Comments 92
Сомнительная безопасность. Я бы ещё с некоторым пониманием отнесся если бы они предлагали использовать токены для аутентификации, хотя это тоже куча неудобств.
+4
2-х факторная авторизация тогда уж. По временному паролю.
+1
В альфабанке такое есть, а если еще и учесть, что логин никак не записан на карте, то вполне себе защита. Меня больше пугает возможность оплаты через интернет чего угодно, просто имея у себя чужую карту. Это как нибудь защищается?
0
Смотря где оплачиваете… Много где используется 3Ds (у Альфовских карточек он подключается при наличии у клиента Клика, Чека или Мобаила)
0
Paypal, aliexpress, blizzard, зрелищные кассы — нигде ничего не спрашивали кроме номера карты и cvv.
+1
При проведении транзакций в интернет магазинах банк эмитент и банк экваейр обмениваются специальным параметром под названием ECI. Если он равен 7, то ответственность в случае мошенничества ложится на банк эквайер и магазин (мерчанта) и деньги будут возвращать за их счет. Так вот… этом случае не используется 3Ds вообще… скорее всего указанные вами мерчанты используют именно ECI =7 при авторизации платежа.
+2
Мастером от Сити не оплатишь: требуют одноразовый пароль через СМС.
0
Так в том же альфабанке нужно еще смс-кой транзакцию подтвердить. Правда, заметил, что не все сервисы спрашивают этот ОТП пароль.
0
Не пройдет — как только кто-то намекнет нашим клоунам законотворцев, что их указа как бы тоже касается :)
+1
А можно указать адреса всех устройств, с которых я может быть буду осуществлять доступ? Прямо от 0.0.0.0 до 255.255.255.255.
+6
а может хватит одного — 127.0.0.1
+4
Могут попросить отдельное заверенное бумажное заявление на _каждый_ из адресов:)
В одном банке, не скажем каком, у нас такое требовали:-\
Потом правда требование убрали через пару месяцев, но осадочек остался.
В одном банке, не скажем каком, у нас такое требовали:-\
Потом правда требование убрали через пару месяцев, но осадочек остался.
+1
Я думаю потратил бы пару дей своего времени чтобы выслать им хотя бы пару тысяч заявлений. Дураков нужно учить.
0
Т.е. через провайдера с динамическим IP нельзя по определению?
0
Мы, например, уже полгода используем схему со списком белых IP-адресов для доступа к серверу тестирования test.nica.ru. Тестирование проходит в вузах, в определённых аудиториях, так что они заранее подают диапазон своих внешних ай-пи. Естественно, если адрес у них не статический, то диапазон они вынуждены запрашивать у провайдера, и эту информацию им спокойно выдают.
За всё время только пару раз были реальные проблемы, с МТС-3G и с yota, сложно оказалось добраться до нужного специалиста техподдержки. Ну и серые адреса 192.168 часто пытаются прислать.
И да, сама схема введена после DDOS-атаки, как самое простое средство от её предотвращения в будущем. Она не оптимальна, но гарантирует результат.
За всё время только пару раз были реальные проблемы, с МТС-3G и с yota, сложно оказалось добраться до нужного специалиста техподдержки. Ну и серые адреса 192.168 часто пытаются прислать.
И да, сама схема введена после DDOS-атаки, как самое простое средство от её предотвращения в будущем. Она не оптимальна, но гарантирует результат.
0
Не получится ли так, что надо будет отдельно платить по 200 рублей за заверение каждого адреса из диапазона?
0
не не… не так…
0.0.0.0
0.0.0.1
0.0.0.2
0.0.0.3
…
255.255.255.255
Следом другой талмут с ipv6 адресами. И на добивку, можно удалить из списка свой реальный IP адрес. После чего пройти успешную авторизацию под ним и подать в суд на банк, который разрешил доступ с IP не из списка.
0.0.0.0
0.0.0.1
0.0.0.2
0.0.0.3
…
255.255.255.255
Следом другой талмут с ipv6 адресами. И на добивку, можно удалить из списка свой реальный IP адрес. После чего пройти успешную авторизацию под ним и подать в суд на банк, который разрешил доступ с IP не из списка.
+9
Будет очень смешно, если такой идиотизм пройдет.
+1
У них давно крышу снесло. А не нужно им указывать адреса всех моих будущих мест жительства? Для идентификации, так сказать.
Сейчас есть требования некого «адреса регистрации». Миллионы людей живут не по адресу, указанному в штампе. А про «купленные» и упоминать не стоит. Какой смысл в требовании этих штампов и клочков бумаги с адресами непонятно. Достаточно просто идентифицировать личность. В США вообще люди переезжает по 10-15 раз за всю жизнь с одного места проживания в другое. В банк предъявляют конверт на имя и адрес или счёт за что-нибудь и всё.
Сейчас есть требования некого «адреса регистрации». Миллионы людей живут не по адресу, указанному в штампе. А про «купленные» и упоминать не стоит. Какой смысл в требовании этих штампов и клочков бумаги с адресами непонятно. Достаточно просто идентифицировать личность. В США вообще люди переезжает по 10-15 раз за всю жизнь с одного места проживания в другое. В банк предъявляют конверт на имя и адрес или счёт за что-нибудь и всё.
+4
Знаете, мне тут нужно было в военкомате с учёта сняться, в связи с отъездом в другую страну на срок от шести месяцев. Так вот, меня отказались снимать с учёта, поскольку у меня не было обратного билета в Россию с датой через шесть месяцев или позже.
Все мои попытки показать заранее распечатанный ФЗ «О воинской обязанности и военной службе» не имели абсолютно никакого смысла. Никто из сотрудников военкомата, включая и самого военного коммисара, даже смотреть эти распечатки не стал. Самое смешное здесь то, что согласно этому закону, никаких доказательств того, что ты уезжаешь, вообще не требуется. И если ты останешься в стране, не встав на учёт повторно (в двухнедельный срок) — то отвечать за это тебе (уже по статье 328 УК РФ). В некоторых военкоматах, кстати, действительно никаких проблем не возникает, и людей снимают с учёта сразу же. Но тут военкомат оказался не из таких.
Все мои попытки показать заранее распечатанный ФЗ «О воинской обязанности и военной службе» не имели абсолютно никакого смысла. Никто из сотрудников военкомата, включая и самого военного коммисара, даже смотреть эти распечатки не стал. Самое смешное здесь то, что согласно этому закону, никаких доказательств того, что ты уезжаешь, вообще не требуется. И если ты останешься в стране, не встав на учёт повторно (в двухнедельный срок) — то отвечать за это тебе (уже по статье 328 УК РФ). В некоторых военкоматах, кстати, действительно никаких проблем не возникает, и людей снимают с учёта сразу же. Но тут военкомат оказался не из таких.
0
В принципе тогда к ним нужно прийти с нотариусом и заверить их отказ. Потом подать жалобу, а потом в суд за преступное бездействие и материальный ущерб.
Но в конце концов мне было проще сменить страну.
Но в конце концов мне было проще сменить страну.
+1
А что сказали в военной прокуратуре?
+1
Честно говоря, не ходил туда. Мне уезжать нужно было через неделю. Заявление они, кстати, всё-таки приняли, но сказали, что без подтверждающих документов с учёта снимать не будут, а срок рассмотрения заявления — 10 дней (то есть дольше, чем я оставался в Питере). Что интересно, у них даже не было такого бланка — пришлось заполнять бланк для переезда по России (указав заграничный адрес).
А до этого было ещё интереснее — я до этого тоже долгое время не жил в России, и был снят с учёта (в другом военкомате для снятия с учёта ничего не потребовалось: заполнил заявление, мне тут же выдали справку и забрали приписное). Потом я приехал в Россию и перепрописался в другом месте, и попытался встать на учёт (уже по новому месту прописки). Но ничего не вышло, потому что военкомат в Питере говорил, что не может меня поставить на учёт, если я не принесу приписное, а военкомат в другом городе говорил, что не может выдать мне приписное, а может только отправить в другой военкомат вместе с личным делом по запросу. Военкомат в Питере, в свою очередь, говорил, что не может отправить запрос, если у меня нету приписного. В общем, около трёх лет меня просто отказывались ставить на учёт. Если бы не необходимость получить загран. паспорт — может, и не поставили бы. А так я уже пришёл к ним в пятнадцатый, наверно, раз, достучался до военного коммисара (непонятно, как они там работают — его часами нужно ждать), и он всё-таки разрешил другим сотрудникам военкомата отправить запрос, чтобы другой военкомат выслал личное дело с приписным. А потом меня ещё пытались заверить, что я могу даже не пытаться получить загран. паспорт, потому что они будут отвечать отказом на запрос от УФМС и так далее. Я проконсультировался с юристами, и мне сказали, что это абсурд, и не препятствовать получению загран. паспорта они не имеют права. Соответственно, загран. паспорт мне выдали, но вот с учёта сняться уже не получилось, потому что они отказались снимать меня без подтверждения. Теперь вот недавно звонили моей сестре (она ездила в Питер с моей сим-картой) и требовали прислать справку о том, что я не в России.
А до этого было ещё интереснее — я до этого тоже долгое время не жил в России, и был снят с учёта (в другом военкомате для снятия с учёта ничего не потребовалось: заполнил заявление, мне тут же выдали справку и забрали приписное). Потом я приехал в Россию и перепрописался в другом месте, и попытался встать на учёт (уже по новому месту прописки). Но ничего не вышло, потому что военкомат в Питере говорил, что не может меня поставить на учёт, если я не принесу приписное, а военкомат в другом городе говорил, что не может выдать мне приписное, а может только отправить в другой военкомат вместе с личным делом по запросу. Военкомат в Питере, в свою очередь, говорил, что не может отправить запрос, если у меня нету приписного. В общем, около трёх лет меня просто отказывались ставить на учёт. Если бы не необходимость получить загран. паспорт — может, и не поставили бы. А так я уже пришёл к ним в пятнадцатый, наверно, раз, достучался до военного коммисара (непонятно, как они там работают — его часами нужно ждать), и он всё-таки разрешил другим сотрудникам военкомата отправить запрос, чтобы другой военкомат выслал личное дело с приписным. А потом меня ещё пытались заверить, что я могу даже не пытаться получить загран. паспорт, потому что они будут отвечать отказом на запрос от УФМС и так далее. Я проконсультировался с юристами, и мне сказали, что это абсурд, и не препятствовать получению загран. паспорта они не имеют права. Соответственно, загран. паспорт мне выдали, но вот с учёта сняться уже не получилось, потому что они отказались снимать меня без подтверждения. Теперь вот недавно звонили моей сестре (она ездила в Питер с моей сим-картой) и требовали прислать справку о том, что я не в России.
0
Фи, мне в военкомате сказали: да вобще пофиг где ты, у нас ведь не война.
0
+13
и финансированию терроризма
Как в штатах, на этой почве проводи какие хочешь законопроекты. Кто против: «Вы что, поддерживаете террористов?». И таким образом «во благо» начинается тотальная проверка и идентификация всего чего только можно «ради нашей же безопасности».
+2
Надо в РПЦ написать, а то нам тут опять печать на руку и чело хотят поставить. Пусть хоть здесь ради общего блага поработают.
+3
Скоро ЦБ РФ будет подконтролен России, и такого бреда не будет.
Вы можете сами прямо сейчас принять участие в улучшении России — подпишись под важнейшими законопроектам — nstarikov.ru/blog/21064
Вы можете сами прямо сейчас принять участие в улучшении России — подпишись под важнейшими законопроектам — nstarikov.ru/blog/21064
-6
заодно и экономику похороним!
+3
Вы ошибаетесь.
0
Аргументируйте, как подчинение ЦБ (включая функции эмисии, да и вообще регуляции денежной массы) государству оздоровит экономику.
0
Вот здесь посмотрите nstarikov.ru/blog/20203
0
В свое время именно по этой причине ушли с Банка Москвы, будучи юриками. Это насколько нужно быть дебилами, чтобы сделать интернет-банк, но при этом привязать возможность его использовать к какому-то конкретному месту. Есть же двухфакторная аутентификация (токен + смс, к примеру), на хрена городить ломающую саму идеологию феерию. А с MAC'ами вообще безумие. Обормоты!
+5
Даже моя жена, далекая от программирования и компьютеров спросила: «Они что, идиоты?»
+1
Маразм крепчал.
0
Опять же, не совсем ясно, можно ли указывать данные о промежуточном узле, самостоятельно настроенном для доступа к интернет-банкингу и другим интернет-сервисам (например, VPS с настроенным SSH-туннелем или VPN)
Вы явно перестарались с безопасностью. С таким же успехом можно в своём паспорте замазать ФИО — чтоб если кто увидит паспорт Вашей личности не раскрыл.
И зачем же Вам SSH-туннели или VPN при работе с интернет-банкингом? Вдруг заблокируют сайт банка по решению МинЮста как содержащий экстремистскую информацию? Скорее, использование этого всего наводит на мысль о том, что Вы — мошенник и вас надо заблокировать.
Уважающий себя банк в онлайн банкинге использует https с подписанным сертификатом. Этого вполне достаточно для защиты соединения при работе с ненадёжным Wi-Fi
+1
использует https с подписанным сертификатом. Этого вполне достаточно для защиты
Если быть совсем точным, то недостаточно. У клиента может внедрен левый сертификат CA, подписывающий серверы злоумышленнику. Да и с настоящими trusted CA бывали проколы, как например, не такой уж давний случай с компрометацией перекурившего голландского центра.
Если быть совсем точным, то недостаточно. У клиента может внедрен левый сертификат CA, подписывающий серверы злоумышленнику. Да и с настоящими trusted CA бывали проколы, как например, не такой уж давний случай с компрометацией перекурившего голландского центра.
+1
Давайте отделим мух от котлет
Если SSH-туннель или VPN используются для защиты трафика при использовании интернета в не доверенном месте (публичный Wi-Fi, например), то это лишнее, т.к. в этом случае https с подписанным сертификатом вполне достаточно для защиты. Если внедрен левый сертификат CA, подписывающий серверы злоумышленнику, то толку от VPN или SSH-туннеля опять же — никакого.
Если SSH-туннель или VPN используются для защиты трафика при использовании интернета в не доверенном месте (публичный Wi-Fi, например), то это лишнее, т.к. в этом случае https с подписанным сертификатом вполне достаточно для защиты. Если внедрен левый сертификат CA, подписывающий серверы злоумышленнику, то толку от VPN или SSH-туннеля опять же — никакого.
0
Почему это никакого? MITM бывает разный. Если, например, мы используем собственный DNS-сервер, и запросы на него отсылаются через туннель или VPN, значит мы можем рассчитывать на то, что IP-адрес получен правильно. А если мы обращаемся к правильному IP-адресу, и трафик передаётся на наш сервер, но вторгнуться в него получается почти невозможно.
Конечно, если помимо левого CA на компьютере оказалась ещё и запись в /etc/hosts (либо злоумышленник перенастроил DNS) — вот тогда уже сложнее. Или если был получен доступ к нашему серверу.
Но если речь идёт только о внедрении сертификата CA, то VPN или туннель будет очень даже полезен, и может не позволить злоумышленнику произвести атаку.
Конечно, если помимо левого CA на компьютере оказалась ещё и запись в /etc/hosts (либо злоумышленник перенастроил DNS) — вот тогда уже сложнее. Или если был получен доступ к нашему серверу.
Но если речь идёт только о внедрении сертификата CA, то VPN или туннель будет очень даже полезен, и может не позволить злоумышленнику произвести атаку.
+1
Давайте отделим. Правильно настроенному VPN нет никакого смысла полагаться на цепочку доверенных CA: серверу и клиенту достаточно знать статические/единожды сгенерированные ключи друг друга. А в https подпись доверенными CA — часть архитектуры, у которой есть значительные проблемы с безопасностью, главные из которых: — 1. безопасность клиентской базы доверенных CA, которая зависит от используемого браузера; и 2. вопрос безоглядного доверия ко всему списку доверенных CA (никто не гарантирует, что очередные «голландцы» поленятся следовать процедуре и не выдадут Злым Людям сертификат мойбанк.ру, который позволит Злым Людям устроить вам MiTM и спереть банковский пароль). Ситуацию временно исправляет EV, но ровно до той поры, пока кто-то не забьет на процедуру выдачи уже EV сертификатов.
0
А если я настраиваю защиту для клиента, и хочу максимальо обезопасить его от MITM (который становится возможным в случае, если он по своей глупости подтвердит неподписанный сертификат)?
Но на самом деле я говорю не о дополнительной защите (помимо HTTPS), а именно о промежуточном узле. В законе ведь не указывается, что требуются данные именно о том устройстве, с которого человек фактически осуществляет доступ. Соответственно, можно предположить, что мы можем просто указать свой сервер, и каждый раз выходить через него. Интернет-банкинг будет фиксировать его IP-адрес, а вот фактически устройств у нас может быть сколько угодно, и получать доступ мы можем откуда хотим.
Но на самом деле я говорю не о дополнительной защите (помимо HTTPS), а именно о промежуточном узле. В законе ведь не указывается, что требуются данные именно о том устройстве, с которого человек фактически осуществляет доступ. Соответственно, можно предположить, что мы можем просто указать свой сервер, и каждый раз выходить через него. Интернет-банкинг будет фиксировать его IP-адрес, а вот фактически устройств у нас может быть сколько угодно, и получать доступ мы можем откуда хотим.
+1
А главное — зачем? В процессе работы клиента с интернет банкингом у банка будет накоплен список этих самых IP адресов с которых осуществляется доступ.
0
каким образом они предлагают реализовать проверку MAC-адреса
Наверное, для самописного софта. Раньше банки делали самописный, а не предоставляли услугу через браузер. Всё же документ от бородатого 2004 года
0
UFO just landed and posted this here
Так почему бы просто не поставить компьютеры в отделениях банка, предоставлять доступ по паспорту, и никаких вам заморочек с IP-адресами? Что-то последнее время просто волна идиотских законопроектов пошла, чего это вдруг?
+1
Проект нуждается в серьёзной корректировке. Ведь MAC-адрес можно подменить. Его нужно заменить на инвентарный номер компьютера. Его подменить намного сложнее, он приклеен. А поскольку передача инвентарного номера не поддерживается протоколом TCP/IP, его нужно будет временно запретить, до исправления этого досадного недочета. Заодно Ipv6 не потребуется, у любого устройства, предмета мебели и прочего имущества, состоящего на балансе предприятия этот номер уже есть.
Предлагаю выступить с общественной инициативой.
Предлагаю выступить с общественной инициативой.
+8
Автор, вы бы хотя бы написали, что экспертное мнение по этому дополнению нужно отправить по адресу ksa3@cbr.ru до 16 октября. Смысл просто так сотрясать воздух? И что значит «общую атмосферу», ЦБ более чем полностью независимая от государства (как по конституции, так и по закону об ЦБ) структура которая сама под себя пишет законы и ей никто не указ.
-2
UFO just landed and posted this here
В принципе толика здравого смысла тут есть. Совсем маленькая правда. Добровольная возможность привязки к ip была бы полезна. Благо у меня, что телефон, что планшет, что все остальные компы ходят на платежные сайты через мой VPN, выходной ip которого постоянен.
Еще полезно было бы иметь возможность диапазон указать. У меня на домашней машине ip, хоть и динамика, но прямой.
С MAC-ами конечно смешно. Кто-нибудь представляет хоть какую-то возможность передавать мак устройства дальше первого роутера в цепочке?
Еще полезно было бы иметь возможность диапазон указать. У меня на домашней машине ip, хоть и динамика, но прямой.
С MAC-ами конечно смешно. Кто-нибудь представляет хоть какую-то возможность передавать мак устройства дальше первого роутера в цепочке?
-1
Защита по MAC адресам вообще гениальна. Сервер банка всегда будет у всех клиентов видеть один MAC — ближайшего шлюза )
Защита по IP и MAC это как «Тупой и еще тупее»
Защита по IP и MAC это как «Тупой и еще тупее»
0
Хотел бы обратить ваше внимание на первый абзац обсуждаемой новости:
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
… проект указания о внесении изменений в Положение Банка России от 19 августа 2004 года N262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
0
> Поэтому собранные у них IP и MAC-адреса мало чем помогут
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
+1
Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках.
Если он дурак, то да — может. Особенно суицидно это будет выглядеть после принятия обсуждаемых изменений.
0
Если ваша логика верна, то следы пальцев рук на месте преступления искать не надо, вряд ли грамотные преступники их будут оставлять. Гильзы тоже не надо искать, как и угнанные автомобили по номерам. И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
+1
И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
Из моих высказываний это никак не следует. Давайте вернемся к нормальному обсуждению — без приписывания мне всякой ерунды, ок? А то некрасиво получается.
За аналогии спасибо. Они помогут более наглядно аргументировать мою точку зрения.
Чем хороши в расследовании преступлений гильзы, номера автомобилей, отпечатки пальцев? Тем что их сложно менять и подделывать, не так ли? А как дела обстоят с MAC-адресами? С точностью до наоборот — их очень легко и быстро менять и подделывать (можно хоть каждую платежку посылать с новым MAC-адресом).
А теперь вернемся к вашей аналогии и посмотрим, как она будет выглядеть с учетом сказанного.
Представьте такую картину: преступник из своего оружия выпускает очередь (= посылает серию криминальных платежек), и каждая вылетающая пуля имеет не только свой рисунок царапин, но и свой калибр, вес, длину и т.д. 10 выстрелов — 10 разных пуль и гильз на любой вкус (начиная от артиллерийского снаряда и кончая дробью). Причем ни одна из них не соответствует реальному стволу, из которого стреляет преступник. Согласитесь, это уже и стволом-то назвать нельзя — это суперствол!
Дорогой ли он, трудно ли его достать? Увы, доставать суперствол вообще не нужно — он бесплатно(!) есть у каждого(!) человека. Максимум, что требуется — узнать, как им пользоваться. А пользоваться им за 5 минут может научиться хоть школьник, хоть домохозяйка (интернет завален инструкциями, как менять MAC-адреса — причем даже в картинках).
Итак, что мы имеем в результате? У всех людей (не только преступников) уже от рождения есть суперстволы, которые могут стрелять какими угодно калибрами и царапинами пуль и любой может этому научиться за 5 минут. Вот теперь ваша аналогия близка к реальной ситуации с MAC-адресами.
И вот в условиях поголовного обладания описанными выше суперстволами кто-то наверху вдруг издает указ об обязательном отстреле реальных стволов для формирования пуле- и гильзотеки. И это еще не всё: сама процедура отстрела, достоверность ее результатов и какой ствол был отстрелян — реальный или виртуальный суперствол — всё ложится на совесть самого заявителя. Занавес…
А теперь с учетом вышесказанного ответьте честно:
— Так ли я был неправ насчет низкой эффективности этого решения в целях поимки преступников? Особенно если учесть, что сам злоумышленник отстреливает свои стволы, а в банк несет только бумагу?
— Как вы оцените умственные способности преступника, который имея при себе суперствол, тем не менее во время преступления тупо стреляет своим реальным стволом, зная, что ни гильзы, ни пули с места преступления забрать гарантированно не сможет? И это еще не всё: он со своим реальным стволом идёт даже не на одно, а на несколько дел, связь между которыми в его интересах максимально скрывать (ваш пример-контраргумент «Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках»). Так ли далек я от истины, назвав такого преступника дураком? Вы-то сами как такого уникума назовете?
Специально отмечу во избежания повторения кривотолков: я нигде не утверждал и не утверждаю, что MAC-адреса никогда и ни при каких обстоятельствах не пригодятся — в случае поимки идиотов они действительно могут пригодиться. Я лишь утверждаю, что они малоэффективны.
+1
Вы плохой критерий эффективности выбрали. Сам факт регулярной фальсификации MAC-адреса уже дает полезные выводы.
0
Вы плохой критерий эффективности выбрали.
Если мы всё еще беседуем в контексте идентификации клиента (напомню, обсуждение ведется вокруг Положения ЦБ РФ «Об идентификации кредитными организациями...»), то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности. Особенно если учесть криминальную особенность этого контекста: злоумышленники, против которых как раз и направлено указанное Положение, — лица максимально заинтересованные, чтобы их не вычислили. И по этой причине они сильно заинтересованы в легкости и быстроте смены идентифицирующих их признаков, а также в подстановке вместо реальных значений фиктивных.
Если уж выбирать идентифицирующий признак, то не MAC-адрес, а что-нибудь другое — то, что не меняется так легко даже школьниками и домохозяйками.
Сам факт регулярной фальсификации MAC-адреса уже дает полезные выводы.Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
То у вас преступник при наличии суперствола зачем-то использует реальный ствол (причем один и тот же в разных преступлениях, связь между которыми в его интересах скрывать). Теперь же у вас преступник демонстративно, можно сказать даже нагло показывает другой стороне, что мухлюет и обманывает ее, тем самым привлекая к себе особое внимание.
Я только за, когда идет речь о технических и организационных мерах, помогающих ловить преступников. Но лучше их внедрять не с расчетом на ловлю одних лишь идиотов, а с расчетом преступников как минимум среднего уровня. Если вводимые меры позволят ловить преступников среднего ума, то идиоты тем более попадутся, и тем самым убьем двух зайцев. Согласны?
Вернемся к вашему контраргументу. Если отбросить из рассмотрения идиотов, то для преступников среднего ума логично предположить, что они всё же знают технические вопросы хотя бы в объеме среднего сисадмина, на рожон лезть совершенно не желают и стараются максимально долго оставаться вне поля подозрений и расследований различных органов (чтобы и дальше «без шума и пыли» обстряпывать свои темные делишки). И если уж они понимают, с какой целью MAC-адреса им приходится фальсифицировать, то они осознают и глупость демонстративного жонглирования этими адресами. Ведь в их интересах и дальше маскироваться под законопослушного клиента и как можно дольше скрывать свои манипуляции с MAC-адресами. Простейшее, доступное даже для школьника решение на этот случай: на каждый счет — свой фиктивный MAC-адрес. Поэтому ваш способ ловли на регулярной фальсификации MAC-адреса для преступника-неидиота отпадает.
0
> то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
0
Если можно собирать все идентификационные признаки, то это и нужно делать.
На мой взгляд, неправильный подход.
Теоретические ведь очень многое можно собирать. Но нужно ли? Например, собирать рост, вес, внешние признаки всех лиц, приносящих платежки в банк. А также марки и номера машин, на которых они приехали. И с какой стороны банку подъехали. Это поможет потом органам? Безусловно. Ну что, начнем? Обяжем все банки это делать? Или всё же есть какой-то ограничитель таким желаниям?
Что касается моего мнения, то я бы выбрал другое решение. Сейчас системы «Банк-клиент» не может разрабатывать кто угодно — нужны лицензии. Т.е. разработчики подчиняются требованиям государства. Кто мешает доработать систему лицензирования таких разработчиков так, чтобы обязать их скрытно, в зашифрованном виде журналировать целый ряд параметров, про которые даже администраторы банков знать не будут? И выдавать их органам в стандартном зашифрованном виде, подписанном ЭП — так чтобы ничего вырезать, добавить или изменить никто из сотрудников банка не мог? Такие параметры можно будет добавлять, удалять без внесения изменений в законодательство. Чем не вариант?
0
Нужно знать пределы разумного и границы маразма. Логирование MAC-адресов находится в пределах разумного. Хранение видеоряда с камер наблюдения в пределах, обусловленных емкостью накопителей видеорегистраторов, также трудно признать маразмом.
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
0
Нужно знать пределы разумного и границы маразма.
Иными словами, озвученный выше принцип «Если можно собирать все идентификационные признаки, то это и нужно делать» на самом деле имеет имеет существенные ограничения. Спасибо, именно это я и хотел отметить.
Что касается хранения в тайне перечня журналируемых параметров — не настаиваю, можно и не делать из этого тайны. Но предлагаемое мной решение всё равно обладает несомненными плюсами:
— Администраторы хоть и будут знать, какие параметры журналируются, но не смогут их вырезать и изменить. Варианты с «левыми отмазками» станут невозможны в принципе.
— Сотни банков вообще не будут заморачиваться, что и как должно журналироваться. Их задача — использовать сертифицированный софт (это требование уже сейчас выполняется), всё остальное — задача всего нескольких разработчиков. Получить максимум пользы при минимуме напрягов — один из строго желательных критериев оценки государственных хотелок.
0
До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений.
Если незнание злоумышленниками про журналирование МАС-адресов помогало, как вы утверждаете, в расследовании преступлений, то после публичного оглашения и внедрения предлагаемых изменений каждая собака теперь будет знать про это журналирование и 99% станут хитрее и умнее. Тогда в чем польза таких изменений? Писали бы втихаря MAC-адреса — ловили бы эти 99% злоумышленников. Так нет — надо прокричать на весь белый свет «Мы MAC-адреса теперь пасём!!! Учтите это!!!». А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно — «Ты давай, вписывай в анкету свой MAC-адрес».
И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
Что-то я не пойму — вы сейчас за кого болеете? Это же хорошо, что схемы «идеальных» преступлений на самом деле не идеальны и имеют пару-тройку изъянов. Зачем их устранять? Что бы схема стала идеальной уже без кавычек?
В качестве примера приведу ваш контраргумент выше — кто-то раньше думал, что в «идеальной» схеме не надо заботиться о безопасности MAC-адресов, потому что они не журналируются. А на самом деле в этой схеме был серьезный изъян: кое-кто эти адреса втихаря журналировал. Теперь на один изъян будет меньше и 99% глупых злоумышленников сразу станут умнее. Кто от этого в выигрыше?
+1
> А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
0
Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
Я специально проконсультировался с давним хорошим знакомым, работающим в одном из небольших банков ведущим администратором одной из широкораспространенных систем «Банк-клиент» (какая именно система — могу назвать в личном сообщении и вы сами сможете проверить правдивость его сведений). Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются. Запросы — да, были, он сам же и готовил на подпись руководству выписки из логов, но MAC-адресов в них не было.
Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона. Ибо используемая программа широко известна, узнать у разработчиков (или аналогичных администраторов других банков) так ли это на самом деле — не проблема, после чего у него могут возникнуть серьезные неприятности в связи с подозрением в сообщничестве с киберпреступниками. Оно ему надо?
Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Спорить не буду, возможно какие-то (подозреваю, что достаточно крупные и/или приближенные к государству) банки действительно могут вести себя достаточно нагло по отношению к правоохранителям и запросам от них. Но это потому, что не боятся их. Для рядового же банка на ровном месте нагло скрывать MAC-адреса при том, что разработчик этой системы на запрос правоохранительных органов официально ответит, что MAC-адреса все же журналируются — это надо быть очень уверенным в своей неуязвимости.
0
> Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются.
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
0
А вот посмотрите в документации к BS-Client Internet Client...
Охотно верю, что в некоторых системах «Банк-клиент» MAC-адреса журналируются.
Но я же говорил не о том, что они нигде не журналируются, а о том, что есть системы, где они не журналируются, и из этого следует, что у части банков действительно нет таких данных и это — не «левая отмазка». BS-Client ведь не единственная на российском рынке.
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке.Я же писал, что допускаю существование таких банков. И даже предположил, что это за банки.
Если приближенный к государству банк, имея MAC-адреса, не боится показать оперативникам фигу, то он также, чтобы отмахнуться, не будет боятся поставить один и тот же MAC-адрес на все операции. Т.е. проблема с этими банками в другом и решать ее надо другими средствами.
… точно знаю про существование «левых отмазок».
Я разве отрицал их существование? Я просто сказал, что не везде «левые отмазки» — есть еще и объективные причины. И пусть хоть сто сотрудников внезапно придет в тот банк, где работает администратором мой знакомый — никаких MAC-адресов они не найдут. Ну нет их в журналах! И это не «левая отмазка».
0
Во-первых, в указанном Положении, с учетом вносимых изменений, речь идет про идентификацию клиентов. Не про проверку подлинности, т. к. четкое юридическое определение идентификации дано в законе «О ПОД/ФТ». Только ССЗБ-банки будут требовать от клиентов обязательной бумажки с указанием всех IP- и MAC-адресов. Нормальные банки будут собирать такие адреса в процессе работы клиента. Как уже давно и происходит.
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
+1
Хотелось бы, кстати, отметить, что указанные изменения не только своевременны и полезны, но и позволяют привести оценку экономических рисков банков в соответствие с вступающими в силу положения ФЗ «О НПС» о компенсации физическим лицам похищенных денежных средств.
0
Sign up to leave a comment.
ЦБ РФ намерен обязать пользователей интернет-банкинга предоставлять информацию об IP-адресах всех их устройств