Комментарии 114
А чё там, подрядчиков в Сберчат уже пустили или ещё нет? Пока в команде есть аутстафферы, в команде будет Тележка. На рабочем ПК или нет.
Корпоративный тоталитаризм в действии. Позже они заставят сотрудников поставить другие продукты сбера уже у себя дома, со сбермобайлом до кучи. А сотрудника заставят подписать договор о разрешении сбора данных. В итоге сбер будет знать все о своем сотруднике, что смотрит, когда выгуливает собаку и где, и даже какую туалетную бумагу использует. Страшное будущее нас ждет.
можно конечно поразглагольствовать 'поговорите, объясните, они поймут' — нет не поймут а если их человек 200 и больше — точно не поймут
каждую неделю человека 3 запускали teamviewer чтобы пустить какогото чела из поддержки какойнить софтины… безопасники? регламенты доступа? нее, зачем!
Они просто соблюдают закон Мерфи
номера карточек чутьли не с пинкодами
Звучит как всратая политика безопасности. Откуда у кого-то вообще допуск к пинкодам есть и какая может быть с ними связанная "работа с домашнего компа"?
У меня много есть всяких историй от которых волосы на одном месте шевелятся
многие даже не догадываются насколько там всё плохо, а особенно плохо было до 09 года пока PCI DSS был необязателен (там вообще сюрреализм был)
Откуда у кого-то вообще допуск к пинкодам есть
'Вопрос безопасника; а что разве dba имеет доступ к базе и может делать любые селекты?
ответ — да, он же админ базы и имеет право делать всё,
Безопасник: дым из ушей, замыкание в мозгу'
пинкоды конечно сильно прикопаны и их прям совсем глубоко прячут, а вот всякие cvv вполне доступны как и номера карт
я вообще удивлён как пинкоды сейчас по телефону меняют… безопасность прям во все щели
и какая может быть с ними связанная «работа с домашнего компа»?
ну я же написал 'чутьли не с пинкодами " — не обязательно с ними
Мы отлавливали человека который пару тысяч карт в экселе выгрузил чтобы дома отчет доделать потому что на работе не успевал… может он номера то и не хотел выгружать, но лень было sql причесывать, бахнул напрямую и отправил, а потом еще жаловался что почтовик письмо реджектит
Ждём статьи статей на Хабре!
я вообще удивлён как пинкоды сейчас по телефону меняют… безопасность прям во все щели
Да ладно. А Сберовский сервис "900"? Они когда его запускали в 2010х, радостно включали его всем своим клиентам автоматически. В итоге если терял мобилку (тогда никто не ставил пинкоды на свои головастики) - то нашедший легко мог сделать несколько переводов по 15тыс с твоей карты отправив простое СМС (!) ...
Ждём статьи статей на Хабре!
мои NDA наверное уже не действуют из-за того что много лет прошло, но я както опасаюсь подобные вещи в открытом виде писать, потому что там есть некоторые штуки которые потенциально можно использовать до сих пор для осуществления очень серьезного преступления (я много раз озвучивал этот сценарий безопасникам, они только смеялись говорили что это невозможно. хотя реализацию этого сценария я видел своими глазами из-за технического сбоя)
NDA в РФ перестают действовать в момент окончания оплаты за их выполнение.
Не обязательно называть компанию. А сценарии, насколько я понял, у вас в основном пользовательские. А значит они будут полезны безопасникам проверить себя. Вы главное не пишите: "На сервере с адресом таким-то имеется открытая mongo база со всеми картами" ))
В РФ не так много процессингов, можно перебором откопать)
разве что первый процессинг где я работал уже не существует и банк который был основным его бенефициаром уже закрыт
Тогда страну можете даже не называть) СНГ будет достаточно для понимания примерного менталитета.
Да и вообще можно новый аккаунт сделать, чтобы связь оборвать с текущим вашим. И вы тогда сможете вообще с двух аккаунтов потом карму качать)
А можно об этом поподробнее, пожалуйста, со ссылками на первоисточник?
Статья 11 98-ФЗ, сравните пп. 3.3 в оригинальной и действующей редакциях.
Большое спасибо!
Было так:
3) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
Стало так:
3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;
Из закона это убрали, и это хорошо. Но как быть, если в соглашении к трудовому договору это прописано?
Безопасники смеялись? Эт чё за безопасники такие? Наши не смеются. Я им и не рассказываю ничего, а те, кто рассказывают, получают "методическую помощь" (так это называется, что это такое, догадаетесь сами).
Безопасники смеялись? Эт чё за безопасники такие? Наши не смеются. Я им и не рассказываю ничего,
Всмысле не рассказываете? даже если вы видите откровенную дырку в безопасности вы им ничего не скажете?
Я потому что сказал своему начальнику, он отмахнулся, ну я пошел к безопасникам, они тоже не поняли… ну ок чо, я что мог — сделал.
только через пару лет я уже работая в других местах услышал что банки начали чесаться по поводу затыкания той дыры… но более чем уверен её до конца не заткнули
, а те, кто рассказывают, получают «методическую помощь» (так это называется, что это такое, догадаетесь сами).
Не догадываюсь, и какую помощь? ниразу не сталкивался с проблемами. Сталиквался только со страшным недостатком квалификации в ИБ.
Ждём статьи статей на Хабре!
Будем носить передачки в тюрьма.
Ну или цветочки на кладбище.
It was a joke.
Выражение "чутьли не с <что-угодно>" в разговорной речи не стоит понимать буквально. В данном случае, имелись ввиду какие-то другие данные, которые по своей важности ничуть не ниже, чем пинкоды.
В одном банке (не очень крупный, но называть не буду), получал дополнительную карту. Мне выдали на подписание документ (приложение к основному договору, если я правильно помню), с данными по новой карте, и вообще моими данными, как клиента. Особенно выделялась строка "кодовое слово", с чётко напечатанным моим кодовым словом.
В другом банке (думаю чуть покрупнее, но тоже не топ), прислали письменный ответ на моё обращение (по факту заключался в том, что ответ мне дан по телефону). Меня сразу удивила толщина письма. В итоге, помимо моего ответа - запихнули в конверт ответы на чужие обращения, с информацией о кредитах/счетах. Вроде были и какие-то выписки.
Особенно выделялась строка «кодовое слово», с чётко напечатанным моим кодовым словом.
кодовое слово не является особым секретом кстати, мало того что зачастую это девичья фамилия родителей, так еще туда обычно или фамилию или отчество самого владельца карты пишут если он специально его не установил
Зачем тогда его спрашивает поддержка при телефонных разговорах и не хочет дальше разговаривать, если ошибаешься?
==
вообще самый крутой сервис банковский на данный момент, я видел в Грузинском TBC банке
там меня авторизовали через звонок в zoom… потому что у меня ни кодового слова не было, ни зарегистрированной почты, а номер телефона сменился, такое кунгфу наши банки не умеют
Чтобы спихнуть ответственность на клиента. Банку невыгодно повышать безопасность до тех пор, пока убытки от мошенничества несет не он, а клиент. Поэтому у нас всё завязано на смс и девичью фамилию матери.
Особенно выделялась строка "кодовое слово", с чётко напечатанным моим кодовым словом.
Году в 2009 в одном российском вузе студентам выдали Сберовские карточки для выплаты стипендий. И всему факультету поставили одинаковое кодовое слово - видимо, так проще было. Причём не только тем, кто получал карту впервые - у меня карта была уже года два как, и кодовое слово мне поменяли на общее. А узнал я об этом, когда через пару месяцев по какому-то вопросу позвонил в банк, и выбранное мной слово не подошло.
Лет шесть тому назад видел в одном отделении "Вестерн юнион" пузатый монитор с ПО запущенным в текстовом режиме, по виду этого компа он был из конца 90-х и оператор шустро там всем заправляла, без мышки.
Интересно, а почему крупные банки не идут по пути тотального огораживания GUI, чтобы пользователь мог только свои профессиональные задачи выполнять, физически ограниченный от поползновений.
Или сейчас уже всё настолько усложнено, что без вебморд в банковской сфере никуда?
Встречал банкоматы а-ля 80*25 (тупо текстовые с ascii рюшечками) - вот где красота!
Да много чего ещё можно предпринять. Но нет, надо предпринимать запреты ставить телегу. Именно телегу. Вот это бред, да.
Лет шесть тому назад видел в одном отделении «Вестерн юнион» пузатый монитор с ПО запущенным в текстовом режиме, по виду этого компа он был из конца 90-х и оператор шустро там всем заправляла, без мышки.
Банковский АБС до сих пор в большинстве случаев текстовый
Из-за чего частенько смехуечки по поводу 'у них там дос до сих пор… фиии' пролетают даже на хабре, только там не дос, а какойто суровый юникс
Ну вообще есть же практика создания "Центров прозрачности" https://www.kaspersky.com/transparency-center
Можно же эти практики привить для работы сотрудников банковской сферы? Какая нафиг "домашняя работа"? В школе нужно её было доделывать.
Тут не про отправку данных. Так, хотя бы, можно отследить - чего пишут в телегу. Те самые "следилки" помогут. Как отследить - чего пишут в телегу в телефоне? Никак. Посыл другой - якобы в телеге есть уязвимости, которые могут привести к взлому. Почему "якобы" - потому что данных в статье нет. Предполагаю - через телегу могут прислать скрипт, который нерадивый сотрудник может запустить. Вообще вся проблема всяких DLP и mitm - обычный смартфон. Если у сотрудника есть доступ к информации и она отобразилась у него на компе...
какомнить яндексдиске выложить номера карточек чутьли не с пинкодамиПолучая зарплатную карту сбера — охренел по полной. Девчонка просто вытащила ее из ящика, без конверта, без ничего, просто так.
Нигде больше такого не видел
до момента активации через приложуху вместе с клиентом - это тупо кусок пластика. Это первое. Второе - даже со знанием всех номеров, дат и кодов без подтверждения через СМС-коды или push-сообщения это тоже - просто кусок пластика.
я линукс админ процессинга, знаете чё делал? печатал золотую подпись на картах world signia… доступ думаете у меня был для таких операций? :)
А еще помогал эмбоссеры чинить и принтеры пинконвертов
вообще карточки внутри банка могут видеть и видят гораздо больше людей чем вам хотелось бы и зарплата у этих людей зачастую как людей в коллцентре. и то что вам карточку положат в конверт перед отправкой в отделение — ничего совершенно не изменит
оператор который вам выдает карту — видит её номер у себя на мониторе, если он физически увидит карту — он ничего больше чего он уже знает — не узнает
гдето до 15 года любой операционист запросто мог запросить данные любого клиента и посмотреть какие у него карты — сейчас это стали логировать наконецто и трекать правомерность таких запросов… изза массовых утечек
Я уверен, что за последние полгода пару раз сталкивался с сервисами онлайн-оплаты, где вбивались данные с карточки и оплата проходила без смс-подтверждений, хотя прямо сейчас ссылок на них предоставить не могу. К тому же получить все данные карточки + код из чужого смс сложнее, чем только код из чужого смс.
Нигде больше такого не видел
все блин как мантру это повторяют
У меня были банковские карты
Сбер (2000 год) — стиппендия в колледже выдали в файлике целую пачку, староста группы всем из раздал
Транскредитбанк (2004 год) — принес начальник цеха, в файлике
Бинбанк (2008 год) — в бухгалтерии дали карточку в открытом виде и пинконверт
Росбанк (2014 год) — карточку в прозрачном файле принес HR
Единственная карточка которая досталась мне в конверте — это тиньков который я сам заказал
по этому истории 'всегда выдавали в конвертах, а тепееерь!!' — ну не верю… сышал что вроде альфа выдавала в конвертах, может еще пара банков, но массово — нет
Когда я работал в процессингах. из эмбоссерной карты выносили в коробке, потом сортировали вручную, связывали резиночкой и отправляли прям кучей в отделение
Эх коллега, начнем с того что я удивлен тем что где-то в каком-то банке сотрудники вообще что-то могут себе установить на комп в принципе и их оказывается надо еще уговаривать удалить.
тимвьювер, яндекс диск, облако мейл ру, личная почта? это точно банк? :) (не, ну то что они так сделают дай им волю - чистая правда, но ктож им даст)
это точно банк?
я в первые годы, когда ушел из финсектора, очень печалился о том как каком уровне ИБ во всех остальных конторах не в финсекторе
банки тоже разные, гдето наплевательство, гдето получше… и те где получше — в меньшинстве
==
Я вот чёт теперь незнаю, а pci dss у нас не пропадет сейчас? МПС то уже нет фактически кроме CUP, а китайцам плевать
Я непосредственно с картами не работаю, но жизненный опыт подсказывает что врядли ЦБ возмет и вдруг отпустит вожжи без причин (он и с причинами-то бывает не отпускает).
Все регламенты написаны, утверждены и ослаблять их нет никакого повода. Развиваться и актуализироваться может перестать из-за прекращения контактов с МПС, но то что есть уже вряд ли отменят.
врядли ЦБ возмет и вдруг отпустит вожжи без причин
Ну например если говорить о процессинге то ЦБ им не указ
==
а вообще
но то что есть уже вряд ли отменят.
нуу… я бывал на собраниях бизнесменов в ТПП, и там почти всегда есть момент когда все начинают жаловаться… я слышал например 'требуем снять ограничения на гастарбайтеров!!! мы не можем платить такие зарплаты местным!!'… а в нынешних условиях я прям чувствую 'санкции кризис, аудиторы почти все из РФ ушли, давайте отменим/упростим!?'
основной бенефициар требования безопасности — были МПС, они тупо не продляли лицензии… можно сколько угодно было в спортлото писать — а аудит должен быть пройден. а вот теперь можно и наверх пожаловаться на драконовские требования
сроки действия карт одним махом продлили например
Да не - речь не про операционистов, думаю - это, скорее про разработчиков. В отделениях всё довольно строго, а вот разрабы иногда вообще на личных ноутах тестовые проекты собирают... ну, и для организации и работы тестовой среды - точно нужны права ставить "левый софт" самостоятельно.
Не, ну Teamviewer элементарно блокируется на пограничном маршрутизаторе (у нас всевозможные "удалённые помогалки" как раз так и заблокированы), и если нужен доступ саппорту какого-нибудь СБиС (они одно время любили, да), то "по служебке, на конкретное время" (на самом деле, по запросу через Битрикс24, но не суть - суть, что только для конкретного хоста, на конкретное время).
И да, в отделениях Сбера вообще ни разу не слышал, что можно какой-то левый софт запустить...
Для доступа к корп среде во время пандемии сбер и просил ставить много чего на комп (и на смартфон) для доступа. Считаю, что это нормально. Всё таки это доступ в корп среду. И никто не мешает все это снести, когда не надо. Другое дело, что общая тенденция к постоянному контролю и слежке прослеживается в пугающем объеме. Это да.
И никто не мешает все это снести, когда не надо
Как правило такой софт до конца не удаляется. И кто знает какую именно часть они "забудут" удалить. Поэтому на личном компе подобное только в виртуалке и никак иначе.
На личный комп? А разве обеспечить сотрудников рабочим оборудованием - не обязанность работодателя?
Смотря какой договор. Нет никаких безусловных обязанностей кроме того что в КЗоТ, все оговаривается в договоре.
ТК РФ Статья 22. Основные права и обязанности работодателя
Работодатель обязан:
...
обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей;
...
позже? я вас спешу растроить)
У вас есть какие-то реальные доказательства того, что подобное происходило? Выглядит как домыслы и паранойя. Ну и опять: не нравится - никто не держит.
А вам сильно приятнее читать сообщения о том, что из-за инсайда в обслуживающем вас банке произошла утечка??? Пусть даже "всего-лишь" ФИО и номеров телефонов?!
С точки зрения банка - необходимо делать всё, что минимизирует потери финансовые и репутационные. Кто хочет в нем работать - должен заранее смириться с тем, что в случае чего - жизнь под лупой будут изучать. Когдая чего и кому мог передать.
Не нравится? Есть куча других работ с гораздо меньшей ответственностью и оплатой!
Как клиент - прекрасно это понимаю. Как инженер-программист - не люблю ограничения и не лезу в сферы такой ответственности.
Если сотрудник не перестанет использовать Telegram, то ему будет выдаваться уведомление «обнаружено запрещённое ПО Telegram: удалите его, либо через 72 часа оно будет удалено автоматически».
Попросил, агаа
а тут в 22 году они сподобились неподконтрольную дыру закрыть из корпоративных устройств
В банке есть два сегмента. В одном есть чатики, котики и мемасики (да, хоть и не все, спасиб корпоративному файерволлу), в другом есть процессинг и нет интернета, только интранет. Соответственно, для двух разных сегментов два разных компа :)
а чё у них до сих пор на рабочих компах можно было всякие мессенджеры и чятики использовать?
Нет, здесь имелись ввиду корпоративные ноутбуки, на которых есть удалёнка VDI до работы. Но до удаленки можно ставить и сторонний софт, типа Telegram.
Как будут отслеживать веб версию Телеграма?
==
Не представляете какой геморрой настраивать всякие git, maven, apt, rpm, curl и прочее прочее для работы с подменным mitm сертификатом…
VPN/proxy не помогают спрятаться?
Есть такое поверье, что VPN из банка - ко встрече с безой.
Не проверял :)
Я по началу когда еще mitm не было, через ssh себе тоннель пробрасывал и через 443 порт, но потом лавочку прикрыли и я стал свой ноут на работу таскать
Вроде ж есть альтернативы VPN, которые под https маскируются. Типа Outline
Ставишь на своем серваке такой сервис, там же зеркало/клоаку какого-нить технического сайта для прикрытия, и типа всё
клоаку какого-нибудь технического сайта
Рискну поинтересоваться, какое значение слова здесь имелось в виду...
Ну я имел ввиду несколько иную схему (хотя и эта работает)
https://www.google.com/search?q=website+cloacking
Просто прокси к сайту на твоем сервере для отвлечения внимания СБ
Когда работал за корпоративным фаерволом, то всегда был соблазн, сделать так. Но тут еще нужно создавать шум и время от времени стучаться на произвольные сайты по списку, чтобы в отчете твой обход не выглядел подозрительно. Как админу, было проще не пользоваться обычным каналом совсем, выбирал те что используются для служебных данных и связи с филиалами. По ним отчеты не собирали. Программисты же пользовались тем что в маленьких филиалах такого контроля не было и просто запускали браузер на удаленном сервере.
Можно по IP. Хотя наверняка там есть mitmы для этого.
У телеги есть принципиальная уязвимость - слать безконтрольно со стороны банка что либо из сети Банка во внешнюю сеть.
Вообще удивлён почему они только сейчас озадачились этим вопросом. В других банках (не во всех) даже ping без разрешения не послать во внешнюю сеть.
У телеги есть принципиальная уязвимость - слать безконтрольно со стороны банка что либо из сети Банка во внешнюю сеть.
Что именно он шлёт?
Ссылку можно на фактчек?
Имеется в виду то, что отсылает сам пользователь внутри мессенджера, и что не может проконтролировать служба безопасности Сбербанка
Это можно делать через любые мессенджеры, разве нет?
Имеется в виду то, что отсылает сам пользователь внутри мессенджера, и что не может проконтролировать служба безопасности Сбербанка
Браузер имеет точно такие же возможности. Не говоря уже о всяких curl.
Кстати говоря, на корпоративных компьютерах Сбера веб версию Telegram тоже блокировать будут?
Я как-то работала в К+ в середине далеких нулевых, мы сидели в отдельном здании, в филиале, и у нас был очень либеральный и очень ленивый админ. Интернет у обычных сотрудников был отключен, только локалка, но все без палева подключали телефоны и пользовались инетом через них. И вдруг в один непрекрасный день в сети что-то нашаманили, и если подключен инет, переставал работать локальная сеть, а если отключить - локалка работает. Я ничтоже сумнящеся взяла и накатала писульку в отделение техсапорта, мол, такая фигня, не могу инетом пользоваться, локалку не видать. Уууу, что тут началось! Такая суета. Оказывается, интернет не просто экономили, как я тогда наивно думала, он был запрещен из соображений безопасности. А тут такая дыра, дырень, дырища! У пользователей админские права на машинах! Ставь что хочешь, делай что хочешь! В общем, налетела из главного отделения толпа ревизоров и напихали полную панамку органов нашему ленивому сисадмину. Ну а чего он даже не предупредил, что все так строго... Пришлось ему устроить всем нам поражение в правах, вот такая вот подстава. До сих пор удивляюсь, какая же я наивная была :D
Немного не понимаю, почему вызывает удивление запрет на использование неких программ на рабочих компьютерах? Они принадлежат Сберу, а не сотрудникам.
У нас на немецкой фирме вообще строго. Хочешь программку поставить - только через админа, прав на установку нет ни у кого, даже у шефов. В эпоху шифровальщиков и прочия другого выхода нет.
Странно как-то.
У нас в колледже всем, кроме админов, запрещено устанавливать софт вообще. Надо что-то для работы - пишется служебка.
А в Сбере получается, что юзер сам может ставить что хочет?
Да потому что в новости ерунда написана.
Никто там и не просил, админы просто удалили телеграм и не только.
Нет, конечно. Там всë весьма строго. Но нужно заметить - установка и использования ряда программ не требует прав админа. Видимо, это всë же письмо вроде - удалите и не используйье, а не то мы сами. Кто не понимает - уже другие меры.
TIL, в сбере были достаточно гибкие правила эксплуатации софта.
Спросил знакомого, говорит вне закрытой сети много что можно для удобства разработчиков, даже права админа и Телега безопасниками долго считалась лучше подходящей для работы с ПД, нежели внутренний месседжер.
"«Сбер» попросил сотрудников прекратить использовать мессенджер Telegram (десктопную и веб-версию) на рабочих компьютерах из-за уязвимости этого сервиса и нарушения внутренних систем и правил безопасности. . Ранее «Сбер» запретил сотрудникам использовать на корпоративных ПК мессенджеры WhatsApp и Zoom. Единственная разрешённая альтернатива в этом случае — это собственный корпоративный мессенджер "Сберчат""
Может как раз и разрешили тот месенджер, в котором служба безопасности СБ легко и непринуждённо может читать переписку граждан? Во всяком случае первой же стукнулась мысль, что это очередная версия цифрового концлагеря, в данном случае от Сбербанка.
в котором служба безопасности СБ легко и непринуждённо может читать переписку граждан?
не граждан, а сотрудников Сбербанка, вы не передергивайте суть то.
Конечно СБ должна читать переписку, более того в эту переписку должны смотреть всякие анализаторы данных чтобы отлавливать передачу критических данных которые запрещено передавать через мессенджер
а зачем из этого было новость делать?
телега опять чем-то не поделилась?
Прогресс не стоит на месте. Лет 15 назад моя подруга работала в сбере, там все поголовно юзали mail.ru agent. Это даже регламентировалось где-то.
Надеюсь, администрация не остановится на достигнутом и будет писать дальше о том, что та или иная компания запретила на рабочих компах держать телегу.
СМИ: «Сбер» попросил сотрудников удалить Telegram с рабочих компьютеров