Ломаем банк в стиле smash the stack!
Не только XSS…
Последнее время многие обращают внимание на уязвимости ПО, используемого в банковском секторе: в частности, недавно прошумела новость об уязвимостях класса XSS на веб-сайтах различных банков. Общественность негодует, и СМИ шумят. Но ведь банки богаты не только веб-составляющей. Начиная с конца 2000-х я собирал уязвимости в модулях ActiveX, которые банки гордо раздают своим пользователям, а именно клиентам системы дистанционного банковского обслуживания (ДБО). Раз в год я брал одну или две системы и ковырял их. Начиная просто так, любопытства ради (начал это дело, еще будучи сотрудником банка) и продолжая уже из исследовательского интереса. В итоге за 3–4 года я выявил уязвимости в системах от таких производителей, как BSS, Inist, R-Style, ЦФТ. Под катом находится информация об одной такой уязвимости. Большая часть описания уделена созданию простенького эксплойта для выполнения произвольного кода на стороне клиента (Windows7, IE +DEP/ASLR). Возможно, это будет полезно тем, кто хотел бы понять принципы эксплуатации старых ‘strcpy’ багов и создания ROP-эксплойтов.
CIO — career is over
Написать эту статью меня побудил мой опыт ИТ-директорствования на протяжении практически девяти лет (2010 - 2019). Я сам корнями отчасти из разработки, отчасти из системных аналитиков, но достаточно быстро понял что просто своими руками сделать могу мало, а с товарищами — практически всё, а если ещё помочь пользователям сформулировать то, что они хотят с учётом того, что могут наши ИТ-системы — то тут мы вообще горы свернём: «Без друзей меня — чуть-чуть, А с друзьями много!» Всё это упало на благодатную почву стартапа небольшого банка в 1999 году и так я и стал ИТ-менеджером.
Собственно цель данной статьи — оглянуться назад, обобщить мой скромный субъективный опыт, сделать выводы и, не много — не мало, помочь коллегам не совершать мои ошибки в своей карьере. При этом я нисколько не жалею, что свернул на путь CIO в 2010 году, больше вопрос — что делать во время того, как CIO твоего профиля (средний частный коммерческий банк) не особо нужны.
Референтная модель BIAN. Что нового и полезного для корпоративной архитектуры банка она предлагает?
BIAN… как мало в этом звуке для сердца русского… Да, я не случайно перефразировала всем известного классика. В России популярность референтной модели BIAN все еще низкая, особенно в сравнении с моделью Enhanced Telecom Operations Map (eTOM), распространенной в опережающей по своему развитию телекоммуникационной отрасли. А между тем, модель BIAN развивается, совершенствуется и набирает популярность за пределами России и в международном сообществе банковской индустрии.
Не стану более отвлекать читателя на лирические отступления, скажу только, что обзор модели BIAN и сопроводительных документов стандарта есть в первой моей статье о BIAN, здесь же постараюсь рассказать, чем BIAN может быть полезен бизнес-менеджерам, бизнес-архитекторам, корпоративным архитекторам, архитекторам решений, ИТ-специалистам и всем другим лицам, интересующимся управлением всей архитектуры финансового предприятия. А также о его ключевых полезных трансформациях, на мой взгляд.
Год в Scrum: наблюдения скрам-мастера
Сегодня я поделюсь наблюдениями скрам-мастера о первом годе жизни команды в новом фреймворке.
Impact анализ на примере инфраструктуры корпоративного хранилища данных
Работая с DWH все наверняка задавались хоть раз вопросами:
- «Что будет, если поменять поле в таблице?»
- «На каких ETL процессах это скажется?»
- «Какие отчеты будут затронуты?»
- «Какие бизнес процессы могут пострадать?»
Ответить на этот вопрос как правило непросто, т.к. нужно просмотреть дюжину ETL процессов, потом залезть в BI инструмент, найти нужные отчеты, что-то держать в голове, помнить о том, что что-то там строится ручным кодом и всё это выливается в большую головную боль.
Даже самое порой безобидное изменение может сказаться, например, на отчете, который каждое утро приходит на почту к председателю правления банка. Немного утрирую, конечно:)
Далее в статье я расскажу, как и с помощью чего можно уменьшить головную боль и быстро проводить impact-анализ в инфраструктуре DWH.
Payment Village at PHDays 11: ATM hacking
The Positive Hack Days 11 forum, which took place May 18–19, 2022, was truly epic. The bitterly fought ATM hacking contest featured no fewer than 49 participants. How cool is that? The winner of this year's prize fund of 50,000 rubles, with the handle Igor, was the first to hack the virtual machines. And he wasn't even at the event! :)
Besides Igor, eight other participants picked up prizes this year for their VM-hacking skills. They were: drd0c, vient, vrazov, durcm, zxcvcxzas7, asg_krd, hundred303, and drink_more_water_dude. A big thank-you to everyone who took part, and for those who weren't at PHDays, here are the links to the virtual machines.
Микро автоматизация банка [обмен данными между банком и ИФНС в исполнение 440-п ЦБ РФ]
С этой задачей я столкнулся абсолютно случайно. Мне ее подкинул старый знакомый, сотрудник ИТ не очень крупного универсального Банка, уверенно входящего в ТОП 100, но находящийся ближе к концу данного списка. Задача относится именно к Розничному сегменту бизнеса. В Банке есть команда своих программистов, но они расписаны на несколько месяцев вперед на исполнение более крупных и приоритетных (с точки зрения «бизнеса» задач. А сама задача организации обмена согласно 440-п ЦБ РФ, упала на моего знакомого неформально, когда пользователи пожаловались на свою тяжелую внутрибанковскую жизнь и он по доброте душевной решил им помочь.
Этот пост Вам интересен, если:
• Вы сотрудник Банка;
• Вы работаете в ИТ подразделения Банка;
• Задача, о которой пойдет речь, еще не автоматизирована;
• Банк обслуживает физических лиц;
• В Банке используется ПО АБС «Диасофт»;
• В Банке используется ПО КОМИТА;
• Банк ежедневно взаимодействует с ИФНС согласно 440-п ЦБ РФ.
PIN-коды банковских карт. Как современные технологии вытесняют бумажную почту
«Референтная модель BIAN» для банковской индустрии или как перестать изобретать велосипед
Так как я заметил, что ты, Цезарь, уже много построил и продолжаешь строительство, я разработал определенные правила, чтобы ты сам смог оценить качество как уже существующих, так и будущих зданий.
Витрувий, архитектор времен Римской империи