Уральский хакер обобрал банк через Интернет
i
igorrudi
http://www.nr2.ru/ekb/271030.html
Интересно, а что за банк то был...Никто не знает?
Нижний Тагил, Свердловская область, Февраль 19 (Новый Регион, Игнат Бакин) – Ленинским районным судом Нижнего Тагила осужден хакер, который самостоятельно устанавливал курсы покупки-продажи валют, и обобрал банк через Интернет почти на полмиллиона рублей.
Как сообщили сегодня «Новому Региону» в пресс-службе областной прокуратуры, в декабре 2006 года «взломщик» заключил с одним из банков договор, на основании которого получил комплект программного обеспечения, позволяющего проводить расчетные операции по всем банковским счетам, открытым на его имя в кредитном учреждении. Также он получил право заниматься конверсионными операциями при покупке-продаже иностранной валюты с применением системы удаленного доступа к управлению банковскими счетами «Интернетбанк».
После этого компьютерный преступник воспользовался хакерской программой, которая позволила ему несанкционированно вносить изменения в реквизиты формы программы «Интернетбанк». Хакер вводил в «окна ввода» заведомо искаженные значения суммы стоимости валюты, выгодные ему, а затем заключал фиктивные конверсионные операции в виде покупки-продажи иностранной валюты по курсу, который он сам установил. В результате на счет умельца незаконно было зачислено свыше 465 тысяч рублей.
В отношении хакера возбудили уголовные дела по ч.3 ст. 159 УК РФ («Мошенничество»), ч.1 ст. 273 УК РФ («Использование вредоносных программ для ЭВМ»). Приговором суда ему назначено наказание в виде 2,5 лет лишения свободы (условно) со штрафом в размере 15 тысяч рублей. Незаконно полученные средства он должен вернуть банку.
Как сообщили сегодня «Новому Региону» в пресс-службе областной прокуратуры, в декабре 2006 года «взломщик» заключил с одним из банков договор, на основании которого получил комплект программного обеспечения, позволяющего проводить расчетные операции по всем банковским счетам, открытым на его имя в кредитном учреждении. Также он получил право заниматься конверсионными операциями при покупке-продаже иностранной валюты с применением системы удаленного доступа к управлению банковскими счетами «Интернетбанк».
После этого компьютерный преступник воспользовался хакерской программой, которая позволила ему несанкционированно вносить изменения в реквизиты формы программы «Интернетбанк». Хакер вводил в «окна ввода» заведомо искаженные значения суммы стоимости валюты, выгодные ему, а затем заключал фиктивные конверсионные операции в виде покупки-продажи иностранной валюты по курсу, который он сам установил. В результате на счет умельца незаконно было зачислено свыше 465 тысяч рублей.
В отношении хакера возбудили уголовные дела по ч.3 ст. 159 УК РФ («Мошенничество»), ч.1 ст. 273 УК РФ («Использование вредоносных программ для ЭВМ»). Приговором суда ему назначено наказание в виде 2,5 лет лишения свободы (условно) со штрафом в размере 15 тысяч рублей. Незаконно полученные средства он должен вернуть банку.
Интересно, а что за банк то был...Никто не знает?
C
ChBRR
что-то мне не верится, что можно быть настолько тупым, чтобы брать курсы с клиентского компа
скорее всего, журки опять че-то нагнали
скорее всего, журки опять че-то нагнали
что-то мне не верится, что можно быть настолько тупым, чтобы брать курсы с клиентского компа
Главному системному архитектору Лучшего в мире интернетбанка на прошлом месте работы как видим было можно.
скорее всего, журки опять че-то нагнали
Они только в навании пропустили торговый знак - "Интернетбанк" ®
m
mikh
[Сообщение удалено пользователем 20.02.2010 18:25]
наверное типа изменяли сумму1, а сумму2 типа не трогали...
Ваш ход мыслей - правильный. В результате деления сумма2 / сумма1 и получается "выгодный курс", взятый с клиентского компа.
M
Mixerr
декабре 2006 года
А сейчас какой год?
i
igorrudi
А сейчас какой год?
Ну это как посмотреть 7518, 2010, 5770, 4708, 2554, 1431
С какой целью интересуетесь?
M
Mixerr
С какой целью интересуетесь?
Так это новость или исторический рассказ ?
i
igorrudi
Новость. Приговор, если Вы заметили, вчера вынесли. И деньги возвращать он должен кому-то именно после вчерашнего дня (ну там +10 дней).
Кроме того декабрь 2006 - это дата подключения товарища к ИБ. Взломал то он его неизвестно когда.
[Сообщение изменено пользователем 20.02.2010 19:17]
Кроме того декабрь 2006 - это дата подключения товарища к ИБ. Взломал то он его неизвестно когда.
[Сообщение изменено пользователем 20.02.2010 19:17]
C
Cybervlad
А сейчас какой год?
А Вы не знаете, сколько времени у нас следствие обычно длится?
что-то мне не верится, что можно быть настолько тупым, чтобы брать курсы с клиентского
компа
Суть уязвимости была в том, что курс в веб-форму загружался в виде константы. Клиент в форме мог вводить либо сумму в рублях, либо сумму в валюте, и цифра во втором поле автоматически пересчитывалась прямо на клиентской стороне (javascript), что с точки зрения пользователя очень удобно. Потом нажималась кнопка "отправить", все уходило на сервер.
Сейчас конечно все скажут "ха, так надо было просто на стороне сервера проверять, не изменилась ли константа". Задним числом все умны...
На самом деле, проблема в другом - в принципе неправильно был выбран подход к обработке форм, потому и стала возможной такая ошибка.
M
Mixerr
А Вы не знаете, сколько времени у нас следствие обычно длится?
Скоро будут новости типа : "Угрожая начальству "проблемой 2000" , понакупал всякой компьютерной техники на значительные суммы, чем принес ущерб в ....... " и так далее.)))
C
ChBRR
ха, так надо было просто на стороне сервера проверять, не изменилась ли константа
так, скажите сразу, поле "отправитель" у вас тоже с клиентского компа берется? а то есть тут пара идей
i
igorrudi
Эх-х а 465 тыщ то кому теперь достанутся...
C
Cybervlad
так, скажите сразу, поле "отправитель" у вас тоже с клиентского компа берется? а то есть тут пара идей
У нас - нет (т.к. система другая и разработчик другой) :-) А в обсуждаемой системе такая ошибка тоже была, причем обнаружена она была уже после того, как была исправлена описанная в первом сообщении.
О том и разговор, что нужно применять другой способ обработки веб-форм, иначе придется делать специальные проверки при обработке КАЖДОЙ формы, а это верный путь где-нибудь про эту проверку забыть.
p.s. В нашей системе принципиально другой подход к обработке.
Скоро будут новости типа : "Угрожая начальству "проблемой 2000" ,
Зря ехидничаете. В одном из банков недавно эта проблема всплыла в полный рост (инфа была в интернете, но ссылку давать не буду). Только там не техника была виновата, а свежевнедренный софт. Видимо, программистов, выделяющих под год 2 цифры, надо сразу же навечно дисквалифицировать после первого же обнаружения такого факта.
О том и разговор, что нужно применять другой способ обработки веб-форм, иначе придется делать специальные проверки при обработке КАЖДОЙ формы, а это верный путь где-нибудь про эту проверку забыть.
Интересно, что это за "другой" метод такой, их вроде всего только 2. О первом написал топик-стартер, второй, собственно, описали Вы, заключается он в том, что "мы не доверяем информации с клиента и потому перепроверяем ее".
C
Cybervlad
второй, собственно, описали Вы, заключается он в том, что "мы не доверяем информации с клиента и потому перепроверяем ее".
Если в общих чертах, то да. Смысл в том, что от клиента принимать только вариабельную часть, и никогда не надеяться, что константы в формах остались неизменными (курс валюты, номер счета отправителя и т.д. - неважно, что). Плюс, пересчет вычислений, сделанный на стороне клиента.
T
Topol70
в умелых руках и блокнот дизассемблер
b
bars16
там когда вносишь количество, меняешь сформированную общую сумму в ручную и реально курс получается другой, я вообщем-то чайник, но всё же эту фичу заметил, думал операцию со временем отменят, но этого так и непроизошло, потому о применении хакерской программы здесь наверное тоже погорячились,
впрочем в тех поддержку об этом я тоже не сообщил
B
Bad-001
мне уже интересно сколько народу этим багом воспользовалось
Паш, у тебя было время поинтересоваться :-)
А мальчика жалко, умненький и руки откуда надо ..., вот только проверку на вшивость не прошел ....
Паш, у тебя было время поинтересоваться
Паша тогда уже не в СК работал.
А мальчика жалко, умненький и руки откуда надо ..., вот только проверку на вшивость не прошел ....
Ни разу не жалко. Во-первых вовсе он не мальчик по возрасту, во-вторых там ничего сложного не было. Ну и в-третьих, он в другой кредитной организации работал, так что может быть более крупные неприятности могли бы произойти продолжи он там работать, инсайдер всё-таки.
Паш, у тебя было время поинтересоваться
Я с одним из Екб общался, он деньги вернул. А так обычно тех.поддержка ИБ как-то сама разруливала косяки с багами системы, так что статистики не имею. Да и смысла её собирать не было, т.к. вменяемый разрабочик сам по таким фактов выводы сделает и учтёт в будущей работе, а применить какие-то административные меры к виновному было нереально.
Паша тогда уже не в СК работал.
Прикольно - это получается разработчик "лучшего в мире интернет-банка" на одни и теже грабли несколько раз наступал. В шоке
вот только проверку на вшивость не прошел ....
И проверку на уровень интеллекта не прошёл - нафик явно мошеннические операции по своим личным счетам проводить? или он думал что когда всё всплывёт (или он рассчитывал, что банк так и не увидит потери денег?) банк ему уварованное бабло подарит, выдаст вознаграждение и пригаласит к себе на работу с нехилым окладом?
Вариант с вознаграждением конечно реальный - так и было с клиентом, который обнаружил что возможна подмена счёта отправителя и эта подмена банком не проверяется. Но данный клиент честно сообщил об обнаруженном баге в банк, а не стал тут же тырить бабло.
M
Mixerr
И проверку на уровень интеллекта не прошёл - нафик явно мошеннические операции по своим личным счетам проводить?
а по каким счетам это принято делать?
Авторизуйтесь, чтобы принять участие в дискуссии.