Comments 193
И где Роскомнадзор? Почему же он еще не примчался защищать ПД российских граждан, которые его так волнуют?! Или защита данных россиян это все же просто предлог для блокировок всего на свете?
Погоди, сейчас они подсуетятся и заведут уголовное дело на хакира...
Как когда-то было написано в лирическом отступлении к моему резюме — «за те же деньги можно нанять пятерых студентов, но разгребать после них будет уже дороже».
Интересно, почему в договора с генподрядчиком не включают пункт об анальных карах за привлечение третьих лиц для выполнения договора. Это же так просто!
Так в таком случае генподрядчик по сути занимается отмыванием бабла! И он реально только паразитирует на контрактах. Прикиньте — насколько была бы здоровее экономика, если деньги шли напрямую конечным исполнителям без всех этих «комиссий»!!!
А управление рисками? Мы же видим, что генподрядчик абсолютно наплевательски относится к данным клиента
обеспечить в закупках гарантийный залог на несколько десятков милионов
Ну, да, это сразу отрезает доступ к контракту «мелким чепешникам». Другой вопрос насколько это нормально :/
Так в таком случае генподрядчик по сути занимается отмыванием бабла! И он реально только паразитирует на контрактах.
Это в общем-то не новость
Прикиньте — насколько была бы здоровее экономика, если деньги шли напрямую конечным исполнителям без всех этих «комиссий»!!!
Поздравляю, вы изобрели СССР, где за спекуляцию сажали.
Тогда бы ВВП не рос, по мнению людей в этой кормушке, если бы не было кучи прокладок посередине. И оффшорные счета бы не росли.
тогда проще просто печатать деньги и раздавать их людям. Люди тратят деньги — покупают товары — ВВП растет )))
Надо просто понимать, что во власть всегда и во все времена идут только для этого. Не с целью сделать всех одинаковыми, а сделать себя выделяющимися на фоне других.
Даже коммунисты не стремились сделать всех одинаковыми, это было просто речи для плебса, сами же они стремились жить в лучших роскошных квартирах и получать плюшки, недоступные плебсу. Привет 200 отделу в ГУМе, только для избранных. Тот же иностранный агент Ленин, финансируемый немцами, в 17 году по приезду из Швейцарии остановился почему-то не в вшимом хостеле, а в лучшей гостинице Националь рядом с кремлём. Но в уши плебсу знатно заливал сказки.
В начале 1918 года после переноса столицы РСФСР в Москву гостиница «Националь» была национализирована и переименована в 1-й Дом Советов. В бывших номерах временно поселились советские чиновники наркоматов. До переезда в Кремль в люксе № 107 на третьем этаже жили председатель Совнаркома Владимир Ленин и Надежда Крупская.
Но 1917 он жил в особняке балерины Кшесинской, подаренном ей императором. Ещё до октябрьской революции. Просто самовольно захватил.
Во время Февральской революции Кшесинская вместе с сыном Владимиром в спешке покинула свой особняк. Опустевшее здание было самовольно занято солдатами мастерских запасного автобронедивизиона.
Это Айти, а не стройка — тут можно все :-)
И, да, бывают кейсы, когда конечный исполнитель один.
Менеджеры, кстати, нужны.
Представьте что вам надо построить дом, и вам лично придется искать отдельно каменьщиков, кровельщиков, сантехников и прочая.
ага, только в том же ЕПАМе есть все — и датасайентисты, и программисты, и инженеры, и поддержка, и дизайнеры. В конце-концов никто не мешает нанять нужных людей (но вопрос их поиска — это да) в отдельную ООО и именно она будет вести проект.
Вот чтобы все это организовать и существует генподрядчик.
в данном случае цепочка оказалась длиннее ))))
включает, но только когда касается подрядчиков, не имеющих личных связей с организатором тендеров
Мы гордимся, что достойно смогли принять участие в таких проектах как Личный кабинет налогоплательщика; Геопортал «Мониторинг государственной программы»; ГИС «Мониторинг строительства Олимпийских объектов».
И кажется это только контракты до 2017го года включительно
Это компания кого надо компания, судя по всему :)
5 человек по 100 000 в месяц на 5 лет. Нуу… Сверхдоходов как-бы нету, просто криворукие.
Именно так и было.
Подумал, что ты просто вальнул статью, без предупреждения накосяпоривших.
Хорошо хоть дыры таки закрыли. А то те же банки игнорируют до последнего, а как опубликуешь, сразу уголовным делом начинают грозить.
Например, для уязвимостей в серверах Таджикистана — было бы хорошо, чтоб этот человек был не в Таджикистане.
Может, под "так и было" имелось в виду что тащ майор за это и взял?
исходный код данных сервисов находится в публичном доступе
Государственный сервис разработанный за деньги налогоплательщиков, нельзя показывать налогоплательщикам? Хмммм…
Меня в этой ситуации больше волнует bugbounty, а точнее отсутствие оного?
Какое-такое багбаунти?
Государственные сервисы багбаунти выдают в годах лишения свободы.
"Лучшее поощрение — это ненаказание"
А в чём смысл и необходимость обфускации apk?
В том же, в чем смысл не хранить ключи от api и пароли в открытом виде. Да, не панацея, но вполне простой способ еще немного улучшить защиту от реверса и взлома
еще можно было certificate pinning сделать, чтобы нельзя было сделать:
Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.
Да много чего можно сделать :)
А как именно отключается certificate pinning? Это же не общесистемная фича, приложение тупо содержит fingerprint-ы своих сертификатов (или их CA), и без отключения этой проверки в коде самого приложения обойти её не получится. А найти и поменять if внутри чужого кода — не совсем корректно описывать фразой "отключается не сложнее, чем включается", мягко говоря.
Не, apk у них обфусцирован. Не сильно страшно, т.к. котлин интринсиками палит имена переменных, но обфускация всё-таки в наличии
API старой версии этого приложения (когда можно было просто загрузить чек по QR и получить детали) — курочили. И даже на хабре статьи (например https://habr.com/ru/post/358966/ ) были как это для себя использовать.
И 3rd party софт появился.
Ну да — для авторизации нужен был номер телефона аккаунта ФНС и доступ к нему.
А вот в данном примере — я что-то не понимаю, ну да — тут халатность с доступом к исходникам налицо. А где левый доступ данным(случаи что при покупке указали левый номер телефона — это не халатность разработчиков, это халатность тех кто придумал чеки по смс на телефон (ну а куда ЕЩЕ их слать если e-mail нету а прислать надо)).
Ну, чеки по смс это тупость — потому что это неявно предполагает наличие мобильного телефона у каждого гражданина страны. Что не совсем верно. Хотя и для большинства это так.
Насколько я всю эту механику с 54-ФЗ помню — если клиент сказал что чек по e-mail или смс то продавец обязан отправить на смс в любом случае а на e-mail — если есть техвозможность. см например https://kontur.ru/ofd/news/5918
Без разницы продавец чего (да хоть хлеба в магазине).
Если покупатель не требует — его дело.
Если покупатель дал e-mail — можно не использовать смс а слать на e-mail (а интернет сервисы e-mail имеют почти всегда имеют же).
Приложение ФНС даже QR-код умеет показывать с закодированным телефоном и e-mail чтобы на кассе считали.
Мне конечно интересно что будет если я распечатаю соответствующий кусок закона и попробую от продавца хлеба выполнять его.
попробую от продавца хлеба выполнять его.
Мне кажется, что вы введёте в ступор кассира )
Кассир простой исполнитель.
Вопрос в наличии и полноте информационной системы для выполнения таких функция.
А это проблема собственника.
Не знаю, будут ли это как-то решать мелкие магазины у дома.
Но многим магазинам эта фича нужна раз в пятилетку, причём исключительно для случая когда приходит любопытный IT-шник, чтобы проверить: «А что так можно?» В результате запрятана она может быть глубоко, и кассир может о ней не знать.
Посмотрите на "интерфейс" АТОЛ 91 lite (и подобных моделей) — насколько реально ввести e-mail с таким интерфейсом? А ведь есть ещё и модифицированные Меркурий-185Ф и даже более убогие модели… В общем, с отправкой чека в небумажном виде проблема может возникнуть даже при соблюдении всех букв закона.
Да, в виде СМС отправить выглядит более реально, но включить этот функционал и обучить персонал — не всегда просто.
P.S.: я работал "рядом" с сопровождением мелкой розницы, пару лет назад, как раз на волне срочного внедрения ОФД — в цирке смеяться почти перестал.
Ну, вот, представьте — есть ИП, который производит предметы народного творчества (пусть будут глиняные свистульки), у него есть все разрешения ими торговать в отведённых местах… но торговать без касс с подключением к ОФД ему нельзя, а денег на комп (да и где его ставить на лотке возле вокзала?) у него нет — он даже на упомянутых мной "уродцев" денег с трудом набрал — раньше без чеков нормально можно было торговать… ну, или бабуля на рынке, которая огурцы два раза в год привозит на ручной тележке — нахрена ей что-то сложнее "калькулятора, печатающего чеки", который дирекция рынка выдаёт вместе с "билетом на день".
А если серьёзно, то часто код почти «бесплатно» утекает. Кто-то решил взять своё «творчество» с собой по увольнению, кто-то где-то на форуме запостил кусок кода со своим вопросом, а кто-то просто не понимает разницу между хранением на корп сервере от хранения дома на email'е или на флешке.
Тоже самое произойдет с вами, как только вы станете маломальски публичным. И кому надо тут же пойдет шерстить потенциальных знакомых на предмет любой информации, которую эти люди будут готовы растрепать за двадцатку. Всякие Контактики упрощающие этот поиск потенциально ваш главный враг.
Я это к тому, что этот вектор атаки гики считают недостойным обсуждения с самим собой, кого бы я не спрашивал. В том что другие люди с легкостью за шелест банкнот распрощаются с частной информацией о вас у меня сомнений нет .
Спроси ФНС, они спросят ягоду. Вроде даже ссылка была в проверке чеков.
Меня вот пятерка задрала, у которой штрихкоды не распознаются, а если по номерам вбить, то чек проходит. Но они кажется просто такие бледно серые принтеры закупили.
У меня чеки одной сети аптек — тоже не бьются. Я посмотрел данные qr-кода — они просто не совпадают с чеком, то есть фискальный номер аппарата, фискальный признак, все данные другие — отличны от тех, что написаны на самом чеке. Только дата и сумма операции совпадают. Иными словами, код сгенерирован от балды. Не знаю, как такое возможно, но приложение такие чеки естественно не найдёт в базе. Несколько раз отправлял жалобы через это же приложение, не пока ничего не поменялось. Вообщем, похоже кто-то так мутит с налогами :-) это целая сеть аптек, но юрлицо одно, и большая часть их чеков не работают.
А по данным, которые буквами написаны на чеке — бьются? Если да — то это рукожопство создателей кассы, лепят небось один и тот же QR-код. А вот если и по фискальному номеру + фискальному признаку не бьются, то тогда уже скорее аптека химичит с чеками.
Можете написать письмо в налоговую (наверное, можно даже через госуслуги), с вопросом, что вот у вас есть чек, но что-то он не бьётся. Но это в том случае, если хотите, чтобы в аптеке прекратились махинации, т.к. это черевато закрытием аптеки.
Я не думаю, что ее прям закрыли бы, максимум оштрафовали. Но, видимо, все схвачено. Я следующий чек выложу, вдруг я что-то не так понимаю :)
Заодно спросите там про плеер ру плз
Наличие исходных кодов серверной и клиентской частей никак не связано с компрометацией и утечками данных. В статье нет ни единого доказательства этого.
Обвинения аналогичны тому, как если бы все сайты на wordpress были скомпрометированы только на том основании, что исходники движка доступны всем желающим.
Единственное, к чему можно было бы придраться — наличие файла конфигурации с внутренними серверами и доступами. Проверить актуальность и работоспособность которых не представляется возможным (либо автор умолчал про это).
Когда софт целенаправленно пишется как Опенсорс — это одно.
А когда криворукий суб-суб-субподрядчик выкладывает сорцы в свой гитлаб на обозрение всему гуглу — там часто оказываются и пароли от баз данных и доступ в тот же Sentry в который легко в метаданных эксепшенов может прилетать вообще ВСЁ и так далее.
Доказательств, конечно, нет. Но выглядит страшновато.
Наличие исходных кодов серверной и клиентской частей никак не связано с компрометацией и утечками данных. В статье нет ни единого доказательства этого.
Наличие кода здорово упрощает поиск уязвимостей в системе. В отличии от того же вордпресса, код которого публично доступен и неоднократно подвергался аудитам, код данной системы скорее всего не предполагал публичный доступ.
в случае крэша приложения оно отправляет диагностические данные в SentryНасколько я помню, в краш-репортах передаётся только серийный номер устройства, номер сборки, версия ОС итд.
Вероятно есть нарушение соглашений об обработке персональных данныхВ таком случае, если персональные данные не передаются, то и нарушения нет.
Насколько я помню, в краш-репортах передаётся только серийный номер устройства, номер сборки, версия ОС итд.
Сентри — это не краш репорты. Ты можешь туда точно так же отправлять сообщения с debug level info и произвольным пейлоад — хоть логины и пароли пользователя. И поэтому это надо контролировать хотя бы на уровне код ревью… а если разработчики раздолбаи...
Где утечка данных-то? Ну, security through obscurity нет — глядишь, кто-то найдет реальные дыры в коде.
А что утекло такого, что позволяет пд получить? Сертификат какой-то?
Для этой конторы неприятно, смех и грех. Но желтизна статьи вызывает только раздражение.
В чем проблема сторонней разработки?
В целом — никакой. Если нет «левых» прокладок между исполнителем и заказчиком. Если подрядчик порядочный. Ну, не знаю — могли заказать разработку в том же ЕПАМе. И никаких гитлабов с открытыми репами на весь интернет не было. Повторюсь, проблема именно на уровне договорных отношений. Я вообще могу поспекулировать и предположить, что в договоре на разработку должен был быть пункт, что разработчик разрабатывает указанную программу, а потом отчуждает (передаёт) все права на неё заказчику. Это нормальная практика. И потом у себя сносит все репозитории, коды и прочее — потому что этап работ завершён и права уже переданы. Вот реально — зачем разработчику коды программы, которую он не будет дорабатывать? А затем, чтобы какой-нибудь другой проект забабахать на них! Либо втихую что-то мутить… такая вот логика.
А отсутствие такого пункта в контракте может означать просто (в очередной раз) низкую квалификацию или пофигизм сотрудников заказчика (или очередные коррупционные схемы)
А что утекло такого, что позволяет пд получить?
Вы статью хорошо читали, простите? Началось все с того, что приложение позволяет проверить единичный чек. Бинарно. Верный/неверный. Сам по себе чек и его qr это не секретная инфа. Проверили — молодцы. Далее происходит какая-то магия и все чеки от конкретного пользователя становятся доступны в виде единого списка (как я понял — ДАЖЕ ТЕ, которые НЕ сканировались). Здесь происходит какая-то магия, которую нужно разбирать, но, опять же, как я понял — хранение и привязка этих данных происходит на серверной стороне. И тогда очень важно, чтобы их нельзя было скурлить без авторизации. А тут по ходу проблема — т.к. токен «самопальный», но это тоже надо глубже копать.
Краткий вывод — проблема вероятнее всего есть, надо проводить аудит. А разрабы раздолбаи (и явно, что хакеры уже давно нашли этот репозиторий и полазили по продакшн серверам, оставили закладки)
Ожидайте новых интересных базулек на чёрном рынке
Однако, с языка сняли, всё верно.
[компания] разработчик разрабатывает указанную программу… И потом у себя сносит все репозитории, коды и прочее
Вы забыли важный пункт! Сотрудники разработчика тоже должны стереть свою память! Для этого вызвать команду Men in Black. ;)
Если серьезно, то у разработчика накапливаются свои наработки, фреймворки и прочее. Что не нужно отдельному заказчику, но позволяет разделить затраты на их разработку на всех. Иначе каждый раз нужно тратить время и деньги на это.
Если серьезно, то у разработчика накапливаются свои наработки, фреймворки и прочее. Что не нужно отдельному заказчику, но позволяет разделить затраты на их разработку на всех. Иначе каждый раз нужно тратить время и деньги на это.
тип используемых компонент в заказном софте тоже должен быть указан в договоре на разработку. Скажем, использование "свободных" компонент — ок. Но вот если разработчик использует какую-то коммерческую библиотеку и пиратит ее… Ну, дальше Вы знаете, что произойдет.
Кто сказал "пиратит"?
Я говорю про разработки самой компании-разработчика. Даже во внутренней продуктовой разработке начинаются появляться компоненты не для бизнеса, а для других разработчиков. Знаю компанию, где есть такой "внутренний опен-сорс", который используют другие команды.
Если вы делаете ПО на заказ, то вам точно так же хочется снизить издержки на каждый заказ, сделать его более универсальным, чтобы легче подключать новых разработчиков, проще тестировать и пр.
И вот эту разработку компания точно не захочет потерять.
Еще раз — это должно быть оговорено в контракте. Не более того.
Если вы делаете ПО на заказ, то вам точно так же хочется снизить издержки на каждый заказ, сделать его более универсальным, чтобы легче подключать новых разработчиков, проще тестировать и пр.
так я ж не против, я за то, чтобы все условия проведения работ были оговорены "на берегу". Один из неплохих вариантов — опенсорсить такие общие компоненты ) а деньги брать условно за сведение компонентов в систему (=интеграция).
Поэтому проще сделать разработку библиотек и общих компонентов опенсурсной, а продавать «добавочную» ценность по интеграции компонентов и их поддержке.
Касательно моего случая — если б узнали, что исходный код переиспользован в коммерческом проекте — был бы скандал, вероятно дальше суд и «он бы разобрался». Предполагаю, что разработчик «попал бы на деньги»
и таскаю ее из одной конторы в другую из одного проект в другой
Если изначально обёртка была разработана в рамках какого-то контракта, то не исключено, что факт её дальнейшего использования противоречит этому контракту. Хотя, конечно, условия бывают разные…
Далее происходит какая-то магия и все чеки от конкретного пользователя становятся доступны в виде единого списка (как я понял — ДАЖЕ ТЕ, которые НЕ сканировались).
Эта магия доступна вне Хогвартса тут.
https://lkdr.nalog.ru/
Данные о составе покупок банк получает благодаря подписанному клиентом соглашению о передаче чеков в банк, которое находится в приложении «Тинькофф» по пути «Ещё — Настройки — Список покупок — Включить «Отображение покупок». Вкратце функция описывается как «Включите, чтобы видеть электронные чеки в ленте событий».
Если не разрешали, то жалуйтесь в ФАС. С помощью приложения РосСпам это вообще делается в несколько тапов.
Мне после заявки на кредит на banki.ru стали слать вал СМС типа «Вам одобрен кредит на 15000 руб., подробности оп ссылке». По двум СМС уже есть решение о возбуждении административных дел, остальные в работе у ФАС.
Кстати, спамеры реально отвечают на запросы ФАС, какие-то «логи доступа на сайт с номера телефона ХХХ» рисуют. Один раз, кстати, такой ответ прокатил, но мне было влом обжаловать.
Это если оферту принять. Я не принял.
СБ предоставляет список партнёров id.sberbank.ru
, а вот партнёров третьих лиц надо искать у партнёров: вот один из них ucbreport.ru
.
Так а вышло в итоге чужие данные дернуть? Или хоть как-то заабузить апи?
Ну, как минимум, раз токен самопальный, можно дернуть способ его генерации, проверить его на устойчивость к коллизиям, а учитывая, что токены не сбрасываются — генерировать их в большом количестве и дергать данные.
неправильно вопрос сформулирован. вопрос: прямо или косвенно удалось соотнести полученные данные с физическим лицом?
А если есть общий доступ к базе чеков, то номер телефона везде указан, и по нему уже проще персонализировать информацию.
Если есть вариант достать значимый % (ну там 5%, например) от общей базы чеков, пусть и без привязки к физлицам, то тоже можно прибыль извлечь, анализируя конкуретнов, их динамику, успешность маркетинговых кампаний
Автор, обрати внимание на ещё
MARKIROVKA_HOST = http://...
SRSLY!?!?!?!?!?
на выполнение работ по развитию информационной системы маркировки товаров
контрольными (идентификационными) знаками
Полное наименование выполняемых работ
Полное наименование работ: «Развитие информационной системы маркировки товаров контрольными (идентификационными) знаками.
Развитие Компонента Меха и его интеграция с компонентами Системы общесистемного применения в части:
— расширения функциональных возможностей модулей Личного кабинета Компонента Меха (ЛК)».
Настоящее техническое задание определяет основные требования к проведению работ по развитию информационной системы маркировки товаров контрольными (идентификационными) знаками в части расширения функциональных возможностей модулей Личного кабинета Компонента Меха (ЛК).
…
Я пробежался по-диагонали по исходникам и скажу вам, что там хватает кеков.
Кстати, у меня есть рабочая теория отчего же так все окологосударственные разработчики любят открытый HTTP.
Дело в том, что HTTPS у сервисов которые их окружают, зачастую работает на базе ГОСТового шифрования, к которому, естественно, никакой обычный софт без танцев с бубном не цепляется.
Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.
Как-то так.
Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.
насколько мне известно, stunnel не является разрешенным к использованию сертифицированным криптографическим средством :-)
Отнюдь!
stunnel входит в комплект поставки КриптоПРО CSP который весь вдоль и поперёк обмазан этими вашими сертификатами и лицензиями.
— https://www.cryptopro.ru/products/other/stunnel
— https://www.cryptopro.ru/products/csp
— https://www.cryptopro.ru/certificates?pid=1417
Пользуясь возможностью, спрошу у специалиста. Насколько соотносится с безопасностью необходимость при использовании stunnel напрямую указывать в файла конфигураций пин код от закрытого контейнера?
Сравни цифры, прикинь насколько шифрование замедляет работу и что будет если весь бэк-энд переедет на него
www.nginx.com/blog/testing-the-performance-of-nginx-and-nginx-plus-web-servers
ГОСТы работают медленнее. Банально нет ускорения на вражеском железе (хотя если в равных условиях сравнивать, то тоже медленнее, но уже не так драматически)… А с ускорением и ГОСТ херачит на 100Гб/с. Есть разработки.
Проблема медленного шифрования актуальна для CDN и прочего, что требует отдачи больших объемов данных, но при этом операция на само _исполнение_ запроса очень быстрая (вычитать с диска с минимальной валидацией запроса по сути). В подобных же приложениях с современным устройством окружений, где обычно все живет за выделенными балансерами, «тяжелое» шифрование на внешнем канале просто приведет к тому, что надо будет пул балансеров собирать не из условных 16CPU/32Gb, а из 32CPU/64Gb. В масштабах большого проекта в целом мелочь.
del
Они и не скрывают, что это они делали личный кабинет налогоплательщика.
ФГУП ГНИИВЦ ФНС РФ
Если произнести это вслух, можно нечаянно вызвать Ктулху
Нужно на законодательном уровне обязать открывать исходники всех государственных сервисов и приложений и проводить независимый аудит безопасности. Тогда всякие кривые и самопальные механизмы аутентификации и прочие потенциальные дыры с большей вероятностью до продакшена не пролезут и не обнаружатся внезапно при сниффинге трафика приложения.
На правах сарказма: молодцы ребята, сделали робкий шаг к открытости и прозрачности. :)
Очевидно, что государственные структуры в большинстве своём не справляются с IT. И справляться у них нет никаких стимулов — потому что они в любом случае останутся безнаказанными. У общества просто нет инструментов как-то влиять на гос управление, как ни странно.
Могла бы помочь как-нибудь IT партия — но мы же все дофига «аполитичны» — да и мало кто в движуху вписался бы(
Простите!
Хотели чтобы ПО, которое разрабатыввается на деньги налогоплательщиков было в открытом доуступе? Получайте!
PDF_DISABLE_SMART_SHRINKING=false
Люто негодую, когда делают так, вместо:
PDF_ENABLE_SMART_SHRINKING=true
telegra.ph/Prilozhenie-FNS-Proverka-CHekov-uyazvimo-dlya-atak-MiTM-07-29
Или я попал в параллельную реальность.
Разочаровывает тот факт, что даже после такого рода публикаций мало что меняется
Как я нашел в публичном доступе исходники нескольких сервисов ФНС