Chirkov.net: блог

Прошло 1,5 дня.

На площади перед зданием скучают милиционеры. В дверях столкнулся с десятком ОМОНовцев. Центральный вход в здание аэропорта запружен, ибо снова огородили вход и всех гонят через 2 рамки металлодетекторов. Хвосты примерно по 20-30 человек к каждой “рамке”. Дружелюбный милиционер отправляет публику к правому крылу аэровокзала (где аэроэкспресс и автобусы) убеждая, что там очереди нет. Там действительно хвостик всего 2-3 человека. На каждой рамке сидит милиционер и сотрудник САБ (рентгеном-то они заведуют). Поэтому глупо звучат заявления Истлайна, что их вины в теракте нет: обеспечивать контроль на входе только милиция, без помощи службы авиационной безопасности, не может.

Зал прилета международных рейсов отгорожен, теперь пассажиры выходят сразу в зал с регистрационными стойками. У одной из колонн цветы и свечки. На стене табличка “приносим извинения за доставленные неудобства”, а по трансляции объявляют “Аэропорт Домодедово функционирует в обычном режиме”.

В целом все совершенно обычно. На досмотре внутренних авиалиний работают всего три рамки (из 5-6), к которым снова очередь человек по 10-15. Увидив, что я снимаю этот хвост ко мне подошла тетя в форме Истлайна и потребовала удалить кадр – была послана. Тут же привела мента с криками “он тут все снимает в разных ракурсах”. Милиционер очень вежливо потребовал удалить, мотивируя, что здесь все секретно, ибо происходит досмотр и обеспечивается безопасность. Упираться не стал.

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Поскольку мой рабочий зум-объектив Canon EF-S 17-85 f/4-5.6 в помещении, при тусклом свете энергосберегаюших ламп, снимает крайне плохо (не хватает ему света и выдержки получаются очень длинные, а картинка “мажется”), я наконец внял давишнему совету коллеги-фотофанатика и приобрел более светосильный фикс Canon EF 85 f/1.8 именно для портретной съемки в помещениях.

В первый же вечер устроил эксперименты снимая в помещении разные объекты фиксом и зумом, установив его на максимальное фокусное расстояние, т.е. на те же 85 – все хотел понять, как же на практике сказывается изменение светосилы с 5.6 до 1.8, ибо глубокомысленные математическо-оптические определения в моем сознании не укладывались. Эксперименты привели к простому практическому выводу: светосила это минимальная диафрагма, с которой способен снимать объектив. Т.е. новый фикс позволял установить минимальную диафрагму в 1.8, в то время как зум на длинном конце не давал ставить меньше 5.6. Почему так – простому любителю типа меня знать совершенно не нужно, а вот понимание чем на практике отличаются между собой объективы по этой характеристике я теперь получил.

У меня в гостиной фикс давал качественную картину на ISO400, а вот с зумом уже надо устанавливать 800 и выше… Надо будет еще на улице ночью поснимать попробовать.

Были уже записи про проблемы с приемом EMV-карт. Вот очередной случай с моим магнитогорским коллегой, который столкнулся с тем, что с недавних пор его EMV-карта MasterCard не обслуживается в сети крупного регионального эквайера (называть пока не буду – у них еще есть шанс обелиться). Чиповая карта другого банка обслуживается по-прежнему без проблем.

В ответ на обращение эмитент сообшил, что недавно запретил транзакции fallback ( на что вообщем имеет разумное право минимизируя свои риски от мошенничества – старая байка, про “гвоздь в чип”). После этого коллега написал запрос эквайеру и получил следующий ответ:

Здравствуйте, Сергей Владимирович!
Сообщаю Вам, что обслуживая по магнитной полосе карты Mastercard с чипом, ОАО “МЕСТЕЧКОВЫЙ БАНК” производит обслуживание карт в полном соответствии с правилами платежной системы. Никаких ограничений на обслуживание карт каких-либо банков нами не применено.
К сожалению, Вы не предоставили данные о банке-эмитенте, которые помогли бы нам проверить описанные Вами факты.
Но если эти факты имеют место, то банк, выдаший Вам карту, введя запрет на авторизацию торговой операции по магнитной полосе, нарушает правила платежной системы MasterCard.
С уважением,
XXXXXXXXX
Заместитель начальника управления платежных средств – Начальник отдела пластиковых карт ОАО “МЕСТЕЧКОВЫЙ БАНК”.

Так как история не со мной была, то я не всеми деталями сейчас владею и пока не называю оба банка. Ибо, на мой взгляд возможны следующие варианты:

1. эмитент не правильно описал правило отказа в фолбэке и оно срабатывает в полосатом терминале. Хотя врядли – их бы уже завалили претензиями, т.к. активная эмиссия у них – сотни тысяч карт, да и в других чисто полосатых устройствах мой коллега эту карту продолжает успешно катать.
2. какой-то глюк в терминальном софте эквайера. Коллега пытался заставить вставить карту сразу чипом (минуя полосу) и терминал вне зависимости от эмитента выдавал ошибку.
3. эквайер хитрозадый очень и в принципе сертифицировался на EMV, но реально в терминалах софт не проапгрейтил. А на случай чарджбэка от полосатого эмитента защищен получается.

В любом случае это еще один пример того, как от перехода не EMV страдает простой клиент.

Сейчас от эмитента попросили подтвердить, что в авторизации совершенно точно был признак того, что терминал чиповый. После подтверждения непременно сообщу название банка и обслуживающего его процессора. Страна должна знать своих героев. А коллега накатает жалобу в MasterCard.

Скачал на iPhone и вечером пролистал две небольшие, но очень дельные книги Радмило Лукича:

• 10 секретов продаж – базовые принципы работы, которыми должен руководстоваться сейл, чтобы стать успешным (или его начальник подбирая кандидатов и оценивая результаты работы)
• Материальная мотивация продавцов – о том как построить систему оплаты труда и премирования за результаты работы продавцов и руководителей отделов продаж

Чем понравились книги? В них кратко, по существу (на прочтение каждой уйдет не больше часа) изложены базовые вещи по соответствующей теме. Ничего нового я там для себя не нашел, так же как и ничего спорного –  это квинтэссенция множества книг и практического опыта самого автора (который много лет работал сейлом, судя по всему как раз в банковский сектор). Будет полезна начинающим продавцам и крупным руководителям, которым не досуг читать много.

Рецепт простой – меньше жрать! Все остальные вещи типа бега и прочего не изменят ситуацию: люди жрут существенно больше, чем требуется даже для активных физических нагрузок. Я потолстел с переездом в Москву и всему виной бизнес-ланчи. Официант приносит: салат, суп, горячее и врод как за все уплачено – надо жрать (хорошо потом появились варианты сокращенных бинес-ланчей). В итоге, я вырос на пару размеров и появилось ярко выраженное пузо. Пиковый вес был 93 кило, а в целом он крутился вокруг 91 кило.

Кардинально снизить вес за несколько дней позволяет следующая диета: несколько дней питаться только кашами (гречка, рис, пшенка…) , сваренными на воде без соли. К кашам обязательно листья петрушки и редис\редьку\дайкон (примерно в таком же количестве, что и каши). Никаких ограничений на количество съедаемого в принципе не накладывается, но поверьте – совершенно безвкусной каши много в себя не затолкаешь и через несколько дней начинаешь мечтать о вкусе черного хлеба с маслом! :) Надо сильно ограничить потребление жидкости – пить только водуи как можно меньше (буквально пару глотков). Это очень упрощенное переложение системы питания Лисси Мусси, книжку которой серьезно читала жена. Собственно я сел на эту диету после жены и матери и еждневно терял примерно по полкило. В1ый раз удалось опуститься до 84 кило, после, чего килограмм прибавился тут же, но ограничивая потребление еды и практически полностью отказавшись от пива мне удалось целый год продержаться на уровне 85 килограмм. Перед этим Новым годом за 5-6 дней не такого строгого воздержания (в рис, например, добавлял мексиканскую сместь) удалось упасть аж до 81,3, которые в результате даже десятидневного новогоднего запоя не поднимаются выше 83. Т.е. я “сбросил” 10 кило.

Старые костюмы отправились в чулан и взамен 54го размера куплены новые 50-52 (в зависимости от лекал). Теперь смотря на то, сколько люди набирают на поднос в столовой или съедают за ужином я прихожу в ужас. Человеку, который не работает грузчиком, столько еды не надо и даже в жир организм столько еды переработать не может и она просто гниет в животах… на завтрак вполне достаточно съесть одно яйцо, на обед салат и кусок мяса или тарелку супа… Главное – не пить пиво, оно не только растягивает желудок, но и действительно моментально прибавляет вес. Недавно приезжал одноклассник и припер 2 ящика пива – отказаться не удалось и на следующее утро весы показали +2 кг! Я пиво заменил на красное сухое и вино совершенно по пиву не тоскую, тем более, что большая часть пива сейчас у нас это безвкусные газированные помои :)

Многим моим знакомым также удалось существенно скинуть вес, значительно сократив потребление еды.