Первый банковский!: Новость дня: Хакнули Homebank Казкома - Первый банковский!

Перейти к содержимому

  • 3 Страниц +
  • 1
  • 2
  • 3
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Новость дня: Хакнули Homebank Казкома Оценка: -----

#1 Пользователь офлайн   User 

  • Стажер
  • Группа: Банкир
  • Сообщений: 2
  • Регистрация: 08 May 03

  Отправлено 08 May 2003 - 10:59

Судя по всему в ночь с 6 на 7 мая была взломана система Homebank.kz. Подробности можно увидеть на официальном форуме Казкоммерцбанка http://www.kkb.kz/public....tion=1, пока еще инфу не затрели админы, но добавить сообщения уже там нельзя ;)(. В связи с чем огромная просьба к сотрудникам Казкома ответить на интересующие меня вопросы здесь. Стали ли известны хакерам номера карточек? Как скоро заработает портал хоумбанкинг? Как можно закрыть свою карточку для просмотра через ноумбанкинг?
Очень жду вашего ответа.
Ваш клиент. С сегодняшнего утра сервак выдает ошибку и недает проверить свою карточку :D

0

#2 Гость_Гость_*

  • Группа: Гости

Отправлено 08 May 2003 - 11:53

Честно говоря в это сложно поверить, но объяснение админов не только не развеяли подозрения, а скорее наоборот. кто занимался у них этим проектом пусть прокомментирует. Или уже поздно...
0

#3 Гость_Наблюдатель_*

  • Группа: Гости

Отправлено 12 May 2003 - 16:37

Факт отрицать нельзя: Хоумбанк.КЗ действительно подвергся взлому. Однако пострадала только фронтальная система, само же хранилище информации о клиентских счетах и номерах карточек оказалось взломщикам недоступно. Так что, друзья, не переживайте за свои денежки  ;)
0

#4 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 13 May 2003 - 11:09

Коллеги поделитесь опытом: Откуда были ребята - доморощенные или из-за бугра? Что хотели - пошалить или что посерьезней? И самое главное - как они это сделали?
Хочется прикинуться умным и поучитьсят на чужих ошибках B).

0

#5 Гость_SAE_*

  • Группа: Гости

  Отправлено 13 May 2003 - 14:48

Ну что ж, спрашиваете - отвечу.

Хоумбанк - это лишь интерфейс к банковской системе. Почти как окошко кассы :) Если возле окошка кассы кто-то напишет "Вася", то это еще не ограбление ни банка, ни клиентов. Точно также и в данном случае - можно разломать хоть весь веб-сайт, но вся информация хранится и все операции выполняются в недрах банковской системы, и добраться до нее практически нереально. Такие атаки были учтены еще при проектировании системы несколько лет назад (уж поверьте, я имел в этом некоторое участие B)

Так что не волнуйтесь, целы Ваши денежки, и останутся в целости впредь. А хулиганов мы время от времени ловим. Но чаще всего это студенты и даже школьники - можно сдать их по статье УК, но стоит ли из-за этого ломать их молодую судьбу ?

0

#6 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 13 May 2003 - 16:26

SAE надеюсь Вы не обидетесь если я прокомментирую Ваш ответ
1. Насчет "Вася" - не совсем корректный пример. Скорее это похоже на то что "Вася" не только написали над окошком кассы, но и Васю посадили вместо кассира на обеденный перерыв ;). Инетересно сколько клиентов успели набрать свои ID и пароль на ломанном сайте?
2. "Такие атаки были учтены еще при проектировании". Что значит учтены? Возвращаясь к примеру с "Васей" над окошком кассы - поставили ведро краски и время от времени закрашиваем нехорошие надписи? :D А почему бы не завести охранника, чтобы разных васей бить по рукам? :D
3. "Вор должен сидеть в тюрьме"

0

#7 Гость_KOPCAP_*

  • Группа: Гости

  Отправлено 13 May 2003 - 17:12

Guest (13 Май 2003,15:48) писал:

Ну что ж, спрашиваете - отвечу.

Хоумбанк - это лишь интерфейс к банковской системе. Почти как окошко кассы :) Если возле окошка кассы кто-то напишет "Вася", то это еще не ограбление ни банка, ни клиентов. Точно также и в данном случае - можно разломать хоть весь веб-сайт, но вся информация хранится и все операции выполняются в недрах банковской системы, и добраться до нее практически нереально. Такие атаки были учтены еще при проектировании системы несколько лет назад (уж поверьте, я имел в этом некоторое участие B)

Так что не волнуйтесь, целы Ваши денежки, и останутся в целости впредь. А хулиганов мы время от времени ловим. Но чаще всего это студенты и даже школьники - можно сдать их по статье УК, но стоит ли из-за этого ломать их молодую судьбу ?

Хотел бы я посмотреть на того человека который рискнет написать в каком либо из банков, что либо, на окошке кассы ??? А что если у этого человека есть пистолет? Картина складыватся далеко не самая радужная.
0

#8 Гость_Народ_*

  • Группа: Гости

  Отправлено 14 May 2003 - 18:07

Цитата

Судя по всему в ночь с 6 на 7 мая была взломана система Homebank.kz. Подробности можно увидеть на официальном форуме Казкоммерцбанка http://www.kkb.kz/public....tion=1, пока еще инфу не затрели админы, но добавить сообщения уже там нельзя (. В связи с чем огромная просьба к сотрудникам Казкома ответить на интересующие меня вопросы здесь.

Уже нельзя  :D  Казкомовские админы все затерли  ;)  И где же ваша свобода слова? СКАЖИТЕ НАРОДУ ПРАВДУ!!!!! :D

0

#9 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 15 May 2003 - 11:05

Уважаемый Народ, зря вы так негодуете. Это нормальная политика для любого банка - скрыть взлом и как можно тише провести все административные мероприятия. То что информация просочилась в Интернет и довольно долго висела на форуме Казкома это скорее даже недоработки админов банка.
0

#10 Пользователь офлайн   User 

  • Стажер
  • Группа: Банкир
  • Сообщений: 2
  • Регистрация: 08 May 03

Отправлено 15 May 2003 - 14:41

Резюмирую ответы представителей Казкоммерцбанка. Сайт все-таки сломали (Наблюдатель, SAE). Возможность взлома изначально закладывалась в систему и судя по всему это не первый и не последний взлом (SAE). Отсюда делаю для себя выводы - нах..ра мне такой сервис?
Теперь вопрос к спецам из других банков, которые "изначально не предусматривали возможность взлома" - есть ли в Казахстане нормальные системы e-banking с надежными мехнизмами защиты?

0

#11 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 15 May 2003 - 16:46

Даю справку:
- На сегодня в Казахстане интернет-банкингом занимаются 8 банков.
- Из них с физ. лицами реально работают 3 банка: Народный, Казком, Техако.
- Из них механизм электронной цифровой подписи использует только Народный Банк. Подробности на сайте www.mybank.kz

Делайте выводы, господа

0

#12 Гость_Гость_*

  • Группа: Гости

Отправлено 16 May 2003 - 14:52

Константин явно представитель Народного Банка и гнет свою линию. Что скажут другие банки?
Неужели действительно кроме Народного никто не может обеспечить безопасность электронных транзакций на должном уровне?

0

#13 Гость_проходил тут_*

  • Группа: Гости

Отправлено 16 May 2003 - 19:11

Константин еще позабыл про Интернет-банкинг Центркредита, тоже существует эл.подпись
0

#14 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 17 May 2003 - 16:03

Уважаемый "Проходил тут" вы немного невнимательны. Я упоминул только те банки, которые реально работают с физ. лицами. Центркредит пока заточен на юриков. Работа с физлицами у них только в планах.
0

#15 Гость_UristKZ_*

  • Группа: Гости

Отправлено 18 May 2003 - 15:54

Я абсолютный профан в компьютерных технологиях, но говорят неплохой юрист. Так вот меня как юриста интересуют следующие вопросы:
1. На каокм основании Казкоммерцбанк предоставлял свои услуги без электронной подписи? Для сведенья - это прямое нарушение "Правил обмена электронными документами" Нацбанка от 21 апреля 2000.
2. На каком основании предоставляют услуги другие банки, не использующие электронную подпись?
3. Куда смотрит НацБанк? Выпустил постановление и никакого котроля? Если действительно у нас только один банк работает с ЭЦП, то это просто бардак. Тем более НацБанк должен зашевелится, после этого случая - когда взлом произошел явно из-за не выполнения его инструкций.
4. Намерен ли Казкоммерцбанк возмещать материальный ущерб клиентам, счета которых оказались взломаны?
5. Намерен ли Казкоммерцбанк возмещать моральный ущерб всем своим остальным клиентам?

Господа-потерпевшие по вопросам 4 и 5 могу оказать профессионыльную помощь. Пишите на uristKZ@mail.kz
Благо опыт судебных разбирательств с банками имеется.

0

#16 Гость_Хмурый_*

  • Группа: Гости

Отправлено 19 May 2003 - 11:24

Konstantin (15 Май 2003,17:46) писал:

Даю справку:
- На сегодня в Казахстане интернет-банкингом занимаются 8 банков.
- Из них с физ. лицами реально работают 3 банка: Народный, Казком, Техако.
- Из них механизм электронной цифровой подписи использует только Народный Банк. Подробности на сайте www.mybank.kz

Делайте выводы, господа

Угу. И работать дает только из своих киосков.
0

#17 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 19 May 2003 - 14:11

Уважаемый господин Хмурый прошу не дезинформировать общественность. :D
Работа с системой "Интернет-Банкинг" Народного Банка (www.mybank.kz)  возможна из любой точки мира, где есть Интернет. У нас, например, есть клиенты, работающие со счетом из России и дальнего зарубежья.
Для тех клиентов, кто ограничен в средствах и пока не в сотоянии приобрести компьютер или провести операции через интернет-кафе мы предоставляем возможность абсолютно бесплатно воспользоваться компьютерами Интернет-касс, которые есть в каждом крупном городе РК. Более того, для клиентов слабо владеющих работой с ПК, были закуплены специальные сенсорные мультимедийные киоски, работа с которыми осуществляется буквально "тыком пальца в экран".
Так что прошу Вас, господин Хмурый, прокомментировать Ваше высказываение. Воможно Вас не верно информировали, в таком случае сообщите источник информации, мы проведем для него разъяснительную работу  :;):

0

#18 Гость_Хмурый_*

  • Группа: Гости

  Отправлено 21 May 2003 - 14:59

Konstantin (19 Май 2003,15:11) писал:

Уважаемый господин Хмурый прошу не дезинформировать общественность. ;)

По пунктам.

1. Так было раньше.

2. Захожу в демо. Редирект на основную страницу. Специально или ошибка? А может потому что я не из киоска? Представьте, что я обыватель...

3. Регистрация:  "В настоящее время регистрация новых клиентов производится в Интернет-кассах, адреса и телефоны которых...". Откуда мне знать, смогу ли я потом работать из дома. Или пресловутого дальнего зарубежья.

Так что это не я дезинформирую общественность, а вы ее недостаточно информируете.

0

#19 Гость_Хмурый_*

  • Группа: Гости

Отправлено 21 May 2003 - 15:24

Guest (18 Май 2003,16:54) писал:

На каокм основании Казкоммерцбанк предоставлял свои услуги без электронной подписи? Для сведенья - это прямое нарушение "Правил обмена электронными документами" Нацбанка от 21 апреля 2000.

...

Господа-потерпевшие по вопросам 4 и 5 могу оказать профессионыльную помощь. Пишите на uristKZ@mail.kz
Благо опыт судебных разбирательств с банками имеется.

Ну вот, стервятники набежали.

У Казкома с PR всегда было туго, может я что напишу. Не потому что их защитить, а чтобы свет пролить на такие системы вообще.

1. Это самый обычный deface. Люди получили доступ к файлам веб-приложения, естественно заменили картинки. Все это исправляется за 5 минут накатыванием архивной копии.

2. Чем чреват такой доступ?

2а. Стал доступен код приложения, который вызывает процедуры более низкого уровня. Теоретически это плохо, потому что стала известна логика приложения.

2б. Могли посадить троянца. Решается опять же накаткой из резерва. Все троянцы мигом перетираются.

3. Касательно раскрытия 10000 карточек. Заявляю, что полный бред, глупее ничего не слышал.

Объясню. Если вернуться к аналогии с кассиром это примерно похоже на ситуацию, когда вам удалось посадить своего человека в кассу, он открывает ящик и видит ... только вашу карточку.

Почему? Да потому что, чтобы воспользоваться процедурами низкого уровня, сначала нужно передать именно те данные, которые вы вводите на сайте. Т.е. сайт просто упрощает жизнь пользователю, представляя данные в красивом виде и передавая параметры, в свою очередь, приложению более низкого уровня. Вызывая все напрямую, вы получите те же самые данные и никаких чужих карточек.

Это и имел ввиду SAE, когда говорил про то, что они эту ситуацию предусмотрели. И орать "вы знали!" это глупость и черный PR. Ничего супернового и жутко умного они не придумали и про авторизацию на следующий уровень пишут во всех учебниках по .NET и J2EE.

И делается это именно для повышения безопасности. А если банки не предусматривают взлом, то это совсем плохо - никогда нет 100% уверенности даже в серверной платформе.

4. Что касается юридических вопросов, то тут меня действительно удивляет как за несколько лет Казком не довел продукт до ума в этом плане. Это их просчет, пусть теперь отдуваются.

0

#20 Пользователь офлайн   Konstantin 

  • Ведущий специалист
  • Группа: Банкир
  • Сообщений: 107
  • Регистрация: 14 March 02

Отправлено 21 May 2003 - 15:31

Отвечаю на первое письмо по пунктам:
1. Так не было никогда. С момента запуска системы "Интернет-Банкинг" Народного Банка (1 июня 2000г.) существовала возможность работать удаленно.
2. Никакого редиректа нет. Вы опять невнимательны. При выходе на Демо-версию вам открывается полная демоверсия сайта. Обратите внимание на первой страничке в врехнем правом углу есть значок ДЕМО. Это сделано для того чтобы у клиентов была возможность оценить сервис на все 100%. Далее уже на демоверсии выбираете Доступ к счетам и вам открывается демо-счет.
3. Уважаемый господин Хмурый, а для кого же мы пишем на сайте www.mybank.kz рубрику "Ответы на вопросы"? Специально для вас привожу из этой рубрики первый вопрос-ответ дословно:
Вопрос:
Для чего предназначена система "Интернет-Банкинг"?
Ответ:
Система "Интернет-Банкинг" - это современная банковская услуга, позволяющая физическим лицам круглосуточно управлять своими банковскими счетами через сеть Интернет в режиме реального времени (online) на специальном web-сайте банка http://online.halykbank.kz.
 
После этой строчки найдется хоть один человек, посчитавший что работа может вестись только из Интернет-касс? ;) Найдется! Это господин Хмурый, который уже вот-вот напишет новую партию "каверзных вопросов" :D

0

Поделиться темой:


  • 3 Страниц +
  • 1
  • 2
  • 3
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему