Category: финансы

manandmoon

Китайская грамота

Китайцы, как известно, пользуются не стандартными арабскими (вернее индийскими) цифрами, а своими, китайскими. Выглядят китайские цифры так:

1 = 一,2= 二,3 = 三,4 = 四,5 = 五,6 = 六,7 = 七,8 = 八,9 = 九,10 = 十,100 = 百,1000 = 千,10000 = 萬, 2013 = 二 千十三 или 二〇一三

Просто и понятно. Возникает, впрочем, одна проблема: открывается широкое поле для приписок. Одним росчерком кисти 一 (1) превращается в 十 (10) , 二 (2) в 三 (3), а если подойти креативнее, то можно и 三 十 (30) переделать в 五千(5000).

Поскольку китайцы бухгалтерией занимались тоже с испокон веку, то с этой уязвимостью они тоже столкнулись давным давно. Поэтому в финансовых, коммерческих и прочих важных документах - примерно в тех же случаях, когда мы пишем сумму прописью - они используют особые символы, с защитой от подделки. Эти иероглифы так и называются "банковские числительные" или "числительные с финансовым анти-фродом". Читаются они ровно также, как и обычные, но содержат много уникальных штрихов, которых нет в других числительных. Вот они (в традиционном написании):

零= 0, 1 = 壹, 2 = 貳, 3 = 參, 4 = 肆, 5 = 伍, 6 = 陸, 7 = 柒, 8 = 捌, 9 = 玖, 10 = 拾, 100 = 佰, 1000 = 仟, 10000 = 萬

Как видите, сильно тут не развернешься. Насколько мне известно, это единственный язык со встроенными степенями защиты.

Статья в википедии

posted on dreamwidth [comment count unavailable comments]
manandmoon

Принцип Керкгоффса и другие

Есть в инфобезопасности знаменитое правило, впервые предложенное еще в 19ом веке голландским криптографом Огюстом Керкгоффсом : "защищенность системы не должна опираться на ее закрытость" То есть, защита не должна предполагать секретности алгоритмов или архитектуры, вся необходимая секретность должна быть сконцентрирована на малом пятачке: в пароле или ключе. Клода Шеннон сформулировал особенно четко: "враг знает систему"

Принцип безусловно полезный и нужный. Если имеется возможность обойтись без обязвтельной закрытости, то лучше строить систему без нее. Чем меньше секретов, тем проще за ними уследить и из защищать. Сменить ключ гораздо проще, чем переписать утекший код. Даже общие принципы программирования диктуют, что чем меньше модуль завязан на внешние обстоятельства, тем лучше. Сплошные плюсы, но речь сейчас пойдет не о преимуществах принципа, а об исключениях из него. 

Если приглядеься, то мы обнаружем что мир кишит системами, которые наругшают принцип Керкгоффса самым вопиющим образом. и неплохо себя чувствуют: алгоритмы ранжирования поисковиков, трояны, напичканные ассемблерными наворотами, DRM, Скайп итп. Все так или иначе опираются на то, что потенциальный противник, будь то сеошники или внтивирусы не знает деталей именно что алгоритма. Во многом эта вынуждкннвя мера: либо секретный ингредиент никак не сосредоточишь в изящном 512-битном формате, как в случае поисковиков, либо его просто невозможно полностью утаить, ибо нет в системе места, куда враг не мог бы при желании добраться. Вопрос, тем не менее, остается: как им так удается?

Здесь следует вспомнить, что и Керкгоффс и Шеннон работали на военщину, имеющую практически неограниченные ресурсы с одной стороны, и самые строгие требования к защите, с другой. В таких экстремальных условиях лучше сразу предполагать худшее: везде шпионы, все чертежи украдены, на разведку противника работают лучшие умы государства (хорошо, если его государства, а не твоего). Но мы-то не военные, и цели у нас поскромнее и враги попроще.

Наш враг - не государственный монстр, а вполне тварь дрожащая: хакер, сеошник, антивирус. Победа лююой ценой ему не нужна, у него ограниченные интересы - деньги, продажи, популярность среди сверстников, лулзы - и ограниченные ресурсы. Это уже не безопасность, а синтез безопасности и экономики, где действуют свои принципы:

Во-первых, имеем принцип медведя: важно бежать не быстрее медведя, а быстрее любимого конкурента.

Во-вторых, имеем принцип палева тем: чем тема выгоднее, тем меньше ее палят. Во вражьем стане конкурентов тоже не любят.

Поясню на примере. Пусть у нас есть сайт с набором сервисов: магазин, партнерская программа, форум поддержки, отзывы пользоветелей, и пусть у нас есть новый алгоритм определения злохакеров по небритой роже в вебкамере. Как и где нам этот алгоритм выкатывать?

Согласно принципу медведя, систему стоит максимально запутать. Чем сложнее понять, как она работает, там больше желание не тратить время, а уйти на сайт конкуретов, у которых системы нет. Громадное количество небритых школьников сразу отсеется. Это хорошо.

С другой стороны, по принципу палева тем, защиту следует устанавливать не везде сразу, а начиная с самых денежных сервисов: с магазина и партнерской программы в нашем случае. Почему? Потому, что если кто-то все таки разберется в нашей методике и догадается, как обойти ее при помощи простой бритвы и мыла, то не станет делиться с другими. Вместо этого он будет тихо сидеть и доить выгодную тему, а другие потерпят. Общая злохакерская активность на сайте упадет, что опять хорошо. Чем прибыльнее тема и запутанней код, тем дольше будет спад. А там, глядишь, и новую защиту придумаем.

Если тема в конце концов просочится в паблик, то можно выкатывать ее и остальных направлениях: на форуме, сервисе отзывов итп. Плохая защита лучше никакой (опять принцип медведя), некоторый процент злодеев она все-таки будет ловить за бороды. 


Иллюстрация 1. Злохакер.

Вообще, стык безопасности и экономики - почти непаханное поле, изучать и изучать. Но не все сразу.

posted on dreamwidth [comment count unavailable comments]
manandmoon

(no subject)

Фирма Symantec сообщает о первом трояне, получившем кодовое название Infostealer.Coinbit, ворующем кошельки от BitCoin.  Зловред просто берет файл wallet.dat и отправляет по почте (через открытый smtp сервер в Польше). Фирма присудила трояну самую низкую категорию риска, наверное потому, что не верит в валюту будущего.

Впрочем, почему файл даже паролем не защищен, это тоже непонятно.

Обсуждение трояна на форуме bitcoin

Еще один простецкий троян всплыл на opensc.ws
manandmoon

(no subject)

Как я уже говорил. Лулзсеков обвиняют в вымогательстве денег с взломаной ими компании Unveilance

 

Мне кажется. это все таки троллинг. Во-первых, если у тебя лулзы прямо в названии прописаны, то и хулиганить  следует ради лулзов. а не ради презренного металла - это ж теперь мировая торговая марка. То есть, если бы -жертва согласиласть на условия, то лулзы обеспечены, но бренд велит, чтоб деньги пошли в фонд защиты Брэдли Маннинга или хотя бы бронзовый бюст Рика Эстли. Иначе профанация.

Во-вторых, нвбор валют явно сочинялся прямо за клавиатурой. Что они будут делать с ворохом биткоинов? Покупать наркоту на SIlk Road разве что. Вывести сразу крупную сумму биткоинов жуткий геморрой. Спихнуть каких-нибудь10 тысяч - это просто рынок обрушится. Вебмани еще смешнее - чуваки ж явно не россияне. Вы когда-нибудь пробовали оперировать вебманями из-за рубежа? А сверлить зубы ручной дрелью? В дрели багов меньше.

Итак. Пресса сейчас будет рассказывать, что Анон стал тупым ворыгой. а я все-таки считаю. что он продолжает оставаться толстым троллем.

ЗЫ: Впрочем, ботнет можно было и бы и взять.
This entry was originally posted at http://malaya-zemlya.dreamwidth.org/15205.html. Please comment there using OpenID.
manandmoon

(no subject)

Журнал ][акер нынче публикует переводные статьи, даже не обозначая источник. Хоть бы потрудились убрать английское слово, по которому оригинал гуглится. Давно они так наглость потеряли?

Annalee Newitz - The stock market is controlled by algorithms that are fighting with each other (IO9.com)
Анон - Фондовая биржа: под контролем программ (xakep.ru)

Update: Утром в куплете - вечером в газете. Ссылку проставилии. This entry was originally posted at http://malaya-zemlya.dreamwidth.org/9564.html. Please comment there using OpenID.
manandmoon

Вот за это анонимный кэш и не любят

Mr Brownstone
Worldwide opiate supply, heroin, china white etc, ships internationally and discreetly (требует Tor)

А если без шуток, на сайте BitCoin уже довольно много лавочников и обменников. У этого проекта есть перспективы, по крайней как замена WebMoney и прочих ePassporte Непахнущие цифровые деньги без центрального банка - серьезная экономическая сила.

This entry was originally posted at http://malaya-zemlya.dreamwidth.org/1945.html. Please comment there using OpenID.
manandmoon

Взлом Epsilon

Прошла новость о крупном взломе компании Epsilon. Фирма малоизвестная, но важная - она рассылает электронные уведомления клиентам крупнейших компаний: Citibank, JP Morgan Chase, Mariott, Disney, Capital One итп. Уведены базы мейлов с именами и адресами клиентов. Непонятно пока, сколько украдено и как именно, хотя есть подозрения, что это продолжение серии атак на фирмы по рассылке е-мейлов, начавшейся еще в прошлом году.

Зато понятно, что будет следуещей стадией: рассылка фишинговых писем с просьбой пожалуйста залогиниться на сайт citlbank.com. Проявляйте бдительность и не кликайте куда попало!

Извещение о пропаже на сайте Epsilon

Список компаний, про которых извесно, что их клиентов увели:
Abe Books
American Express
Ameriprise Financial
Barclays Bank of Delaware
Benefit Cosmetics
BestBuy
Brookstone
Capital One
Citibank
City Market
The College Board
Dillons
Disney Vacations
Food 4 Less
Fred Meyer
Fry’s
Hilton Honors
The Home Shopping Network
Jay C
JP Morgan Chase
King Soopers
Kroger
LL Bean
Marriott Rewards
McKinsey Quarterly
New York & Co.
QFC
Ralphs
Ritz Carlton
Robert Half
Smith Brands
TiVo
US Bank
Visa
Walgreens

Update: Брайан Кребс о взломе 1, 2.
manandmoon

Социальная инженерия

Разговорился вчера с чуваком, по роду занятий телефонным маркетером. Он не большая шишка, а простой работник, но явно с опытом. Причем в сфере очень серого - на грани фола - маркетинга. Рассказал он мне про методы работы в индустрии и даже по памяти привел один сценарий звонка с разводкой. Удивительно, насколько все там поставлено на конвейер и идейно схоже с компьютерным хакерством...



Значит так. Работники таких колл-центров работают по строго заданному скрипту, от которого не отклоняются ни по каким причинам. Если клиент говорит что-то непредусмотренное, его вежливо, но твердо возвращают обратно в колею. Если он совсем неуправляем, угрожает, пытается записать разговор, тогда трубку просто вешают - IllegalClientException. Новичков специально учат, что если говорить уверенным голосом, с нотками авторитета, то 80% хомо сапиенсов выполнит любой приказ. Чувак говорил, что им даже выдавали для прочтения статью про знаменитый эксперимент Стенли Милграма где люди доходили до слез и нервного срыва, но продолжали выполнять команды экспериментатора. [Прим: В реальном опыте, команды отданные по телефону оказались в разы менее эффективными, чем команды, отданные лично. Первое правило развода: лучшая ложь - та, в которую сам веришь.]

Звонок начинается так (перевод мой, по запискам):
1.Телефонный маркетер: Алло, %customerName%! [Прим: оказывается, в американских условиях лучше обращаться к клиенту по имени. Так поступают банки при общении с важными клиентами, а мы сейчас будем косить под банк. На фирме, про которую мне рассказывали, был даже специальный мужик, который знал произношение всех имен, даже Tywysog и Uchdryd]
Клиент: Вас слушаю?
2.ТМ: Вам звонят из компании %companyName%. Мы работает по поручительству крупнейших банков страны в связи с утечкой базы личных данных клиентов. Скажите, последнее время вам не приходило особенно большое количество потовой рекламы?
К: Мда.. [Прим: спам приходит всем. Впрочем, ответ роли не играет]
3.ТМ: Наши записи показывают, что ваши личные данные находятся в открытом доступе. Любой человек при желании может до них добраться. Мы звоним Вам, чтобы убрать информацию о вас из публичных баз данных.
К: Ок.. [Прим: Если нужно, нагонять побольше страха про кражу личных данных, риск, проблемы с кредитом итп пока клиент, не почувствует серьезность момента]
4. ТМ: Для этого нам потребуется ваша авторизация. Для этого нам нужно, чтобы Вы взяли свою чековую книжку и прочитали нам цифры внизу чека. Я подожду на линии. [Прим: Никаких "пожалуйста". Нужно и все]
К либо соглашается и идет, либо начинает подозревать неладное. Во втором случае отвечаем:
4а. ТМ: Эти данные известны любому лицу, которому вы выписываете чек. Вы же сами знаете, что без вашей подписи мы ничего не можем с ними делать. Нам они требуются исключительно для того чтобы подтвердить доступ к базе данных. goto 4

... клиент идет за чеками, возвращается

5. ТМ: Мне нужно, чтобы Вы прочли цифры внизу чека, по порядку слева направо.
К: 1 2 3 ...

6. ТМ: Спасибо. Мы сейчас подготовим Вашу запись для удаления. Подождите секундочку.
Тем временем вбиваем данные в компьютер, получаем на выходе название и адрес отделения банка.

Это все было предтележье. Теперь телега.

7. ТМ: О! Мы видим что вы являетесь клиентом банка %bankName% в %cityName% и у вас хорошая репутация!
К: да... [Прим: никто не возражает против репутации]

8. ТМ: Я вижу на компьютере, что для Вас от Вашего банка есть специальное предложение. Расписывает предложение

Если клиент соглашается, то все отлично. Нет - впариваем, чтоб согласился.

9. Если заманчивое предложение принято, то говорим:
ТМ: Я сейчас передам Вас своему менеджеру.
Если все таки нет, то просто говорим, что все сделано, спасибо, до свидания. Но на этом этапе клиент уже размягченный и работать с ним легко.

10. Переключаем на другого чувака, называемого verifier. Обычно это опытный работник, и подход у него более теплый, без давления. Зачем давить, если согласие уже получено - пусть клиент расслабится.

11.Verifier: Здравствуйте, %customerName% Мы сейчас удаляем вашу информацию из базы данных. Для подписки на услугу мне нужно подтвердить ваши личные данные. Для вашей безопасности наш разговор будет записан. Мне нужно чтобы Вы отвечали на вопросы только "да" или "нет", иначе нам придется начать с начала.
Включает пленку. Запись эта и будет считаться эквивалентом чека при рассчетах с банком. Я точных адвокатских выражений, увы, не помню, но выглялит примерно так:

12-1. V: Ваше имя %customerName%?
К: да
12-2. V: Ваш банк %bankName%?
К: да
12-3. V: Вы согласны на удаление Вашей информации из базы данных?
К: да
12-3. V (очень быстро): В связи с предоставляемым вам пакетом услуг, о котором Вы говорили с нашим агентом, с вашего лицевого счета будет сделан перевод на сумму в ... долларов. Платеж появится в выписке со счета под именем %companyName%.
Вы понимаете смысл транзакции и подтверждаете перевод
К: да

Выключает пленку. Отсылает запись и номер счета в финансовый отдел.

13. V: Благодарю Вас, всего Вам доброго! [Прим: На этом месте самые наглые добавляли "God bless you!", но мой знакомый так и не смог себя заставить...]

Все. Клиенту втюхали какую-то дребедень, а он сам думает, что его не только спасли от хакеров, но и дали бонус. Если он одумается и пойдет ругаться в банк, то у нас есть вещественные доказательства: человек сам на все согласился и заплатил.

Как видим, похоже на бросок дзю-до: выводим из равновесия, делаем отвлекающий маневр, бросок, припечатываем к полу. Или так: вводим во внештатное состояние, переполняем буфер, выполняем шеллкод, загружаем трояна. Принципы аналогичные.

В следующем номере: контратака и SQL-инъекция в мозг
manandmoon

Bitcoin

Интересный проект по созданию цифровой валюты без центрального "банка" или сервера. Все P2P, все распределено. Причем в систему встроена автоматическая защита от инфляции: в природе может существовать 21 миллион монеток и ни копейкой больше.

http://www.bitcoin.org/

Если система реально работает, то это очень круто. Не она сама, так какая-то продвинутая ее версия вполне ж сможет заменить эти ваши вебмани и е-пассы. А там, глядишь, и юани с долларами. Эдак и до мировой революции рукой подать.

Техническое описание (Не разобрался еще, но по виду похоже на вариант битового золота)

Исходники

Разберусь - обязательно напишу.

Update: Перед тем, как поминать маму Кейнса и Мизеса, предлагаю сначала разобраться, работает ли протокол вообще. Идея очень красивая, но наверняка ж какие-то дыры есть.
manandmoon

Масонское

На WikiLeaks кто-то выложил годовой отчет масонской ложи Ньюфаундленда.

Как и следовало ожидать, скучно до слез, даром, что всего семь страниц: Провели рождественскую елку. Произвели брата Морли в степень магистра. Собрали $1100 на строительство нового здания ложи. Потеряли $75 членских взносов. В конце трогательная приписка от секретаря, что времени на масонство совершенно не хватает - семья, дети, совсем измотался. Никакой продажи России и даже ни одного человека с сионистской фамилией.

Саентология, ей богу, повеселее будет.