Ёту поимели

Классно сделано! :) А окошко предупреждения такскалось мышкой за заголовок, отбрасывая тень?

И эта... Венда для МОЕГО клиент-банка - ТАБУ.

К большому сожалению, до сих пор есть банки (не только российские) которые корректно работают только под ie (

http://hurt.tazhate.com/post/36337053464

Оставлю здесь.

А так да, виндой пользуются только ... (недостойное модератора слово).

Я имел в виду, что «настоящей женщиной» не может быть ни винда и не линукс. Просто причины разные.

http://www.youtube.com/watch?v=eXOGlYrlb3w

МасOS поставили?

Уж лучше на нем, чем на оффтопике.

Зы. ТС-у превед от дивижна.

И ему тоже привет =)

К большому сожалению, до сих пор есть банки (не только российские) которые корректно работают только под ie (

Я - ЧПшник. Банк выбирал в т.ч. и по такому принципу, как адекватный клиент-банк. Банки с неработоспособными (вынь-онли, и тем более - осёл-онли) клиент-банками шли в лес сразу же. Хотя таких очень мало осталось - все уже плавно перешли на iBank.

:)

Я - ЧПшник

Вот потому, что ты выбираешь банк исключительно по идеологическим причинам, ты рискуешь на всю жизнь остаться ЧПшником.

Вот потому, что ты выбираешь банк исключительно по идеологическим причинам, ты рискуешь на всю жизнь остаться ЧПшником.

Не по «идеологическим», а по работоспособности. Банк, не способный сделать нормальный клиент-банк, с вероятностью 99% и во всём остальном работает так же, или хуже.

Хороший пример - ОТР-банк.

Да и вопросы безопасности, опять таки... Пускать клиент-банк под вендой - то же, что ходить по этой нашей борщаговке (или этому вашему южному бутово) с лопатником с 5 тысячами евро. А пускать его ещё и в осле - ещё и подсвечивать себе дорогу айфоном, айпадом, макмини, и отражать свет от последнего карточкой виза-голд.

1. Знаешь, за свою жизнь я повидал может с пару-тройку десятков разных банк клиентов (корпоративных) - они все отвратительны чуть менее, чем полностью.

2. Я не могу нарисовать портрет, с вероятностью в 99% и во всем остальном работаю так же, или хуже.

Типичный банк, как правило - не производитель ПО. Потому что у банка совершенно другие цели. Он это ПО покупает/лицензирует.

Не смотря на качество ПО при работе с банком у бизнеса превалируют иные, нежели вид банковского ПО критерии - условия кредитования (залоги, сроки, проценты, дополнительные услуги) прежде всего, возможно, что тебе это будет сложно понять.

Да и вопросы безопасности, опять таки

Самые большие вопросы безопасности - это человеческий фактор. А он и под виндой и под линуксом один и тот же.

Все остальные риски разумные люди, у которых работа такая могут хотя бы уменьшить техническими средствами.

зачем мне sudo в яве или флеше?

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем. Необязательно одновременно, при желании можно даже пережить несколько ребутов и потом получить рута. Иксы — большое решето.

Типичный банк, как правило - не производитель ПО. Потому что у банка совершенно другие цели. Он это ПО покупает/лицензирует.

Не всегда. Есть у нас, например, Приват. Сам делает весь софт (и очень даже неплохой, надо сказать), но банк - полное #@$%о. Есть ещё Альфа-банк, но как там - ХЗ. А остальные - да, покупают. И слава яйцам, что большинство покупает этот самый iBank, который хотя бы работает, и работает нормально.

А вот есть неадекваты, типа ОТР - которые и сами #@$но, и софт, упорно так покупают - отборнейшее #@$но.

Среди огромного разнообразия банков найти банк с удовлетворяющими лично тебя/бизнес условиями - очень легко. И среди них наверняка окажется банк с адекватным клиентским софтом. Вот ты какой банк выберешь на одинаковых условиях: с iBank, или с ущербным ие-онли поделием уровня начала 00х, которое работает со среды по четверг с 8-00 до 8-15?

Самые большие вопросы безопасности - это человеческий фактор. А он и под виндой и под линуксом один и тот же.

Мне от банка достаточно часто приходят мылья вида «обнаружен новый троян, коммуниздящий ключи клиент-банка... ... ... обновите антивирусное ПО... ... используйте только лицензионный шындовс ... ... храните ключи на флешках, прикованных наручниками к руке ... ...»

А через какую очередную шындос-онли 0-дэй дыру занесётся очередной шындос-онли троян - я ХЗ, так что предпочитаю всё же не рисковать.

Не смотря на качество ПО при работе с банком у бизнеса превалируют иные, нежели вид банковского ПО критерии - условия кредитования (залоги, сроки, проценты, дополнительные услуги) прежде всего, возможно, что тебе это будет сложно понять.

наличие у банка клиента ie-only УЖЕ о многом говорит. Настолько, что залоги/сроки/проценты уже играют мало роли, ибо главное в банке - ДОВЕРИЕ. Возможно, ты этого пока ещё не в состоянии понять.

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем. Необязательно одновременно, при желании можно даже пережить несколько ребутов и потом получить рута. Иксы — большое решето.

теоретически да. На практике, я затрудняюсь придумать схему атаки из флеша/явы на sudo через X11. Даже если флеш/ява и X11 это решето. В принципе, флеш/ява может атаковать через ФС, к которой у неё может быть доступ, сливая ключи gpg/ssh/etc, но если флеш/ява в другой учётке, то это невозможно. А вот механизм атаки через X11 хоть и возможен в принципе, но стоит НАСТОЛЬКО МНОГО, что куда как дешевле, просто проломить мне голову. Эта атака намного более дешёвая и эффективная.

Настолько, что залоги/сроки/проценты уже играют мало роли

Да-да.

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем.

Ждем практической демонстрации. А то нормальных потребительских зловредов (все одни руткиты) под никсами нет.

Скачиваем xspy, записываем его в свой ~/.profile (побоку, что в ограниченной учётке), ловим, например, sudo .*\n(.*). Получаем рута, можем впарить руткит. Если юзера нет в sudoers, то можно дождаться оставленного открытого терминала (процесс любого юзера может следить за неактивностью) и в нём эмуляцией нажатия клавиш (иксы не против) делаем что угодно. После этого остаётся только убрать лишние следы. ssh/gpg ключи тянутся точно так же, даже руткит не нужен.

Пишется за вечер даже с чтением манов. Что из этого стоит НАСТОЛЬКО МНОГО?

Скачиваем xspy, записываем его в свой ~/.profile (побоку, что в ограниченной учётке), ловим, например, sudo .*\n(.*). Получаем рута

у меня нет никого в sudo(для root). К тому-же, через sudo у меня запускается браузер с флешем, который может (теоретически) записать xspy в СВОЙ ~/.profile. И что? Я же в ту учётку(в которой браузер и xspy твой) и НЕ захожу. Как твой xspy запустится?

Если юзера нет в sudoers, то можно дождаться оставленного открытого терминала (процесс любого юзера может следить за неактивностью) и в нём эмуляцией нажатия клавиш (иксы не против) делаем что угодно. После этого остаётся только убрать лишние следы. ssh/gpg ключи тянутся точно так же, даже руткит не нужен.

продемонстрировать можно? предположим, запущено заражённое приложение имеющее доступ к X11. Есть там же и терминал (от имени другого пользователя, т.ч. доступа к ФС у тебя нет). Предположим даже, что в терминале уже вход с правами рута произошёл. Как выполнить rm -rf /* ? Следы заметать не надо.

Пишется за вечер даже с чтением манов. Что из этого стоит НАСТОЛЬКО МНОГО?

информация. Какая у меня система, какое железо, какой интернет, какие программы… Проблема ещё и в том, что в открытых источниках искать тебе будет затруднительно, даже если я всегда правду говорю(это не так, честно!) - у меня несколько компьютеров, и несколько OS. Если-бы у меня было много $$$$ в компьютере, то всё было-бы ещё печальнее.

у меня нет никого в sudo(для root).

Ок, su.

Как твой xspy запустится?

Ок, напрямую эксплойтом. Можно дописывать плагин в профиль браузера, но предположим, что это слишком сложно.

Предположим даже, что в терминале уже вход с правами рута произошёл. Как выполнить rm -rf /*

Чем угодно, начиная от xvkbd/xdotool от ограниченного юзера, сэмулировать ввод rm -rf /*\n? Можешь проверить, это работает. Отсутствие xvkbd/xdotool в системе — не проблема, можно взять из интернета статически скомпилированную версию.

. Какая у меня система, какое железо, какой интернет, какие программы…

Достаточно bash, wget и бинарных уязвимых flash/java-плагинов. Остальное решаемо статичными сборками. Если нужен руткит — да, сложнее.

Ок, su.

не ОК. Там тёмные отношения терминала и su. И в прямом, и в переносном смысле.

Ок, напрямую эксплойтом.

а… началось. Эксплоит-то нашёл уже?

Чем угодно, начиная от xvkbd/xdotool от ограниченного юзера, сэмулировать ввод rm -rf /*\n?

вот и сэмулируй. Ждём… Напомню, терминал работает от _другого_ юзера, надо через X11.

Отсутствие xvkbd/xdotool в системе — не проблем

не. Сейчас соберу. Специально для тебя. xvkbd пойдёт?

Достаточно bash, wget и бинарных уязвимых flash/java-плагинов. Остальное решаемо статичными сборками. Если нужен руткит — да, сложнее.

не. Не нужен.

Что именно ждать? PoC: запусти терминал от другого юзера (эмулируем уязвимость с выполнением произвольного кода), в нём сделай sleep и xdotool/xvkbd, печатающий что угодно, переключись в свой.

а… началось. Эксплоит-то нашёл уже?

То есть ты запускаешь браузер под другим юзером просто так? И напоминаю о флеше в линуксе.

И да, в венде, как мы изначально выяснили, без эксплойта тоже никак.

UPD xvkbd поставил, если потыкать мышкой, то вроде как оно даже нажимается. В принципе, хорошо зная мою систему и мои привычки, можно и rm -rf /* от рута набрать. Скриптом. Только такой скрипт никто кроме меня не напишет (нужно ведь с первого раза попасть в нужное окно и в нужное время. И окно должно быть в прошлом фокусе, а клава в текущем).

То есть ты запускаешь браузер под другим юзером просто так?

не. Я ФС берегу. Флеш не имеет доступа к моим файлам, разве что я их на экран не выведу. А если они на экране - да, таки имеет.

Можно мониторить тайтлы окон и время неактивности, как я и говорил. Это мне и не нравится в иксах.

Можно мониторить тайтлы окон и время неактивности, как я и говорил. Это мне и не нравится в иксах.

лучше всё равно ничего нет.

Чувак, ты сделал мой день!