Новость дня: Хакнули Homebank Казкома
#1
Отправлено 08 May 2003 - 10:59
Очень жду вашего ответа.
Ваш клиент. С сегодняшнего утра сервак выдает ошибку и недает проверить свою карточку
#2 Гость_Гость_*
Отправлено 08 May 2003 - 11:53
#3 Гость_Наблюдатель_*
Отправлено 12 May 2003 - 16:37
#4
Отправлено 13 May 2003 - 11:09
Хочется прикинуться умным и поучитьсят на чужих ошибках .
#5 Гость_SAE_*
Отправлено 13 May 2003 - 14:48
Хоумбанк - это лишь интерфейс к банковской системе. Почти как окошко кассы Если возле окошка кассы кто-то напишет "Вася", то это еще не ограбление ни банка, ни клиентов. Точно также и в данном случае - можно разломать хоть весь веб-сайт, но вся информация хранится и все операции выполняются в недрах банковской системы, и добраться до нее практически нереально. Такие атаки были учтены еще при проектировании системы несколько лет назад (уж поверьте, я имел в этом некоторое участие
Так что не волнуйтесь, целы Ваши денежки, и останутся в целости впредь. А хулиганов мы время от времени ловим. Но чаще всего это студенты и даже школьники - можно сдать их по статье УК, но стоит ли из-за этого ломать их молодую судьбу ?
#6
Отправлено 13 May 2003 - 16:26
1. Насчет "Вася" - не совсем корректный пример. Скорее это похоже на то что "Вася" не только написали над окошком кассы, но и Васю посадили вместо кассира на обеденный перерыв . Инетересно сколько клиентов успели набрать свои ID и пароль на ломанном сайте?
2. "Такие атаки были учтены еще при проектировании". Что значит учтены? Возвращаясь к примеру с "Васей" над окошком кассы - поставили ведро краски и время от времени закрашиваем нехорошие надписи? А почему бы не завести охранника, чтобы разных васей бить по рукам?
3. "Вор должен сидеть в тюрьме"
#7 Гость_KOPCAP_*
Отправлено 13 May 2003 - 17:12
Guest (13 Май 2003,15:48) писал:
Хоумбанк - это лишь интерфейс к банковской системе. Почти как окошко кассы Если возле окошка кассы кто-то напишет "Вася", то это еще не ограбление ни банка, ни клиентов. Точно также и в данном случае - можно разломать хоть весь веб-сайт, но вся информация хранится и все операции выполняются в недрах банковской системы, и добраться до нее практически нереально. Такие атаки были учтены еще при проектировании системы несколько лет назад (уж поверьте, я имел в этом некоторое участие
Так что не волнуйтесь, целы Ваши денежки, и останутся в целости впредь. А хулиганов мы время от времени ловим. Но чаще всего это студенты и даже школьники - можно сдать их по статье УК, но стоит ли из-за этого ломать их молодую судьбу ?
Хотел бы я посмотреть на того человека который рискнет написать в каком либо из банков, что либо, на окошке кассы ??? А что если у этого человека есть пистолет? Картина складыватся далеко не самая радужная.
#8 Гость_Народ_*
Отправлено 14 May 2003 - 18:07
Цитата
Уже нельзя Казкомовские админы все затерли И где же ваша свобода слова? СКАЖИТЕ НАРОДУ ПРАВДУ!!!!!
#9
Отправлено 15 May 2003 - 11:05
#10
Отправлено 15 May 2003 - 14:41
Теперь вопрос к спецам из других банков, которые "изначально не предусматривали возможность взлома" - есть ли в Казахстане нормальные системы e-banking с надежными мехнизмами защиты?
#11
Отправлено 15 May 2003 - 16:46
- На сегодня в Казахстане интернет-банкингом занимаются 8 банков.
- Из них с физ. лицами реально работают 3 банка: Народный, Казком, Техако.
- Из них механизм электронной цифровой подписи использует только Народный Банк. Подробности на сайте www.mybank.kz
Делайте выводы, господа
#12 Гость_Гость_*
Отправлено 16 May 2003 - 14:52
Неужели действительно кроме Народного никто не может обеспечить безопасность электронных транзакций на должном уровне?
#13 Гость_проходил тут_*
Отправлено 16 May 2003 - 19:11
#14
Отправлено 17 May 2003 - 16:03
#15 Гость_UristKZ_*
Отправлено 18 May 2003 - 15:54
1. На каокм основании Казкоммерцбанк предоставлял свои услуги без электронной подписи? Для сведенья - это прямое нарушение "Правил обмена электронными документами" Нацбанка от 21 апреля 2000.
2. На каком основании предоставляют услуги другие банки, не использующие электронную подпись?
3. Куда смотрит НацБанк? Выпустил постановление и никакого котроля? Если действительно у нас только один банк работает с ЭЦП, то это просто бардак. Тем более НацБанк должен зашевелится, после этого случая - когда взлом произошел явно из-за не выполнения его инструкций.
4. Намерен ли Казкоммерцбанк возмещать материальный ущерб клиентам, счета которых оказались взломаны?
5. Намерен ли Казкоммерцбанк возмещать моральный ущерб всем своим остальным клиентам?
Господа-потерпевшие по вопросам 4 и 5 могу оказать профессионыльную помощь. Пишите на uristKZ@mail.kz
Благо опыт судебных разбирательств с банками имеется.
#16 Гость_Хмурый_*
Отправлено 19 May 2003 - 11:24
Konstantin (15 Май 2003,17:46) писал:
- На сегодня в Казахстане интернет-банкингом занимаются 8 банков.
- Из них с физ. лицами реально работают 3 банка: Народный, Казком, Техако.
- Из них механизм электронной цифровой подписи использует только Народный Банк. Подробности на сайте www.mybank.kz
Делайте выводы, господа
Угу. И работать дает только из своих киосков.
#17
Отправлено 19 May 2003 - 14:11
Работа с системой "Интернет-Банкинг" Народного Банка (www.mybank.kz) возможна из любой точки мира, где есть Интернет. У нас, например, есть клиенты, работающие со счетом из России и дальнего зарубежья.
Для тех клиентов, кто ограничен в средствах и пока не в сотоянии приобрести компьютер или провести операции через интернет-кафе мы предоставляем возможность абсолютно бесплатно воспользоваться компьютерами Интернет-касс, которые есть в каждом крупном городе РК. Более того, для клиентов слабо владеющих работой с ПК, были закуплены специальные сенсорные мультимедийные киоски, работа с которыми осуществляется буквально "тыком пальца в экран".
Так что прошу Вас, господин Хмурый, прокомментировать Ваше высказываение. Воможно Вас не верно информировали, в таком случае сообщите источник информации, мы проведем для него разъяснительную работу ::
#18 Гость_Хмурый_*
Отправлено 21 May 2003 - 14:59
Konstantin (19 Май 2003,15:11) писал:
По пунктам.
1. Так было раньше.
2. Захожу в демо. Редирект на основную страницу. Специально или ошибка? А может потому что я не из киоска? Представьте, что я обыватель...
3. Регистрация: "В настоящее время регистрация новых клиентов производится в Интернет-кассах, адреса и телефоны которых...". Откуда мне знать, смогу ли я потом работать из дома. Или пресловутого дальнего зарубежья.
Так что это не я дезинформирую общественность, а вы ее недостаточно информируете.
#19 Гость_Хмурый_*
Отправлено 21 May 2003 - 15:24
Guest (18 Май 2003,16:54) писал:
...
Господа-потерпевшие по вопросам 4 и 5 могу оказать профессионыльную помощь. Пишите на uristKZ@mail.kz
Благо опыт судебных разбирательств с банками имеется.
Ну вот, стервятники набежали.
У Казкома с PR всегда было туго, может я что напишу. Не потому что их защитить, а чтобы свет пролить на такие системы вообще.
1. Это самый обычный deface. Люди получили доступ к файлам веб-приложения, естественно заменили картинки. Все это исправляется за 5 минут накатыванием архивной копии.
2. Чем чреват такой доступ?
2а. Стал доступен код приложения, который вызывает процедуры более низкого уровня. Теоретически это плохо, потому что стала известна логика приложения.
2б. Могли посадить троянца. Решается опять же накаткой из резерва. Все троянцы мигом перетираются.
3. Касательно раскрытия 10000 карточек. Заявляю, что полный бред, глупее ничего не слышал.
Объясню. Если вернуться к аналогии с кассиром это примерно похоже на ситуацию, когда вам удалось посадить своего человека в кассу, он открывает ящик и видит ... только вашу карточку.
Почему? Да потому что, чтобы воспользоваться процедурами низкого уровня, сначала нужно передать именно те данные, которые вы вводите на сайте. Т.е. сайт просто упрощает жизнь пользователю, представляя данные в красивом виде и передавая параметры, в свою очередь, приложению более низкого уровня. Вызывая все напрямую, вы получите те же самые данные и никаких чужих карточек.
Это и имел ввиду SAE, когда говорил про то, что они эту ситуацию предусмотрели. И орать "вы знали!" это глупость и черный PR. Ничего супернового и жутко умного они не придумали и про авторизацию на следующий уровень пишут во всех учебниках по .NET и J2EE.
И делается это именно для повышения безопасности. А если банки не предусматривают взлом, то это совсем плохо - никогда нет 100% уверенности даже в серверной платформе.
4. Что касается юридических вопросов, то тут меня действительно удивляет как за несколько лет Казком не довел продукт до ума в этом плане. Это их просчет, пусть теперь отдуваются.
#20
Отправлено 21 May 2003 - 15:31
1. Так не было никогда. С момента запуска системы "Интернет-Банкинг" Народного Банка (1 июня 2000г.) существовала возможность работать удаленно.
2. Никакого редиректа нет. Вы опять невнимательны. При выходе на Демо-версию вам открывается полная демоверсия сайта. Обратите внимание на первой страничке в врехнем правом углу есть значок ДЕМО. Это сделано для того чтобы у клиентов была возможность оценить сервис на все 100%. Далее уже на демоверсии выбираете Доступ к счетам и вам открывается демо-счет.
3. Уважаемый господин Хмурый, а для кого же мы пишем на сайте www.mybank.kz рубрику "Ответы на вопросы"? Специально для вас привожу из этой рубрики первый вопрос-ответ дословно:
Вопрос:
Для чего предназначена система "Интернет-Банкинг"?
Ответ:
Система "Интернет-Банкинг" - это современная банковская услуга, позволяющая физическим лицам круглосуточно управлять своими банковскими счетами через сеть Интернет в режиме реального времени (online) на специальном web-сайте банка http://online.halykbank.kz.
После этой строчки найдется хоть один человек, посчитавший что работа может вестись только из Интернет-касс? Найдется! Это господин Хмурый, который уже вот-вот напишет новую партию "каверзных вопросов"