Pull to refresh

Comments 49

Спасибо вам и другим «аудиторам безопасности» за то, что не даёте банкам расслабляться.
Даже если злоумышленники не спишут деньги с моего счёта, благодаря уязвимостям, то деньги
пропадут с счетов банка.
А банк, в свою очередь, включит это воровство в будущие проценты и мы их всё равно заплатим.
Предотвращение потерь — один из способов уменьшить себестоимость товаров и услуг
(в 90х годах, на заводе ВАЗ об этом плохо знали)
Не совсем согласен. Мы помогаем банкам. Иногда даже бесплатно, как в этом случае 8)
Банки ведь не виноваты в этом… так что чего их винить. А если деньги спишут с Вашего счета, то пропадут они у Вас..., а не у банка ;)
Прочитайте свой договор с банком. Боюсь Вас разочаровать, но деньги пропадут у Вас, а не у банка…

В УВД ЦАО г. Москвы я наблюдал пачку заявлений толщиной в пару см от пострадавших от кражи денег со счетов. Это были отнюдь не банки.
Так ведь человек написал: «Даже если злоумышленники не спишут деньги с моего счёта».
Банки уже заранее включили всё в «будущие проценты», так что воруй, не воруй, ломай не ломай, а заплатить всё равно придётся.
Может комментарий немного не в тему, но скажите, пожалуйста, а клиент банки на Java более уязвимы? Вообще насколько сложно найти дыру в java аплете, если он запущен на последней версии виртуальной машины.
Вы клиент не ПБ случайно?
Приват Банк… у них на клиент банке чек ключей явовский, который правда не пойми как работает, а под убунтой только после танцев с бубном шевелится )
нет. у нас другой банк. Но клиент в виде апплета на java.
а у меня наоборот в линуксе с полоборота, правда это openSUSE и оригинальная java, с openJDK глючит. Хотя из-за того что все же иногда работает(запускается), можно и забыть о том что не заменил openJDK.
У нас со счета компании увели деньги. Банк-клиент — на java (Бифит). Судя по результатам наследования — внедрились как раз через уязвимость java-runtime.

Хотите 100% защищенности — используйте одноразовые коды и SMS информирование. Технические методы гарантии не дают. Например, тот эксплойт, который (предположительно) сработал у нас, начал детектироваться антивирусами только через 3 недели после его появления на нашем компьютере.
«Расследования», а не «наследования», прошу прощения.
а у нас нет одоразовых смс в клиенте. :)
а как подцепили заразу?
runtime был последней версии?
Нет SMS-подтверждения — ставьте хотя бы SMS-информирование. Банк вполне способен задержать платеж по звонку. Деньги уходят из банка сессиями, так что между «платежом» и действительным перечислением средств проходит довольно много (для отмены) времени. И даже если деньги в другой банк успели уйти, обычно службы безопасности банков договариваются о «возврате ошибочно перечисленных средств», если все проделать достаточно оперативно.

Кто же знает, как именно «подцепили»? С какого-то из сайтов через дыру в рантайме пролез троян (позже был уничтожен обновившимся антивирусом). Рантайм на тот момент был «самый свежий», но ведь после обнаружения дыры до обновления всегда есть какое-то время.
>Хотите 100% защищенности…

А такое бывает? о_О
Да, конечно.
Например, Вы можете договориться с банком о том, что переводы денег со счета могут осуществляться только при Вашей личной явке в банк.
Просто это может быть не всегда удобно.
Не всегда сотрудник банка может с точностью в 100% определить дееспособность посетителя. =)
В джава апплете тоже могут быть проблемы, но зависит от реализации. Больше тут проблема именно в том, что джава апплет подразумевает джава машину, которая на данный момент главный источник всех проблем. Видел ситуацию, где клиенты не могли обновить джаву из-за несовместимости с ДБО.
Тут ещё сами банки (в силу своего IT sec пофигизма?) почти повально предлагают клиентам для скачивания какие-то бородатые версии JRE.
Дело не столько в банковских сотрудниках, сколько в разрабах предлагаемого ПО. Бизнес выбирает, что он может себе позволить купить, а IT банка (правда его состав тоже зависит от того, что позволяет себе купить банк) имеет дело с чем дают.
К примеру от АБС конторы ЦФТ просто тошнит. Впечатление, что делали за очень дешево первокурсники.
Относительно ЦФТ-банка: работаю с ней уже больше трёх лет и вполне нравится как администратору и разработчику.

Да, есть некоторые архитектурные просчёты, но в целом очень хорошо.
И опять-же — с чем сравнивать ЦФТ-банк, с какой АБС?
Это всё круто, но порой уязвимости бывают намного банальнее. Как-то года 3 назад мама подошла и попросила зайти в её интернет-банкинг, чтобы кинуть денег на телефон. Диктует логин, я после ввода случайно нажимаю enter и попадаю в управление её счетом. У меня недоумение, а она продолжает показывать куда мне кликнуть, чтобы провести платёж. На моё «подожди, я же не вводил пароль» она абсолютно невозмутимо говорит «так он же сохранён». Но я то знал, что со своего ноута в её банкинг ещё ни разу не логинился и что пароли никогда не сохраняю в браузере. Разлогинился, вбил в поле логина случайный набор цифр (из которых состоят логины) и попал в управление чужим счетом. Мама работала в этом банке, позвонила начальнице, они посокрушались, передали в айти отдел, но уязвимость закрыли только через день.
К слову, это крупный международный банк, который не так давно ушел из России.
В моем прошлом банке можно было прийти на кассу, попросить перевести бабки на другой счет и представиться кем хочешь: паспорт не проверяли :)
А какая-то идентификация вообще была? Просто многие серьезные банки не требуют паспорт (сам так обслуживаюсь), но используют пластиковую идентификационную карту с пин-кодом. Можно даже (очень удобно), передать ее доверенному человеку, сказать код, и он сам по дороге сделает нужную операцию. (конечно, если всем подряд раздаешь код и карту — ССЗБ)
Вообще ничего. Просто: ФИО, я инд предприниматель, деньги туда, плиз. Если говоришь что забыл, например, номер счета, услужливо вбивали сами ))))
Победа юзабилити и комфорта клиента над здравым смыслом :-)
Просто он приходит туда часто и кассир банка давно знает его в лицо.
Ну, раз в 1,5 месяца как и куча других клиентов, коих огромное множество. У других также не спрашивали, видел лично. Я не думаю что у кассира настолько феноменальная память
Вы вот не думаете, а я лично с таким кассиром работал. Она помнит всех клиентов за день(ну это именно что проверял, думаю постоянных она так же помнит), суммы, и более того даже номера счетов… такая себе база данных с человеческим лицом
это крупный международный банк, который не так давно ушел из России.

На ум приходят GE Money Bank и Barclays. Полагаю, второй?
Надо же, ровно за 6 часов до этой публикации я почуял, как будет писаться эта статья и моя формулировка почти совпадает с формулировкой в этой статье)
«Как ей пользоваться, я описывал в журнале «Хакер»»
habrahabr.ru/post/141698/
"… По этой теме есть статья от хабраюзера d00kie (где он использует Comraider) — Глумимся над объектами: взлом ActiveX..."
Спасибо за хорошую статью. Интересно, а как на пост-совковом пространстве формируется рынок аудиторов безопасности. К примеру, если я уговорю руководство своего банка провести аудит нашей системы ДБО сколько это может стоить?
Меня также интересуют вилки цен на пентестинг и вообще, эта сфера услуг. Мне одно время казалось, что она маловосстребована в .ru
Сайты/сервера (черный ящик) ~10-35к за аудит.
Извиняюсь, не уточнил, рубли.
Сам работал примерно в этой ценовой политике (ну, до 35 не доходило) да и народ примерно по таким же ценам трудится.
Со статистическим анализом кода (белый ящик) все сложнее, вилку так не скажешь.
Спасибо. Теперь посмотрим что на это скажет руководство.
ДБО дороже будет, ИМХО. И потом каков список задач?
— пен-тест из инета?
— пен-тест с ролью пользователя?
— вайт-бокс анализ всей системы?
— исходные коды?
— анализ внутреннего периметра?
Для начала стоит задача проверки вариантов взлома из Интернета. Потом проверка с ролью пользователя. О большем до нахождения дыр думаю пока говорить рано.
Хорошее знание отладчика еще никому не вредило. Автору спасибо за мотивацию.
Автору спасибо за мотивацию. Я нашел свой кусок романтики. И хобби.
Спасибо, что доступно объяснили суть таких ошибок.
Only those users with full accounts are able to leave comments. Log in, please.