Pull to refresh

Comments 51

Неделя скандалов, интриг и расследований продолжается.
Попкорн. Срочно. Ведро.
Одно не понятно, причём здесь гопота?
Гопники в данном случае это стиль общения СБ Гольфстрима в лице Суровцева П.А.
не люблю слово «зашквар», но здесь, похоже, он самый
Аккурат вчера пришла смс от Гольфстрима с предупреждением об обновлении мобильного приложения. Совпадение?
Ну решили втихую попатчить, а может даже полученную информацию приписать на свой счёт и премию поиметь.
В любом случае джин уже выбрался из бутылки.
Будет весело если сейчас найдутся клиенты, которых ограбили и в тот момент сигнализацию почему-то не работала.
Более того, клиент и не докажет, что сигнализацию перед выходом из дома он активировал, а деактивирована она была удаленно. Не будет же Гольфстрим говорить «да вас ограбили из-за косяка в нашем ПО».
способы доказывания что не сам деактивировал тоже туманны.
Ну даже если они обновят мобильное приложение, то что бы защититься от такой атаки им надо будет отказаться от совместимости со старыми версиями.
Да и вряд ли в новой версии не будет существенных уязвимостей, т.к. судя по описанному в статье на этапе проектирования там о безопасности вообще не думали.
Так и есть, в новом приложении нужно абсолютно заново вносить все свои данные.
В новое приложение даже учетные данные не переносятся…
Господи, какая помойка. Клиент привлекает внимание сомнительных личностей самим фактом установки охранного оборудования (значит, есть что прятать!), а на сдачу получает ложное чувство безопасности. Киберпанк, который мы заслужили :-(
Тяжело читать такие посты, в которых прямо из каждого предложения сочится глубокая обида на компанию, не желающую сотрудничать с White Hat-ом. Не принимайте Вы это так близко к сердцу! Не захотел г-н Письман заплатить Вам пару шекелей — не беда, не он первый и не Вы — последний, продолжайте работать.
Понимаем Ваши мысли, но в данном случае речь совсем не шла о деньгах, тем более что в силу особенности мировоззрения должностных лица компании, общавшихся с нами, даже в теории не могли предложить что-то что могло бы заинтересовать. Поэтому данная публикация является исключительно информационной.

Поддерживаю. Обнародовать о наличии уязвимости и нежелании её закрывать — необходимо! А стоит информация об уязвимости денег или нет — меж собой решат, это уже не наше дело.

Интересно, будет ли реакция от «Гольфстрима» в этом конкретном блоге.

Сдаётся мне, самое большее — заменят один косяк в безопасности на другой и с помпой оповестят пользователей о «повышении уровня безопасности». Ведь сайт — сплошной маркетинговый слоган «какие мы крутые и надёжные».
P.S.S. 27 сентября 2017 года, утро. Рады что удалось донести до руководства компании данную проблему, существующую около 2-х лет (время выхода мобильного приложения). На данный момент сервера компании отключены — логичный ход мысли, нет сервера — нет уязвимости (по крайней мере этой..).
фиг знает по поводу «отключены»… у меня на телефоне вроде их приложение работает и с утра нотификация пришла о снятии… даже если и отключали утром, то приложение точно не обновлялось… по крайней мере после обновления пару-тройку дней назад…
Я как-то думала подключить квартиру на охрану этого агентства, почитала отзывы бывших сотрудников и расхотелось. Так что там и с кадрами не все гладко.

Кмк автор показал только вершину айсберга: ведь не учредители же писали софт…
Как надоело уже слышать всюду «техническая ошибка», а ведь за ней обязательно кто-то стоит (исключения есть, на уровне погрешности, форс-мажор называется).
Давайте говорить честно: кто-то из наших с вами коллег (администраторов, программистов, архитекторов и тп) накосячил.
Или проще сказать «мне менеджер запретил создать хорошую систему»? Вместо того, чтобы отстоять позицию, доступно обрисовать все риски, в конце концов отказаться делать заведомо плохо! Неужели нет элементарной профессиональной гордости?
Да в конце концов: не можешь — не берись! Это же косяки уровня времен становления интернета и include $_GET[’show’]!

кто-то из наших с вами коллег (администраторов, программистов, архитекторов и тп)

Совсем необязательно. Программистам надо деньги платить, так что лучше найти кого-то, кто будет работать за еду.

Давайте не пытаться скрыть проблему жонглированием слов. Кодеры они тоже «из наших» :)
Вам не надоело на каждом углу слушать про плохих программистов? Мне думается, нас уже скоро бить на улицах начнут за «технические проблемы» везде и всюду :)
Кстати, это проблема не только нашей отрасли, а многих: всегда найдутся те, кто готов делать «как получится», «за еду». :(

Написание какого-то кода еще не делает человека программистом. А то сейчас каждый владелец фотоаппарата — фотограф, а каждый владелец аккаунта в соцсети — журналист. Я вот могу гвоздь в стену забить (да-да, прямо в штукатурку) — могу ли я, на этом основании, называть себя строителем?

Ок, как тогда в Вашей терминологии называются те, кто её реализовал и сопровождал? :)
Или те, кто пишут за деньги плохой код не бросают тень на тех, кто пишет хороший и с Вашей точки зрения достоин называться программистом?

Ок, как тогда в Вашей терминологии называются те, кто её реализовал и сопровождал? :)


Не знаю… может врачи? Они много и неразборчиво пишут:)
Мне в такие моменты вспоминается спор (коих уже было много на хабре), а нужно ли программисту знать основы алгоритмов, структур данных и т.п. Вот можно добавить ещё, а нужно ли знание основ ИБ для создания охранной системы? Исходя из данной статьи, ответ следующий — нет, не нужно. Систему ведь сделали, она работает. С телефона сигнализацию можно включить/выключить, удобно же)))
И правильно делают. В любой области есть те, кто готов работать дёшево и плохо, и те, кто — дорого и хорошо (а также два остальных варианта). Важно не путать их между собой. Если владельцы охранного бизнеса экономят на квалифицированных специалистах по защите информации, то кто ж им доктор? Имеют право. Важно пользователям не вестись на всё это.

Но человек, который без малейшей задней мысли носит с собой кредитку, способную раздавать его деньги по радиозапросу желающих, уж точно не будет париться с проверкой шифрования трафика охранной системы. Тут только на естественный отбор надежда.

Охранники — либо бывшие менты силовики, либо бывшие уголовники. Либо не бывшие. Отсюда и стиль общения с авторами статьи, и стремление улучшать свой продукт (зачем? деньги с клиентов и так капают, конкуренты на этот рынок так просто не зайдут..).

Скорее всего было приказано «делай пока так. а потом переделаем как надо». Потом так и не наступило. Не знаю как в мире, но в этой стране почти все так работает.
Как программист может накосячить в том, что ответственные контактные лица (секретари, менеджеры, директора), целых два месяца отказываются воспринимать информацию со стороны стороннего эксперта, что у них есть уязвимость?
Ни админ ни программист ни архитектор не программировал их ДНК. Описанная в статье проблема — исключительно организационная, причем на самом высоком уровне — нанять бестолкового чванливого менеджера, который нанял бестолковых чванливых сотрудников и так пошло-поехало. Отсюда в конечном счете и работает все по http.
Очень плохо написаннная статья.

1. Возмущение в статье про уязвимость — отвлечение внимания. Если уязвимость серьёзная, найдутся те, кто возмутятся за вас, и куда более художественно. Нейтральный тон.
2. В технической статье не нужны все эти егурлы и прочие ЧП. Уязвимость в софте, а не в реестре юрлиц.
3. Статья должна начинаться с короткого введения: «критическая уязвимость, позволяющая… » (одно предложение) и информации о формате disclosure (coordinated disclosure или в связи с отсутствием реакции в течение N времени).
4. Технические факты должны быть вначале (после вступления).
5. История раскрытия — потом.
6. В конце — выводы. Кто уязвим и что делать.

При том, что вы пишите про совершенно вопиющую халтуру, и исследование очень важное, читать его совершенно не хочется из-за формата.

Но вы, тем не менее, прочитали, несмотря на формат )

Пролистал до описания уязвимости, и был крайне недоволен, что столько воды в начале.
Соглашусь. Эта желтушная хрень в начале вообще лишняя.
Одна картинка учредителя, с выделенной фамилией (видимо, автору она показалась забавной, иначе он бы выделил всё имя с фамилией).
Стиль написания тоже похож на желто-газетный стиль: кого-то обосрать, кого-то опустить, о чем-то сболтнуть, и вокруг побольше мути «смотрите, кто защищает объекты»

Беглый поиск по базе сведений о государственной регистрации юридических лиц даёт следующее:

А не беглый поиск даёт
еще больше компаний гольфстрим
, плюс у таких крупных компаний бывают еще куча мелких связанных компаний под другими названиями, но вы их даже и не искали, и от того ценность информации ЕГРЮЛ невелика.
Тема отличная, жизненно-техническая, также подходит для газеты «Скандалы, интриги, расследования» :)
Мы не располагаем информацией каким именно образом исследователю безопасности, который связался с нами и передал данную инфомацию, удалось установить точную функцию, но по его словам этой функцией оказался… обычный XOR!

Постойте, но установить же функцию в данном случае тривиально!
> Рады что удалось донести до руководства компании данную проблему, существующую около 2-х лет

Так они что, ответили каким-то образом? Или выключенные сервера наводят на такую мысль?

Уже выше писал… особо выключенными их не видел. Даже полюбопытствовал что в новой версии в виде токена… поменяли на какой то base64 по внешнему виду… на xor от userid содержимое после декода не особо похоже… пиннига сертификата нет… старый клиент на телефоне у супруги превратился в кирпич..

По крайней мере сегодня в 10 утра сервер авторизации отдавал ошибку 403.
Понятно. Товарищи, возможно, направились путём наименьшего сопротивления — мы тут поменяем по-быстрому один костыль на другой…

Интересно было бы увидеть аналогичный анализ их нового протокола.
Ну чисто внешне там все выглядит как и было, сегодня еще раз посмотрел… кроме того что token теперь длинный… все остальное один в один… токен статичный, то есть вчерашний отлично работает… я просто не увидел в статье как он раньше выглядел и от чего там XOR, на самом деле, правды ради, там и раньше при регистрации с телефона приходила СМС на номер владельца договора, содержимое которой предлагалось вводить при регистрации приложения на телефоне. Странно, что они собственно этот номер из СМС не замешали в токен…
Гольф обновил приложение, можете заново повторить манипуляции? Интересно что они сделали для улучшения «защиты»… И стоит ли на нем оставаться…
В веб версии кстати нету никаких кнопок типа снятия и поставки на охрану. Ее бы тоже проверить, а то может и там есть права на просмотр чего не нужно…
ну на самом деле, по крайней мере в СПб, в этом сегменте цен, с учетом того что все оборудование которое они ставят — Honeywell и по какой цене то альтернатив им нет… плюс они достаточно гибко умеют договариваться с группами реагирования, то есть по сути они просто ставят оборудование и заводят к себе на пульт, а договор на приезд может быть в принципе с кем угодно кто ближе-удобнее-хочет клиент итд…

судя по тому что видел когда мне все это устанавливали идет какой то внутрикорпоративный процесс внедрения чего то нового, чем даже их монтажники не до конца еще умеют пользоваться…

это все безусловно не оправдывает косяк, но в реалиях я не удивлюсь что всем этим чудом ИТ-строения заведует отдел из 3-4 человек, формата «сам себе режиссер», что вообщем далеко не единичный случай для такого рода «непрофильных» компаний…
Аудит дотошный. Так и надо
Насчет воды и излишней экспрессии, о которой говорят камрады — тоже верно. Мне бы к этой статье приглянулся заголовок типа: «Шок. Письман показал всё (фото)» или «Интернет шокирован обнаженным кодом Гольфстрим (видео)».
Ну вот и пошли первые ласточки вопреки победным реляциям и уверениям что утечки не было и все спокойно…
pastebin.com/MC3dyXuC
Гром грянул. Ждём, когда перекрестятся…
UFO just landed and posted this here
За 10 с половиной лет работы в ЧОПе, могу дать реально обоснованные рекомендации по защите недвижимости.

Конечно, давайте. Может, статью напишите? Думаю, что многим будет интересно почитать реальный опыт.
И мне, и мне интересно. Как тут подписаться на комментарии?)
Only those users with full accounts are able to leave comments. Log in, please.