Комментарии 49
Спасибо вам и другим «аудиторам безопасности» за то, что не даёте банкам расслабляться.
Даже если злоумышленники не спишут деньги с моего счёта, благодаря уязвимостям, то деньги
пропадут с счетов банка.
А банк, в свою очередь, включит это воровство в будущие проценты и мы их всё равно заплатим.
Предотвращение потерь — один из способов уменьшить себестоимость товаров и услуг
(в 90х годах, на заводе ВАЗ об этом плохо знали)
Даже если злоумышленники не спишут деньги с моего счёта, благодаря уязвимостям, то деньги
пропадут с счетов банка.
А банк, в свою очередь, включит это воровство в будущие проценты и мы их всё равно заплатим.
Предотвращение потерь — один из способов уменьшить себестоимость товаров и услуг
(в 90х годах, на заводе ВАЗ об этом плохо знали)
Не совсем согласен. Мы помогаем банкам. Иногда даже бесплатно, как в этом случае 8)
Банки ведь не виноваты в этом… так что чего их винить. А если деньги спишут с Вашего счета, то пропадут они у Вас..., а не у банка ;)
Банки ведь не виноваты в этом… так что чего их винить. А если деньги спишут с Вашего счета, то пропадут они у Вас..., а не у банка ;)
Прочитайте свой договор с банком. Боюсь Вас разочаровать, но деньги пропадут у Вас, а не у банка…
В УВД ЦАО г. Москвы я наблюдал пачку заявлений толщиной в пару см от пострадавших от кражи денег со счетов. Это были отнюдь не банки.
В УВД ЦАО г. Москвы я наблюдал пачку заявлений толщиной в пару см от пострадавших от кражи денег со счетов. Это были отнюдь не банки.
Банки уже заранее включили всё в «будущие проценты», так что воруй, не воруй, ломай не ломай, а заплатить всё равно придётся.
Может комментарий немного не в тему, но скажите, пожалуйста, а клиент банки на Java более уязвимы? Вообще насколько сложно найти дыру в java аплете, если он запущен на последней версии виртуальной машины.
Вы клиент не ПБ случайно?
У нас со счета компании увели деньги. Банк-клиент — на java (Бифит). Судя по результатам наследования — внедрились как раз через уязвимость java-runtime.
Хотите 100% защищенности — используйте одноразовые коды и SMS информирование. Технические методы гарантии не дают. Например, тот эксплойт, который (предположительно) сработал у нас, начал детектироваться антивирусами только через 3 недели после его появления на нашем компьютере.
Хотите 100% защищенности — используйте одноразовые коды и SMS информирование. Технические методы гарантии не дают. Например, тот эксплойт, который (предположительно) сработал у нас, начал детектироваться антивирусами только через 3 недели после его появления на нашем компьютере.
«Расследования», а не «наследования», прошу прощения.
а у нас нет одоразовых смс в клиенте. :)
а как подцепили заразу?
runtime был последней версии?
а как подцепили заразу?
runtime был последней версии?
Нет SMS-подтверждения — ставьте хотя бы SMS-информирование. Банк вполне способен задержать платеж по звонку. Деньги уходят из банка сессиями, так что между «платежом» и действительным перечислением средств проходит довольно много (для отмены) времени. И даже если деньги в другой банк успели уйти, обычно службы безопасности банков договариваются о «возврате ошибочно перечисленных средств», если все проделать достаточно оперативно.
Кто же знает, как именно «подцепили»? С какого-то из сайтов через дыру в рантайме пролез троян (позже был уничтожен обновившимся антивирусом). Рантайм на тот момент был «самый свежий», но ведь после обнаружения дыры до обновления всегда есть какое-то время.
Кто же знает, как именно «подцепили»? С какого-то из сайтов через дыру в рантайме пролез троян (позже был уничтожен обновившимся антивирусом). Рантайм на тот момент был «самый свежий», но ведь после обнаружения дыры до обновления всегда есть какое-то время.
>Хотите 100% защищенности…
А такое бывает? о_О
А такое бывает? о_О
В джава апплете тоже могут быть проблемы, но зависит от реализации. Больше тут проблема именно в том, что джава апплет подразумевает джава машину, которая на данный момент главный источник всех проблем. Видел ситуацию, где клиенты не могли обновить джаву из-за несовместимости с ДБО.
Тут ещё сами банки (в силу своего IT sec пофигизма?) почти повально предлагают клиентам для скачивания какие-то бородатые версии JRE.
Дело не столько в банковских сотрудниках, сколько в разрабах предлагаемого ПО. Бизнес выбирает, что он может себе позволить купить, а IT банка (правда его состав тоже зависит от того, что позволяет себе купить банк) имеет дело с чем дают.
К примеру от АБС конторы ЦФТ просто тошнит. Впечатление, что делали за очень дешево первокурсники.
К примеру от АБС конторы ЦФТ просто тошнит. Впечатление, что делали за очень дешево первокурсники.
Это всё круто, но порой уязвимости бывают намного банальнее. Как-то года 3 назад мама подошла и попросила зайти в её интернет-банкинг, чтобы кинуть денег на телефон. Диктует логин, я после ввода случайно нажимаю enter и попадаю в управление её счетом. У меня недоумение, а она продолжает показывать куда мне кликнуть, чтобы провести платёж. На моё «подожди, я же не вводил пароль» она абсолютно невозмутимо говорит «так он же сохранён». Но я то знал, что со своего ноута в её банкинг ещё ни разу не логинился и что пароли никогда не сохраняю в браузере. Разлогинился, вбил в поле логина случайный набор цифр (из которых состоят логины) и попал в управление чужим счетом. Мама работала в этом банке, позвонила начальнице, они посокрушались, передали в айти отдел, но уязвимость закрыли только через день.
К слову, это крупный международный банк, который не так давно ушел из России.
К слову, это крупный международный банк, который не так давно ушел из России.
В моем прошлом банке можно было прийти на кассу, попросить перевести бабки на другой счет и представиться кем хочешь: паспорт не проверяли :)
А какая-то идентификация вообще была? Просто многие серьезные банки не требуют паспорт (сам так обслуживаюсь), но используют пластиковую идентификационную карту с пин-кодом. Можно даже (очень удобно), передать ее доверенному человеку, сказать код, и он сам по дороге сделает нужную операцию. (конечно, если всем подряд раздаешь код и карту — ССЗБ)
Вообще ничего. Просто: ФИО, я инд предприниматель, деньги туда, плиз. Если говоришь что забыл, например, номер счета, услужливо вбивали сами ))))
это крупный международный банк, который не так давно ушел из России.
На ум приходят GE Money Bank и Barclays. Полагаю, второй?
Надо же, ровно за 6 часов до этой публикации я почуял, как будет писаться эта статья и моя формулировка почти совпадает с формулировкой в этой статье)
«Как ей пользоваться, я описывал в журнале «Хакер»»
habrahabr.ru/post/141698/
"… По этой теме есть статья от хабраюзера d00kie (где он использует Comraider) — Глумимся над объектами: взлом ActiveX..."
«Как ей пользоваться, я описывал в журнале «Хакер»»
habrahabr.ru/post/141698/
"… По этой теме есть статья от хабраюзера d00kie (где он использует Comraider) — Глумимся над объектами: взлом ActiveX..."
Спасибо за хорошую статью. Интересно, а как на пост-совковом пространстве формируется рынок аудиторов безопасности. К примеру, если я уговорю руководство своего банка провести аудит нашей системы ДБО сколько это может стоить?
Меня также интересуют вилки цен на пентестинг и вообще, эта сфера услуг. Мне одно время казалось, что она маловосстребована в .ru
Сайты/сервера (черный ящик) ~10-35к за аудит.
В какой валюте?
Извиняюсь, не уточнил, рубли.
Сам работал примерно в этой ценовой политике (ну, до 35 не доходило) да и народ примерно по таким же ценам трудится.
Со статистическим анализом кода (белый ящик) все сложнее, вилку так не скажешь.
Сам работал примерно в этой ценовой политике (ну, до 35 не доходило) да и народ примерно по таким же ценам трудится.
Со статистическим анализом кода (белый ящик) все сложнее, вилку так не скажешь.
Спасибо!
Хорошее знание отладчика еще никому не вредило. Автору спасибо за мотивацию.
Автору спасибо за мотивацию. Я нашел свой кусок романтики. И хобби.
Что-то напоминает…
Спасибо, что доступно объяснили суть таких ошибок.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ломаем банк в стиле smash the stack!