Уральский хакер обобрал банк через Интернет

"а Вы с какой целью интересуетесь?" (с) ;-)
неужели чтобы быть готовым когда этот разработчик наступит на эти грабли в очередной раз? 8(

может обойдёмся на форуме без советов как сделать так "чтобы у меня всё было и мне за это ничего не было" (с) ;-) - форум читают и молодые неокрепшие умы, зачем лишний раз их в соблазн вводить :cool:

Печальным фактом было то, что код, выполняющий проверку на стороне сервера, был им написан, и даже неделю работал, но из-за того, что он не содержал обработки ошибок округления, затем был снова отключен.
Я тоже был в шоке, когда с этим разбирался. :weep:

а почему такая большая отрицательная курсовая разница никого не всполошила. или он копеечными суммами но с большим кол-вом операций все это наделал !?

жесть :-D
и после этого пурпоз еще будет говорить про какие-то криптоключи :lol:

Не помню точно - кажется курсовую разницу учитывали на общих счетах и она не сильно выделялась в массе операций по всему банку. Если курсовую разницу по клиентским счетам учитывать на отдельных счетах, то появление отрицательной курсовой разницы сразу должно насторожить бухгалтерию.

а какая разница в контексте данной истории ЭЦП или "кодики" использовать? есть ошибка разработчика системы, которая позволяла клиентам проводить некорректные операции, и метод аутентификации в данном случае вообще не причём

а каким местом способ аутентификации соотносится с обсуждаемой багой?
что, если бы к этому всему прикладывалась не ЭЦП, а кодики, бага бы не работала? :-)

чем сложнее система - тем больше в ней ошибок
и если в тупейшей веб-форме разработчик умудрился нахреначить буганов в системе безопасности, исправляя их путем отключения проверок, то че он делает с сертификатами - даже и представить страшно, наверное просто отбрасывает

Во! А не вы ли тогда непосредственно в том самом отделе и трудились не покладая рук над интернетбанком? Неужели деза?
:-D
А уж куда смотрели и в каком ШОКе должны были быть начальник службы безопасности банка и .... тогдашний советник председателя правления банка по информационным технологиям!
:-D :-D :-D

У Вас похоже сомнительные источники информации. :-D

Тогда я уже "сложил руки" и ушел в системные администраторы, ибо было ясно, что такой код должен только автор поддерживать.

Сорри, если так ;-)

1. Злоумышленное использование багов в софте - не компетенция начальника СБ . Это больше по части начальника отдела защиты информации. А глобально безошибочное написание и тестирование софта - в компетенции ИТ-службы.
2. В предыдущих версиях и-банка (1 и 2) проверка на возможную подмену данных форм была и работала. Естественно, при разработке 3 версии сразу был задан вопрос "парни, вы это проверяете?", и получен ответ "конечно! как можно!".
3. Поэтому когда стало известно о баге с подменой данных в одной из веб-форм (первый раз это произошло без криминала - обнаруживший клиент просто честно сообщил, за что потом получил благодарность, и не только устную), советник ПП по ИТ и начальник ОЗИ действительно были В ШОКЕ, и даже сначала не поверили. Но факт подтвердился.
4. Багу исправили. Советник ПП по ИТ настоятельно порекомендовал проверить наличие баги во всех других веб-формах, а еще лучше - глобально изменить алгоритм обработки форм. В ответ были получены заверения, что исправлено повсеместно.
5. Через некоторое время аналогичная проблема обнаружилась в другой форме.

У vorchun77 еще есть вопросы? Не интересует, куда смотрели председатель правления А.В. Волчик и председатель совета директоров В.Н. Фролов, а также не был ли в шоке ФСБ?

Алексей Романчук, извини, еще вчера тебе говорил про свое отношение к развитию этой темы. Но раз уж ваши фанаты начали заниматься дилетантскими инсинуациями, был вынужден.


У Вас в корне неверное представление об архитектуре системы с использованием InterPRO. В отличие от кодиков и систем на базе CryptoPRO там не надо в прикладной части что-то "делать с сертификатами", все обрабатывает InterPRO-сервер, отдавая в прикладную часть соединение в виде "коннект от такого-то, сессия проверена, ЭЦП верна".

это все меняет

Пока нет.
Есть надежда, что обсуждение не даст развиться "головокружению от успехов".

А вот это конкретная и полная БРЕХНЯ и ГОН и "засуньте её себе ...." (с)
Потому как:


PS: приношу извинения уважаемым форумянам за цитирование мной известной в мире фразы

Обращаю внимание модератора.

По сути.
1. Г-н vorchun77 профессионал в обсуждаемой области? Нет. Значит, дилетант.
2. Пассаж "куда смотрел советник" - чистой воды инсинуация.

Хамская реакция - показательна.

[Сообщение изменено пользователем 24.02.2010 17:42]

Cybervlad, epv, potter_ru!
Пожалуйста, не видитесь на провокации. Г-на vorchun(а)77, конечно же, можно и забанить снова, ему это нравится. На "чистом источнике" да же тема есть для забаненых "за правду". Только вот (ИМХО) провокация не случайна - тему закроют, она утонет - глядишь почти никто и не узнает что бывают косяки и у Главных Архитекторов Лучшего И-банка... Пусть тема поплавает, может у кого-нибудь голова то и остынет. ;-)

Подписался на тему.
Шаг вправо, шаг влево - бан, данный пост - предупреждение.

У хорошего врача часто бывает небольшое кладбище

Дык довольно стремная, имхо, перспектива за 465, или сколько там выгорело, тысяч рублей на нарах корячиться :-)
Да и их поди конфисковали))

К слову, в те времена кой-какие знакомые коммерсанты говорили, что это абсолютно глупый поступок, слить такую инфу банку, надо мол де банк шантажировать и трясти с банка "реальные бабки" (с). Впрочем, я лично не поддерживаю такую точку зрения - означенный банк очень хорошо позиционировался среди меня.

Не считал нужным вмешиваться в эту тему до тех пор, пока она не переросла в откровенный наезд непосредственно на меня со стороны сотрудников ООО "Информационные системы" и Нейвы ...





... поэтому считаю, что могу позволить себе пару комментариев.

Вообще говоря ни в одном из текстов новости никаких банков не упоминается, тем не менее некоторые из вышеуказанных товарищей сразу же начали обсуждать Интернетбанк ныне покойного банка (чьими бывшими сотрудниками они были вместе со мной). Кстати, что там с законом об инсайде в нашей стране ? Вроде не приняли ещё ?
Любопытно, что неужели господин potter_ru из компании, которая сейчас внедряет свой продукт в Б24.Ру, также через пару месяцев легко и непринужденно будет всем рассказывать, какие косяки были в этом банке ? Не уверен, что руководству Б24.ру это бы понравилось.

По существу наезда. Вы знаете, а мне в общем-то нисколько не стыдно, что я был разработчиком Интернетбанка Северной казны последней его третьей версии. За 5 лет этого проекта было много чего: и ошибок и проблем, и их решений и самое главное опыт, который никогда не приобрести, если не сидеть непосредственно "на трубе" каналов удаленного обслуживания. Этот бесценный опыт я безусловно использую в новом проекте.

Мне в общем-то есть чем гордится в Интернетбанке Северной казны, прежде всего огромным числом сервисов, онлайновостью, рейтингами cnews и ... в том числе и формой конвертации валюты. В любой системе всегда есть ошибки, естественно, я, как отвечавший за работу системы, несу за них ответственность. И не стыдливо прячусь как :



Мне пока не известны случаи, чтобы кто-то из клиентов Северной казны пострадал из-за фатальной ошибки в коде Интернетбанка.

Алексей, где ты нашел "наезды" со стороны хоть одного сотрудника Нейвы?

По-моему, с точностью до наоборот:



В таком случае, могу лишь повторить то, что сказал тебе позавчера в аське: ну так и не парься.

Горбатого могила исправит, народ даже из тюрьмы деньги тырить умудряется:

===========
43-летнего жителя Луизианы признали виновным в девяти видах мошенничества: почтовом, банковском, компьютерном, электронном и др. Обвинительное заключение стало одним из самых длинных в истории штата.
Роберт Томпсон, житель городка Закари в восточной части Луизианы, в период с 2006 по 2008 гг. похитил с банковских счетов своих жертв около $100 тыс. Но удача способствовала Томпсону далеко не во всех его предприятиях — суд заключил, что преступник изначально намеревался украсть около $20 млн. Отягчающим обстоятельством был также признан тот факт, что в момент совершения ограблений Томпсон находился в тюрьме.
Томпсон действовал не один — в помощники он нанял двух сотрудников тюрьмы и еще нескольких человек «на воле». Разработанная преступником схема позволяла получать номера кредитных карт и другую финансовую информацию, причем объектами его атак чаще всего становились пожилые люди. Подробности схемы пока не раскрываются.
Томпсону предъявили обвинение в мошенничестве по предварительному сговору, мошенничестве с использованием электронных средств коммуникации, почтовом мошенничестве, банковском мошенничестве, компьютерном мошенничестве, мошенничестве с целью получить доступ к электронному устройству, мошенничестве с целью завладеть личной информацией, отмывании денег и создании помех правосудию. Преступника приговорили к 309 годам тюрьмы — это самый длительный срок в истории местного правосудия. Адвокаты Томпсона заявили, что будут обжаловать приговор.
Свой второй срок Томпсон будет отбывать в другой тюрьме — с более строгим режимом и менее сговорчивым персоналом.
=========

Случайно не здесь? ;-)



Это так, чисто для восстановления "справедливости и первоочерёдности"
:-D :-D :-D



Имхо тысячи бывших клиентов СК подтвердят, что есть чем гордиться.
:-)
Алексей. Удачи Вашей команде в новом проекте!

Мне кажется, что успех этого продукта это всё-таки результат работы очень большой команды специалистов банка, а вот обсуждаемый случай это результат небрежной работы одного или нескольких (не в курсе кто какой конкретно кусок кода писал) исполнителей и критика в данном случае уместна (тем более на это узкое место неоднократно обращали внимание разработчиков). Хотя глобально наверное вина не только разработчиков - надо было ещё более тщательно проработать механизмы последующего контроля за такими операциями.

Случайно вопрос был задан А. Романчуку.
У него появилось alter ego (второе "я")?

В любом случае, в указанном сообщении наезда (жарг.: "нападение или посягательство на чьи либо интересы ", см. http://ru.wiktionary.org/wiki/%D0%BD%D0%B0%D0%B5%D... нет. Но Вам этого не понять, ибо Вы в чужих высказываниях ищите отсутствующий там потаенный негатив, зато в своих выступлениях постоянно скатываетесь на базарное хамство.

[Сообщение изменено пользователем 25.02.2010 13:36]