Находим admin + shell на *******.alfabank.ru с помощью Google

Я был обескуражен ответом техподдержки альфабанка, приведенным в посте «Находим SQL инъекцию...», а потому решил посмотреть как обстоят дела на других поддоменах.

Первое что я сделал — это нашел админку на b***.alfabank.ru с помощью того же гугла и незамысловатого «site:alfabank.ru inurl:/admin/»


И что я там увидел?

Скромное меню обещало мне PHPinfo(), настройки параметров сайта, и много чего еще:
  • Empty cache
  • Function reference
  • Hook_elements()
  • PHPinfo()
  • Rebuild menus
  • Reinstall modules
  • Session viewer
  • Theme registry
  • Variable editor

Уже сейчас у меня в руках оказались редактируемые настройки сайта:


Покопавшись немного с тем, что нашел, я заметил упоминание про еще один поддомен (названия поддоменов не привожу здесь по причине, которую вы прочитаете в конце поста).
Опять же, простым гуглением по имени этого поддомена получаем выдачу, в которой сразу обнаруживаем страницу пользователя по фамилии m*****kaya.

Там (о, чудо!) заботливый разработчик вывел нам var_dump объекта, благодаря чему мы видим hash пароля:1d0258c2440a8d19e716292b231e3190.


Что же, поищем его в радужных таблицах? И находим: пароль manager. Не слишком изощрённо, на мой взгляд, но по крайней мере не «love/secret/sex/god». Успешно логинимся: nm*****kaya@alfabank.ru:manager.

Теперь мы обладаем правами зарегистрированного участника, сотрудника банка, и админа сайта, что немаловажно. Помимо того, что мы имеем доступ ко всем юзерам данного ресурса, доступный нам функционал расширился.

Разумеется, я мгновенно был заинтригован интерфейсом выполнения произвольных комманд php (кстати, кто-то может мне объяснить, зачем вообще он нужен на данном ресурсе?), где получил практически неограниченные возможности для исследования (ведь все это было проделано исключительно в научно-познавательных целях, вы же понимаете, да?):
echo shell_exec('uname -a');
echo shell_exec('grep -r "password" /usr/ > /var/tmp/tst.log');
echo shell_exec('find / -type d -perm 07700');
echo shell_exec('cat /etc/passwd');
echo shell_exec('ifconfig');
echo shell_exec('ps auxww');
echo shell_exec('cat /usr/local/etc/apache22/Includes/phpmyadmin.conf');
echo shell_exec('which wget');

и прочее в таком духе.

Помимо всего прочего, выяснилось, что права на доступ для пользователя www выставлены архилиберально. И правда, чего париться над /files/ если можно поставить 0777.

Дальше стало скучно, и я отписал о найденной уязвимости в службу поддержки, к которой, отметим справедливости ради, у меня получилось достучаться с первого раза.
Доброго времени суток, уважаемые сотрудники "Альфа-Банк"!
Уведомляю вас о том, что мною найдена серьезная уязвимость на одном
из ваших серверов, причем, на этот раз, на сервере отнюдь не
десятилетней давности.

Уязвимость вполне серьезная: она позволяет злоумышленнику выполнить
произвольную комманду shell на вашем сервере, дает админский доступ
к вашим [перечисление ресурсов], и много-много других "вкусностей". Видимо
за нее вам следует сказать спасибо товарищу [site-coder]@ gmail.com.

Некоторые подробности:
...
login: [login]
pass: manager

ну и далее php shell_exec('PROFIT').
С уважением, Александр.



Выводы в стиле капитана:
  • Даже тестовые и devel сервера следует холить и лелеять, защищая их от посторонних глаз.
  • Не следует предоставлять доступ к админке сайта людям, которые ставят словарные пароли, и при этом обладают чрезмерными правами доступа.
  • Не следует давать возможность контент-менеджерам, тестерам, и прочим выполнять произвольные команды на сервере.
  • Забывать закрывать страницы от поисковых роботов это плохо, плохо, плохо!
  • Ну и, разумеется, не следует грубить и подкалывать тех, кто сообщает вам о найденных уязвимостях.


Через два дня мне пришел ответ:
Александр, здравствуйте.

Большое спасибо за указание на ошибку! Безусловно, отдельное спасибо и огромное выражение нашей признательности за то, что не стали ее использовать, а поставили нас в известность.

В данный момент мы все исправили и прикрыли указанное Вами безобразие.

Этот сайт, безусловно, не десятилетней давности, более того, он пока не запущен – занимаемся его разработкой буквально в свободное от работы время. Конечно же, перед запуском «в бой» мы бы тщательно все проверили и протестировали. Хотя это и не оправдывает того факта, что мы недостаточно серьезно отнеслись к защите разрабатываемого продукта. В связи с тем, что речь идет о проектах, которые находятся в разработке и пока не анонсировались общественности, были бы крайне признательны, если бы Вы не публиковали ссылки на них до момента запуска.

Еще раз благодарю Вас за информацию!

PS Судя по Вашему комментарию «десятилетней», Вы читали запись на Хабре. Очень жаль, что автор той записи не привел описание всех своих действий и всю переписку целиком, а только последнее письмо. В таком виде, конечно же, получается несколько иная интерпретация нашего отношения к помощи от пользователей наших сайтов. Жаль, что данную запись не видят все те прекрасные люди, которые ежедневно нам пишут об ошибках и неточностях на наших основных сайтах, которые помогают нам быть лучше, и которым мы очень признательны за оказываемую помощь.



Так как меня попросили не публиковать ссылки на ресурсы, то я выпилил их и особо красочные скриншоты из своего поста.

Очень хотелось бы обратить внимание хабраюзера 090h на последний абзац и почитать его комментарии к этому письму.

На текущий момент уязвимость, как вы понимаете, закрыта.
Спасибо за внимание.
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 195

    0
    Альфа-Банк заслуживает уважение. Везде работают люди, люди делают ошибки, а учитывая то, что проект ещё даже не был запущен то можно даже не считать это уязвимостью.
      +63
      Если проект доступен из интернета, значит он уже запущен. Ведь спокойно можно было через один такой «недоделанный» проект попасть во внутреннюю сеть и там получить уже что-нибудь покруче выполнения php-кода.
        +2
        Вот-вот. Причем прямой доступ к платежному шлюзу и прочему банкингу, я надеюсь, все таки исключен даже из локалки, а вот возможностей для социального инженеринга становится невероятное количество… — а это путь гораздо проще…
          0
          Да ну навряд ли в банке через веб «спокойно можно» «попасть во внутреннюю сеть» в банке. ДМЗ никто не отменял.
            –1
            Проект, рассматриваемый в статье, не имеет никакого отношения к инфраструктуре банка. Это просто маркетинговый сайт, размещен на одном из обычных сторонних хостингов, разрабатывается посторонними программистами. Не содержит никакой тайной информации, взлом этого ресурса максимум позволит взять контроль над сервером хостера.
            Это я повторял здесь уже многократно, впрочем любой, кто умеет пользоваться whois и RIPE DB, сам способен это понять, без подсказок. Печально то, что на современном хабре таких мало совсем, как показывает данный топик и комменты. В основном какие-то невежды-истерички.
          +43
          Интересная логика, не считать уявзивимостью уязвимость, если проект не запущен.
          Он в открытом доступе, на боевом сервере, поддоменом *.alfabank.ru.
          Это не личный бложик школьника, это банк! При чем не какой-нибудь noname.
            +3
            А с чего уверенность, что поддомен на «боевом» сервере, а не на тестовом?
            Домены третьего уровня прекрасно разносятся на разные банки(ИП).
            +5
            Хм, тут ошибки уровня начинающих сайтописателей. Уж о том, что как минимум нужно запрещать индексацию админок (после всех скандалов), более менее опытные разработчики должны делать на полном автомате.

            Вообще поражаюсь, как подбирают разработчиков в разные крупные финансовые учреждения. Знакомый работающий в страховой компании, рассказывал, как разработчики их сайта не могли больше 2 месяцев прикрутить на сайт информацию о курсах валют с НацБанка (даже меня просил пример кода прислать), при том стоил сайт очень прилично, а не выбиралось, где подешевле.

            Не так давно в интернет-банкинге моего банка обновили интерфейс, и забыли, что значения полей HTML-формы — строки (даже если туда вводятся цифры). И что при сравнивании двух строк, строка «400» больше «30000». В итоге выдавало алерт, что средств на счету не хватает :) Но хорошо хоть отреагировали быстро на мой багрепорт, уже на следующий день пришла SMS-ка, что всё исправили.
              +2
              Уж о том, что как минимум нужно запрещать индексацию админок (после всех скандалов), более менее опытные разработчики должны делать на полном автомате.
              Кстати, спорный вопрос, ведь тогда путь к админке будет явно прописан в robots.txt.
              Я на своём сайте сделал фейковую папку «admin» с HTTP Authorization и прописал её в robots.txt. А саму админку перенёс в другое место, не оставив никаких ссылок извне (и на неё тоже повесил HTTP Authorization).
                +10
                Как показал пример Мегафона, яндекс и гугл берут ссылки не только с сайта, но и из статистики страниц, которые посетил пользователь. Которую они собирают при помощи Яндекс-бар и т.п. Чаще заходите в админку и гугл пришлет к вам поискового бота, посмотреть что там такого интересного.
                  –1
                  У меня в админке нет никаких Яндекс-баров :)
                    +1
                    Извиняюсь, не сразу понял, о чём речь. Лично я такими вещами не пользуюсь. В любом случае, будет ли гугл индексировать страницы, закрытые HTTP Auth?
                      +16
                      Ага, забрутфорсит пароль или покопается в вашей почте. Все ради полноты индекса! :)
                        +1
                        Речь идёт скорее о путях, чем о содержимом. В случае необходимости авторизации сервер же тоже выплёвывает ответ, который теоретически может быть проиндексирован.
                          +1
                          Хм, в общем то да, понял о чем вы.
                          Я думаю, что поисковику нет смысла индексировать страницы, которые сервер возвращает с отличным от 200-го кода. Там либо редирект (тогда надо брать другую страницу), либо 404, либо авторизация либо ошибка. Все это ценности не несет.
                          Но это мои домыслы, вопрос интересен.
                        0
                        Пузомерки(тИЦ, ПР, ДМОЗ, ЯК етс) тоже «стучат» не плохо и спустя месяц показывают в выдаче страницы на которые вообще ни одна ссылка не ведёт в сети и ни в каких роботах не упоминается. Банальный текстовик в папке сайта.
                        То есть любой аддон в браузере, с «фичами» от поисковиков (даже сторонний), может сообщить поисковику о странице.
                      • UFO just landed and posted this here
                          +1
                          Неправильно понимаете, Вы еще как минимум забываете REFERER. Например, на примере админки phpBB 3, там есть ссылка на Список форумов, при клике по ней удобно можно перейти на сам форум, на котором есть счетчики (в том числе могут быть, Google Analytics или Яндекс Метрика, или контекстая реклама), и которые отлично сохранят адрес админки из которой Вы пришли.

                          В общем самое правильное придерживаться правила — секретная ссылка не может быть достаточной защитой информации, рано или поздно её найдут, причем даже специально искать никто не будет.
                        0
                        Кстати, спорный вопрос, ведь тогда путь к админке будет явно прописан в robots.txt.

                        />
                          +11
                          парсер съел код, попробую еще раз:
                          <meta name="robots" content="noindex"/>
                          
                            0
                            Человеку на метатеги как-то по барабану
                              +9
                              человеку да, но гугл не добавит страницу с этим тегом в свой индекс, и при этом доступ к админке не будет прописан явно в robots.txt
                                +1
                                Сорри, с утра туплю
                              0
                              Спасибо. Моя специализация далека от веба, поэтому таких нюансов не знал.
                            0
                            Запрещать индексацию можно не только robots.txt, а и с помощью meta-тегов. А вот то что Вы сделали имеет мало смысла, как будто боты гугла и яндекса специально ищут админки :)

                            Вы думаете зашел бот на ваш сайт, зашел такой в папку admin и «размышляет»:
                            — О, черт! Здесь админка запаролена. Больше на этом сайте админки искать не имеет смысла, идем на другой.
                              0
                              А я и не говорил, что сделал это лишь для поисковых систем :)

                              Это как раз чтобы сбить с толку злоумышленников и их ботов, потому что сайт периодически взламывают (как мне кажется, в автоматическом режиме, используя уязвимости движка).

                              Я думаю, какой-нибудь юный кулхацкер вряд ли будет предполагать, что админка расположена в другом месте, нежели в запароленной папке /admin, которая, к тому же, ещё и в robots.txt прописана.
                            +1
                            У них зряплаты низкие, потому как IT для них не профильное и «зарплатная сетка» повелевает :(. За такие деньги я вообще удивляюсь как они могут хоть кого-то находить и у них хоть что-то работает. Чудо.
                            –32
                            Альфа-Банк — кидалы, и не заслуживают ни капли уважения. Все, кто работают на банки — работают на Вселенское Зло. И не пытайтесь оправдаться перед собой. Смотрите правде в глаза.
                              +3
                              Ну я работаю в банке (не в Альфе). Оправдываться перед собой не пытаюсь, ибо пока не вижу причин :)
                              • UFO just landed and posted this here
                                  0
                                  Редшон, ты?
                                  +3
                                  Скорее, уважения заслуживает(ют) человек(люди), которые ответил(и) на письмо.

                                  Точно так же, как порицания — автор предыдущего, приведенного здесь на Хабре недавно, ответа из АБ. А также то, что не запущенный еще проект не закрыли от всех.

                                  Хорошо бы, конечно, чтобы всегда сообщения об ошибках вызывали только положительную реакцию со стороны авторов ошибок — на это и будем надеяться. Но, согласитесь, АБ как организация и авторы ошибок как живые люди — это все же разные понятия. Более того, даже грустно, что сайт им приходится разрабатывать в свободное от работы время — было бы хорошо, чтобы АБ выделил на это толковые головы и достаточное время, а не просто надеялся на энтузиазм сотрудников.

                                  +30
                                  А премий по такому поводу не положено.
                                    –38
                                    О таких уязвимостях надо не владельцам ресурсов сообщать. А людям со стороны, которые проведут более глубокий аудит и хорошо заплатят.
                                      +9
                                      Надеюсь, люди нашедшие уязвимости в ресурсах организаций, использующих ваш персональные данные, не докажут вам на практическом примере чем грозит подобная передача данных сторонним людям и со временем вы сами осознаете ошибочность ваших взглядов на данный инцидент.
                                        +2
                                        Мне кажется, что на сторону уже столько персональных данных (за утечку которых, напр., из госорганов, или из Пенсионного фонда никому персонально даже не будет наказания — ибо по закону лично они и не обязаны ничего сохранять) ушло, что информации для информационной атаки на конкретного человека вполне хватит и так :)
                                        +4
                                        Ага, с деньгами в тюрьме веселее будет. Только проси побольше.
                                          0
                                          Да ладно какая тюрьма, да еще с деньгами та...
                                        +4
                                        Интересен другой вопрос, действия автора попадают под УК РФ «Статья 272. Неправомерный доступ к компьютерной информации»?
                                        При наличии желания, владельцы банка могут засудить «исследователей в мирных целях»?
                                          +12
                                          Если засудят, то я уверен что кол-во людей которые им пишут о уязвимостях, будут просто их продавать на сторону.
                                          А если такая уязвимость попадет на сторону, то тут могут быть проблемы покрупнее.
                                            +7
                                            Если блокирования/уничтожения/модификации/копирования нет, то и состава нет.
                                            Но как оно на практике повернется…
                                              0
                                              А на практике есть статья «Неправомерный доступ»… и сеть можно ничего не удаляя или копируя…
                                                0
                                                вы закон-то читали? Там по-русски написано, что ответственность наступает «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
                                                  0
                                                  1)Кулхацкер получает доступ к ресурсу, бродит по нему ничего не трогая и сообщает об этом владельцу.
                                                  2) Владелец заявляет, что кулхацкер перевел на свой счет $1000000 денег и предоставляет логи.
                                                  3) ???????
                                                  4) PROFIT!!!

                                                  Разве мало white hat'ов посадили таким вот образом? Причем письмо владельцу «я нашел багу» является первоклассным доказательством его вины.
                                                    –1
                                                    Тут вы не правы. Если вы ничего не переводили, то и в логах ничего не появится. Банк навряд ли будет вам приписывать лишнее, т.к. если вы сможете доказать, что банк лжет, это намного сильнее ударит по их репутации.
                                                      0
                                                      Вы не сможете ничего доказать. А логи не проблема подправить.

                                                      Представьте себе следующую ситуацию. Вы возвращаетесь домой и обнаруживаете на столе записку. «Привет, это Вася Пупкин, я тут проходил мимо твоей квартиры, подергал дверь и обнаружил, что ты не запер ее. В следующий раз будь осторожнее». Вопрос: если Вы накатаете в милицию заявление «у меня на столе лежало 100000р., а теперь они пропали» — каким будет решение суда? Каким образом Вася сможет доказать, что никаких денег не было?

                                                      Автор топика получил доступ к ресурсу, на который всем насрать, потому ему написали «спасибо, исправим». А вот если бы он сказал «я тут получил рутовый доступ к серверам онлайн-банкинга и до кучи к базам», это вызвало бы эпический переполох, и не факт, что ему это сошло бы с рук.
                                                        0
                                                        «у меня на столе лежало 100000р., а теперь они пропали» — каким будет решение суда?

                                                        Пока не докажу суду, что деньги были — решение будет не в мою пользу. Презумпция невиновности
                                                          +3
                                                          А логи не проблема подправить.

                                                          Ну тогда банку не проблема просто взять и написать в логах, что некий Пупкин Василий Иванович был у них на сервере и присвоил $1М. Василий Иванович ведь не сможет доказать, что он там не был, логи же не врут…
                                                            +1
                                                            как только white hat докажет, что логи могут меняться сотрудниками банка, любой объективный суд его оправдает. Потому что доказательства, которые легко подделываются заинтересованной стороной, не являются таковыми.

                                                            А с деньгами всё просто. Есть презумпция невиновности, чтобы посадить человека за воровство, нужн доказать, что он воровал. А не Вася должен доказывать, что он не вор.
                                                              0
                                                              Доказательством «воровал» может служить слово заявителя и, в крайнем случае, его другана-свидетеля. Плюс «чистосердечное признание», лежащее на столе. И вот тут стрелки переводятся на обвиняемого, которому абсолютно нечего сказать кроме «мамой клянусь не брал». Был ли он на месте преступления? Конечно. Законно? Нет (т.е. уже преступник). Была ли у него возможность взять деньги? Конечно.
                                                              А вот наличие прямых доказательств существования денег как раз было бы подозрительно…

                                                              100% обвинительных заключений по поводу любого рода взломов информационных систем давались на основании логов. Начиная с Митника. Единственный способ для кулхацкера доказать, что он не воровал — это доказать, что его там вообще не было. А не получится — ибо есть письмо, написанное им же, где он фактически во всем сознался.
                                                                0
                                                                Это не доказательство. Это слова заинтересованного человека. Признание тоже не в воровстве, не так ли? Если бы всё было так просто (он побывал у меня дома, пропало 9000 баксов), полстраны бы сидело.

                                                                А Митника сажали за взломы и копирование информации себе, и эту информацию, что характерно, у него находили.
                                                                  +2
                                                                  А еще слово свидетеля. И всё.
                                                                  Признание было в том, что человек незаконно находился в помещении. Этого уже достаточно.
                                                                  Если все еще непонятно — расскажите поподробнее, когда это хотя бы одного хакера посадили, ориентируясь на что-либо кроме показаний заинтересованного человека.

                                                                  Если бы всё было так просто (он побывал у меня дома, пропало 9000 баксов), полстраны бы сидело.

                                                                  Большинству совесть не позволит такое сделать. Но в описанном мной сценарии практически любой найдет что-то «украденное» (возможно — давно потерянное, только он про это забыл).

                                                                  А Митника сажали за взломы и копирование информации себе, и эту информацию, что характерно, у него находили.

                                                                  А он вроде как заявлял, что ничего не копировал.
                                                                  По-моему, не так уж редки случаи, когда остановленный ментами прохожий с удивлением обнаруживает у себя в кармане пакетик с белым порошком.
                                                                    0
                                                                    Признание было в том, что человек незаконно находился в помещении. Этого уже достаточно
                                                                    этого недостаточно. Прочитайте, наконец, про презумпцию невиновности.
                                                                    А свидетель скажет лишь, что деньги были. Если сам факт воровства никто не видел, у обвиняемого ничего не нашли — вероятнее всего ничего не будет. Потому что даже настоящих воров мало кто признаёт виновными в краже мнимых миллионов.
                                                                    То, что большиству совесть не позволит — это не показатель, кроме большинства есть и меньшинство, которое почему-то не спешит обвинять недавних гостей в краже миллионов.

                                                                    А вообще аналогии — хреновое занятие. Факт в том, что у Митника нашли файлы, которые он скопировал у Накамуры, или как его. И когда агенты ФБР при обыске находят на компе хакера тысячи номеров кредиток, секретную информацию или что-то в этом духе — это уже не «показания заинтересованного человека». Митник, конечно, может рассказывать что угодно.
                                                                      0
                                                                      первое абзац читать как:
                                                                      Признание было в том, что человек незаконно находился в помещении. Этого недостаточно.
                                                                      0
                                                                      и да, с таким подходом, что и ФБР может что-то подкинуть, и суды всё на веру принимают, спорить с вами смысла не вижу. Потому что на любой аргумент вы придумываете очередное «а власти скрывают»
                                                                        –1
                                                                        Прочитайте, наконец, про презумпцию невиновности.

                                                                        Мы с Вами на одной планете живем, или на разных? На моей как раз чаще всего обвиняемый доказывает, что он не верблюд, если против него хоть самые косвенные улики есть.
                                                                        А свидетель скажет лишь, что деньги были. Если сам факт воровства никто не видел, у обвиняемого ничего не нашли — вероятнее всего ничего не будет.

                                                                        Ок, то есть человеку, который в темном переулке украл у кого-то деньги, ничего не грозит (если только камера не засняла момент ограбления), ведь единственное, что есть у обвинения — потерпевший, являющийся заинтересованным лицом. Никто ведь не видел факт воровства.
                                                                        Вы точно обитаете в стране эльфов, а не на планете Земля.
                                                                        кроме большинства есть и меньшинство, которое почему-то не спешит обвинять недавних гостей в краже миллионов.

                                                                        Если хотите — могу помочь Вам купить билет на Землю.
                                                                        Факт в том, что у Митника нашли файлы, которые он скопировал у Накамуры, или как его.

                                                                        Вот и «непрошенного аудитора» запросто найдут много чего интересного. А даже если не найдут — это мало что меняет. Факт незаконного проникновения был; возможность украсть или навредить была; истец предъявил свои сколь угодно косвенные доказательства вредительства; ответчик не может доказать, что он не воровал => виновен.
                                                                        и да, с таким подходом, что и ФБР может что-то подкинуть, и суды всё на веру принимают, спорить с вами смысла не вижу. Потому что на любой аргумент вы придумываете очередное «а власти скрывают»

                                                                        Я просто живу в реальном мире. Где всякое бывает. А Вы?
                                                                        И чем влиятельнее «потерпевший» и ничтожнее «преступник», тем меньше шансов на объективное расследование. С этим даже гражданин страны эльфов не поспорит.
                                                                          +1
                                                                          Странно, видать моя работа в системе правосудия не на планете Земля проходит :) Почему-то на моей планете именно прокурор доказывает виновность.
                                                                            –1
                                                                            Почему-то на моей планете именно прокурор доказывает виновность.

                                                                            На Вашей планете кого-то оправдают при «Факт незаконного проникновения был; возможность украсть или навредить была; истец предъявил свои сколь угодно косвенные доказательства вредительства; ответчик не может доказать, что он не воровал => виновен.»? Тогда возвращаемся к вопросу о том, что и при «пацан — дай — закурить — деньги — есть?» преступнику бояться абсолютно нечего, даже если потерпевший умудрился сфотографировать его физиономию, но при этом не может доказать сам факт отжатия бабла…
                                                                              –1
                                                                              Можно до кучи вспомнить такое понятие, как «сексуальные домогательства» в США. Девушка может подать в суд на парня за то, что он слишком пристально на нее посмотрел. И если во время заседания пустить слезы и жаловаться на вызванную этим взглядом депрессию — вполне можно и выиграть дело. Даже такое казалось бы пустяковое дело. Не имея ни намека на нормальные факты в пользу обвинения.
                                                                                0
                                                                                Харазмент? Вы сравниваете яблоки с апельсинами.

                                                                                Разговор идёт об уголовном процессе. К чему в нём доводы о гражданских процессах, да ещё и уровня статей в жёлтой прессе?
                                                                          0
                                                                          Был такой человек, он жег церкви по всей Европе. Доказали только 3 из более 9 поджогов. Презумпция невиновности.
                                                                  • UFO just landed and posted this here
                                                                      –2
                                                                      Внешний перевод, который регулируется центробанком (или какой там конторой, не помню точно) и логи там тоже должны остаться. Все движения средств не между банками как p2p идут, а используя межбанковский шлюз.

                                                                      Ну было отдано распоряжение на перевод миллиона долларов на номерной счет в банке каких-нибудь Сейшелов. И? Не требуется доказывать причастность Васи к этому счету, чтобы признать его вину. Достаточно того, что сначала он незаконно вломился на сервер, а вскоре была отдана команда на перевод денег.
                                                                      банк на подобных исследованиях экономит приличные суммы на аудите

                                                                      Банк никогда не экономит на аудите серьезных ресурсов.
                                                                      Могу напомнить, что, например, на сайт банка ему насрать. Не та критичность. Ну похакают — и ничего страшного, лишь маленькие репутационные риски, которые могут быть нивелированы фактом бесплатного пиара в СМИ. А важные системы тщательно защищаются и проверяются.
                                                                      • UFO just landed and posted this here
                                                                          –2
                                                                          Логи хранящиеся в банке тоже ничего не значат, так как их можно в любой момент подкорректировать

                                                                          То есть не может существовать абсолютно никаких годных для суда доказательств того, что некто вломился на ресурс и поломал его, если кулхацкер догадался почистить свой компьютер. Даже если взлом осуществлялся из дома. Понятно…
                                                                          Так что тут нужно было бы разбираться со счетом на сейшелах, кому он принадлежит, кроме того, прежде чем оперировтаь номерными счетами Вася их должен для начлаа открыть. А если у него нет, например, загранки или он не выезжал никуда? :)

                                                                          То есть если ты украл деньги и перевел их на чей-то чужой счет (да хоть благотворительность), то это в стране эльфов не считается воровством. Учту.
                                                                          Поэтому объявление подобных пользователей врагами как минимум глупо.

                                                                          Вы обрадуетесь непрошенному аудиту безопасности собственной квартиры, даже если оттуда ничего не украли?
                                                                          Я прекрасно понимаю человека, который на такое разозлится и решит примерно наказать «аудитора», чтобы другие не лезли куда не звали.
                                                                          Ниже банальный пример того что на тестирование и аудит полностью не стоит полагаться.

                                                                          Ну то есть Вы искренне поблагодарите того, кто без спроса продемонстрировал Вам ненадежность некоторых дверных замков?
                                                                            –1
                                                                            То есть не может существовать абсолютно никаких годных для суда доказательств того, что некто вломился на ресурс и поломал его, если кулхацкер догадался почистить свой компьютер. Даже если взлом осуществлялся из дома. Понятно…


                                                                            Теоретически они конечно могут существовать. Но стандартные логи, являющиеся обычными текстовыми файлами, очень сомнительное доказательство, т.к. легко модифицируются.
                                                                              –2
                                                                              Теоретически они конечно могут существовать.

                                                                              Назовите их. А заодно назовите мне какой-либо судебный процесс над хакером (на планете Земля), когда суд не рассматривал логи в качестве улики.
                                                                              • UFO just landed and posted this here
                                                                                  –2
                                                                                  Назовите их.

                                                                                  Зачем мне это надо??
                                                                                  А заодно назовите мне какой-либо судебный процесс над хакером (на планете Земля), когда суд не рассматривал логи в качестве улики.

                                                                                  Опять же, какой в этом смысл?

                                                                                  Факт наличия средств шифрования и контроля целостности логов никак не связаны с маразмом происходящим в судах… да лень мне искать инфу о них…

                                                                                  К тому же, думаю доказательством всетаки служили не логи исца, т.к. они легко млдифицируются, а он заинтересован в этом. А логи третьих лиц, например провайдера. Но тут уже не могу сказать конкретно, это просто размышления.
                                                                                    –2
                                                                                    Зачем мне это надо??

                                                                                    Чтобы не прослыть балаболом, наверное.
                                                                                    Факт наличия средств шифрования и контроля целостности логов никак не связаны с маразмом происходящим в судах… да лень мне искать инфу о них…

                                                                                    Вот ведь можете включить мозг, когда захотите :)
                                                                                    Наконец-то дошло, что рассматривать судопроизводство следует на планете Земля, а не в Стране Эльфов, где всё всегда объективно…
                                                                                    это просто размышления.

                                                                                    Абсолютно оторванные от реальности.
                                                                                      +1
                                                                                      Ну балабол в данном случае вы. Ибо

                                                                                      Вы в попытках доказать в этом топике неизвестно что и неизвестно кому — уже загнались совсем…

                                                                                      Мои слова не требуют каких бы то нибло пркыов, просто потому, что являются предположением.
                                                                                      1. Факт наличия средств шифрования и контроля целостности логов. Разве это предположение противоречит здравому смыслу жителя земли? Никак не противоречит.
                                                                                      2. Факт легкомодифицируемости обычных текстовых логов и вследствие этого их сомнительную доказательную силу. Это тоже вполне логичное продположение для жителей земли.

                                                                                      P.S. Так что завязывайте с компьютерными играми и отдохните уже… а то я по трезвяку, не могу догнать до ваших эльфов с их объективным миром )))
                                                                                        0
                                                                                        Мои слова не требуют каких бы то нибло пркыов, просто потому, что являются предположением.

                                                                                        То есть я говорю про реальную ситуацию на планете Земля, Вы фантазируете, и я оказываюсь балаболом. Оригинально :)
                                                                                          +1
                                                                                          Нет, это я предполагаю вполне реальные вещи…
                                                                                          А вы, вероятно под воздействием каких-то веществ, примешиваете сюда эльфов… кстати это не оригинально ;)
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  Разве банки у нас не обязывают писать данные на носители с однократной записью?
                                                                                  Вроде не так-то просто поменять логи на BD-R.
                                                                                  • UFO just landed and posted this here
                                                                                      –1
                                                                                      Ваши логи никак не могут являться доказательнством того что Вася что-то там сделал если ВЫ МОЖЕТЕ ПРАВИТЬ их сами

                                                                                      В стране эльфов не могут. На Земле могут.
                                                                                      У вас есть в наличие ДОКАЗАННОЕ воровство денег?

                                                                                      Факта перевода денег и слов «мы этого не делали» для моей планеты достаточно. Доказывать, что подозреваемый перевел деньги на свой счет, необязательно, см. Робин Гуд. Он ведь не был вором, потому что раздавал деньги окружающим, верно?
                                                                                      то в первую очередь в тык бы получил тот кто забыл закрыть окно, потом строители за то что стену сделали картонную

                                                                                      А в третью влетит Васе за то что залез куда не звали.
                                                                                      если я пользуюсь услугами банка и вижу у него открытые двери из-за того что он надеется на порядочность пользователя

                                                                                      Демонстрируете полное непонимание вопроса.
                                                                                      Некто отмычкой поковырялся в Вашем замке, зашел в квартиру, побродил по ней, оставил записку о том, что замок надо бы сменить на более надежный.
                                                                                      Эта аналогия вполне полная.
                                                                                      Разве банки у нас не обязывают писать данные на носители с однократной записью?

                                                                                      Нет конечно.
                                                                                      • UFO just landed and posted this here
                                                                                          –2
                                                                                          Отмычка — это взлом, в вашем случае дыра на сайте — это кривые руки разработчиков.

                                                                                          Недостаточная защита от взлома в цилиндре замка — кривые руки разработчиков замка.
                                                                                          Сканер уязвимостей любого рода, да хоть специфически сформированные поисковые запросы в гугл — абсолютный аналог отмычки. Целенаправленные попытки обойти защиту некоего ресурса, использовать недоработки.

                                                                                          Как известно, идеально сделанный замок (по нанометровым допускам) не поддается открытию отмычкой — не удастся застопорить пины по одному в нужном положении, и бампинг не сработает.
                                                                                        0
                                                                                        Нет, про логи у банков вообще нет официального регламента, всё на опыте администраторов. Некоторые хранят месяц циклически, некоторые годами упаковывают.
                                                                                          0
                                                                                          Не обязывают.
                                                                                0
                                                                                А теперь вопрос: если они куда то перевели деньги, какие логи будут там где их перевели? Возможно конечно взломщик имеем счет в этом банке, но как они узнают какой? Да и если их перевели они должны откуда то уйти и куда то придти. То есть они будут у кого то брать деньги чтобы вас засудить? Ага вы взломали, перевели деньги не зачистив ничего, так потом еще и на почту об этом сообщили.
                                                                                  –1
                                                                                  Ага вы взломали, перевели деньги не зачистив ничего, так потом еще и на почту об этом сообщили.

                                                                                  А прокурор всегда может сказать «он специально написал, чтобы у судьи возник тот же вопрос и сильные сомнения в виновности подозреваемого».
                                                                                  0
                                                                                  Чтобы доказать, что деньги были, нужно как минимум предоставит документ, выписку, сберкнижку и т.д где будет написано, что деньги были сняты буквально недавно.
                                                                                  Иначе не докажешь.
                                                                                  Опыт такой есть.
                                                                                0
                                                                                Поделитесь, сколько white hat'ов посадили таким образом.
                                                                                  0
                                                                                  Тысячи их!
                                                                                    0
                                                                                    Тег айрони скушался…
                                                                                      –4
                                                                                      Много. Но конкретными данными не поделюсь — ибо как их узнать? Кулхацкеров постоянно сажают за воровство, они всегда говорят «я ничего не брал» (или, по рекомендации адвоката, соглашаются с обвинением ради уменьшения срока). Как узнать, кто из них врет?

                                                                                      Можете к примеру историю Адриана Ламо почитать. Денег там не было, но паренька сурово наказали.
                                                                                        0
                                                                                        «много» — это не факт. Я точно так же могу сказать «нету таких».

                                                                                        А в истории Адриана Ламо есть одно «но». Его наказали за то, что он взломал сеть NY Times и изменял информацию. Ложная информация на сайте крупной газеты — это уже прямой урон репутации.
                                                                                        А вот о его наказании за взломы MS, Yahoo и прочих, где он действительно «зашел посмотреть», лично мне ничего не известно.
                                                                                          –3
                                                                                          Его наказали за то, что он взломал сеть NY Times и изменял информацию.

                                                                                          Вы это точно знаете?
                                                                                              –1
                                                                                              Видимо, не дошло…
                                                                                              Еще раз: Вы точно знаете, что он модифицировал данные? Или просто ориентируетесь на текст из приговора? Может быть, NY Times просто заявили «он добавил свою учетку в базу», он не смог этого опровергнуть — и приплыли?
                                                                                              Ну да, он сознался. В такой ситуации я бы тоже сознался. Во-первых, срок неизбежен, а признание может его уменьшить. Во-вторых, неплохой пиар для специалиста по информационной безопасности.
                                                                                                0
                                                                                                «Точно знаете что модифицировал» и «точно знаете, что наказали за модифицирование» — разные вещи, не подменяйте понятия. Я писал про второе, можете перечитать.

                                                                                                Может быть, NY Times просто заявили «он добавил свою учетку в базу», он не смог этого опровергнуть — и приплыли?
                                                                                                извините, вы идиот. Обвиняемый не должен доказывать свою невиновность, в США, по-крайней мере.
                                                                                                  –2
                                                                                                  «Точно знаете что модифицировал» и «точно знаете, что наказали за модифицирование» — разные вещи, не подменяйте понятия. Я писал про второе, можете перечитать.

                                                                                                  Так об этом я и говорю. Достаточно слов истца «модифицировал» и хоть каких-то логов, чтобы «аудитора» посадили. Хотя да, на Вашей планете может быть по-другому.
                                                                                                  Обвиняемый не должен доказывать свою невиновность, в США, по-крайней мере.

                                                                                                  Да, Вы точно не на моей планете живете…
                                                                                                  Вперед в гугл по «sexual harassment».
                                                                                      0
                                                                                      Прямо так краткое содержание фильма «Хакеры» (1995г).
                                                                                      +1
                                                                                      Вы наверно не внимательно читали…
                                                                                      Сами же цитируете, но не понимаете что читаете )))
                                                                                      «если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации»
                                                                                      Фишка в том, что в данном случае, при просмотре страниц в инете, их содержимое передается на ваш компьютер для отображения. Факт копирования информации на лицо. Этого достаточно. Эксперт напишет в заключении, что было копирование и будет прав. А судья не будет вникать.
                                                                                        –2
                                                                                        Не стройте из себя дурачка, вы же на IT ресурсе и понимаете, что копирование в оперативку и намеренная копия на диск — разные вещи. И эксперт защиты напишет, что такое копирование — неотъемлемая часть технического процесса. В авторском праве, например, такие формулировки вполне себе применяются, и никто никого не судит за кэширование объектов АП браузеров.
                                                                                          +2
                                                                                          Могу вам вернуть фразу про дурачка )
                                                                                          Ибо в суде никого не волнует что и кто понимает. Как скажет эксперт так и будет.
                                                                                          В инете есть масса маразматических примеров наших судебных заседаний, когда эксперт, чуть ли не найдя в гугле серийный номер винды, делал заключение что она пиратка, не глядя на документы доказывающие покупку…
                                                                                          Далее, Авторское право тут вообще не причем. тут разговор про неправомерный доступ. Но даже если взять АП, то чтение книги со странички в инете это нарушение, просмотр фильма так же нарушение, ибо для того чтобы посмотреть и почитать, контент просто физически необходимо перенести на комп в том или ином виде.
                                                                                          И ваш эксперт защиты упарится доказывать что это технический процес )))
                                                                                          Ибо тогда пиратское копирование DVD для просмотра тоже технический поцесс ))

                                                                                          Так что разберитесь в вопросе, прежде чем выставлять себя дурачком на публичном ресурсе…
                                                                                            –2
                                                                                            Ещё один идиот. Откуда вы все берётесь?

                                                                                            1) через маразматический пример можно доказать всё, что угодно. Можно ещё сказать, что судья будет подкуплен, просто для полноты картины.
                                                                                            2) А авторское право я привёл для примера того, что на уровне закона в другой области такие ньюансы учтены. «чтение книги со странички в инете это нарушение,» — нет. Потому что копирование для технических целей не требует согласия правообладателя. Копия DVD — это не технические цели ну никак.
                                                                                            4) Любой вменяемый эксперт знает, что без копирования в оперативу информацию на экране показать нельзя.
                                                                                              0
                                                                                              4) Вообще-то это зависит от аппаратного обеспечения. Иногда можно писать данные с устройства ввода-вывода непосредственно в видеопамять.

                                                                                              :)

                                                                                              Решил немного разрядить обстановку :)
                                                                                                +2
                                                                                                Действительно… откуда вы беретесь?

                                                                                                1. Да, но маразм в данном примере не выдуманный. У нас в судебных заседаниях присутствует в полноц мере и никто не защищен от тупых экпертов и пофигистичных судей. Посмотрите хотя бы статистику оправдательных приговоров чтоли…
                                                                                                И да, подкупленный судья тоже может стать причиной срока, разве нет?

                                                                                                2. Опять же посмотрите как это реально в жизнипроисходит, а не в ваших теоретических «ньюансах в других областях».
                                                                                                Вы хоть разницу между «У него нашли в кеше браузера уменьшенные копии оригигальных картинок в дерьмовом качестве» и «У него в кеше браузера нашли копии финансовых документов банка и персональных данных сотрудников и клиентов банка» можете осилить? Думаю это не для ваших мозгов… иначе вы не писали бы такую чушь приводя в пример АП.

                                                                                                Да да… просмотр пиратских фильмов в инете абсолютно законен… Угу.

                                                                                                4. Вот именно, что информация скопирована. Информация, которую случайно не откроешь на вконтакте и однокласниках. Чтобы ее открыть, надо совершить целенаправленные действия. Так что еще раз говорю, все эти знания идут лесом перед фактом копирования информации.
                                                                                                Конечно речь идет о конкретном случае с банком.
                                                                                                В случае просмотра каких нить картинок на общественном сайте это может и по другому трактоваться…
                                                                                                  –2
                                                                                                  Уважаемый, в данном топике идиот — только Вы.

                                                                                                  Примеры даются специально, чтобы даже обделенные интеллектом люди могли понять, что к чему. Но кажется, даже самые доступные аналогии не всегда доходят до адресата.

                                                                                                  «Любой вменяемый эксперт знает, что без копирования в оперативу информацию на экране показать нельзя» — а это что-то меняет? Копирование имело место быть. Точка.
                                                                                        +1
                                                                                        Но ведь в логах будут записи. Не посчитают ли это модификацией?
                                                                                          0
                                                                                          Вот, дело в том, что никак не поясняется, что конкретно понимать под копированием и модификацией, и каждый понимает как хочет. По идее, и кэш браузера можно копированием назвать.
                                                                                          Поэтому я насчет практической стороны и оговорился.
                                                                                          Вообще, конечно могут создать проблем при желании. Был бы человек, а статья найдется.
                                                                                            0
                                                                                            Ну почему же не поясняется.

                                                                                            Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.

                                                                                            Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование может означать и ее разглашение.
                                                                                              0
                                                                                              А где это поясняется? В каком нибудь подзаконном акте?
                                                                                              Я видел много различных рассуждений на эту тему, каждый интерпретирует по своему,
                                                                                        0
                                                                                        Тут скорее сработает принцип наименьшего зла — незачем катить бочку на человека, который не стал эксплуатировать найденную уязвимость (хотя и осуществил «неправомерный доступ»), а сообщил о ней владельцам ресурса
                                                                                          0
                                                                                          Большое спасибо за указание на ошибку! Безусловно, отдельное спасибо и огромное выражение нашей признательности за то, что не стали ее использовать, а поставили нас в известность.


                                                                                          Будет весело, если завтра автору придет повестка в суд после такого ответа :)
                                                                                          +1
                                                                                          Скрытая реклама студии на скринах)
                                                                                          habrastorage.org/storage2/4d0/070/738/4d0070738a4e5b150015fca4ee4257ac.png
                                                                                            +1
                                                                                            То, что здесь написано — это не реклама, а скорее анти-реклама безолаберным сотрудникам этой «студии».

                                                                                            Совершенно не понятно (и уж точно непростительно), как так можно наплевательски относиться не только к своей работе (за которую платят деньги, и, скорее всего, большие), но и к безопасности и сбережениям других людей.
                                                                                              +5
                                                                                              Эге, да на этом скриншоте — друпаловская админка, страница со списком пользователей. Также установлен модуль Devel (он выводит тот самый блок справа внизу, с полезными для разработчиков ссылками).

                                                                                              Вообще, к Альфа-банку у меня двоякое отношение. Слишком уж много косяков у них стало в последнее время.

                                                                                              Сначала, я регистрировал брокерский счет и оператор забыла отдать мои документы в Альфа-Директ, и только после того, как я в третий раз явился в отделение и поговорил уже с зав. отделением, все получилось.

                                                                                              Потом, я стал корпоративным клиентом и компания платила комиссию за услуги, однако с меня ее все равно сняли еще раз. После разборок с нашей бухгалтерией, а их разборок — с Альфой, деньги вернули. Через месяц или более.

                                                                                              Однажды, после закрытия трех депозитов, мне на каждый экспресс-счет от закрытия депозита было начислено в два раза больше денег, чем было на депозите. Я позвонил, сообщил об ошибке, на что оператор мне ответила — если вас что-то не устраивает, то вам надо пойти в отделение и написать заяву. Бред сивой кобылы какой-то. Будто это мне надо. Я ничего не стал делать, и потом банк списал лишние деньги (я смотрел свой договор — там написано, что банк вправе безакцептно — т.е. без моего подтверждения — списывать ошибочно начисленные деньги. спорный пункт вообще-то).

                                                                                              Последний апофеоз — это когда я получал кредитную карту Аэрофлот-Бонус. К нам на работу приходил менеджер и рассказывал мне сказки, что она будет со 100 днями льготного периода. пришел получать карту — оказалось, что 60 дней (у альфы никогда не было кобрендинговых карт со 100 днями), и плюс ко всему, менеджер не спросил меня о номере бонусного счета Аэрофлота (а он у меня уже был) и мне присвоили левый номер. Аэрофлот отказался регистровать меня еще раз с новым номером и посоветовал мне перевыпустить карту. карту я перевыпустил, но как мне сказали, годовая комиссия с меня спишется еще раз. Опять какой-то бред. Мне что, больше делать нечего, как постоянно с ними разбираться?

                                                                                              Вообще, в последнее время профессионализм работников Альфы удручает. Каждый говорит разное, и все норовят выставить клиента идиотом и неправым, при этом допускают охрененные косяки, за которые потом не хотят не то что расплачиваться, а хотя извиниться и предложить какую-то компенсацию. Я очень недоволен этой тенденцией и вообще этой конторой в последнее время и работаю с ней исключительно из-за прежних заслуг (раньше все было гораздо лучше), и надеюсь, что они исправятся. Однако если тенденция не переломится — я уйду из Альфы, и пусть горят они в аду.
                                                                                                +3
                                                                                                Рекомендую не умалчивать о таких инцидентах, а если и писать, то не на хабр, а через стандартные письменные каналы обратной связи. За подобные вещи потом дерут всех провинившихся и целуют попу клиенту. Речь даже не про альфу, это работает везде, как в магазине продуктовом, так и в авиакомпании и любом банке. У меня масса таких историй с другими банками (по кредитам и прочим продуктам), каждый раз после написания кляузы вопросы решаются просто мгновенно, а вот в коллцентре будешь месяц ругаться без толку, там сидят люди, которые не принимают решений.
                                                                                              +18
                                                                                              Как владельца карт альфы напрягло.
                                                                                              Блин, если разрабатываете в свободное время — так делайте это в локалке или на отдельных тестовых серваках + ограничение на доступ по IP
                                                                                                0
                                                                                                Если честно, я сомневаюсь что они с боевой БД там работали)
                                                                                                  +4
                                                                                                  Да она тупо рядом на том же серваке наверняка
                                                                                                    +3
                                                                                                    Ну, тут мы с вами, конечно, можем только гадать, но имхо — тоже маловероятно. Неужели вы всерьез полагаете, что они пустят стороннюю веб-студию на боевой сервер? )
                                                                                                    Это все, конечно, никак не отменяет того что сказал xsash, в ответе автору они и сами, в общем-то, не отрицали проблемы, но и сильно напрягаться тоже не стоит.
                                                                                                      –2
                                                                                                      «на том серваке» (вернее серваках) у альфы крутится IBM i, на которую никто не даст даже просто взгромоздить апачик с похапе (даже если они там ВНЕЗАПНО заработают). а уж о выставлять их голой ж… ой в онторнеты — об этом и речи не идет.

                                                                                                      не рассуждайте о вещах, о которых не имеете понятия :)
                                                                                                        0
                                                                                                        Очевидно, это был сарказм. Кстати, понятие, я как раз имею, к сожалению
                                                                                                          –3
                                                                                                          Наверное поэтому Альфабанк шлет выписки по кредитным картам на email'ы пользователей через Subscribe.ru. :)
                                                                                                          • UFO just landed and posted this here
                                                                                                              0
                                                                                                              В каком смысле фантазии?

                                                                                                              Я подал уже две претензии в АльфаБанк по этому поводу. Они считают, что договор о банковском обслуживании допускает это, а риски возложены на клиента.
                                                                                                              • UFO just landed and posted this here
                                                                                                                • UFO just landed and posted this here
                                                                                                                    0
                                                                                                                    В каком-то смысле «неадекват». Потому что написал об этом на странице банка в Facebook (где мне даже сначала ответили) и подал две официальные претензии в банк.
                                                                                                                    :)
                                                                                                                    0
                                                                                                                    Суть в том, что в рамках новостной рассылки от АльфаБанка, приходят письма с темой «Выписка».

                                                                                                                    Скорее всего такие письма приходят только для кредитных карт. Потому что у меня тоже несколько карт в Альфе, выписка приходит только по кредитному счету.

                                                                                                                    В письме находится выписка по счету, т.е. остаток, сумма к оплате, задолженность и т.п., а также последние операции по карте — где чего было куплено.

                                                                                                                    Я начала думал, что это типа напоминания, мол, клиент, вы забили заплатить. Но у меня везде (Сумма к оплате, задолженность, ..) стоят нули.

                                                                                                                    Какого?

                                                                                                                    Потом я заметил, что письмо отправлено через Subscribe.ru. А чтобы не получать его надо отписаться от «новостной рассылки».

                                                                                                                    Если вы не получаете, возможно вы не подписались на какие-то новости.

                                                                                                                    Собственно, негодование и возмущение вызывают два факта — представление выписки новостями и рассылка их через публичный сервис массовых рассылок.

                                                                                                                    • UFO just landed and posted this here
                                                                                                                        +1
                                                                                                                        Охотно верю, что CRM ЗАО «Интернет-Проекты» соответствует необходимым требованиям.

                                                                                                                        Соответствует ли таким требованиям e-mail?

                                                                                                                        Кроме того мне не то что не показали соглашение о неразглашении между банком и третьей стороной, даже номер его не назвали. А ведь ответственность за риски на мне.

                                                                                                                        А тот факт, что я могу быть не прав или то, что банк обоснует свое решение или отменит его, удерживает меня от написания разоблачительных статей.

                                                                                                                        Здесь эту тему я затронул, потому что считаю, что данные об операциях по карте в системе e-mail это нарушение безопасности.

                                                                                                        0
                                                                                                        То что относится к банкингу должно быть, даже обязано быть изолированно от веб-серверов (думаю даже географически (другой ДЦ)) вспоминая требования PCI, и там совсем другие технологии и ПО.
                                                                                                        Однако сильно удивляет наличие таких детских ошибок в любом сайте Альфа-Банка.
                                                                                                          +1
                                                                                                          Как работник одного из крупных банков, могу сказать что вряд ли там что-то можно было бы нарыть. Базы данных и подсети веб-сайтов не имеют ничего общего с реальными продакшен базами и серверами банка.
                                                                                                            +8
                                                                                                            Нет, я конечно верю и всецело надеюсь на это.
                                                                                                            Но!
                                                                                                            Можно получить пароли сотрудников из хеша (я допускаю низкий IQ сотрудников, которые будут использовать одинаковые пароли на всех проектах)
                                                                                                            Можно получить данные (имея, почта) сотрудников для дальнейшего использования в СИ
                                                                                                            Можно уже на этапе разработки незаметно внедрить бекдоор и ждать запуска проекта
                                                                                                            Можно изучить или слить проект в текущем состоянии для изучения
                                                                                                            Можно уже даже сейчас на страницах внедрить сплоит и получить доступ к компу разработчиков

                                                                                                            Естетсвенно это все в теории и много факторов задействовано
                                                                                                              +16
                                                                                                              т.е. у Вас в Банке тоже самое?
                                                                                                            +9
                                                                                                            Народ, отставить панику.
                                                                                                            Этот ресурс не имеет никакого отношения к инфраструктуре банка. Это из разряда маркетинговых проектов, которые просто содержат какую-то информацию, проводятся какие-то акции, реклама и тому подобное.
                                                                                                            Все эти сайты хостятся на соверешенно сторонних площадках, разрабатываются совершенно посторонними людьми и никак, повторю, никак не связаны с инфраструктурой банка. Даже с общей инфраструктурой, не говоря уже о сегменте процессинга, который гальванически развязан с основной ИТ-инфраструктурой.
                                                                                                            Единственное общее у этого ресурса (и ему подобных, которых существует много десятков) — родительский домен alfabank.ru, т.е. общее только то, что A-записи хранятся на том же DNS-сервере.

                                                                                                            В общем, отставить паранойю, панику и пустой пиар «АААА! Я сломал сайт БАНКА, Я крутой кулхацкер»
                                                                                                            По секрету (Полишинеля) — даже сайт alfabank.ru не имеет ничего общего с инфраструктурой альфы, сомневающиеся могут проверить хуиз и выяснить, где же он хостится. Это всё сайты-визитки.
                                                                                                              +1
                                                                                                              Да никто особо и не паникует.
                                                                                                              /me побежал проверять свой счет
                                                                                                                +12
                                                                                                                Ну-да, ну-да, за то какой простор для фишинга :-)
                                                                                                                Какие возможности по компрометированию банка перед ФАС и не только, если некоторые тексты и циферки на промо сайте изменить.
                                                                                                                ИМХО не бывает не важных уязвимостьей, бывает мало фантазии…
                                                                                                                  –5
                                                                                                                  для фишинга тоже не слишком большой простор в данном случае. Сайт имеет весьма говорящее название субдомена и выдать его за тот же click.alfabank.ru не выйдет. Ну, если кто-то и поведется, то точно также как и на click.alfablank.ru, так что никаких повышенных рисков я не вижу. Тут только репутационный риск из-за того, что общественность (увы, даже многие ИТ-профессионалы хабра) не понимает сути происходящего, смешивая в кучу.
                                                                                                                  +5
                                                                                                                  Чтобы было чуть более понятно, нарисовал схематично, какое же отношение имеет сабж к банку:
                                                                                                                  <img src="
                                                                                                                    +1
                                                                                                                    А где в этой схеме рассылка выписок по кредитным картам через Subscribe.ru?
                                                                                                                    Где-то конфиденциальная информация уходит сторонней компании.
                                                                                                                      –5
                                                                                                                      И какие же угрозы ты тут видишь?
                                                                                                                      Ты в курсе, что если, например, ты получаешь по почте распечатку выписок, то банк передал эту информацию в типографию, которая потом передала ее на почту? Но передал в зашифрованном виде по защищенному каналу и работали с этой информацией люди, получившие допуск и подписавшие довольно таки устрашающие бумажки?
                                                                                                                      Что лучше — отдать сервис рассылок профессионалам, заключив с ними соглашения и SLA (а насчет перс.данных и конфиденциалки subscribe и так работает в правовом поле и подчиняется требованиям регуляторов) или самому решать все проблемы с рассылками (попадание в спам, в блеклисты, потеря сообщений и т.п.)?
                                                                                                                      Поверь, этот вопрос решался, прорабатывался и согласовывался в альфе более двух лет (я про передачу рассылок внешней компании), с тщательным анализом всех рисков, проработки процедур и защиты взаимодействия и обработки на всех этапах.
                                                                                                                        0
                                                                                                                        Дело в том, что изменения тарифов и уведомления об изменениях договора они присылают со своих доменов. Значит могут и спам тут ни причем.

                                                                                                                        Через subscribe идут анонсы промо-акций, какие-то новости и… выписки по кредиткам!

                                                                                                                        Нонсенс. Во-первых, выписку я не заказывал. Я подписался на новости. Если бы я сам заказал выписку, не важно, бумажном виде или электронном, я бы не возмущался. Все-таки в договоре есть пункт о том, что банк может передавать данные третьей стороне.

                                                                                                                        Но даже с этим пунктом не все очевидно: у банка должно быть подписано соглашение о неразглашении с третьей стороной.

                                                                                                                        А подписано оно на самом деле или нет, а также в чем оно заключается (и законно ли) — не известно.

                                                                                                                        Т.к. договор с банком предусматривает, что риски связанные с передачей данных третьей стороне принимает на себя Клиент, мне необходимо быть уверенным, что передача данных осуществляется законно.

                                                                                                                          0
                                                                                                                          Пока вижу лишь один косяк — прислали то, что не просили.
                                                                                                                          Никто не мешает воспользоваться законным правом и запросить всю информацию.
                                                                                                                            0
                                                                                                                            Писал выше — подал 2 претензии. На вторую еще не ответили, просил привлечь службу безопасности.

                                                                                                                            Вообще все тут возмущаются не от ненависти к Альфе, а скорее наоборот — люди пользуются услугами банка и переживают, когда случаются проблемы.

                                                                                                                            Так что не переживайте особо по поводу вылившегося тут негатива.
                                                                                                                      0
                                                                                                                      По вашей схеме выходит, что все операции в альфа-клик выполняются через сотрудников. Т.е. при обмене валют, оплате мобильника и т.п. сотрудник с одного компьютера принимает заявку, а на другом её процессит. Я в такое не верю.
                                                                                                                      Про то, что сабж с процессингом никак не связан — это да.
                                                                                                                        0
                                                                                                                        Бро, эту схему я нарисовал за 43 секунды, просто чтобы было понятно, как сабж связан с карточками и счетами.
                                                                                                                      –2
                                                                                                                      Мы все прекрасно понимаем что сайты делаются фрилансерами, помещения орендуются, дизайн делает студия Лебедева, процессинг еще кто-нибудь и в целом «Все что есть в альфе не имеет ничего общего с альфой». Вопрос в другом — если они косячат в таких мелочах, если у них сайт альфа-клика через раз не отвечает уже который месяц — то где они еще будут косячить? Позиция что «вот тут у нас не важное — поэтому мы хамим, лажаемся, плюем на процессы — а вот в соседней комнате важное и те же люди волшебным образом преображаются и начинают все делать хорошо», ИМХО, далека от реальности :).
                                                                                                                        0
                                                                                                                        с производительностью клика история отдельная. Единственное, что я хотел донести своими комментариями — что паника ничем не обоснована, никто не взломал никакие серверы банка.
                                                                                                                          0
                                                                                                                          но (как это становится очевидно по голосам в мои комменты и карму), никого тут не интересует истинное положение вещей, зато желтые заголовки и скандальчики хабр сегодня обожает, судя по всему.
                                                                                                                            0
                                                                                                                            А что с кликом? Супруга уже третий месяц на меня косо смотрит и требует, чтобы я искал другой банк. Ее парит, что тривиальные операции по помещению денег на депозит или оплата сотового занимают по двадцать минут, потому что каждый клик с 50% шансом приводит к request timed out (и да, я программист и мониторинг показывает что это именно request timed out со стороны сайта, а не дома провайдер косячит).
                                                                                                                              0
                                                                                                                              Архитектура текущей версии клика разрабатывалась довольно давно и были допущены некоторые недоработки, которые потом вылезли проблемами с масштабированием, не было учтено лавинообразное увеличение количества пользователей. Но уже давно ведется разработка новой версии клика (клик 2.0 его называли внутри), полностью с нуля, с учетом всех недоработок и множества пожеланий. Когда запустят ее в бой — не знаю, не работаю в банке больше года.
                                                                                                                              А вообще тормозит клик чаще всего 1 рабочий день месяца, 1 числа месяца и ориентировочно в 20-х числах месяца. Причины просты — повышенное количество пользователей:
                                                                                                                              — 1 число — все смотрят состояние депозитов после начисления процентов ежемесячных;
                                                                                                                              — первый рабочий день месяца — зарплата как в самом банке, так и во многих организациях — все ломятся посмотреть начисления;
                                                                                                                              — 20-е числа — авансовые дни, повторяется предыдущий сценарий.
                                                                                                                                0
                                                                                                                                А у меня таких проблем с Альфой нет, хотя почти постоянно с Яндекс.Деньгами. Может провайдет все-таки тоже чуть-чуть виноват? :)
                                                                                                                                  0
                                                                                                                                  Скорее всего временные зоны. Хотя он часто и в три часа ночи по Москве лежит :(.
                                                                                                                              +2
                                                                                                                              Так никто и не паникует. Мы увидили что шеф-повар не моет руки после туалета и теперь в печали :). Да, он скорее всего работает в перчатках и у него на кухне специальный рукомойник есть, но сам факт огорчает.
                                                                                                                                –2
                                                                                                                                мы увидели, что водитель, который возит жену хозяина ресторана, не моет руки дома перед едой.
                                                                                                                          +1
                                                                                                                          Я пока от альфы не получил ответа насчёт XSS на одном из поддоменов, как и от 2-х других банков.
                                                                                                                          Уже неделю жду, может имеет смысл повторно написать им?
                                                                                                                          • UFO just landed and posted this here
                                                                                                                            +10
                                                                                                                            Найдено на wikimedia.org
                                                                                                                            тынц
                                                                                                                            • UFO just landed and posted this here
                                                                                                                                0
                                                                                                                                Автор этого чуда мне рассказывал, что сисадминам регулярно сообщают об этом на полном серьёзе как об утечке паролей.
                                                                                                                                0
                                                                                                                                Об уникальности url они тоже не слышали…
                                                                                                                                  0
                                                                                                                                  Ну они же наверно не собирались ее продвигать… или как?
                                                                                                                                  +10
                                                                                                                                  Ничего вы не понимаете, просто Альфабанк самый открытый для людей банк! ;)
                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                      –3
                                                                                                                                      вместо того, чтобы заниматься атаками на ветряные мельницы, лучше направить усилия на пентест настоящих боевых ресурсов, представляющих ценность. Тот же альфа-клик, например.
                                                                                                                                      Вот за нахождение уязвимости в таком ресурсе будет большой респект, но для этого понадобится действительно хорошо и долго поработать.
                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                          –1
                                                                                                                                          Логика самая что ни на есть простая. Оба инцидента, опубликованные на хабре, имеют к безопасности банка и его клиентов крайне отдаленное отношение, лежащее лишь в репутационной плоскости.
                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                              0
                                                                                                                                              нет, уволился год назад примерно. Но работал три года там и хорошо знаю все изнутри, особенно по части безопасности и архитектуры сети. Ну и с уважаемой Наталией Масарской сидели в соседних кабинетах и часто общались по работе.
                                                                                                                                                +10
                                                                                                                                                А зачем она язвит в письмах? Ай-яй-ай не профессионально :-)
                                                                                                                                                  –1
                                                                                                                                                  мне-то откуда знать? Вообще, она хороший и очень милый человек.
                                                                                                                                                  –3
                                                                                                                                                  А кто там за рассылки выписок по email через subscribe.ru отвечает, на в курсе?
                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                    • UFO just landed and posted this here
                                                                                                                                                        0
                                                                                                                                                        Потому что Альфабанк мой любимый банк и я сильно возмущен его действиями.
                                                                                                                                                        Внутренний конфликт.

                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                +1
                                                                                                                                                пентест это работа — ее делают после согласования условий и заключения договора, с вами никто такового не заключал, следовательно никто эту работу делать не просил и как-то глупо жаловаться, что она дармовая.
                                                                                                                                                • UFO just landed and posted this here
                                                                                                                                                    +5
                                                                                                                                                    ковырять альфаклик мало того, что нерентабельно(его, в отличие забытых промо-проектов, живущих в студии лебедева, регулярно аудитят и пентестят), так еще и не законно :) и боюсь, если статьи, подобные этой, расстроят службу безопасности банка, отмазка «в образовательных целях» уже не прокатит — с этим будет разбираться доблестная полиция.
                                                                                                                                          +1
                                                                                                                                          Брр, у меня аж мороз по коже.
                                                                                                                                          альфаклик — мой основной инструмент для операций с моими деньгами.
                                                                                                                                            –2
                                                                                                                                            не переживай, почитай мои комменты в топике. С кликом данный, гм, инцидент, связан не более, чем клик связан с rambler.ru
                                                                                                                                              +4
                                                                                                                                              Я понимаю.
                                                                                                                                              Но, речь не только о данном инциденте. За короткий промежуток уже две статьи.
                                                                                                                                              Можно предположить, что с кликом тоже не все в порядке.
                                                                                                                                                –4
                                                                                                                                                Предположение неверно. Люди, которые занимаются кликом даже не знакомы с теми, кто занимается проектами, попавшими на хабр. Более того, Масарская сотоварищи даже не имеет никакого отношения к ИТ-службе банка. А внутренняя ИТ-служба превышает 600 человек, даже внутри нее 80% человек не знакомы. Но процессы налажены очень хорошо, также как и работа курирующих органов ИБ-подразделения банка. Большинство являются отличными профессионалами в своем деле.
                                                                                                                                                А эти инциденты — плод творения, условно, студентов с фриланс-ру, а не внутренний продукт банка.
                                                                                                                                                –1
                                                                                                                                                Информация, которая находится под защитой в «клике», может быть доступна открыто в других местах. Пример — рассылки выписок через subscribe.ru.
                                                                                                                                                0
                                                                                                                                                Вообще-то вы подписали соглашение, где сказано, что банк может что угодно делать с ваши данными, включая их передачу третьей стороне, если это необходимо для исполнения договора. И риск в этих случаях возлагается на клиента банка.

                                                                                                                                                У меня был мороз по коже, когда я увидел список совершенных мной операций по кредитке в своем ящике gmail, при том, что я эту информацию не запрашивал.

                                                                                                                                                И «дважды мороз по коже» был, когда я увидел, что это новостная рассылка, отправленная через subscribe.ru.
                                                                                                                                                  +2
                                                                                                                                                  Другими словами, согласно договора:
                                                                                                                                                  «спасение утопающих — дело рук самих утопающих»?

                                                                                                                                                  Пора браться за тестирование клика на уязвимости?
                                                                                                                                                    0
                                                                                                                                                    А Вы не уточняли, что это за необходимость исполнения договора потребовала рассылки через сторонний публичный почтовый сервис?
                                                                                                                                                      0
                                                                                                                                                      Уточнял. Пока нет ответа. Позавчера оставил претензию, а срок по ней 10 дней.
                                                                                                                                                      Кроме того в facebook на страничке банка затронул эту тему.

                                                                                                                                                      Мне сначала ответили и дали ссылку на соглашение и упомянутые мной выше пункты.

                                                                                                                                                      На моменте, «А какая собственно необходимость?» общение пока приостановилось.
                                                                                                                                                • UFO just landed and posted this here
                                                                                                                                                    0
                                                                                                                                                    ещё blog.alfabank, testing.alfabank
                                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                                      0
                                                                                                                                                      В кэше гугла по-прежнему много интересного с незакрытых на тот момент сайтов альфабанка можно найти. По сути у них вся разработка наружу торчала.
                                                                                                                                                        0
                                                                                                                                                        Это банк, а не какой-нибудь «несерьезный» веб-сервис, так что стоило бы вспомнить не о robots.txt, а о политике «что не разрешено, то запрещено». То есть доступ снаружи только по white-листу IP-адресов, либо строго через любой тоннель (vpn, ssh).

                                                                                                                                                        Странно, что люди, ответственные за информационную безопасность в банке, вообще позволяют разработчикам вот так «просто по http» заниматься проектом банка из произвольного места снаружи. Даже в куда менее серьезных конторах это обычно запрещено. В Альфе политика безопасности в отношении транзакций по пластиковым картам, например, граничила с параноидальной (что в свое время послужило для меня основанием для отказа от их услуг), а тут — такое…
                                                                                                                                                          –2
                                                                                                                                                          весь этот «проект» находится снаружи, целиком и полностью, как организационно, так и технически. Сколько можно повторять, что никакого отношения к инфраструктуре и сотрудникам банка не имеет.

                                                                                                                                                        Only users with full accounts can post comments. Log in, please.