Уверены, что читателям GeekTimes не нужно рассказывать, что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями. Мы используем их в Сбербанк Онлайн для сбора статистики о переходах клиентов между страницами, чтобы оптимизировать и повысить качество наших онлайн-сервисов. Анонимность собираемой информации гарантируется политиками безопасности и конфиденциальности компаний Яндекс и Google. Подробнее о них: пользовательское соглашение Яндекс.Метрики, пользовательское соглашение Google Analytics. Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Для защиты обслуживания Сбербанк Онлайн использует набор современных инструментов, включая TLS, двухфакторную авторизацию, риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов. Наиболее чувствительная клиентская информация (такая как фамилии, номера карт и счетов и т.д.) вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками». Чтобы дополнительно убедиться в безопасности нашего сервиса, мы при каждом обновлении проводим обширное penetration-тестирование, которое включает все известные виды атак.
Примем на веру утверждение автора, что вводимая на странице Сбербанк Онлайн информация передается на удаленный компьютер. Это возможно только в случае модификации страницы Сбербанк Онлайн.
На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных. В случае подмены контента на промежуточном сервере браузер классифицирует изменения как MITM-атаку и не дает загрузить содержимое на страницу. Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.
Что же доказывает видео olegon-ru? Только то, что вы можете запрограммировать свой компьютер на передачу данных вовне. Но это никак не влияет на безопасность обслуживания других клиентов.
Комментарии (136)
inkvizitor68sl
31.05.2017 13:56+9Бвахахахаа. Кхм.
Вы бы заголовок хоть поменяли. Уязвимости там находили, и найдут ещё, к гадалке не ходи. Вот что данные через внешние счетчики не льёте — это может быть.UJIb9I4AnJIbIrUH
31.05.2017 14:22-1Вспомнилось интерьвью одного чиновника перед ОИ в Сочи, а в то время всех живо интересовали права секс-меньшинств в РФ (потом про них все разом позабыли и принядись обсуждать другую тему). Журналист спросил чиновника
как он собирается решать проблему нарушения прав геев во время Олимпиады, на что тот просто заявил, что в Краснодарском крае геев нет и потому проблем с ними тоже нет.
Delics
31.05.2017 14:00+9В разоблачающей статье упор делался на возможность подмены скрипта.
Но, объективно, если некто может подменить на вашем компьютере скрипт, то он может подменить не только скрипт Гугл.Аналитикс и Яндекс.Метрики, но и любой другой.
Так что претензии были не совсем обоснованы.Black_Shadow
01.06.2017 13:38+3Дело не в том, что на компьютере пользователя может быть подменён скрипт яндекса или гугла, а в том, что это могут сделать в яндексе и гугле. То есть, Сбер доверяет безопасность своего сервиса сторонним компаниям, в этом проблема.
Akon32
31.05.2017 14:01+4Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Реализована ли проверка стороннего js-кода (со всяких метрик) каждый раз, когда грузится страничка Сбербанк Онлайн?
На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных.
Естественно, HTTPS — хорошая штука, и её не зря придумали.
Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.
Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?). И это как раз влияет на безопасность, в определённых случаях.
dartraiden
31.05.2017 14:33+4Админ с работы может и полноценную MITM-атаку замутить с перехватом всего трафика.
А если у кого-то есть локальный доступ к вашему незапароленному и незаблокированному ПК, то вы этот ПК уже не контролируете. И даже отсутствие админских прав у владельца такой учётки не спасёт.
Fearmen
31.05.2017 14:41+5Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?)
Эмм, но каким боком тут будут безопасники сбера, если вы не следите за вашей машиной?Akon32
31.05.2017 17:15-2Утверждается, что система абсолютно безопасна ("уязвимостей нет"), хотя в ней есть такая вот дыра.
Надеюсь, что контрольные суммы сторонних скриптов всё-таки проверяются должным образом, или есть эквивалентная проверка, как и говорится в ответе ниже.
SCST
31.05.2017 15:03Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
AllexIn
31.05.2017 15:11+4А почему вы просто не перетащите нужные скрипты на свои сервера, чтобы эту дыру полностью закрытЬ?
trilodi
01.06.2017 16:25А почему бы вообще не реализовать свой велосипед для аналитики переходов? Ведь у Сбера имеется «грандиозная» лаборатория по разработки программных продуктов?! Тогда все вопросы по счетчикам отпадут сами собой
CrazyRoot
31.05.2017 14:17+7Нафига там вообще нужны сторонние скрипты?
Here_and_Now
31.05.2017 18:32Ремаркетинг для AdWords.
Да и не факт что они пилили свою систему статистики. Google Analytics за 5 минут устанавливается и все маркетологи его знают.
dom1n1k
01.06.2017 18:19+3То есть они пускают сторонних мракетологов в мегаприватные данные клиентов. Окееей.
AllexIn
31.05.2017 14:18+23Знаете… Я вообще не веб программист.
Моя специализация — C++ и OpenGL…
Но даже я понял о чем говорил автор предыдущей статьи.
Он говорил о том, что сайт сбербанк-онлайн подгружает сторонние скрипты. Сторонние — это значит не находящиеся в ведении владельцев сайта.
То что вы там никуда ничего не отсылаете, совершенно не гарантирует, что это не отсылает левый скрипт, который вы загрузили из левого источника.
Товарищи веб-эксперты, поправьте пожалуйста меня… А то странное ощущение, что в Сбербанке идиоты сидят, которые даже не поняли в чем уязвимость. Но это просто не может быть правдой. Так что идиот здесь все таки я. Но не могу понять где…Lyazar
31.05.2017 14:42+2А если thawte перевыпустит сертификат для сбера-онлайн, то сможет трафик перехватывать! irony
AllexIn
31.05.2017 15:07+5Я с вами в целом согласен.
Когда мне стали в личку присылать первую статью с вопросом дергаться или нет — я всегда отвечал что повода дергаться пока нет.
Но речь же не о том, насколько это опасно сейчас.
Речь о том, что это в целом дыра дырища.
А сейчас вдвойне смущает, что судя по всему господин эксперт не понимает вообще о чем речь.
briskly
31.05.2017 14:50+3Я не понимаю, почему все так хотят обосрать компанию даже если в этой области не разбираются.
Это не персонально к вам, а к 90% комментариям в обоих постах.
Google аналитика подключена во многих банках, и не только России (City bank US, итд.)
Кроме google, yandex и rutarget(это дочерняя компания Сбербанка), на сайт ничего стороннего не подключено.
Атака которая скомпрометирует google/yandex аналитику возможна только от Google/Yandex. И если допустить ее вероятность. То Сбербанк уж точно не будет первоочередной целью
nafikovr
31.05.2017 14:55-1вопрос в другом. если я захожу на сбербанк онлайн значит я осознанно доверяю свои данные сберу. значит ли это что я доверяю свои данные другим организациям?
briskly
31.05.2017 15:28+3Согласно пользовательскому соглашение Google аналитики. Вы доверяете свои данные только Сбербанку.
По факту это действительно так. Google собирает только обезличенную информацию.
Гипотетически Google может провести на вас атаку. Как в общем то и любая крупная корпорация. Железо в Сбере, все равно производит не он сам. Это все те же IBM,Cisco, etc.
Эти сервисы подключены не просто так. Как правило они используются UX специалистами, чтобы потом понимать, что удобно получилось в интерфейсе а что стоит переделать. И конечные изменения позитивно складываются на вас же.nafikovr
31.05.2017 15:43у меня другое направления мышления. 1 — я считаю что злоумышленники могут с определенной вероятностью получить доступ к ресурсам сбера. 2 — я расчитываю на этот риск и осознанно на него иду заходя в сбербанк онлайн и считаю что в данном случае ответственность несет сбер. 3 — я считаю что злоумышленники могут получить доступ к серверам гугла или яндекса. 4 — кто будет нести ответственность в данном случае?
я отлично понимаю что взломают скорее сбер, чем тот же гугл и ситуация чисто теоретическая, но в случае подобной утечки все косяки легко спишутся на «дырявый компьютер клиента», особенно при том что некий специалист заявляет что дыр у них 100% нет.briskly
31.05.2017 15:50+1Полностью защищенных систем не существует. Это всегда вопрос стоимости взлома. Взлом это не всегда в лоб, могут быть инсайды, соц. инженерия.
В том случае если взломают яндекс, скорее всего будет как то так:
У Сбера сработает антифрод. Который в банке действительно есть. И вывести деньги смогут у первой сотни человек(Из за двухфакторки, скорее даже меньше). Сбербанк онлайн выключится.(Как и весь интернет в России, взломали Яндекс!) Тем кого обокрали Сбер вернет деньги согласно законодательству сразу. И направит иск в Яндекс
vyrkmod
31.05.2017 15:56У html тэгов script есть очень полезный атрибут integrity, даже если яндекс взломают, работать подсунутое взломщиками не будет. Угадайте, заморачивается ли сбер такой мелочью?
briskly
31.05.2017 16:36+4вы про рекомендацию от wc3 вышедшую меньше года назад, которая не понятно на каких браузерах работает, которая защитит в очень отдельных случаях? И не понятно, константная ли хеш сумма у скрипта от яндекса.
Можно не меняя хеш сумму скрипта придумать разные вектора, если там идет подгрузка каких то данных из других сервисов яндекса(мы подразумеваем что Яндекс под контролем злоумышленника уже), то толку от integrity 0.
vyrkmod
31.05.2017 17:33+1Меньше года назад? Мне тут caniuse пишет что браузеры начали его поддерживать с 09.2015 (хром и опера) и 12.2015 (лис). https://github.com/w3c/webappsec-subresource-integrity — вообще с 14 года начинается.
redskif
31.05.2017 15:59А иск в Яндекс то с какого перепугу? Или у Сбера с ними коммерческий договор на метрику?
jauseg
31.05.2017 16:28+2Тем кого обокрали Сбер вернет деньги согласно законодательству сразу.
Ага, проходили. Саппорт по телефону: ждите, в течение 30 рабочих дней, все должно придти. После 30 дней, мы ничего знаем, идите в свое отделение (где карточку получали), подавайте заявку на розыск средств, а чек уже выгорел…
nafikovr
31.05.2017 17:09в вашей истории не хватает одного нюанса, до того как деньги начнут снимать может быть скомпрометировано достаточно много данных. так что антифрод тут вряд ли поможет. я отлично понимаю что риск низок. выше об этом уже написал. просто нехорошее отношение.
dumistoklus
31.05.2017 18:16+2Сбер никогда денег не вернет. Все действия, которые были инициированы с клиентским логином и паролем считаются действиями клиента, и не важно именно он их делал или нет. О чем прямо говорится в договоре
dumistoklus
31.05.2017 18:14Эти сервисы могут собирать данные, вводимые в формы. И вот обезличинность уже становится такой личной, когда третьи лица имеют доступ к вашим деньгам (условный). Даже когда эти третьи лица не знают, что деньги ваши
mrsantak
01.06.2017 23:02+2Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере, вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта, вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
А еще вы доверяете всем сотрудникам компании, которой принадлежит данный сайт и всем их подрядчикам. Но, гугл аналитике вы при этом не доверяете.Welran
02.06.2017 05:24-1Не доверяют не гугл аналитике, а тем кто может ей представится, подменить. И если от ОС или сотрудников банка вы не можете избавится, то в гугл аналитике жизненной необходимости нет.
nafikovr
02.06.2017 07:27+1Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере,
это мой компьютер, за него отвечаю я
вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта,
ssl считается доверенным по-умолчанию, и он же практически исключает необходимость в доверии к провайдеру.
вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
все что стоит и лежит на этих серверах относится к организации которой я уже доверил деньги.
гугл аналитике вы при этом не доверяете.
я даже понятия не имею что кто то ее мне подгрузил
kogemrka
02.06.2017 08:57Но, гугл аналитике вы при этом не доверяете.
Логично.
А давайте я поставлю вам на компьютер свой кейлоггер, который будет сливать мне всё, набираемое вами на сайте сбербанк-онлайна? Или набираемое вами везде?
Я дам вам исходные коды, вы сможете убедиться, что он не делает ничего кроме заявленного. Если нужно, прямо на вашей машине его и скомпилируем, чтобы не было сомнения, что он всего лишь сливает всё, что набирается на странице и подпишу с вами договор, в котором торжественно обязуюсь не использовать слитые данные.
Ну а что, вы заходя на сбол уже доверяете своей операционной системе, центрам сертификации, браузеру, ..., и даже гугл аналитике, с доверия лично мне у вас не убудет — более того, в отличии от безликого гугла вы даже можете познакомиться со мной лично и у вас со мной будут защищённые законом договорные отношения.
К тому же, мой келоггер будет даже надёжнее гугловской аналитики!
Бинарник я изменить смогу только при согласовании с вами, в отличии от скриптов гугл-аналитики, которые могут подгрузиться другими в любой момент.
К тому же, у гугла-то были случаи, когда его особо доверенные инженеры, имеющие полный доступ к письмам всех пользователей gmail'а эту самую переписку читали, а у меня и сотрудников в этом примере не будет (меньше возможных точек злоупотребления), и репутация получше (случаев подобных сливов нет).
Согласны?)mrsantak
02.06.2017 09:40+1Из всего списка что я привёл Гугл аналитика даже близко не является самым недоваренный источником, в отличие от вашего софта. Я не хочу сказать, что она вообще не влияет на безопасность. Но истерика поднятая этой статьей не соответствует степени проблемы.
trilodi
02.06.2017 09:46Я думаю «истерика» тут не по поводу самой гугл аналитики, а из-за халатности сотрудников установивших ее, и от вот таких глупых оправдательных постов. У сбербанка, как они заявляют есть отличная лаборатория разработки программных продуктов, неужели они не смогли сделать себе простейшую аналитику если она так необходима? Это можно было бы сделать на серверных скриптах или вообще анализом логов сервер, они ведь только переходы пользователей отслеживают, как они заявляют
kogemrka
02.06.2017 10:14+1Я вообще не понимаю, о какой истерике речь.
Автор исходной статьи, конечно, слегка драматизировал ситуацию, но особой поддержки этой драмматизации со стороны сообщества я вообще не наблюдаю.
Я не вижу ни постов, ни комментариев с призывами сбежать из сбербанка или с криками о том, что завтра все наши данные украдут.
Скорее я вижу много комментаторов, которым, как и мне, такое техническое решение кажется непонятным и плохим. Нормальная тема для обсуждения.
В принципе, я был бы рад, если бы сюда пришёл кто-нибудь и объяснил, почему вот так и нужно делать, но увы.nafikovr
03.06.2017 08:40все правильно истерике нет места, так как все понимают что конкретно в данной цепочке на самом деле сам сбер скорее всего и будет самым легкодоступным звеном.
собственно истерики и нет, есть недоумевание и непонимание зачем так делать. у меня еще непонимание действий тех, кто рьяно защищает сбер в данной ситуации. и я тоже был бы раз объянению.
немного аналогии. мы используем гуглопочту завязанную на наш домен и дропбокс для служебных целей. во-первых, наработки в плане фильтрации спама и юзабилити. во-вторых это дешевле чем изобретать велосипед самим. думаю из тех же соображений и подключена сторонняя аналитика. но, в данной ситуации нет третьих лиц. в случае хранения данных третьих лиц мы бы не стали ее хранить на дропбоксе.
nafikovr
03.06.2017 08:41+1дело не в том кто самый недоверенный источник, а сам факт подключения софта из левой конторы, про которую пользователь не уведомлен.
JC_IIB
01.06.2017 17:07Google аналитика подключена во многих банках
На страницах, подобных Сбербанк-онлайн, не должно быть никаких сторонних скриптов в принципе. Аналитику хотите — пишите сами. Я, честно говоря, удивлен, как такое решение согласовала внутренняя безопасность. Это дыра размером с Эверест.
rombell
08.06.2017 12:54+2Даже в нашей мелкой конторе, сети магазинов с онлайн-заказами, когда мы объяснили руководству про сторонние скрипты, оно схватилось за голову и нагнуло маркетологов (по заказу которых мы навставляли всякого). И мы почти все скрипты вырезали с каталожных страниц, и вообще все — со страниц профиля и т.п.
Политика «вставим побольше трекеров» понятна с точки зрения анализа, но сама возможность, что поставщик трекера сохранит данные для себя на будущее (либо для ФСБ/ЦРУ/Моссада/...) лично для меня делает AdBlock, NoScript или аналоги обязательным первым действием на новом браузере.
kernelconf
31.05.2017 14:23+71. У меня нет договорных отношений с Яндексом или Гуглом, почему мой браузер по указке Сбербанка инициирует подключение к этим ресурсам?
2. Включение сторонних скриптов снижает безопасность ресурса до безопасности самого слабозащищённого. Почему Сбербанк такого низкого мнения о своей инфраструктуре?
3. Как Сбербанк собирается гарантировать, что инициируемые моим браузером подключения ко внешним ресурсам являются подключениями именно к тем партнёрам, о которых он ведёт здесь речь?dartraiden
31.05.2017 14:35-1При заходе на Geektimes он ведь точно так же это делает. И на кучу других ресурсов.
При этом, если вы заходите незалогиненным, то у вас и договора с Geektimes никакого нет.
Это реалии современного веба: вместо того, чтобы хранить ресурсы (хотя бы, те же скрипты) локально, сайты используют CDN.dom1n1k
01.06.2017 18:23Мешать в кучу просто сайтики в интернете и банковский личный кабинет — это прэлэстно, просто прэлэстно!
zte189
31.05.2017 14:44У вас нет договорных отношений с магистральными провайдерами, почему ваш провайдер по указке программного обеспечения, установленного на ПК или смартфоне инициирует передачу трафика дальше в сеть? И почему вы пользуетесь полученным контентом?
Бывают же такие параноики, а… А может, и жена ваша — и не жена вовсе, а злобный зеленый монстр, замаскировавшийся под человека? А ещё вам насыпали не 3, а 2 ложки сахара в чай! Кто гарантирует, что кубик сахара не был отравлен?!lieff
31.05.2017 15:00Эм, если не касаться вопроса доверия владельцам счетчиков, то про магистральных провайдеров вы все же загнули. Ну заходите в онлайн банки по http и узнайте как можно доверять магистральным провайдерам. Для этого же https и придумали, а банки уже давно http не используют.
Welran
02.06.2017 05:41-1Ну возможно он не такой уж и злобный, к тому же это маловероятно (в истории таких случаев не зафиксировано). Двумя ложками сахара занимается роспотребнадзор, а отравленными кусками полиция. Виновных хотя бы постараются найти и наказать. А вот возместит ли Сбербанк украденные с помощью уязвимости деньги, очень сомнительно.
vyrkmod
31.05.2017 15:06+1Пункт 2 нормального человека: гугдим «subresource Integrity», разобрав нагугленное добавляем тэгу script на нашей странице атрибут integrity, если этот очень нужный скрипт «там» подменят — работать [в нормальном браузере] он не будет. Пункт 2 курильщика: не делаем ничего такого, всем рассказываем про «звёздочки».
tmnhy
31.05.2017 14:24+12вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками».
— это сделало мой день. Эксперты такие эксперты…fryday
31.05.2017 14:59+4PCI DSS вообще-то
3.3 Mask PAN when displayed (the first
six and last four digits are the maximum
number of digits to be displayed), such
that only personnel with a legitimate
business need can see the full PAN.tmnhy
31.05.2017 15:04+1Да, претензии не к «звездочкам», а к контексту и подаче. Из серии «кто на ком стоял».
Неужели эксперту влом наделать скринов с «такая как фамилии, номера карт и счетов и т.д»? Подозрение, что эксперт не пользуется онлайн банком организации в которой работает.
И если честно, я не представляю комфортной работы в банковском приложении, когда вместо своей фамлии и номеров счетов я вижу звездочки, как работать-то?
И даже, больше, я не вижу практической ценности их скрывать.avkudrin
31.05.2017 17:28+1То есть, вы не пользовались сбербанк онлайн, я правильно понимаю? Потому что, тем, кто пользовался, понятно, что за звездочки тут имеются в виду.
avost
31.05.2017 14:25+14Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Вы не можете этого сделать, поскольку информация передаётся внешним скриптом третьей стороны с компьютера клиента непосредственно на сервера этой третьей стороны. Все элементы находятся вне вашего контроля.
a553
31.05.2017 15:04+6На самом деле могут, но не проверяют. Этим постом Сбербанк сделал ситуацию ещё хуже, доказав свою некомпетентность.
AllexIn
31.05.2017 15:14+2Они типа на свой стороне автоматическую проверку проводят периодически скачивая скрипты на свой сервер и проверяя что они не изменились. А если изменились, проверяют, что изменения не опасны.
Впрочем, верится в эту байку с трудом.a553
31.05.2017 15:33+2Даже если они делают периодические проверки (мне тоже в это не верится), они в любом случае бесполезны по очевидным причинам.
Pakos
01.06.2017 13:41if($IP in @ Sber_IPs) return 'valid_script_js'; else return 'hacker_script.js'; Навряд ли "аналитики СБ" будут тестировать не с рабочих IP.
Gendalph
31.05.2017 14:26+4Господа, а потрудитесь объяснить почему в моем личном кабинете PayPal нету никакой сторонней аналитики?
Ugrum
31.05.2017 14:29+7Потому, что PP не настолько продвинут и высокотехнологичен и вообще погряз и закоснел в нулевых. Вот когда подтянет свой уровень до СБ, появится и сторонняя аналитика в этом вашем личном кабинете.
dartraiden
31.05.2017 14:40+1Что меня удручает в палке — это вот эта закоснелось. 2017 год. 2-факторная авторизация? Да, вот можете аппаратный токен купить. Но только для определённых стран. Россия? Извините, нет, мы вам не можем включить 2-факторную авторизацию, даже если вы каким-то образом получите токен.
Даже 2-факторная авторизация посредством кода, доставляемого через SMS, была бы лучше, чем совсем ничего (но хуже, чем приложение на смартфоне и аппаратный токен, естественно)
old_bear
31.05.2017 14:34+1Наверное, Палка не входит в число «крупнейших финансовых организаций» по версии СБ.
Barafu
31.05.2017 14:35+2Потому что Палке когда-то приходилось делать себе имя, и с тех пор у них остались вот такие вот пережитки прошлого. Сбербанку же на вас было насрать, есть насрать, и будет насрать. Они считают вас за идиота, что и рады показать такими вот закладками в своём софте и вот такими вот опровержительными статьями. Потому что знают, что никуда вы не денетесь с подводной лодки.
norlin
31.05.2017 14:31+9Эксперт службы Кибербезопасности Сбербанка
… проверяем состав передаваемой информацииУв. эксперт SCST! А вы могли бы, как эксперт, подробно пояснить, каким образом вы контролируете информацию, передаваемую JS-скриптами третьих лиц, которые исполняются в браузере клиентов и имеют полный доступ к открытым страничкам личного кабинета клиентов?
norlin
31.05.2017 14:43+4Прочитал комментарий к той самой статье:
… используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта…
… на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов…
… предоставляют скриптам информацию только об открытой странице (но не её содержании)...Как в анекдоте – простите, а вы точно эксперт? #позорище
SCST
31.05.2017 15:08-11Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
norlin
31.05.2017 15:26+6Ну, то есть, вы прямо признаёте, что уязвимость есть и вы лишь при подключении и "периодически" проверяете, что ей ещё не пользуются.
Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
Скрипты передают данные напрямую на сервера третьих лиц. Каким образом вы проверяете этот трафик?
Ах, да, вы "периодически анализируете". #позорище
SCST
31.05.2017 15:33-12Подробностей, тем более публично, раскрывать не могу по понятным причинам.
AllexIn
31.05.2017 15:41+7Потому что не знаете?
Veliant
31.05.2017 16:14+1Потому что это отдано на откуп Group-IB (продукт SecureBank). Которым почему-то данные сливаются по http протоколу на ibbe.group-ib.ru. А вот их скрипт уже делает fingerprint вашего браузера, смотрит не висят ли всякие лишние callback'и на обработчиках мышки и клавиатур, не изменено ли DOM-дерево, все ли загруженные скрипты в вайт-листе и т.д. И от всего этого считается хэш который передается СБ.
norlin
31.05.2017 15:45+5Речь идёт о клиентском коде. Всё доступно любому желающему. Поэтому никаких "понятных причин" (помимо того, что вы нифига не знаете и просто профакапили дырку) я не вижу.
Zidian
01.06.2017 11:51А зачем вообще там скрипты аналитики? Тем более личный кабинет вообще у вас вынесен на отдельный поддомен со своими сертификатами. И чего ради?
А если уж хочется анализировать — то отдавали бы свои скрипты или ограничились следящими пикселями, на худой конец.
nicknathanovich
31.05.2017 14:44+5А еще у вас пароль к регистру не привязан…
Night_Snake
01.06.2017 10:56-1Я вам больше скажу, там ещё и старый пароль (который выдаётся при активации и который настоятельно просят сменить) действует наравне со старым…
Gumennnik
31.05.2017 14:44+2Уважаемый SCST, не могли бы вы подробнее (возможно в самой статье) расписать технические механизмы (а не юридические), которые используются (прим. и наличие которых мы способны проверить), подтверждающие вашу уверенность?
Вы упомянули про архитектуру, которая не передаёт на страницу пользователю никакой чувствительной информации, но всё же не хватает примеров.azaot
31.05.2017 15:36+1Хорошая попытка Эллиот!
Gumennnik
31.05.2017 15:56+1Могли же запилить полноценную статью по обеспечению защиты информации при осуществлении онлайн платежей, не раскрывая при этом всех своих «фишек», что было бы весьма уместно и добавило бы плюсов в карму.
azaot
31.05.2017 19:18Такой материал, в любом случае, будет состоять в основном из размазывания теории по терминологии, и технических механизмов которые можно проверить, там априори быть не может, по очевидным причинам.
Welran
02.06.2017 05:49А юридические где нибудь описаны? Даже если бы не было столь явной дыры, все равно абсолютно 100% защита вряд ли была бы возможна. Насколько деньги защищены от кражи с помощью банкклиента? Если вы гарантированно получите свои средства назад, то даже небольшие дыры уже не будут большой проблемой (по крайней мере для клиентов).
mrNordman
31.05.2017 14:44При подключенном Вебвизоре, человек, у которого есть доступ к счетчику запросто получит логин и пароль от учетной записи.
Ivan_83
31.05.2017 14:47+11Товарищ эксперд, как вам ни стыдно!?
1. А что, кроме лени и разгильдяйства, вам мешает собирать всю нужную статистику путём анализа логов вебсервера?
2. Зачем гуглю, янденсу и ещё куче третьих лиц вообще знать что клиент копается у себя в мобильном банке?
Это же палево, вы всех клиентов с их действиями сливаете прямо АНБ, дудль не распространяет свою конфиденциальность на запросы от АНБ и прочих тамошних структур.
Дудль и все госы США вообще не считают всех не граждан США людьми, и прав у не граждан США вообще никаких нет, если что.
Так что соглашениями дудля, яндекса и прочих можете подтереться.
3. Не надо гнать, нихера вы не контролируете что браузер клиента передаёт дудлю, яндексу и прочим конторам чьё барахло вы у себя разместили.
Не можете вы это контролировать и знать. В принципе.
Простой финт когда дудль отдаёт вам одни скрипты а вип клиенту другие вы не в состоянии отследить.
Это фейл.
Другое дело, что все кто в теме уже давно поставили расширения в браузер которые не грузят без разрешения всякий мусор со сторонних сайтов, в этом плане автор изначального наброса никакой сенсации не сделал, он просто публично написал что вы там веб макаки которые не в теме и котором по барабану.
Те кто глубоко в теме может вас потыкать ещё тем что у вас вся крипта иностранная и УЦ иностранные, но тут и с браузерами пока сложно, всякие уроды из мозиллы и гугля отказываются встраивать крипту отличную от крипты США, мол увеличивает поверхность атаки и пр бред.
StasTs
31.05.2017 14:47+1что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями.
Давайте не заливать. На корпоративных сайтах — не вопрос: и GA и fb и еще несколько. Как только доходит до ebanking части, то никаких левых скриптов.
Мне вот интересно, сберовский ebanking PCI сертификацию вообще проходил?
comandante3000
31.05.2017 14:48+1Кажется, это за вот эту тему https://nplus1.ru/news/2017/05/29/google
nafikovr
31.05.2017 14:49+1то что наличие доступа к компьютеру пользователя позволяет получить данные и без проблем со стороны СБРФ это и ежу понятно. но подгружать сторонние скрипты на таком ресурсе чревато. сразу вспоминается случай https://habrahabr.ru/post/231853/ когда владельцы стороннего ресурса случайно подставили владельцев кучи других сайтов. вроде ерунда, но тут же вспоминается другой случай https://www.opennet.ru/opennews/art.shtml?num=40671 а ведь могли и jquery.js подменить. если за безопасность данных на стороне СБРФ отвечает собственно СБРФ, то кто отвечает за то что на стороне третьих лиц? мне кажется, что СБРФ должен нести такую же ответственность ибо деньги я доверил им, и мне плевать на его соглашения с третьими лицами. в праве ли СБРФ доверять мои данные третьим лицам, без моего согласия?
hssergey
31.05.2017 14:50Уязвимость есть, но ее нельзя считать опасной, потому что для ее реализации надо подменить dns, чтобы вместо яндекса грузило скрипт с сервера злоумышленника, и еще и иметь на локальной машине сторонний корневой сертификат, чтобы не ругалось на зловредный скрипт (так как никто не даст валидный сертификат на домен яндекса). Например, администратор локальной сети предприятия в принципе может провернуть такую штуку со сбербанк онлайном на компьютере сотрудника. Но с тем же успехом он может сделать и другие грязные вещи (тут уже проблема из темы «кто будет сторожить сторожей»). А в случае обычного компьютера, подключенного к интернету, эксплуатация подобной уязвимости маловероятна.
Хотя проблема все равно есть и она состоит в том, что появляются дополнительно точки потенциального воздействия зловреда Например, взлом сервера яндекс-метрики и подмена их скрипта и так далее.
subvillion
31.05.2017 15:49+3Подмена dns происходит прямо сейчас, на всей территории РФ, называется РОСкоМнадЗОр. У меня domru возвел dns MITM в абсолют.
vyacheslavteplyakov
31.05.2017 17:34+2Более того, танцы пляски с DNS это вообще мода последних лет, каждый провайдер, каждый производитель роутера, а роутеры вообще дырявые, считает своим долгом впарить свой ДНС. И это ещё не считая всяких видеосервисов работающих через подмену и прочих анонимайзеров и разблокировщиков.
Вообще не понятно как можно ходить в этот ваш энторнет без плугинов типа Disconnect…
John_Nash
31.05.2017 14:54-1Как нет уязвимостей?
Взять хотя бы двухфакторную авторизацию
Логин запоминается в браузере при включенном автозаполнении, не скрывается звездочками, и может быть прочитан посторонними. Далее, можно предпринять попытки ввода пароля, и логин уйдет в блок. Если есть доступ к телефону, то пароль вообще не нужен, можно запросить новый пароль на телефон.AllexIn
31.05.2017 15:18Ну они честно боролись с запоминанием пароля в хроме.
В коде даже есть следы борьбы:
фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль
Sunder_GL
31.05.2017 15:22-2заминусуете карму аккаунту сбера и сможет он постить только 1 комментарий в неделю да и ещё получит значок «тролль»
sphinks
31.05.2017 15:33+1Я думаю, здесь тонкий троллинг)
А если это действительно сотрудник сбера, то вероятность увидеть теперь этот ответ в официальном бложике сбера равна 0, возможно так сбер «обкатывает» разные варианты «отмазок» перед публикацией официальной версии)
igormich88
31.05.2017 15:37+7Возможно вопрос немного не по теме, но зачем нужен этот скрипт?
https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/vaultonline-2-new-sbol-36f5190612.js
На Пикабу обнаружили что он сканирует некоторые порты на локальной машине.
kelevra
31.05.2017 15:41я просто оставлю это здесь.
AllexIn
31.05.2017 15:43+3А что там не так? Они обратились за помощью к общественности. Мне кажется открытая современная компания и должна так делать.
Собственно и косяк Сбера по обсуждаемым сейчас уязвимостям он не в том, что уязвимость допустили. Косяк в том, что на неё просто забили и человеку её обнаружившему даже не ответили…
EnigMan
31.05.2017 16:12+1В Сбербанк онлайн уязвимостей нет
Как это нет? Двухфакторная авторизация по SMS это разве не дыра в безопасности? Сколько уже писалось о возможности перехвата и подделки SMS. Да элементарно, я год назад менял СИМ карту зеленого оператора, так у меня даже паспорт не спросили?
На мой вопрос, есть ли более безопасный способ двухфакторной авторизации, сотрудница банка ответила, что нет, но вы можете купить страховку! Страховку! Дополнительно заплатить банку, чтобы он гарантированно вернул мне мои деньги!!!ivan386
31.05.2017 17:07Он вроде и без страховки обязан их вернуть.
YMA
31.05.2017 17:16Ага, щаз. Даже в случае подтверждения неправомерной замены симки получить обратно украденные деньги клиенты могут только по решению суда, и то банк с оператором будут сопротивляться до конца.
В случае же попадания вируса на клиентское устройство банк вообще умывает руки и посылает… в полицию ловить автора вируса.
EnigMan
31.05.2017 17:59Должен, только попробуй забрать. Вся соль в том, что вместо более надежных способов защиты, предлагается платная услуга
hokum13
31.05.2017 16:30-1А меня например смутили вот такие фрагменты кода:
s.src = (d.location.protocol == «https:»? «https:»: «http:») + "//mc.yandex.ru/metrika/watch.js";
ga.src = ('https:' == document.location.protocol? 'https://ssl': 'http://www') + '.google-analytics.com/ga.js';
Т.е. чисто технически (по безалаберности) location.protocol в какой-то момент времени может оказаться не «https:» и скрипты вообще перестанут проверяться, а дальше атака на любая MITM атака окажется 100% удачной. Нафига вообще оставлять возможность использования не https протокола?
Ну и стандартное: почему скрипты не скопированы на Ваши сервера? Это же не сложно!Veliant
31.05.2017 16:34Предположу, что сделано это с целью снижения нагрузки на сервера Y/GA т.к. шифрование требует ресурсов. И если клиент и так пользуется незащищенным каналом, то чего тратиться на защиту передачи обезличенной информации
Aingis
31.05.2017 16:39+1На самом деле это устаревший шаблон, по новым правилам везде должно быть https без исключений.
a553
31.05.2017 16:35Это просто стандартный шаблон. А если у вас протокол внезапно стал не-HTTPS, то вам уже ничего не поможет.
solariserj
31.05.2017 17:12А разве нет локальных инструментов для собрания статистики и внутреннего использования? Обязательно использовать общедоступные Гугл, Яндекс, и для кого эта статистика? для пользователей? Если да то зачем она пользователям?
corr256
31.05.2017 17:37Зачем что-то делать, если можно ничего не делать? Любой подкованный сотрудник службы безопасности сбера тебе скажет, что на работе надо не фигнёй страдать, а играть в танчики.
AlexGluck
31.05.2017 19:46-1Ну, как я считаю сделать https реверс прокси только к https яндекса\гугля для забора скрипта дело 5 минут. А в коде в любом случае в шаблоне лежит ссылочка на скрипт, поменять её на свой хост и только через https. Божечки-ёжечки, да любой админ-недоучка сделает это за 10 минут. Но лучше приготовить тазик лапши на хабре и пытаться нам её развешивать. Аплодирую стоя.
brzsmg
01.06.2017 10:12+1Новости подхватили статью Олега Кулабухова olegon-ru
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
Night_Snake
01.06.2017 11:02+4Уважаемый эксперт SCST, а скажите, в СБОЛ уже отключили вход по старым паролям? А то вот ведь какая штука — при регистрации СБОЛ мне был выдан «временный» логин/пароль для первого входа.
Каково же было моё удивление, когда я обнаружил, что эти самые «временные» «одноразовые» логин/пароль прекрасно работают до сих пор?
token
01.06.2017 11:07+2А мне вот этот кусок непонятен "… риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов", это вообще как? Как вы можете отслеживать вирусную активность на компьютерах клиентов?
PkXwmpgN
01.06.2017 11:10Очень показательный случай. Вот она цена того, когда вместо адекватной и вменяемой поддержки, человеку просто отписываются в FB
kogemrka
01.06.2017 11:57+9Что написал автор исходной статьи?
Автор оригинальной статьи написал, что ваш банк загружает сторонние скрипты, не находящиеся под вашим контролем на страницу банкинга пользователя.
Хорошо ли это для банка и правильно? Без дополнительных комментариев (которых нет, но об этом ниже) — вроде бы, не очень хорошо. Как минимум, это можно обсудить и это адекватный объект для критики.
Но это не то что бы трагедия или прямо уязвимость, которую можно взять и эксплуатировать. Уж тем более, вряд ли кто-то от этого пострадал.
Это неприятные мелочи. Мелочи, но неприятные.
Автор подал свою статью с довольно провокационным заголовком ну и очень однозначным видео. Он тоже не молодец. Но основной посыл «сайт грузит сторонние скрипты яндекса, гугла, рутаргета, и т.д., я считаю, что это не хорошо» — хорошо вычленяется и однозначно понятен.
Резюме:
1. Автор перегнул палку с драматизмом. Не молодец. Но с автора и взятки гладки — он никому ничего не должен.
2. Автор указал на (возможную) проблему и высказал желание получить комментарий. Судя по плюсам, сообщество тоже хотело бы что-то услышать.
Что не так в вашем ответе?
(речь идёт скорее даже не об этом посте, а о «развёрнутом комментарии» к оригиналу)
Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов.
Ок, указали на переливающуюся через край ненужную драматичность автора — указали верно, согласен.
При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам.
Может быть я неправильно понял это предложение, но выглядит как «А поди докажи, что кто-то через это какие-то личные данные сливал».
Если так — совершенно бесмысленная риторика. Сообщество хочет услышать комментарий про возможную уязвимость. Есть ли. Нет ли. А если нет, то какие меры приняты, чтобы её не было.
Был бы конкретный пример слива — был бы совсем другой разговор других масштабов и с уже настоящими репутационными потерями (и не только репутационными).
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов.
Многое является «де-факто стандартом». Это не значит, что это следует использовать в банке.
Дурацкий отвлечённый пример: В социальных сеточках, допустим, может быть приемлимо, чтобы отправленное сообщение пришло дважды. Для операций банка это неприемлемо.
Не все допущения, позволительные социальной сеточки или магазину касаются банка — это очевидно.
Аргументации же «почему и в банке так можно/стоит делать» здесь просто нет. Поэтому не стоило и писать об этой практике.
Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная.
Была речь про безопасность, стала про то, что порог вхождения низок и дешёвых разработчиков с такой компетенцией много.
В огороде бузина, а в Киеве дядька.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Не видел, чтобы какая-нибудь компания заявляла бы обратное, что-то в духе: «А этот сервис мы специально подняли, чтобы злоумышленик мог найти в нём дырку и похакать нас и наших пользователей».
С уязвимостями вообще всегда практически всегда так — намеренье создания сервиса — сделать клиенту/компании хорошо, а не открыть дырку злоумышленнику.
Бесмысленное предложение не несущее никакой информации.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли.
Дык допущение же не в том, что кто-то изменил код страницы, а в том, что кто-то изменит код скрипта на одном из n ваших партнёров, скрипты которых вы подтягиваете.
Безусловно, похакать Яндекс или гугл — задача неименоверно сложная. И внутри яндекса и гугла как правило с безопасностью всё хорошо.
Но вы банк. От вас ждут, что ваши требования к безопасности должны быть строже, чем у поисковика или счётчика.
Другое дело, если бы вы тут рассказали, что принимаете вот такие-то и вот такие-то меры, чтобы на их надёжность не завязываться. Но вы об этом не говорите.
Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу
По сути всё, что вы здесь говорите «У нас есть служба безопасности и она компетентна». Читателю это не говорит вообще ничего.
Человек указал на возможную уязвимость, вы ответили:
— Нет, уязвимости нет, мы компетентные.
Представьте, что человек указал на какой-то сомнительный факт в в математических выкладках. Да или даже в маркетинговом тексте. А презентующий ответили «Нет, это не так, я прав». Без какой-либо дополнительной аргументации или объяснения.
Такой ответ попросту не нужен. Он никому ничего не даёт.
именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234.
Какие-то меры вы предпринимаете, молодцы.
Впрочем, речь же не идёт о том, что вы не предпринимаете никаких мер. Так что зачем это здесь — опять же, непонятно.
Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем
Вот в этом месте вы вроде бы начинаете какую-то аргументацию (у нас есть волшебная машинка, которой мы делаем антифрод). Но тут же останавливаетесь.
Этот ответ не нужен. Он не сообщает ничего. В нём нет аргументации. Я сейчас разобрал на цитаты, наверное, чуть ли не каждый абзац — и абсолютно каждый цитируемый кусок можно вычеркнуть без потери смысла текста.
Такое чувство, будто единственное, что текст делает — пытается загипнотизировать читателя. «У нас есть безопасники, наши партнёры — очень надёжные ребята, такие как гугл, смотрите, вот отвлечённый пример, который показывает, что какую-то безопасность мы умеем, а вот в этом абзаце я показал, что я знаю, что такое SSL и XSS, я компетентен».
Но вы же пишете развёрнутый комментарий на техническом ресурсе, а не рекламный буклет для домохозяек.
Самое смешное в этой истории то, что вашему банку, наверное, таки есть что сказать.
У вас там вроде и занятные технологии есть. И адекватное объяснение, почему было принято решение использовать стороннюю аналитику, наверняка, найдётся.
Просто вы зачем-то решили считать читателей за идиотов и вылили кучу воды. Не удивительно, что читателям это не очень нравится — здесь это считается невежливым, лучше уж ничего не писать.vyrkmod
01.06.2017 13:26+1Я сейчас понял главную проблему современного маркетинга. Ведь статья — краткая, с акцентами, с «живыми примерами», всем же понравится! А ваш комментарий — длинный, нудный, буквоедский, ну ничего же не продашь с таким подходом. Вот только тут никто никому ничего не продаёт, по крайней мере читатели явно не покупать сюда пришли, а маркетинг продолжается.
AllexIn
01.06.2017 13:49+1Тот случай, когда не можешь дать карму, потому что уже максимум…
Кстати, а не хотите написать этот пост в виде статьи? Я уж и сам хотел написать, но ваш пост он развернутый и понятный, то что надо!
r00tGER
01.06.2017 14:22+1Сбербанк Онлайн использует… инструменты, отслеживающие вирусную активность на компьютерах клиентов.
Подскажите, пожалуйста, клиент уведомлен о том, что на его компьютере что-либо отслеживается?
YMA
01.06.2017 17:16Если будет время — всё-таки подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства (вот это меня и раздражает, логин простой, менять на 2849рафа9ф8зр4ф не хочу);
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
ukrazzz