Как стать автором
Обновить

Комментарии 33

Фишка решения в том, что оно абсолютно необременительно для конечного пользователя — подключил украл токен, запустил браузер и сразу же можно начинать тратить деньги.
PIN-код еще надо подобрать. Обычно дается 3 попытки, потом токен блокируется и вы не авторизуетесь в личном кабинете. В общем, тупой троллинг.
Ну это уже неинтересно :-).
UPD: вспомнился «Сплинтер сэл» — как код в тепловизоре подбирали по остаточной теплоте клавиш.
Да что его подбирать. 12345678 и при установке просят особо не менять.
Я в этом плане просто офигеваю от ситуации, когда на тебя чуть ли не как на идиота смотрят, когда ты хочешь сменить стандартный пароль или даже тот, что дали при установке.
Меняйте, не подчиняйтесь чужому влиянию :) Вендор дал вам все необходимые инструменты
Я, естественно, все всегда меняю. Но ситуация такова, что на токетах ставят стандартный легкий пароль непосредственно в момент установки системы клиент-банк и т.п. А потом никто не хочет заморачиваться со сменой пароля.
После того как увидел, что установщик с МОЕЙ машины зашел на почту mail.ru, скачал оттуда архив с регистрационными данными и поставил все на мою машину, все последующие установки в будущем производил самостоятельно.

И перейти особо некуда, так как сначала выбираешь банк, а уже потом ставишь софт для управлением р/с. В Беларуси 22 банка сидят на дерьме от СТ.
федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО

А не подскажите какие? Просто стало интересно где конкретно должны быть Российские ГОСТы (в смысле алгоритмов) — в обеспечении безопасности хранения персональных данных или безопасности канала.
©

Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.

Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации».

Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ. А ФСБ пока еще не выдает сертификаты на НЕ ГОСТы

Спасибо. Насколько я понял если по каналу не передавать персональные данные, но и мутить с нестандартными сертификатами не придется. Достаточно обычного TLS соединения.
Не уверен, что это ваше утверждение справедливо для банковской сферы.
63-ФЗ еще, там много про электронную подпись
А вообще тема эта, на мой взгляд, мутная. Отсылаю Вас на форум www.ispdn.ru/forum/forum1/, на котором тусуются Эксперты по защите персональных данных, которые смогут убедить любого в необходимости использования именно сертифицированных средств и, в частности, сертифицированной российской криптографии.
А для Рутокен ЭЦП драйвер не нужен? Он работает так же как и Рутокен Web (HID устройство)?
CCID-устройство. CCID-драйвер входит по умолчанию в современные ОС. Например, в семействе Windows начиная с XP SP3.
Т.е. он работает так же как и Рутокен Web?
По сути да
Просто мы написали свой плагин для Rutoken Web, и было бы здорово если он заработает с Rutoken ЭПЦ Flash :)
По идее должен, так как совместимость реализуется на уровне библиотеки rtPKCS11ECP
Побежал покупать токены для экспериментов. Спасибо!
Если браузер исполняется CPU компьютера — защиты нет.
Если ввод «ПИН-кода» производится на штатной клавиатуре компьютера — защиты нет.
Ни один «производитель» будет страховать убытки которые могут возникнуть в случаи инцидента ИБ с использование его «сертифицированных средств».
Не важно как был введен ПИН-код, главное что ЭП будет верным… а как это произошло никого волновать не будет. Следите за своим компом и обеспечивайте доверенную среду для работы.
Ввод PIN-кода и подпись могут производиться на экране Рутокен PINPad.
->>>2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.

Что можете сказать по поводу новых ГОСТов и того, успели ли их внедрить в OpenSSL?

habrahabr.ru/post/180739/#comment_6341308
Насколько я знаю, еще нет
2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.


Подскажите, а сертификат ФСБ у этого «openssl с поддержкой российкой криптографии» есть? Если да — был бы признателен за ссылку на него.
У «этого» — нет сертификата. Но ничто не мешает купить сертифицированный openssl, бинарно совместимый с «этим» и с sTunnel. Решение при этом не изменится, просто в папке sTunnel будут лежать 3 сертифицированных бинарника.
Мне непонятно одно — зачем Вы добавили скрипт на vbs?
Чтобы пользователь один раз щелкнул мышкой и зашел в интернет-банк.
1) в некоторых организациях Windows Scripts (wscript.exe) запрещен к выполнения — поскольку много вирусов используют его
2) в корп среде выполнение НЕподписанных приложений ОЧЕНЬ веселое занятие, а как все знают — подписать vbs скрипт невозможно в отличие от exe, dll, msh
P.S. хотя Я забыл — на Visual Basic Scripts самое лучшее решение (иначе же сертификацию не пройдет) :)
Ну можно и exe написать. Там совсем немного кода. У меня как-то руки не дошли.
Скрипты тоже можно подписывать signtoolом.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий