Идея как рашистам сделать больно

Visa и MasterCard уходят из РФ. Правительство РФ сразу начало форсить по новостям мысль что ничего страшного, внутри РФ все будет работать + есть еще платежная система «Мир». Думаю уход народа в наличку это страшный сон рашистов. Моя идея заключается в том что бы как то нагнуть рашиский «National Payment Card System» nspk.com Очевидно не сам сайт а именно payment gateways их. Это система которую они пилили с 2014 года, и которая и позволяет им расчитывать на то что Visa и MasterCard будут работать внутри РФ.

Я во всех этих банковских штучках не сильно шарю (вообще не шарю). Помогите мне (и остальным) консультациями по таким вопросам:

1. Правильно ли я понимаю что основная цель не банки, а вендоры (в терминоголии NSPK), они указаны на страничке sbp.nspk.ru/banks в разделе «ТРР». Правильно ли я понимаю что, грубо говоря, ПО банкоматов работает посредством взаимодействия с API этих вендоров. Причем это API стандартизированое и существует только одна эталонная реализация (ниже об этом)

2. Требуется расшифровка «Версия ПО на ТИВ: 1.5.1». Что это за софт, кто делал, чем дышат. Я по цепочке вышел на www.radarpayments.com/white-label-payment и решение SmartVista от www.bpcbt.com (тут подробности какие они крутые www-50.ibm.com/...gsd/showimage.do?id=20976). Лично у меня сомнений нет что этот софт — часть их национальной платежной системы, оно стоит у всех вендоров, оно и есть цель атаки. Хотелось бы независимых подтверждений.

3. Как вычислить реальные сервера, которые обрабатывают транзакции?

4. Может на DOU есть кто участвовал в разработке этого всего, или знает тех кто участвовал. По ходу сейчас тот случай когда NDA с рашистами не стоит той бумаги на которой оно подписанно было.

Я понимаю что сейчас искать уязвимости в их софте и пытаться как то «красиво» поиметь рашистов (перевести бабло ВСУ) хочется но не получится. Нет времени. Потому мое предложение это старый добрый DDoS на инфраструктуру nspk, создание хотя бы минимальных проблем с получением наличных в банкомате, или оплатой товаров картой в магазине. На фоне отключения 10 марта Visa и MasterCard и очень активных заверений правительства РФ что проблем не будет, даже самые конченые ватаны вспомнял крылатую фразу «дефолта не будет», сказанную Ельциным за 2 дня до дефолта. Дальше сами все сделают.

Теми: Mastercard, visa, інформвійна, банк, війна, платіжна система

Ctrl + Enter

Зинаида Мельник Секретарь в БФ IT ПАРОСТОК 14.03.2022 06:43

Мы набрали команду из 18 добровольцев, которые помогают реализовать вашу идею максимально эффективным способом. Может быть хотите к нам?
t.me/ rgkmyuJF0LI4YWIy

Відповісти

Підтримати

nspk abc 12.03.2022 14:29

Коментар порушує правила спільноти і видалений модераторами.

Sergey Lysak T/T Lead 12.03.2022 14:32

nspk abc 12.03.2022 15:07

Sergey Lysak T/T Lead 12.03.2022 15:21

Чорний Список Юджина 11.03.2022 14:56

Visa и MasterCard уходят из РФ

Это просто мега провальное решение. Тут проиграл только запад. А раша выиграла, как и Китай.

P.S. Если кто не понимает, как выиграла раша
1. Больше нет возможности давить и сделать санкции в этом направлении
2. Не знаю, как там работает мировая финансовая система, но получается, что теперь запад не получит информацию о российских транзакциях, ее получит Китай

Gansik 11.03.2022 17:07

Не знаю, как там работает мировая финансовая система, но получается, что теперь запад не получит информацию о российских транзакциях, ее получит Китай

Это ложное утверждение. Достаточно было просто прочитать этот мой пост, что бы не писать подобный бред. Но похоже тригер сработал сразу после «Visa и MasterCard уходят из РФ» и... «и Остапа понесло»

Чорний Список Юджина

Чорний Список Юджина 14.03.2022 10:05

Это ложное утверждение.

Но «правду» я вам не скажу. Логика

Gansik

Gansik 21.03.2022 10:11

..."достаточно было просто прочитать этот мой пост"

dou-user-220311 12.03.2022 12:14

А раша выиграла, как и Китай.

Как проиграли рашанзы — понятно. Теперь баблоса (я о реальном баблосе, а не о рублях), у них не стало вовсе. За исключением того, что осталось наличкой до 10к баксов/тушка.

А как выиграл Китай? Китаёзы ведь, в евро-баксах деньги от рашанзов принимать в оплату не смогут. Рубли им тоже не нужны. А юаней у рашанзов нет.

Чорний Список Юджина 12.03.2022 13:06

А как выиграл Китай?

Китай выиграл по куче параметров. Всех, кто ушёл из раши, нужно же будет заметить. Те же мастеркард и виза больше копеечку не получат, а получит Китай. Плюс, теперь можно энергоносители дешевле покупать, чуть ли не за даром, так как у раши нет выбора.

dou-user-220311

dou-user-220311 12.03.2022 13:14

nspk abc 12.03.2022 14:27

Gansik 21.03.2022 10:13

Те же мастеркард и виза больше копеечку не получат, а получит Китай

Это ложное утверждение. Достаточно было просто прочитать этот мой пост...

Чувак, ну правда. Просто прочти что я тут написал с пруфами и прочим.

nspk abc 12.03.2022 14:28

dou-user-220311 12.03.2022 14:32

nspk abc 12.03.2022 15:09

dou-user-220311 12.03.2022 15:15

nspk abc 12.03.2022 15:17

Vitaliy Fedoriv Java Developer 12.03.2022 14:33

Конь в Пальто 14.03.2022 07:52

И толку с информации если они заперты в своем болоте?

Donald Trump 14.03.2022 09:25

Это создает мега неудобство для населения. Довольное население никогда не свергнет власть, а вот недовольное...

UnionPay сложнее оформить, они дороже в обслуживании, опять же ограничения на валютные операции, не везде принимаются. Короче как минимум несколько лет пострадают пока весь процесс отдебажится.

anonymous 09.03.2022 04:43

Gansik 09.03.2022 08:44

Никак, это китайская платежка. Пытаться завалить только UnionPay это как пытаться завалить Visa глобально. Все платежи внутри РФ по всем картам (UnionPay, Visa, MasterCard, Мир) идут через их локального оператора — НСПК nspk.ru Идея и цель валить именно НСПК. Хотя бы создать минимальные проблемы с работой этой штуки. Дальше, по идее, дидосить будут «дорогие россияне» очередями возле банкоматов.

anonymous

Gansik 09.03.2022 08:51

Но! Возможно я что-то не понимаю, нет никакой централизации в обработке пластика. Все что я пишу в этой теме- моя гипотеза. Возможно я не учитываю какой то важный фактор и в силу ограниченности моих знаний в этой области. Но если моя гипотеза верна, то есть реальный шанс сделать очень и очень больно рашистам. Буквально перенести на их территорию частичку того трындеца, который они устроили нам в Украине.

nspk abc 12.03.2022 12:10

anonymous 14.03.2022 04:08

Not Sure 09.03.2022 01:37

Росіяни кинулися оформлювати картки UnionPay (китайської платіжної системи), яка підтримує набагато більше країн. «Мир» скоріше за все будуть використовувати тільки бюджетники.

vc.ru/...t-karty-unionpay-v-rossii

Gansik 09.03.2022 08:07

UnionPay, Visa, MasterCard и карты Мир. Все это обслуживается внутри РФ одним оператором — НСПК. Если завалить инфраструктуру НСПК то ни одна пластиковая карта не будет работать. Они специальным законом запретили альтернативные способы обслуживания пластиковых карт.

Есть еще такая штука как «система быстрых платежей» СБП sbp.nspk.ru к которой в насильно- приказном порядке перевели все банки РФ. Страсть москалей к централизации и контролю могла бы сыграть с ними злую шутку. Техническая документация по СБП недоступна просто так support.nspk.ru. Доступ к технической документации имеют айтишники из 203 банков sbp.nspk.ru/participants подключенных к системе СБП. На DOU нет ни одного чувака, который знает чувака, который работает в банке РФ?

Not Sure

Garlic Joe 08.03.2022 22:17

Я просував схожу ідею — атакувати пеймент АПІ гейтвеї у цій темі: dou.ua/forums/topic/36969
Поки що немає ніякої реакції від авторів db1000n, може вони зайняті чи не в захваті від ідеї.

Gansik 09.03.2022 08:22

Изначально моя идея была в точности как ваша (валить paymets gateway) Но потом вспомнил что они в РФ c 14 года все очень централизовали, забанили всякие sberpay и прочие попытки банков заработать в честной конкурентной борьбе предоставляя и продвигая свои платежные сервисы. Сейчас всех согнали под одну крышу — «система быстрых платежей» sbp.nspk.ru Думаю там внутри обычный такой модный REST API, единый для всех банков. Проблема в том что оно все не публичное, и рабочие endpoints нагуглить у меня не получается. Даже sandbox нет, и хоть толики инфы что там и как устроенно внутри. Мне лично подобная скрытность видится скорее положительной стороной. Не было нормального аудита, может там первый залетевший дятел разрушит цивилизацию всю.

Garlic Joe

Garlic Joe 10.03.2022 21:09

К сожалению, мне не удалось найти адреса их АПИ-хостов.

Gansik 11.03.2022 14:44

Ну я нашел, в принципе. Подсеть 194.226.50.0/24 Но доступ туда хрен получишь без хороших хакеров Вот тут документ как там все устроенно внутри gansik.tagv.com/___/media/nspk_tech.pdf Если простыми словами. То вот те «коробочки» о которых я писал в предыдущих сообщениях, это два дублирующих выделенных канала (от Beeline и Orange). В доке указана используемая модель маршутизаторов (Huawei AR201) и криптошлюза (Континент IPC-10). Вся криптография там — решение КриптоПро JCP от www.cryptopro.ru (сайт работает только внутри РФ, как и большинство сайтов по теме их платежки). Все реализовано на Java.

Никакого «модного REST API» там нет! Если кто работал с ПО «клиент банк» от Укрсибанка, но насладитесь «передовыми технологиями рашистов» gansik.tagv.com/...edia/nspk_sedo_client.pdf (это описание старой версии от 2014 года, но ничего не поменялось). Вот это вот говно и есть их хваленая Национальная Платежная Система. Но вот завернуть все это в закрытый от Интернет контур с выделенными линиями до серверов НСПК + дублирование каналов, тут признаю, тут тупым DDoS не получится завалить это.

Короче инфы у меня уже достаточно. Я вижу что сам уже не смогу продвинутся дальше, т.к. это все очень далеко от моей специализации, и я понятия не имею как в закрытые от интернет подсети можно проникнуть (очевидно надо как то действовать через сеть подключенного к НСПК банка). Какие- то примитивные вещи типа скана открытых портов по всей подсети 194.226.50.0/24 я делал, глухо. Дальше нужны уже реально спецы, со знаниями и инструментом. У меня нет исходников их ПО, но вот эту нашумевшую уязвимость logging.apache.org/log4j/2.x/security.html наверное стоило бы проверить прямо самой первой (естественно после получения доступа в 194.226.50.0/24).

Короче если есть желающие и умеющие, способные подхватить покосившееся знамя- welcome. Со своей стороны максимальное участие и помощь в пределах моих очень ограниченных знаний в этой области.

Gansik 08.03.2022 13:13

Спасибо всем откликнувшимся! Очень помогли мне многое понять и переосмыслить!

Віталій Фільченко 08.03.2022 12:46

ого, я нажаль тут взагалі нічого не розумію ((

Gansik 08.03.2022 13:09

Нажаль те, кто что-то понимает, предпочитают в соседних темах обсуждать свои чувства и переживания (топик «Як ви себе почуваєте?») ((

Віталій Фільченко

Gansik 07.03.2022 14:21

Пока дискуссии нет, напишу что накопал по вершкам.
Те, кто подключаются к «НСПК» получают не ключи там всякие и доступы к API, а «коробочку», в которую нельзя лазить, чего то настраивать или модифицировать.
www.nspk.ru/...я услуг АО НСПК (002).pdf

4.8.Заказчик не имеет права модифицировать, производить улучшения илиизменения оборудования (в том числе его настроек), а также любым иным образом вмешиваться в работу оборудования без присутствия Исполнителя. Кроме того, Заказчик обязан обеспечить невмещательство в работу установленного оборудования третьих лиц без присутствия Исполнителя, и несет за это ответственность перед Исполнителем.

4.9.Заказчик обязан не передавать оборудование третьим лицам (в том числе в субаренду), а также не праве использовать данное оборудование не дляцелей получения услуг АО «НСПК».

Самый интересный пункт, т.к. я понимаю что раздобыть «коробочку» не получится, это вот это:

4.6. ... Одновременно с оборудованием Заказчик передает Исполнителю техническую документацию

В свободном доступе я не смог нагуглить эту документацию, но по идее копий этого документа должно быть много и добыть документация можно.

В целом мои соображения по возможности завалить НСПК оптимистичные. Классическое «security through obscurity». Таинственные секретные коробочки, в которых ПО разработанное в секретных лабораториях, еще советскими инженерами, а потому не взламываемое и супер надежное. Наверняка внутри той коробочки неонка и «Kuznyechik» ru.wikipedia.org/wiki/Кузнечик_(шифр

Короче призываю подключится чуваков кто шарит, и помочь или сразу указать где ошибка, и почему это невозможно сделать будет, что бы не тратить время на бесперспективную затею. Финансовые затраты на сервера для дидоса и/или выкуп полезной инфы по теме я готов понести лично. Вся помощь сейчас от вас это консультации и свои соображения почему это не взлетит (или офигено взлетит). Спасибо всем, Слава Украине!

Идея как рашистам сделать больно

24 коментарі

Підписатись на коментарі