Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, … либо я админ компьютера или домена.
Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, …
либо я админ компьютера или домена.Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка