Идея как рашистам сделать больно

Visa и MasterCard уходят из РФ. Правительство РФ сразу начало форсить по новостям мысль что ничего страшного, внутри РФ все будет работать + есть еще платежная система «Мир». Думаю уход народа в наличку это страшный сон рашистов. Моя идея заключается в том что бы как то нагнуть рашиский «National Payment Card System» nspk.com Очевидно не сам сайт а именно payment gateways их. Это система которую они пилили с 2014 года, и которая и позволяет им расчитывать на то что Visa и MasterCard будут работать внутри РФ.

Я во всех этих банковских штучках не сильно шарю (вообще не шарю). Помогите мне (и остальным) консультациями по таким вопросам:

1. Правильно ли я понимаю что основная цель не банки, а вендоры (в терминоголии NSPK), они указаны на страничке sbp.nspk.ru/banks в разделе «ТРР». Правильно ли я понимаю что, грубо говоря, ПО банкоматов работает посредством взаимодействия с API этих вендоров. Причем это API стандартизированое и существует только одна эталонная реализация (ниже об этом)

2. Требуется расшифровка «Версия ПО на ТИВ: 1.5.1». Что это за софт, кто делал, чем дышат. Я по цепочке вышел на www.radarpayments.com/white-label-payment и решение SmartVista от www.bpcbt.com (тут подробности какие они крутые www-50.ibm.com/...​gsd/showimage.do?id=20976). Лично у меня сомнений нет что этот софт — часть их национальной платежной системы, оно стоит у всех вендоров, оно и есть цель атаки. Хотелось бы независимых подтверждений.

3. Как вычислить реальные сервера, которые обрабатывают транзакции?

4. Может на DOU есть кто участвовал в разработке этого всего, или знает тех кто участвовал. По ходу сейчас тот случай когда NDA с рашистами не стоит той бумаги на которой оно подписанно было.

Я понимаю что сейчас искать уязвимости в их софте и пытаться как то «красиво» поиметь рашистов (перевести бабло ВСУ) хочется но не получится. Нет времени. Потому мое предложение это старый добрый DDoS на инфраструктуру nspk, создание хотя бы минимальных проблем с получением наличных в банкомате, или оплатой товаров картой в магазине. На фоне отключения 10 марта Visa и MasterCard и очень активных заверений правительства РФ что проблем не будет, даже самые конченые ватаны вспомнял крылатую фразу «дефолта не будет», сказанную Ельциным за 2 дня до дефолта. Дальше сами все сделают.

👍ПодобаєтьсяСподобалось2
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Мы набрали команду из 18 добровольцев, которые помогают реализовать вашу идею максимально эффективным способом. Может быть хотите к нам?
t.me/ rgkmyuJF0LI4YWIy

Visa и MasterCard уходят из РФ

Это просто мега провальное решение. Тут проиграл только запад. А раша выиграла, как и Китай.

P.S. Если кто не понимает, как выиграла раша
1. Больше нет возможности давить и сделать санкции в этом направлении
2. Не знаю, как там работает мировая финансовая система, но получается, что теперь запад не получит информацию о российских транзакциях, ее получит Китай

Не знаю, как там работает мировая финансовая система, но получается, что теперь запад не получит информацию о российских транзакциях, ее получит Китай

Это ложное утверждение. Достаточно было просто прочитать этот мой пост, что бы не писать подобный бред. Но похоже тригер сработал сразу после «Visa и MasterCard уходят из РФ» и... «и Остапа понесло»

Это ложное утверждение.

Но «правду» я вам не скажу. Логика

Но «правду» я вам не скажу. Логика

..."достаточно было просто прочитать этот мой пост"

А раша выиграла, как и Китай.

Как проиграли рашанзы — понятно. Теперь баблоса (я о реальном баблосе, а не о рублях), у них не стало вовсе. За исключением того, что осталось наличкой до 10к баксов/тушка.

А как выиграл Китай? Китаёзы ведь, в евро-баксах деньги от рашанзов принимать в оплату не смогут. Рубли им тоже не нужны. А юаней у рашанзов нет.

А как выиграл Китай?

Китай выиграл по куче параметров. Всех, кто ушёл из раши, нужно же будет заметить. Те же мастеркард и виза больше копеечку не получат, а получит Китай. Плюс, теперь можно энергоносители дешевле покупать, чуть ли не за даром, так как у раши нет выбора.

Те же мастеркард и виза больше копеечку не получат, а получит Китай

Это ложное утверждение. Достаточно было просто прочитать этот мой пост...

Чувак, ну правда. Просто прочти что я тут написал с пруфами и прочим.

И толку с информации если они заперты в своем болоте?

Это создает мега неудобство для населения. Довольное население никогда не свергнет власть, а вот недовольное...

UnionPay сложнее оформить, они дороже в обслуживании, опять же ограничения на валютные операции, не везде принимаются. Короче как минимум несколько лет пострадают пока весь процесс отдебажится.

UnionPay, к сожалению, присутствует на западе. Какие есть идеи как нам минимизировать его присутствие? Как его cancel?

Никак, это китайская платежка. Пытаться завалить только UnionPay это как пытаться завалить Visa глобально. Все платежи внутри РФ по всем картам (UnionPay, Visa, MasterCard, Мир) идут через их локального оператора — НСПК nspk.ru Идея и цель валить именно НСПК. Хотя бы создать минимальные проблемы с работой этой штуки. Дальше, по идее, дидосить будут «дорогие россияне» очередями возле банкоматов.

Но! Возможно я что-то не понимаю, нет никакой централизации в обработке пластика. Все что я пишу в этой теме- моя гипотеза. Возможно я не учитываю какой то важный фактор и в силу ограниченности моих знаний в этой области. Но если моя гипотеза верна, то есть реальный шанс сделать очень и очень больно рашистам. Буквально перенести на их территорию частичку того трындеца, который они устроили нам в Украине.

Я не предлагаю их валить, типа ДДОСить. Понятно, что ДДОС это кратковременное неудобство, и почти никогда не стоит затраченных усилий.

Я думаю какие варианты делегитимизировать union pay? Типа компании в социалочках — «Мерчант! Принимая Union Pay ты помогаешь хитрожопым оркам обойти санкции. Раз ты платишь за бензин 5 баксов то пусть они тоже страдают» итд

Росіяни кинулися оформлювати картки UnionPay (китайської платіжної системи), яка підтримує набагато більше країн. «Мир» скоріше за все будуть використовувати тільки бюджетники.

vc.ru/...​t-karty-unionpay-v-rossii

UnionPay, Visa, MasterCard и карты Мир. Все это обслуживается внутри РФ одним оператором — НСПК. Если завалить инфраструктуру НСПК то ни одна пластиковая карта не будет работать. Они специальным законом запретили альтернативные способы обслуживания пластиковых карт.

Есть еще такая штука как «система быстрых платежей» СБП sbp.nspk.ru к которой в насильно- приказном порядке перевели все банки РФ. Страсть москалей к централизации и контролю могла бы сыграть с ними злую шутку. Техническая документация по СБП недоступна просто так support.nspk.ru. Доступ к технической документации имеют айтишники из 203 банков sbp.nspk.ru/participants подключенных к системе СБП. На DOU нет ни одного чувака, который знает чувака, который работает в банке РФ?

Я просував схожу ідею — атакувати пеймент АПІ гейтвеї у цій темі: dou.ua/forums/topic/36969
Поки що немає ніякої реакції від авторів db1000n, може вони зайняті чи не в захваті від ідеї.

Изначально моя идея была в точности как ваша (валить paymets gateway) Но потом вспомнил что они в РФ c 14 года все очень централизовали, забанили всякие sberpay и прочие попытки банков заработать в честной конкурентной борьбе предоставляя и продвигая свои платежные сервисы. Сейчас всех согнали под одну крышу — «система быстрых платежей» sbp.nspk.ru Думаю там внутри обычный такой модный REST API, единый для всех банков. Проблема в том что оно все не публичное, и рабочие endpoints нагуглить у меня не получается. Даже sandbox нет, и хоть толики инфы что там и как устроенно внутри. Мне лично подобная скрытность видится скорее положительной стороной. Не было нормального аудита, может там первый залетевший дятел разрушит цивилизацию всю.

К сожалению, мне не удалось найти адреса их АПИ-хостов.

Ну я нашел, в принципе. Подсеть 194.226.50.0/24 Но доступ туда хрен получишь без хороших хакеров Вот тут документ как там все устроенно внутри gansik.tagv.com/___/media/nspk_tech.pdf Если простыми словами. То вот те «коробочки» о которых я писал в предыдущих сообщениях, это два дублирующих выделенных канала (от Beeline и Orange). В доке указана используемая модель маршутизаторов (Huawei AR201) и криптошлюза (Континент IPC-10). Вся криптография там — решение КриптоПро JCP от www.cryptopro.ru (сайт работает только внутри РФ, как и большинство сайтов по теме их платежки). Все реализовано на Java.

Никакого «модного REST API» там нет! Если кто работал с ПО «клиент банк» от Укрсибанка, но насладитесь «передовыми технологиями рашистов» gansik.tagv.com/...​edia/nspk_sedo_client.pdf (это описание старой версии от 2014 года, но ничего не поменялось). Вот это вот говно и есть их хваленая Национальная Платежная Система. Но вот завернуть все это в закрытый от Интернет контур с выделенными линиями до серверов НСПК + дублирование каналов, тут признаю, тут тупым DDoS не получится завалить это.

Короче инфы у меня уже достаточно. Я вижу что сам уже не смогу продвинутся дальше, т.к. это все очень далеко от моей специализации, и я понятия не имею как в закрытые от интернет подсети можно проникнуть (очевидно надо как то действовать через сеть подключенного к НСПК банка). Какие- то примитивные вещи типа скана открытых портов по всей подсети 194.226.50.0/24 я делал, глухо. Дальше нужны уже реально спецы, со знаниями и инструментом. У меня нет исходников их ПО, но вот эту нашумевшую уязвимость logging.apache.org/log4j/2.x/security.html наверное стоило бы проверить прямо самой первой (естественно после получения доступа в 194.226.50.0/24).

Короче если есть желающие и умеющие, способные подхватить покосившееся знамя- welcome. Со своей стороны максимальное участие и помощь в пределах моих очень ограниченных знаний в этой области.

Спасибо всем откликнувшимся! Очень помогли мне многое понять и переосмыслить!

ого, я нажаль тут взагалі нічого не розумію ((

Нажаль те, кто что-то понимает, предпочитают в соседних темах обсуждать свои чувства и переживания (топик «Як ви себе почуваєте?») ((

Пока дискуссии нет, напишу что накопал по вершкам.
Те, кто подключаются к «НСПК» получают не ключи там всякие и доступы к API, а «коробочку», в которую нельзя лазить, чего то настраивать или модифицировать.
www.nspk.ru/...​я услуг АО НСПК (002).pdf

4.8.Заказчик не имеет права модифицировать, производить улучшения илиизменения оборудования (в том числе его настроек), а также любым иным образом вмешиваться в работу оборудования без присутствия Исполнителя. Кроме того, Заказчик обязан обеспечить невмещательство в работу установленного оборудования третьих лиц без присутствия Исполнителя, и несет за это ответственность перед Исполнителем.
4.9.Заказчик обязан не передавать оборудование третьим лицам (в том числе в субаренду), а также не праве использовать данное оборудование не дляцелей получения услуг АО «НСПК».

Самый интересный пункт, т.к. я понимаю что раздобыть «коробочку» не получится, это вот это:

4.6. ... Одновременно с оборудованием Заказчик передает Исполнителю техническую документацию

В свободном доступе я не смог нагуглить эту документацию, но по идее копий этого документа должно быть много и добыть документация можно.

В целом мои соображения по возможности завалить НСПК оптимистичные. Классическое «security through obscurity». Таинственные секретные коробочки, в которых ПО разработанное в секретных лабораториях, еще советскими инженерами, а потому не взламываемое и супер надежное. Наверняка внутри той коробочки неонка и «Kuznyechik» ru.wikipedia.org/wiki/Кузнечик_(шифр

Короче призываю подключится чуваков кто шарит, и помочь или сразу указать где ошибка, и почему это невозможно сделать будет, что бы не тратить время на бесперспективную затею. Финансовые затраты на сервера для дидоса и/или выкуп полезной инфы по теме я готов понести лично. Вся помощь сейчас от вас это консультации и свои соображения почему это не взлетит (или офигено взлетит). Спасибо всем, Слава Украине!

Підписатись на коментарі