Banka Intesa i praćenje lokacije korisnika

Redovni čitaoci mog bloga verovatno se sećaju moje priče o Banci Intesa i načinu na koji se okončala naša višegodišnja saradnja. Koga mrzi da čita, priča je o tome kako se nivo usluga jedne banke može srozati do granica nepodnošljivosti, što je rezultiralo konačnim gašenjem svih mojih računa u Intesi početkom septembra 2013. godine. Sve račune sam otvorio i zatvorio u Kragujevcu iz koga sam se konačno i preselio za Beograd u avgustu ove godine (bitno za nastavak priče).

No sudeći po SMS porukama (čitaj spamu) koji sam nastavio da dobijam od Intese, ništa od gore navedenog nikada se nije ni desilo. Redovno sam dobijao SMS-ove o svakojakim akcijama banke, nekada bih SMS jednostavno obrisao a nekada bi se upuštao u prepirku sa @banca_intesa (twitter podrškom Intese) gde se priča uvek svodila na to da obaveštenja dobijam kao njihov klijent!?? :) To što sam bivši klijent koji je svoje račune zatvorio/kartice isekao – koga je briga. No pošto je ovo Srbija, mesto gde se privatnost poštuje kao i svaki drugi zakon (čitaj ne poštuje se), jednostavno nije bilo svrhe cimati se oko toga, tako da sam u većini slučajeva poruke jednostavno brisao.

No današnji SMS koji sam dobio od Intese upalio je sve crvene lampice koje se nalaze u mojoj glavi, a ako se makar malo zamislite morao bi upaliti crvene lampice kod svakoga od nas.

Banka Intesa Spam

Pa okay, šta je toliko bitno u ovom SMS-u pitate se? Lokacija!

Kao (bivši) klijent, sve svoje račune otvorio (zatvorio) sam u Kragujevcu, svu korespodenciju obavljao sam sa radnicima u Kragujevcu, sve moje posete ekspoziturama bile su posete u Kragujevcu. Odakle onda Intesi informacija da se ja sada nalazim u Beogradu, na Vračaru i da je najbliža ekspozitura mojoj lokaciji baš ta blizu stana u kome živim?!!

Smesta sam pitao par ljudi na twiteru i dobio potvrdnu informaciju – svi su dobili različite SMS-ove (neki i više njih), i u svima se navode različite ekspoziture, logično reći ćete jer su svi ti ljudi korisnici različitih ekspozitura.

Okay, ali šta je onda sa bivšim korisnikom (sa mnom) čiju novu adresu u Beogradu nikako nisu mogli imati osim ako:

1) Mobilni operateri dopuštaju svojim klijentima deljenje informacije o lokaciji vašeg mobilnog telefona (samim tim i praćenje korisnika)
2) Mup Srbije prodaje informacije o svojim građanima

Iako tipujem na ovo pod jedan, oba načina predstavljaju najgrublje kršenje privatnosti građana. Na neki način prodaja naših podataka je nešto na šta smo svi nažalost navikli, ali praćenje lokacije je ako mene pitate kap koja je prelila čašu i zbog koje bi svakog od nas morao dobro da se zamisli šta bi moglo biti sledeće.

Crédit Agricole iliti ono kad na trenutak pomisliš da si našao dobru banku u Srbiji

I tako danas negde oko podneva, kiša je nakon tri dana prestala da pada i nekako se stidljivo iza oblaka ukazalo sunce. Pomislih kako je sjajna prilika da malo izađem iz kuće i nervozno tražeći bilo koji razlog, setih se kako već mesecima plaćam mesečno održavanje jedne Visa kartice kod Crédit Agricole banke koju već neko vreme uopšte ne koristim i kako je krajnje vreme da istu jednostavno ugasim. Izvučem jedva korišćenu karticu iz naftalina, strpam u novčanik i pravac banka!

Na putu ka banci podrugljivo sam se osmehnuo likovima u dugačkom redu ispred ATM-a Intese koja btw ima samo 2 (i slovima dva) bankomata u užem centru grada. Setih se cele sage sa Intesom i kako su mi svojevremeno uredno odbili izdavanje CC-a koji sam naposletku otvorio na bazi depozita u drugoj (CA) banci.

U Crédit Agricole banci su me dočekali veoma ljubazno. Gospodin iz obezbeđenja mi je odmah na ulazu ljubazno objasnio kome trebam da se javim radi gašenja kartice, čak se ponudio da on odloži moj mokar kišobran pošto je kiša u međuvremenu naravno ponovo počela da pada.
Javio sam se ljubaznoj gospođi(ci) koja me je posadila u fotelju i odmah krenula sa procedurom gašenja kartice. I tako dok sam lagano odgovarao na njega pitanja, na trenutak pomislih zašto li sam dođavola odabrao neku drugu banku kada su ovde ljudi tako sjajni. Pogledom sam tražio neki flajer, bilo šta od informacija koje bi zgrabio kako bih što pre otvorio ovde neki drugi račun kod ovih divnih ljudi.

Iznenada moj san o idealnoj banci prekinula je spomenuta gospođa(ica) koja mi je sada pružila olovku, prazno parča papira i ljubazno ali odsečno rekla – PIŠITE! I tako mi je reč po reč diktirala zahtev koji sam očigledno morao sa svojih 10 prstiju da napišem banci kako bi mi se moj depozit u iznosu od xyz eura sa partije 1234456779 prebacio na partiju 9876543212. Potpišite, ostavite kontakt da vam javimo kada možete podići novac. Pomislih kako je divno što sam banci uštedeo malo tonera i umesto toga za promenu malo vežbao pisanje bez pomoći kompjutera.

Gospođa(ica) me je sada prekorno pogledala i ljubazno rekla da ću pre zatvaranja kartice morati da pokrijem minus na kartici u iznosu od 1,701.00 dinara. Potpuno u šoku, pokušavao sam da objasnim da izvode dobijam svakog meseca i da svaki put kad mi se iz bilo kog razloga bilo gde spomene nešto što se zove minus, u mojoj glavi se upali crvena lampica za uzbunu koja istog trenutka jakom autosugestijom kaže (čuj kaže, VRIŠTI) IDI, UPLATI, POKRIJ. TI NE DUGUJEŠ NIKADA NIŠTA NIKOME!

No ona je bila neumoljiva, to je zbog redovnog održavanja znate, svakog meseca vam se skine xyz dinara, sigurno ste zaboravili da pokrijete bla bla bla … možete uplatiti ovde na šalteru pa se vratite.

Nevoljno ustajem i čekam da uplatim spomenuti novac na šalteru na kome nema nikoga. “Sad će doći kolega” ljubazno odgovara drugi radnik banke. “Sada” u Crédit Agricole univerzumu zapravo znači 20 minuta. Od dosade uzimam plastičnu čašu i sipam vodu iz “Fontana” automata uz prekoran pogled radnika iz obezbeđenja čiji pogled je izgledao kao da sam upravo banci napravio milione dolara štete. Radnik na šalteru se naposletku pojavio, uplaćujem 1701,00 din i vraćam se kod gospođe(ice) koja mi sa zadovoljstvom preseca karticu uz komentar da će me kontaktirati oko vraćanja depozita.

I onda setih se, karticu sam koristio na Internetu, šta ako je neko nekako … I zamolim gospođu(icu) da mi ipak odštampa izvod kako bih video sve transakcije. Gospođa(ica) mi je ljubazno objasnila da se to plaća ali da će mi eto odštampati stanja na računu od 01.01.2014 tako da mogu videti šta se desilo, ali eto … sigurno je samo mesečno održavanje, niste koristili karticu mesecima kaže ona, i tako … Strpam ono parče papira u torbu, zahvalim se i odšetam do izlaza. Na moje doviđenja, radnik obezbeđenja odgovorio je sa zdravo druže i pomislih, eto sada sam ex klijent, nema persiranja, više nisam gospodin, j*ga.

Kod kuće setih se parčeta papira i pomislih hajde da to proverimo. Otvorim laptop spreman kao zapeta puška da kopam po transakcijama kad ono … stanje na odštampanom papiru umesto 0 bilo je 3402 dinara! WTF!?? I tako odmah skapiram da sam ja zapravo bio u plusu 1701 dinar (1700.95 da budemo precizniji) i da sam nekako u mojoj savršenoj banci nabasao na šalterušu koja ne razlikuje minus od plusa. Okay, krenuću ranije na posao, pokupiti novac (ništa krupno ali stvar principa) pa ćemo videti.

Vreme 15:45, isti dan, petak. Gospodinu “kaži druže” iz obezbeđenja odmah sam na ulazu objasnio šta želim, na šta mi je on odbrusio da dođem u ponedeljak pošto je gospođa(ica) već zapalila kući tako da više niko ne može da se bakće sa mojim slučajem. Na moje insistiranje me je sproveo do šaltera gde sam gospodinu kod koga sam izvršio uplatu objasnio svoj slučaj na šta mi je on samo odbrusio u fazonu “Šta sad ja imam s tim?!!”. Nešto ljubazniji kolega do njega mi je zatražio karticu “da proverimo o čemu se radi”. Nakon što sam objasnio da je moja kartica sada u večnim lovištima pošto ju je gospođa(ica) pre 2 sata presekla, malo je kopao po kompjuteru da bi mi objasnio kako je moj sada već bivši račun u proceduri gašenja i da ja eto sada više svoj novac ne mogu podići. Videćemo da napišete neki zahtev, nešto … ma najbolje dođite vi u ponedeljak. :)

I tako na putu ka poslu ponovo prođoh pored reda ispred ATM-a Intese gde su neki novi likovi strpljivo čekali u redu. Na trenutak mi se učinilo da mi se barem jedan od njih podrugljivo osmehnuo.

Poplave u Srbiji korisni linkovi

Ultimativni izvor informacija sa mapom ugrozenih mesta i mogućnošu da ostavite poziv za pomoć poplave.rs.

Sajt poplave.rs takođe sadrži nekoliko pod-sajtova. Neki od njih su:

Nestali: nestali.poplave.rs
Stream radio amatera: live.poplave.rs
Realtime info: info.poplave.rs

Twitter

Hashtagovi: #poplave #SerbiaFloods #Poplave2014

Odlična lista korisnika iz regiona koji pretežno twitaju o poplavama: https://twitter.com/SandraKravitz/lists/odavde-i-odande (hvala @SandraKravitz)

Sajtovi sa pozivima za donaciju

helpserbia.com
helpserbia.org
floodrelief.gov.rs
PayPal donacija na Ministarstvu finansija RS

Wire instrukcije za slanje pomoći iz inostranstva

Wire instrukcije za donacije iz inostranstva

Korisnici iz Srbije mogu poslati donaciju slanjem SMS poruke na broj 1003 (cena poruke 100 din).

Još jedna lista informacija o poplavama sa brojevima telefona i sl: naslovi.net/poplave

Heartbleed bug i šta sa njim

Ako prethodnih par dana niste prespavali, onda ste gotovo sigurno čuli za heartbleed bug ili ste makar zapazili čudnu ilustraciju srca sa gore spomenutog sajta. Obzirom da nisam primetio mnogo tekstova o njemu na srpskom jeziku (a realno na skali sigurnosnih propusta od 0-10 ovaj bug verovatno zaslužuje 11) – rešio sam da napišem jedan post u nadi da ću makar malo podići svest naših ljudi na temu sigurnosti njihovih podataka.

Heartbleed

Dakle “heartbleed” je u osnovi bug u popularnoj OpenSSL biblioteci ali pre nego krenem u detalje, sledi malo objašnjenje za one sa jeftinijim ulaznicama.

SSL
Po defaultu podaci se preko Weba prenose u običnom tekstualnom formatu. To praktično znači da bilo koji podatak tipa username, password itd. koji iz vašeg browsera šaljete ka nekom sajtu, neko ko bi bio u stanju da presretne vaš Internet saobraćaj može jednostavno pročitati. Zbog toga je firma Netscape još davne 1994 godine uvela SSL koji u najkraćem omogućava enkripciju vaših podataka tako da podaci koji šaljete iz browsera mogu biti apsolutno sigurni. Iako se u početku SSL koristio pretežno na stranama za plaćanje, u današnje vreme popularni sajtovi poput Facebooka i Gmaila celu komunikaciju obavljaju preko SSL-a što čini vaš saobraćaj sigurnim. SSL u vašem browseru možete prepoznati po karakterističnom “katancu” i https konekciji.

ssl

Šta je to Heartbleed?
Dakle kao što rekoh gore, heartbleed je u osnovi bug u u popularnoj OpenSSL biblioteci koja predstavlja besplatnu open source implementaciju SSL-a koju između ostalih koriste i veoma popularni Web serveri poput Apache-a i Ngixa. U prevodu ovaj bug utiče na većinu sajtova na Internetu. Detalji o propustu su objavljeni pre tri dana ali “najbolje” od svega je činjenica da ovaj bug faktički postoji 2 godine tako da je svako zlonameran sa dobrim poznavanjem SSL-a i programiranja ovo mogao zloupotrebiti.

Kako radi?
U osnovi radi se o zloupotrebi takozvanog heartbeat requesta koji u suštini služi da klijent sa jedne strane SSL konekcije pošalje mali request serveru kao potvrdu da je još uvek online i dobije taj isti request natrag. Bez da idem mnogo u tehničke detalje, suština zloupotrebe svodi se na broj bajtova koji se šalje kroz request kao dodatni parametar, tj. uz request šalje se i broj bajtova o veličini requesta. Broj bajtova bi trebao odgovarati veličini što je recimo 1bajt, međutim zahvaljujući propustu serveru se može poslati parametar koji je znatno veći od requesta, tipa 65535 što će rezultovati odgovorom sa servera koji će faktički “višak” bajtova nadoknaditi tako što će povući sadržaj iz svoje memorije, dakle nekih 64kb podataka. Obzirom da se SSL koristi za osetljive podatke to znači da će potencijalni napadač dobiti 64KB osetljivih podataka što može biti nečiji password, broj kreditne kartice i sl. Najbolje od svega je da nakon cele akcije ne postoji apsolutno nikakav trag u logovima, što faktički znači da apsolutno niko ko je imao pomenuti propust na svom serveru ne može znati da li je došlo do curenja podataka ili ne!

Za one koji nisu razumeli gornje objašnjenje predlažem da odgledaju sledeći video, verujem da će posle toga stvari biti jasnije.

Šta činiti
Za početak predlažem da se podsetite reči sa Autostoperskog vodiča kroz galaksiju (ako ne znate šta tamo piše – googlajte). Ako znate odlično pošto je odgovor na gornje pitanje – ništa! Tačnije obzirom da gornji propust postoji gotovo 2 godine onaj ko je do sada želeo da dođe do vaših podataka on je to već i učinio! No dobre vesti su da će većina zloupotreba nastati upravo sada i to na sajtovima koji još uvek nisu zakrpili propuste, tako da takve sajtove apsolutno ne bi smeli posećivati!

Dobra stvar je što je svetski community jako brzo reagovao i objavio listu top 1000 sajtova gde propust u danu objavljivanja još uvek nije bio ispravljen (u međuvremenu većina je sređena). Nažalost kod nas je situacija daleko od idealne tako da sam nakon provere samo par sajtova došao do nekoliko kod kojih propust još uvek postoji. Verovatno najveći od njih je sajt Airserbia.com gde sam i sam nekoliko put do sada kupovao avionske karte. Spomenuti sajt (kao i mnogi drugi) testirao sam pomoću pacemaker ulititya koji i sami možete skinuti sa githuba, a za one koji nisu vični CLI-u postoji i Web sajt gde se može obaviti provera (koja doduše traje nešto duže). Rezultat provere airserbia.com i dokaz o propustu možete videti ovde: http://pastebin.com/Mjad0x2w.

airserbia
Airserbia.com test na fillipo.io

Ono što je svakako neophodno da uradite (koliko god to možda teško zvučalo) je da promenite sve passworde pogotovo za one sajtove na kojima držite osetljive podatke i koji su bili izloženi ovom propustu. Napominjem da je besmisleno a potencijalno i opasno menjati password na sajtu koji još uvek nije zakrpljen, tako da obavezno proverite sa jednim od online alata dole da li je situacija čista pre nego uopšte pristupite sajtu. Takođe (nadam se da u 2014 godini ovo više ne moram da ponavljam) neophodno je da setujete različite passworde za sve sajtove, pošto će u protivnom potencijalnom napadaču biti dovoljno da sa jednim vašim passwordom dobije pristup svim sajtovima koje koristite!

Za kraj nekoliko korisnih linkova.

Online SSL Test
Online heartbleed test
Pacemaker utility
Lista top sajtova i stepen ugroženosti

Svaki biznis je show business

Odmah na početku ovog posta mali disclaimer – originalni post u vezi sa ovom tematikom nastao je još pre nekoliko godina na blogu mog prijatelja Dragana Babića, ali je post nakon jednog pucanja baze nažalost otišao u večna lovišta. U međuvremenu sam ga toliko puta prepričavao da sam naposletku rešio da napišem i svoju verziju.

Dakle svaki biznis je show business, tj. vredite onoliko koliko ste svog gazdu, klijenta, poslodavca, štagod u stanju da ubedite u to. Da se razumemo, postoje ljudi koji su vanserijski u svom poslu ali takvi slučajevi su retkost. Npr. u fudbalu imate dvojicu, jednog Kristijana Ronalda i jednog Lea Mesija čija umešnost sa loptom vredi onoliko cifara koliko može stati na ček. U tenisu imate veliku četvorku (Rafa, Roger, Andy, Nole) koja je (ako sam dobro izbrojao) od poslednjih 36 grand slamova uzela 34! (source). I naravno ne morate kao ja biti developer da bi ste znali za Gejtsa, Zuckerberga pa i Linusa (autor Linuxa, Gita itd.).

Ispod ovakvih vanserijskih ljudi obično ide velika praznina nakon koje se pozicioniraju svi ostali, gde se sa velikom verovatnoćom u svom poslu nalazite i vi. Razlika između vas i konkurencije je verovatno suptilna i teško ju je izmeriti. Tako npr. 95% Web developera danas odlično poznaje i PHP i MySQL i jQuery i Git pa opet jedni će raditi za mesečnu platu od 1000 a drugi za 5000 USD iako na pogled ne postoji vidljiva razlika između njihovih skilova.

I tu naravno dolazi do izražaja vaš lični PR tj. koliko ste u stanju da u dobrom svetlu predstavite svoje veštine. Da se razumemo pričam o suptilnom PR-u a ne o sramnoj samopromociji koja je karakteristika za neke ovdašnje “experte”. Npr. ako ste developer, uključite se u community (forumi, mailing liste …) gde ćete pomagati svojim kolegama oko problema sa kojima se suočavaju. Možete biti i contributor postojećih (open source) projekata i/ili napravite svoje. Naravno znanje nesumnjivo morate posedovati ali će ono tada zahvaljujući vašim referencama i moći društvenih mreža vašem poslodavcu ili klijentu biti značajno uočljivije.

Next Page »