamo parlando (che ovviamente è quello che che ci si aspetta da un reparto Customer Care). E 'come "best practice" e, mentre si guarda bene su un ponte di PowerPoint, ancora una volta, non è per nulla mezzi, che in realtà capire l'esecuzione di quello che stai parlando.
Chiaramente questo non era tipo da lasciarsi andare senza una risposta:
Twitter: @ UKTesco vi assicuro che se siete email password ai clienti, si è ben al di sotto degli standard di settore su una serie di fronti.
Ed è allora che abbiamo ottenuto che zinger da prima su:
Twitter: @ troyhunt password vengono memorizzate in modo sicuro.  Stanno solo copiato in testo normale quando incollato automaticamente in una mail di promemoria della password.
In realtà è un zinger che è diventato piuttosto popolare:
1165 e 144 retweet di tweet preferiti di Tesco
C'è probabilmente una lezione da qualche parte di non lasciare che i tuoi genitori Customer Care rendere dichiarazioni tecniche attraverso i social media ...
Ma questo è stato veramente il tema per tutta la strada attraverso, Tesco continuamente sopravvalutare la loro abilità di sicurezza mentre chiaramente sotto-consegna nella loro esecuzione. Sì, questo è un account Customer Care ma condiscendente come può sembrare, questo è davvero un caso di incompetenza inconscia non solo da un semi-automatico account Twitter tirando linee standard del libro, ma dalle persone che creano le risorse web.E questo è imperdonabile.

Lezioni per gli sviluppatori di tutto il mondo

Come ho detto fin dall'inizio, diamo una visione costruttiva di Tesco approccio alla sicurezza web e imparare alcune lezioni lungo il percorso. Sono alcuna illusione che Tesco si girerà intorno e sistemare le cose in risposta a questo post, si conoscono su questi problemi abbastanza a lungo e, ovviamente, che hanno scelto di non fare nulla di loro.
Così le lezioni per gli sviluppatori:
  1. Memorizzazione delle password dovrebbe sempre essere fatto utilizzando un algoritmo di hashing forte . Dovrebbe essere uno progettato per la memorizzazione delle password e anche l'uso un sale crittograficamente casuale. Inoltre deve essere un lento algoritmo di hashing - leggi il nostro hashing della password è nudo se questo è un concetto estraneo.
  2. Recupero password dovrebbe mai accadere . Anzi, non se si è realizzato il passaggio precedente correttamente. Sempre in modo sicuro processo di reimpostazione della password. Leggi Tutto quello che avreste sempre voluto sapere sulla creazione di una sicura funzione di reimpostazione della password per alcuni consigli su questo.
  3. Non mescolare il contenuto HTTP nelle tue pagine HTTPS . Se HTTPS è importante per voi - e dovrebbe essere - in modo esplicito riferimento al protocollo HTTPS nei vostri riferimenti oppure ancora più semplice, utilizzare URL relativi protocollo. C'è un sacco di informazioni in OWASP Top 10 per gli sviluppatori NET parte 9:. insufficiente protezione Transport Layer .
  4. Sempre inviare cookie di autenticazione su HTTPS . Si tratta di quasi lo stesso valore come la stessa parola d'ordine, dà chi li tiene i diritti per eseguire le operazioni che l'utente che originariamente autenticato al sistema può. Vedi il link al punto precedente per ulteriori informazioni.
  5. Non dovrebbero mai essere soggetto a restrizioni entropia la password . Non escludere i caratteri speciali, non tagliare la lunghezza in un breve, limite arbitrario (se si deve, ne fanno 100 caratteri o giù di lì) e sicuramente non implementare un sistema che è case-insensitive. Vedere Chi è chi di pratiche password errate - banche, compagnie aeree e altro ancora per ulteriori errori comuni.
  6. Garantire che le configurazioni di sicurezza di base sono corrette. traccia è disattivata, gli errori personalizzati sono attivi, un predefinito reindirizzamento pagina esiste, la modalità di debug è disattivata, ecc Questo è, ovviamente, per ASP.NET, ma ci sono paralleli in pile web. Controlla le tue applicazioni. NET con ASafaWeb .
E, infine, non lasciate che il vostro ego scrittura controlla il tuo corpo non può incassare .GIF lucchetto e le dichiarazioni sulle pagine web non significano assolutamente nulla se quello che sta sotto ha buchi tutto attraverso. In effetti, proprio come quella commento classico Twitter nel paragrafo d'apertura ha dimostrato, rende le cose molto, molto peggio, come dimostra incompetenza inconscia.
Sai qual è la situazione Tesco mi ricorda? Quello che ho scritto sopra è molto, molto simile a quello che ho scritto su Billabong un paio di settimane fa . Non necessariamente le stesse vulnerabilità (anche se alcuni di loro sono molto vicino), ma i fallimenti rampante e rapidamente osservabili nelle pratiche di sicurezza di base. Ho scritto di Billabong , dopo che era stato violato e 21.000 dettagli dell'account pubblicato. Ho concluso il post dicendo:
Ora non sto dicendo che una delle vulnerabilità specifiche individuate sopra sono stati alla base di questa violazione, ma quello che sto dicendo è che essi indicano chiaramente Billabong mai preso sul serio la sicurezza. E 'ovvio che ci sia un processo fondamentale di sicurezza mancanti e se tali vulnerabilità lampante sono presenti - quelli che si possono osservare dal browser solo - che altro si trova all'interno? Il sito era una bandiera rossa - ha reso chiaro che un po 'di sondaggio sarebbe molto, molto probabile che alzare ancora gravi carenze.
Ora pensate a Tesco - che cosa possiamo concludere circa il loro profilo di rischio? Diciamo solo che se si dispone di un account di Tesco, farei maledettamente sicuri di non aver riutilizzato che la password in qualsiasi altro luogo.
Aggiornamento, 30 luglio: Un lettore mi ha indirizzato a questa risposta dal Customer Manager di Tesco servizio un paio di anni fa, quando la questione della sicurezza del sito Web è stata sollevata con loro. Ecco qui la parte interessante:
Ho avuto una parola con il mio team di supporto e ha chiesto loro se sono archiviati con 'una crittografia modo' o di crittografia e si dice che anche se le informazioni non vengono crittografati il ​​livello di sicurezza che circonda la password significa che solo il tecnico più anziano posizioni potrebbero accedere alle informazioni.
Questo è su Pastebin modo da prendere con un grano di sale, ma sicuramente il messaggio è coerente con il livello di comprensione Tesco sembra avere e password memorizzate senza crittografia significa quello che poteva essere coerente con quello che ho osservato in precedenza.