Цитата: Нижний Тагил, Свердловская область, Февраль 19 (Новый Регион, Игнат Бакин) – Ленинским районным судом Нижнего Тагила осужден хакер, который самостоятельно устанавливал курсы покупки-продажи валют, и обобрал банк через Интернет почти на полмиллиона рублей.
Как
сообщили сегодня «Новому Региону» в пресс-службе областной прокуратуры, в декабре 2006 года «взломщик» заключил с одним из банков договор, на основании которого получил комплект программного обеспечения, позволяющего проводить расчетные операции по всем банковским счетам, открытым на его имя в
кредитном учреждении. Также он получил право заниматься конверсионными операциями при покупке-продаже иностранной валюты с применением системы удаленного доступа к управлению банковскими счетами «Интернетбанк».
После этого компьютерный преступник воспользовался хакерской программой,
которая позволила ему несанкционированно вносить изменения в реквизиты формы программы «Интернетбанк». Хакер вводил в «окна ввода» заведомо искаженные значения суммы стоимости валюты, выгодные ему, а затем заключал фиктивные конверсионные операции в виде покупки-продажи иностранной валюты по курсу,
который он сам установил. В результате на счет умельца незаконно было зачислено свыше 465 тысяч рублей.
В отношении хакера возбудили уголовные дела по ч.3 ст. 159 УК РФ («Мошенничество»), ч.1 ст. 273 УК РФ («Использование вредоносных программ для ЭВМ»). Приговором суда ему назначено
наказание в виде 2,5 лет лишения свободы (условно) со штрафом в размере 15 тысяч рублей. Незаконно полученные средства он должен вернуть банку.
Новость. Приговор, если Вы заметили, вчера вынесли. И деньги возвращать он должен кому-то именно после вчерашнего дня (ну там +10 дней).
Кроме того декабрь 2006 - это дата подключения товарища к ИБ. Взломал то он его неизвестно когда.
А Вы не знаете, сколько времени у нас следствие обычно длится?
Цитата: От пользователя: ChBRR [быдло]
что-то мне не верится, что можно быть настолько тупым, чтобы брать курсы с клиентского
компа
Суть уязвимости была в том, что курс в веб-форму загружался в виде константы. Клиент в форме мог вводить либо сумму в рублях, либо сумму в валюте, и цифра во втором поле автоматически пересчитывалась прямо на клиентской стороне (javascript), что с точки зрения пользователя очень
удобно. Потом нажималась кнопка "отправить", все уходило на сервер.
Сейчас конечно все скажут "ха, так надо было просто на стороне сервера проверять, не изменилась ли константа". Задним числом все умны...
На самом деле, проблема в другом - в принципе неправильно был выбран подход к
обработке форм, потому и стала возможной такая ошибка.
А Вы не знаете, сколько времени у нас следствие обычно длится?
Скоро будут новости типа : "Угрожая начальству "проблемой 2000" , понакупал всякой компьютерной техники на значительные суммы, чем принес ущерб в ....... " и так
далее.)))
так, скажите сразу, поле "отправитель" у вас тоже с клиентского компа берется? а то есть тут пара идей
У нас - нет (т.к. система другая и разработчик другой) :-) А в обсуждаемой системе такая ошибка тоже была, причем обнаружена она была
уже после того, как была исправлена описанная в первом сообщении.
О том и разговор, что нужно применять другой способ обработки веб-форм, иначе придется делать специальные проверки при обработке КАЖДОЙ формы, а это верный путь где-нибудь про эту проверку забыть.
p.s. В нашей
системе принципиально другой подход к обработке.
Цитата: От пользователя: Mixerr
Скоро будут новости типа : "Угрожая начальству "проблемой 2000" ,
Зря ехидничаете. В одном из банков недавно эта проблема всплыла в полный рост (инфа была в
интернете, но ссылку давать не буду). Только там не техника была виновата, а свежевнедренный софт. Видимо, программистов, выделяющих под год 2 цифры, надо сразу же навечно дисквалифицировать после первого же обнаружения такого факта.
О том и разговор, что нужно применять другой способ обработки веб-форм, иначе придется делать специальные проверки при обработке КАЖДОЙ формы, а это верный путь где-нибудь про эту проверку забыть.
Интересно, что это за "другой"
метод такой, их вроде всего только 2. О первом написал топик-стартер, второй, собственно, описали Вы, заключается он в том, что "мы не доверяем информации с клиента и потому перепроверяем ее".
второй, собственно, описали Вы, заключается он в том, что "мы не доверяем информации с клиента и потому перепроверяем ее".
Если в общих чертах, то да. Смысл в том, что от клиента принимать только вариабельную часть, и никогда не
надеяться, что константы в формах остались неизменными (курс валюты, номер счета отправителя и т.д. - неважно, что). Плюс, пересчет вычислений, сделанный на стороне клиента.
там когда вносишь количество, меняешь сформированную общую сумму в ручную и реально курс получается другой, я вообщем-то чайник, но всё же эту фичу заметил, думал операцию со временем отменят, но этого так и непроизошло, потому о применении хакерской программы здесь наверное тоже погорячились,
впрочем в тех поддержку об этом я тоже не сообщил
А мальчика жалко, умненький и руки откуда надо ..., вот только проверку на вшивость не прошел ....
Ни разу не жалко. Во-первых вовсе он не мальчик по возрасту, во-вторых там ничего сложного не было. Ну и в-третьих, он в другой кредитной организации работал, так что может быть более крупные неприятности могли бы произойти продолжи он там работать, инсайдер всё-таки.
Я с одним из Екб общался, он деньги вернул. А так обычно тех.поддержка ИБ как-то сама разруливала косяки с багами системы, так что статистики не имею. Да и смысла её собирать не было, т.к.
вменяемый разрабочик сам по таким фактов выводы сделает и учтёт в будущей работе, а применить какие-то административные меры к виновному было нереально.
Цитата: От пользователя: potter_ru
Паша тогда уже не в СК работал.
Прикольно - это получается разработчик
"лучшего в мире интернет-банка" на одни и теже грабли несколько раз наступал. В шоке :cool:
И проверку на уровень интеллекта не прошёл - нафик явно мошеннические операции по своим личным счетам проводить? или он думал что когда всё всплывёт (или он рассчитывал, что банк так и не
увидит потери денег?) банк ему уварованное бабло подарит, выдаст вознаграждение и пригаласит к себе на работу с нехилым окладом? :lol:
Вариант с вознаграждением конечно реальный - так и было с клиентом, который обнаружил что возможна подмена счёта отправителя и эта подмена банком не
проверяется. Но данный клиент честно сообщил об обнаруженном баге в банк, а не стал тут же тырить бабло.
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
