Удалёнка: опыт и лайфхаки
Реклама
Комментарии 33
0
Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил украл токен, запустил браузер и сразу же можно начинать тратить деньги.
+1
PIN-код еще надо подобрать. Обычно дается 3 попытки, потом токен блокируется и вы не авторизуетесь в личном кабинете. В общем, тупой троллинг.
0
Ну это уже неинтересно :-).
UPD: вспомнился «Сплинтер сэл» — как код в тепловизоре подбирали по остаточной теплоте клавиш.
0
Да что его подбирать. 12345678 и при установке просят особо не менять.
Я в этом плане просто офигеваю от ситуации, когда на тебя чуть ли не как на идиота смотрят, когда ты хочешь сменить стандартный пароль или даже тот, что дали при установке.
0
Меняйте, не подчиняйтесь чужому влиянию :) Вендор дал вам все необходимые инструменты
0
Я, естественно, все всегда меняю. Но ситуация такова, что на токетах ставят стандартный легкий пароль непосредственно в момент установки системы клиент-банк и т.п. А потом никто не хочет заморачиваться со сменой пароля.
0
После того как увидел, что установщик с МОЕЙ машины зашел на почту mail.ru, скачал оттуда архив с регистрационными данными и поставил все на мою машину, все последующие установки в будущем производил самостоятельно.

И перейти особо некуда, так как сначала выбираешь банк, а уже потом ставишь софт для управлением р/с. В Беларуси 22 банка сидят на дерьме от СТ.
0
федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО

А не подскажите какие? Просто стало интересно где конкретно должны быть Российские ГОСТы (в смысле алгоритмов) — в обеспечении безопасности хранения персональных данных или безопасности канала.
0
©

Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.

Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации».

Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ. А ФСБ пока еще не выдает сертификаты на НЕ ГОСТы

+1
Спасибо. Насколько я понял если по каналу не передавать персональные данные, но и мутить с нестандартными сертификатами не придется. Достаточно обычного TLS соединения.
0
Не уверен, что это ваше утверждение справедливо для банковской сферы.
+1
А вообще тема эта, на мой взгляд, мутная. Отсылаю Вас на форум www.ispdn.ru/forum/forum1/, на котором тусуются Эксперты по защите персональных данных, которые смогут убедить любого в необходимости использования именно сертифицированных средств и, в частности, сертифицированной российской криптографии.
0
А для Рутокен ЭЦП драйвер не нужен? Он работает так же как и Рутокен Web (HID устройство)?
+1
CCID-устройство. CCID-драйвер входит по умолчанию в современные ОС. Например, в семействе Windows начиная с XP SP3.
0
Просто мы написали свой плагин для Rutoken Web, и было бы здорово если он заработает с Rutoken ЭПЦ Flash :)
+1
По идее должен, так как совместимость реализуется на уровне библиотеки rtPKCS11ECP
0
Побежал покупать токены для экспериментов. Спасибо!
0
Если браузер исполняется CPU компьютера — защиты нет.
Если ввод «ПИН-кода» производится на штатной клавиатуре компьютера — защиты нет.
Ни один «производитель» будет страховать убытки которые могут возникнуть в случаи инцидента ИБ с использование его «сертифицированных средств».
+1
Не важно как был введен ПИН-код, главное что ЭП будет верным… а как это произошло никого волновать не будет. Следите за своим компом и обеспечивайте доверенную среду для работы.
0
Ввод PIN-кода и подпись могут производиться на экране Рутокен PINPad.
0
->>>2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.

Что можете сказать по поводу новых ГОСТов и того, успели ли их внедрить в OpenSSL?

habrahabr.ru/post/180739/#comment_6341308
0
2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.


Подскажите, а сертификат ФСБ у этого «openssl с поддержкой российкой криптографии» есть? Если да — был бы признателен за ссылку на него.
0
У «этого» — нет сертификата. Но ничто не мешает купить сертифицированный openssl, бинарно совместимый с «этим» и с sTunnel. Решение при этом не изменится, просто в папке sTunnel будут лежать 3 сертифицированных бинарника.
0
Чтобы пользователь один раз щелкнул мышкой и зашел в интернет-банк.
0
1) в некоторых организациях Windows Scripts (wscript.exe) запрещен к выполнения — поскольку много вирусов используют его
2) в корп среде выполнение НЕподписанных приложений ОЧЕНЬ веселое занятие, а как все знают — подписать vbs скрипт невозможно в отличие от exe, dll, msh
P.S. хотя Я забыл — на Visual Basic Scripts самое лучшее решение (иначе же сертификацию не пройдет) :)
0
Ну можно и exe написать. Там совсем немного кода. У меня как-то руки не дошли.
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.