На гике какой-то Эксперт вылез. Для сохранности, копирую его полет мысли и мой ответ
Цитата: С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, … либо я админ компьютера или домена.
Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка
Извините, анонимный Эксперт службы Кибербезопасности, но меня лично Вы совершенно зря задели… После того как Вы начали писать в комментариях ересь, можно было бы вообще проигнорировать это исчадие беллетристики, но многие читающие стали неправильно истолковывать мое молчание.
Буду последователен.
Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.
Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).
Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.
В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?
Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?
Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.
Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.
Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.
Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?
Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…