GD Star Rating
loading...

Котаны, есть кто из IT Альфастрахования?

С год назад воспользовался их сайтом для покупки полиса, очень удобная штука в плане того, что ехать никуда не надо, заплатил картой, распечатал бланк полиса и можно сдаваться на визу.
При покупке обратил внимание на адрес странички со сгенерированным полисом:

https://aspbroker.alfastrah.ru:4443/inetshopn/vzr_inet_form.pdf?p_contract_id=NNNNNNNN

Открыл урл в другом браузере и, как и ожидалось, никаких тебе сессий, https для красоты, меняй циферки и качай все полисы (ФИО, дата рождения, мобильник, страна посещения с датами) за весь период работы сервиса – не проблема.

Я подробно всё описал в соответствующей формочке на сайте альфастраха, упомянув про 152 ФЗ и про лучики поноса от клиентов, которые попадут в спам-рассылки, ну и отправил в их службу поддержки, где так же ожидаемо не получил никакого ответа.

Если кто знает оттуда спецов – скиньте им, плиз, а то дыра уже как минимум год висит и позорит их по-всякому

Произвольная картинка из интернетов:

www.hardblog.net  - сервера, компьютеры, ноутбуки, windows, linux, unix, nix

Котаны, есть кто из IT Альфастрахования?, 4.0 out of 5 based on 1 rating
Tagged with →  

80 Responses to Котаны, есть кто из IT Альфастрахования?

  1. Fluen:

    Чшшш, вы слышите? Это жужжат ПИЗДЮЛИ

  2. Ymx01:

    хайрез забыл

  3. TsiWin:

    Ищи на хабре, может там есть.

  4. NamRU:

    бля, побольше картинки не было?

  5. HciVelo:

    блядь, в альфастраховании сейчас головы полетят, если это придать огласке, а их размер картинки беспокоит!
    хотя да, всем всё равно [х]

  6. Ybbed:

    да ничего там не полетит. Могу предположить, что внедрением в кратчайшие сроки занималась контора-подрядчик, откатившая 90% контракта обратно в альфу, отсюда и такое качество работ. Надеюсь, хотя бы немного поебут мозг службе саппорта, раз игнорируют подобные заявки.

  7. Ybbed:

    бес попутал, простите

  8. Ybbed:

    бля, это был ответ на коммент про хайрез. Мало того что пиздоглаз, еще и руки трясутся

  9. TsiWin:

    Выкладывай на хабре трясущимися руками.

  10. OknEbb:

    Через знакомое начальство в Альфа-Банке передал содержание поста в Альфа-Страхование. Может, прислушаются.

  11. Ybbed:

    спасибо, бро!

  12. Rehnod:

    А ты если они не почешутся на Хабр напиши, сразу же исправят и пизюли по конторе будут еще долго летать.

  13. Ybbed:

    тут же бложик друзей, пытаюсь решить проблему без пизлюлей

  14. Giboff:

    увы, Альфа-Банк и Альфа-Страхование между собой практически не связаны. Только где-то очень-очень высоко.

  15. OknEbb:

    один холдинг. И да, очень высоко 🙂

  16. Giboff:

    начнем с того, что не холдинг.

  17. NIMbad:

    я тоже в ятницу через АБ сообщил – мои не смогли найти концы… но может быть в понедельник получится

  18. OknEbb:

    ок, мне насрать, холдинг-не холдинг

  19. Giboff:

    суть в том, что просьба от сотрудников альфа-банка сотрудникам альфа-страхования имеет ровно такой же шанс на успех, как и просьба сотрудника заправки BP в адрес менеджера Вымпелком. Только в случае с альфа-* еще и часть названия совпадает.

  20. OknEbb:

    at least i tried! 🙂

  21. NIMbad:

    это действительно тяжело… мой начальник не смог выйти на людей из АС, их телефоны у нас в справочнике только внешние – мы как клиенты выступаем
    Контакты ищутся тяжело – возможно успеха и не будет

    И это… тебе спасибо

  22. Ybbed:

    Промежуточный итог: выйти на Альфастрахование удалось через подрядчиков, IT-ники клянутся, что в течение недели дыру закроют апдейтом системы. Через неделю проверю – отпишусь

  23. Fluen:

    больше грязных подробностей! Кого уволили? Кому срезали премию?

  24. Rehnod:

    да разве это важно? Начальству не срежут ниче, найдут какого-нибудь мелкого девелопера козла отпущения, да уволят.

  25. Fluen:

    ну всё равно интересно. Почему где-то расстреливают заложников, свергают президентов, пилят миллиарды, угрожают ракетами, а в ИТ ничо не происходит? Всё новости!

  26. Ybbed:

    Ок, подробности.
    Я нагуглил ИТ-директора Альфастраха и написал ему в фейсбучек, где ожидаемо ничего не услышал в ответ (думаю это корпоративный стандарт реакции на проблемы) – ок, продолжаем поиски.
    Беглый опрос всех знакомых IT-ников позволил найти поставщиков систем безопасности для Альфастрахования и вопрос был задан тому же ИТ-директору, но уже через подрядчиков. В ответ услышали, что о проблеме давно известно и что ее закроют на этой неделе.
    Посмотрим, не исключаю вариант, что на проблему все-таки положили болт и чинить ничего не будут.

  27. Fluen:

    ставлю на то, что без огласки и скандала пизды никто не получит. Хотя вообще за “о проблеме давно известно” относительно таких вещей надо ебать раком

  28. Ybbed:

    пизды вообще никто не получит – степень похуизма в мире эксплуатации российского корпоративного ПО не поддается разумному анализу. На практике видел много случаев, когда из-за тупейших ошибок контора теряет серьезные деньги – всем всё прощалось.

  29. Fluen:

    угу. нанопиздюли. 🙂

  30. TsiWin:

    Да вывалить это все на всякие хабры про все эти поиски как сообщить о дыре, но без указания дыры и ждать.

  31. NarVelo:

    cool story. Будет, чем дразнить его на пьянках 🙂

  32. Fluen:

    торганул, торганул 😉

  33. TiuSm:

    и https на 4443 порту. Они в курсе, что у большинства корпоративных юзеров это говно не будет открываться?

  34. Giboff:

    компетентные админы корпоративных сетей не трахают мозг своим юзерам, закрывая все подряд, кроме 80/443.

  35. Lehsuper:

    расскажи это департаменту безопасности ИТ какой-нибудь крупной организации.

  36. Ymx01:

    расскажи за компетентных одминов

  37. Giboff:

    7000 – это достаточно крупная? Нет? А 18000?

  38. Giboff:

    компетентные админы, совместно с компетентными безопасниками, умеют правильно работать с рисковой моделью и умело балансируют между удобством и безопасностью.

  39. Oml01:

    а не подскажешь, что почитать по этой теме в какую сторону копать?

  40. Lehsuper:

    достаточно.

  41. Lehsuper:

    чувак, да что за хуйню ты несешь? открытые порты – потенциальная опасность. Начиная от ботнета неизвестного антивирусам червяка, заканчивая впн-клиентами, слитой конфиденциальной инфой, и прочими радостями. Если “компетентным” админам нравится с этим развлекаться – то ебал я в рот такую компетенцию, а безопасники позволяющие такие радости – попросту распиздяи и лентяи.

  42. Giboff:

    по какой именно теме?

  43. Giboff:

    примерно так обычно и отвечают некомпетентные и/или ленивые админы. А некомпетентные и/или ленивые безопасники застревают на самом простом варианте “всё запретить, никого не пускать! Мы тут безопасность обеспечиваем, ёба!”.

  44. Fluen:

    желательно вообще ничего не включать. Вероятность факапа стремится к нулю!

  45. Giboff:

    и спрятать все компьютеры и серверы в несгораемый сейф!

  46. Fluen:

    и не ходить на работу. Сидеть на Гоа и получать зарплату на карту. Причём очень большую – ты же невъебенный спец по безопасности!

    Вообще, на самом деле, мне кажется, что есть случаи, когда надо вообще всё закрывать и параноить, но это 1 из 10 максимум.

  47. Ybbed:

    любой открытый наружу порт уже, по-сути, открывает все что только можно. Я работал в одной крупной конторе, где как раз наружу были только 80 и 443. Это было откровенно неудобно, плюс трафик снифился, читался безопасниками, что не могло не раздражать, если честно. В итоге рабочий день у многих начинался с установления соединения с удаленным ssh-сервером на 80 порту, после чего весь трафик локальных приложений заворачивался в этот тоннель. Как итог – все порты открыты, трафик слушать бесполезно, т.е. еще хуже для конторы, чем если бы были открыты все порты.

  48. Giboff:

    безусловно. Для этого и нужен risk-management. Подобные решения нужно принимать обосновано, а не по наитию.

  49. Lehsuper:

    охуенно парировал.

  50. Lehsuper:

    а в чем, простите, неудобство заключалось? Рядовой штатный сотрудник, не будем брать IT-отделы, прекрасно обходится прокси с вообще закрытыми портами.

  51. Giboff:

    рад, что ты оценил.

  52. Lehsuper:

    и да, спорить не буду – я действительно ленивый админ и не люблю решать те проблемы, возникновения которых можно избежать. Не нужно путать те ситуации, когда админ из-за вредности закрывает на проксе вконтактики, и те, когда лишнее разрешение может принести лишние проблемы. Я понимаю ситуации, когда порты держатся на компьютере вынужденно – для коннектов с внешними серверами, тунелями, банк-клиентами, или еще чем, но когда ВСЕМ участникам lan доступна возможность делать что хочешь – это попросту безалаберность. Вот из-за такой безалаберности и возникают вещи, которыми ознаменован пост. Если это компетентность – то ебать такую компетентность, как я уже и говорил.

  53. Yitbad:

    если в сторону сетей – сходить на IINS, например. Если вообще в сторону безопасности – там вагон и маленькая тележка обучающего материала, но он тебе не понадобится.

  54. Yitbad:

    отличный пример работы ленивых админов и еще более ленивых безопасников. Нормальный безопасник давно бы узнал, что это за подключение такое, которое отсуществляют 80% сотрудников, и выебал бы их в жопу за злостное нарушение инструкций по безопасности.

  55. Fluen:

    ну ты конечно сравнил открытые порты, и тот факап, которым ознаменован пост.
    Заметь, они там сменили дефолтный порт. Типа безопасно. 🙂

  56. Fluen:

    инструкций по безопасности? ну не смеши меня. 85% руководителей российских компаний знают, что надо заблочить вконтакт и одноклассники. И они понятия не имеют про ссш и прочую поебень 🙂

  57. Lehsuper:

    на самом деле однохуйственно. Но это придет с опытом, поверь, прямо как с бэкапами.

  58. Ybbed:

    Неудобство заключалось в системе развитых фильтров, которые отсекали доступ ко множеству разнообразных ресурсов и сервисов. Я много времени провожу на работе и выключаться полностью от внешнего мира не хочу, поэтому и использовались такого рода решения. В компании со всем закрытыми портами (точнее, был white-лист, ко всему остальному доступ блокировался) приходлось просто подключать 3/4G-модем и корректно настраивать правила маршрутизации трафика, чтобы корпоративные приложения смотрели в закрытую сеть, а бразуер/мессенджер – на внешнюю сеть. Т.е., вот этот подход “закрыть все порты” – он, на мой взгляд, порочный, в том плане что все равно сотрудники скрестят ужа с ежом и доступ с корпоративных машин во внешнюю сеть получат.

  59. Lehsuper:

    мнда, пиздец. Мне даже нечего на это ответить.

  60. Ybbed:

    есть примеры крупных контор с нормальными IT-безопасниками?

  61. Ybbed:

    Это реальная ситуация во многих крупных компаниях и пиздецом является то, что ленивые админы и специалисты по безопасности не могут принять этот факт и начать эффективно работать, а не просто закрывать порты

  62. Lehsuper:

    судя по вашим запросам, нормальный IT-безопасник это тот, который ходит по офису, треплет за щечку сотрудников и спрашивает “хорошо себя ведешь? ну молодец, не шали” и гладит по голове.

  63. Ybbed:

    по моим запросам сотрудник вообще не должен понимать, что в конторе есть безопасник. При этом безопасник должен полностью контролировать весь контент, который сотрудник генерирует (скайп, почта, мессенджеры, телефон) и в состоянии мгновенно пресечь противоправную деятельность (и я говорю не о том, что сотрудник зашел вконтактик, а о том, что он слил по телефону ценовое предложение по важному тендеру конкурентам).

  64. Fluen:

    ты чё! Похуй тендеры! Надо чтобы на вконтакике не сидел, сука! Ему за работу платят! И чтобы музыку не слушал! Потом за трафик счёт придёт! Всё заблочить!

  65. Lehsuper:

    тендеры на вконтактике ахахахаха

  66. Yitbad:

    85% руководителей российских компаний отчетливо понимают, что в безопасники надо нанимать бывшего КГБшника, который в случае необходимости разрулит любую проблему звонком старым приятелям. Людей в России, адресно занимающихся во внутреннем IT безопасностью, полагаю, не больше сотни. В буржуляндиях есть специальная должность, CISO (Chief Informational Security Officer), и есть довольно заметное количество людей, заслуженно имеющих в своем резюме подобную строчку. У нас, в силу специфики методов ведения дел, подобная должность не нужна.

    Ну и, да, вконтакт и одноклассники блокируют не за нарушение режима безопасности, а за веселую ферму в рабочее время. С точки зрения именно безопасника поднятый непонятно куда шифрованный туннель – повод для куда более лютого баттхерта, чем одноклассники. Ну и, да, с правильно отстроенной моделью айтишной безопасности ты шифрованную трубу никуда и никогда не проложишь: все подключения будут идти через прозрачный прокси, который будет все твои трубы терминировать на себя, разворачивая тем самым все твои подключения и читая весь твой трафик.

  67. Yitbad:

    апдейт: оставшиеся 15% руководителей российских компаний вообще не понимают, что безопасностью стоит заниматься, хотя бы на уровне пригласить армейского приятеля, чтобы пиздюлей навешивал за попытки спиздить канцелярию из офиса.

  68. Yitbad:

    по твоему “ха-ха” сразу видно, что ты тендеры не пытался выигрывать.

  69. Yitbad:

    есть, McAfee (российское подразделение маленькое, политики IT выдают из гейропы).

  70. Oml01:

    то что ты называешь рисковой моделью. Есть же какие-то типовые схемы что можно перекрестившись открывать, а какие дыры несмотря на все вопли юзеров оставлять замурованными?

  71. Lehsuper:

    да, мы обычно их аннонсируем.

  72. Yitbad:

    перекрестившись открывать нельзя ничего.

    Можно составить таблицу asset’ов, связанных с ними рисков, оценить стоимость этих рисков, возможные варианты их снижения, и исходя из этого что-то делать. Например, есть у тебя доступ в интернет через маршрутизатор (asset). С этим asset связан риск – тебя похакают и испортят тебе маршрутизатор (сознательно не упоминаю другие asset’ы). Стоимость риска – день неработающего маршризатора, который понадобится, чтобы приехал Вася и все починил – 5000 рублей.

    Как снизить риск:
    1. закрыть определенные порты. К примеру, через телнет могут пароль перехватить, через ssh устроить man-in-the-middle и т.д. Вообще все порты закрыть нельзя потому что, допустим, 80 исходящий TCP порт нужен для работы, но через него на маршрутизатор атаку устроить нельзя.
    2. те порты, которые закрыть нельзя, пропускать через ASA, которая будет расковыривать трафик и дропать его в случае обнаружения ненормальностей. Например, уже не получится взломать клиентскую сессию пользователя, внедрить ему трояна, и через него похакать наш маршрутизатор.

    Вот так выписываешь все ассеты, все риски, все способы снижения рисков, и выбираешь оптимальные. Это не так сложно, как может показаться неподготовленному человеку.

  73. Yitbad:

    ну да. Так вот, если ты собираешься выиграть тендер, тебе очень важно, чтобы конкуренты не прознали точные параметры того, как ты собираешься это сделать (в т.ч. сумму предложения). Соответственно, в крупных компаниях с приемлемым уровнем безопасности с утечкой наружу подобной инфы активно борются, хотя “в лоб” задача решается очень тяжело. В частности, необходимо ограничивать каналы возможной утечки, в т.ч. мессенджеры, веб-чатики, смс, и т.п, а что запретить невозможно, защищать DLP.

  74. Lehsuper:

    да нет, там вон пишут, что наоборот вконтактики, чатики, и прочую херню закрывать не надо.

  75. Yitbad:

    сотрудник должен очень хорошо знать, что в конторе есть безопасник. Во-первых, если безопасник никак себя не проявляет – он хреново работает. Вся его работа связана с запретами, и об этих запретах все должны быть осведомлены под роспись. Во-вторых, обязательно нужно периодически устраивать показательные расстрелы.

    И “пресечь” человек моментально не может, это должна делать автоматика. Человек должен грамотно составить алгоритмы для этой автоматики. Кроме того, большинство вещей проще предотвращать, а не пресекать (и это опять-таки задача безопасника – выявить то, что можно предотвратить, и что лучше пресечь).

  76. Ybbed:

    про “пресечь” я и имел в виду автоматическое распознавание внутренних угроз по заранее заданным паттернам. Насколько я знаю, подобные системы активно разрабатывают и внедряют компании типа инфосистемы джет.

  77. Ybbed:

    пишут, что за деревьями легко просмотреть лес. Вконтактики – это херня по сравнению с уплывшей информацией по миллиардному тендеру. Беда в том, что пока сотрудник будет организовывать себе доступ в этот самый вконтактик, он попутно сделает и шифрованный/независимый канал в том числе и для слива информации. На мой взгляд, пусть лучше сотрудник будет под колпаком, при этом думая, что никто за его трафиком не следит и что всё открыто.

  78. Yitbad:

    подобные системы делают не только они, IPS+DLP – джентльменский набор конторы, заботящейся о своей безопасности. Вон те же асы новые уже с IPS на борту идут, они расковыривают трафик и выявляют аномалии в нем.

  79. Giboff:

    Пожалуй, добавлю тематическую картинку в возбудившееся после этого коммента бурное обсуждение.

    размер 500x375, 48.83 kb

Добавить комментарий