Дыры в информационной безопасности бывают разные. Бывают дыры в софте, бывают в железе, бывают в головах людей. А еще бывают в документации. Вот, к примеру, прямо сейчас на сайте весьма известного в Украине банка лежит инструкция, призывающая пользователей корпоративного интернет-банкинга доверять любым фишинговым сайтам, выдающим себя за банк, забивая при этом на все предупреждения браузера о неверных сертификатах. А ведь хотели, наверное, сделать людям полезную доку. Но получилось как всегда.О чём речь?
Идем вот сюда и качаем доку Подготовительные работы. Можете не читать всё (там много) — я процитирую ключевое место документа:
«Программа генерации ключей находится на сайте банка, для того чтобы ее загрузить на компьютер пользователя необходимо:
Установить связь со своим провайдером internet, активировать Internet-обозреватель, в адресной строке IE ввести адрес: — client-bank.privatbank.ua/p24/c2b_install и нажать „Enter“. Откроется страница:
В данном сообщении говорится, что загружаемое программное обеспечение принадлежит ПриватБанку, его подлинность подтверждается сертификатом Tawte Premium Server CA и банк подтверждает безопасность данного приложения. „
Где собака зарыта?
Итак, внимание — на скриншоте мы чётко видим сообщение браузера о том, что сертификат выдан черти-кем и доверять этому сайту нифига нельзя. В сообщении под скриншотом это сообщение объясняется как “всё ок, так и должно быть, это сайт приватбанка и его софт». А мы помним, что далеко не все владеют английским на должном уровне и, соответственно, верят этому объяснению. Всё, приехали, сушите весла — если пользователь, начитавшись этой инструкции, увидит предупреждение браузера о фишинговом сайте — он его проигнорирует. И потеряет деньги.
Как же такая фигня получилась?
Я, конечно, не знаю точно, но мне кажется, что всё было так. Над документом работали 2 человека. Один (назовем его Программист) был умный и реально понимал что тут и как. Вторая (назовем её Секретарша) была глупой и ничего не понимала, только Вордом умела пользоваться и копипастом еще. Программист, понимая, что от Секретарши чудес ждать не приходится, наделал скриншотов процесса установки ПО, на каждом ��криншоте заботливо поместив галочку, обясняющую, что нужно нажимать. Будучи полностью уверенным, что этого хватит и тут уж надо очень постараться, чтобы что-то запороть, он отдал эти скриншоты Секретарше со словами «на, подописывай там между картинками словами что и где нажимать — я там галочками отметил». Но Секретарша всё-равно смогла облажаться! Логика у неё, я так думаю, была такая:
«Так, тут человек должен нажать „Начать процедуру подключения“. Но ведь на экране такое страшное окно с ворнингом! Что делать? Надо как-то объяснить пользователю, почему всё ок. А перед этим хорошо бы понять самой… Ну вот тут вроде бы написано про сайт Приватбанка… И еще вот что-то о сертификате Tawte Premium Server… Ну вот напишу, что поэтому всё и хорошо». И написала. А в действительности, то, на что смотрела Секретарша, вовсе не было сообщением браузера об ошибке сертификата. Вернее, это как раз оно и было, но вот только показывал его не тот Firefox, что на экране, а другой браузер, а этот Firefox показывал всего-лишь страничку со скриншотом этого сообщения. И показывал её как раз для того, чтобы предупредить пользователя об опасности. Вот она, эта страничка в нынешнем её виде. Т.е. получилось, что Секретарша, напугавшись скриншота в скриншоте (вау, рекурсия) попыталась как-то его объяснить себе и пользователю. В результате чего нас призывают верить фишинговым сайтам. Круто, правда?
Это всё, конечно, только моя версия происходящего, но мне кажется где-то так и было. Потому что второй вариант — это осознанная диверсия. А как говорит Бритва Хэнлона: «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью».
Итог
Фиксить баги нужно везде, и в документации тоже. В Приватбанк отослано письмо со ссылкой на эту статью. Уведомлять их тайно нужным не считаю, поскольку прямой угрозы банку нет, просто глупости в доках написаны.
