понедельник, 17 октября 2016 г.

фишинг, но не фишинг

привет ребята.
решил рассказать кое-какую историйку про фишинговые сайты.
чего про них можно нового рассказать в двадцать первом веке?
во всех книжках по безопасности про это написано, во всех отчетах илитных аналитиков встречается словечки фишинг, фишинг, блабла.
все уже небось привыкшие к тому, что мошенники делают копии известных сайтов, чтобы облапошить публику и чего-нибудь с них получить.
что обычно можно получить с этой публики, и в чем выгода?
ну в зависимости от сайта, который подделывается, всякое.
если например подделывается банковский сайт, то там можно учетки для дбо собрать, а можно и сами ключи (видел такое лично). но работает это обычно считанные часы, а потом все вскрывается, хостеры все прикрывают, браузеры блэклистят и тд. ну срубят жулики там по 5 тыщ со ста клиентов.
если какие-нибудь одноклассники, там вообще обычные учетки пользовательские. спам рассылать, втираться в доверие, еще всякая мелочевка. гемор один.
корпоративные сайты - учетки рабочие соберешь, шарься потом всяко, пока не просекли, ищи как бы монетизировать. короче муть.
а есть такие жулики, которые с предпринимательскими нотками в крови. они если делают фишинговые сайты, так с размахом.
вот история про них.

где-то год назад сижу ковыряюсь в почте. от коллег вижу письмецо, что мол у некого нашего клиента из ТЭК (ну к примеру нефтянка пусть будет) сектора проблемки с поддельными сайтами. стал любопытничать, оказалось, что делают под них копию сайта, с похожим доменом, на один символ различается, все скопировано норм и точь-в-точь, кроме контактной инфы - телефон/почта другие.
и сайт за клаудфларом, то есть считается, что где реально хостится, нельзя узнать.

но на тот момент у клаудфлара была мутка, то ли баг, то ли фича (но щас прикрыли), что можно было палить реальные адреса за ним. если под пользователем клаудфлары добавляешь сайт, который уже и так за ним, то он тебе показывал что "такой сайт уже есть, ты чо мол забыл, вот же айпи". ну я конечно воспользовался, грех не воспользоваться. нашел какой-то эстонский хостинг, скананул нмапом, там конечно обнаружилась популярная панель управления, куча висящих портов, типа почтовых сервисов и тд - ну то есть типичный хост "из коробки".  сначала я по привычке подумал, что чето мутится малварное, к примеру рассылки с нагоном трафика на сайт и какие-то злодеяния фишинговые.
стал еще гуглить по контактам, что были указаны, и нашел еще один сайт из той же отрасли, а потом еще сайт, но уже металлургия, а потом еще - и там газ, и понеслась: химпром, ювелирка, сырьевые компании, заводы, пароходы, штук 40 сайтов сходу нашел - для всех них были созданы копии сайтов, которые различались в одну букву, дефис, или зоной от оригинала. и на всех были указаны те же контакты, все сайты были за клаудфларами, а реально хостились на разных хостингах в эстонии и подобных странах, и все с той же админкой под копирку.
а тогда же санции как раз были в разгаре, ну я после такого конечно подумал, чо мол за дела, какой-то мериканьский апт против российской промышленности, чтоли, во думаю, дела...

стал еще копаться, у некоторых из пострадавших сайтов в новостях были предупреждения, что мол орудуют мошенники. если я правильно запомнил, то может даже в некоторых случаях жулики сайты скопировали вместе с этими новостями. хотя в большинстве все подобное было аккуратно вырезано. интерактив со страниц тоже был убран, остались просто качественные статичные страницы.
ну и по новостям и совокупности факторов я стал примерно понимать технологию.
суть в чем:
  1. берется контора, которая продает товар, который например не как в киоске жвачку купить, а тоннами отгружается - леса, руду, уголь или то, что само по себе дорого стоит - ювелирка, машиностроение. 
  2. делается фейковый сайт со своими контаками. 
  3. потом по неопределенному кругу лиц начинается обзвон с предложением купить золото нефть дешево. если там чуваки начинают колебаться, то им сообщают адрес сайта, где они могут проверить информацию, тот же номер телефона например или почту - все без обмана. ну и там видимо дальше предполагалось внести предоплату и тд. к примеру за сто тыщ тонн нефти. пусть к примеру 10 миллионов надо внести (эти все цифры я конечно придумал, потому что я же не жулик, но для иллюстрации мутки сойдет). 
  4. дальше простачки засылают предоплату и все, денежки тю-тю, профит.

и при всем при этом сайт висит и его родная мама почти не отличит от настоящего.
кто ваще знает, какой настоящий сайт у беломорбалтуглепрома? никто ваще никогда не знает такой инфы и даже не задумывается, в каком месте в этом урле должен быть дефис или какая зона у сайта - ком или ру.
гугл вам не поможет, потому что он уже проиндексировал фейковый сайт тоже и он в поиске выплывет где-то недалеко
репортить в сэйфбраузинги тоже не катит - сайт то выглядит как настоящий, учетки не собирает, малварь не распространяет.
регистраторам тоже жаловаться фиг - всякие похожие домены регать не запрещено, их все подряд регают, чего тока не придумают пиарщики в маркетинговых нуждах - и все зоны, и опечатки, и наименования разные и тд. разделегируешь домен, а потом выяснится, что он нужен был для раскрутки в поиске или как лендинг страница, и тебе же еще и попадет.
поэтому висят сайты, скока хочешь, это вам не банковские сайты фишить и не одноклассники.

видите, ребята, в чем мораль?
мошенничество с использованием ИТ? да.
усилия тратятся те же? да.
затраты на инфраструктуру, на копирование сайта, подделку и тд - то же как на одноклассников, а пользы на порядок больше, чем от этих ваших одноклассников.
и при этом про одноклассников вам скажет любой школьник-безопасник, что мол как это опасно, страшные чудовищные фишеры, мир опасносте, а против таких жуликов никакие бест практицес по ИБ ничего  не предлагают, их как будто нет, и модные аналитики/аудиторы в своих отчетах не упомянут и советик не дадут.
так и живем).
удачки, до новых встреч.


понедельник, 23 мая 2016 г.

Знакомство с отправителями

Давно известно, что многие малвари приходят пользователям по почте. Для борьбы с такими опасностями обычно предусмотрены разные меры: технические (антивирусы, антиспам, контентная фильтрация и тд) или организационные (регламентация работы с почтой, обучение и тд).
Не секрет, что технические средства в целом бессильны против почтовых малварей: почта доставляется до того, как выпущена сигнатура малвари, эвристика не особо надежна (да и не у всех небось включена), жестким антиспамом можно недосчитаться легальных писем ибо технически разница между опасным письмом и безобидным стремится к нулю. Поэтому в большинстве случаев письма с малварями благополучно проходят технические средства и попадают юзерам на компы.
И тогда должны вступать в действие оргмеры.
К чему обычно сводится регламентация и обучение в части защиты от почтовых опасностей?
Ну там где-нить в антивирусной политике или в правилах информационной безопасности будут написаны волшебные фразы:
  • "проверяйте письма и вложения антивирусом"
  • "не открывайте письма от незнакомых отправителей"
  • "не открывайте исполняемые вложения"
  • "не переходите по ссылкам в письмах извне"
  • ну и тд.
Что здесь не так?

Антивирусы.
Во-первых, антивирусы да, какую-то часть малвари могут обнаружить, но только ту часть, которая распространялась когда-то более-менее массово. Если файл с малварью редкий или новый, то для него просто сигнатуры не будет, детекта соответственно тоже. В современном мире практически ничего не стоит менять файлы перед рассылкой.
Во-вторых, в малварных письмах шлются не сами малвари, а их загрузчики (или вообще ссылки на них), которые зачастую слеплены из легальных компонент, на которые антивирус и не должен возбуждаться, если он хороший.
Так что рекомендация проверять антивирусом в случае чистого результата скорее понизит бдительность пользователя, чем его защитит.

Незнакомые отправители.
Зачастую работа пользователя заключается в обработке писем от незнакомых отправителей: выставление счетов, техподдержка, любая сфера обслуживания предполагает переписку с незнакомыми лицами. 
Легальные пользователи часто пишут письма, которые больше похожи на малварные, чем реально малварные. Реальность такова, что в легальном письме может отсутствовать любой текст, тема пуста, а будет только вложение и неизвестный отправитель.
При этом не открыл письмо = не сделал работу. Кому нужны пользователи, которые не делают работу? Так что требовать от пользователей не открывать или чето подобное не делать при незнакомых отправителях заведомо невыполнимо.
Второй момент незнакомых пользователей это то, что знакомство/незнакомство на факт получения малвари никак не влияет. Многие малвари умеют тырить адресные книги, многие умеют рассылать себя через популярные вебпочты, многие умеют отвечать в существующие переписки, так что у малварного письма будет и отправитель "знакомый" и вполне себе понятный контекст, не вызывающий подозрений. Если вы делаете более-менее массовые рассылки, то сами можете убедиться, что часть ответов после таких рассылок это малварные письма с зараженных компов.
Что еще умеют малварщики? Для большей убедительности в малварные письма включаются дополнительные файлы и документы: например, если ваша деятельность предполагает подключение абонентов, то вам в письме придет набор файлов типа: заявка на подключение, левый скан паспорта из интернета, какая-нибудь "выписка" и среди всего этого будет бонусом подмешан бинарник или скрипт, который должен быть запущен двойным кликом среди прочего.
Еще бывает шлются рассылки, где отправитель = получатель, то есть будто вы сами себе послали письмо.
Так что ваше "знакомство" с отправителем реально не защитит вас ни от чего, такие дела.

Исполняемые вложения.
В чем проблема с этим? Казалось бы, это очевидные вещи: если вам шлют программу, не надо тупо ее запускать.
Проблема здесь в том, что хоть ваш юзер и написал в своем резюме "уверенный пользователь пк", реально это не так, и в компах он умеет разве что двойным кликом открывать файлы, заполнять таблицы в экселе или лазить по сайтам в енторнете. Файлов, которые можно "исполнить" двойным кликом десятки форматов, о большинстве из них пользователь даже и не слышал никогда. Однозначно отнести к исполняемым он сможет разве что .exe. А как насчет файла экранной заставки, джаваскрипта, вижалбейсикскрипта, шифрованного джаваскрипта, панели управления? Ваш пользователь по умолчанию не силен в этих тонкостях (да он и не обязан в этом разбираться) и не сможет отличить исполняемый файл от неисполняемого. Так что реально рекомендация не запускать исполняемые файлы - сферическая в вакууме.
К тому же никто не отменял манипуляции с расширениями файлов (двойные расширения, километровые пробелы, невидимые спецсимволы и тд). Частенько чтоб не пугать пользователя (плюс чтоб не напрягать техподдержку после "переименования" файла пользователем), расширения файлов в виде папок скрывают, поэтому для пользователя реальная малварь будет выглядеть как док или экселька, в его восприятии (по расширению, по иконке) это будет документ, который можно открыть без опаски.

Ссылки.
Более чем уверен, что все безопаснички, которые требуют от пользователей не переходить по незнакомым ссылкам, сами переходят по незнакомым ссылкам бесстрашно, неважно, короткая она, длинная, с сократителем или нет. В век интернета не ходить по ссылкам невозможно. Проявлять бдительность, смотреть, что скачивается, какие пароли запрашиваются, думать головой - да, никто не отменял. Ну тогда так и нужно советовать.

итак, вкратце пробежались как делать не надо.
теперь пара слов, как надо делать и что нужно советовать, регламентировать в правилах пользователя, чему учить вкратце:
  1. 1. не полагаться на антивирус. так и говорить пользователям, мол, не надейтесь на антивирусы, их недостаточно для защиты, вообще забудьте, что антивирус есть. если он сработал - хорошо, если не сработал - бдите.
  2. 2. не доверять никому, в том числе знакомым отправителям, известным сайтам, или даже самому себе - ко всем письмам надо подходить с одинаковой осторожностью. если письмо "не по теме" получателя или в письме просят "переслать главному бухгалтеру", юристу, кадровику - насторожиться, не пересылать, как просят, а например обсудить с техническими специалистами.
  3. 3. как выглядят обычные вложения в письме, как его отображает ваш корпоративный почтовый клиент. как выглядит ссылка в письме. как вредоносные ссылки маскируются под вложения (примеры текстов писем, приемчики малварные, то, сё).
  4. 4. сохранять вложения и файлы по ссылкам локально, прежде чем запускать и открывать.
  5. 5. не доверять расширению или иконке, проверять тип файлов через свойства правым кликом. тыкайте пользователю на картинках, куда нужно смотреть, и что должно быть написано.
  6. 6. донести КОНКРЕТНУЮ инфу о заведомо опасных типах файлов (приложение, js, rtf и тд) и менее опасных (doc, docx, xls, ...), учить распознать документ от исполняемых файлов.
  7. 7. если скачался архив, то распаковывать архивы через контекстное меню правым кликом, без двойных кликов. если зип, то лучше распаковывать через встроенный виндовый распаковщик, а не сторонний архиватор. если в письме по тексту или в имени архива указан пароль к архиву - насторожиться (это нехороший сигнал).
  8. 8. после распаковки файлов не тыкать по распакованным файлом двойным кликом, а тоже первым делом проверить свойства, повторить пункт 5.
  9. 9. документы открывать правым кликом через "открыть с помощью..." а не двойным кликом. если файл например приложение exe, то в меню даже пункта такого не будет - должно насторожить.
  10. 10. если после открытия документа просят включить макросы или обновить программу - насторожиться. не включать макросы, не обновлять. даже если кнопка будет похожа на иконку адоб акробата или подобную безобидную вещицу.
  11. 11. знать, что всегда можно обратиться за консультацией к техническим спецам при малейших сомнениях, к примеру пересылать на определенный ящик, при этом обращаться к ним не стыдно и не зазорно. стыдно запускать малвари. к этому же пункту полезно  научить сохранять письма как вложения, чтобы пересылать не форвардом, а с сохранением всех заголовков и тд.
  12. 12. ну и еще список подобных штук, думаю, суть понятна, а законченного списка быть не может, потому что технологии не стоят на месте, малварщики сегодня шлют так, завтра сяк, и универсально научить на будущее нельзя, но повышением компьютерной грамотности, от которой зависит безопасность, заниматься можно и нужно. и самому не надо отставать, а постоянно вникать в суть работы ваших пользователей и суть малварных технологий, искать между ними баланс.
ну и напоследок протип: не поленитесь, наделайте скринов из ваших корпоративных окружений и софта, как выглядит окошко с просьбой о макросах или обновлении, как выглядят свойства файлов в вашей версии винды и т.д., можно хоть по всем пунктам наделать скринов, иначе вы оставляете пользователя наедине с опасностью, сам он эти вещи не узнает, если он не безопасник или малварный аналитик.
пока все.


среда, 11 ноября 2015 г.

загрузка 2.0

подумал, что взять к примеру ситуацию, что понадобилось малварщикам хостить свои бинарники. так это им нужно купить хостинг с доменом какой-нибудь, на нем сделать липовый сайтец, выложить туда бинарники, а потом еще ждать, пока жалоба не поступит, хостер сайт не прикроет и надо будет переезжать на новый и так далее кочевать.
а при этом есть же куча инет-песочниц, которые дают с себя качать сэмплы в них загруженные.
ну и типа что малварщик может сделать?
берет сам свой новенький сэмпл заливает в песочницу, ну там отрабатывают у него антиотладочные механизмы, или там зависимости от софта к примеру не соблюлись - малварь себя не проявила вредоносно, песочница говорит мол дескать "клин, олрайт", внимания не привлекает.
а сэмпл при этом штатными функциями через апи теперь становится скачать можно.
ну и юзай, малварщик, теперь это вместо хостинга и качай загрузчиками из песочницы, не?)
будет кто жаловаться - типа прикройте песочницу?)
и кочевать вроде не надо.
//пост в порядке прикола и от скуки, так, поржать

четверг, 29 октября 2015 г.

как бы сделать анализатор кода, чтоб его клиенту не продать

привет ребята,
нынче модно говорить про анализ кода, вот и я решил сказать пару слов.
помимо того, что модно говорить про анализ кода, еще стало популярно разрабатывать анализаторы кода и многие состязаются в данной дисциплине, а потом предлагают свои продукты на продажу за умеренную цену.
при этом преподносится все обычно что-то вроде:
"покупайте Крутой Анализатор Кода за Cто Пицот, это самый лучший анализатор, он рассчитан специально на безопасничков и пишет отчеты на русском языке".
O_o
что здесь не так?
  1. безопаснеков заведомо мало, ну пусть будет тыща безопаснеков в стране, которым внезапно нужен позарез анализатор кода. из этой тыщи безопаснеков нужная сумма для покупки наберется у десяти человек. вот и будет потенциальная клиентская база Крутого Анализатора Кода :D
  2. любой анализатор кода будет генерить 9000+ каких-то сообщений (часть будет фигня), которые нужно интерпретировать и перепроверить человеку-спецу. если безопасник может интерпретировать отчет анализатора и понять, что критично, а что вообще неприменимо, то ему вообще неважно на каком языке отчет, ему главное знать места в коде и хотя бы примерно тип недостатка. но скорее всего знаний безопасника будет недостаточно для понимания реальной безопасности приложения при любой степени детализации отчета и любом языке, хоть русском. и надо будет обращаться к разработчикам, чтоб они разгребали и перепроверяли.
  3. разработчики обычно не любят, когда их запаривают проверять отчеты анализаторов, потому что там большинство будет фигня. но ладно пусть даже они проверят раз, это еще можно стерпеть, но обычно код не стоит на месте, а дописывается периодически и значит надо будет проверять приложение по-новой и старые фолсы тоже попадут. поэтому при каждой новой проверке приложения должен быть механизм исключения старых фолсов из будущих отчетов, но такой механизм обычно мало кто делает. а перепроверять каждый раз одни и те же сработки - это любого самого терпеливого задолбает, и использование Крутого Анализатора Кода будет сопровождаться атмосферой ненависти).
  4. при этом сама по себе целевая аудитория разработчиков - это те люди, которым в первую очередь была бы полезна автоматизация проверки/исправления ошибок. и их при этом много и у них даже есть деньги на инфраструктуру и тулзы для разработки. но как раз на эту аудиторию местные вендоры не сильно ориентируются, и даже интеграцию с привычными средствами разработки делают в последнюю очередь, ведь главный ориентир - это безопаснички (те 10 человек)). но зато есть фича скачки кода из гитхаба например, круто.
  5. заодно разработчики могут дать нормальную обратную связь по анализатору, что коряво работает, что совсем не работает, а что лучше было бы запилить и т.д. Седня одни фреймворки, завтра другие, седня одно окружение, завтра другое. вендору анализатора за всеми этими тенденциями промышленной разработки уследить без шансов, а значит что-то будет не охвачено, если аудитория разработчиков не учитывается.
  6. если аудитория более массовая (например тыща разработчиков против десяти безопасничков), значит и цена может быть не Сто Пицот, а какая-нибудь более доступная для населения - Пицот к примеру. и тогда люди бы стали чаще использовать и видно было бы какой анализатор реально работает, а от какого польза только в рекламных материалах вендора.
ну и по мелочи: языки и стеки анализируемые обычно у всех примерно одинаковый набор, а то что реально было бы вау сделать, типа крутого анализа джаваскрипта - это не  шибко спешат делать. а реально если кто сделает крутое предложение в части анализа джаваскрипта, тот был бы на коне, кажись.
а до тех пор в большинстве случаев может так получится что и не стоит платить Сто Пицот, потому что либо самоделки под свои нужды бывает проще заточить и использовать, либо бывает что и бесплатные тулзы тоже что-то находят.
Такие дела ;)

вторник, 23 сентября 2014 г.

воспоминания обычного парня про нормальный банк

если вы знаете чего-нибудь про такой банк24.ру, то наверняка в курсе, что у него пару дней назад вероломно отозвали лицензию. что-то на меня вдруг нашло и решил накатать пост про этот банк.
некоторые знают, что в феврале 2015 могло бы быть десять лет моему клиентству в точке. я уже неособо помню подробности открытия счета в 2005, но в целом мне нужен был нормальный карточный счет физлица с полноценным (а не убогим) инетбанком без смс и эцп. а при этом на тот момент точка давала при открытии два счета - карточный и инетбанковый и какие-то лютые проценты (почему-то помнится цифра 18%, не помню точно) на счета до востребования (оба), что делало обслуживание по сути бесплатным. при этом точка была банком, чьи офисы реально работали круглосуточно, это само по себе уже было нонсенс.
история развития точки шла бок о бок с конкурирующей фирмой банком северная казна, вообще в целом так получилось что в ебурге сложилась лютая школа разработки инетбанков. я был и клиентом казны тоже на тот момент, но пользовался ею по-минимуму, ибо ключи на дискетах, которые у меня постоянно сыпались, и вообще криптоключи в дбо сами по себе нагнетали на меня уныние. на местном банковском разделе форума е1, где я был некоторое время завсегдатай, было множество холиваров с столкновением фанатиков. в инетбанке точки был весь нужный нормальному человеку фич - доступ ко всем счетам, что есть, шаблоны для всех коммунальных и связных фирм по региону проживания, уведомления в почту, смс и асечку.
потом еще я был какое-то время клиентом одного из американских банков, все из которых просто убивали своими режимами работы типа с 8 до 15 по будням и всякими штуками типа заведения чековых книжек с записыванием туда депозитов и снятий, при том что чеками из этих книжек расплачиваться с понтом как в кино было нельзя. по сравнению с такими американскими банками круглосуточный банк выглядел реально современно и модно. я и пользовался круглосуточностью по-полной. в силу того что у точки было офисов совсем чуток, все клиенты постоянно жаловались на очереди, которые сами же и создавали. придешь бывало в офис, там все сидят вдоль стенки на стульчиках и в креслах, чето-то там ожидают, вроде даже вайфай юзают. а я такой приду ночью, получу скречкарту одноразовых паролей и уйду через минуту, довольно удобно.
больше особо незачем было приходить, ибо инетбанк был довольно качественный.
в те времена когда еще почта россии работала нормально и можно было шопиться через инет без негодования, я нормально шопился. как известно, есть (или были) нюансы всякие карточные, если шопиться через инет. почитаешь в то время всякие форумы типа ибэй-форум ру или жежешечки тематические, так народ ваще мучался со своими картами. и немудрено. к примеру надо было добавить карту в пайпал, все добавят и потом идут в банк за выпиской чтоб код подтверждения узнать или к примеру всякие иностранные магазы и прочие пайпалы то шлют цвв2, то не шлют цвв2 за границу, то шлют, но пустой, то еще что-то придумают для ухудшения жизни русскому человеку. а мне все ни по чем, у меня ж карта точки и два счета, доступных через инетбанк: захотел - посмотрел код пайпала, сразу карту подтвердил через минуту, захотел включил проверку цвв2, захотел отключил проверку цвв2. деньги на карточном не хранишь, держишь на ибанковом счете нормалек, а на карте гроши, слил карту - остатки не жалко, перед покупкой перекинул скока надо, все дела. безопасно.
с безопасностью вообще была отдельная большая тема. может кому-то это о чем-то скажет, но у точки была сертифицированная смиб по исо27001. в то время когда сертификатов в стране было штук 10, а банков таких в помине не было. ну еще был сертификат смк по 9001, но этим особо никого не удивить, у многих есть бумажки и для галочки такие серты. обычно заплатят умеренную сумму консалтеру, получат тонну бумажек, вызовут аудитора, с серьезным видом, сдерживая смешки, ответят на вопросы, покажут как работают, получат сертификат, его на сайт, бумажки в шкаф до следующего аудита пересертификационного. у точки в целом реально складывалось ощущение что эти все процессные подходы работают. понятно что ограничено скопом, если не изменяет память, то 27001 например в части дбо, да и вообще особо данная сертификация у нас в стране неособо кого интересует (ну разве что крупняк с западными корнями и корпоративными политиками, спущенными из госдепов) и клиенты не особо бегут, приманенные на такую сертификацию, но и помимо сертификатов было с безопасностью организовано нормально. сама по себе реализация дбо для физлиц с одноразовыми паролями была избавлена от всяких детских архитектурных уязвимостей типа возможности подтверждения любым паролем с карты (запрашивался конкретный), возможности накопления паролей с карты с последующим проведением операций (сгорали после любого разового использования), возможности подмены реквизитов в момент подтверждения (предварительная отправка на сервер) и т.д. Обычно если какая-нибудь безопасническая фирма публиковала отчет или статью об уязвимостях дбо, то там были какие-нибудь другие ребята-банки, а не точка. Видел тыщу случаев мошенничества с дбо со сливом ключей через фишинг или малварь, и на себе испытал один случай, когда мои реквизиты доступа тоже слились (думается на малварь когда сидел на винде), были попытки успешного входа в дбо до окна ввода одноразового пароля, далее благополучно проваленные в силу отсутствия моей скречкарты у бандюка, и блокировки акка на сколько-то там минут по количеству отказов. вообще точка довольно активно участвовала в борьбе со всякими мошенниками и всячески взаимодействовала с соответствующими органами в делах противодействия банковскому криминалу с онлайновыми и офлайновыми фейковыми платежками и документами, это было конечно полезно и для банковской сферы в целом, и для простых людей, пользователей любого банка, не только точки.
потом со временем я стал юзать карты и шопиться немного по другому - перешел на вирт. генерация карт была вроде неограниченной и бесплатной, ну либо входила в мой тариф. при этом все настройки можно было гибко менять. например делаешь короткую карту на месяц с лимитом покупок тыщу рублей. покупаешь какую-нить фигню, а по мере необходимости меняешь через ибанк параметры карты, увеличиваешь лимиты например до 3000, и так постепенно. слил карту - вообще не жалко. 
а вот еще случай был. в точке была такая штука как манибэк. это типа финансовая ответственность за качество услуг. например опубликованы условия предоставления услуг, что-то типа сла и тарифы. если банк не укладывается в условия, клиент говорит: хочу манибэк, и стоимость услуги возвращается. я так пару раз возвращал стоимость перевода вестерн юнион через инетбанк (это само по себе выглядит фантастикой, перевод вестерн юнион через инетбанк, без посещения офиса), например засылаешь бабосы в вестерн в 10 утра, едешь в инст, по регламенту за час должны прислать код, но бац там где-то операционисты замешкались, не уложились, пригоняю в инст звоню "код или манибэк?", а мне такие и код и манибэк. вот примерно такой сервис.  
в целом хоть обычно все хвалили техподдержку банка типа что такие клиенториентированные и что добрые и что в чате отвечают и в твиторе, мне с ней обычно не везло и по телефону или на сайте консультируя меня в чяте давала зачастую всякие косячные ответы, из-за которых я принимал неверные решения. в некоторых случаях меня спасали реальные и виртуальные знакомые и друзья - рабочие банка, пользуясь случаем, передаю им спасибо. вообще конечно вряд ли проблема с техподдержкой это прям таки была проблема точки, это скорее проблема любой техподдержки любой компании.
периодически еще точка выкидывала некоторые странные трюки типа попытки ограничить возможность изменения параметров вирткарт с невозможностью увеличения лимитов. в таких случаях я конечно возмущался и начинал бухтеть в твиторе или еще гденибудь, иногда банк прислушивался и передумывал меняться в худшую сторону.
ну или навязывание 3дсекуре (отстой), которое стало применяться якобы под соусом безусловной безопасности, без возможности выбора, для любых карт...
еще в один из черных дней всех клиентов постигла новость о том что скречкарты не будут больше выдаваться с такого-то числа, эту историю я уже писал в бложике отдельно. так банк хотел более лучше избавить себя от набегов физлиц в офисы. в качестве альтернативы предлагались бесплатные смс (что полный трэш и отстой) и платные генераторы (что дороже и менее надежно по сравнению с безмозглым куском пластика), по итогам всей чехарды карты перестали выдавать, но выданные ранее народу не прекратили хождение, кто успел запастись, можно было юзать до какого-то дедлайна (не помню какой год был анонсирован). я успел запастись, но после этого затянул пояс и платежи через ибанк переконфигурил - настроил все регулярные платежи какие можно было и перестал почти вообще заходить в ибанк, что в один из дней 2014 впервые за ~10 лет забыл и логин и пароль для входа (потом как-то вспомнил) - все работает как-то само, всем всё платится. но в целом я периодически немного беспокоился за будущее, мол типа  интересно что я буду делать, когда наступит конец и надо будет делать выбор. увы, цб сделал выбор за меня и я остался с запасом скречкарт, которые теперь можно было бы пустить на медиаторы (оставлю лучше на память), но без банка.
слухи об отзыве у точки лицензии ходили наверно на протяжении всего современного периода жизни банка. один раз после нормальных атак паническими вкладчиками на свердловские банки в 2008 году точка была на грани смерти, в тот же момент слилась казна, ее дохлую купила и раздраконила альфа, непонятно куда задевав все технологии, нажитые непосильным трудом. точку в тот год благодаря круглосуточным действиям руководства удалось спасти путем продажи лайфу и санации с сохранением самостоятельной команды и всех технологий. после того раза точка переквалифицировалась из обычного банка со всякими кредитами в чисто расчетный, в основном для юрлиц и ип. физиков стали выдавливать заградительными тарифами, но и то не всех удалось выдавить. за пользование банком клиентам уже не доплачивали, проценты давно стали чуть менее чем ноль а стало наоборот теперь необходимым доплачивать банку какую-то плату по тарифу, все остальные банки примерно тоже подравнялись до среднестатистического уровня, обзавелись привычными в 21 веке фичами и шаблонами. кстати за всю историю почти у всех моих друзей или есть или были счета в точке. потом еще много раз были слухи, последние где-то буквально пару недель назад, я тогда по старинке ухом не повел, подумал, да как такое может быть что сначала дают лицензию в связи со сменой региона на мск, а через месяц отзывают - реально же бредово и нелогично?
на протяжении последних лет у меня так получилось сложилась традиция гонять до банкомата на аэродроме кольцово, снять/скинуть кэша, пополнить телефон и тд.
16 сентября решил я такой в спб сгонять, дошел в шесть утра до банкомата закинуть несколько тыщ, закинул, лечу в спб ухом не веду, прилетаю, бац сообщение на телефон типа отозвали лицензию. …
я не подумал о чорт, мои бабки, я подумал о чорт, мой банк.
рип.

пятница, 12 сентября 2014 г.

На заборе магазин написано

один мой дружбан решил эксперимента для прикрыть один малварный сайт.
Ну в чем малварность была.
Если вкратце, то с этого сайта загрузчик с именем адоб ридер экзе качал запароленный рар архив, при наличии на компе винрара его разархивировывал с захардкоженным паролем и запускал экзе из него, а там что в архив положишь, ту функциональность и получишь.
На самом сайте одна страница и написано, допустим, бест инетмагаз эвер, то есть не поломали сайт и туда положили, а изначально задумали его таковым.
Если бы этот мой дружбан вбил в вирустотал, то был бы детект ну например 5/58, чего уже достаточно по идее для подтверждения малварности, а если бы погуглил, то увидел бы что много где в тематических базах фигурирует.
Ну так вот регистратор и хостинг были американские, а не какие-нибудь там сомали, поэтому и было решено проверить абузу.
на сайте регистратора было написано мол вот вам форма, мы принимаем жалобы на зловредные домены, которые мы зарегали, но делать с ними мы все равно ничего не будем, и разделегировывать тоже не будем, ищите хостеров и пишите им.
а у хостера был целый отдельный сайт только для обращений и всяких жалоб, тоже с формами.

заполнил формы и отправил обоим письмо примерного содержания: вот есть малварный сайт, вот ссылка на вирустотал, если надо, пришлю прямые ссылки на малвари и еще дополнительную инфу, какая понадобится.
от регистратора пришел автоответ типа ваша заявка принята, наши спецы ее уже бросились рассматривать изо всех сил, все дела.
от хостера ниче не пришло, видимо экономят исходящую почту.

проходит два часа и внезапно от хостера письмо.
типа какой-то чел из техподдержки пишет: спасибо вам блаблабла, я просканил антивирусом сайт, но никакого малварного контента не обнаружил, нужен пруф что сайт реально хостит такие штучки, если у вас есть вопросы не стесняйтесь пишите 24х7, синкерели, такое-то фио.

мой друган не растерялся, поправил важно очки и давай умничать мол я анализировал полученный по электропочте файл адобридер.ехе с помощью сервиса-песочницы вот ссылка на отчет, в приложенном пикап-файле можно увидеть сетевую активность этого приложения с обращением на сабжевый сайт, скачиванием по такому-то адресу запароленного рар-архива, пароль там-то можете увидеть и разархивировать еще один малварный бинарник, который тоже, если хотите, можете отправить на вирустотал, например, и убедиться. вот еще вам гет-запрос и ответ сервера.

проходит пара часов и в ответ на такое письмо чувак из техподдержки пишет вот такое сочинение на свободную тему: адобридер.ехе - это не вредоносный файл, это инсталлятор адоб ридера. гугл не позволит отправить экзешники электропочтой, а детектит их как вирусы. если у вас все-таки остались вопросы не стесняйтесь пишите 24х7 и так далее.

мой друган канеш улыбнулся, вспомнил техподдержку своего провайдера с их предложениями трассировки в качестве универсального решения любого вопроса, и пишет дальше в ответ: походу вы не поняли о чем я говорю. ясен же пень, что файл не инсталлер адоб ридера и ваще не знаю почему вы говорите про гуглопочту, в быту я использую не только гуглопочту и никак ее даже не упоминал в своем обращении. смотрели ли ссылки, что я прислал? еще разок гляньте вот вирустотал, вот анубис. читали ли вы мое предыдущее письмо? вот прямая ссылка на запароленный архив с малварью с сайта, вот пароль. другая малварь грузит архив с вашего хостинга, распаковывает и запускает. можете ли вы передать мой этот тикет другому техническому спецу, который понимает как малвари работают?

через пару часов очередной ответ. на этот раз чувак видимо посмотрел ссылки и говорит про вирустотал (5/58): показывает что сайт чист. охлол1.
м про ссылку на архив говорит: показывает 404. охлол2.
мой друган полез проверять и точно, архив стал недоступен, 404.
удалили контент втихушку, но проблему не признали.
поржал со смеху, порыдал от досады и пошел спать.

p.s. кстати звали чувака из техподдержки джеральд. прям как a guy called gerald. #rave #acid
если все техподдержки такие, то немудрено, что малвари процветают.
а регистратор так больше ничего кроме того автоответа и не прислал, как и обещал.

p.s.2 и была вся эта история эдак пару месяцев назад, а спросил я щас у дружбана ссылку на архив, и перед публикацией этого крео решил проверить. а файл-то на месте лежит и качается. такие дела :'(

воскресенье, 3 ноября 2013 г.

Теорема Микрософтова-Бэйслайнова

Сегодня у нас несколько научная заметка. Рассмотрим одну теорему из инфобезопасности и ее доказательство.
Теорема называется по имени двух индийских ученых-безопасников, которые ее придумали и первыми доказали - Микрософтов и Бэйслайнов-Сэкурите-Онолайзе, и формулируется в виде двух утверждений:
  1. Если вы проверили свою винду с помощью MBSA и оно показало отсутствующие патчи безопасности - значит у вас плохо даже с базовым уровнем безопасности.
  2. Если вы проверили свою винду с помощью MBSA и оно не показало отсутствующие патчи безопасности - это не значит что у вас хорошо хотя бы с базовым уровнем уровнем безопасности.
Доказательство.
Ну, первая часть очевидна, нет обновлений - нет безопасности, переходим ко второй. Допустим, что MBSA при проверке установленных обновлений винды смотрит, что версии файлов реально соответствуют обновленным, и что в реестре присутствуют необходимые ключи, относящиеся к обновлению, и так далее - в этом случае можно было бы говорить о том что проверка с помощью данного изделия Микрософта реально показывает состояние безопасности винды. Но родимая для винды MBSA, даже имея возможность проверить с помощью локальной проверки с кредами, не проверяет версии файлов и внесение необходимых изменений в реестр тоже не проверяет, а только видать ограничивается чтением раздела реестра, где хранится информация об установленных программах, и сравнением полученного списка с эталонным. Следовательно наше предположение неверно и успешный отчет MBSA на самом деле неособо говорит о реальной безопасности винды, ч.т.д.

Что показывает данная теорема? Ну, в частности, она позволяет ученым приблизиться к разгадке одной из важных проблем современности и с большой долей вероятности ответить на вопрос: "может ли Микрософт сделать хоть что-то в безопасности, что бы работало качественно и с пользой, а не наполовину?"

до новых встреч, любители матана!