Uni* phishing od Aston.sk
Posted on 23. Dec, 2009 by admin in blog
Chcel by som tu napísať zopár slov o veľmi nepeknom jave ktorý robia slovenský developeri – okrem ostrého webu majú aj kompletnú zálohu ktorú majú ukrytú na inej adrese. Neviem prečo si myslia že takýto web sa nedá nájsť. Keď sa jedná o web malej/nevýznamnej spoločnosti tak to nie je dôležité ale keď sa jedná o funkčnú kópiu bankového webu tak to je už problém.
Toto je problém konkrétne banky Unicreditbank (ale aj pois?ovne Union). Vzhľadom na to že haker Igigi už zverejnil aj zoznam databáz ktoré sa nachádzajú na serveroch tak úvaha o využití na phishing naberá reálne predstavy.
Duplicitný web UniCreditBank bol funkčný do 17.12.2009 (!). Podľa kuloárnych informácií sa zrušil len preto že v Unicredite sa robia zmeny na strane informatiky (outsourcing). Web bol presnou kópiou webu UniCreditbank pokiaľ neprešiel redizajnom (posledné údaje boli z apríla/mája 2009). Pre bežného užívateľa to však bolo na nerozoznanie od ostrého webu, pretože všetky linky boli funkčné, nebolo tam žiadne upozornenie že web nie je produkčný, srávne fungovalo aj presmerovanie na internetbanking. Jednoducho jedinečný web pripravený na phishing. Keď som preberal túto možnosť s kolegami tak boli aj názory kto by to využil prípadne načo. Igigi však tento problém vyriešil.
Nie je potrebné hakovať ostrý server banky kde môže prebiehať analýza logov (aspoň dúfam) prípadne sú nastavené aj iné mechanizmy ako zabrániť niektorým systematickým testom. Na testovacom webe je to jednoduché, môžete ho stiahnuť, beztrestne si pozrieť a otestovať čo chcete, v tomto prípade web bežal na staršom systéme (pravdepodobne Centos/RH) zo starším SSH… jednoducho možností je viacej. Keď sa však podarí dostať do databázy ako už spomínanému hakerovi Igigi tak máte pripravený kompletný web ktorý môžete využiť na potreby phisingu. Samozrejme dá sa namietať že je to prácne a nepravdepodobné ale ako písal Rasťo Turek banky samé vytvárajú nebezpečné podmienky napr. ČSOB sa nad takýmto niečím ani nezamyslela a posiela mail ktorý má prvky phishingu (pozdravujem marketing ČSOB).
Vzhľadom na to že testovací web už nie je aktívny tak sú dostupné už len nekvalitné pozostatky z google cache. Samotný web bol umiestnený na adrese developera aston.sk.
Pre ilustráciu si môžete pozrieť stránku www.euroinformácie.sk (tento už nepatrí UniCredit Bank) a duplicitný web ktorý tam pôvodne bežal a je stále umiestnený u astonu : http://secure.aston.sk/euroinformacie/
Ak sa Igigi dostal k databáze Union.sk tak môžeme dedukovať že sa dostane aj do webu/databázy Unicreditbank.sk. Pre banku je to peklo (predpokladám že používa okrem MySQL aj Oracle prípadne DB2) a pre jej klientov to vydáva alarmujúci stav slovenského bankovníctva z pohľadu bezpečnosti.
Trochu som ešte pátral a našiel som niektoré heslá k MySQL5-hashom ktoré zverejnil Igigi na svojom blogu (mimochodom sú z 27.10.2009!!!):
secure.aston.sk, root, *0847D653C8799A0721B9E2CEE15CE2BF0888AFA0 (heslo som vymazal aby som nepoškodil tretiu stranu ktorá bola z pohľadu bezpečnosti v tomto prípade nevinná)
Ak by bol reálny stav aj v ostrom prostredí tak Unicredit môže smelo konkurovať NBU zo svojím heslom nbusr123.
-pb-
Edit (11:20 23.12.2009):
Všetky problémy ktoré som popísal sú už fixnuté. Bolo to veľmi rýchle takže dotknuté strany si uvedomili chyby ktoré tu boli. Môžete si však pozrieť ešte stále pozostatok stránky v google cache. Zároveň by som sa chcel poďakovať pracovníkovi UniCreditu ktorý veľmi rýchlo urobil nápravu a poďakoval sa za poskytnuté informácie (stáva sa to zriedkavo).
Len pre fakticku spravnost: nbusr123
?akujem za upozornenie, už som to opravil.