_business – Page 2 – jozefmares.com
Home top_menu _business
Category:

_business

Na pošte

by Jozef Mares

Žltý lístok oznamoval neprebratú zásielku z daňového úradu adresovanú na firmu. OK, posledný deň na prebratie, vybral som sa na poštu. Na pošte som podal žltý lístok, pani si vypýtala občiansky. Potiaľto chápem, preberám poštu za firmu, napíše si kto prebral zásielku. Pani si následne pýta nejaké splnomocnenie že môžem preberať zásielky za firmu.

Odpovedám: “som konateľ a majiteľ, lepšia kvalifikácia asi nebude.” Nie, takto to nestačí musíte mať splnomocnenie vystavené na pošte alebo výpis z obchodného registra. OK, je to kravina ale dnes nemám čas, mám dohodnuté aj jednanie inde.

Pýtam sa čo mám teda robiť, dnes je posledný deň na prebratie. Pani odpovedá: “výpis z obchodného registra mi môžu vystaviť na vedľajšej prepážke.” Rozum sa mi zastavil, a kladiem otázku či sa tam nemôže pozrieť sama. Nie, musí to vidieť na papieri.

Minuté 4 eura za výpis ktorý nepotrebujem, aby som dostal zásielku z ktorej som sa dozvedel že nemusím podávať papierovo DPH a môžem podávať elektronicky (čo robím už najmenej 2 roky).

Občas je potreba kúpiť niečo pre slovensku firmu v inej krajine EU. Pri nákupe subjektu registrovaného k DPH v členskom štáte EU existuje koncept že povinnosť priznať DPH prejde na kupujúceho. Na základe tohto predávajúci vystaví faktúru s 0% DPH.

Toto funguje všade kde som mal možnosť nakupovať na firmu (DE, FR, PL). Rovnako postupujem aj v ČR s jediným rozdielom – niektorý predávajúci chcú aby som doniesol “Prehlásenie o DPH” kde bude na hlavičkovom papiery s firemnou pečiatkou oznámené že povinnosť priznať DPH prechádza na mňa ako kupujúceho.

S týmto mám dva problémy – je to blbosť lebo táto povinnosť je pokiaľ viem implicitná (skontrolujú si IČ DPH v EU registroch pre VAT/DPH), a po druhé ako prišli ľudia na to že mám hlavičkový papier a pečiatku?

Pokiaľ viem pečiatka vždy slúžila iba na to aby zrýchlila vypisovanie firemných identifikačných údajov, a hlavičkový papier? V dobe Internetu keď vizitku dávam dva krát do roka? Na argument že pečiatka nezaručuje nič prišla odpoveď: “že pre istotu – pre lepšie spanie účtovníkov”.

Poučenie – firmy riadia účtovníci a kto má pečiatku z copy centra a hlavičkový papier spravený v editore vládne ďaňovému úradu.

V kontexte ostatných udalostí a útokov na české firmy, média a banky sa ukázalo že väčšina ľudí predpokladá že tento typ útoku je výhradne aktom vandalizmu. Ukážeme si že to tak nie je. Doba kedy sa útoky (nielen) kategórie Denial of service / Distributed denial of service robili čiste ako demonštrácia technologických schopností geekov sú dávno preč.

Útoky typu DoS boli populárne odjakživa, je pomerne široko známy napríklad Ping of death prípadne Ping flood.
Neskôr boli široko používane útoky z kategórie SYN flood, UDP flood a podobne. Tento typ bol obzvlášt obľúbený na univerzitnej pôde kde boli široké linky a minimum ochranných mechanizmov. Študenti sa bežne zabávali s nástrojmi ako je hping a vzájomne si zhadzovali mašiny, najmä tým ktorý tomu menej rozumeli. :)

Presný termín kedy sa z tychto útokov stal výnosný biznis model nepoznám (netuším kto speňažil prvý botnet), ale pre majiteľa botnetu je najlepší biznis prenájom kapacity napadnutých počítačov. Takto je napríklad odosielaný spam a sú realizované i DDoS útoky (samozrejme na DDoS sú aj iné metódy, viď napríklad LOIC a Anonymous, ale pre potreby krátkosti tento aspekt vynechávam).

Skúste si predstaviť že ste v pozícií biznisu ktorý na elektronickej komunikácií závisí – ste e-shop, banka s e-bankingom, webový portál. Vaše príjmy závisia výrazne na tom že sú vaše weby dostupné online. Nie je neobvyklé že na vás demonštratívne zaútočia na dve hodiny (botnety sa často účtujú po hodine) a následne príde oznámenie že sa budete deliť o zisky, inak budete nedostupný. Tento model bol veľmi populárny okolo roku 2006 a cielený na e-shopy.

Ako som sa dozvedel po novom sa poskytuje ochrana pred týmto útokom a to tak že zaplatíte pevnú čiastku a ako bonus v prípade že vaša konkurencia požiada o útok na vás bude táto požiadavka ignorovaná.

Tým sa dostávam k obchodnému modelu dva. Model spočíva v tom že útočník prevedie analýzu trhu, najde si minimálne dva relevatné subjekty a nechá ich licitovať na koho bude útok vedený. To mi príde zvlášt pikantné a sadistické.

Ako sa stanovuje cena za ochranu?
Útočníci často vedia koľko stojí kapacita linky, paušál v nejakej CDN alebo napríklad u CloudFlare a stanovia cenu nižšiu ako vychádzajú uvedené obranné mechanizmy. Takáto jednoduchá ekonómia za tým všetkým je.

Ako je vidieť ide v zásade o obdobu výpalníctva známeho z devätdesiatych rokov, teda nič inovatívne.

Veľmi kreatívny spôsob zarábania zvolili script kiddies v roku 2010 keď prišli s požiadavkou že útokom bude možné odolať v prípade že si cieľ kúpi ich prostredníctvom služby veľmi známej CDN ktorá spustila affiliate program. V tomto prípade však stačilo požiadať o informácie ako a kam zaplatiť a CDN informovať o tom že ich affiliate partner takýmto spôsobom zneužíva program. Je pravda že existovalo pre klienta riziko že DDoS bude pokračovať, ale odhad bol správny že ide iba o amatérsky pokus.

Ďalší dôvod prečo sa objavia útoky na mediálne exponované stránky je demonštrácia sily botnetu. Ide o to že na navštevovaných stránkach sa demonštruje sila a skutočnému cieľu príde iba výzva na úhradu s tým že keď veľké portály neodolali ako chcú odolať oni? Opäť ide ale o variáciu známeho výpalníctva. V prípade zaznamenanom na českom internete môže ísť o demonštráciu sily s tým že Česká republika poslúžila ako digitálna strelnica.

Na záver: koľko vlastne stojí prenájom botnetu a kto za to môže?
Hoci to môže znieť šokujúco botnety sú celkom lacné, v roku 2010 keď som sa problematikou zaoberal najvýraznejšie bolo možné prenajať botnet už od 10 USD za hodinu a priemerná cena bola okolo 150 USD za 24 hodín. Kvalitnejšie botnety ktoré garantovali útočnú kapacitu stáli od cca 200 USD. Holt, i skladník ve šroubárně si může pronajat botnet. :)

Za najväčšie zlo posledných cca dvoch rokov pokladám Javu vzhľadom k tomu ako Oracle pečie na jej bezpečnostné opravy a client side útoky to myslím celkom potvrdzujú, takže ak chcete jednoznačného vinníka vylejte si zlosť na Oracle. Možno ten bordel začnú opravovať. :)

Older Posts