Category Archives: the other side

Сheat trading software (Clever bots vs. Speculators)

Интересная ситуация сложилась с Уралкалием.

Интересная ситуация с ОАО Уралкалий

Эдак неделю назад, после того, как руководство компании объявило о разрыве коммерческих отношений с белорусскими партнерами Беларуськалий и “Белорусская калийная компания“, акции компании просели на ~25% процентов. Чем не преминул воспользовать один мой знакомый для осуществления удачной покупки, так как серьезных альтернатив компании на рынке (СНГ) калийных удобрений нет. Но я не о стратегии торговли, а о ее механике. А она представляет собой следующее.

В настоящее время спред в ценах спроса и предложения на сентябрьские поставочные фьючерсы (UKU3) составляет порядка 150 руб. Торговля по данному деривативу идет крайне неактивно (вероятно потому, что акции не отскочили к настоящему моменту даже половины падения и все ждут своей прибыли). При этом, моим знакомым опытным путем было установлено, что висят на торгах этим фьючерсом, в основном, боты. И здесь начинается главное, а именно: возможность поспекулировать на логике их работы. Рассмотрим ситуацию:

Имеется:
цена спроса на фьючерс – 15 750
цена предложения на фьючерс – 15 910

Если выставить заявку на продажу контракта по цене, например, 15 890 один из ботов автоматически устанавливает заявку на 2 минимальных шага цены (в данном случае 2 руб.) ниже той, которая была установлена. Такое снижение повторяется ботом от 7 до 10 раз, а затем бот решает, что ему достаточно и выходит из игры. Но самое интересное начинается далее: цена спроса при этом также уменьшается – предположим, на 15 руб. меньше и составляет 15 740 руб. А вот теперь, если установить заявку (после того, как бот решил. что с него хватит и прекратил аукцион :)) хотя бы на рубль меньше цены, которую бот определил как свой лимит, и сразу ее снять, то цена спроса (вслед за снятой заявкой на продажу и отскочившей ценой предложения (не до последней цены, как следовало бы ожидать, а выше!)) как растянутая резинка отстреливает в обратном направлении не на 10 руб. (возвращаясь к 15 750), а на целых 30-40 единиц. Таким образом, снижая цену и заставляя бота выйти из игры, можно спекулировать ценой предложения и спроса (конечно, в пределах определенного интервала, которого, тем не менее, вполне достаточно для того, чтобы с этого что-то получить). Та же логика работает и в отношении повышения цены спроса. Так что, как показывает практика, лодку раскачивать таки надо :)
Вот таким вот образом сегодня можно было диктовать свои условия участникам торгов фьючерсами Уралкалия и зарабатывать на этой спекуляции.

Причины: крайне неактивная торговля и низкие объемы торгов позволяют определять стратегию поведения ботов, а, главное, пользоваться её изъянами.
Выводы:

  1. не пользуйтесь своими ботами в своих целях, пользуйтесь чужими ботами для своих целей ;-) Конечно, серьезные деньги так не делаются, но получить дополнительную надбавку при продаже/покупке вполне реально. А, как известно, деньги деньгами зарабатываются;
  2. сегодняшний рост контракта на рынке составил 3,71% (в лидерах роста сегодняшнего дня). Учитывая предыдущий рост, ценная бумага не отыграла даже половины падения, а ближайший уровень сопротивления ожидается ~ 18 450 руб. (при текущей цене 16 367) мой знакомый рекомендует покупать сразу после ближайшего локального отскока.

Котировки Уралкалия здесь.

P.S. Кстати, ещё один знакомый в ближайшее время найдет информацию по локальному переполнению буфера в самой популярной отечественной торговой системе QUIK, а я добавлю ее сюда.

Tagged , , ,

PCI DSS Russia 2012

Вчера побывал на мероприятии PCI DSS Russia (организатор – Digital Security). Удивил общий настрой слушающих – столько негатива не всегда можно найти, даже если очень стараться. При этом причины остались для меня совершенно неизвестными. Вроде бы представители финансовых компаний в основном, но такое желание убедить каждого выступающего в его неправоте – откуда? Или доведение до абсурда ключевых принципов обеспечения ИБ с применением аргументации a la “Но ведь всё равно можно взломать!”. Конечно можно! А с таким отношениям к методам обеспечения ИБ еще и обязательно взломают.

Было интересно узнать, насколько сильно будоражат ума сотрудников банков требования стандарта. Оказалось, стандарт некоторыми воспринимается, как принуждение идти в школу. Особенно удивили вопросы из ряда: “А вот вы говорите, что стандарт полезный и прохождение аттестации влияет положительно на защищённость.. А если я отключу на год защиту – то о какой безопасности может идти речь?”. Я даже не знаю, как такие вопросы можно задавать. А если отключить защитные механизмы в сети – ведь сеть не будет защищена, зачем же покупать защитные механизмы, если, когда их отключаешь, сеть не защищена? Странная логика. Также было интересно узнать, что хакеры, дескать, “люди с суперспособностями” :) А ведь на самом деле ;-)

В целом, было интересно послушать многих докладчиков. С их стороны рекламы было немного. В одном из последних докладов приводилась различная финансовая статистика по кибер-крайму, бросилась в глаза одна цифра – стоимость средней атаки на банк (а точнее клиентов) – 30 000 руб. На всякий случай уточнил у докладчика, а что, дескать, входит в меню. На что получил ответ – что это проведение полностью атаки на одного(!) пользователя. А теперь, давайте, посмотрим на стоимость проведения атаки на пользователя согласно этим вашим интернетам (любые данные по стоимости услуг и т.п. находятся на специализированных форумах в публичном доступе). Общая формула расчёта стоимости будет выглядеть так (понятно, что возможны девиации, но это пример. Многие вещи из нижеприведённой формулы могут быть получены и на бесплатном основании, но эффективность их применения близка к нулю):

Аренда абузоустойчивого сервера + покупка связки эксплоитов (можно купить загрузки) + покупка вредоносного ПО + крипт вредоносного ПО (не обязательно) + покупка домена (не обязательно, но при покупке связки в 90% домен необходим)  + приобретение возможности НСД к ресурсам, с которых будет загружаться ПО (можно купить загрузки) + стоимость загрузок (в случае, если не самостоятельно добывается траффик) + стоимость отмывания (оформление офшорных счетов, или хотя бы левых персональных сертификатов в платёжных системах).

Итого, если убрать модификацию ПО и абузоустойчивый домен, а также расходы на отмывание, то минимальная цифра представляет собой и если рассматривать вариант, в котором загрузка ПО осуществляется путем приобретения соответствующего сервиса, средняя стоимость проведения атаки в месяц на 1000 пользователей составит:

$300 (сервер) + $800 (неуникальное вредоносное ПО, заточенное под отечественные банки и детектируемое 90% антивирусов) + $50 (стоимость 1000 загрузок ПО по зонам RU/UA) = $1150

Это оценка, при которой при редком везении можно получить результат. При этом под загрузками понимается совершенно левый, нецелевой трафик (например, не аудитория сайта forum.bank.ru).

Таким образом, если делать расчёт на одного пользователя (а это делать некорректно, атаки на клиентов банков в 99% случаев носят массовый характер) – стоимость атаки составит $1,15.

Если же считать более корректно, то стоимость атаки составляет примерно $2000 для проведения атаки на 1000 пользователей  без принятия мер к отмыванию. Цены на отмывание в инторнетах найти можно, но оценить их адекватность я не берусь.

Понравилась презентация Димы Евдокимова из DSec о безопасности мобильного банкинга. Вдохновила на более пристальный взгляд на эту область ИБ. А от Алексея Лукацкого узнал, что общепринятое наименование той интересной штуки, тестировать защищенность которой пришлось на днях (MobileIron) – MDM software.

P.S. Алексей, хорошего выступления на BlackHat!

P.S.S. Забыл  – успел найти XSS на веб-сервисе доступа в инет через Wi-Fi, пока сидел в зале. Там всё тривиально – что-то типа http://portal.wi-fu.com/dir/file1.jsp выводило file1 is not found.