Archiwum kategorii finanse i bankowość

Informacje mają być spójne

Omawiany przeze mnie problem nie dotyczy spójności informacji na nośnikach cyfrowych, ale tego, by informacje podawane online były zgodne z rzeczywistością. Rozziew opisywanej funkcjonalności z prawdziwie dostępną dotyczy różnych instytucji, właśnie doświadczyłem go na przykładzie Polskich Linii Lotniczych LOT. Otóż próbowałem odprawić się przez Internet na lot z Berlina do Warszawy.
Rzut oka na tabelę z informacjami o odprawie:

Tak, jest Berlin Tegel (TXL) na tej liście:

i rzekomo można odprawić się online. A także przez telefon.
Co też próbowałem zrobić:

Sprawdziłem jeszcze raz w ich wykazie czy jest to możliwe:

Jak widać – owszem. Ale nie działa.

Nie pomyliłem się przy wpisywaniu danych (najczęstsza przyczyna pomyłek to błąd między fotelem a klawiaturą), gdyż komunikat przy wpisywaniu błędnego kodu rezerwacji wygląda inaczej:

Nie powiodła się próba odprawy z systemu Lufthansy, na który kieruje link w rezerwacjach Miles And More:

Telefon do agenta potwierdził sytuację. Zatem coś nie tak jest z rezerwacją albo system PLL LOT źle działa.

Zadzwoniłem do biura PLL LOT w Warszawie (na przyszłość – +48 22 577 95 72) i spytałem się o możliwość odprawy online lub przez telefon. Niestety nie jest to możliwe. Pani w call center dość długo analizowała problem i powiedziała, że nic nie można zrobić, bo z Berlina połączenia są odprawiane u agenta na lotnisku i nie jest to awaria. Tymczasem informacja na stronie mówi coś innego.

Zastanówmy się teraz nad skutkami niedopatrzenia

Czy to wpływa na bezpieczeństwo portalu? Być może. Sądząc po czasach odpowiedzi, system odprawy online PLL LOT jest wrażliwy na atak odmowy obsługi.

Jakie są mierzalne skutki powyższego błędu na portalu PLL LOT? Cztery dość długie międzynarodowe połączenia telefoniczne do Warszawy (wg eurotaryfy około 35zł), zajęty czas call center (trudno mi ocenić te koszty), późniejsza analiza problemu przez specjalistów, a zatem ich czas (jeszcze trudniejsze w ocenie). Mam nadzieję, że błędy odprawy online są w ogóle analizowane. Jeśli nie, to znaczy, że coś jest nie tak z polityką bezpieczeństwa.

Niemierzalne wprost skutki błędu? Zdenerwowanie i zniechęcenie klienta. Utrata marki, skojarzenie marki z problemami technicznymi przy operacjach podstawowych dla użytkownika. W moim przypadku także to, że na lotnisku muszę być znacznie wcześniej – lecę tylko z bagażem podręcznym, więc mógłbym się odprawić wcześniej i po przyjeździe pójść od razu do bramki. Czekać krócej.

Gdyby podobny błąd pojawił się w serwisie transakcyjnym banku, przełożyłby się na pewno na większe koszty, gdyż klient musiałby zadzwonić do call center lub próbował załatwić sprawę w oddziale. Branża finansowa umie jednak liczyć koszty przerw w pracy i błędów w portalu.

Problemy na portalu usługowym będą odstraszać i zniechęcać klientów, zatem jeśli Twoja firma posiada portal webowy oferujący usługi, to muszą w nim działać wszystkie opcje, którymi się chwalisz. W przypadku problemów po stronie portalu, (co miało miejsce w tym przypadku, gdyż podałem poprawny numer rezerwacji i nazwisko) zamiast komunikatu sugerującego błąd użytkownika, należy wskazać alternatywny sposób wykonania czynności.

Spójne informacje o dostępnych funkcjach lub ewentualnej awarii oszczędzają czas i pieniądze.

Epilog: Na zgłoszenie problemu pocztą elektroniczną dostałem odpowiedź. Był nią autoresponder:

Dear Senders, I am out of office (30 MAY). I will respond to your email after my return.

Obyś żył w ciekawych czasach

Gdy rozmawiałem z ekspertami w dziedzinie bezpieczeństwa, takimi jak Uri Rivner (RSA), Rik Ferguson (Trend Micro) czy Ira Winkler (ISAG), podkreślali oni, że ataki kierowane przeciw firmom są tylko kwestią czasu. Typowo kradzieże dokonywane były przez przechwycenie danych z komputerów domowych (głównie informacje o płatnościach elektronicznych, karty kredytowe) lub bankomatów (skimming kart płatniczych).
Przestępcy zorientowali się jednak, że siedzą na żyle złota – 30% zarażonych ZeuSem/ZBotem komputerów to maszyny firmowe. Dlaczego zatem nie sprzedać tych informacji komuś, kto za nie zapłaci? Albo dostarczy innych korzyści, takich jak nietykalność w danym kraju? Do tego celu można wykorzystać jakiegoś nowego trojana, by oddzielić tę część biznesu od pospolitych fraudów. Tak też się stało.
W ciągu ostatnich lat bardzo zmienił się krajobraz bezpieczeństwa. Zamiast amatorskich wirusów robionych dla rozgłosu, powstały komercyjne włamania, z przejętych komputerów tworzone są całe sieci, których zasoby są sprzedawane na podziemnych giełdach. Pojawiły się trojany w bankomatach, coraz więcej złośliwego oprogramowania pojawia się na platformę alternatywną – MacOS X.
Minęliśmy zatem kolejny kamień milowy – ataki kierowane przeciw firmom są już faktem. Tekst o APT, czyli o zagrożeniach komputerowych klasy militarnej kierowanym przeciw firmom komercyjnym ukazał się w numerze 6 tygodnika, jest dostępny online. Czwartkowe rozmowy na temat bezpieczeństwa sieci IPv6, które prowadziłem ze specjalistami na konferencji Cisco Forum 2012 potwierdziły, że czekają nas ciekawe czasy. Obyś żył w ciekawych czasach.

System wykrył atak, ale nikt go nie słucha

Po raz kolejny okazuje się, że przyczyna problemów z bezpieczeństwem może znajdować się między fotelem a klawiaturą. Wewnętrzne śledztwo prowadzone w banku UBS wykazało, że systemy zarządzające ryzykiem wykryły niecodzienną aktywność maklera Kweku Adoboli. Przypomnijmy – na instrumentach pochodnych stracił on 1,3 miliarda funtów szterlingów. Problem polegał nie na tym, że nikt nie wykrył jego działań, ale na tym, że nikt nie podjął stosownych działań po zgłoszeniu alertu przez systemy monitorujące aktywność i zarządzające ryzykiem w tej instytucji. UBS odmówił wyjaśnień brytyjskiemu wydaniu Computerworld na temat systemów wykorzystywanych w tej instytucji, ponadto nie ujawniono czy Adoboli obszedł któreś z zabezpieczeń, czy po prostu udało się obejść przynajmniej część tego systemu. W wyniku tego zdarzenia ze stanowiska zrezygnował prezes banku Oswald Grubel a także dwóch innych szefów global equities business: Francois Gouws oraz Yassine Bouhara.
Wiadomość na ten temat jest tutaj.
Jestem ciekawy jak wygląda stan zabezpieczeń polskich banków przed takimi zdarzeniami. Każdy bank posiada komórkę zarządzania ryzykiem, która powinna posiadać odpowiednie instrumenty kontrolne, także do transakcji na rynku instrumentów pochodnych. Wiem, że nikt oficjalnie tego nie powie, ale może uda mi się dowiedzieć czegoś ciekawego.

Wszystko jest łatwe- atak też

Duże korporacje finansowe i medialne mają tendencję do marginalizowania tego, co może zrobić grupa ludzi. Wynika to z tradycji, gdyż w demokratycznym państwie grupa krzykaczy z jednego miasta mogła co najwyżej zorganizować jakąś manifestację, ograniczoną w zasięgu i skutkach. Obecnie Internet sprawia, że zorganizowanie masowego ataku staje się o wiele łatwiejsze. Są też gotowe narzędzia, łatwe w obsłudze i skuteczne w działaniu.
Ostatnie ataki wymierzone przeciw organizacjom blokującym finanse Wikileaks pokazują dobitnie, że potęga ataków DDoS nadal jest niedoceniana przez firmy.
Narzędzia też są lepsze – dzisiejsze ataki DDoS nie muszą wiązać się z powodzią pakietów SYN (atak znany od lat), czy wysyłaniem mnóstwa śmieci po TCP/UDP. Mogą to być normalne zapytania HTTP, tyle, że w zmasowanej formie. Może być to bardzo podstępny i ciekawy atak, który polega na stopniowym przejmowaniu wolnych gniazd w podatnym serwerze, realizując coś w rodzaju SYN flood over HTTP. Niekiedy atakowana firma wykupuje pakiet miesięcznego transferu, zatem wykorzystanie go sprawi, że automat dostawcy wyłączy taką stronę. Efekt zostaje osiągnięty, można to zrobić z jednego komputera i szybkiego łącza w ciągu kilku godzin.
Potęga dzisiejszych ataków DDoS wynika stąd, że do ich przeprowadzenia wystarczy mały botnet albo większa grupa ludzi, którzy pobiorą i uruchomią łatwe w użyciu narzędzia.
Czym atakować? Tu jest długa lista. Tak mocno reklamowany program Low Orbit Ion Cannon nie jest wcale najlepszym, po prostu umożliwia atak DDoS z maszyn z systemem Windows przez grupę zwykłych użytkowników. Tylko tyle. I nie jest to jedyne narzędzie, które do tego celu służy.
Jak się bronić przed czymś takim? Bardzo trudno, gdyż tylko niektóre IPSy posiadają inteligentne narzędzia obrony przed DDoS, większość wprowadza po prostu limit dostosowany do możliwości serwera.
Dlatego grupa aktywistów z 4chan.org może zablokować praktycznie każdy serwis internetowy, który uzna za wrogi, a zestaw kilku botnetów może wyłączyć zasoby internetowe całego kraju (patrz: Estonia) i każdego portalu (jak rosyjski atak przeciw portalowi gazeta.pl)

Zachmurzone nowości

W IT zachodzą zmiany. Obecnie więcej aplikacji instaluje się w środowiskach wirtualnych, niż bezpośrednio na sprzęcie. Coraz więcej firm będzie mogło budować własne chmury, budować zasoby i sprawnie wykorzystywać je.
Obecnie nacisk powinien być położony nie tyle na samą wirtualizację, nie na uruchamianie systemów operacyjnych wraz z całym bagażem plików i ustawień, ale na powszechne wykorzystywanie frameworków, które umożliwią budowanie aplikacji wieloplatformowych, które można przenieść między chmurami.

Relacja z VMworld 2010 ukaże się w najbliższym numerze tygodnika Computerworld.

Wywalcie Excela!

Po czym poznać nieoptymalnie zarządzaną firmę z górnego przedziału MSP? Po tym, że w dziale handlowym oraz finansowym korzysta się głównie z arkuszy Excela.
Prostota i dostępność arkuszy była zachętą dla wielu firm – to się da zrobić samemu, wystarczy jakaś znajomość Excela plus odrobina inwencji. Większość z tych zjawisk nie jest związanych z konkretnym oprogramowaniem Microsoft Excel z pakietu Office, gdyż identyczne zjawiska mogą wystąpić także przy produktach innych firm. Jakie są ich skutki? Podam na przykładzie pewnej małej firmy.
Stan zastany:
420 arkuszy MS Excel (w firmie trzy wersje MS Office’a- 2000, XP, 2007) pogrupowane po 24 katalogach. Skanowanie zawartości stacji roboczych znalazło dodatkowo 124 kopie tych samych arkuszy. Porównanie zawartości oraz czasów utworzenia i dostępu udowodniło, że ludzie pracują na nieaktualnych arkuszach!
Oprócz tego nikt nie potrafił powiedzieć skąd naprawdę brane są dane do obliczeń. Analiza zależności prowadzi do plików, ale połączeń jest tak wiele, że prześledzenie wszystkich połączeń w poszukiwaniu jednego błędu zajęło prawie cztery godziny.
Co było przyczyną? Zmiana w planie kont (dodanie JEDNEGO konta w czwartym zespole), która spowodowała zmianę szablonu i struktury arkuszy, z których były brane dane. Wbrew pozorom, firma wcale nie wykonywała jakiś zaawansowanych obliczeń, raport, który budził wątpliwości, dotyczył podziału kosztów pod względem MPK – standardowy raport w wielu porządnych systemach ERP. Ale ta firma korzystała z protezy raportów ERP zrobionej właśnie za pomocą Excela i narzędzi VBA.
Analiza zależności plików pokazała, że jedna zmiana spowodowała lawinę problemów, wątpliwe dane były generowane przez cztery inne raporty, tworzone właśnie w Excelu. Te dane były pobierane automatycznie, bez sprawdzania zawartości, bo niełatwo to wykonać.
Linki oraz nieaktualne dane to nie był jedyny problem w tej firmie. Najbardziej dały się ludziom we znaki obiekty umieszczane w skoroszytach.
Coś, co miało być rewelacją, stało się kulą u nogi – niezgodność między wersjami Excela przy makrach. Zaawansowane makro pracowicie oprogramowane w Excelu 2000, nie działa w 2007. Ponadto plik zapisany w Excelu 2007 (.xlsx) nie da się otworzyć w 2000, nawet mimo użycia konwertera. Dlaczego? Bo posiada osadzone obiekty (np. wykresy, schematy organizacyjne) w innej wersji, niż obsługiwana przez starszą wersje pakietu. Firmowemu informatykowi nie udało się zapisać pliku tak, by wszystko było zgodne wstecz. Dlatego zrezygnowano z makr i standardem zapisu jest stary format XLS. Bo działa.
Wrogiem nie jest program Microsoft Excel, bo jest to świetne narzędzie, z którego warto korzystać. Ale do wszystkiego się nie nadaje. Systemu ERP + CRM na pewno nie zastąpi.

Co można było zrobić z taką firmą?
Wyjściem było całkowite wywalenie Excela. Nie odinstalowanie tego programu, ale migracja do systemu, w którym wszystkie raporty były wbudowane.
Coś, co przedtem wymagało eksportu danych, przeklejenia do nowych arkuszy, połączenia i uruchomienia raportów, jest teraz dostępne na życzenie w czasie kilkudziesięciu sekund. Dodatkowym bonusem nowego oprogramowania są parametryzowane raporty, które przedtem wymagały sporo pracy z tabelami przestawnymi, filtrowaniem i przeklejaniem.
Przy okazji okazało się, że dwie deklaracje podatkowe zostały obliczone źle, gdyż arkusz Excela, który pomagał księgowej w obliczeniach, pobierał dane z nieaktualnego arkusza źródłowego. Wystawiono korekty, wprowadzono poprawki i sprawa ta jest już przeszłością. Podobnie jak cały arsenał arkuszy, które nie są już potrzebne. Decyzje można podjąć szybciej – a to się też liczy. Następnym krokiem bywa np. wdrożenie hurtowni danych.
Zmian na lepsze życzę każdej „excelowanej” firmie. Taka firma to dinozaur, a my się znajdujemy blisko podziału kredy i trzeciorzędu. Era mezozoiczna niebawem się skończy.
O problemach związanych właśnie z masowym wykorzystywaniem arkuszy kalkulacyjnych w firmach (nie tylko Excela, problem dotyczy arkuszy w ogóle) przeczytacie w najnowszym wydaniu tygodnika Computerworld.

Technoblog dociera wszędzie

Komunikacja elektroniczna dociera wszędzie, wystarczy łącze do Internetu. Oto dowód.

To nie jest fotomontaż. Zdjęcie zostało zrobione na lotnisku w Królestwie Bahrajnu, jest to kiosk internetowy operatora Batelco.

Technoblog naprawdę dociera wszędzie, gdzie jest Internet. Papier nie ma takiego zasięgu, jest to zupełnie inne medium.
Na konferencji, w której brałem udział, udowodniono ponad wszelką wątpliwość, że transmisja elektroniczna wideo dobrej jakości jest przyszłością w wielu dziedzinach. Należy do nich między innymi medycyna. Technologia jest już dostępna, ale trzeba będzie pokonać niektóre bariery – na przykład ceny i dostępności łącz o wymaganej jakości. Jest to problem w wielu krajach, przy czym każdy kraj musi znaleźć swój sposób na to. W krajach o dużym potencjale rozwoju (a takim krajem jest także Polska), bardzo wiele można zdziałać współpracując z organizacjami państwowymi, które stworzą dobre warunki rozwoju dla nowoczesnej technologii.

Czy PDF jest groźny?

Jako format – na pewno nie. Ale problem pojawia się wtedy, gdy czytnik PDF posiada lukę w bezpieczeństwie. Jest to dość niebezpieczny przypadek, gdyż plik ten może być zagrożeniem nawet wtedy, gdy nie jest otwierany. Większość dzisiejszych desktopowych systemów operacyjnych posiada obecnie usługę indeksowania, która w tle przegląda wszystkie dokumenty użytkownika. Typowo wtyczka taka korzysta z biblioteki dostarczanej przez Adobe i jest wywoływana także wtedy, gdy użytkownik tego pliku nie otwiera. Narzędzia te indeksują także katalogi tymczasowe. Zatem złośliwy kod umieszczony w rozszerzeniu Javascriptowym zacznie działać (wtyczka używana przy indeksowaniu ignoruje ustawienia czytnika!), infekując maszynę.

Jednym z niewielu systemów, które nie korzystają z Adobe Readera oraz ignorują JavaScript przy indeksowaniu jest Linux, gdzie wykorzystywany jest filtr pdf2text. Narzędzie to ignoruje rozszerzenia takie jak JavaScript zatem jest odrobinę bezpieczniejsze od indeksowania z pełną analizą obiektów. Podobnie zachowuje się xpdf oraz SumatraPDF – darmowy czytnik PDF dla systemu Windows.

Problem z zagrożeniem rozsiewanym w plikach PDF nie polega na tym, że format jest niebezpieczny, ale pochodzi stąd, że najpopularniejszy czytnik PDF na świecie posiada bardzo poważne luki w bezpieczeństwie. Ponadto czas od ujawnienia luki w Readerze do jej załatania jest długi – właśnie z tego korzystają cyberprzestępcy.

Należy pamiętać o tym, że każde oprogramowanie (także alternatywne, nie tylko Adobe Reader) może posiadać luki w bezpieczeństwie i bezwzględnie należy zadbać o jego aktualizację. Przestępcy korzystają także z luk w starszej wersji Foxit Readera, przy czym ani DEP, ani ASLR nie chroni akurat przed tym zestawem eksploitów. Bardzo ciekawy materiał na temat zagrożeń w 2009 r. opublikował CERT Polska, artykuł na ten temat ukaże się w najnowszym numerze tygodnika Computerworld.

Podziemna infrastruktura

Regularnie piszemy o zagrożeniach związanych ze złośliwym oprogramowaniem, zatem ponownie przyjrzymy się temu co w pecetach piszczy, a nie powinno. Tym razem najnowsza wersja Zeusa doczekała się nawet ochrony przed piratami na wzór MS WGA (za Securitystandard.pl). Sam trojan posiada własną komercyjną licencję,  jest używany masowo i służy do kradzieży pieniędzy, stanowiąc część podziemnego arsenału złodziejskiego. Postarałem się to naświetlić w dwóch tekstach opublikowanych w nr 42 i 43/2009, omawiając przy tym mechanizm nielegalnych transakcji i współpracy między przestępcami, a także samo pobieranie i dystrybucję kradzionych danych. Rozmowy z ekspertami udowadniają ponad wszelką wątpliwość, że sprzedaż danych kwitnie. Potwierdza to także mały rekonesans po portalach hackerskich. Oto przykład opinii po transakcji sprzedaży ruchu na stronę związaną ze złośliwym oprogramowaniem (klik powiększa obrazek, tł. moje).

Niebawem przygotuję tekst na temat zagrożeń związanych z bankowością elektroniczną. Trojan ZeuS nie pozostaje bez wpływu na fraudy i dlatego zagrożenie ze strony tego złośliwego kodu także należy wziąć pod uwagę.

Bardzo dobry tekst porównujący ZeuSa z innym trojanem Pinch, można znaleźć tutaj (witryna w języku rosyjskim). Na tym samym portalu jest także instrukcja obsługi do ZeuSa (również w języku rosyjskim, niestety do starszej wersji). Jest to ciekawy materiał, warto poświęcić mu kilka chwil.

Tymczasem jeszcze raz brawa dla polskich informatyków w bankach – informację na temat pojawienia się kilku polskich witryn w konfigach ZeuSa otrzymałem właśnie od zaprzyjaźnionych adminów, którzy na bieżąco śledzą to, co botnety robią. Poziom bezpieczeństwa bankowości online jest w Polsce dość wysoki, ale nadal występuje ryzyko związane z obecnością złośliwego oprogramowania na stacji roboczej.

Mieliśmy w rękach najnowszy procesor

Dzisiaj odbyła się polska premiera najnowszego procesora RISC – jest nim Power7 firmy IBM. W skrócie: technologia 45 nanometrów, 1,2 mld tranzystorów, 8 rdzeni po 4 wątki każdy, częstotliwość taktowania ponad 4,1 GHz, nowa architektura pamięci eDRAM (na bit informacji wykorzystuje się jeden tranzystor i jeden kondensator, w tradycyjnym modelu ponad 6 podzespołów) i bardzo duży rozmiar cache L3 (32MB). Działa w całym zestawie maszyn (od jednoprocesorowych po bardzo wysoko skalowalne i mocne serwery), jest zgodny binarnie wstecz i znacznie szybszy od swojego poprzednika. Szczegóły napiszemy niebawem na łamach tygodnika Computerworld.

Oprócz tradycyjnych prezentacji, przywieziono także wafel krzemowy. Struktura Power7 wygląda tak (bardzo dobrze widać wszystkie osiem rdzeni):

Proces produkcji trwa 2 miesiące, z płytki wycina się 80 procesorów, do wykorzystania nadaje się od 56 do 70 sztuk, gdyby wszystkie były sprawne, taki wafelek kosztowałby około 6 mln złotych.

Mieliśmy w rękach najnowszy procesor IBMa – Power7.