dober: (stalker)
Меня тут директора-клиенты спрашивают иногда: почему мы не работаем с ПриватБанком? Ведь дешево и быстро (если не тупит)? Т.к. твиттер они не используют, все никак не мог проиллюстрировать суЧЪность этой богомерзкой шарашкиной конторы. Но вот информация подтвердилась и т.к. это затронуло еще и соседа по бизнесу - думаю, будет удачная иллюстрация.



Краткое изложение событий со стороны Алексея:

Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


Реакция пресс-службы Привата:

«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

Банк ведет расследование попытки взлома своей системы безопасности программистом Алексеем Моховым. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.



Отдельно радует уверенность пресс-службы в том, что решение о возбуждении дела принимает именно руководство ПриватБанка, а не какой-нибудь там следователь.
dober: (SLOT)
Вторые сутки пылали станицы...

Для начала - у меня спрашивают, почему последняя пятница июля - это праздник №2.
Объясняю. Это - международный день админа. А перед ним - идет наш, национальный - 127-й день года, в 0 часов, 0 минут, 0 секунд (все должны быть в масках 255.255.255.0 ;) ), что повелось еще с Fido. Так что наши админы хитрые, ага. Два праздника себе отхватили.



А вот Киевстаровским админам праздновать противопоказано. По крайней мере, пока не выровняют себе руки, не выбросят свой Алкатель с дебильным arp-кешом, из-за которого в мой VLAN прилетают чужие ответы. И пока не научат свой DHCP внятно писать отказ от попытки занять старый IP.

Зато я уже умею звонить старшему смены и высылать логи инженерам. Интересно, а умеют они их читать?
dober: (SLOT)
Округлорукие гении из Киевстара поменяли gateway, но сообщить об этом забыли, зачем же, ведь есть DHCP! Но у них очень покладистый DHCP - при запросе старого IP-адреса он соглашался и за одно соглашался на старый default gw! Т.е. или - меняй айпи, или, если ты такой ретроград - фиг тебе, а не интернет.  (А ай-пи я никак менять не хочу, на моем шнурке у роутера пометка - "в другой порт не втыкать". )

Выяснилось это после 2-х часов нервотрепки, с контрольным втыканием в винду (которая о старом айпи ничего не знает) и разбором DHCP сессии tcpdump-ом.

Причем в саппорте L2 мне сказали, что так быть не может, а значит - все работает. И да, ничего не менялось. (Справедливости ради, замечу, что девушка  из level 2 с приятным голосом и не боится слова Linux, но вот о tcpdump уже не слышала.)
В саппорте level 1 мне вообще выдали, что Киевстар предоставляет услугу для доступа к вебсайтам, а не для пинга.
dober: (SLOT)
Итак, неделя мучений и выяснилось - с точки зрения M$ - то что я заплатил денег за софт, это не значит, что я им могу пользоваться. Точнее, могу, но не им, а другим таким же. А этим - ни-ни. Хотя платил я именно за этот - собственно, он меня сам об этом очень слезно просил.
1win8

Поставил я как-то летом себе на ноут Win8 Release Preview, и так мне эта операционка понравилась, что о том, что бы возвращаться на 7-ку как-то даже вопрос не стоял. 8-ка спокойно обновлялась, посему к моменту выхода Final - они ничем не отличались. Кроме того, что моя считала себя все-таки временной.

И вот долгожданный январь. 16-кого истекает срок использования демонстрационной версии, о чем она сообщает раз в 15 минут, все более навязчиво и грозится перезагружаться раз в час. (это вообще отдельный вопрос - скачанный, но неактивированный релиз гораздо более гуманный и никаких перезагрузок. Это как - типо мол раз вы не платите, то что с вас взять, а если качали превью - значит потенциальные клиенты и можно издеваться?!?!). А перезагрузки для 8-ки - это вообще непривычная вещь - она у меня месяцами этого не делает.

Ладно. Куплен корпоративный пакет, в том числе на мой экземпляр. Специально получено подтверждение - у меня версия полностью соответствует Windows 8 Pro. Надо бы активировать...
Я не имею права активировать свою версию другим ключом!!!! Какую бы мега-лицензию я не имел - не могу.
Я сначала должен скачать финал релиз и залить его поверх, а потом уже прописывать свой ключ и активировать. Чем они отличаются? Да ничем, просто у меня токен с активацией не предусматривает замены ключа.

Ладно, ладно, давайте зальем поверх. Хотя все равно козлы, но нервы дороже. И тут, внимание - поверх (с сохранением настроек и программ) финал релиз не апгрейдит релиз превью - ведь они одинаковые!!!!!
Ладно, мы не сдаемся. Задалбываем саппорт, ру-боард и хабр. Все таки вариант есть - нужно обмануть скачанный релиз, поправить его - он подумает, что апгрейдит младшую версию и все сохранит.
И тут облом финальный - тип лицензии не совпадает при апгрейде. Потому, что установленный у меня превью имеет тип Reteil. (коробочная версия) А при апгрейде я ввожу ключ Volume (корпоративная). Так, блядь, нет у меня другого ключа и не должно быть!!!!! Т.е. я, имея корпоративную лицензию, должен:
1. заплатить за коробочную версию
2. исправить в текстовом редактором пару строчек в дистербьютиве (это вообще средний пользователь умеет???? Мелкомягкие, вы с Луны свалились?) Который, кстати, еще где-то взять нужно, что опять же - явно не для среднего пользователя!
3. Поставить поверх.
4. Штатной утилитой заменить ключ на корпоративный
5. Наконец-то активировать корпоративную версию.

Твою мать. А если я с торрента скачаю на шару обычный релиз и забуду его активировать - то мне всего лишь будут всеми способами напоминать про необходимость заплатить деньги!!!!!!

Ладно, у меня еще есть 4 дня, попробуем обойти....




UPD: Все проблемы решил, даже возникшие после обновления. Надо будет чиркануть кратко способ...
dober: (Default)
Я являюсь адептом Linux и ярым поклонником Android.... но все же, нельзя так, нельзя... Поэтому, читаем шпаргалку, вспоминаем последние споры, улыбаемся (обязательно!) и делаем выводы.

Часто люди тратят время, пытаясь что-то доказать сектантам от СПО, а тем временем наука уже давно установила, что поведение данных существ является не высшей нервной деятельностью, а модификацией первой сигнальной системы, только с багами, закладками и лицензией GPL. Данная шпаргалка поможет значительно сэкономить время, т.к. Вы заранее будете знать ответы данного вида простейших.

Предисловие
Словом “нинужно” обозначается хитрое состояние фанатика СПО, которое можно описать так – “мне нечего ответить, поэтому я ничего не буду говорить, просто это настолько очевидно, что я вообще ничего сказать по делу не могу, поэтому это не нужно и всё тут”.


Зубрить шпаргалку дальше... )


dober: (SLOT)
Все, с 3-ей попытки проголосовали - Украина опять будет переходить на летнее время. И, соответственно, часовой пояс опять будет UTC+2, а не 3. А с МСК у нас через 10 дней будет разница в 2 часа. Ну, в принципе нормально. Только вот какого хрена я обновлял tzdata? Ну вот что теперь, откатываться или ждать очередного обновления, учитывающего ебанутость депутатов в Украине?

P.S. Задрали термином "зимнее время". Время бывает поясное и летнее. Ну еще "декретное" - т.е. с фиксированным сдвигом от поясного. Но зимнего - нету.
dober: (пеленгация)

Жаль, не хватило камеры в мобилке. Все таки плохое освещение, через стекло...



Это "Разрешение на торговлю" в одной из точек с шаурмой на Печерске. А обведенное синим - ничто иное, как QR-код А что, удобно наверное. Налоговик идет, распознал, сверил. Если все ОК - то никого не беспокоит, идет дальше... Правда так, как он расположен, я даже сфотографировать нормально не смог, не то что попытаться распознать... Интересно, он генерирует ссылку на специальную базу, или просто текстовые данные?

dober: (firewall)
Позвольте порекомендовать статью.
Тех, кто знает что DLP расшифровывается, как Data Leak Prevention, но не знает чем она отличается от Data Theft Prevention.
dober: (firewall)
Вот наберите в Гугле "можно ли" и посмотрите на предложенные подсказки. Неужели мы такие тупые?
Судя по экспериментам тут и тут , таки да. И круг вопросов у нас достаточно узкий.



dober: (coffe)
Не пропустите, Юниксоиды!
в субботу, 14.02.2009, в 01:31:30 по GMT, будет интересная дата - 1234567890 секунд с начала Unix (POSIX Epoch).
dober: (firewall)
О вирусном симбиозе я уже писал. И вот опять этот мрачный Sality, но с новым проводником. А кто у наших вирусов сейчас молодое дарование? Ну конечно же Kido. Ну конечно же, Салити мы уже знаем и не боимся :) А чего его боятся, антивирусы его знают, а если вдруг зазеваются со своей отложенной проверкой - он (салити) их (антивирусы) тихо-спокойно удалит, но это тоже не беда - у нас ведь есть 100%-ый бэкап всех исполняемых файлов :) (А у кого нет, тот пусть поймет меня с перспективой перелевания 120Гб раздела с софтом на несколько тачек).

Но салити - это салити, а вот от Кидо стоит защитится. Что такое Kido, почему он с такой скоростю распростроняется, и как от него защитится просто и понятно написанно у  камрада  [livejournal.com profile] bishop3000 , за что выразим ему нашу благодарность.

dober: (bio)
    The version you are using is not supported by ICQ.
  Download a free authorized ICQ version from ICQ's official website.


Т.е. опять пол дня ждать, пока QIP новый релиз выпустит :(
Те, кто еще не вылетел - не перегружайтесь. И еще, очень может быть, что "обычный" QIP так и не переделают, вроде предупреждали, что 8080 последний релиз, и надо на Infium переходить. Мне-то как-то, я и так под ним, а вот знаю кучу людей, которые считают 9020 непомерно сложным и тяжелым.

UPD: "Починилось" само, через пол часа. Но как-то это не нравится очень :( И форум у Квипа лежит, все явно ломанулись проверять новую версию


dober: (terror)
Камрады, кому-нибудь из вас что-то говорит фраза "_podmena traffica test_"?
Если у кого-то были эти проявления - опишите подробности, плз.

July 2014

S M T W T F S
  12 345
6789101112
13141516171819
20212223242526
2728293031  

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 22 September 2017 04:34
Powered by Dreamwidth Studios