Предыдущий пост: https://pikabu.ru/story/nachalo_puti_5741712

В виду того, что я был человеком от страхования, работать меня взяли в подразделение, которое занималось аудитом финансовых институтов. Преимущественно клиентами были банки, чуть менее страховые компании, ну и немного лизинга и инвестиционных компаний.

При этом, никто тебя не будет спрашивать, что ты знаешь лучше – скажут, что ты идешь на проверку банка, ты идешь, скажут на страховщика…пойдешь на страховщика.

Вот и моим первым клиентом оказалась не страховая компания, а один уральский банк. А это означало, что сразу командировка.

Началась она шикарно.

Дело было вечером. И для начала я, до этого особо не летавший на самолетах, приперся в Шереметьево раньше всех остальных членов команды. Ну ничего, подождем. Организм молодой, терпения не занимать, да и внутреннее состояние предвкушения начала чего-то нового в жизни держит в тонусе.

Потом рейс задержали на час.

И еще на час.

И еще на два.

И еще на час…

Потом, видимо, кто-то из уполномоченных принимать такие волевые решения подумал и сказал: «не будем мелочиться, рейс задержан до утра. Всем спокойной ночи».

По прошествии 7 часов в аэропорту Урал был все также далеко, как далеко уже было и терпение, пусть и молодого организма.

Но, хвала небесам, точнее небожителям той авиакомпании, которой мы летели, ибо они приняли решение не просто раздать ожидающим пассажирам некое подобие провианта в виде сухого пайка, а разместить нас в соседнем отеле под названием Новотель.

Помню, номер мне показался великолепным. Не предполагал я тогда еще сколько будет этих номеров в моей жизни…больших и маленьких, шикарных и убогих. Но не это главное…

Главным впечатлением оказался завтрак. В Новотеле была ну просто потрясающая выпечка! В то утро мне казалось, что вкуснее я ничего не ел. А может банально хотелось есть.

Но факт остается фактом – в моей голове появилась и крепко укоренилась еще одна ассоциативная связь, т.к. до сих пор, когда слышу запах вкусной выпечки, частенько вспоминаю ту первую командировку, задержку рейса до утра и Новотель с его булочками.

После того как от булочек остался только запах (да и тот лишь в памяти), было покрыто расстояние до восточного склона Уральских гор, наконец настал час Х – выход на проверку.

И если до этого момента весь я благоухал какой-то уверенностью, я бы даже сказал самоуверенностью, то сейчас пришло осознание, что эта самоуверенность не подкреплена по большому счету ничем.

Ведь если вдуматься….А что я знаю об аудите? Только теоретический курс «Аудит» в ВУЗе, материалы которого в дальнейшем не пригодились ни разу в жизни.

А об аудите банков? Да ничего от слова совсем.

Но это была не главная засада, которая ожидала меня в первый день на проверке. И подсуропили в этом старшие товарищи, которые, собственно, и руководили проверкой.

Оказалось, существует такая практика: перед тем как приступить непосредственно к работе, происходит знакомство с руководством, ключевыми фигурами и прочими значимыми персоналиями компании, которую мы вот-вот подвергнем тщательному и всестороннему досмотру.

Только вот знакомство это проходит не в таком формате: «Добрый день. Я %username%. Рад знакомству». Нет.

Оказалось, что представившись, надо еще кратенько рассказать что ты будешь проверять (какие участки их деятельности), а главное – КАК проверять! И узнал я об этом, когда весь топ-менеджмент банка был собран и представление членов нашей команды шло полным ходом.

Старшие товарищи уверенно вещали о своих зонах ответственности, о том, что им понадобится, как будет происходить взаимодействие и т.д. и т.п. А мой, уже испуганный на тот момент до какого-то невероятия, мозг лихорадочно соображал… «блин, чё говорить-то? Говорить-то чё?». Ведь единственное, что я знал – это какие участки я буду проверять. Но я ни разу не знал КАК их проверять. Предполагалось, что обучение будет происходить непосредственно во время проверки. И по всему выходит, что о чем говорить я не знаю.

Ни за 7 часов в аэропорту, ни в отеле, ни в полете, да навалом времени было…ни одна зараза из старших не упомянула об этой процедуре знакомства и представления себя. Знай я это, хотя бы вопросы им позадавал и подготовил свой незабываемый спич. А так…всё, позор локального масштаба уже буквально через минуту. И даже спрятаться негде.

Как гласит известная всем пословица – выше головы не прыгнешь. Собственно, исходя из этого посыла и была выбрана линия моего представления себя. Понадобилось лишь напустить на себя остатки уверенности, сделать серьезное лицо и выдать: «Добрый день. Я %username%. Рад знакомству. В ходе нашей совместной работы я буду взаимодействовать с ответственными сотрудниками банка, отвечающими за участки 1,2,3… Более подробно и предметно всё обсудим уже тогда по ходу работы». И далее повернуть голову и вперить взгляд в сторону следующего члена команды, который еще не представлялся. Ну, вроде как эстафетную палочку я передал, а от меня теперь отстаньте.

Отстали. Дополнительных вопросов и уточнений не было.

А в это время под рубашкой и пиджаком стекали струйки пота, и, наверное, первый волос в моей шевелюре начал приобретать благородный седой окрас. Или приобрел.

Начало тут -> https://pikabu.ru/story/kak_audit_menya_nashel_5740158

Не буду говорить как всё происходит в других аудиторских компаниях, даже несмотря на то, что и знаю, продолжу сугубо о своем эмпирическом опыте, своих эмоциях, впечатлениях и чувствах в "большой четверке" (она же "Big4", она же "четверка").

Итак, если вы прорвались в четверку, даже не надейтесь, что сейчас же вас отправят на проверки к клиентам шашкой махать, выявлять нарушения и радостно об этом сообщать, чувствуя удовлетворение от проделанной работы. Нет.

Сначала учиться. Во всяком случае в мое время было так.

Учеба заключалась в начале получения сертификата АССА. Не буду подробно останавливаться на том, что это за беда такая (гугл в помощь), скажу лишь, что следующие несколько лет вы будете учиться. И работать. Параллельно, одновременно, ночами. Потому как работа будет занимать практически всё ваше время. Иногда и личное.

Старшие товарищи рассказывали весьма грустную историю о парне, который отработав весь день (раб.день не заканчивается в 6 вечера, учтите), приходил домой, в гостиницу (если проверка в другом городе), до посинения зубрил АССА, пока мозг не начинал взрываться от переизбытка информации. А так как уснуть в таком перевозбужденном состоянии порой весьма сложно, он выпивал бутылку водки и проваливался в сон. Спился.

Лично я таких людей не встречал. Так что это, скорей, исключение из правил.

Итак. Начало работы в четверке - это учеба месяц или два (если честно, точно уже не помню). Разочарование, уныние. Как так? Я же только-только вылез из-за учебников, а тут опять? Я же стал взрослым, я пришел работу работать и делать серьезное дело, деньги зарабатывать.

Дам совет - насладитесь этим временем, этой халявой. Больше такого не будет. Поверьте.

Обучение было на английском языке (одно из условий работы в четверке - знание языка). Может сейчас всё уже адаптировано под русский, если честно не отслеживал.

У нас был добрейший тьютор по имени Марк, который повторит непонятое, отпустит если надо и никому не скажет при этом (лично мне однажды напомнила о себе язва, ни о какой учебе я уже думать не мог, нужно было к врачу).

Сама учеба - тёмный лес. Если в ВУЗе нас обучали российскому бухгалтерскому учету и аудиту, то здесь всё было не наше, вражеское, иностранное...международные стандарты, чтоб их, с которыми лично я в дальнейшем так и не подружился.

Думаю, что сейчас всё также, как и было раньше, поэтому совет: при начале работы в BIG4 потребуется перевод и описание на английском языке предметов, которые вы изучали в своем ВУЗе. Изучите какие т.н. бумаги (предметы, проще говоря) есть сейчас при сдаче на АССА и что изучается в этой бумаге. Там где есть соответствие между вашим предметом в ВУЗе и бумагой АССА, переводите свои российские предметы и давайте их описание максимально приближенно к тому, как это описано в программе АССА.

Зачем?

Затем, что некоторые бумаги АССА вам могут зачесть автоматом. И не придется сдавать по ним отдельный экзамен.

С обучением предлагаю закончить и перейти к практике.

По моему личному внутреннему убеждению к моменту окончания школы (в твои нежные 16-17 лет) мало кто способен четко, ясно и осознанно выбрать свой дальнейший путь, а, соответственно, и профильный ВУЗ. Я знал лишь, что хочу учиться экономике.

А факультет? Экономические специальности они ведь такие…весьма разные.

Вот тут-то на первый план и выходят советы старших товарищей.

Т.к. непосредственно в моей семье все имели к экономике весьма опосредованное отношение…

Хотя кого я обманываю? Никто и никакого отношения к экономике не имел. Поэтому моим советчиком был один знакомый семьи, работавший тогда в одной международной аудиторской компании, входящей сегодня в так называемую «большую четверку».

Вот именно после разговоров с ним в далеком 1997 году мои ноги и принесли меня в приемную комиссию выбранного ВУЗа, а руки подали документы на факультет «Бухгалтерский учет и аудит».

Далее были экзамены, нервы, волнение и…я не прошел. Да, мне не хватило проходных баллов.

Зато в ВУЗе предложили зачислить на другой факультет, проходной балл на который был ниже. И так как основная цель была – поступить, я пошел учиться на факультет «Страхование», теша себя мыслями, что через годик переведусь на «Бухучет и аудит».

В течение первого курса молодое, гибкое и склонное к изменениям сознание поменялось и не нужен мне был уже никакой аудит, страхование меня устраивало более чем. Я остался.

Шли годы...

Став постарше, а именно, закончив третий курс, почти все сокурсники стали активно искать подработку. Я не был исключением. Но т.к. особой надежды устроиться по специальности еще не было, искали что угодно и где угодно.

Лично я приехал на работу к отцу, за полчаса сваял свое первое резюме, открыл журнал «Эксперт» и разослал факсы (вы не ослышались – факсы!) во все компании, которые давали в журнале рекламу.

Звонок, который расставил все точки над i, раздался…через год, в преддверии 5-го курса.

Позвонили из международной аудиторской компании, входящей сегодня в так называемую «большую четверку».

Это была не та компания, в которой работал мой советчик перед поступлением в ВУЗ, но одна из них. Крупнейших в мире.

Мне предложили пройти отбор в их ежегодную Internship Program (практика иными словами), с возможно дальнейшим трудоустройством в компании. Я был интересен тем, что знал страхование, а им нужны были аудиторы для работы на страховых проектах.

Вот так и произошел в моей жизни микс двух, казалось бы, разных специальностей…страхования и аудита.

Если будет интересно почитать о жизни аудитора и дальше, продолжу дублировать посты из своего канала и для сообщества Пикабу. Не ставлю себе целью перегружать читателей информацией о том, как проводить аудиты, нет. Только истории, курьезы, случаи, ситуации, возникающие в ходе работы и вне ее.

Попросил один знакомый узнать почему в Android-приложении в игре одной кофейни всегда выпадают ноли, то есть всегда проигрыш, бесплатный кофе не выигрывается ни разу.

Я являюсь всего лишь программистом-любителем (знаю по немного C#, Python, Delphi, Visual Basic), никогда не пилил приложение для Андроида (хотя давно уже хочется сделать свой первый "Hello World!", на каком нибудь фреймворке.

До этого меня тоже просили сделать аудит фирменного Андроид-приложения, где я сейчас работаю (это был первый аудит), поэтому маломальский опыт в этом уже есть.

Скачав приложение, вооружившись сниффером траффика, запускаю приложение. Просит авторизацию по телефону. Вводим левый номер, смотрим сниффер. И что мы видим?
Мы видим отправку HTTP запроса с номером телефона и получаем в ответ.... ОТПРАВЛЕННЫЙ КОД ДЛЯ СМС!!! То есть не "ОК, я отправил СМСку", а сразу код, который должен придти по СМС! Наверно это сделано, что бы не долбали запросом с неверными кодами СМС, а он просто сравнивает в памяти приложения что вводит пользователь и полученный по HTTP-запросу код.
Итак. Первая уязвимость уже найдена. Мы можем авторизоваться под любым номером, даже не имея его.

Я решил проверить вторую уязвимость, которую находил в первом приложении при аудите, а это отправка 100500 СМСок с кодом авторизации.

Для удобства отправки запросов, я решил мучать уже не их приложение, а Python и Grab.

Накидав небольшой скрипт, подставил запросы из сниффера, ввожу номер знакомого и запускаю 6 раз подряд. В ответ получил 6 разных кодов. Спрашиваю знакомого, сколько пришло СМС? В ответ кидает те же самые 6 кодов.

Итак. Сразу 2 уязвимости - СМС-флуд (задолбать конкретный номер) и возможность атакующего обнулить баланс у СМС-провайдера, который отправляет СМС. В среднем 1 СМС стоит 1,5 рубля (уже работал с ними). Неспешная скорость отправки СМС 1-3 СМС в секунду. Это значит за час можно опустошить счет ~5400-16200р. кидая СМС на один и тот же или на разные номера (зависит от настроек скрипта).

Идем дальше. Смотрим какие запросы еще попали в сниффер.

Проверка номера телефона. Отправляется только номер телефона. В ответ получаем его ID, баланс, переписку с фирмой.

Так же получаем еще один HTTP-запрос об истории покупок, где покупал, сколько потратил.

В итоге получаем еще одну уязвимость. Точнее утечку информации.

Можно по номеру телефона узнать кто где когда бывал и и сколько тратил.

Обязательно ли знать номер телефона что бы получить инфу? Нет.
Получаем еще одну утечку. Можно просто перебирать все ID и получить ВСЮ информацию:
телефон, на что тратил, когда тратил, сколько потратил, переписку.

Перебирая все ID, можно вытянуть всю базу и составить статистику по каждому пользователю, адресу кафешки, баристе. Можно получить базу телефонов и использовать в своих целях (спам, ну или рассылка вируса, мол вы VIP-клиент кафешки, для вас спец приложения со скидками, ага. Ну или социальный инжиниринг).

Идем дальше. Выполняем просьбу знакомого, а именно узнать почему нельзя выиграть в игре, есть ли там вообще рандом в рулетке?

С помощью другого приложения я сделал Backup программы и получил APK-файл приложения и скачал его на комп.

Дальше я его распаковал его как и ZIP-архив и смотрю структуру файлов.

Целью было найти все возможные HTTP-команды.

Обнаружив в папке assemblies Xamarin библиотеки, я смекнул, что приложение походу писали на .Net framework и решил проверить это. Для этого я вооружился JustDecompile и открываю одну из библиотек. И действительно! Программа смогла её вскрыть. Правда распознала не весь исходный код, как оказалось после, но другой Решейпер распознал примерно так же, так что не его вина.

Запросов не обнаружил, Возможно они остались не в раскодированной части, но обнаружил что названия функций похожи на названия HTTP-запросов. Решил проверить. В Python вбил запрос, получаю ответ. Смотрю справочник в исходниках и действительно, ответ говорит что мы ничего не выиграли.

Пока исследовал нашел функцию в приложении для изменение рейтинга, а значит еще потенциальную уязвимость, а именно изменение рейтинга заказа. Я её не стал проверять, но думаю это бы сработало.

Итог:
1. Возможна авторизация без СМС под любым номером.

2. Можно организовать СМС-флуд, опустошить счет провайдера.

3. Утечка информации (телефоны, заказы (что, где когда, почем, у кого), переписка). Не обязательно знать номер телефона, можно прогнать циклом ID.
4. Сбор номеров телефонов посетителей кафешки из п.3. И использовать в своих целях

5. Возможно искажение информации (например обнуление рейтинга всех заказов так же циклом по ID заказа).

6. И самое интересное: Как мне сказал тот знакомый, что бы получить халявный кофе, достаточно сказать  номер телефона. Можно найти в результатах у кого есть халявный кофе и выпить за него )))

7. Врут с политикой конфиденциальности. Пишут что используют шифрование (при соединении его нет, обычный HTTP без SSL), Защита личных данных (ага, уже мной доказано, что нет).

Найденные уязвимости исправить не сложно.

1. Для начала нужно использовать защищенное соединение на сайте,

2. Не отсылать код СМС в запросе,

3. Вместо ID и телефона в запросах использовать ID-сессии в формате GUID или более длинный (срок жизни на усмотрение разработчика) после подтверждения номера телефона.

4. Запретить флуд СМС на один и тот же номер с таймером 5 минут и с одного и того же IP-адреса.

5. Более сложное: Анализировать резкий всплеск отправки СМС и временно прекращать отправку СМС (скажем минут на 5), если вдруг например в течении 5 секунд отправилось 10 СМС сразу даже если на разные номера и с разных IP.

Я хотел об этом сказать разработчикам, написал им на почту, на PlayMarket), но пока они не ответили (прошло уже больше суток). Надеюсь у них есть программа Bug Bounty, хотя я сомневаюсь.