Попросил один знакомый узнать почему в Android-приложении в игре одной кофейни всегда выпадают ноли, то есть всегда проигрыш, бесплатный кофе не выигрывается ни разу.

Я являюсь всего лишь программистом-любителем (знаю по немного C#, Python, Delphi, Visual Basic), никогда не пилил приложение для Андроида (хотя давно уже хочется сделать свой первый "Hello World!", на каком нибудь фреймворке.

До этого меня тоже просили сделать аудит фирменного Андроид-приложения, где я сейчас работаю (это был первый аудит), поэтому маломальский опыт в этом уже есть.

Скачав приложение, вооружившись сниффером траффика, запускаю приложение. Просит авторизацию по телефону. Вводим левый номер, смотрим сниффер. И что мы видим?
Мы видим отправку HTTP запроса с номером телефона и получаем в ответ.... ОТПРАВЛЕННЫЙ КОД ДЛЯ СМС!!! То есть не "ОК, я отправил СМСку", а сразу код, который должен придти по СМС! Наверно это сделано, что бы не долбали запросом с неверными кодами СМС, а он просто сравнивает в памяти приложения что вводит пользователь и полученный по HTTP-запросу код.
Итак. Первая уязвимость уже найдена. Мы можем авторизоваться под любым номером, даже не имея его.

Я решил проверить вторую уязвимость, которую находил в первом приложении при аудите, а это отправка 100500 СМСок с кодом авторизации.

Для удобства отправки запросов, я решил мучать уже не их приложение, а Python и Grab.

Накидав небольшой скрипт, подставил запросы из сниффера, ввожу номер знакомого и запускаю 6 раз подряд. В ответ получил 6 разных кодов. Спрашиваю знакомого, сколько пришло СМС? В ответ кидает те же самые 6 кодов.

Итак. Сразу 2 уязвимости - СМС-флуд (задолбать конкретный номер) и возможность атакующего обнулить баланс у СМС-провайдера, который отправляет СМС. В среднем 1 СМС стоит 1,5 рубля (уже работал с ними). Неспешная скорость отправки СМС 1-3 СМС в секунду. Это значит за час можно опустошить счет ~5400-16200р. кидая СМС на один и тот же или на разные номера (зависит от настроек скрипта).

Идем дальше. Смотрим какие запросы еще попали в сниффер.

Проверка номера телефона. Отправляется только номер телефона. В ответ получаем его ID, баланс, переписку с фирмой.

Так же получаем еще один HTTP-запрос об истории покупок, где покупал, сколько потратил.

В итоге получаем еще одну уязвимость. Точнее утечку информации.

Можно по номеру телефона узнать кто где когда бывал и и сколько тратил.

Обязательно ли знать номер телефона что бы получить инфу? Нет.
Получаем еще одну утечку. Можно просто перебирать все ID и получить ВСЮ информацию:
телефон, на что тратил, когда тратил, сколько потратил, переписку.

Перебирая все ID, можно вытянуть всю базу и составить статистику по каждому пользователю, адресу кафешки, баристе. Можно получить базу телефонов и использовать в своих целях (спам, ну или рассылка вируса, мол вы VIP-клиент кафешки, для вас спец приложения со скидками, ага. Ну или социальный инжиниринг).

Идем дальше. Выполняем просьбу знакомого, а именно узнать почему нельзя выиграть в игре, есть ли там вообще рандом в рулетке?

С помощью другого приложения я сделал Backup программы и получил APK-файл приложения и скачал его на комп.

Дальше я его распаковал его как и ZIP-архив и смотрю структуру файлов.

Целью было найти все возможные HTTP-команды.

Обнаружив в папке assemblies Xamarin библиотеки, я смекнул, что приложение походу писали на .Net framework и решил проверить это. Для этого я вооружился JustDecompile и открываю одну из библиотек. И действительно! Программа смогла её вскрыть. Правда распознала не весь исходный код, как оказалось после, но другой Решейпер распознал примерно так же, так что не его вина.

Запросов не обнаружил, Возможно они остались не в раскодированной части, но обнаружил что названия функций похожи на названия HTTP-запросов. Решил проверить. В Python вбил запрос, получаю ответ. Смотрю справочник в исходниках и действительно, ответ говорит что мы ничего не выиграли.

Пока исследовал нашел функцию в приложении для изменение рейтинга, а значит еще потенциальную уязвимость, а именно изменение рейтинга заказа. Я её не стал проверять, но думаю это бы сработало.

Итог:
1. Возможна авторизация без СМС под любым номером.

2. Можно организовать СМС-флуд, опустошить счет провайдера.

3. Утечка информации (телефоны, заказы (что, где когда, почем, у кого), переписка). Не обязательно знать номер телефона, можно прогнать циклом ID.
4. Сбор номеров телефонов посетителей кафешки из п.3. И использовать в своих целях

5. Возможно искажение информации (например обнуление рейтинга всех заказов так же циклом по ID заказа).

6. И самое интересное: Как мне сказал тот знакомый, что бы получить халявный кофе, достаточно сказать  номер телефона. Можно найти в результатах у кого есть халявный кофе и выпить за него )))

7. Врут с политикой конфиденциальности. Пишут что используют шифрование (при соединении его нет, обычный HTTP без SSL), Защита личных данных (ага, уже мной доказано, что нет).

Найденные уязвимости исправить не сложно.

1. Для начала нужно использовать защищенное соединение на сайте,

2. Не отсылать код СМС в запросе,

3. Вместо ID и телефона в запросах использовать ID-сессии в формате GUID или более длинный (срок жизни на усмотрение разработчика) после подтверждения номера телефона.

4. Запретить флуд СМС на один и тот же номер с таймером 5 минут и с одного и того же IP-адреса.

5. Более сложное: Анализировать резкий всплеск отправки СМС и временно прекращать отправку СМС (скажем минут на 5), если вдруг например в течении 5 секунд отправилось 10 СМС сразу даже если на разные номера и с разных IP.

Я хотел об этом сказать разработчикам, написал им на почту, на PlayMarket), но пока они не ответили (прошло уже больше суток). Надеюсь у них есть программа Bug Bounty, хотя я сомневаюсь.

В Америке железнодорожные перевозки не самый популярный вид транзита, но всё же и они имеют место быть. Одна компания, Conrail, в последнюю четверть 20-го века доминировала на Северо-Востоке США. Владельцы уже сменились, но до сих пор длиннющие составы возят миллионы тонн грузов от Массачусетса до Иллионийса. Сложностей в этом бизнесе очень много и одна из них это контроль за топливом (как увидите это проблема существует не только на 1/6 суши).

Естественно есть нормативы расхода мазута на милю в зависимости от тяжести состава, мощности локомотива, сезона, рельефа местности, скорости, итд. Всё это сто раз посчитано, пересчитано, проверенно, перепроверенно, и окончательные таблицы "выбиты в скрижалях". Есть таблицы на каждый маршрут и в соотвествии с ними аудиторы регулярно проверяют расход.

Как-то раз запустили новый маршрут, из Филадельфии до Чикаго. Естественно сделали рассчёты, но по прошествии времени "аналитеги" начали замечать такую странность, регулярный перерасход топлива на 15-20%. Сначала управленцы не слишком встревожились, мол само рассосётся. Но долго закрывать на это глаза было нельзя ибо суммы становились значительными. Вопрос надо как-то решать и вызвали аудиторов "Пацаны, проверьте. Что за беспредел?"

Аудиторы рады стараться. Для начала подрядили инженеров "Пересчитайте-ка нам нормативы. А то знаем мы вас очкастых." Те пересчитали, перепроверили, и клянутся что всё ровно и правильно. Учли и сезон и типичную тяжесть состава и то что местность холмистая, и... всё равно перерасход.

Хммм... может у нас гранаты не той системы. Давайте-ка проверим сами локомотивы, может износ техники сказывается на расходе. "А ну механики и техники, вперед." Проверили, состояние у всех достойное, всё в норме, никаких пережогов не должно быть. Но ведь топливо, сволочь такая, куда-то исчезает. Значит его банально где-то и как-то тырят. Это не вам не из тягача пару сотен литров слить. Это локомотив, он большой, там пережог на тысячи и тысячи галлонов.

Главный аудитор своей команде дал наводку "Расклад тут простой как бутерброд. Заправляют локомотив перед отправкой - это раз. Потом он едет до границы Пеннсильвании и Огайо - это два. Там он останавливается на небольшом полустанке где его подзаправляют и дальше он едет до своего Чикаго - это три. В Филадельфии и Чикаго заправки наши, в собственных депо, а на полустанке заправляет поставщик - это четыре. Проверять будем всё и всех. Начнём с себя."

Проверили Филадельфийское депо досконально. Начали с хранилища, но там всё чётко, капли не утекает. Проверили калибровку заправочного оборудования, ничего. Калибруется и сертифицируется регулярно. За каждым человеком на заправке чуть ли не слежку установили, и снова ни хрена. Ладно, проверим депо в Чикаго, и всё тоже самое. Все инструкции соблюдают до йоты.

Ага, значит поставщик безобразничает. Проехались до места, покажите весь процесс. А что на него смотреть? "Ну вот шланг, вот локомотив, смотрите, для хороших людей г**на не жалко." Посмотрели. "А когда калибровали оборудование?" Калибруют регулярно, вот документы. "Давайте контрольную заправку." "Пожалуйста." И снова всё ровно. Вот сколько залили, те же галлоны и в счёте что потом прислали на оплату

Приехали аудиторы домой грустные до нельзя. Не нашли ровным счётом ни хрена. Резюме хуже некуда "инженеры - посчитали всё правильно, механики - всю технику проверили, на заправках в обоих депо - всё путём и по правилам, а поставщик - "ваще чоткий чювак". Идей больше нет." "А перерасход откуда?" вопрошает главный аудитор. "Хрен его знает товарищ, тьфу, господин вице президент." "Может колдовство?" И в ответ тишина..."Перепроверьте ещё раз" в бешенстве шипит начальник. И снова, "здравствуйте инженеры, механики, сотрудники депо, и господин заправщик." Посмотрели, покопались, бумажульки перебрали, и опять ни хрена.

Речь что аудиторский вице президент выдал своим подчинённым вполне можете представить себе сами. Но на результат это конечно никак не повлияло, перерасход есть, а причин нет. Пришлось горькую весть президенту и совету директоров доложить. Их реакцию тоже можете представить. Огромная компания, контроли везде, да такие что мышь не проскочит и тут такой конфуз, даже непонятно что делать. В виде профилактики приказали поменять подвижной состав.

Итог печальный, выдрало всё собрание вице президента как сидорову козу. Тот поклялся сделать ещё один аудит проклятого маршрута в следующем году и найти причину. Как известно, дерьмо всегда течёт вниз, и начальничек соотвественно порвал свою команду как Тузик грелку. Приказ по отделу "Всем стратегические поджопники. Бонусы, в виде мотивации, всем уменьшим. Готовьтесь берсерки, в следующем году снова будете этот аудит делать." А пока... локомотивы по бесовскому маршруту бегают, благополучно жрут мазут с перерасходом и в ус не дуют.

Прошёл год, обещанный аудит и снова всё по нолям, ничего не нашли. Вице президент за сердце хватается, лекарства пьёт, матом орёт, но кроме печальных вестей докладывать нечего. Он получает новую порцию звездюлей и клянётся положив руку на кошелёк что гадский колдун будет найден и обезврежен. И снова аудит в плане на следующий год. Теперь уже об этом знает пол компании, с аудиторов смеётся даже кошка уборщицы, а локомотивы продолжают свой тук-тук-тук по заколдованному маршруту.

Так продолжалось 3 года пока в аудиторский отдел не наняли одного паренька. К тому времени вице президента за профнепригодность выгнали, половина отдела уже совсем другие люди, а этот ежегодный аудит стал традицией. Ясное дело, получать свою порцию горячих никто не хочет, дурных то нет, и на эту проклятую ревизию начали отсылать новичков, мол "они всё равно не найдут, драть их сильно не будут, чего с желторотиков взять."

Естественно и в этот раз всё пошло по старому сценарию. Инженеры и механики смеясь подтвердили рассчёты и тех состояние состава. В обоих депо под ухмылки сотрудников показали цистерны, документы на калибровку, и на аудиторских глазах заправили локомотив. А на полустанок послали того пацана, ибо обнаружить ничего нельзя, то есть команду туда гонять смысла нет. Вот тебе пошаговый список процедур, пускай сделают контрольную заправку и покажут документы на калибровку. И снова ничего.

Но тут всё пошло не так как раньше. Дело было в пятницу и парнишка решил, "в Филадельфию возращаться не буду а лучше поеду в Чикаго у знакомых потусить. Тачку оставлю тут, на полустанке, благо на такой драндулет никто не позарится. В понедельник возьму отгул, а в воскресенье поеду нашим локомотивом обратно до полустанка и потом домой на машине." С машинистами договорился, те не против были ибо локомотиву убытка не будет, а вместе даже веселей.

Потусил хорошо, Чикаго вообще для молодёжи город славный. А в воскреснье выдвинулся в обратный путь. Ехать скучно, с машинистами поболтал, подремал, потом начал голову ломать, где же всё таки собака зарыта? Пока думал, тут и полустанок и заправка. Шланг тянут, локомотив заправляют и тут его идея осенила. Как только заправку закончили, он бегом к заправщикам. Своим беджиком машет, "я представитель компании, незапланированный аудит, а ну шланг покажьте немедленно." Те опешили, куда деваться, агрегат показали.

Снаружи рукав самый что ни на есть обыкновенный, но оказалось что внутри есть два шланга. С одного локомотивы заправляли, всё официально, каждый галлон на откалиброванном счётчике записан, любо дорого смотреть. А одновременно, другим шлангом топливо отсасывалось обратно. Потом подсчитали что примерно на каждые 10 галлонов что заливали, поставщик - негодяец эдакий, тырил примерно 3 галлона. И ни одна умная аудиторская голова за три с лишним года даже не подумала проверить сам шланг, ибо он фи, мазутом воняет и испачкаться можно.

Скандал был грандиозный конечно. Долго потом Conrail с поставщиком тяжбу вели.

Что аудитору было спросите вы? А ничего. Кроме устного выговора от начальства конечно. Ибо не хрен на шару на казёном поезде кататься, тоже ещё халявщик нашёлся.

В продолжении поста http://pikabu.ru/story/pomoshnik_auditora_5424086 осваиваем бухгалтерский учёт по полной программе!!!

И ещё бонусом, начало карьеры... 😀

Всем добра!!!

Добрый день, в посте опишу один забавный случай из практики. Прошу прощения за возможные ошибки и неточности в юридических процедурах, это не моя стезя. Все события и персонажи вымышлены, любые совпадения с реальными людьми случайны.

Однажды мне позвонил большой начальник крупного акционерного общества с гос. капиталом (далее БИГ БОСС) и предложил встретиться в уютном московском ресторанчике. На встречу также пришел его коллега, который был руководителем дочки этой организации в одном из регионов  (далее мини-босс).

Мини-босс поведал историю о том, что он совсем недавно занял эту должность и начал разбираться во всех делах. Компания мини-босса являлась владельцем 100% акций другого акционерного общества - в те времена эта форма собственности еще называлась ОАО. У него была информация, что на этом ОАО происходят какие-то мутные дела, но формально не к чему было придраться.

Этим ОАО руководил какой-то директор (далее ХОЗЯИН) с 94-95 годов (!!!), его жена была финансовым директором , сестра жены  главный бухгалтер - короче полный контроль над ОАО был у хозяина.

ОАО занималось строительством, монтажом оборудования, тех.обслуживанием - на 90% от гос.заказчиков.

Мини-босс передал мне копии бухгалтерского баланса, цифры в котором немного меня озадачили:

годовая выручка - 1.5 млрд рублей, прибыль до налогообложения - 6 млн. рублей. ЧТОООО? 

Принимая во внимание, что большинство гос. заказов были весьма "жирными" - такие огромные издержки у коммерческой организации в строительстве невозможны.

Аудиторские заключения были безусловно положительными и формально придраться было не к чему. Мини-босс хотел чтобы мы собрали всю подноготную на этого хозяина и он смог бы заменить его своим человеком.

В процессе переговоров сразу вспылили 2 непонятки:

-Каким образом вообще попасть на территорию этого ОАО для проверки? законных оснований нет, хозяин не будет нас нанимать ))

-Каким образом мини-босс рассчитается с нами за оказанные услуги? для оплаты оснований тоже нет, т.к. для этого компания мини-босса должна проводить конкурсные процедуры, а в нашем сегменте сложно провести конкурс под определенного исполнителя.

В качестве оплаты за успешно оказанные услуги мини-босс предложил мне забрать из его автопарка  200й дизельный крузак (БУ 1 год) с переоформлением через какое-то время.

Я не поклонник детища, который создали бездарные дизайнеры концерна тойота, но

такой бартер меня более чем устраивал. Проблема была в том, что все договорённости по этой сделке были только на словах.

Биг БОСС гарантировал, что все договорённости будут соблюдены, а если товарищ генерал сказал, что так будет - значит так и будет.

ФЗ об акционерных обществах мне был совершенно незнаком, поэтому мы направились ко мне в офис к компетентному юристу для согласования плана дальнейших действий.

Юрист (назовём ее Оля) дала указание мини-боссу собрать совет директоров, который должен был приостановить полномочия директора ОАО и передать эти полномочия временно исполняющему обязанности директора. Далее нужно было осуществить созыв внеочередного общего собрания акционеров, на котором должен быть вынесен на рассмотрение вопрос о досрочном прекращении полномочий директора. Между советом директоров и общим собранием акционеров было окно в несколько недель (вроде 40 дней), за которое мы должны были собрать всю информацию.

За какое вознаграждение Оля согласилась провернуть всю операцию по свержению хозяина?  300 тысяч ей лично + оплата всем участникам этой операции. На 7 человек вышло около около 1.2 млн, в т.ч. оплата перелёта и проживания на съемных квартирах.

Как только мини-босс родил протокол совета директоров мы самым бойким составом в количестве 8 человек вылетели в город N. Параллельно туда же направились 10 человек охраны из службы безопасности мини-босса и новый исполняющий обязанности ген.директора. 

К дверям офиса ОАО мы прибыли в 7.30 утра, где нас встретил одинокий охранник, который не смог помешать нашему проникновению в здание. Нужно было первыми попасть в кабинеты фин.директора - бухгалтерии - юристов - директора - архива - отдела кадров, что у нас без проблем и получилось. К дверям каждого кабинета был приставлен охранник, который получал указание никого не впускать. В кабинетах закипела работа по изучению документов и поиску всяких косяков. Через полчаса прибежал хозяин, который, как оказалось, жил в 300 метрах от офиса ОАО.

Хозяин был очень темпераментным человеком родом из средней азии. Его вопли начали разноситься по всему офису и я сразу понял, что это тот самый товарищ против которого и началась вся эта заварушка. Он без лишней скромности начал засыпать угрозами меня и моих сотрудников. Я смог отсудить его пыл, когда сослался на московского БИГ-БОССА и предоставил ему протокол заседания совета директоров о приостановлении его полномочий ген.директора.

Оля-юрист подносила на подпись документы ИО директора на отзыв права подписи различных сотрудников: нужно было исключить возможность проведения каких либо операций по расчетным счетам, заключению новых договоров с контрагентами, увольнению сотрудников, складскому перемещению материалов + ОАО заключило договор с ЧОПом, который представил к нам дополнительную охрану.

Первые двое суток мы вообще не выходили из здания и спали прямо на столе по 3-4 часа. Охрана сменяла друг друга каждые 12 часов и в здание мы практически никого не впускали. (за исключением главного инженера и ИТР). У офиса постоянно находились автомобили, которые, видимо, вели наблюдение.

В кабинетах бухгалтерии и фин. директора был найден целый клондайк: печати компаний-субподрядчиков, учредительные документы субчиков, все договоры и первичка по сомнительным операциям с однодневками и подконтрольными субчиками находились прямо в одном месте, в отдельном шкафу. Всю бухгалтерию поставщиков вели бухгалтеры ОАО.

Все основные поставки замкнула на себя одна компания А, учредителем которой был сын хозяина. Компания Б занималась сдачей в аренду оборудования для этого ОАО и тоже была аффилирована с сыном хозяина. Оборудование было довольно крутым, но арендовалось по завышенной цене и на полный календарный год. Плюс ко всему имели место операции с однодневками, по которым, видимо, выводились деньги.

Я решил найти аудиторскую фирму, которая выдала им положительное заключение. Не без труда я отыскал "офис" этой фирмы и под видом клиента решил разузнать об услугах, которые они могут мне предоставить. В неприметном кабинете без вывески меня ожидала бабуля, которая задав несколько вопросов мне сказала: "приноси сынок документы, перечисляй деньги на эти реквизиты, жди пару недель и будет тебе заключение".

Это была какая-то черная аудиторская контора. По завышенной цене они сделают вам заключение без лишних вопросов. Мне казалось, что подобная практика осталась в девяностых, но регионах это еще имело место быть.

Мне показался любопытным один факт: практически все управленцы работали в компании с середины девяностых  и проживали они в коттеджном посёлке, который располагался  рядом с офисом. Почему они все живут в одном месте и не увольняются ?

Через кадры мы нашли только одного сотрудника, который занимал высокую должность и смог уволиться лет 10 назад. Как ни странно, он тоже жил в этом посёлке и я решил наведаться к нему с разговором.

Посёлок был ахуенным. 12-13 трёхэтажных домов, построенных в одном стиле посреди соснового бора. Вдоль домов проходила отличная дорога с ливневой канализацией.

Из разговора я выяснил, что хозяин решил надолго привязать к себе всю команду руководителей и раздал им эти дома, сотрудники должны были рассчитаться с ним за 15 лет. Они занимались различными приписками где только можно, в сметах, формах и тд. (я не разбираюсь в этой теме, могу ошибаться) и таким образом рассчитывались с хозяином. 

Кирпич для строительства домов был получен от кирпичного завода путем бартера за какие-то долги завода. Строительные бригады, работавшие в дочке гос.компнии, какое-то время были заняты строительством посёлка + оборудование, которое арендовалось у компании сына хозяина так же привлекалось на строительство посёлка. Даже при передачи дороги вдоль посёлка на баланс администрации они умудрились как-то заработать путём дачи взятки.

Собранной инфы хватило бы на пятёрых таких директоров и через 10 дней мы решили уезжать. Мини-боссу компромат очень понравился и он с довольным лицом дал добро на наш отъезд. 

Оставалось добраться в другой город за обещанным джипом. Мне предстояло проехать довольно большое расстояние на автомобиле до Москвы и я решил вместе с женой немного попутешествовать по РФ на авто. Пиздато поработал - пиздато отдохни.

На машине долгое время пришлось ездить без переоформления, только спустя полгода мы закончили процедуру отчуждения. Жена до сих пор катается на этом атрибуте понтов для регионов.

Как выяснилось позже, хозяин остался руководить ОАО. Для чего мини-боссу нужно было проводить эти мероприятия ? - додумайте сами.

Единственное мне непонятно: почему хозяин с такими талантами не организует свою компанию и не начнет работать на себя легально?

Мораль - левые печати-документы нужно держать в безопасном месте, а компании регистрировать на номиналов ))

На прошлом месте работы корпоративы (а если попроще, то сплачивание коллектива путем совместного возлияния) проходили часто и поводом к ним служило любое событие. Восьмое марта, 23 февраля, 9 мая, Новый год, день создания фирмы и дни рождения сотрудников.
В большинстве своем собирались в офисе, в пятницу вечером, накрывали поляну и сидели, выпивали, закусывали, разговаривали и даже танцевали (не на столах)
Наутро следующего дня, виновник торжества (или специально назначенные люди) разбирали весь этот срач и бардак, чтобы в понедельник офис был готов к работе.

Так вышло, что на очередной корпоратив я не попал. Подзадолбало, если честно. А утром субботы по делам заехал в офис и застал там убирающих именинников. Оказалось, что вечер закончился дракой.

Эвона как! Это был исключительный случай, надо сказать. Люди у нас мирные. Драк не случалось совсем, а тут такое!

- И кто дрался?

- Наш главбух. С аудитором.

Что? Главный бухгалтер у нас был спокойнейший парень, вывести его было невероятно трудно, специфика работы. Аудитор был приглашенным гостем и другом того самого бухгалтера! И тоже весьма спокойным человеком.
Стал выяснять ситуацию.

Оказывается, в самый разгар застолья, эти два персонажа сцепились из-за особенностей бухгалтерской проводки какой-то операции. Спорили до крика, потом аргументов стало не хватать. Перешли на личности. Далее начался махач.
Мне трудно представить рукопашный бой двух рыцарей бухучета. Синяков на лице видно не было, травм тоже не случилось. Оно и к лучшему.

Вывод такой - не злите бухгалтеров! В тихом омуте неизвестно что может водиться.
И второе - даже в такой мирной профессии возможны непримиримые разногласия, что уж говорить об остальных!