Το προφίλ μας στο Google Plus
0

The IBAN-application incident

Δεν έχει περάσει ούτε μήνας, όταν ο ασφαλιστικός φορέας για το προσωπικό τραπεζών έκανε μια μεγάλη γκάφα. Ο φορέας διένειμε στα μέλη του μια εφαρμογή για Windows, μέσω της οποίας θα δήλωναν διάφορα προσωπικά δεδομένα, όπως αριθμό ταυτότητας, αριθμό λογαριασμού (σε μορφή IBAN) κ.λπ. Όλα καλά, μόνο που η συγκεκριμένη εφαρμογή ήταν εντελώς τρύπια :/ Αρκεί να σας πούμε ότι για την επικοινωνία με τον κεντρικό server πραγματοποιούσε μια σύνδεση RDP, με τα σχετικά credentials να διακινούνται χωρίς καμία απολύτως προστασία…

deltaHacker 028 (τεύχος Ιανουαρίου 2014) | The IBAN-application incident

Το site του ασφαλιστικού φορέα ζητούσε από τους χρήστες να κατεβάσουν ένα εκτελέσιμο αρχείο με το όνομα 1_LoginIban.exe — απαράδεκτο όνομα, αν θέλετε τη γνώμη μας :) Όταν το εκτελούσε κανείς, πραγματοποιούσε μια σύνδεση σε κάποιον server του ασφαλιστικού οργανισμού, με χρήση του πρωτοκόλλου RDP. Αμέσως μετά, η εφαρμογή φόρτωνε κι εκτελούσε αυτόματα μια φόρμα σε MS Access. Η φόρμα ζητούσε από τον χρήστη διάφορα προσωπικά δεδομένα κι όταν αυτός τα έδινε, το πρόγραμμα τα αποθήκευε σε μια βάση δεδομένων στον server. Ακολουθούσε μια αποσύνδεση και το πρόγραμμα τερματιζόταν. Στο παρόν άρθρο δεν θα αναλωθούμε σε κριτική, ούτε θα περιοριστούμε σε γενικά σχόλια περί ασφάλειας και προσοχής. Θα εστιάσουμε στην τεχνική πλευρά του ζητήματος και θα δούμε με ποιον τρόπο θα μπορούσε ένας κακόβουλος χρήστης να μάθει τα credentials, με τα οποία γινόταν η σύνδεση στον server του οργανισμού.

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 028 (τεύχος Ιανουαρίου 2014).

Το μηνιαίο περιοδικό deltaHacker είναι πλέον ηλεκτρονικό! Μάθετε για τις νέες, απίστευτες τιμές και κάντε τώρα την παραγγελία σας συμπληρώνοντας τη σχετική φόρμα.

Σημείωση για τους νέους φίλους: Δεν έχετε πάρει ακόμα συνδρομή στο περιοδικό; Δείτε αυτές τις προσφορές, μάλλον θα σας ενδιαφέρουν :)

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων