Как стать автором
Обновить

Комментарии 14

Я как-то работал на них год. Не очень удивлен.

могла быть ошибка, допущенная при тестах

Это вообще как? При каких тестах JS-файлы и ресурсы меняют на ссылки со сторонних хостов?

-Что за фигню вы сделали. Откатывайтесь на прошлую версию!!!
-Эммм… Мы не храним историю…
-Ищите где хотите, но через час чтоб откатились!

В Barclays же заявили: «Мы очень серьезно относимся к защите данных клиентов, и это является главным приоритетом."

Ужасно видеть наличие таких ответов. Ведь это говорит о том, что, видимо, для достаточно большая группа людей действительно верит в такие утверждения (не проверять же факты, не делать ведь независимый аудит, меняя периодически проверяющего).

Абсолютно не оправдываю. Но, вполне возможно, что сайт и личный кабинет — два абсолютно разных проекта, которые ведут две разные команды, с соответствующими уровнями тестирования и аудита безопасности. Не стоит быть настолько категоричным.
Но, вполне возможно, что сайт и личный кабинет — два абсолютно разных проекта, которые ведут две разные команды, с соответствующими уровнями тестирования и аудита безопасности.

Это просто ужасно и позорно. Главный сайт компании ведет команда с низким уровнем тестирования/аудита, так что JS подгружается со стороннего сайта. Ну то есть подобная практика сразу говорит об очень низкой квалификации IT отделов в принципе, так как скопрометированная главная страница приводит к компрометации всех ссылок с неё. То есть когда пользователь нажимает на кнопку "перейти в банк-клиент", он может перейти на фишинговую страницу, которую подсунул этот скрипт.


Говоря другими словами, если главную страницу ведут люди с такой низкой квалификацией, то уже неважно, как там защищена страница с аккаунтами.


В этом и проблема, что вместо фактов и технического анализа, для читателей газет/журналов достаточно просто ответа в стиле "мы очень заботимся о вас".

Я вполне понимаю риски связанные с данной ситуацией.
В этом и проблема, что вместо фактов и технического анализа, для читателей газет/журналов достаточно просто ответа в стиле «мы очень заботимся о вас».
Большие коммерческие, а тем более финансовые организации, не особо склонны выкладывать подобную информацию. Такое бывает очень редко, и далеко не всегда закрытость означает то, что компания не уделяет должного внимания безопасности. Это не техническая конференция. Скорее всего в Barclays за все заявления отвечает PR-отдел, и в ИТ департаменте никто особо не будет с ними воевать и пытаться подготовить более развернутый ответ, если PR сами его не запросят.
не особо склонны выкладывать подобную информацию

Вот всю проблему я вижу в том, что общество это проглатывает. "Молчи, дурак, за умного сойдешь". Вы правильно описали причины подобной логики, компания действует абсолютно рационально. И сейчас рациональное поведение включает в себя глупые фразы вида "ваш звонок очень важен для нас" и так далее, что демонстрирует низкий уровень наиболее вероятных читателей современных газет.


На хабре, например, подобное прокатывает редко. Если создатели мессенжера говорят, что их продукт "безопасен", то довольно быстро появляются доводы, что пока не было независимого аудита кода + подтверждения, что программа именно из этого кода и скомпилирована, нет смысла даже начинать говорить о безопасности. Это код в мешке, не более чем.


Еще раз: я не говорю, что Barclays банк поступил неправильно, сказав подобное. Проблема в обществе, так как подобные непроверенные заявления PR службы воспринимаются за честную монету.

Как я понимял, вы ратуете за то, что подобные заявления были подкреплены аудитом или хотя бы техническим анализом. Но, как я упоминал выше, финансовые организации редко (читай «практически никогда») не выкладывают такую информацию. Даже выступления на технических конференциях можно пересчитать по пальцам. А уж тем более, когда разговор заходит о банке из топ20 в мире.
Я, к примеру, не могу категорически заявлять, что критические системы у них не проходят сторонний аудит периодически. Я скорее склонен считать правдой обратное. И скорее всего там очень жесткое NDA для аудитора.
За последние годы едиственное, что я читал из историй факапов, была статья, кажется на wired, о том как Maersk восстанавливал систему после Пети или НеПети, но даже эта статья (глава из книги) не была написана непосредственным участником событий.

UPD. Статья далеко не техническая, но показывает причины подобных ситуаций. www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world
Как я понимял, вы ратуете за то, что подобные заявления были подкреплены аудитом или хотя бы техническим анализом.

Я ратую за то, чтобы аудитория критиковала PR службы, которые или отмалчиваются, или бросают подобного рода неподкрепленные доказательствами фразами.


Я считаю, правда, что это скорее утопия, однако было бы классно, чтобы за подобный ответ журналисты парировали бы "Банк не смог дать внятных комментариев, а потому оставил бессмысленную и бездоказательную лишь фразу; видимо, в компании кризис управления и дефицит хоть сколько-нибудь квалифицированных сотрудников". То есть банк-то отвечает правильно, потому что обществу достаточно подобных обещаний.


Можно помечтать, что в будущем организациям будет выгодно обнародовать честную информацию о своих ошибках (регуляция? не знаю, как это правильно делать). Однако в нашем настоящем компаниям можно (и даже правильно!) замалчивать/забалтывать любые проблемы...

Следуя вашим словам, при закрытии каждой CVE на проприетарных продуктах, мы должны ждать технического отчета и список принятых мер от разработчиков.

Кстати, как ни странно, некоторые так и делают — см. внизу списка.


Если же говорить про крупные банки, то регулятор обязывает все инциденты (у этого понятия есть хитрое определение) логгировать, далее в каждом есть пункты "root cause", "lessons learnt" и куча подобных. Не получится незаметно закрыть инцидент, или же постоянно ошибаться в одном и том же месте — это сразу будет видно.


Так что, на самом деле, внутри всё так и происходит. Просто не выносят сор из избы, а потому пиар отдел может отмазывать компанию.

Используя атрибуты «integrity» и «crossorigin» вполне можно «обезопасить» выполнение стороннего скрипта, если его проверять и «фиксировать».
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории