Чудовищная дыра в системе безопасности Сбербанка.

[moralg]

      Как известно, Сбербанк превращается в экосистему Сбер. И потому теряет суффикс банк. Что привело его к идее выверки персональных данных своих клиентов. Вчера такую процедуру прошли и мы с женой. И в ходе ее выяснилось, что персональные данные в базе данных клиентов Сбербанка может изменять бухгалтер любой организации. Без какого либо умысла и

Comments

[pavel_ladikov]

Есть еще одна серьезнейшая проблема.

То что описываю - я вижу в работе Росреестра. По Сберу не знаю, но подозреваю, что технологии те же. Весь сетевой интернет-трафик в системах обмена служебной информацией (в том числе и персональными данными) базируется на XML формате.

Это универсальный текстовый одномерный формат передачи данных, причем весьма неэффективный по соотношению "информация/трафик". Вся избыточная информация, которая передается в трафике, служит не безопасности или сохранности данных - а описанию формата данных.

Зачем описывать формат данных получателю данных, если все форматы заранее согласованы на этапе написания программного обеспечения как отправителя так и получателя? Отвечаю. Для того, чтобы потенциальные воры тоже могли эти данные использовать. В автоматизированном режиме.

Легко ли украсть интернет-трафик? Так ведь данные даже не шифруются! Более того, в любом XML-файле содержится вызов типа "www.w3.org/...", то есть при чтении данных производится обращение к американскому серверу! Эта система узаконенного сбора

[submaren]

На oryx добавилось две сотни единиц потерь техники за неделю.

Вагнеровские зеки наступают в основном пешком, но они судя по всему уже в значительной мере израсходованы, так что вперед пошли ВС РФ, как положено верхом на технике, соответствующие результаты сразу появились на табло.)))))

Dmitry Chernyshev:

У моего друга есть теория, согласно которой на определенные профессии принимают только самых отборных судаков. Например, кандидат на водителя муниципального автобуса на приемном экзамене должен дать девушке добежать до дверей и захлопнуть их перед самым ее носом. Или дождаться момента, когда бабушка поднимется с сиденья, но еще не успеет взяться за поручень, чтобы в этот момент резко нажать на тормоза. Экзаменаторы видят это и одобрительно говорят кандидату: "Ты доказал свой профессионализм, водила. Принят в отборные судаки".

Мне кажется, что у российских генералов похожий принцип отбора. Генштаб внимательно следит за действиями какого-нибудь полковника: так наступает танковой колонной без разведки по минному полю? Очень хорошо!

[pavel_ladikov]

ты в слове "анналы" зря поставила две буквы, цыпса. Иди подмойся.

[elenask2015]

[pavel_ladikov]

Вы очень наивны. Система сама отправит файл в другой адрес. Ничего страшного.

[elenask2015]

[pavel_ladikov]

Вы о чем речь ведете? Я получаю документы из Росреестра и я отправляю документы в Росреестр. Какие в красну армию "ключи шифрования"? Есть прикрепленная усиленная цифровая подпись - вот она шифруется. Но не данные, которые ей подписаны.

[black_eric]

Https

[pavel_ladikov]

конечно, надейтесь 8))) Примерно как на долларовые активы. Вас не смущает, что системный софт, обеспечивающий шифрование/дешифрование - написан за кордоном? Вас не смущает, что вся российская сеть построена на оборудовании, разработанном за кордоном? И наконец, Вас не смущает, что при обращении к серверам, контролирующим форматы XML, осуществляется адресная пересылка данных уже по их запросам? Какой смысел в шифровании данных, если они просто отправляются налево?

[black_eric]

CryptoPro разработан в России. При разборе xml обращение никуда не идёт. Можете отключить сеть на компе и запустить любой парсер, если вы конечно разработчик

[pavel_ladikov]

крипто про сидит на операционке, разработанной ГДЕ? Извини, не смешно.

ФСБ несколько лет занималось сертификацией винды ХР, получило исходники, наконец сертифицировало. И что? Очередной апдейт от мелкософта - и вся сертификация пошла лесом!

Что касается разбора xml - это зависит от писателя этого разбора. Кто это писал и как это писал - ни я, ни Вы не знаете. Особенно с учетом, что инструментарий тоже оттуда.

[elenask2015]

[pavel_ladikov]

Объясняю, причем тут XML.

Я изначально исхожу из того, что интернет является пространством, абсолютно доступным для воровства информации западными спецслужбами. Извини, но при всем нежелании западных программеров и разработчиков они всегда будут исполнять хотелки ЦРУ. Иначе они не выживут.

Но просто получить поток чужих данных - это не всё. Без автоматизированной обработки эти данные не несут пользы, просто не хватит сил и времени их анализировать и сортировать.

Так вот - формат XML обеспечивает полную автоматизацию обработки краденных данных.

[burhanhabibulin]

Любой структурированный формат обеспечивает полную автоматизацию обработки краденных данных. Бизнес не будет разрабатывать свой велосипед, под ХМЛ написаны фрейморки и тонны кода. Продакшн ждать не будет.

[ext_6011227]

У человека "www.w3..." прям вызывается (и, видимо, сливает все данные) прямо из тэга-комментария. О чём тут ещё говорить?!

[pavel_ladikov]

мальчик, если ты не научился читать - могу тебе посочувствовать.