Дыры в информационной безопасности бывают разные. Бывают дыры в софте, бывают в железе, бывают в головах людей. А еще бывают в документации. Вот, к примеру, прямо сейчас на сайте весьма известного в Украине банка лежит инструкция, призывающая пользователей корпоративного интернет-банкинга доверять любым фишинговым сайтам, выдающим себя за банк, забивая при этом на все предупреждения браузера о неверных сертификатах. А ведь хотели, наверное, сделать людям полезную доку. Но получилось как всегда.О чём речь?
Идем вот сюда и качаем доку Подготовительные работы. Можете не читать всё (там много) — я процитирую ключевое место документа:
«Программа генерации ключей находится на сайте банка, для того чтобы ее загрузить на компьютер пользователя необходимо:
Установить связь со своим провайдером internet, активировать Internet-обозреватель, в адресной строке IE ввести адрес: — client-bank.privatbank.ua/p24/c2b_install и нажать „Enter“. Откроется страница:
В данном сообщении говорится, что загружаемое программное обеспечение принадлежит ПриватБанку, его подлинность подтверждается сертификатом Tawte Premium Server CA и банк подтверждает безопасность данного приложения. „
Где собака зарыта?
Итак, внимание — на скриншоте мы чётко видим сообщение браузера о том, что сертификат выдан черти-кем и доверять этому сайту нифига нельзя. В сообщении под скриншотом это сообщение объясняется как “всё ок, так и должно быть, это сайт приватбанка и его софт». А мы помним, что далеко не все владеют английским на должном уровне и, соответственно, верят этому объяснению. Всё, приехали, сушите весла — если пользователь, начитавшись этой инструкции, увидит предупреждение браузера о фишинговом сайте — он его проигнорирует. И потеряет деньги.
Как же такая фигня получилась?
Я, конечно, не знаю точно, но мне кажется, что всё было так. Над документом работали 2 человека. Один (назовем его Программист) был умный и реально понимал что тут и как. Вторая (назовем её Секретарша) была глупой и ничего не понимала, только Вордом умела пользоваться и копипастом еще. Программист, понимая, что от Секретарши чудес ждать не приходится, наделал скриншотов процесса установки ПО, на каждом скриншоте заботливо поместив галочку, обясняющую, что нужно нажимать. Будучи полностью уверенным, что этого хватит и тут уж надо очень постараться, чтобы что-то запороть, он отдал эти скриншоты Секретарше со словами «на, подописывай там между картинками словами что и где нажимать — я там галочками отметил». Но Секретарша всё-равно смогла облажаться! Логика у неё, я так думаю, была такая:
«Так, тут человек должен нажать „Начать процедуру подключения“. Но ведь на экране такое страшное окно с ворнингом! Что делать? Надо как-то объяснить пользователю, почему всё ок. А перед этим хорошо бы понять самой… Ну вот тут вроде бы написано про сайт Приватбанка… И еще вот что-то о сертификате Tawte Premium Server… Ну вот напишу, что поэтому всё и хорошо». И написала. А в действительности, то, на что смотрела Секретарша, вовсе не было сообщением браузера об ошибке сертификата. Вернее, это как раз оно и было, но вот только показывал его не тот Firefox, что на экране, а другой браузер, а этот Firefox показывал всего-лишь страничку со скриншотом этого сообщения. И показывал её как раз для того, чтобы предупредить пользователя об опасности. Вот она, эта страничка в нынешнем её виде. Т.е. получилось, что Секретарша, напугавшись скриншота в скриншоте (вау, рекурсия) попыталась как-то его объяснить себе и пользователю. В результате чего нас призывают верить фишинговым сайтам. Круто, правда?
Это всё, конечно, только моя версия происходящего, но мне кажется где-то так и было. Потому что второй вариант — это осознанная диверсия. А как говорит Бритва Хэнлона: «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью».
Итог
Фиксить баги нужно везде, и в документации тоже. В Приватбанк отослано письмо со ссылкой на эту статью. Уведомлять их тайно нужным не считаю, поскольку прямой угрозы банку нет, просто глупости в доках написаны.