Chirkov.net: блог

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, – сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение – законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Поскольку мой рабочий зум-объектив Canon EF-S 17-85 f/4-5.6 в помещении, при тусклом свете энергосберегаюших ламп, снимает крайне плохо (не хватает ему света и выдержки получаются очень длинные, а картинка “мажется”), я наконец внял давишнему совету коллеги-фотофанатика и приобрел более светосильный фикс Canon EF 85 f/1.8 именно для портретной съемки в помещениях.

В первый же вечер устроил эксперименты снимая в помещении разные объекты фиксом и зумом, установив его на максимальное фокусное расстояние, т.е. на те же 85 – все хотел понять, как же на практике сказывается изменение светосилы с 5.6 до 1.8, ибо глубокомысленные математическо-оптические определения в моем сознании не укладывались. Эксперименты привели к простому практическому выводу: светосила это минимальная диафрагма, с которой способен снимать объектив. Т.е. новый фикс позволял установить минимальную диафрагму в 1.8, в то время как зум на длинном конце не давал ставить меньше 5.6. Почему так – простому любителю типа меня знать совершенно не нужно, а вот понимание чем на практике отличаются между собой объективы по этой характеристике я теперь получил.

У меня в гостиной фикс давал качественную картину на ISO400, а вот с зумом уже надо устанавливать 800 и выше… Надо будет еще на улице ночью поснимать попробовать.

Были уже записи про проблемы с приемом EMV-карт. Вот очередной случай с моим магнитогорским коллегой, который столкнулся с тем, что с недавних пор его EMV-карта MasterCard не обслуживается в сети крупного регионального эквайера (называть пока не буду – у них еще есть шанс обелиться). Чиповая карта другого банка обслуживается по-прежнему без проблем.

В ответ на обращение эмитент сообшил, что недавно запретил транзакции fallback ( на что вообщем имеет разумное право минимизируя свои риски от мошенничества – старая байка, про “гвоздь в чип”). После этого коллега написал запрос эквайеру и получил следующий ответ:

Здравствуйте, Сергей Владимирович!
Сообщаю Вам, что обслуживая по магнитной полосе карты Mastercard с чипом, ОАО “МЕСТЕЧКОВЫЙ БАНК” производит обслуживание карт в полном соответствии с правилами платежной системы. Никаких ограничений на обслуживание карт каких-либо банков нами не применено.
К сожалению, Вы не предоставили данные о банке-эмитенте, которые помогли бы нам проверить описанные Вами факты.
Но если эти факты имеют место, то банк, выдаший Вам карту, введя запрет на авторизацию торговой операции по магнитной полосе, нарушает правила платежной системы MasterCard.
С уважением,
XXXXXXXXX
Заместитель начальника управления платежных средств – Начальник отдела пластиковых карт ОАО “МЕСТЕЧКОВЫЙ БАНК”.

Так как история не со мной была, то я не всеми деталями сейчас владею и пока не называю оба банка. Ибо, на мой взгляд возможны следующие варианты:

1. эмитент не правильно описал правило отказа в фолбэке и оно срабатывает в полосатом терминале. Хотя врядли – их бы уже завалили претензиями, т.к. активная эмиссия у них – сотни тысяч карт, да и в других чисто полосатых устройствах мой коллега эту карту продолжает успешно катать.
2. какой-то глюк в терминальном софте эквайера. Коллега пытался заставить вставить карту сразу чипом (минуя полосу) и терминал вне зависимости от эмитента выдавал ошибку.
3. эквайер хитрозадый очень и в принципе сертифицировался на EMV, но реально в терминалах софт не проапгрейтил. А на случай чарджбэка от полосатого эмитента защищен получается.

В любом случае это еще один пример того, как от перехода не EMV страдает простой клиент.

Сейчас от эмитента попросили подтвердить, что в авторизации совершенно точно был признак того, что терминал чиповый. После подтверждения непременно сообщу название банка и обслуживающего его процессора. Страна должна знать своих героев. А коллега накатает жалобу в MasterCard.

Скачал на iPhone и вечером пролистал две небольшие, но очень дельные книги Радмило Лукича:

• 10 секретов продаж – базовые принципы работы, которыми должен руководстоваться сейл, чтобы стать успешным (или его начальник подбирая кандидатов и оценивая результаты работы)
• Материальная мотивация продавцов – о том как построить систему оплаты труда и премирования за результаты работы продавцов и руководителей отделов продаж

Чем понравились книги? В них кратко, по существу (на прочтение каждой уйдет не больше часа) изложены базовые вещи по соответствующей теме. Ничего нового я там для себя не нашел, так же как и ничего спорного –  это квинтэссенция множества книг и практического опыта самого автора (который много лет работал сейлом, судя по всему как раз в банковский сектор). Будет полезна начинающим продавцам и крупным руководителям, которым не досуг читать много.

Рецепт простой – меньше жрать! Все остальные вещи типа бега и прочего не изменят ситуацию: люди жрут существенно больше, чем требуется даже для активных физических нагрузок. Я потолстел с переездом в Москву и всему виной бизнес-ланчи. Официант приносит: салат, суп, горячее и врод как за все уплачено – надо жрать (хорошо потом появились варианты сокращенных бинес-ланчей). В итоге, я вырос на пару размеров и появилось ярко выраженное пузо. Пиковый вес был 93 кило, а в целом он крутился вокруг 91 кило.

Кардинально снизить вес за несколько дней позволяет следующая диета: несколько дней питаться только кашами (гречка, рис, пшенка…) , сваренными на воде без соли. К кашам обязательно листья петрушки и редис\редьку\дайкон (примерно в таком же количестве, что и каши). Никаких ограничений на количество съедаемого в принципе не накладывается, но поверьте – совершенно безвкусной каши много в себя не затолкаешь и через несколько дней начинаешь мечтать о вкусе черного хлеба с маслом! :) Надо сильно ограничить потребление жидкости – пить только водуи как можно меньше (буквально пару глотков). Это очень упрощенное переложение системы питания Лисси Мусси, книжку которой серьезно читала жена. Собственно я сел на эту диету после жены и матери и еждневно терял примерно по полкило. В1ый раз удалось опуститься до 84 кило, после, чего килограмм прибавился тут же, но ограничивая потребление еды и практически полностью отказавшись от пива мне удалось целый год продержаться на уровне 85 килограмм. Перед этим Новым годом за 5-6 дней не такого строгого воздержания (в рис, например, добавлял мексиканскую сместь) удалось упасть аж до 81,3, которые в результате даже десятидневного новогоднего запоя не поднимаются выше 83. Т.е. я “сбросил” 10 кило.

Старые костюмы отправились в чулан и взамен 54го размера куплены новые 50-52 (в зависимости от лекал). Теперь смотря на то, сколько люди набирают на поднос в столовой или съедают за ужином я прихожу в ужас. Человеку, который не работает грузчиком, столько еды не надо и даже в жир организм столько еды переработать не может и она просто гниет в животах… на завтрак вполне достаточно съесть одно яйцо, на обед салат и кусок мяса или тарелку супа… Главное – не пить пиво, оно не только растягивает желудок, но и действительно моментально прибавляет вес. Недавно приезжал одноклассник и припер 2 ящика пива – отказаться не удалось и на следующее утро весы показали +2 кг! Я пиво заменил на красное сухое и вино совершенно по пиву не тоскую, тем более, что большая часть пива сейчас у нас это безвкусные газированные помои :)

Многим моим знакомым также удалось существенно скинуть вес, значительно сократив потребление еды.

С ночи на воскресенье (после ледяного катаклизма) дома нет света. И вот в1ые лет за 10 сидим и играем в карты. Свечи, икра, камамбер, шампанское, мандарины – шарманбля… господа гусары, молчать! :-)

PS жена рассказала свежий анекдот, услышанный по-радио: “кто последний будет улетать из этой страны – не забудьте выключить свет в аэропорту”.
Это вполне может стать лучшим анекдотом года!

Во время Cartes к одному из знакомых подошел его знакомый. Как выяснилось, он предлагает эквайерам продукт, который позволяет определять национальную принадлежность карты и делать эквайринговые операции в ее национальной валюте. Я ехидно поулыбался, но кто же знал, что уже через день я столкнусь с этим наебизнесом на собственной шкуре?…

Магазин Hugo Boss на Елисейских полях. Сумма покупки – 1150 евро. Ее мне и показывает пин-пад терминала, я подписываю ее PINом, после чего получаю SMS-сообщение об авторизации на … 48679.15 рублей! Удивляюсь, а тут на подпись подсовывают чек (т.к. сумма большая кроме PINа просят еще и подпись), где написано: “sale 1150 euro transaction currency 48679.15 RUR”. Тут же вычисляю, что реальный курс составляет 42,3297, а курс ЦБ (по которому мой банк конвертирует операции) на день авторизации (11 декабря) всего 40,9394, т.е. я как клиент угораю почти на 3,5%! Ну думаю ладно, даже интересно, что дальше будет (при клиринге), ведь валюта бина кары наверняка доллар (карта VISA). Почему-то сразу закралось подозрение, что произойдет еще одна переконвертация RUR-USD-RUR. Поэтому, когда я покупал запонки в аэропорту Шарля, я уже очень настороженно отнесся к предложению продавца “Вы хотите сделать транзакцию в рублях или евро” и попросил евро. У этого продавца на терминале горело “меню” и он выбрал евро, транзакция случилась в евро. Т.е. есть торгаши, которые безусловно пытаются сделать транзакцию в национальной валюте эмитента, а есть более честные, которые предлагают клиенту выбор. Стоит отметить, что из нескольких десятков операций покупок во Франции и Бельгии только 2 точки пока охвачены этим сервисом.

Вообщем, с клирингом я как в воду глядел. 15 декабря на мой рублевый картсчет легла проводка на сумму в 49736.85 рублей. Курс ЦБ к этому дню не много вырос и составил 41,2932, а мой персональный курс получился 43,2494. Таким образом, сумма моего угара выросла почти до 5% от суммы покупки и приложились к ней и эквайер и эмитент (пусть даже невольно). Перепроверил – другие операции, в евро которые прошли по счету тем же днем, прошли по курсу 41,4997, который за счет конверсии отличается от официального ЦБшного всего на 0,5% (это к слову о том, что выгоднее покупать евро здесь и вести с собой наличные или оплачивать покупки рублевой картой).

О результатах разборки с эмитентом сообщу (по-идее у меня на руках есть чек, где четко написаны две суммы в евро и рублях и банк должен списать либо точную сумму в рублях, либо по утвержденным тарифам конвертировать евро), а вообще имейте в виду и напрочь отказывайтесь от операций в “родной” валюте за рубежом.

За несколько дней до визита Медведевой, я также посетил этот чудный городишко с краткосрочным двухдневным визитом. Машину напрокат я взял в парижском аэропорту и через 3,5 часа въезжал в этот старинный (чуть ли не старейший город Европы).

По наводке Интернета забронировал номер в недорогом семейном отеле Asiris, который расположен в центре Брюгге (минутах в 10 пешком от центральной площади города). Гостиница небольшая с тесными номерами (традиционными для старой Европы), но гостеприимная. Есть Интернет, неплохие завтраки и все такое старое-старое, игрушечное-игрушечное… Отель ничего не предавторизует и рассчитывает по факту выезда.

Брюгге городок небольшой и красивый, но больше 2х-3х дней там, наверное, делать нечего. Если только это не романтическое путешествие с девушкой, включающее в себя ролевые исторические игры:). Центральные площади наводнены туристами, а уже через 200-300 метров начинаются обычные тихие улочки со старыми домами, на которых ни души не встретишь. Русские встречаются повсеместно, мы даже нашли русский магазинчик, торгующий всем подряд от огурцов, копченой рыбы и сока “Моя семья” (!!!!) до вина “Хванчкара Сталин” и русской порнухи из под прилавка (при нас двое джигитов с кавказа покупали пиво и диски).
заинтересовало? »»»

В этом году нет CTL, Tieto и даже OpenWay почему-то не приехал. ACI традиционно снимавший стенд, сравнимый по размерам с VISA и MasterCard, ограничился скромным уголком на стенде компании Bell.

Из “наших” с заметными стендами также  присутствуют БПЦ, Розан и украинский производитель пластика EDAPS.

Вчера в Париже выпал снег. Не сильный снегопад, как бывает у нас, а совершенно обычный – за день нападало сантиметров 5 на машину. Для Парижа это оказалось катастрофой. В новостях пишут, что это был сильнейший за 24 года снегопад, который даже вызвал задержку вылета французского премьера в Москву на 4 часа.

На машине с выставки Cartes мы выехать не смогли даже с парковки. Пробка начиналась еще до шлагбаумов и не двигалась никуда. Быстро сориентировавшись мы решили бросить машину тут (из пробки, то уже никуда не денешься) и уехать на электричке. Очередь за билетами была огромная, поэтому за моим проездным пристроилось паровозиком трое крупных руководителей и проникли через турникет зайцами (они не смогли вспомнить, когда делали это в последний раз:). В первый поезд просто не смогли влезть. В следующий, который пришел с задержкой минут в 15, втиснулись. На следующей станции он встал примерно на полчаса, так как не мог закрыть какую-то дверь. Машинист ласковым голосом по-французски периодически что-то говорил, заканчивая фразу словом “мерси”, и пшикал дверями, но мы так и не трогались. Судя по всему у них на станциях просто нет дежурного, который мог бы пойти и пнуть того, кто не дает закрыться двери. Реально поезд простоял около получаса непрерывно включая сирену и шипя пневматикой. Потом все-таки тронулся под радостные крики толпы. Надо заметить, что интонации машиниста все это время не менялись – вещал он что-то одинаково доброжелательно.

На этом лично мои приключения кончились, а вот у коллег они только начались…

Один из них просидел всю ночь в Шарль де Голле ожидая вылета, при этом все пункты общепита закрылись, оставив голодать кучу пассажиров задержанных рейсов. Коллега умудрился проникнуть в приоткрытый на уборку продуктовый магазин и взял с витрины еды и выпивки, честно оставив денег на кассе :)

Только что на стенд пришел другой коллега, который пытался в 10 вечера из центра Парижа, где мы сидели в ресторанчике, уехать в свой отель на выставке. Их было двое и попали в отель они только в …. 6 утра. Электричку (которая вообще-то идет в аэропорт Шарль де Голль) они прождали час и она не пришла, после чего пытались поймать такси и не смогли, в итоге ночевали в холле одного из отелей, где номер им не дали, но позволили ожидать приезда такси, которое так и не приехало за всю ночь. Уехали они только утром, когда пошли электрички. Многострадальный коллега сказал: ” как хорошо, что я не взял с собой в Париж жену, которая так просилась”.

Зато сегодня светит солнце. И французы продолжают ездить на своей летней резине по своим многочисленным развязкам и эстакадам.