Pull to refresh

Ломаем банк в стиле smash the stack!

Digital Security corporate blog Information Security *

Не только XSS…


Последнее время многие обращают внимание на уязвимости ПО, используемого в банковском секторе: в частности, недавно прошумела новость об уязвимостях класса XSS на веб-сайтах различных банков. Общественность негодует, и СМИ шумят. Но ведь банки богаты не только веб-составляющей. Начиная с конца 2000-х я собирал уязвимости в модулях ActiveX, которые банки гордо раздают своим пользователям, а именно клиентам системы дистанционного банковского обслуживания (ДБО). Раз в год я брал одну или две системы и ковырял их. Начиная просто так, любопытства ради (начал это дело, еще будучи сотрудником банка) и продолжая уже из исследовательского интереса. В итоге за 3–4 года я выявил уязвимости в системах от таких производителей, как BSS, Inist, R-Style, ЦФТ. Под катом находится информация об одной такой уязвимости. Большая часть описания уделена созданию простенького эксплойта для выполнения произвольного кода на стороне клиента (Windows7, IE +DEP/ASLR). Возможно, это будет полезно тем, кто хотел бы понять принципы эксплуатации старых ‘strcpy’ багов и создания ROP-эксплойтов.


Читать дальше →
Total votes 191: ↑186 and ↓5 +181
Views 51K
Comments 49

Impact анализ на примере инфраструктуры корпоративного хранилища данных

TINKOFF corporate blog System Analysis and Design *SQL *Data visualization
В этой статье я хочу рассказать, как можно решать задачу impact анализа или анализа влияния в сложной, многоуровневой инфраструктуре корпоративного хранилища данных на примере нашего DWH в Тинькофф Банке.



Работая с DWH все наверняка задавались хоть раз вопросами:
  • «Что будет, если поменять поле в таблице?»
  • «На каких ETL процессах это скажется?»
  • «Какие отчеты будут затронуты?»
  • «Какие бизнес процессы могут пострадать?»

Ответить на этот вопрос как правило непросто, т.к. нужно просмотреть дюжину ETL процессов, потом залезть в BI инструмент, найти нужные отчеты, что-то держать в голове, помнить о том, что что-то там строится ручным кодом и всё это выливается в большую головную боль.
Даже самое порой безобидное изменение может сказаться, например, на отчете, который каждое утро приходит на почту к председателю правления банка. Немного утрирую, конечно:)

Далее в статье я расскажу, как и с помощью чего можно уменьшить головную боль и быстро проводить impact-анализ в инфраструктуре DWH.

Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 12K
Comments 16

PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту

Infobip corporate blog Research and forecasts in IT
Сегодня в банковском обслуживании ожидания клиентов, пользующихся мобильными технологиями, существенно повысились. Технологический скачок повлек за собой рост моментально доступных сервисов, что, в свою очередь, определило требования пользователей. Банки, которые активно развивают мобильные возможности, предлагают опции предоставления финансовой информации в реальном времени, а также новейшие достижения мобильных технологий.


Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 3.5K
Comments 5

IoT в банке

Unet corporate blog Finance in IT IOT
Некогда консервативный и осторожный к новшествам банковский сектор в последние годы стал одним из наиболее автоматизированных, и во многом это произошло благодаря решениям на базе Интернета вещей (Internet Of Things, IoT). Банкиры видят в этой технологии множество потенциальных возможностей, которые могут помочь банковскому бизнесу перейти на новый, цифровой уровень.


Читать дальше →
Total votes 20: ↑15 and ↓5 +10
Views 5.5K
Comments 10

«Референтная модель BIAN» для банковской индустрии или как перестать изобретать велосипед

System Analysis and Design *IT Standards *Research and forecasts in IT Business Models Microservices *
Sandbox
Так как я заметил, что ты, Цезарь, уже много построил и продолжаешь строительство, я разработал определенные правила, чтобы ты сам смог оценить качество как уже существующих, так и будущих зданий.

Витрувий, архитектор времен Римской империи
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 6.8K
Comments 6

Современные тренды и рекомендации по аджайлизации крупных финансовых институтов

Project management *Agile *
Sandbox
12-15 Мая 2019 в Дублине состоялся PMI EMEA Congress 2019, который был организован одним из лидеров отрасли в области разработки методологии управления проектами – Project Management Institute (PMI). Конгресс собрал более 700 делегатов из 70 стран и 450 организаций и стал мировой площадкой по обмену знаниями и опытом в применении современных методов и подходов в области управления изменениями. Во многих крупных российских банках и финансовых учреждениях на текущий момент происходит Agile трансформация структуры управления изменениями, поэтому анализ опыта аджайлизации в других подобных организациях является важным фактором успешного и эффективного внедрения Agile.

Читать дальше →
Total votes 17: ↑12 and ↓5 +7
Views 2.6K
Comments 9

Референтная модель BIAN. Что нового и полезного для корпоративной архитектуры банка она предлагает?

Open source *System Analysis and Design *IT Standards *API *Microservices *


BIAN… как мало в этом звуке для сердца русского… Да, я не случайно перефразировала всем известного классика. В России популярность референтной модели BIAN все еще низкая, особенно в сравнении с моделью Enhanced Telecom Operations Map (eTOM), распространенной в опережающей по своему развитию телекоммуникационной отрасли. А между тем, модель BIAN развивается, совершенствуется и набирает популярность за пределами России и в международном сообществе банковской индустрии.

Не стану более отвлекать читателя на лирические отступления, скажу только, что обзор модели BIAN и сопроводительных документов стандарта есть в первой моей статье о BIAN, здесь же постараюсь рассказать, чем BIAN может быть полезен бизнес-менеджерам, бизнес-архитекторам, корпоративным архитекторам, архитекторам решений, ИТ-специалистам и всем другим лицам, интересующимся управлением всей архитектуры финансового предприятия. А также о его ключевых полезных трансформациях, на мой взгляд.
Читать дальше →
Total votes 9: ↑7 and ↓2 +5
Views 3.8K
Comments 3

Год в Scrum: наблюдения скрам-мастера

Росбанк corporate blog Development Management *Agile *Product Management *
Друзья, привет! Меня зовут Александр Еремин, я – скрам-мастер продуктовой команды PRO Daily Banking Росбанка. Мы работаем с сегментом малого и среднего бизнеса.

Сегодня я поделюсь наблюдениями скрам-мастера о первом годе жизни команды в новом фреймворке.

image
Читать дальше →
Total votes 13: ↑6 and ↓7 -1
Views 2.9K
Comments 14