Pull to refresh
-23
0
Геннадий @ragimovich

Happy-go-lucky scamp

Мальчик, ты за последние два дня черт знает сколько раз менял структуру своего сайта. Там уже были и пропадали данные кредитки и яндекс кассы, появлялись и исчезали адреса на протон мейл и чего только не было. Не ври уже, умоляю. А то я твои прошлогодние шалости на реддите опубликую прямым текстом здесь или на пикабу :-) Там и посмотрим, сколько фанатов у тебя останется на пикабу и как быстро ты найдешь работу В ЭТОЙ стране. Да, можешь это тоже в угрозы записывать, мне тащемта плевать, не я тебя заставлял такие фоточки выкладывать, проказник Алиска :-)


З.Ы. За минуса спасибо, но если ты не заметил, мне уже плевать :-)

они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией

AppSee/e-Legion/BK тоже заявляют, но им это, как мы видим, не особо помогает — толпа лютует. Но та же толпа рекомендует друг другу добавлять appsee в AdGuard для защиты.


Счастье в неведении. Как думаете, какой процент пользователей Adguard читал документацию? Я думаю, не больше 1%. Зачем ее читать, если друг Вася посоветовал. Друг Вася плохого советовать не станет. Люди не читают документацию, а верят другим людям, надеясь на то, что эти "другие люди" её прочли. В итоге никто её не читает. И уж тем более никто не пытается разбираться, что происходит внутри этой черной коробки с монитором — ВК/ОК загружаются и отлично. И вот это отсутствие желания разбираться и святая вера в "простого человека" приводят к тому, что население начинает верить любому чудаку, который с умным видом и картинками (а уж если с видео, так вообще 100% правда) объясняет им, что их пытаются обмануть злые корпорации/правительство/рептилоиды. Причем это относится не только к этому случаю и IT. Проблема глобальнее. Отказники от прививок, враги ГМО, свидетели химтрейлов или адепты плоской Земли, все они олицетворяют собой одну проблему — при недостатке знаний и отсутствии доверия к власти, население начинает больше верить "простому человеку", а не "коварному вождю/корпорации". И не важно, что "простым человеком" могут двигать не совсем благородные цели, а, в лучшем случае, психиатрические нарушения и/или невежество, толпа рада верить тому, что их сомнения в существовании заговора не беспочвенны. Ведь согласитесь, всегда приятнее знать, что все неудачи в твоей жизни результат воздействия третьих сил, а не твои личные просчеты. Особенно это заметно в странах вроде нашей, где паранойя существует не только сама по себе, но она еще и подпитывается той самой властью через СМИ — кругом враги, будь бдителен. Результат налицо — мы не поняли, что там произошло, но давайте сожжем БК и легион заодно, ибо нефиг.

Поиск работы и донаты исчезли. Весь кипеш затевался из-за 300 долларов в биткоинах что ли (https://www.blockchain.com/ru/btc/address/18c5YugMhz6gsAxtLzdBfo9uDZcqdgywq8)? ЧуднО.

Вы же понимаете, что после установки в систему "левого" CA аналитика AppSee это меньшая из ваших потенциальных проблем? Ну, т.е. вы же понимаете, что все данные из браузера окажутся в свободном доступе. Да и cert pinning используется в основном в финансовых приложениях (года 3 назад этим даже VK не заморачивался), что говорить об остальных.


Про установку и использование AdGuard я вообще промолчу. Ставить прокси приложение без исходников и добавлять его CA в систему для борьбы со слежкой — ОЧЕНЬ странная затея. На основании чего пользователи верят им, но не верят AppSee, которая утверждает, что никакие данные никуда не передаются? Я предполагаю, потому что пользователям никто не объяснил, как это работает и к чему подобное приложение имеет доступ, а сами они никогда не задумывались над этим вопросом. Это, кстати, идея для нашего Фенька — можно разоблачить AdGuard.

Вы ошибаетесь. Сертификаты проверяются приложением и наш "исследователь" установил в систему свой CA сертификат, чтобы обойти эту проверку. Поэтому я и уточнил "без ножа к горлу".


Да, у AppSee нет HSTS, но это немного про другое и простых методов использования этой уязвимости нет. Вернее, если у вас есть возможность ее использовать, выгоднее идти и сразу ломать Сбербанк Онлайн — там тоже нет HSTS, а процент тех у кого есть карточка сбера явно больше чем процент тех, кто будет в бургерной в первый раз подключать карточку.

А вы думаете, что каждое приложение с AppSee принимает банковские карты?


Даже если открыть список тех фирм, которые они не постеснялись выложить на странице Customers, там из тех, в которых прием карт будет уместен, разве что Gett, да ebay. Но какова вероятность того, что пользователь будет вводить данные карточки что того, что другого в бургерной или другом общественном месте? ebay — даже представить сложно, зачем это может понадобиться — там карту обычно привязывают еще в веб интерфейсе; gett — ну, теоретически, возможный вариант, но если юзер собирается уехать из бургерной, я полагаю, он и приехал в нее на том же гетте, т.е. карточка уже в системе.


А если это не кредитка, то какую прайваси информацию можно выудить из среднестатистического приложения в телефоне (напомню, AppSee может записывать исключительно то приложение, в котором установлено)? Тем более с тем качеством видео, которое AppSee записывает (10/10 шакалов) — там же даже непонятно, что на половине картинок, не говоря о тексте.

По существу вам есть что ответить? Или продолжите свои регалии перечислять и объяснять, как к вам обращаться?

https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru


Strict Transport Security (HSTS) No
HSTS Preloading Not in: Chrome Edge Firefox IE


Ваш выход, ломайте их полностью! Куш будет исчисляться триллионами рублей! Это вам не бургерную ломать.


Я к тому, что хватит уже сыпать аббревиатурами о которых вы прочитали 10 минут назад в википедии, и без которых, как вам кажется, все вокруг — решето. Да, HSTS, DNS CAA и прочие заклинания повышают безопасность, но против таких специфических векторов атак, которые против посетителя бургерной никто в здравом уме применять не станет. Ну вот скажите, вы реально думаете, что кто-то придёт в "макдачечную", развернет там фейковую АП, сигнал которой будет перебивать стационарную, будет подменять DNS, фейкать API AppSee и надеяться, что клиенты будут вбивать номера карт прямо на месте, а не придут с уже настроенным приложением? Я молчу про то, что большая часть карт сейчас идет с 3-D Secure и вектор атаки на сами деньги становится совсем непонятным. Паранойя паранойей, но лично мне не 18 лет и я понимаю, что человек способный УСПЕШНО провернуть атаку подобного рода не будет размениваться на клиентуру БК.

Ой, смотрите, что я нашел. Неужели это Fennikami упоминают? Да еще и в контексте необоснованных обвинений? Ну, настоящий "пентестер"


https://www.reddit.com/r/sideloaded/comments/8t4gd1/meta_official_appvalley_statement/

Обычный MITM в публичном WiFi организовать утечку ДДК

Покажите, пожалуйста, пример HTTPS MITM. Я согласен даже на "необычный", который не включает в себя нож к горлу владельца мобильного, если "обычный" окажется слишком сложным.

Для автора это превратилось в некую священную войну.

Самое время задать вопрос — cui prodest? Еще 11 числа в своем бложике автор писал:


Моей личной целью в этой истории было донести тот простой факт, что шпионство просто недопустимо. Ни под каким предлогом, нарушению приватности нет оправдания.
Я эту цель выполнил.
К теме Burger King больше не возвращаюсь.

Правда потом он вернулся с постом


А нет, возвращаюсь
Хотели видос с пруфом что ничего не замазывается? А вот пилю

А вот сейчас пойдут "размышления" в стиле автора. Второй пост появился после ответа eLegion в котором они сослались на скриншот автора и пояснили, что замазывать/не замазывать поля определяется в JSONе (https://habr.com/company/e-Legion/blog/417043/ картинка https://habrastorage.org/webt/mh/p5/8q/mhp58qnhsmfxxmojfyrfzewtmce.jpeg). Из этого, опять же в стиле автора (!), я делаю вывод — изначально он хотел "слиться", но получив дополнительную информацию, решил продолжить свою "борьбу", изменив поведение приложения (путем подмены ответов сервера appsee в том же Fiddler) и записи видео, которое не имеет отношения к реальному поведению приложения. Может ли он доказать обратное? Нет. Стоит ли доверять подобному "пруфу"? Ну, ХЗ, у нас 67% населения верит в мировое правительство, так что, безусловно, можно.

Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

Забейте, мой вам совет. У Олега, если вы почитаете его остальные посты, пуши заменяют абсолютно всё. RSS — г-но, пуши лучше. Мобильные приложения — г-но, пуши лучше. Боты и каналы в телеграме — г-но, пуши лучше. Почта — г-но, пуши лучше. Думаю, на следующем этапе, он выскажет мысль, что и сайты уже не нужны, лучше пуши. Надо просто подождать.

А че тут знать. По слухам, этим занималась вот эта фирма https://www.gammagroup.com/ (другая версия гласит, что не англичане, а австрийцы, но однозначно какие-то европейцы). Местные бараны (без оскорблений, просто констатация факта, что в условиях, когда все заблокировано сложно растить АйТи специалистов) там только в качестве позвонить в поддержку, если «загорелась красная лампочка». А англичанам, сами понимаете, строго пофиг на то, что творится с правами человека в очередной банановой республике.

ID не с потолка, а, судя по его виду, из MongoDB в которой хранятся результаты парсинга. Посмотрите на примеры в статье, там тоже нет "локальных" ID. Я вообще сомневаюсь в возможности "вытащить" "локальный" ID с помощью "универсального" парсера.


Да и по поводу цены сложно товарищей винить — "89 900,-" это очень необычный формат обозначения валюты.

Простите, но зачем, если у меня есть 2 миллиона евро и "подтверждение законного источника происхождения капитала" мне нужно гражданство Кипра? За 250К покупается гражданство Сент-Китс и Невис (которое купил Паша Дуров) и всё. На оставшиеся 1.75 миллиона можно жить хоть на Кипре, хоть в Бразилии.

Хабр про продажу копроративныхх блогов, в которых можно нести любую чушь.

Человек говорит об эргономике, которой в G810 не видно — обычная доска, коих миллионы на любой кошелек. А вот альтернатив эргономичной серии MS на массовом рынке фактически нет. Да, есть Kinesis, есть Truly Ergonomic, но конкретно в России ни ту, ни другую не купишь, да и цены на них несколько отличаются от MSовских.
Вы действительно думаете, что хоть у одного из этих «банановых» режимов есть научные ресурсы для создания подобных систем? Ну да, вот у Китая есть, но их там полтора миллиарда, да и в итоге работает их «Золотой Щит» определенно хуже той фигни, которую тот же пятимилионный Туркменистан приобрел у немцев. У остальных же все бабло уходит примерно на то же, что и у наших олигархов — дворцы, брюлики, самолеты, кони, бентли. Не предлагаете же вы им вместо этого вложиться в образование собственных граждан? Где гарантия, что потом эти образованные напишут для вас систему для слежки за самими собой, а не лишат великого лидера всего награбленного заслуженно заработанного?
С технической стороны все эти маректплейсы это очень просто, но там ведь не в сайте дело. С шишом в кармане на этом рынке делать нечего. Видите, у апворка на старте было 14 лямов инвестиций, не говоря о том, что пользовательскую базу они слили с одеска и еланса, т.е. стоимость привлечения первоначальных клиентов была нулевая. Итог мы видим в статье. А если открывать совсем новую биржу, нужно еще N миллионов на пиар и привлечение первоначальных клиентов и фрилансеров. При этом, учитывая историю с апворком, будет сложно объяснить инвестору, что деньги хотя бы отобьются.

Information

Rating
Does not participate
Location
Россия
Date of birth
Registered
Activity