21:01
20/6/2012

Jegomość podpisujący się nickiem c0mrade chwali się na Pastebinie, że posiada dostęp do sieci wewnętrznej co najmniej 2 banków, w tym Citibanku i CoBanku. Jeśli chodzi o Citibank, c0mrade zdradza, że infiltrował go od 2008 roku…

4 lata na serwerach banku…

Na początek zastanówmy się co to znaczy dostęp do wewnętrznej sieci banku? Zaatakowanie komputera z którego korzysta jeden z pracowników? Root na bankowych serwerach? Wszystko wskazuje na to, że atakujący uzyskał dostęp do bankowych serwerów za pomocą udostępnianego przez bank oprogramowania, które (jak to w większości banków) jest obudowanym/okrojonym klientem FTP służącym do transferu raportów/kwitów/sprawozdań. Po wyciągnięciu danych z takiego klienta można próbować eskalacji przywilejów na serwerze FTP i najwyraźniej taką metodę ataku obrał c0mrade.

c0mrade

c0mrade prezentuje część przechwyconych danych

c0mrade opublikował fragmenty przejętych przez siebie informacji, oraz wyjaśnił, że na serwerach banków przebywał kilka ładnych lat, czekając na odpowiedni moment. Intruz zdradził również, że oprócz Citibanku, przejeął kontrolę nad serwerami Cobanku, a jako dowód opublikował w internecie kod źródłowy wykorzystywanego przez bank oprogramowania.

Analiza udostępnionych przez c0merade’a danych wskazuje na to, że zaatakowany oddział Citibanku nie jest oddziałem polskim.


Przeczytaj także:



35 komentarzy

Dodaj komentarz
  1. Dlaczego nie zaskoczyło mnie że to CitiBank?

  2. Aż się chce napisać “Shittybank” :)

  3. Hmm, hinduskie imiona uzytkownikow…

    • …co oznacza, że to jakiś oddział w UK. ;)

  4. @kayo bo to jeden z największych i najstarszych banków złożony z mniejszych spółek córek i pewnie największe szanse na znalezienie gdzieś dziury ?

  5. Citi (corp) ma takie wygórowane procedury odnoście oprogramowania, że to aż boli. Na dostarczane oprogramowanie marudzą strasznie (Polska) – że tu inaczej, zmieni im się, to znowu chcą tak jak poprzednio, itp. Udręka.

    No i na co im to, skoro i tak się włamali.

    • Franek, mówisz o Polsce, ale w kontekście rzekomego włamu na niepolskie usługi? Jaki to ma związek?

    • To jest globalna korporacja – raczej wszędzie mają ten sam standard (te dokumenty które wypełnialiśmy były po angielsku)

  6. Ten sam co się kiedyś do NASA wbił? :)

    • Nie to raczej nie ten sam.
      Tamten “c0mrade” strzelił sobie w głowę

    • trzy razy

  7. @Misiek
    Może to, że zazwyczaj standardy panują dla całej grupy?

  8. Citi ma poziom IT jak mBank, wiec nie czuje zaskoczenia.

  9. Ależ się wysypało znawców infrastruktury informatycznej korporacji. No, no…

    Ale do rzeczy. Pracuję 8 rok w Citigroup. Zajmuję się bezpieczeństwem systemów bazodanowych. Od Madrytu po Pakistan.
    Mam bezpośredni dostęp na prawach admina do kilkuset (300+) serwerów i znam (stosuję) procedury bezpieczeństwa więc się zaniepokoiłem…

    Sprawdzam pastebin:
    A co to widzimy?
    N.p. “Abdullha Faud Holding Co.” Hmmm… To wygląda na firmę, pytam Googla – lipa, nie ma.
    Następne – “”Arabin Computer Projects Co Ltd”” – lipa, Google linkuje do pastebin…

    Tak myślałem…
    Dla mnie to bzdura, śpię spokojnie.

    A co – mam się martwić?

    • Rozumiem, ze Tobie zawdzieczaja klienci swego czasu jakze niesamowite zabezpieczenia w rodzaju nieszyfrowanego polaczenia i jednego hasla do WSZYSTKICH czynnosci wykonywanych na swoim koncie. Ze o dzialaniu tylko na IE nie wspomne. Czy dzis Citi dojrzal juz do czegos takiego jak token, czy nadal uwaza takie nowomodne zabawki jako zbedne?

    • Coś słabo tego googla pytałeś

      Abdullha Fuad Holding Co.
      hxxp://www.abdulla-fouad.com/

    • “Tak myślałem… Dla mnie to bzdura, śpię spokojnie.” – i właśnie dlatego gość miał wjazd od 4 lat :]

    • @TrashO2
      W czeskim Citibanku od paru lat jest dostępny token Digipass https://production.citibank.cz/CZGCB/JPS/portal/LocaleSwitch.do?locale=cs_CZ&icid=LINK-CBOL-HP-TOPMENU lub sms jednorazowe. Czyli jak widać można.

    • jaki z ciebie specjalista security jak ty nawet wujka Google dobrze odpytac nie muemisz ?
      wg. twojego wywody – jesli nie potrafisz znalezc problemu to on nie istnieje??? – gratuluje bankowi takiego “specjalisty security” – powinni cie wylac na zbity pysk juz tylko za sam komentarz w takim tonie

      ps. unioslem sie bo sam jestem oficerem security a takie texty od debili takich jak ty mnie po prostu wkurzaja

  10. @TrashO2
    “Rozumiem, ze Tobie zawdzieczaja klienci swego czasu jakze niesamowite zabezpieczenia w rodzaju…”
    Nie. Istnieje coś takiego jak ‘segregation of duties’ – od tego są admini sieci.
    Ja jestem od baz danych, bez jakichkolwiek uprawnień do OS czy sieciowych protokołów.

    @cossmiczny
    “Abdullha Fuad Holding Co.
    hxxp://www.abdulla-fouad.com/”

    Coś słabo tego Googla przeczytałeś:
    “Abdullha” to nie jest “abdulla”
    “Fuad” to nie jest “fouad”

    “abdulla-fouad” to na pewno nie jest “Abdullha Fuad”
    Przyjrzyj się uważnie, zobaczysz różnicę.

    W korporacji, zwłaszcza mojej, przemilcza się wpadki (no bo to była wpadka) jak ta z numerami kart.
    Im mniej prasa pisze o Citi, tym lepiej dla Citi…

    • Och, to Ty nie powiesz. Wiec rozumiem, ze nie dostane prostej odpowiedzi, czy Citi dojrzalo juz do nowomodnych rozwiazan w rodzaju tokena?

    • @TrashO2 Citi to bank inwestycyjny. Może nie kładą nacisku na tą gałąź.

      @Bogdan bierzesz pod uwagę że mając “raw dump”- translacja na Angielski może się różnić jeżeli nie mamy pełnej informacji jak region jest opisany w bazie danych (Chyny, Indie – mają kilka alfabetów,dialektów) – może się różnić (raw), mogą być jakieś podstawienia na podstawie dodatkowych pól opisowych?

      Może jednak na wszelki wypadek powinieneś sprawdzić więcej danych?:P

    • @Bartek – jeszcze tak durnego wytlumaczenia dla braku elementarnych zabezpieczen nie slyszalem jak zyje. Ale spoko: zaloze, jak to bylo, “bank inwestycyjny” i bede trzymac pieniadze w skarpecie – jak mnie okradna powolam sie na Ciebie. Ty scenariusze dla Monty Pythona powinienes pisac.

    • @TrashO2 Aby zrozumieć Citi “gardzi klientem detalicznym”. Zerknij tu hxxp://niebezpiecznik.pl/post/spam-glupi-czy-sprytny/ i zastanów się czy ich polityka jest słuszna.
      Co do scenariuszy to czy znasz ten, że przychodzi zajączek do sklepu metalowego i prosi o tort marchewkowy?
      Nikt Ci w Citi nie każe konta mieć. Jak się nie podoba to idź tam gdzie Ci lepiej.

      PS To ,że masz token nie czyni Cie bezpiecznym.

    • @Bartek – piszesz nieprawdopodobne BZDURY. Jak myslisz, czemu duze firmy uciekaja z Citu? Czemu Citi ma klopoty? Odpowiem Ci: bo jest dziadowskim bankiem – dziadowsko zarzadzanym z dziadowskimi pracownikami. Chrzanienie, ze jest ukierunkowany na duzych graczy i dlatego moze miec prehistoryczne IT, zwykly informatyczny bu*del na kolkach (o czym zreszta jest ten news), jest tak popaprane jakbys od kilku dni wachal klej.

    • TrashO2 firmy uciekają z Citi, bo dostają lepszy produkt za niższą cenę.
      W dzisiejszych czasach nikogo nie stać na lekceważenie IT. Dla informatycznego burdelu na kółkach nie ma usprawiedliwienia.
      Miałem okazję trafić na kilka błędów w ich aplikacjach i mieć do czynienia z pracownikami wsparcia w Citi. I jest jak wszędzie, 1/10 kuma o co chodzi. Poza tym. Ich klienci biznesowi w Polsce jak najbardziej korzystają z tokenów i to takich z pinem.

      PS Uwierz, że miałem okazje poznać inne banki w Polsce od gorszej strony niż Citi.

    • @Bartek – sa gorsze banki czyli znow absurdalny argument. Traktujmy siebie powaznie. To, ze gorsze banki nie ma znaczenia bo sa takze lepsze i to duzo lepsze. Citi dzis spija to na co “ciezko” zapracowal swoimi oszczednosciami, swoimi cieciami – tym calym ogolnym skansenem nie wylaczajac rozwoju IT (do licha, jakiego rozwoju wlasciwie?). Citi zatrzymal sie jakies 10 lat temu, czyli w momencie gdy MUSIAL wdrozyc bankowosc internetowa (bo konkurencja takze wdrozyla) i jak stanal, tak stoi w swoim samozadololeniu, a klienci odchodza. Najlepsze jest pewnie to, ze jak beda na skraju bankrudztwa to poprosza o wsparcie z budzetu, czyli wsparcie na koszt podatnikow, bo przeciez “sa za duzi aby upasc” – ale to juz inna rzecz.

  11. Fakt nie zwróciłem na to uwagi :)

    Zwracam honor

  12. Niestety jest pełno miejsc i instytucji gdzie szpece informatyczni uważają takie ” niebezpieczniki ” jako fantazje studenckie i herezje, natomiast ” głębokie ukrycie ” + hasła admin1 są szczytem zabezpieczeń. Smutne ale prawidze.

    • I pewnie nie wszyscy o Niebezpieczniku słyszeli. Ja ponad rok temu przypadkowo trafiłem szukając informacji nt. bezpieczeństwa kart płatniczych. Od tej pory Niebezpiecznik jest na pasku ulubionych.

  13. Ile jeszcze takich paroletnich dostępów jest :) Czekam na newsa o Orange :)

  14. Jak uważacie który bank jest najbezpieczniejszy ?

  15. Tylko czekać, aż prędzej czy później któryś z banków zostanie okradziony ze wszystkiego – to będzie jak powrót na Dziki Zachód. Wszyscy obudzą się w nowym świecie – bez kasy na kontach. Najbezpieczniejszy bank to jest taki, w którym nie trzyma się pieniędzy. Nikt nie jest wszechwiedzący, więc konkretnej informacji nie otrzymasz.

  16. […] znany nam z włamań do m.in. Citibanku, opublikował wykradzione z serwerów firmy antywirusowej TrendMicro dane […]

  17. Dziwne, że nie można się połączyć ze stroną internetową
    Citibank Online pl. Jak się dzwoni do Banku oni wszystko mają OK.
    Mogą się łączyć. Radzą wyczyścić cookies, zmienić przegladarkę
    internetową, sprawdzić firewalla. Wyczyszczenie, sprawdzenie ani
    zmiana nic nie daje. Dalej nie można się połączyć. Mam w innych
    bankach konta. Łączę się bez problemu. Z Citibankiem zaś nie da
    rady. Co to jest ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: