Реальная безопасность в банковском деле расположена далеко от вебуязвимостей.
В банке деньги крадут кардеры, недобросовестные клиенты и собственные сотрудники в сговоре с бандитами.
В последнее время серьезной угрозой стала кража денег у клиентов ДБО, но это практически целиком все clientside.
Поэтому ценность аудита, который проверяет соответствие банка требованиям ЦБ, в 100 раз больше, чем у вебпентеста. Провалив аудит, банк рискует лишиться лицензии. Провалив пентест он весьма вероятно не получить ущерба вообще.
Вот раскрутит кто-нибудь XSS до APT с кражей денег у какого-нибудь крупного банка — вектор сразу поменяется :).
Интересно, сколько лет осталось до того момента, как я буду скачивать на торрентах пиратские 3д файлы (new)^n iPhone и распечатывать у себя на принтере!
в таком случае те, кто сидят за ноутбуками и ищут сканером XSS — самые настоящие ботаны-теоретики по сравнению с теми банковскими ибэшниками, которые ловят вместе с операми кардеров.
Откуда инфа о самой зарабатывающей киберпреступности?
В ситуации с BSS проблема то больше в небольшом банке, который этой системой пользуется, которого все устраивает и который не хочет ничего менять.
Чтобы что-то изменить, нужно донести до руководителя банка всю опасность смены отечественного IP на габонский.
Чтобы это сделать и создают «бумажные» конференции по ИБ. А так же выпускают «бумажки» в виде законов и указаний ЦБ об обязательной проверке габонских айпишников.
Культуру донейта нужно взращивать, что по-тихоньку и происходит. Желательно про донейт напоминать в конце книги. А автору стоит завести страничку, отвечать на комментарии к книгам и т.д. Чтоб народ видел, что деньги идут реальному человеку на реальную жизнь.
и совсем это не милостыня, а комплимент.
ЗЫ давайте выдумаем русское слово для «донейта»… а?
Был сильно удивлен запретом записи Win2Go на флешку любого размера.
Нужна либо благословленная Стивом Балмером флешка из списка в статье, либо внешний жесткий диск.
signed_body генерируется на стороне клиента. Но в пакете передается не только хэш, но и исходный «открытый» текст — параметры типа media_id, user_id. Сервер генерирует на основании передаваемых параметров свой хэш и если он совпадает с клиентским — пакет идет дальше.
при условии, что алгоритм signed_body остается секретным, функция обеспечивает электронную подпись каждого сообщения и защищает протокол от различных атак.
косяк конкретно этой реализации — малое количество входных параметров signed_body. Если бы туда добавляли идентификатор пользователя, время, команду и т.д. — то протокол был бы достаточно стойким (не от прослушивания, но от модификации и подделки запросов от имени пользователя).
можно (нужно) кормить хэшфункции какую-нибудь юзерозависимую переменную. Тогда мы не сможем заранее прегенерировать нужный хэш на своем девайсе.
я пока еще исхожу из условия, что хэшфункция не разгадана (хотя в комментах ниже есть её алгоритм, но его еще нужно проверять). Поэтому даже зная аргументы хэшфункции мы пока что не можем вычислить signed_body самостоятельно.
signed_body нужен чтобы сохранить протокол проприетарным (запретить альтернативные клиенты) и ставить палки в колеса спаммерам, добавляя криптографию практически в каждую команду серверу.
В моих примерах я не повторяю пакеты. Я их собираю из своих прегенерированных signed_body и юзеровских печенек. Если бы signed_body был привязан к сессии, то я не мог бы его подсовывать в чужие пакеты.
насколько я понимаю, все усилия по шифрованию Меги направлены главным образом на правообладателей.
Если хостинг не знает что хранит — его не в чем обвинить.
наверное, и торрент-треккерам пора подумать над таким.
без сговора с сотрудником банка, который расскажет и покажет как устроен в банке платежный процесс, увести бабло будет крайне сложно.
по крайней мере я таких прецедентов не знаю (если не считать атаки на клиентов).
В банке деньги крадут кардеры, недобросовестные клиенты и собственные сотрудники в сговоре с бандитами.
В последнее время серьезной угрозой стала кража денег у клиентов ДБО, но это практически целиком все clientside.
Поэтому ценность аудита, который проверяет соответствие банка требованиям ЦБ, в 100 раз больше, чем у вебпентеста. Провалив аудит, банк рискует лишиться лицензии. Провалив пентест он весьма вероятно не получить ущерба вообще.
Вот раскрутит кто-нибудь XSS до APT с кражей денег у какого-нибудь крупного банка — вектор сразу поменяется :).
В ситуации с BSS проблема то больше в небольшом банке, который этой системой пользуется, которого все устраивает и который не хочет ничего менять.
Чтобы что-то изменить, нужно донести до руководителя банка всю опасность смены отечественного IP на габонский.
Чтобы это сделать и создают «бумажные» конференции по ИБ. А так же выпускают «бумажки» в виде законов и указаний ЦБ об обязательной проверке габонских айпишников.
Обидно, конечно, но никакого отношения к работе конференции не имеет.
Ответ: защищают банковскую систему РФ от фрода.
и совсем это не милостыня, а комплимент.
ЗЫ давайте выдумаем русское слово для «донейта»… а?
Только съемный жесткий диск.
Странно, что Вы этого не знаете.
Нужна либо благословленная Стивом Балмером флешка из списка в статье, либо внешний жесткий диск.
где мобильность? Зачем такие ограничения?
при условии, что алгоритм signed_body остается секретным, функция обеспечивает электронную подпись каждого сообщения и защищает протокол от различных атак.
косяк конкретно этой реализации — малое количество входных параметров signed_body. Если бы туда добавляли идентификатор пользователя, время, команду и т.д. — то протокол был бы достаточно стойким (не от прослушивания, но от модификации и подделки запросов от имени пользователя).
я пока еще исхожу из условия, что хэшфункция не разгадана (хотя в комментах ниже есть её алгоритм, но его еще нужно проверять). Поэтому даже зная аргументы хэшфункции мы пока что не можем вычислить signed_body самостоятельно.
В моих примерах я не повторяю пакеты. Я их собираю из своих прегенерированных signed_body и юзеровских печенек. Если бы signed_body был привязан к сессии, то я не мог бы его подсовывать в чужие пакеты.
Вот! Хороший пример из отечественной суровой реальности: вирус стер видеозапись с места ДТП.
вдруг сервера опять арестуют…
Если хостинг не знает что хранит — его не в чем обвинить.
наверное, и торрент-треккерам пора подумать над таким.