Свежие посты   По годам   По датам
  • 07 Августа 2015 » (комментарий) TheLifeNews - 43% соотечественников предпочитают хранить сбережения в наличных
    TheLifeNews опубликовали мой комментарий к информации о том, что граждане России выбирают оплату наличными деньгами, а накопленные средства предпочитают оставлять дома, а не хранить в банковских учреждениях. Одна из возможных причин выбора наличных заключается в их способности обезличивать покупателя, — комментирует сложившуюся ситуацию Алексей Комаров, независимый эксперт в области информационной безопасности, защиты информации и безопасности промышленных систем автоматизации: - В отличие от любых форм онлайн-оплаты и оплаты банковскими картами, бумажные денежные знаки не оставляют электронных следов, что в век процветания мошенничества в сети Интернет достаточно ценно. Обезопасить себя от злоумышленников можно, но это потребует постоянного внимания и проявления осторожности со стороны самого пользователя. Киберпреступнику же достаточно всего одной ошибки. Недоверие же к банковским вкладам дополнительно обуславливается общей нестабильностью и регулярным отзывом банковских лицензий. Получить свои деньги вкладчик закрывшегося банка, если он был включён в систему страхования вкладов, в итоге сможет, но валюта, например, может быть конвертирована по не самому выгодному курсу. Стабильные банки из первой десятки предлагают настолько низкие проценты для тех же валютных вкладов, что большого смысла в таких вкладах и нет. Доллар же дорожает сам собой просто лёжа в тумбочке. Публикация полностью здесь, TheLifeNews 29 июля 2015.  

  • 07 Августа 2015 » (уязвимость) Стиральная машина и кондиционер могут передавать радиосигнал
    Специалисты по безопасности из американского стартапа Red Balloon Security показали, как с помощью обычных бытовых приборов можно передавать информацию. Это делается с помощью колебания электромагнитного излучения, которое излучает прибор. Колебания улавливаются и декодируются удаленно. Колебания излучения достигаются за счет быстрого изменения напряжения питания на микросхеме. Передавать информацию таким образом способны многие приборы: хоть принтер, хоть стиральная машина, хоть печь СВЧ. Любой прибор с электронной начинкой превращается в радиопередатчик. Стартап Red Balloon Security, вероятно, хочет коммерциализировать разработку каким-то образом. Они провели презентацию для прессы и запустили демонстрационный веб-сайт funtenna.org. Во время демонстрации они заменили прошивку лазерного принтера Pantum и внесли изменения в его электронику. После этого показали, как расположенный неподалеку компьютер с радиопремником расшифровывает сигнал. По их словам, подключенные к устройству кабели служат усилителем сигнала. В принципе, разработка имеет практическую ценность. Теоретически, с ее помощью можно удаленно незаметно передавать информацию из корпоративной сети, которая не подключена к интернету. Например, из центра управления атомной станцией или другим стратегически важным объектом. Правда, как это сделать на практике, не совсем понятно. Представитель компании Ан Цуй (Ang Cui) выступил с докладом на конференции Black Hat, где показал VoIP-телефон, принтер, жесткий диск и сетевую карту, излучающие по несколько байт в секунду. Источник

  • 07 Августа 2015 » Не обеспечивающее безопасность программное обеспечение
    Причин, по которым в современном программном обеспечении находили, находят и продолжат находить уязвимости, мягко говоря, чуть более одной. Можно назвать сложность самого программного обеспечения и средств разработки, дороговизну организации процесса безопасной разработки (не все ведь могут понять и принять тот факт, что стоимость исправления ошибки позднее может стоить дороже), ограниченные человеческие и временные ресурсы (конкуренты не будут ждать, пока разработанная новая версия пройдёт полный цикл тестирования) и т.п. В любом случае, ошибки при разработке совершаются всеми, нет ничего абсолютно защищённого, при этом для выявления/недопущения ошибок при разработке нужно потратить значительные силы, а злоумышленнику для успешной атаки бывает достаточно одной единственной незамеченной ошибки. Вообще, программное обеспечение, предназначенное для обработки информации, в случае даже самой критической уязвимости позволит злоумышленнику нарушить, собственно, только конфиденциальность, целостность или доступность самой обрабатываемой информации, но ПО уже давно управляет реальными физическими объектами и число и разновидность таких объектов продолжает расти. Повсеместный переход от электронного управления к цифровому (вытеснение датчиков и простых контроллеров более умными устройствами) порождает всё новые и новые класс “смарт-“ устройств. Смартфонами, умными телевизорами и умными домами сегодня уже никого не удивишь. При этом усложняется и унифицируется встроенное программное обеспечение этих устройств (прошивки), что создаёт предпосылки к повышению вероятности нахождения новых уязвимостей - ошибиться легче, а универсальное ПО за счёт его популярности привлекает большее число исследователей, не все из которых имеют мирные намерения. Собственно, модифицированные прошивки тех же сотовых телефонов были широко распространены среди энтузиастов ещё во времена величия Сименс, Нокиа и прочих Сони Эриксон, а через сервисный разъём автомобилей с помощью соответствующих инструментов можно было не только проводить диагностику, но и выставлять нештатные параметры работы (чип-тюнинг) ВАЗовских девяток со момента появления у них инжекторных двигателей. Инженерные меню, изменённые характеристики двигателя, наконец, джейлбрейк и рутинг сами по себе не обязательно плохи - со своим устройством каждый развлекается так, как считает нужным, а посторонним при отсутствии доверия никто такое делать не позволит. Действительно серьёзные проблемы начались тогда, когда в устройствах стали появляться беспроводные каналы связи, а затем они и вовсе стали подключаться к глобальной сети интернет. Теперь уже не только не нужно подключать провода к автомобилю, чтобы получить над ним контроль, но и вообще можно находиться от него за несколько тысяч километров. Недавние нашумевшие взломы (см. ссылки по теме ниже) наглядное тому подтверждение. В результате всей этой шумихи ответственные производители начнут уделять безопасности большее внимание, а безответственные продолжат подвергать рядовых пользователей риску, пока регуляторы не обяжут их выполнять дополнительные требования (в США, например, уже началась дискуссия на эту тему). Но и тогда не факт, что выполнение этих требований не сведётся к простому формализму. Мне же, как потребителю, во-первых, хотелось бы самому решать, какое устройство и с какой целью может устанавливать беспроводные соединения (механический рычажок с полным отключением всех таких интерфейсов тоже был бы очень кстати), а во-вторых, в таких средствах повышенной опасности как, например, автомобиль желательно было бы иметь два раздельных контура управления - один для мультимедийной и других некритичных систем, а второй, с физической невозможностью подключения через сеть Интернет, для тех систем, от которых может зависеть жизнь водителя и пассажиров (как тут не вспомнить идею “воздушного зазора” при обеспечении безопасности АСУ ТП?). Боюсь только, что при дальнейшей разработке умных автомобилей в погоне за прибылью и удобством для пользователя безопасность опять будет принесена в жертву. Приятные исключения в вопросе выбора правильного баланса между безопасностью и удобством редко, но всё же случаются, может и среди автогигантов найдётся кто-то с похожим подходом? Ну, или будем ждать автомобиль от Apple, рано или поздно сделают же они его =) Ссылки по теме: Hackers Remotely Kill a Jeep on the Highway—With Me in It, WIRED 0-day: теперь и в машинах, Securelist ИБ-эксперт представил устройство, позволяющее дистанционно разблокировать автомобили GM, SecurityLab Хакерам удалось отключить электромобиль Tesla во время движения, РБК Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения, SecurityLab Злоумышленники могут получить контроль над автомобилем с помощью радио, SecurityLab Баг в софте автомобилей Land Rover приводит к самопроизвольному отпиранию дверей, ХабраХабр Автопроизводитель Chrysler выпустил security-обновление для Jeep Grand Cherokee (WK2), ХабраХабр Безопасная разработка приложений на практике, Павел Мельников

  • 06 Августа 2015 » (уязвимость) Хакерам удалось отключить электромобиль Tesla во время движения
    Эксперты по компьютерной безопасности нашли шесть значительных уязвимостей в электромобилях Tesla Model S, которые позволяют хакерам получить контроль над машинами и представляют угрозу для безопасности водителей. Исследования проводили директор по технологиям компании Lookout Кевин Махаффи и старший специалист по безопасности фирмы Cloudflare Марк Роджерс, сообщает Financial Times. Им сначала пришлось получить физический доступ к машине, чтобы подключиться по кабелю к Ethernet-сети, а затем они могли уже манипулировать ее системами удаленно. В ходе испытания они получили контроль за приборами в кабине машины, произвольно изменяли показания спидометра, заставляя его показывать неправильную скорость, опускали и поднимали боковые окна, запирали и отпирали двери автомобиля, а также включали и выключали электропитание. Тестирование проводилось на скорости 8 км/ч. По словам Роджерса, после отключения электричества сработала тормозная система и машина остановилась. При попытке повторить эксперимент на большей скорости не удалось удаленно включить ручной тормоз, но все экраны на приборной панели погасли, а машина перешла на нейтральную скорость и водитель сохранил полный контроль над управлением, что дало ему возможность съехать на обочину. В компании Tesla заявили, что выпустят дополнения к программному обеспечению машины, которые можно будет скачать уже в четверг, 6 августа. Как писал РБК, первый автомобиль Tesla появился в России в 2013 году. По данным руководителя российского Tesla-клуба Андрея Врацкого, на середину июня 2014 года в стране насчитывалось 30–40 машин. По его прогнозу, к началу 2015 года их число должно было превысить сотню. По данным РБК, владельцами Tesla Model S являются гендиректор Mail.Ru Group Дмитрий Гришин, жена главы Минкомсвязи Светлана Никифорова, а у главы Сбербанка Германа Грефа есть два автомобиля этой модели. В конце июля была выявлена уязвимость в программном обеспечении Jeep Cherokee, которая позволяла злоумышленникам отключать их во время движения. В результате Fiat Chrysler была вынуждена отозвать 1,4 млн машин для устранения неисправности. Источник

  • 31 Июля 2015 » (уязвимость) Устройства компании Globalstar для отслеживания ценных грузов уязвимы к кибератакам
    ИБ-исследователь из Synack Колби Мур (Colby Moore) сообщил, что данные определяющих местоположение устройств, которые используют предоставленную компанией Globalstar спутниковую сеть, могут быть перехвачены или подделаны злоумышленниками. Об этом Мур намерен подробно рассказать на предстоящей конференции Black Hat в Лас-Вегасе. Компания Globalstar, штаб-квартира которой расположена в Ковингтоне, Луизиана, США, продала миллионы устройств, которые широко используются в поисково-спасательных операциях, а также для отслеживания ценных грузов. Среди клиентов компании многие нефтяные и газовые предприятия. Мур сообщил, что проблема заключается в том, что в отличие от сервисов Globalstar для спутниковых телефонов, данные этих миллионов устройств не зашифровываются при передаче. Вместо этого система устройства изменяет частоты и передает большой объем несущественной информации, которая может быть отброшена злоумышленником. Мур заявляет, что данная система была изначально построенная неправильно. Эксперту удалось получить доступ к важным данным в процессе передачи. Исследователь сообщил, что проблема возникает из-за архитектурной уязвимости, которую невозможно исправить с помощью обновлений. Помочь может только новое программное обеспечение, позволяющее шифровать трафик, рассказал Мур в телефонном интервью изданию Reuters. Представители Globalstar отказались комментировать данную проблему.

  • 31 Июля 2015 » (уязвимость) Уязвимости в ПО снайперских винтовок позволяет изменить цель поражения
    Исследователи безопасности Руна Сэндвик (Runa Sandvik) и Майкл Огер (Michael Auger) заявили о том, что им удалось успешно проэксплуатировать уязвимости в самонаводящихся снайперских винтовках TrackingPoint. Эксперты опубликовали видео, в котором продемонстрировали, как с помощью брешей в программном обеспечении оружия им удалось скомпрометировать его через Wi-Fi. Как показано в видеоролике, оснащенная компьютером самонаводящаяся снайперская винтовка дальнего действия, стоимость которой составляет $13 тыс. за штуку, позволяет выстрелить только в случае, если ее ствол находится на одной линии с целью, гарантируя высокую точность попадания даже малоопытным стрелкам. Сэндвик и Огер провели реверс-инжиниринг прицела, аппаратного обеспечения и трех сопутствующих мобильных приложений. Им удалось найти способ подключиться к компьютеру винтовки и изменить значения таким образом, чтобы их вмешательство не отображалось на ее экране. Далее исследователи загрузили неверные данные о весе пули, поэтому при определении, когда нужно произвести выстрел, прицел сбивается. Наихудший сценарий, считают эксперты, заключается в том, что злоумышленники могут изменить настройки винтовки таким образом, что она начнет действовать нетипичным для себя образом. Источник

  • 29 Июля 2015 » Почему DLP-система не защитила банк Санкт-Петербург от утечки?
    На прошлой неделе стало известно о хакерской атаке на банк Санкт-Петербург, в результате которой “злоумышленникам стала доступна информация о нескольких тысячах карточных счетов - ФИО, номер счета и номер карты”. Атака примечательна тем, что монетизировать украденную информацию хакеры попытались сразу же - путём вымогательства 29 миллионов рублей в обмен на нераскрытие украденной информации. Шантаж не удался, банк на сделку не согласился, так как по мнению его представителей “никакой угрозы для клиентов нет”. Более того, и в СМИ банк, судя по всему, обратился самостоятельно, опередив злоумышленников, которые угрожали публичной оглаской. Второй любопытный момент с этой атакой - банк выявил взлом, но не пресёк его, а перевёл в контролируемый режим: ...нами была своевременно обнаружена нетипичная для поведения клиентов активность в информационной базе. Специалисты банка изучили ситуацию и пришли к выводу, что данные, получаемые хакерами, не являются критичными для клиентов и не могут повлечь за собой возможность проведения мошеннических операций по их счетам. В результате было принято решение сразу не блокировать их доступ к этой информации, а дождаться, когда правоохранительные органы смогут найти улики, дающие возможность задержать преступников в будущем. Наконец, вишенку на торт истории данного взлома положили коллеги из компании ИнфоВотч, опубликовав на официальном сайте более умеренный текст и без упоминания конкурентов, но при этом разместив в ЖЖ пост с важным пикантным добавлением: Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании. С моей лёгкой(?) руки в Twitter и Facebook развернулась оживлённая дискуссия на тему того, что DLP-система не предотвратила эту утечку. Заодно были обсуждены и мои таланты в области "черного PR", но это к сути поста не относится =) Несмотря на использованный мной довольно провокационный тезис, вырванный из контекста поста ИнфоВотч ("В банке Санкт-Петербург, допустившем утечку персональных данных 300 тыс клиентов, была внедрена DLP-система Дозор-Джет"), на мой взгляд, вины вендора и интегратора (на момент самого внедрения, как я понимаю, это было одно и то же) в случившемся нет. Попробую объяснить почему. Во-первых, DLP-система, как и любое средство защиты информации, не даёт 100% гарантии отсутствия утечек (продавцы, утверждающие обратное, мягко говоря, преувеличивают). Речь может идти только о снижении вероятности. Сколько утечек успешно ранее предотвратил Дозор-Джет - мы не знаем, поэтому выводы о его эффективности на основании одного случая сделать не получится. Во-вторых, DLP-система призвана отслеживать лишь ограниченное число потенциальных каналов утечки, а не все мыслимые и немыслимые. Сокращение числа лишних каналов как раз одна из задач при внедрении DLP - в статье Коммерсанта, например, говорится о контроле доступа сотрудников в Интернет с той самой целью сокращения числа каналов утечки. Каким конкретно каналом воспользовались хакеры - не известно, вполне вероятно, что его DLP как раз и не отслеживала. В-третьих, несмотря на то, что в контролируемость самой утечки не так просто поверить, мы имеем официальное заявление банка об этом, сделанное в СМИ, так что DLP-система могла быть просто отключена самими сотрудниками банка. Наконец, надо отметить, что противостояние внешнему взлому не является функцией DLP-системы, поэтому проникшие в сеть банка хакеры могли деактивировать DLP или, выявив её присутствие, воспользоваться какой-либо техникой обхода (для опытного специалиста вряд ли такое будет нерешаемой задачей). Кстати, в статье Коммерсанта, на которую ссылаются коллеги из ИнфоВотч, упоминания конкретного продукта нет, но вроде бы никто из представителей Инфосистем Джет или Solar Security не отрицает факт использования именно DLP-системы Дозор-Джет (текущее название - Solar Dozor). В любом случае, дать адекватную оценку эффективности используемых в банке Санкт-Петербург средств защиты информации можно только обладая полной информацией о случившемся. Было бы здорово, если банк обнародовал результаты внутреннего расследования причин случившегося - полагаю, открытость в данном вопросе нивелировала бы хотя бы частично урон, нанесённый его репутации. Ведь персональные данные всё-таки утекли и не очень правильно будет просто закрыть на это глаза, тут с коллегами из ИнфоВотч соглашусь. Изображение

  • 28 Июля 2015 » (уязвимость) В контроллерах производства Honeywell обнаружена пара багов
    Все ближе тот день, когда дома станут по-настоящему умными, все чаще в них можно встретить автоматизированные устройства, доступные через Сеть. Однако исследователи, решившие изучить, как в этой сфере обстоят дела с безопасностью, обнаружили, что подобные дома, может, и умны, но при этом крайне уязвимы к сетевым атакам. На этот раз уязвимости были обнаружены в контроллере Tuxedo Touch — устройстве производства Honeywell, призванном взять на себя управление такими домашними системами, как безопасность, климат-контроль, освещение и другие. Само собой разумеется, подобное устройство доступно через Сеть. Исследователь из Германии Максим Рупп (Maxim Rupp) обнаружил в нем пару уязвимостей, позволяющих атакующему выполнять произвольные действия, например отпирать двери или изменять настройки климат-контроля. В контроллере присутствуют две разные уязвимости: обход аутентификации и подделка межсайтовых запросов. Первая уязвимость позволяет атакующему обойти механизм аутентификации в системе. «Веб-интерфейс контроллера Honeywell Tuxedo Touch использует JavaScript для аутентификации клиента, перенаправляя неавторизованных пользователей на логин-страницу. Перехватив и модифицировав запросы, содержащие строку USERACCT=USERNAME:,PASSWORD:, неаутентифицированный пользователь может обойти процесс аутентификации и получить доступ к закрытым страницам», — говорится в бюллетене CERT. На практике это означает, что, когда система запрашивает у пользователя юзернейм и пароль, он может просто проигнорировать запрос и получить доступ к закрытым ресурсам. Рупп, за последнее время обнаруживший и огласивший ряд уязвимостей в различных устройствах, включая ветряные турбины, заявил, что эксплуатировать эту уязвимость крайне просто. «Я считаю, что ее эксплойт крайне прост, даже атакующий без особых навыков сможет сделать это удаленно», — отметил эксперт, добавляя, что даже поверхностный поисковый запрос через Shodan выявил несколько сотен уязвимых контроллеров. На самом деле, как считает исследователь, их гораздо больше. «Shodan обнаружил около 500 устройств, из которых 450 находятся на территории США. Я думаю, что более тщательный поисковый запрос смог бы выявить более тысячи устройств», — подчеркнул он. Вторая уязвимость — баг подделки межсайтовых запросов, эксплойт которого требует наличия активной сессии, инициированной аутентифицированным пользователем. «Контроллер Honeywell Tuxedo Touch содержит глобальную уязвимость подделки межсайтовых запросов. Атакующий может исполнять действия с теми же привилегиями, что и жертва, использующая активную сессию и вызвавшая срабатывание вредоносного запроса. Злоумышленник сможет отдавать уязвимому контроллеру команды, например, на запирание или отпирание дверей», — гласит бюллетень CERT. Honeywell выпустила обновление для программного обеспечения уязвимых устройств, закрывшее обнаруженные Руппом бреши. Источник

  • 27 Июля 2015 » (уязвимость) Уязвимости в мобильных клиентах для АСУ ТП позволяют атаковать предприятия
    Компания Digital Security, специализирующаяся на анализе защищенности систем, представила результаты своего нового исследования, посвященного безопасности мобильных клиентов для АСУ ТП. Эксперты Digital Security Иван Юшкевич и Александр Большев проанализировали 20 приложений для Android, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC- и MES-клиенты, клиенты для удаленного управления SCADA (системой диспетчерского контроля и сбора данных). Защищенность платформ была оценена с точки зрения OWASP Top 10 Mobile Risks, также были включены проверки на DoS и защищенность интерфейса паролем. Оказалось, что каждое приложение данного класса содержит определенные слабости и проблемы безопасности, включая критические. По данным компании, в мобильных клиентах для АСУ ТП таких производителей, как Siemens, General Electric, Schnieder Electric, Movicon, Autobase и др., доступных, в том числе, через магазин Google Play, было обнаружено 50 уязвимостей. Большинство из них — логические и архитектурные, и эксплуатировать их достаточно просто. Среди обнаруженных уязвимостей: незащищенные или недостаточно защищенные методы передачи и хранения данных (в том числе, некорректное использование SSL или «самодельные» криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Особую тревогу вызывает тот факт, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра. Это недопустимо для решений, работающих через незащищенные каналы связи, считают в Digital Security. Эксплуатация перечисленных проблем ИБ потенциально позволяет реализовать ряд опасных атак как на приложение, так и на оператора. В последнем случае, реально создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия. Целью исследователей в рамках данной работы было не только найти ошибки безопасности в мобильных приложениях для АСУ ТП, но и попытаться экстраполировать риски компрометации этих приложений на риски компрометации всей инфраструктуры АСУ ТП. Этот подход отличается от привычного взгляда на оценку безопасности мобильных приложений: уязвимости с традиционно низким уровнем опасности могут подвергнуть АСУ ТП огромному риску, а уязвимости, которые обычно считаются критичными угрозами, наоборот, бывают опасны для АСУ ТП с очень низкой вероятностью, пояснили в Digital Security. В целом, по словам представителей компании, ситуация в области защищенности мобильных клиентов для АСУ ТП довольно тяжелая. «Качество кода в таких решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем, — полагают в Digital Security. — Однако такое положение дел недопустимо для сферы критически важных объектов. И чем скорее специалисты осознают уровень опасности, тем лучше». Источник

  • 24 Июля 2015 » Хороший плохой Тинькофф Банк
    Работая в компании, специализирующейся на информационной безопасности, постоянно находишься в окружении параноиков увлечённых людей =) Но лично меня это очень радует, так как и сам такой же. Недавно коллега Евгений Миронов обратил внимание на ежемесячную рассылку Банка Тинькофф электронных писем с информацией о выписке об операциях по карте. До июля банк присылал выписку в виде вложенного PDF-файла, а в июле решил изменить способ доставки. [caption id=”attachment_7213” align=”aligncenter” width=”608”] Ссылка на выписку[/caption] Теперь в письме самой выписки не было - прислали лишь ссылку, где её можно посмотреть. Ссылка генерируется для каждого клиента (видимо) случайная и просто так её не подберёшь: https://www.tinkoff.ru/statement/?ticket=857261EC08BA4C05BF801B11C9A0A6A26C974BD399454067BD0D8923EF510618 Вот только ссылка эта является прямой, т.е. открывается без запроса логина/пароля и позволяет скачать выписку любому, кто знает правильный адрес ссылки. В принципе, с точки зрения безопасности большой разницы между обоими вариантами (PDF-файл и прямая ссылка) нет, если бы не один нюанс, на который Евгений и обратил внимание. Дело в том, что на странице банка, где размещается эта ссылка, были встроены сервисы рекламы и статистики, к которым при загрузке страницы происходило обращение. Вот эти сервисы: adfocus.ru s.ytimg.com ssp-ext-bl.datamind.ru stats.g.doubleclick.net sync.pool.datamind.ru syncsw.pool.datamind.ru www.youtube.com tinkoffcreditsystems.d3.sc.omtrdc.net www.google-analytics.com top-fwz1.mail.ru www.googletagmanager.com Получается, что фактически, любой, кто имеет доступ к статистике этих сервисов (например, их владельцы, администраторы и иной обслуживающий персонал) может увидеть в логах те самые прямые ссылки и воспользоваться ими, чтобы, не зная логина и пароля, получить доступ к выпискам клиентов банка (при условии, конечно, что клиенты пройдут по этим ссылкам). Евгений обратился в банк и выписку по его ссылке оперативно удалили, но и только. Убедился в этом, проверив ссылку из собственного письма. Выписка прекрасно скачивалась без авторизации и сервисы были на месте: [caption id="attachment_7214" align="aligncenter" width="215"] Некоторые из сервисов на странице банка Тинькофф с выпиской клиента[/caption] К слову, посмотреть запросы, направляемые загружаемой страницей к внешним сервисам можно так: Safari: правая кнопка мыши -> Показать программный код страницы -> вкладка Шкала времени. Перезагрузите страницу и увидите полный список всех запросов как на скриншоте выше. Chrome: правая кнопка мыши -> Проверить элемент -> вкладка Sources. Предположив, что результатом моего персонального обращения в банк станет очередное удаление одной единственной (теперь моей) выписки, обратился к ним через официальный аккаунт в Твиттере. Не сразу, но всё-таки меня там поняли. Более того, сейчас (по моим прикидкам на исправление было потрачено около недели) на всех страницах https://www.tinkoff.ru/statement/* вообще никаких сторонних сервисов больше нет, хотя с главной страницы сайта банка они, конечно, никуда не делись. В целом, молодцы, что исправили, но плохо, что не позаботились об этом заранее. В конце концов, нет же никаких Google Analytics и прочих средств слежения за пользователем в Личном кабинете их Интернет-банка. Надеюсь, что г-н Оливер Хьюз будет следить за соблюдением озвученных им принципов: «Мы являемся единственным полностью дистанционным банком в России, поэтому развитие онлайн-каналов — наш приоритет, и мы инвестируем много времени и ресурсов, чтобы довести их до совершенства». В конце концов, даже в Минэкономразвития всю опасность сторонних счётчиков понимают, там, правда, мотивация чуть другая =) [box type="info" style="rounded"]UPD. 24.07.2015 Как подсказывают в Facebook коллеги из Лаборатории Касперского, вероятно, проблема не была настолько опасна: настройки предполагали, что ссылка должна открываться без авторизации только на тех устройствах, с которых пользователь ранее входил в Интернет-банк. Достоверно проверить сейчас данный факт уже не представляется возможным (все ссылки на выписки недействительны). С другой стороны, наличие любых запросов со страницы с конфиденциальной информацией к каким бы то ни было сторонним сервисам не желательно в любом случае.[/box] [box type="info" style="rounded"]UPD. 17.08.2015 Появилась возможность проверить справедливость моих опасений и не преминул это сделать: Как я проверял, что уязвимость у Банка Тинькофф была уязвимостью.[/box] В заключение порекомендую два отличных расширения для браузеров: Ghostery и AdBlock, которые в описанном выше случае (пока я их не отключил для проведения тестов) прекрасно справлялись с проблемой. Ghostery специализируется как раз на блокировке сервисов по слежению за пользователями и в работе очень информативен и удобен: для каждой страницы можно быстро посмотреть обнаруженные "жучки" и при необходимости некоторые из них разрешить (бывает нужно, например, для автоматической авторизации с использованием профиля соцсети). [caption id="attachment_7217" align="aligncenter" width="550"] Ghostery vs Tinkoff Bank[/caption] Единственный недостаток Ghostery - не очень полная база, особенно для русскоязычного сегмента Интернет. Даже на примере страницы банка Тинькофф видно, что Ghostery выявил только два жучка. AdBlock, наверное, популярнее и уже знаком многим как отличное средство борьбы с рекламой (а её в сети хватает), но это не единственный его функционал. В настройках можно включить дополнительные списки фильтров для блокировки: [caption id="attachment_7218" align="aligncenter" width="550"] Списки фильтров AdBlock[/caption] Впрочем, если выбрать вообще все списки, то часть привычного функционала на многих сайтах может пропасть, так что в крайность впадать тоже не обязательно. Ещё материалы по теме: ЯндексБот ходит по ссылкам, по которым ходит пользователь, ХабраХабр С официальных сайтов уберут иностранные счетчики посещаемости, Известия Как я чуть не "взломал" Альфа-Банк, ZLONOV.ru Почему DLP-система не защитила банк Санкт-Петербург от утечки?, ZLONOV.ru Изображение