[FLUG] Re: Reverse engineering sul sito della banca

• From: Romano Romano <blueraven@xxxxxxxxx>
• To: fanolug <fanolug@xxxxxxxxxxxxx>
• Date: Tue, 26 Mar 2002 23:43:21 +0100

Mailing List del Fortunae LUG
=============================

On Sun, Mar 24, 2002 at 12:42:38PM +0100, Bolognini wrote:

> venerdì ho avuto la malaugurata idea di chiedere alla banca di attivarmi
> l'home banking che sapevo gratuito... infatti lo è ma non è quello il punto.

Sono anche io con la BCC, pertanto provo a rispondere alle tue
argomentazioni, aggiungendoci una nota di disgusto: sembra che il tutto
funzioni decentemente solo con IE (da non credere, eh?), esattamente come la
webmail di Libero e parecchi altri siti in giro.
Io mi domando se a Redmond non abbiano qualche macchina per la
lobotomizzazione a distanza, tipo quella che stavano sviluppando i tedeschi
durante la II GM.

> Passando sopra che le password e il nome utente possono essere solo numerici
> (1° errore) e la pass non può essere + lunga di 5 caratteri (2° errore) sono

Onestamente, a cambiare lo username non ho provato, ma la password posso
assicurarti che puo' essere piu' lunga di 5 caratteri e pure alfanumerica.

> andato sul sito della banca a vedere di fare il primo tentativo di login. Mi
> si apre una finestra in popup per farmi loggare... vado a vedere il codice
> della pagina suddetta e che mi ritrovo? Nome e versione del software usato
> per il web-banking con tanto di sito della software house barese che lo
> produce (3° errore)

Onestamente, non vedo quale possa essere il problema in questo.

> Perdipiù nel codice c'era il path alla directory cgi dove risiedono i
> programmi (4° errore) perciò mi son fatto salvare la pagina da Explorer (1°

Gia' questo e' piu' antipatico.

> sito della suddetta software house scopro che il software può girare sui
> seguenti sistemi:
> 
> <cut>
> Sistema Operativo:
> Application Server: OS 400,Windows NT, MP RAS System V, Sco Unix
> Web Application Server: Sistema Operativo Windows NT Server 4.0 con service
> pack 4
> </cut>
> 
> [voi adesso sospetterete che io abbia tagliato la dicitura "con service pack
> 4 o superiore" no belli... proprio no!! C'era scritto -purtroppo- solo con
> SP4]

Credo che il "o superiore" sia sottinteso.
NT l'ho usato poco, ma ricordo che ogni service pack era compatibile col
precedente, quindi, per l'applicativo, dovrebbe essere indifferente se sul
server c'e' il 4 o il 6.

> ma visto che il programma cgi è un .exe non può essere altro che WinNT
> quello scelto dalla mia banca per farcelo girare (5° errore) e perdipiù con
> il Service Pack 4... ma visto che su NT siamo arrivati al SP6 e contando il
> numero di bachi che ogni volta un SP M$ va a correggere direi che fra NT SP4
> e SP6 ci saranno quel bel migliaio di bachi di cui certamente qualcuno
> moooltooo pericoloso!

Giusto, ma bisogna vedere chi ha configurato il server e come viene
mantenuto. Se le patch di sicurezza vengono applicate regolarmente e,
soprattutto, c'e' dietro un admin competente, anche NT puo' essere sicuro.

> E Simon certamente potrà dirci se magari un cgi in .exe
> https://wbank.fmbcc.bcc.it/cgi-prod/sbweb.exe sia vulnerabile a un buffer
> overflow anche se la lunghezza dei campi della form usata per fare il login
> è fissato in max 16 char.

Suvvia, non scomodare Simon per queste cretinate, lui ha di meglio da fare
(trasformata di Fourier contro Simon, 20 a 0 :-).
Aggirare una fixed length di un campo di una form non e' certo complicato.

> a sostituire la pagina della form con una "troianizzata" che invia i dati
> dei login degli utenti a qualche email russa ;-) Il S.O lo sappiamo qual'è e

Senza scomodarsi a bucare il server, che e' rischioso (parliamo pur sempre
di una banca, e per le banche le Forze dell'Ordine si muovono eccome), per
fare questo bastano un web server e un DNS poisoned.
Non hai neanche bisogno di usare un certificato fasullo, creato ad arte:
quello _del server_ te lo danno loro, insieme al contratto! =:-)
E io che speravo che, una volta tanto, le cose fossero state fatte per bene e
che il certificato che ti danno insieme al contratto fosse il TUO personale,
con il server configurato per sbattere fuori quelli che non ce l'hanno...

> provate a lasciare solo http://194.184.81.54/ e vedete un po dove vi porta:
> ma a una bella pagina di documentazione del server Lotus Domino ovviamente
> (6° errore) !!! :-) Ero quasi tentato di mirrorarla da quanta bella
> documentazione contiene!

Sono commosso: mi ricorda quando, girando su alcuni siti, provando a
chiamare l'IP invece del nome si arrivava alla schermata di configurazione
standard di IIS su NT. :-)

> Al solito "you are as secure as your weakest link"... e qui mi pare che non
> ci siamo proprio! Che mi consigliate?? Disattivo il web-banking??

Ma dai... non crederai mica che gli altri (Fineco e soci) siano messi meglio?
Forse forse Banca Mediolanum, ma ho i miei dubbi...

-- 
Romano Romano

Se non e' tutto chiaro, regolate i parametri di brightness
e contrast della vostra mente ( Simon ).
--
"Una Slackware e' per sempre ..."

• References:
  • [FLUG] Reverse engineering sul sito della banca
    • From: Bolognini

Other related posts:

• » [FLUG] Reverse engineering sul sito della banca
• » [FLUG] Re: Reverse engineering sul sito della banca
• » [FLUG] Re: Reverse engineering sul sito della banca
• » [FLUG] Re: Reverse engineering sul sito della banca
• » [FLUG] Re: Reverse engineering sul sito della banca

1. Home
2. fanolug
3. Archive
4. 03-2002

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---