Адрес для входа в РФ: exler.wiki
Лучшие специалисты по информационной безопасности
(Где-то вдали играет задорная песня: "Потому что нельзя, потому что нельзя, потому что нельзя быть на свете кретином таким"...)
Рассказали одну прелестную историю - я, если честно, не поверил. Мне приходилось сталкиваться с самыми разнообразными случаями кретинизма разработчиков, но тут было что-то совершенно запредельное.
А история следующая. Есть такой "Газпромбанк". У него есть мобильное приложение "Телекард 2.0". Так вот, это приложение ТРЕБУЕТ от пользователя удалить с его смартфона программы TeamViewer и QuickSupport, в противном случае приложение работать не будет.
Я думал, что это шутка такая идиотская. Но решил проверить. Установил. И действительно - отказывается работать, если на смартфоне установлена какая-то из этих программ.
Когда пользователи - разумеется, вежливо и со всем уважением - поинтересовались у разработчиков, не идиоты ли они, те опубликовали невероятно прелестный ответ, причем почему-то в издании VC.ru.
Суть ответа очень проста: "Этими программами могут пользоваться мошенники для доступа к конфиденциальной информации пользователей, а так как мы заботимся о безопасности пользователей, то в обязательном порядке требуем удалить эти программы".
Честно слово, лучше бы вообще ничего не объясняли, чем выставлять себя такими кретинами. При этом они себя совершенно серьезно называют "одними из лучших специалистов по информационной безопасности на рынке".
В комментах там ожидаемо очень весело.
В общем, как говорится, выбирайте правильный банк. С одними из лучших специалистов.
Кстати, следующим их шагом должно быть требование блокирования всех входящих звонков на телефон. Ведь мошенники прежде чем получить доступ через TeamViewer сначала звонят и впаривают клиенту всякую шнягу.
TeamViewer они требуют удалить, а заблокировать входящие звонки не требуют? Ну и где логика, я вас спрашиваю?
Получается, использовать менеджер паролей в полной мере я не могу. Вернее, я могу сгенерировать и сохранить длинный пароль с всякими непечатными символами (что я и делаю почти для для всех своих учеток).
Но теперь, до тех пор, пока я не запомню мой до**я-значный пароль (не факт, что я его даже успею запомнить до того, как этот пароль будет пора менять), я его должен каким-то образом увидеть и набрать ручками. Само собой, что если мой пароль могу свом невооруженным взглядои увидеть я, то существует очень ненулевая вероятность, что этот пароль может увидеть кто-то еще.
У меня есть выбор, конечно - использовать пароль, который проще держать в памяти. Но это как раз не очень повышает безопасность моей учетной записи, а?
Спасибо, неизвестный войти-в-айтишник, ага.
У меня даже есть пару учеток, которые я не использовал уже лет 15, с такими паролями.
Это не решает основной проблемы ))
Спасибо за совет, Кэп.
А ведь можно было не делать так, чтобы мне приходилось искать решение уже, в принципе, решенной проблемы.
Это был просто крик души.
Я примерно представляю, как принималось подобное решение - некий особо подожженный чувак в отделе контроля качетва прочитал пару статей на ДОУ (или еще где) про clipboard sniffers, но не дочитал до абзаца про keyloggers.
Затем - докладная менеджеру проекта с копией с службу безопасности - и вперед - мы "заботимся о сохранности данных своих клентов". А поставщик услуг (разработчик) скорее всего даже не не пытался оспорить решение - ему либо доплатили за "закрытие уязвимости" либо просто не оштрафовали за "допущение уязвимости".
можно разбавить спецсимволами по вкусу и смыслу.
я как параноик, держу кнопочный на другом операторе (который не держит с зеленым ничего на своих башнях).
Вот же проблемы на ровном месте, my ass
А так - оплата телефоном крайне удобна. У меня уже давно кошелек как запасной вариант.
ps> а потом мы удивляемся, что все вокруг разворовали. Хотя чему удивляться то с таким подходом? Просто кто то может воровать только по мелочи, а кто-то дорвался до гос. кормушки. Суть одна, а разница только в масштабах.
Особенно после кризиса. Наличка решает в небольших магазинчиках, где поставщики радуются ей (возможно, доля серой зарплаты у них сильно выше) и продавцу гораздо проще рассчитываться с каблучком привезшим товар. А как ей радуются таксисты и кондукторы в транспорте 😄 Да и многие другие, даже в городах 1млн+ есть много ниш где она рулит....
Кнопочный телефон, что еще? бумажные платежки носить в банк... есть люди которые уже даже и не знают что такое было))
---
Мы не сомневаемся в компетентности многих IT-специалистов, которые являются клиентами нашего банка и используют TeamViewer по рабочей необходимости. Мы решили в таких случаях идти им навстречу, разрешая входить в «Телекард» на свой страх и риск.
Даже скрин делал, но сейчас вряд ли найду
А что некоторые приложения перегибают палку, это однозначно.
Да, наличие рута может приводить к уязвимостям. Также как и TeamViewer. Об этом имеет смысл предупреждать. Но дальше это как бы дело и ответственность пользователя.
Но как бы забывается вообще посыл темы, для защиты не квалифицированных пользователей. И превращается именно в борьбу с рутом. Как если бы на десктопе Windows программы начали отказываться работать, если у тебя есть административные права.
Очень далеко с этой темой на мой взгляд пошел Samsung Pay, который на рутовонном телефоне нельзя заставить работать от слова совсем. Но палки в колеса Samsung будет вставлять, даже если ты будешь настаивать оплату на часах Gear, вполне себе не рутованных.
Факт в том, что телефоны разные, андроиды разные, версии магиска разные. Как правило да, рут скрывает. Но исключения бывают.
Игра в кошки мышки, одни добавляют новые способы детектирования, другие обходят это.
Кстати, systemless magisk же не триггерит SafetyNet, возиться нужно только если Xposed модуль там поставить.
Я на свою голову открыла у них банк-клиент... Так вот их версия работала только на 7 и 8 версии, и это был как раз год бесплатного перехода на 10, так вот их техподдержка запретила мне устанавливать 10! Сам банк-клиент был самым по мнению моего бухгалтера неудобным и громоздким из всех с которыми ей пришлось работать!
А вот приложение Совкомбанка реально ругалось на наличие anydesk.
Рут-доступ лет семь уже не использую. Хотя, вполне понимаю возмущение того, кому он сильно нужен. К сожалению, выбор банков не безграничен. А приложение от Сбера меня вполне устраивает.
Если необходимость в анидеске вызвана желанием помогать пожилому человеку, то ему (ИМХО, я не настаиваю) не стоит ставить банковское приложение. Я не стал маме ставить сберонлайн, она сама его боится, зачем я буду настаивать? А вот анидеск я ей поставил.
Где-то можно скрыть, где-то нет.
Вы лучше уточняйте, на каких устройствах и каких версиях ОС это работает/не работает.
Я вот весь параноидальный корпоративно-банковский софт спихнул туда и радуюсь.
Вот на такую:
Хрен с ним, с Газпромбанком.
Там экран монохромный.
Для параноиков и для тех, у кого уже пёрли деньги через смартфон.
У него и батарея в режиме ожидания суток десять держит.
И фонарик маленький имеется, качество вина "по Роском..." определять.
Если хотят мобильный +380 67 000 00 00.
много где проходит.
Например, они записывают в анкету семейное положение, требуют телефон супруга. Если ты отказываешься его назвать - пишут, что холост/незамужем, потому что муж без телефона не сохраняется. А потом придалбываются, что анкета неправильная.
Кстати, а потом выяснилось, что после разблокировки карты в отделении банка в самом Приват24 (инетбанке) надо проходить регистрацию в системе по-новой.
А проблема была в том, что не назвал при звонке в колцентр правильный имейл, который указан в контактах.
Если банк отвечает за деньги то не считаю преступлением отказ от установки банковского софта на потенциально проблемное устройство. В случае кражи потом все кричащие "да я знаю что такое рут, принимаю риски", "тимвьюер безобидная софтина" потом будут трясти с банка украденные деньги, а как потом разобраться сам пользователь с клиент-банка вывел деньги или его удаленно вскрыли?
А вообще если риски кражи будут покрываться страховкой то объемы краж будут расти как на дрожжах. Даже в фильмах часто присутствует сцена как грабители перед ограблением банка выписывают себе моральную индульгенцию "эти пидарасы банкиры все равно застрахованы, а нам бабки ну очень нужны".
Страховые компании благотворительностью не занимаются, это огромный дорогой аппарат, который страхователи должны оплатить СВЕРХ суммы компенсированного ущерба.
Единственная разница, что APR по счету упал, да. Между 1999 и 2005 по депозитному сертификату давали 6% за 1 год, а сейчас 2% за 3. "Bот на эти" и покупайте страховку.
*есс-но речь не про газпромбанк, а про банки "Bообще". Так как вообще неясно, как деньги в каком-то xoзпромбанкe кто-то будет держать.
Страховщик поднимет статистику по объемам фрода в банковской системе за прошлый год, умножит ее на два, выставит счет за страховку на эту сумму, а банк переложит все эти затраты на, внезапно, тех самых клиентов в виде каких-нибудь комиссий, увеличения ставки по кредитам и снижения ставки по депозитам.
Не в курсе истории кто и как спасал газмясбанк в 2008, но наивно полагать что кто-то будет умышленно закладывать дырявую и убыточную бизнес-модель в настоящем времени. За все кто-то должен заплатить.
Но на самом деле речь скорее об ответственности сторон. В случае teams или slack у нас есть контракт с поставщиком услуги, по которому с него можно и спросить в случае чего.
В случае TeamViewer mobile ты просто ставишь приложения из стора. 😉
Я как-то 40 минут троллил, диктовал выдуманные номера своей карты.
Так победим!
Я, к сожалению, Стаута в оригинале читал очень мало, два старых перевода наводили на мысль, что что-то не совсем так, так что было бы интересно. Мой адрес - в моём профайле в известном вам месте.
PS А на e-reading её нет?
Да, важно! Заняться чтением именно этой книги меня побудило то, что её совсем недавно перевела известная ЖЖ-блогер mithrilian ((mithrilian.livejournal.com) и выложила в бесплатный общий доступ. Я читал её ЖЖ, когда она была в процессе, поднимала обсуждение трудных мест, выкладывала образчики официально изданного перевода в сравнении с оригиналом. Мама не горюй! Встречаются такие ляпы! Именно это и побудило её заняться переводом самостоятельно. Настоятельно рекомендовал бы вам, если захотите освежить в памяти, именно этот перевод и без проблем могу выслать, ведь у вас наверняка будут проблемы с Флибустой. Но сразу предупреждаю, он существует только в электронном виде, в FB2.
Баниоис сыграл прекрасно; я тоже был в изрядном скепсисе до просмотра, но вот именно вздорного избалованного толстого гения он воплотил на экране очень хорошо. Жигунов себя там снял, ибо продюсер, но сильно не испортил. Вот Фриц - совсем мимо.
А сейчас погуглил, в американской экранизации его сыграл не менее известный актёр Мори Чайкин. Тоже отличное попадание в образ. А Банионис... Ну какой может быть Банионис, не смешите меня.
Извините, но я совершенно не представляю Баниониса в этой роли. Каким бы прекрасным актёром он ни был (а он таки да), типаж совершенно не тот. А уж Жигунов в роли Арчи так и вообще.
Я не смотрел ни единой экранизации и когда читаю, перед глазами встаёт образ Дэвида Хаддлстона — умеет он в образ вздорных капризных толстяков с железным характером и острым взглядом. Увы, его уже нет с нами.
PS A propos - Банионис в роли был прекрасен.
Я вообще в банк просто заезжаю, благо от дома - одна миля. Платежи (коммуналка и пр.) - да, с обычного ноута. Но там другой банк, плачу с кредитки, если что, то проще опротестовать, a накопительный счёт в маленьком местном, типа как у О.Генри описывались, я там даже ID не показываю, они меня и так знают.
Возможно есть какой-то вариант обхода ограничения, но это не точно)
Кешбек, сервисы? - не, не слышали. Автоплатежи? - они не нужны. Поиск банкоматов? - нафик, сделаем наполовину, и так сойдет.
Из пяти мобильных банков, которыми пользуюсь, Телекард самое корявое и беспомощное. С малюсеньким ненастраиваемым шрифтом (отдельное спасибо).
И кстати, самое забавное, что TeamViewer он не пропускает, но рут позволяет.
ГПБ системно значимый и имеет 3е место в России по финансовому рейтингу.
У него бывают неплохие предложения по ставкам и счетам.
Вот это вот все важнее, это имеет значение, а что там программеры напортачили и перебдели - косяк, да, но это гораздо лучше, чем недобдеть. Тем более в такой мелочи.
Ответ меня прямо таки потряс: "а мы не можем сказать".
А вообще, в банках, как ни странно, творится лютый пипец и с ИТ, и с безопасностью. Дикая несогласованность и неэфффективность действий, даже удивительно. Пока они всухую проигрывают финтеху.
- Я теперь главный!"
[...явление Дерьмодемона]
- Теперь мы главные в банде."
- Я теперь главный!"