Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Listy Czytelników

Dzisiaj, przed godz. 8 do skrzynki pocztowej Dziennika Internautów trafiło - poparte zrzutami ekranu - zgłoszenie, z którego mogłoby wynikać, że używany przez Allegro certyfikat bezpieczeństwa utracił swoją ważność. Czy faktycznie tak było, czy może doszło do ataku na użytkowników serwisu aukcyjnego? W aktualizacji podajemy stanowisko Allegro.

Nieważny certyfikat - zrzut ekranu nadesłany przez Czytelnika
fot. DI - Nieważny certyfikat - zrzut ekranu nadesłany przez Czytelnika
List od Czytelnika zawiera następującą informację: "Dzisiaj rano chcąc się zalogować w serwisie Allegro na swoim profilu zobaczyłem 2 komunikaty, przesyłam screeny - być może zainteresuje to Państwa". Na dołączonych do e-maila zrzutach ekranu widnieje ostrzeżenie:

Nieważny certyfikat - kolejny zrzut ekranu nadesłany przez Czytelnika
fot. DI - Nieważny certyfikat - kolejny zrzut ekranu nadesłany przez Czytelnika

static.allegro.pl:443 używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat utracił ważność 2008-11-25 06:13.

(Kod błędu: sec_error_expired_certificate)

Zwróciliśmy się już do Allegro z prośbą o skomentowanie zaistniałej sytuacji. Zaraz po otrzymaniu odpowiedzi podzielimy się nią z Czytelnikami Dziennika Internautów.

Zrzut ekranu zrobiony przez eksperta ds. bezpieczeństwa
fot. DI - Zrzut ekranu zrobiony przez eksperta ds. bezpieczeństwa
Michał Piszczek, Kierownik Działu Programistów w firmie ESC S.A., który nieraz wypowiadał się na łamach DI w kwestiach bezpieczeństwa, napisał: "W mojej opinii jest to błąd po stronie użytkownika. Padł on prawdopodobnie ofiarą ataku man in the middle. Screeny są mało wiarygodne, nie pokazują danych certyfikatu ani przeglądarki".

Atak man in the middle polega na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.

Ze zrzutu ekranu zrobionego przez eksperta kilka minut po godz. 9 rano wynika, że obecny certyfikat Allegro został wystawiony 2007-08-24 14:19:20 i jest ważny do 2009-08-23 14:19:20. Duża liczba komentarzy potwierdzających zjawisko sugeruje jednak, że problem rzeczywiście miał miejsce.

Na uwagę zasługuje też fakt wymuszania przez Allegro logowania bez SSL, nawet jeśli w formularzu zostanie zaznaczona opcja "Bezpieczne przez SSL", o czym ok. godz. 11 poinformował redakcję Michał Piszczek.

AKTUALIZACJA 1

Piotr Konieczny - inny nasz konsultant ds. bezpieczeństwa - potwierdził, że "na obecną chwilę Allegro posługuje się jak najbardziej poprawnym certyfikatem. Certyfikat został wystawiony przez zaufany podmiot (Thawte) i będzie ważny aż do 23 sierpnia 2009. Odpowiednie pole w certyfikacie Allegro zawiera także informację, że ów certyfikat, poświadcza autentyczność strony już od 24 sierpnia 2007".

Sytuacja przedstawiona przez Czytenika mogła się zdarzyć z kilku, teoretycznie możliwych, powodów. Ekspert wymienia dwa najbardziej prawdopodobne.

  1. Błąd ludzki. Certyfikat Allegro faktycznie przedawnił się dziś nad ranem i zespół administratorów podmienił go na przygotowany wcześniej (a widoczny obecnie na stronie logowania). W międzyczasie kilku użytkowników widziało błąd przedawnienia. Jak tłumaczy Piotr Konieczny, generowanie certyfikatów "na zapas" ze względu na koszty nie jest popularne, ale nie jest też niemożliwe.

  2. Serwer DNS, z którego korzystał dziś rano Czytelnik został zaatakowany lub podmieniony. W konsekwencji ataku IP zwracane dla domeny allegro.pl mogło prowadzić na podstawioną przez atakującego stronę. Ta oczywiście posługiwałaby się fałszywym certyfikatem. "Byłby to jednak atak wyjątkowo ślamazarny, gdyż atakujący z reguły albo w całości usuwają obsługę certyfikatów na podstawionej stronie, albo przynajmniej są w stanie tak wygenerować fałszywy certyfikat, żeby przeglądarka nie pokazywała błędu przedawnienia" - uważa Piotr Konieczny. Potwierdzenie błędu przez innych Czytelników można tłumaczyć na dwa sposoby: wszyscy korzystali z tego samego serwera DNS (np. sieci TPSA) lub zaatakowanym serwerem DNS był serwer autorytarny dla domeny allegro.pl.

"Niestety, by rozstrzygnąć, która wersja wydarzeń miała miejsce, musielibyśmy posiadać więcej wiarygodnych informacji dot. błędnego certyfikatu (np. jego odcisk). Tych niestety nie mamy - musimy więc zaufać opinii specjalistów Allegro" - stwierdził Piotr Konieczny.

Allegro zostało powiadomione o problemie dziś rano, zanim jeszcze ten tekst został opublikowany. Odpowiedzi jeszcze nie otrzymaliśmy, mimo kilku prób nawiązania kontaktu, także telefonicznych.

AKTUALIZACJA 2

Patryk Tryzubiak, PR Manager Grupy Allegro.pl, udzielił Dziennikowi Internautów następującego komentarza: "Błąd zgłoszony przez Użytkownika był związany z wymianą wygasającego certyfikatu bezpieczeństwa na nowy certyfikat. Logowanie się w trakcie wymiany certyfikatów i próba autoryzacji wygaśniętym certyfikatem SSL powodowały wyświetlenie informacji o utracie ważności certyfikatu. Zaistniałe zdarzenie nie powodowało utraty funkcjonalności serwisu. Niezbędna aktualizacja trwała około 15 minut, a certyfikat został w pełni zaktualizowany o godzinie 8.34".


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl

UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl