10.04.2014 | 15:43

Adam Haertle

22 komentarzy

Jak Bitcurex dzielnie z błędem w OpenSSL walczył

Popularna polska giełda BTC twierdzi, że nigdy nie była i nie jest podatna na błąd umożliwiający wyciek danych. Do tego oznajmia, że obserwowane przez kilka godzin wycieki pamięci były wynikiem kontrolowanego wdrożenia… honeypota. Czas na fakty.

Wczoraj opisaliśmy skutki występowania błędu w OpenSSL, odczuwane przez wiele polskich serwisów internetowych. Wspomnieliśmy w nich także o dużej polskiej giełdzie BTC, która ujawniała niektóre dane.

Bitcurex: nie byliśmy i nie jesteśmy podatni na błąd w OpenSSL

W poniedziałek 7 kwietnia około godziny 16 naszego czasu w sieci pojawiła się informacja o katastrofalnym w skutkach błędzie w OpenSSL, umożliwiającym odczytywanie pamięci serwerów. Od wtorkowego poranka dostępne były narzędzia, umożliwiające każdemu internaucie samodzielną weryfikację podatności wybranych serwisów.

We wtorek ok. godziny 10 otrzymaliśmy informację, że jednym z podatnych serwisów jest giełda BTC Bitcurex. Przekazaliśmy tę informację prywatnymi kanałami administratorom serwisu. Około godziny 13:30 na profilu Bitcurexa na Facebooku pojawił się taki oto komunikat.

Komunikat Bitcurexa

Komunikat Bitcurexa

Czytamy w nim, że serwis nie tylko nie jest podatny, ale także nigdy podatny nie był. Trochę nam się to nie zgadzało z danymi, które pokazał nam nasz Czytelnik. Postanowiliśmy zatem dopytać Bitcurexa.

Zaczyna się jazda

To tylko honeypot

To tylko honeypot

Zatem Bitcurex nie zaprzecza, że dochodziło do wycieku pamięci z serwera, ale twierdzi, że, uwaga, było to honeypot! Wygląda zatem na to, że w czasie, gdy największe serwisy nie potrafiły jeszcze załatać swoich maszyn, Bitcurex zdążył zidentyfikować zagrożenie, odfiltrować niebezpieczny ruch, zbudować honeypota i tam ten ruch przekierować. A następnie ok. godziny 13 honeypota wyłączyć, ponieważ „nie był napisany optymalnie, wykorzystując zbyt dużo zasobów serwera i nie działał stabilnie”.

Co prawda nie wiemy, co solenie haseł ma do wycieku pamięci serwera z danymi przekazywanymi przez użytkownika, no ale już się nie czepiamy.

Mistrzowski honeypot

Musimy zatem przyznać, że honeypot autorstwa Bitcurexa był zaiste arcydziełem, ponieważ perfekcyjnie udawał pamięć prawdziwego, działającego serwera. Poniżej przykłady, nadesłane przez Czytelnika pełnego podziwu dla maestrii administratorów Bitcurexa. Na wszelki wypadek niektóre dane zastąpiliśmy znakami „xxx”.

Content-Disposition: form-data; name="name2"....Pawe.. Hxxxx..ul. Moxxx x/xxx..41-806 Zabrze..
Content-Disposition: form-data; name="chatNick"....el.ziomxxx.
Content-Disposition: form-data; name="notifyBalance"....1
Content-Disposition: form-data; name="locked"....0.
Content-Disposition: form-data; name="passwd"....0425xxxxxx
Content-Disposition: form-data; name="submit"....zapisz dane
AcunetixBoundary_KEOYDGKPFT..Content-Disposition: form-data; name="password"....acUn3t1x..
AcunetixBoundary_KEOYDGKPFT..Content-Disposition: form-data; name="submit"
_pk_ref.3.c5eb=%5B%22%22%2C%22%22%2C1392559508%2C%22https%3A%2F%2Fforum.bitcoin.pl%2Fbitcurex-problem-z-kupnem-btc-t11003.html%22%5D; 
_pk_ref.3.c5eb=%5B%22%22%2C%22%22%2C1396951137%2C%22http%3A%2F%2Fpoczta.onet.pl%2Findex.html%22%5D; 
_pk_ref.3.c5eb=%5B%22%22%2C%22%22%2C1396012951%2C%22http%3A%2F%2Fwww.facebook.com%2Fl.php%3Fu%3Dhttp%253A%252F%252Fpln.bitcurex.com%252F%26h%3DaAQEDiJIP%22%5D
_pk_ref.3.c5eb=%5B%22%22%2C%22%22%2C1396851747%2C%22https%3A%2F%2Fpolmine.pl%2F%3Faction%3Ddashboard%26curr%3D%26payoutmessage%3DTransfer%2520udany%22%5D;
_pk_ref.3.c5eb=%5B%22%22%2C%22%22%2C1396949027%2C%22http%3A%2F%2Fwww.wykop.pl%2Fwpis%2F6389622%2Fbitcoin-mam-10pln-na-bitcurex-wiem-malo-ale-chce-n%2F%22%5D;
{s:4:"hash";s:40:"a4d2ac8fcb832d618c29deeafb35cb7fb0219575";s:5:"class";s:17:"User_Form_Profile";s:7:"options";a:5:{s:4:"name";s:12:"form_profile";s:5:"class";s:12:"form_profile";s:14:"accept-charset";s:5:"utf-8";s:6:"method";s:4:"post";s:7:"enctype";s:19:"multipart/form-data";}s:5:"_hash";s:32:"265e85be9d157925ace77a5db883cc26";}
"form_request";s:5:"class";s:12:"form_request";s:14:"accept-charset";s:5:"utf-8";s:6:"method";s:4:"post";s:7:"enctype";s:19:"multipart/form-data";}s:5:"_hash";s:32:"5edb4e4074cb0834a6e0feb65b66b60a";}

Prawda że niezły ten honeypot? Wygląda zupełnie jak prawdziwy serwer.

Powrót

Komentarze

  • 2014.04.10 15:52 m

    sciema

    Odpowiedz
  • 2014.04.10 15:53 aha

    Niezłą linię obrony przyjęli, nie ma co.

    Odpowiedz
  • 2014.04.10 16:05 Mati

    Widze ze akurat uzytkownik z Zabrza :)

    Odpowiedz
  • 2014.04.10 16:08 filipex

    Zacytuję wywiad z członkiem zarządu:
    „Bezpieczeństwo to w Bitcurex słowo odmieniane codziennie przez wszystkie przypadki. Nie wyobrażamy sobie, aby mogło być inaczej. Z oczywistych powodów nie mogę zdradzić naszych metod. Żeby dać pewien obraz powiem tylko, że na potrzeby bezpieczeństwa mamy w Bitcurex powołany osobny dział. Może się to wydawać przesadą, ale naszym zdaniem właśnie dlatego jesteśmy obecnie najstarszym polskim serwisem wymiany.”

    Otóż to nie przesada – osobny dział? Powinni mieć 5 działów. To są grube tysiące…

    Źródło wywiadu:
    http://infocoin.pl/2014/02/27/o-mt-gox-bezpieczenstwie-i-litecoin-na-bitcurexie-rozmawiamy-p-sebastianem-wozniakiem-przedstawicielem-zarzadu-bitcurex/

    Odpowiedz
    • 2014.04.10 22:18 Mchl

      „Bezpieczeństwo to w Bitcurex słowo odmieniane codziennie przez wszystkie przypadki.”

      Dopełniacz: kogo, czego nie ma?

      Odpowiedz
  • 2014.04.10 16:20 agilob

    Pawłowi z Zabrza gratulujemy daty urodzenia jako hasła ;)

    Odpowiedz
  • 2014.04.10 16:53 red

    A zmienili certyfikat?

    Odpowiedz
    • 2014.04.10 17:02 aren

      Przecież nic się nie stało ;)

      Odpowiedz
    • 2014.04.10 17:05 matt

      dla mniej ogarnietych ( dla mnie ) mogli byscie napisac czy w koncu curex jest bezpieczny czy nie… :)

      Odpowiedz
      • 2014.04.10 17:53 Marcin Rybak

        obecnie błąd już nie występuje, zmiana hasła i klucza api wskazana (i każdego innego miejsca gdzie miało się takie same hasło, lub przynajmniej jeśli to samo jest w emailu :) ).

        Odpowiedz
        • 2014.04.10 18:01 Marcin Rybak

          tzn w dalszym ciągu błąd nie występuje ;)

          Odpowiedz
    • 2014.04.10 20:40 Kuba

      Kilka godzin temu na bitcurexie mignęła mi informacja przeglądarki że certyfikat nie jest zaufany, ale jak kilkanaście sekund później odświeżyłem stronę to wszystko było ok, łącznie z łódka. Data wystawienia i końca jest sierpniowa, ale może mają nowy certyfikat z datą poprzedniego.

      Odpowiedz
  • 2014.04.10 17:03 Eubitcoins

    A nam się udało. Ze względu na starszą wersję OpenSSL na serwerach. Mieliśmy szczęście. Nie musimy zmieniać certyfikatów.

    Odpowiedz
    • 2014.04.10 18:59 marcin

      Tutaj nie ma się czym chwalić. Starsze wersje openSSL mają inne słabości.

      Odpowiedz
  • 2014.04.10 17:22 BGP

    Problemem jest też często to, że niejeden admin zrobi TYLKO coś w rodzaju apt-get install openssl i myśli, że jest po temacie, a usługa pozostaje dalej dziurawa…

    Odpowiedz
  • 2014.04.10 18:03 Bear

    Coś ściemą mi to pachnie – nic sie na Curexie nie podziało przecież, a byłyby ostre jaja już od wczoraj gdyby takie dane wyszły :)

    Odpowiedz
    • 2014.04.10 21:01 ginter

      Nie bez powodu bitcoin spadł nagle o prawie 400 PLN ;)

      Odpowiedz
  • 2014.04.10 18:42 bezdomny

    hehe wlasnie widac polskie ego. Nie moga sie przyzanac do bledu to produkuja banialuki na poczekaniu

    Odpowiedz
  • 2014.05.08 18:35 maciej

    Oo A co to jest solenie haseł ?

    Odpowiedz
    • 2014.06.11 16:48 qwerty

      TE SOLENIE TO ODPOWIEDNIK PIEPRZENIA :)

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Bitcurex dzielnie z błędem w OpenSSL walczył

Komentarze