Комментарии 216
Наконец-то! Хорошая статья, правильно показывающая что к чему.
В принципе, для защиты достаточно, чтобы в организации использовался USB-токен (пункт 3 у автора) и его использование контролировалось.
В принципе, для защиты достаточно, чтобы в организации использовался USB-токен (пункт 3 у автора) и его использование контролировалось.
Вы совершенно правы. Но, к сожалению, путь до пункта 3 у клиентов тернист и долог. Пока жаренный петух не клюнет… :)
Пункт 3 еще и не все банки поддерживают.
Это, на самом деле, вопрос к разработчикам ПО, которое уже покупают банки. В принципе токены уже давно на рынке и поддержка их много где есть. В интернет-банкинге для физлиц их, естественно, использовать не получится.
Мне в ВТБ при открытии щета безапелляционно вручили «карточку переменных кодов» для доступа к счету через веб-интерфейс www.telebank.ru/
Сначала я бурчал «Как-же так я буду вводить каждый раз новый код, ногтем скоблить… да как вы можете заставлять меня заниматься такой фигней!»
Но постепенно пришел к выводу что они правы.
Использовать банковскую карту для «закинуть 100р. на телефон» — не самая лучшая идея. Для этого есть более легковесные платежные системы типа ЯД и вебмани.
А ради серьезных операций можно и ногтем карточку поскоблить пару раз. У Яндекса вроде были электронные токены с переменными кодами, не знаю доступны-ли они сейчас.
Сначала я бурчал «Как-же так я буду вводить каждый раз новый код, ногтем скоблить… да как вы можете заставлять меня заниматься такой фигней!»
Но постепенно пришел к выводу что они правы.
Использовать банковскую карту для «закинуть 100р. на телефон» — не самая лучшая идея. Для этого есть более легковесные платежные системы типа ЯД и вебмани.
А ради серьезных операций можно и ногтем карточку поскоблить пару раз. У Яндекса вроде были электронные токены с переменными кодами, не знаю доступны-ли они сейчас.
да? а почему банкам на раздавать из бесплатно? barklays вот раздает.
Пункт 3 не панацея. Известны случаи, когда преступники использовали токен удалённо через специальный драйвер, который перенаправлял USB-порт на удалённый комп. От головотяпства, когда бухгалтерша втыкает токен и он у неё болтается в порту весь день, а то и неделю, защиты нет.
Я таки еще раз спрашиваю какие USB-токены у физ лиц?
речь была про организацию, про физиков никто не говорил :)
Если я не ошибаюсь, то в украинском Юниверсал-банке USB-токены есть и для физ. лиц.
Абсолют банк выдает USB токен (бесплатно) для доступа к интернет банку (управление счетом). А вот к Абсолют-онлайн (управление счетом карты) доступ просто по паролю.
Однажды Сисадмин спросил почтенного защитника Иня:
– Учитель, почему вы не пользуетесь ЭЦП?
– У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.
© Н.Н.Федотов, 2009. Суждения об информационной безопасности мудреца и учителя Инь Фу Во.
– Учитель, почему вы не пользуетесь ЭЦП?
– У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.
© Н.Н.Федотов, 2009. Суждения об информационной безопасности мудреца и учителя Инь Фу Во.
В принципе, достаточно, чтобы контролировались любые носители ключевой информации, неважно, USB-токен или что угодно. В таком случае даже обычный ключевой файл на ключевой дискете будет надёжно защищён. Организовать грамотное использование таких носителей для серьёзной организации не проблема.
> Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут).
Каждый платеж проверяется сотрудником? Они работают круглосуточно или если перевести средства после закрытия банка — то только утром осуществляется проверка?
Каждый платеж проверяется сотрудником? Они работают круглосуточно или если перевести средства после закрытия банка — то только утром осуществляется проверка?
Платеж не по своим счетам проверяется вручную на предмет ошибок, соответствия требованиям ЦБ и т.п.
Контролируются, конечно, же они не круглосуточно, а в течение рабочего дня.
В нашем банке эта процедура проводится каждый час.
Контролируются, конечно, же они не круглосуточно, а в течение рабочего дня.
В нашем банке эта процедура проводится каждый час.
В зарубежных банках встречал работу по профилям. Т.е. если ты не оправляешь сумму превышающую n-ий лимит или не делаешь определенное количество переводов в чаc/день — то можно автоматически подтвердить операцию проходя через два уровня защиты — секретный вопрос и смска с подтверждающим кодом.
при оплате каких-то услуг платежи не контролируются.
при вводе обычного платежного поручения оно в любом случае попадает на проверку, что у нас, что там.
при вводе обычного платежного поручения оно в любом случае попадает на проверку, что у нас, что там.
если вы даже этого не делаете то не удивительно что у вас деньги крадут. при оплате услуг платежи должны контролировать. должна быть система которая лочит карту если клиент внезапно оказался в другом городе и сразу покупает на кучу денег
А есть ли в этой валидации что-то такое, что нельзя сделать без участия человека?
Не совсем понял вопрос. Проверка платежа операционным работником — это не валидация :) Это уже контроль отправленного в банк документа. :)
Как угодно. Зачем человек на контроле?
проверить правильность заполнения платежного поручения, потому что в противном случае от ЦБ РФ будет ата-та :)
убедиться, что деньги не отмывают маджахеды
убедиться, что деньги не отмывают маджахеды
За минус спасибо, но из вашего ответа всё равно не понятно зачем именно в этой цепочке нужен человек проверяющий все межбанковские платежи. Больше похоже на несовершенство системы или бюрократию, поскольку если это anti money laundering, то проверять вручную весь поток нужно только если нет системы, способной это осуществлять. Вручную же есть смысл проверять только то, что не проходит через проверку.
минус? я не ставил :)
вы заполнили ПП, в назначении платежа написали «покупка. без ндс», а это неправильно. надо писать кому, за что… как это проверять автоматически? вообще, для ответа на этот вопрос надо позвать сюда сотрудников ЦБ РФ, это они всё придумывают и банки лицензий лишают за нарушения :)
вы заполнили ПП, в назначении платежа написали «покупка. без ндс», а это неправильно. надо писать кому, за что… как это проверять автоматически? вообще, для ответа на этот вопрос надо позвать сюда сотрудников ЦБ РФ, это они всё придумывают и банки лицензий лишают за нарушения :)
Это конкретный пример, который вполне мог бы попасть в группу подозрительных платежей и быть проверен вручную. Со стороны банковских систем можно было бы сделать форму для подобных платежей, с предопределенными полями, анализировать которые уже можно зная что в этих полях может быть…
Со стороны ЦБ РФ есть требование проверять все платежи вручную?
Со стороны ЦБ РФ есть требование проверять все платежи вручную?
если бы вы знали, какие требования предъявляет ЦБ, вы бы спали плохо :)
а зачем вам автоматическая проверка? ну, не проверялись бы платежи, а тут же уходили. вам эти пол часа, которые теряются на проверке, так важны?
а зачем вам автоматическая проверка? ну, не проверялись бы платежи, а тут же уходили. вам эти пол часа, которые теряются на проверке, так важны?
Тогда не будем о требованиях ЦБ РФ. Я хочу хорошо спать. :)
Что касается получаса, то это не единственная потеря:
— Платежи не обрабатываются вне рабочих часов банка, даже если с ними всё в полном порядке. Наверняка с большей частью платежей всё впорядке, поэтому проверка может быть основной преградой для их обработки (ну и, может, смена банковского дня ночью тоже, но это уже отдельная тема).
— Люди нагружены «пустой» работой, проверяя платежи, которые могла бы проверить система. Иначе они мы могли проверять только подозрительные платежи.
Что касается получаса, то это не единственная потеря:
— Платежи не обрабатываются вне рабочих часов банка, даже если с ними всё в полном порядке. Наверняка с большей частью платежей всё впорядке, поэтому проверка может быть основной преградой для их обработки (ну и, может, смена банковского дня ночью тоже, но это уже отдельная тема).
— Люди нагружены «пустой» работой, проверяя платежи, которые могла бы проверить система. Иначе они мы могли проверять только подозрительные платежи.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Во всех статьях про это говорится. Хочется уже услышать настолько ли это безопасно? =)
Да. До той поры пока у одного сотрудника крупной компании перестал работать сотовый телефон. За это время злоумышленники сняли все деньги через интернет-банк. Как?
Кто-то на работе узнал его логин-пароль в «клик Альфа банка», напарник злоумышленника сходил в офис МТС и получил новую симку взамен утерянной. Так как сим-карта была корпоративной — то это не вызвало никаких трудностей. За пару часов субботы все провернули.
Кто-то на работе узнал его логин-пароль в «клик Альфа банка», напарник злоумышленника сходил в офис МТС и получил новую симку взамен утерянной. Так как сим-карта была корпоративной — то это не вызвало никаких трудностей. За пару часов субботы все провернули.
сим-карта была корпоративной
ССЗБ :) А вообще, это давно было? Альфа-банк вроде научился с этим бороться: habrahabr.ru/blogs/infosecurity/97925/
> Кто-то на работе узнал его логин-пароль
А виноват банк, ага… :)
А виноват банк, ага… :)
Ну человек сразу же спалился я так понимаю? Выяснить кто именно получил симку наверное не очень сложно.
Возникает вероятность не получить доступ к свои деньгам. Банально связи нет или телефон разрядился.
Назовите, пожалуйста, Интернет-банки, работающие на основе JavaRE? Большая часть онлайн-банкингов для физиков работает на голом web (html), безо всяких аппплетов. Да, бекенд запросто может работать и на джаве (вебсфера, томкат, джбосс, etc.), но это уже никакого отношения не имеет к наличию javare у клиента.
«Росбанк», «Альфа-банк» — один разработчик, без JavaRE не работает. Я и не писал, что его наличие обязательно и без него ничего не будет работать. :)
Альфа-банк? Не смешите меня, вы Альфа-клик в глаза видели? На базе апплетов работает альфовский ibank, который для юриков. Вопрос про физиков.
Я про Интернет-банк. У Росбанка этот же самый ibank работает только для физиков. Что такое Альфа-клик, я не знаю. Статья была не про это.
обслуживание физических лиц (интернет-банкинг (далее — ИБ))
Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java.М?
P.S.: Альфа-клик это как раз ИБ по вашей терминологии.
Авангард — аплет используется для подписи документов с usb токеном
В Райффайзенбанке Java-апплет используется для подписи заявки на платёж.
Вот я сейчас вам по пунктам, как человек, имеющий дело с банковскими троянами почти каждый день.
«Главное отличие систем ИКБ от ИБ» ну и так далее. Сертифицированы в ФСБ только криптоалгоритмы. И упоминавшаяся вами система, например, СОВЕРШЕННО не следит за тем, что за либы подгрузились. В итоге перехват GetWindowText и приехали.
«За это время в нашем регионе было зафиксировано не более 10 случаев заражения» — это КАК?! Вы говорите явно не о заражении, а о попытках перевода денсредств, при том успешных и вам известных.
«В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать» — ага, расчитывают на исправление багов в юзверях и не правят своих багов в ПО и архитектуре системы.
Если все так хорошо и успешные кражи денег — единичные случаи, зачем же авторы троянов тратят тысячи баксов в месяц и заражают десятки тысяч машин? Странное несоответствие.
«что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить. Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй. Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО: отсутсвие контроля перехватов, загруженных модулей, сохранение на диск файлов в виде, пригодном для использования неавторизованными лицами и т.д. и т.п.
И да, я сам не пользуюсь интернет-банкинком. По вышеизложенным причинам.
«Главное отличие систем ИКБ от ИБ» ну и так далее. Сертифицированы в ФСБ только криптоалгоритмы. И упоминавшаяся вами система, например, СОВЕРШЕННО не следит за тем, что за либы подгрузились. В итоге перехват GetWindowText и приехали.
«За это время в нашем регионе было зафиксировано не более 10 случаев заражения» — это КАК?! Вы говорите явно не о заражении, а о попытках перевода денсредств, при том успешных и вам известных.
«В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать» — ага, расчитывают на исправление багов в юзверях и не правят своих багов в ПО и архитектуре системы.
Если все так хорошо и успешные кражи денег — единичные случаи, зачем же авторы троянов тратят тысячи баксов в месяц и заражают десятки тысяч машин? Странное несоответствие.
«что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить. Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй. Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО: отсутсвие контроля перехватов, загруженных модулей, сохранение на диск файлов в виде, пригодном для использования неавторизованными лицами и т.д. и т.п.
И да, я сам не пользуюсь интернет-банкинком. По вышеизложенным причинам.
Кто сказал, что системы шифрования следят? Я сказал, что на них построены ИКБ.
10 случаев заражения всего: это те случаи, когда средства ушли, не ушли и просто инфицированные троянами ПК. Если в систему пытается зайти пользователь из разных городов России в течение одного дня, значит велика вероятность заражения. Кроме того, есть и другие способы узнать, заражен ли компьютер клиента. Я не знаю какие, а если бы и знал, то не сказал. :)
Не нужно исправлять баги в пользователях, пользователю достаточно купить токен. Системы разрабатывают не банки, они их покупают. Совершенствование и разработка их идут постоянно, но вирусописатели тоже не стоят на месте. Не понимаю ваших претензий к банкам. Все случаи, о которых я писал, возникли по причине грубого нарушения пользователями стандартных правил компьютерной безопасности.
Мне авторы троянов не сообщали, сколько они тратят в месяц. Поделитесь полезной информацией, если она у вас есть. :) Я специально выделил жирным, что мои случаи — это мой регион, а не вся Россия, я работаю только в одном банке, а не в десяти. Если подсчитать общее количество зараженных машин по стране, то их будет немало. Я не писал, что все хорошо и заражений нет.
Ответственность — это когда в договоре написано, что пользователь несет ее за чистоту и девственность ПК. :) При соблюдении простых правил безопасности при работе с системами ДБО (токен + статический IP) вероятность кражи будет сведена к нулю. Часть описанных вами случаев безалаберности касаются как раз работы пользователя. Вы предлагаете банкам централизованно рулить файлами и антивирусами клиентов?
Вы — молодец :)
10 случаев заражения всего: это те случаи, когда средства ушли, не ушли и просто инфицированные троянами ПК. Если в систему пытается зайти пользователь из разных городов России в течение одного дня, значит велика вероятность заражения. Кроме того, есть и другие способы узнать, заражен ли компьютер клиента. Я не знаю какие, а если бы и знал, то не сказал. :)
Не нужно исправлять баги в пользователях, пользователю достаточно купить токен. Системы разрабатывают не банки, они их покупают. Совершенствование и разработка их идут постоянно, но вирусописатели тоже не стоят на месте. Не понимаю ваших претензий к банкам. Все случаи, о которых я писал, возникли по причине грубого нарушения пользователями стандартных правил компьютерной безопасности.
Мне авторы троянов не сообщали, сколько они тратят в месяц. Поделитесь полезной информацией, если она у вас есть. :) Я специально выделил жирным, что мои случаи — это мой регион, а не вся Россия, я работаю только в одном банке, а не в десяти. Если подсчитать общее количество зараженных машин по стране, то их будет немало. Я не писал, что все хорошо и заражений нет.
Ответственность — это когда в договоре написано, что пользователь несет ее за чистоту и девственность ПК. :) При соблюдении простых правил безопасности при работе с системами ДБО (токен + статический IP) вероятность кражи будет сведена к нулю. Часть описанных вами случаев безалаберности касаются как раз работы пользователя. Вы предлагаете банкам централизованно рулить файлами и антивирусами клиентов?
Вы — молодец :)
«10 случаев заражения всего: это те случаи, когда средства ушли, не ушли и просто инфицированные троянами ПК» — согласно только нашим серверам, ежедневно выявляется БОЛЬШЕ заражений WinSpy, хотя троян этот не такой распространенный, как, например, Zeus. И он как раз для ДБО, да. Так что статистика у вас, как я уже сказал, явно по известным ВАМ случаям несанкционированного доступа.
Претензии к банкам вполне конкретны: они используют то, что ненадежно. И не исправляют то, что имеют. Откуда они узнают, что у них не так? Информации в паблике более чем достаточно. Не умеют искать? Гнать таких в шею и к машинам близко не подпускать!
Хороший троянский пакер в месяц стоит пару тысяч баксов. Создание трояна, абузоустойчивый хостинг, покупка услуг систем распространения троянов… Я бы не меньше, чем в 5 килобаксов в месяц ботнет оценил только по этим статьям.
Токен — ключевое слово. Почему банки используют системы без токенов?
И к тому же, токен аппаратно говорит, какую транзакцию он удостоверяет? Нет. А значит, троян сможет обратиться к токену и приплыли.
Претензии к банкам вполне конкретны: они используют то, что ненадежно. И не исправляют то, что имеют. Откуда они узнают, что у них не так? Информации в паблике более чем достаточно. Не умеют искать? Гнать таких в шею и к машинам близко не подпускать!
Хороший троянский пакер в месяц стоит пару тысяч баксов. Создание трояна, абузоустойчивый хостинг, покупка услуг систем распространения троянов… Я бы не меньше, чем в 5 килобаксов в месяц ботнет оценил только по этим статьям.
Токен — ключевое слово. Почему банки используют системы без токенов?
И к тому же, токен аппаратно говорит, какую транзакцию он удостоверяет? Нет. А значит, троян сможет обратиться к токену и приплыли.
10 случаев заражения трояном, написанным специально под ИКБ нашего банка. теперь понятно? :)
Я же вам говорю, что банки не пишут ПО. :) Используют то, что имеют. Вы считаете, заменить систему ИКБ — это как два пальца об асфальт? За нее же когда отдали миллионы. :)
Ну, я вам там написал, что я — капля в море и не претендовал за всю Россию. :) Не спорю, денег все это стоит хороших.
Простой токен хранит ключ и надежным средством считаться не может. Я описал конкретно две модели, которые сейчас проходят сертификацию в ФСБ и которые говорят, что они удостоверяют.
Лично я бы принудительно клиентам выдавал токены. Но наверху думают по-другому, поэтому тут ничего не скажу. По крайней мере, наши безопастники ждут, пока вот эти токены пройдут сертификацию и, может быть, мы их начнем принудительно выдавать при подключении.
Я же вам говорю, что банки не пишут ПО. :) Используют то, что имеют. Вы считаете, заменить систему ИКБ — это как два пальца об асфальт? За нее же когда отдали миллионы. :)
Ну, я вам там написал, что я — капля в море и не претендовал за всю Россию. :) Не спорю, денег все это стоит хороших.
Простой токен хранит ключ и надежным средством считаться не может. Я описал конкретно две модели, которые сейчас проходят сертификацию в ФСБ и которые говорят, что они удостоверяют.
Лично я бы принудительно клиентам выдавал токены. Но наверху думают по-другому, поэтому тут ничего не скажу. По крайней мере, наши безопастники ждут, пока вот эти токены пройдут сертификацию и, может быть, мы их начнем принудительно выдавать при подключении.
Если ваша система тут www.bitdefender.com/VIRUS-1000647-en--Backdoor.Lavandos.A.html упоминается, значит это сотни и тысячи инфицированных систем.
Но отказ от замены ИКБ при наличии уязвимостей в ней, которые уже эксплуатируются — это как? :-)
Как реализован токен? Если на вход подаются данные, он их подписывает, и данные становятся валидными — грош цена системе. Инжектимся в банк-клиент, перехватываем функцию отправки данных в токен и… Вуаля! Нужные злоумышленнику данные подписаны, а клиент и знать не знает. Пока нет контроля своих модулей и своего же адресного пространства можно считать, что у клиента вообще нет никакого «хорошего» банковского ПО, только трояны. И всунутый в машину токен, а также знание у злоумышленников о том, как токеном и вообще системой ДБО пользоваться.
Но отказ от замены ИКБ при наличии уязвимостей в ней, которые уже эксплуатируются — это как? :-)
Как реализован токен? Если на вход подаются данные, он их подписывает, и данные становятся валидными — грош цена системе. Инжектимся в банк-клиент, перехватываем функцию отправки данных в токен и… Вуаля! Нужные злоумышленнику данные подписаны, а клиент и знать не знает. Пока нет контроля своих модулей и своего же адресного пространства можно считать, что у клиента вообще нет никакого «хорошего» банковского ПО, только трояны. И всунутый в машину токен, а также знание у злоумышленников о том, как токеном и вообще системой ДБО пользоваться.
Про токены уже тоже проходили, конечно это лучше чем логин/пароль, но не панацея. Всем банкам давно уже твердят, что не оставлятей токен воткнутый 24 постоянно в комп, сделал операцию вытащи.
На форуме банкиров эти дела обсуждались когда нагнули много клиентов, которые хлопали ушами и оставляли машину включенной и всегда туда был воткнут этот самый токен. Там был проброс USB портов на удаленную машину.
Вобще после шквала тех случаев многие обсуждали сделать загрузочный CD с банк-клиентом на linux к примеру, но насколько мне известно из банков только один (не помню названия) дошел до дела после разговоров и то помоему на не офицальном уровне.
На форуме банкиров эти дела обсуждались когда нагнули много клиентов, которые хлопали ушами и оставляли машину включенной и всегда туда был воткнут этот самый токен. Там был проброс USB портов на удаленную машину.
Вобще после шквала тех случаев многие обсуждали сделать загрузочный CD с банк-клиентом на linux к примеру, но насколько мне известно из банков только один (не помню названия) дошел до дела после разговоров и то помоему на не офицальном уровне.
Да хватит и пары минут, думаю.
Загрузочный CD — хороший вариант, кстати. Еще можно в сторону специализированных железок смотреть, где весь софт жестко зашит. При массовом производстве, думаю, будет не сильно дорого. Зато можно аппаратную реализацию логирования и контроля целостности встроить.
Загрузочный CD — хороший вариант, кстати. Еще можно в сторону специализированных железок смотреть, где весь софт жестко зашит. При массовом производстве, думаю, будет не сильно дорого. Зато можно аппаратную реализацию логирования и контроля целостности встроить.
Да я согласен, но в поисках идеально варианта видимо люди забыли о таком правиле Worse is better. Вот кстати оригинальная ветка если интересно вдруг можно по диагонали прочитать.
Когда у вас 50 клиентов и вы подключаете 1-2 в месяц — локальное ПО — очень хороший вариант. Когда клиентов несколько тысяч и в месяц 100-200 подключений — это невозможно. Поясню:
1. Вам надо изготовить дистрибутив. Он для каждого клиента уникальный — мы же нормально хотим всё сделать? :)
2. Вам надо съездить и установить. Это не просто прискакал, воткнул диск, 2 минуты и все счастливы. Это от 15 минут до часа-двух, потому что у всех свои компов и пользователей свои уникальные отличия и что-то может просто не работать или мешать нормальной работе вашего ПО.
3. Самое важное! Тётеньки! Кто знает — тот уже понял :) Кто не знает — объясняю: вы не можете приехать поставить и уехать. В таком случае вас забьют ногами при попытке к бегству. Вам надо тётеньке-бухгалтеру объяснить, как всё это работает, что и куда нажимать, почему так, почему не так… Это еще час-два.
4. В случае проблем с локальным ПО вам периодически придется выезжать для лечения.
А кроме всех этих дел вы должны успевать исполнять еще 4-5 ваших основных служебных обязанностей, разговаривать с пользователями по телефону (я трубку просто не ложу), успевать обедать (мы же не хотим умереть от истощения?)…
Вот как-то так. :)
1. Вам надо изготовить дистрибутив. Он для каждого клиента уникальный — мы же нормально хотим всё сделать? :)
2. Вам надо съездить и установить. Это не просто прискакал, воткнул диск, 2 минуты и все счастливы. Это от 15 минут до часа-двух, потому что у всех свои компов и пользователей свои уникальные отличия и что-то может просто не работать или мешать нормальной работе вашего ПО.
3. Самое важное! Тётеньки! Кто знает — тот уже понял :) Кто не знает — объясняю: вы не можете приехать поставить и уехать. В таком случае вас забьют ногами при попытке к бегству. Вам надо тётеньке-бухгалтеру объяснить, как всё это работает, что и куда нажимать, почему так, почему не так… Это еще час-два.
4. В случае проблем с локальным ПО вам периодически придется выезжать для лечения.
А кроме всех этих дел вы должны успевать исполнять еще 4-5 ваших основных служебных обязанностей, разговаривать с пользователями по телефону (я трубку просто не ложу), успевать обедать (мы же не хотим умереть от истощения?)…
Вот как-то так. :)
Нашей там нет, к счастью.
Заменить ИКБ невозможно, если вы — крупный банк. Нужно пинать разработчиков, чтобы закрывали дыры и реализовывали дополнительные способы проверки клиента.
Я не представляю, как можно вытянуть информацию с токена (Рутокен ЭЦП или еТокен ГОСТ), который генерирует внутри себя каждый раз новую ЭЦП для каждой последующей операции. Про обычные токены-хранилища вы совершенно правы.
Заменить ИКБ невозможно, если вы — крупный банк. Нужно пинать разработчиков, чтобы закрывали дыры и реализовывали дополнительные способы проверки клиента.
Я не представляю, как можно вытянуть информацию с токена (Рутокен ЭЦП или еТокен ГОСТ), который генерирует внутри себя каждый раз новую ЭЦП для каждой последующей операции. Про обычные токены-хранилища вы совершенно правы.
Банковское ПО успешно использует токен. Трояну тоже никто особо не мешает это сделать.
просто обычно крадут имя и пароль, а также файл секретного ключа, и уже со своего компьютера отправляют платежи
в случае с использование етокена, необходимо еще как то удаленно управлять компьютером, что сложнее
в случае с использование етокена, необходимо еще как то удаленно управлять компьютером, что сложнее
Проблем-то… Меняем номер счета и что там еще надо — это же достаточно будет?
не понял где вы что менять собрались?
чтобы отправить платежное поручение, необходимо ввести кучу информации, и чтобы в банке не заподозрили неладное, должно быть что-то похожее на реальность (просмотр предыдущих платежей клиента)
чтобы удаленно это сделать, и клиент не заметил что на его компьютере что=-то происходит, необходимо будет знать протоколы обмена информацией браузера и веб-сервера (имеюю ввиду не протокол http, а все post, get, cookies и т.п. необходимые для отправки платежного поручения)
чтобы отправить платежное поручение, необходимо ввести кучу информации, и чтобы в банке не заподозрили неладное, должно быть что-то похожее на реальность (просмотр предыдущих платежей клиента)
чтобы удаленно это сделать, и клиент не заметил что на его компьютере что=-то происходит, необходимо будет знать протоколы обмена информацией браузера и веб-сервера (имеюю ввиду не протокол http, а все post, get, cookies и т.п. необходимые для отправки платежного поручения)
В памяти банк-клиента. Или браузер общается с токеном?
с токеном общается activex или java или plugin
ну в общем это надо будет делать спецаилизированное решение для каждого конкретного случая
а украсть файл и пароли может любой зеус
я просто не слышал ни одного случая когда ломали етокены и кучу случаев когда уводили деньги где эцп хранилось на винте или флешках
ну в общем это надо будет делать спецаилизированное решение для каждого конкретного случая
а украсть файл и пароли может любой зеус
я просто не слышал ни одного случая когда ломали етокены и кучу случаев когда уводили деньги где эцп хранилось на винте или флешках
Слушайте, вот по поводу этого: «Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО: отсутсвие контроля перехватов, загруженных модулей, сохранение на диск файлов в виде, пригодном для использования неавторизованными лицами и т.д. и т.п.» — я не согласен, это маразм какой-то, следить за сохранностью библиотек должна ОС пользователя, а не программа, а то банкам придется делать отдельную операционную систему, отдельный фаервол, встроенный антивирус (который будет определять остутствие перехватов модулей), свой собственный драйвер клавиатуры (чтобы вирусы нажатия клавиш не перехватили) и тд. Ну бред же.
Другой вопрос, что на сегодня ОС, которые могут надежно изолировать данные процессов одного пользователя друг от друга, я не знаю (неудивительно, большинство разработчиков весьма ограничены в умственном плане, видимо жизнь в Индии до добра не доводит). Зато много таких ОС, которые позволяют в один клик, а то и без кликов, запустить любой код с любого сайта.
Другой вопрос, что на сегодня ОС, которые могут надежно изолировать данные процессов одного пользователя друг от друга, я не знаю (неудивительно, большинство разработчиков весьма ограничены в умственном плане, видимо жизнь в Индии до добра не доводит). Зато много таких ОС, которые позволяют в один клик, а то и без кликов, запустить любой код с любого сайта.
Про сохранность я не говорил. Я говорил про то, что модуль (грубо говоря EXE-файл) не контролирует, что же за библиотеки в него загружены. И ОС как раз выполняет все, что от нее требуется — корректно загружает либы, которые ей сказали загрузить.
И да, если уж Windows так плоха — зачем писать для нее софт? А другим — этим софтом пользоваться? Я не могу исправить одну ошибку, значит я не буду исправлять никаких — вот что получается по вашей логике? :-)
Почему-то антивирусы, файрволы и т.п. заботятся о свое собственной защите. А банковское ПО нет, хотя у первых сертификатов ФСБ зачастую нет и деньги через них не переводят.
И да, если уж Windows так плоха — зачем писать для нее софт? А другим — этим софтом пользоваться? Я не могу исправить одну ошибку, значит я не буду исправлять никаких — вот что получается по вашей логике? :-)
Почему-то антивирусы, файрволы и т.п. заботятся о свое собственной защите. А банковское ПО нет, хотя у первых сертификатов ФСБ зачастую нет и деньги через них не переводят.
Кстати банальный пример софт от ЦБ, который уже формирует файл и подписывает его для отправки в ЦБ, даже если используеться Токен. при загрузке он загружает в оперативную память ключ и все операции выполняет уже из памяти, хотя это противречит идеологии использовании токена.
Еще. «Наш» троян не внедрялся в систему ИКБ, он стоит особняком, висит себе в фоне и отправляет данные, таким образом, проверка целостности и комплектности библиотек тут не поможет.
>> «что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них,
>> а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить.
>> Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй.
А что не так? Банк должен ещё и хранение ключей клиента организовать? И диски ему регулярно проверять на вирусы? Детский сад, ей богу. Консультировать, оказывать помощь — да, пожалуй. Но выступать нянькой — это уже слишком.
Вообще-то, подразумевается, что обе стороны — и клиент, и банк — вменяемые взрослые люди, отвечающие за свои поступки. По крайней мере, берущие на себя такие обязательства. С какой стати банк должен отвечать за бардак, творящийся в типичной говноконторе ООО «Вектор»?
>> Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО
Вы предлагаете каждому банку к своей системе ДБО прилагать антивирус? Всё, что Вы написали, может произойти только по причине безалаберности клиентов. Ну или жуткой компрометации системы ДБО на стороне банка, но это исключительный случай, мне о таких неизвестно.
Не надо банки представлять этакими подтирателями соплей клиентов.
>> а не на банке» — это как положить физические деньги в реальный сейф, а ключ рядом повесить.
>> Типа, сиди, владелец, перед сейфом и дубиной воров отгоняй.
А что не так? Банк должен ещё и хранение ключей клиента организовать? И диски ему регулярно проверять на вирусы? Детский сад, ей богу. Консультировать, оказывать помощь — да, пожалуй. Но выступать нянькой — это уже слишком.
Вообще-то, подразумевается, что обе стороны — и клиент, и банк — вменяемые взрослые люди, отвечающие за свои поступки. По крайней мере, берущие на себя такие обязательства. С какой стати банк должен отвечать за бардак, творящийся в типичной говноконторе ООО «Вектор»?
>> Я видел до черта примеров ВОПИЮЩЕЙ безалаберности в системах ДБО
Вы предлагаете каждому банку к своей системе ДБО прилагать антивирус? Всё, что Вы написали, может произойти только по причине безалаберности клиентов. Ну или жуткой компрометации системы ДБО на стороне банка, но это исключительный случай, мне о таких неизвестно.
Не надо банки представлять этакими подтирателями соплей клиентов.
Мне ни разу не удавалось приучить бухгалтера вставлять токен только во время работы в ИБ, до тех пор, пока на нынешней работе не попался жутко глючный токен, который вешал все юсб устройства. После пары дней жалоб на глюки виновник был найден, и приучен втыкаться только для подписи.
Ощущение, что я читаю статью от 1980 года. Где одноразовые карты паролей (уже есть в ВТБ24), где етокены — почему-то банку неинтересно дать его бесплатно (про стоимости в 1 тыс. руб, а себестоимость около 300 руб), а брать 3000 руб и выше за обслуживание юриков ежемесячно + допплатеж на каждый чих — интересно?
Где пин-калькуляторы, которые раздаются бесплатно в банках Европы?
Где пин-калькуляторы, которые раздаются бесплатно в банках Европы?
Потому что в подавляющием большинстве российских банков средний уровень используемых IT-решений ниже плинтуса и отстает от объективной реальности лет на 10. Исключения можно пересчитать по пальцам одной руки.
Интересно, а почему? В РФ 2-4 конторы, которы разрабатывают банк-клиент. Они такие отсталые?
А банки, которые сетапят себе банковскую информационную систему — они специально себе выбирают наиболее отсталые решения?
А банки, которые сетапят себе банковскую информационную систему — они специально себе выбирают наиболее отсталые решения?
Контор, наверное, чуть больше. КриптоПро, Фактура, IBank (в душе не знаю, оно или нет, но юзается для ДБО часто) и т.д. И видя, как легко трояны тырят от всех этих систем пароли, не могу с вами не согласиться: они скорее все-таки отсталые. Выше уже кидал ссылку на Битдефендеровское описалово троянчега, почитайте и восхититесь, как легко он получает важную информацию.
Потому что бабло побеждает зло, руководители тупо руководствуются таким правилом, дешевле — значит лучше, все никакого скрытого смысла. Именно по этой же причине популярна АБС Диасофт, она самая дешевая на рынке (в 3-5 раз дешевле других АБС) и ДБО БСС так же более популярен по той же причине, хотя разница между Ibank если мне память не изменяет сейчас не большая.
Все конторы, разрабатывающие банки-клиенты в промышленных масштабах (БСС и Бифит, например), имеют решения для безопасности, идущие в ногу со временем. Все свистелки и перделки давно уже реализованы. Другой вопрос, почему некоторые банки не пользуются этими опциями. Отчасти из-за цены. Отчасти из-за невостребованности клиентами (опять же из-за цены). Поверьте, типичному российскому юрлицу на все эти ухищрения с безопасностью глубоко плевать. 1000 рублей за USB-токен для них гигантская сумма. Они даже считают в порядке вещей, когда все ключи (и публичный, и секретный) за них генерирует банк и им выдаёт :) Они начинают рвать волосы на ж..., когда факт хищения или компрометации уже прошёл. И начинают, естественно, винить банки в своих бедах.
Я подозреваю, что вы так говорите потому, что не знакомы с зарубежными системами ДБО, статей о кражах в зарубежной печати вы тоже не читаете (моё предположение). Поэтому, думаю, не корректно считать, что «там» всё хорошо, а «тут» — тупой совок. В эпоху глобализации, когда одни и теже криптографические средства распространяются повсеместно, вряд ли будут отличаться и системы ДБО.
К тому же, управление частью российских банков осуществляется из Европы, решения о внедрении тоже принимаются там. :)
К тому же, управление частью российских банков осуществляется из Европы, решения о внедрении тоже принимаются там. :)
Одноразовые пароли — не панацея. Даже мобильный телефон не спасет, если пользователь туп, а он туп всегда. :) Вообще, у физика лучше спереть данные карты, а не доступ к счету получать.
Ну, за обслуживание берется не 3000, а 300 рублей, что уж вы так :)
Пин-калькуляторы — это тоже для физиков. Когда такая маленькая организация, как какой-нибудь «Красноярский алюминиевый завод» или «Норильский никель» отправляют каждый час в банк пакет платежей штук под 40 тысяч на общую стоимость пары яхт… А вы хотите каждый платеж пин-кодом подтверждать? :)
Ну, за обслуживание берется не 3000, а 300 рублей, что уж вы так :)
Пин-калькуляторы — это тоже для физиков. Когда такая маленькая организация, как какой-нибудь «Красноярский алюминиевый завод» или «Норильский никель» отправляют каждый час в банк пакет платежей штук под 40 тысяч на общую стоимость пары яхт… А вы хотите каждый платеж пин-кодом подтверждать? :)
Почему-же одноразовые пароли не панацея? Есть только один способ — украсть карточку или пинкалькулятор. «Наши люди» уже имеют держать сумочку :)
Про обслуживание — вот я открываю сборник тарифов ВТБ24 и вижу:
— РКО: 1200 руб/мес
— ДБО: 700 руб/мес
Сетап этих услуг — 2-4 тыс. И этим людям жалко денег на безопасность?
Вообще-то пинкалькулятором пачку платежей подтверждают. Ну это как бы общепринятая практика.
Про обслуживание — вот я открываю сборник тарифов ВТБ24 и вижу:
— РКО: 1200 руб/мес
— ДБО: 700 руб/мес
Сетап этих услуг — 2-4 тыс. И этим людям жалко денег на безопасность?
Вообще-то пинкалькулятором пачку платежей подтверждают. Ну это как бы общепринятая практика.
Альфа-банк. РКО стоит 3390 рублей в месяц.
Моё мнение, как простого физического лица: страховка карты — развод банком клиента на деньги.
Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.
Смс-информирование… Будь у меня желание обуть человека с смс-информированием…
Отправил бы ему три сотни смс. Увёл денежку. Отправил ему ещё три сотни смс.
Сомневаюсь в успехе мероприятия: заметить и прочитать одну смс среди шестисот не зависимо от телефона\смартфона и уровня грамотности пользователя.
Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.
Смс-информирование… Будь у меня желание обуть человека с смс-информированием…
Отправил бы ему три сотни смс. Увёл денежку. Отправил ему ещё три сотни смс.
Сомневаюсь в успехе мероприятия: заметить и прочитать одну смс среди шестисот не зависимо от телефона\смартфона и уровня грамотности пользователя.
Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.
Получается, что в случае воровства данной суммы, предприятие находится в лучших условиях, нежели физик — физику-то нужно год «пахать», чтобы обернуть сумму, которую «среднее предприятие» оборачивает за день.
Физик вынужден гораздо чаще «светить» секретные реквизиты, совершая покупки в различных интернет- и оффлайн- магазинах.
У физика нет профессионального системного администратора, для квалифицированного обслуживания компьютера.
Банки предоставлют физикам заведомо более дырявые (удобные) способы доступа, с использованием ПО общего назначения, а так же упрощенные системы контроля операций со своей стороны.
Выходит, риски физика заведомо выше, чем у предприятия. В этой связи предложения банков в виде платного смс-информирования и страховок стоимостью 1-2% от максимальной суммы выплаты выглядят свежо и необычно. ;)
>> Моё мнение, как простого физического лица: страховка карты — развод банком клиента на деньги.
>> Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.
Ну а если позиция банка — «ты операцию совершал». Что тогда? Почему банк должен по умолчанию считать тебя честным человеком? У тебя украли кошелёк, расплатились деньгами из него в магазине. Прибежишь в магазин требовать деньги назад? Не совершал операцию — докажи.
>> Цивилизованные методы это заявление: я данную операцию не совершал. Банк возвращает деньги.
Ну а если позиция банка — «ты операцию совершал». Что тогда? Почему банк должен по умолчанию считать тебя честным человеком? У тебя украли кошелёк, расплатились деньгами из него в магазине. Прибежишь в магазин требовать деньги назад? Не совершал операцию — докажи.
>Заставить кого-то вернуть деньги можно, если будет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная.
Есть иск о неосновательном обогащении, по нему деньги взыскиваются независимо от вины того кто получил деньги и безусловно. Другое дело что реально получить эти деньги невозможно, потому что получивший оказывается фирмой-однодневкой у которой за душой ничего нет, а заводить уголовные дела органы очень не любят потому что мороки там много, доказуху опять же собирать, искать реальных учредителей (а не тех бомжей на которых фирма оформлена и т.п.) хотя в принципе отследить цепочку реально если расколоть всех участников.
Есть иск о неосновательном обогащении, по нему деньги взыскиваются независимо от вины того кто получил деньги и безусловно. Другое дело что реально получить эти деньги невозможно, потому что получивший оказывается фирмой-однодневкой у которой за душой ничего нет, а заводить уголовные дела органы очень не любят потому что мороки там много, доказуху опять же собирать, искать реальных учредителей (а не тех бомжей на которых фирма оформлена и т.п.) хотя в принципе отследить цепочку реально если расколоть всех участников.
А почему сложилось, что это проблема клиента?
Не клиента же обманули, а банк.
Кто-то представился тем, кем не является и убедил банк совершить то, что хочется.
Не клиента же обманули, а банк.
Кто-то представился тем, кем не является и убедил банк совершить то, что хочется.
что касается юр.лиц там используется ЭЦП который является аналогом собственноручной подписи, причем считается что подделка такой подписи невозможна, т.е. юридически отправил деньги не туда сам клиент, утверждение о том что это произошло помимо его воли недоказуемо, в противном случае (если вешать такие убытки на банк) любой человек может разорить любой банк просто утверждая что все его сделки произвел не он.
С физ. лицами вопрос спорный, но логика примерно та же.
С физ. лицами вопрос спорный, но логика примерно та же.
Если юридически отправил деньги сам клиент, то можно смело красть ключи и кидать средства на счёт фирмы открытой не на бомжа.
Ведь тогда такое утверждение работает на злоумышленника.
Но что-то мне говорит одного доказательства кражи ключа для цифровой подпись в условном здравомыслящем мире достаточно, чтобы не считать цифровую подпись аналогом собственноручной.
Вот и получается, что это банальное перекладывание проблем с больной головы на здоровую. С прописыванием этого в договоре.
Это не претензии к несправедливости мира. Просто мысли вслух.
Ведь тогда такое утверждение работает на злоумышленника.
Но что-то мне говорит одного доказательства кражи ключа для цифровой подпись в условном здравомыслящем мире достаточно, чтобы не считать цифровую подпись аналогом собственноручной.
Вот и получается, что это банальное перекладывание проблем с больной головы на здоровую. С прописыванием этого в договоре.
Это не претензии к несправедливости мира. Просто мысли вслух.
Вход в систему осуществляется с ключом, который банк считает настоящим. Почему банк должен сомневаться в этом?
если банк не может сделать ключ что-бы потом ясно говорить настоящий он или нет то это не проблема клиента — это проблема банка
ключ — настоящий :) проблема клиента в том — как он оказался не у него.
проблема банка в том что такое возможно. вот у меня в barclays есть девайс туда вставляется карта набирается pin вводятся суммы и номера счетов перевода — получаю ключ ввожу на страничку. даже если я пардон потеряю и карту и сам девайс — без pin ничего работать не будет.
У вас есть ячейка в банке, в которой лежат деньги. В один прекрасный день в банк приходит лицо, заявляющее, что он — это вы. Расписывается вашей подписью, открывает ячейку ключом, берет деньги и уходит. Кто кого обманул и кто виноват? :)
банк. так как не продумал систему безопасности. ячейка — это как сигналка на авто. если авто угнали то виноват разработчик сигналки и воры.
систему безопасности? предлагаете сканировать сетчатку и пальчики снимать? :)
вопрос: как ваш ключ от ячейки попал к злоумышленнику и почему вы об этом не сообщили в банк? :)
вопрос: как ваш ключ от ячейки попал к злоумышленнику и почему вы об этом не сообщили в банк? :)
Что за детский лепет :) Вы сдали вещи в камеру хранения на вокзале. У вас украли ключ, утащили вещи. Это проблема вокзала, что ли, что у вас его украли?
Я попросил лично Вас похранить пару дней мои 100 000 рублей.
Через полчаса после моего ухода к вам зашёл никому неизвестный «Вася» и сказал: Я от puffOfSmoke, он попросил меня забрать деньги.
Вы отдаёте ему деньги и он уходит.
Через пару дней вы наблюдаете моё удивлённое лицо.
Теперь внимание вопрос: Это Ваша проблема или моя?
Через полчаса после моего ухода к вам зашёл никому неизвестный «Вася» и сказал: Я от puffOfSmoke, он попросил меня забрать деньги.
Вы отдаёте ему деньги и он уходит.
Через пару дней вы наблюдаете моё удивлённое лицо.
Теперь внимание вопрос: Это Ваша проблема или моя?
Ваша — вы не умеете выбирать правильное место хранения средств :)
>> Я попросил лично Вас похранить пару дней мои 100 000 рублей.
Если попросили лично, и обязались сами забрать деньги — то моя, само собой. Так и бывает в практике, разве нет? А если сказали заранее, что придёт кто угодно и паролем для получения денег будет «здасьте, я от puffOfSmoke, он попросил меня забрать деньги» — то тогда Ваша.
Если попросили лично, и обязались сами забрать деньги — то моя, само собой. Так и бывает в практике, разве нет? А если сказали заранее, что придёт кто угодно и паролем для получения денег будет «здасьте, я от puffOfSmoke, он попросил меня забрать деньги» — то тогда Ваша.
Я чуть поправил статью, написал, что средства всегда перечисляются на карточные счета физических лиц. Они декларацию не заполняют, их за жопу схватить сложнее, средства потратить им тоже проще — пошел в магазин и купил плазму. :)
Есть вопрос. Мои средства хранятся в банке. Вор украл средства из банка (факт кражи зафиксирован). У кого он украл, у меня или у банка? Интересно, что думает по данному поводу законодательство. Банки, насколько я понимаю, поголовно уверены, что украл у меня.
Плюс один. Я немного выше развиваю эту мысль, но буду следить за комментариями и здесь.
Если украли используя ваш логин/пароль с вашего счёта — украли у вас. Если украли с корсчёта/внутреннего счёта банка или мешок у инкассатора, то у банка.
Если украли с вашего счета — то украли у вас, поскольку деньги на вашем счету банку не принадлежат. Но на сколько мне известно, практика сейчас такова, что банки как правило компенсируют вкладчикам такие потери. Имидж дороже.
Не компенсируют. С какой стати?
Во первых с той стати что во всем мире компенсируют. Только в России не компенсируют.У меня крали бабосы и в Англии и в сша. В сша украли 2k$ — банк вернул бабосы по звонку. в англии украли 100 фунтов — вернули тоже.
Ну тут две причины. Во первых, как мне известно, например в России, действует некая система страхования вкладов на уровне банков. Не все банки в ней участвуют, но те которые это делают, судя по всему должны вернуть деньги в любом случае.
Вторая причина — имидж банков. То на чем стоит банковская система — это доверие клиентов. Если клиенты перестанут им доверять, система сразу рухнет. Кризис все помнят. А сейчас доверие к банкам итак практически искуственное. Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут. Это логично — проценты по депозитам в среднем 9-12%, официальная инфляция — 8.9% в прошлом году. Другое дело что народ в своей массе не осознал, что реальная инфляция вдвое выше официальной. А это меняет дело. Так что уже сейчас доверие к банкам держится на липовых цифрах, и раскачивать свой хлипкий имидж еще и кражами никому не нужно. 1000-2000$ для банка копейки, проще выплатить чем внезапно обнаружить что ты вдруг банкрот, да еще и причина нового кризиса банковской системы.
Другое дело что не все в банках это понимают. Такие вопросы часто упираются в простых банковских служащих, которым все до фени. Или в дубовое руководство, что в банках тоже не редкость. Но в целом, на сколько мне известно — практика такова, что все таки возвращают.
Вторая причина — имидж банков. То на чем стоит банковская система — это доверие клиентов. Если клиенты перестанут им доверять, система сразу рухнет. Кризис все помнят. А сейчас доверие к банкам итак практически искуственное. Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут. Это логично — проценты по депозитам в среднем 9-12%, официальная инфляция — 8.9% в прошлом году. Другое дело что народ в своей массе не осознал, что реальная инфляция вдвое выше официальной. А это меняет дело. Так что уже сейчас доверие к банкам держится на липовых цифрах, и раскачивать свой хлипкий имидж еще и кражами никому не нужно. 1000-2000$ для банка копейки, проще выплатить чем внезапно обнаружить что ты вдруг банкрот, да еще и причина нового кризиса банковской системы.
Другое дело что не все в банках это понимают. Такие вопросы часто упираются в простых банковских служащих, которым все до фени. Или в дубовое руководство, что в банках тоже не редкость. Но в целом, на сколько мне известно — практика такова, что все таки возвращают.
система страхования вкладов — это защита от банкротсва банков
это не защита от кражи денег через системы Интернет-банкинга
Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут.
так и есть, и это большинство не использует Интернет-банкинг
и в интернет-банкинге обычно нельзя делать расходы с вкладов которые предназначены для накоплений (т.е. проценты идут), там используются счета до востребования, или карточные
это не защита от кражи денег через системы Интернет-банкинга
Большинство думает что деньги, которые лежат в банке, как минимум никуда не пропадают, а то и растут.
так и есть, и это большинство не использует Интернет-банкинг
и в интернет-банкинге обычно нельзя делать расходы с вкладов которые предназначены для накоплений (т.е. проценты идут), там используются счета до востребования, или карточные
Если вор в маске пришел в банк, наставил пистолет и украл — он украл у банка. Когда вор использует ваши параметры авторизации в системе, банк считает, что это вы, следовательно, воруют у вас.
если у вас украли паспорт, пришли в банк и написали за вас заявление на перевод,
средства украли у банка? нет, украли у вас
при ИБ — тоже самое
средства украли у банка? нет, украли у вас
при ИБ — тоже самое
На самом деле тут есть перспектива для судебного разбирательства — ненадлежащее исполнение Банком своих обязанностей, а именно — идентификации личности клиента. В случае с «бумажным» переводом перспективы гораздо лучше, чем если речь идет об электронной краже. Но украли, конечно, все равно у клиента.
Хм. Пришел левый человек, написал заявление, банк непонятно с какого перепугу его послушался, а украли у меня? Интересная логика. Это я именно про ваш пример говорю.
Завел в одном достаточно крупном банке р/с. Выдали типа «ключ». На самом деле это обычная флешка на 64 метра, на ней всякие readme, какая-то джавовская лабуда и файл с ЭЦП. И еще (внимание!) файл в котором лежит логин и пароль. Просто так. Да их конечно можно сменить в системе, но 99% этого не сделают же.
Честно говоря такая «защита» меня «слегка» обеспокоила, в остальном банк вёл себя достаточно профессионально.
Честно говоря такая «защита» меня «слегка» обеспокоила, в остальном банк вёл себя достаточно профессионально.
Это явно не e-token :)
Я пользовался абсолютовским — меня как раз по-началу сильно напрягало, что это не флэшка — обрадовался сначала еще одной типа флэшке — а на компе ее просто не видно в качестве диска и всё.
Я пользовался абсолютовским — меня как раз по-началу сильно напрягало, что это не флэшка — обрадовался сначала еще одной типа флэшке — а на компе ее просто не видно в качестве диска и всё.
Это называется формальное соблюдение стандартов безопасности ) У них же строго, должен быть ключ и все тут, закон такой. И никого не парит, что риски минимальные, а денег в разработку и внедрение вбухать надо дохрена…
Не подскажете где узнать про IPRIV побольше? Поиск толком информацию о дистрибутивах и самое главное, о сертификации не дал. Я так понимаю они поддерживают ГОСТ стандарты шифрования? И ГОСТ Р 34.10-2001 в том числе?
IPRIV — бесплатное и свободно распространяемое программное обеспечение OpenPGP www.openpgp.org/index.shtml
Лицензионных ограничений нет.
IPRIV, версия 1.2 – разработана фирмой-разработчиком Системы (ЗАО “ИНИСТ”) на базе библиотек «Агава-С», ПБЗИ, версии 5.0, разработанных ООО «Р-Альфа» (сертификат соответствия ФСБ РФ СФ/114-1171 от 1 августа 2008 г.
Лицензионных ограничений нет.
IPRIV, версия 1.2 – разработана фирмой-разработчиком Системы (ЗАО “ИНИСТ”) на базе библиотек «Агава-С», ПБЗИ, версии 5.0, разработанных ООО «Р-Альфа» (сертификат соответствия ФСБ РФ СФ/114-1171 от 1 августа 2008 г.
Спасибо Вам за подробную и интересную статью.
У меня в связи с ней такой момент вызывает любопытство: ну хорошо, допустим нет разумно-легальных оснований привлечь к ответственности тех, кто выводит в кэш уведенные деньги, используя свою карту один раз для такой операции. Но такая операция явно оказывается для такого чела доходом. Они подают налоговые декларации в связи с этим? И если не подают, их же за это можно привлечь?!
Прокомментируйте, пожалуйста, этот момент.
У меня в связи с ней такой момент вызывает любопытство: ну хорошо, допустим нет разумно-легальных оснований привлечь к ответственности тех, кто выводит в кэш уведенные деньги, используя свою карту один раз для такой операции. Но такая операция явно оказывается для такого чела доходом. Они подают налоговые декларации в связи с этим? И если не подают, их же за это можно привлечь?!
Прокомментируйте, пожалуйста, этот момент.
Таки скажите свое мнение по поводу систем с подтверждением транзакций по смс (альфа-клик, сбербанк-онлайн, webmoney). Имхо, это самая продвинутая защита сейчас. Даже если троянец будет подменять то, что видит пользователь при совершении транзакции, в смс он увидит настоящую сумму и получателя денег. И троянец это никак проконтроллировать не сможет, т.к. телефон это отдельное устройство.
Токены с неизвлекаемыми ключами бесполезны если поставили виртуальный порт USB и устройство не пишет какую сумму заверяет.
НЛО прилетело и опубликовало эту надпись здесь
И 600 тысяч приплетены зазря.
Работайте с одного рабочего места. Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. :) Дорого? 100 тысяч дороже.
Просто рабочее место должно быть без Windows. Убунты на втором разделе должно хватить.
Просто рабочее место должно быть без Windows. Убунты на втором разделе должно хватить.
В банке, где у меня текущий счет ситуация с Иб примерно такая:
1) Вход в банк осуществляется при использовании login, PIN и одноразового PIN генерируемого RSA SecureID.
2) При добавлении нового получателя переводов запрашивается OTP (one time password), высланный по СМС.
3) При совершении любой операции по переводу денег (даже на существующего получателя) запрашивается PIN, генерируемый RSA SecureID.
По поводу страховки. Страховка на 30K рублей — это какой-то смех сквозь слезы. А если у клиента на пару порядков больше денег в банке? 30К насколько я понимаю, это в районе 50% месячной ЗП у среднего IT работника в Москве. А ведь сузествуют еще и сбережения. Или вы предлагаете к ним не иметь доступа вообще и переводить деньги на «оффлайновый» счет?
1) Вход в банк осуществляется при использовании login, PIN и одноразового PIN генерируемого RSA SecureID.
2) При добавлении нового получателя переводов запрашивается OTP (one time password), высланный по СМС.
3) При совершении любой операции по переводу денег (даже на существующего получателя) запрашивается PIN, генерируемый RSA SecureID.
По поводу страховки. Страховка на 30K рублей — это какой-то смех сквозь слезы. А если у клиента на пару порядков больше денег в банке? 30К насколько я понимаю, это в районе 50% месячной ЗП у среднего IT работника в Москве. А ведь сузествуют еще и сбережения. Или вы предлагаете к ним не иметь доступа вообще и переводить деньги на «оффлайновый» счет?
Я очень рад за среднестатистического работника IT в Москве. Нам, быдлу замкадовскому, такие зарплаты только снятся. :)
Обычно умные люди не хранят сбережения (и такое в Москве бывает? :)) на карточных счетах. По поводу тарифов страхования в г.Москве мне ничего не известно, не удивлюсь, если там суммы возвратов больше раза в 2-3.
Обычно умные люди не хранят сбережения (и такое в Москве бывает? :)) на карточных счетах. По поводу тарифов страхования в г.Москве мне ничего не известно, не удивлюсь, если там суммы возвратов больше раза в 2-3.
К сбережениям нет доступа через интернет банкинг?
Хотя да, вы рассужаете, что вор поимел доступ в счету и пытается перевести сбережения, а потом предлагаете страховать КАРТУ. Вы же понимаете, что есть счета и без карточного доступа и с интеренет банкингом. В вашем предложении застраховать карту есть некая непоследовательность.
Мне показалось у вас какое-то неадекватное отношение к Москве и москвичам. Быдлом вы себя сами назвали. Да, и я не москвич, если что.
Хотя да, вы рассужаете, что вор поимел доступ в счету и пытается перевести сбережения, а потом предлагаете страховать КАРТУ. Вы же понимаете, что есть счета и без карточного доступа и с интеренет банкингом. В вашем предложении застраховать карту есть некая непоследовательность.
Мне показалось у вас какое-то неадекватное отношение к Москве и москвичам. Быдлом вы себя сами назвали. Да, и я не москвич, если что.
Вообще то если воры крадут деньги то их должна искать собака с милицией. В сша ищут — поэтому там в том числе не сильно внедрены чипованые карты. Если милиция не работает вообще как например в Европе то банки вводят всякие чипованые карты электронные подписи и тд. В обоих случаях банк возвращает деньги если они были украдены. Если в стране не функционирует не милиция ни судебная система то банк говорит клиенту что тот сам дурак. Это же надо настолько обнаглеть что за год продавать страховку за 300 рублей и на 30 000. 30 000 / 300 = 100 Это значит что каждого сотого клиента грабят на 30 000 каждый год или каждого 20-ого за 5 лет на 30 000. sms это перекладывание с больной головы на здоровую — это работа банка придумать систему при которой денюжки будут целы.
Можно поинтересоваться, как вы считаете, чем «чипованные» карты защищают Европу в которой «милиция не работает вообще»?
чип нельзя скопировать. и при спорных операциях платит тот кто не обеспечил работу с чипом. То есть скопировать чип нельзя — банк защищен клиент тоже защищен. Можно скопировать полосу на той же карте но теперь в случае фрода несет финансовую ответственность тот кто не обеспечил работу с чипом.
Вообще на «чипованных» картах есть и магнитная полоса. PIN можно подсмотреть, либо записать камерой. При получении налички в банкомате все работает так-же как и с не-чипованной картой.
Чип позволяет подтверждать владельца карты без связи с банком на месте. Удобно для мобильных терминалов.
В случае с получением налички вором с вашей карты если он ввел ваш пин, то банк повесит все на вас. У меня есть пример в Ирландии со знакомым. Так что я совсем не вижу как он вас защитит.
Чип позволяет подтверждать владельца карты без связи с банком на месте. Удобно для мобильных терминалов.
В случае с получением налички вором с вашей карты если он ввел ваш пин, то банк повесит все на вас. У меня есть пример в Ирландии со знакомым. Так что я совсем не вижу как он вас защитит.
Скопировать полосу можно на той же карте но теперь в случае фрода несет финансовую ответственность тот кто не обеспечил работу с чипом.
А какое название банка который на вашего знакомого повесил фрод? Я на знаю на счет ирландии в англии судебное рашене ( право прецендентное ) которое гласит что если клиент claim что потерял карту и пин то ему надо деньги вернуть и дать 50 фунтов штрафа. Если он claim что вот карта а pin не разглашал то даже штафа нет.
Мне все деньги возвращали и в англии и в сша по телефонному звонку. В россии не вернули ни кому кого я знаю — их банально динамили — мы вам ответим в течении 30 дней. По этому все деньги в алюминиевый банк.
А какое название банка который на вашего знакомого повесил фрод? Я на знаю на счет ирландии в англии судебное рашене ( право прецендентное ) которое гласит что если клиент claim что потерял карту и пин то ему надо деньги вернуть и дать 50 фунтов штрафа. Если он claim что вот карта а pin не разглашал то даже штафа нет.
Мне все деньги возвращали и в англии и в сша по телефонному звонку. В россии не вернули ни кому кого я знаю — их банально динамили — мы вам ответим в течении 30 дней. По этому все деньги в алюминиевый банк.
Ага, так и вижу как ответственность вешают на какой-нить магазин в штатах, который принял дубликан европейской карты без чипа.
Bank of Ireland. Карту своровали из прихожей дома. Сняли деньги в течении получаса. PIN видимо подсмотрели до этого. Сумма была около штуки евро (дневной лимит). Не вернули, так как был использован PIN. Если не верите — могу дать ссылку на обсуждение.
Возвращали вам при снятии налички или при использовании вашего номера для покупки в Интернете?
Bank of Ireland. Карту своровали из прихожей дома. Сняли деньги в течении получаса. PIN видимо подсмотрели до этого. Сумма была около штуки евро (дневной лимит). Не вернули, так как был использован PIN. Если не верите — могу дать ссылку на обсуждение.
Возвращали вам при снятии налички или при использовании вашего номера для покупки в Интернете?
не на магазин, так как магазин тут вообще не причем — а на банк обслуживающий магазин. ссылку конечно интересно почитать.
в сша это был cash в англии телефон пополнили.
в сша это был cash в англии телефон пополнили.
www.virtualireland.ru/showthread.php?t=31700
Только там ничего интересного. У человека пропал кошелек из прихожей. Бабло сняли. PIN подсмотрели до этого (других вариантов нет ИМХО).
За что будет банк платить? Ну обслуживает магазин американский Citibank какой-нить. Технология Chip&PIN в штатах не распространена, как вы заметили. За что банк должен возвращать бабки? Где у них security leak?
Только там ничего интересного. У человека пропал кошелек из прихожей. Бабло сняли. PIN подсмотрели до этого (других вариантов нет ИМХО).
За что будет банк платить? Ну обслуживает магазин американский Citibank какой-нить. Технология Chip&PIN в штатах не распространена, как вы заметили. За что банк должен возвращать бабки? Где у них security leak?
да но карту я не терял. то есть в моем случае это был чистый fault защиты которую предоставил банк.
это вроде как с машиной если ты оставишь ее заведенной с ключами внутри то в некоторых странах страховка не платит.
а в некоторых платит.
это вроде как с машиной если ты оставишь ее заведенной с ключами внутри то в некоторых странах страховка не платит.
а в некоторых платит.
то есть по прежнему воруют но за это платит тот кто не сделал upgrade
Можно поинтересоваться, как вы считаете, чем «чипованные» карты защищают Европу в которой «милиция не работает вообще»?
www.nobunkum.ru/issue003/banker-attacks/
Атаки на банковские системы
О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank.
Атаки на банковские системы
О схемах атаки на системы электронной коммерции и универсальном российском трояне-банкере Ibank.
Кстати, я заметил поразительную вещь в Сингапуре.
Некоторые кассы (замечено в 2х ресторанах) печатают чек с указанием ПОЛНОГО номера карты и expiry date. Так что проверяйте чеки которые вам возвращают, если вы их собираетесь оставить на столе.
Некоторые кассы (замечено в 2х ресторанах) печатают чек с указанием ПОЛНОГО номера карты и expiry date. Так что проверяйте чеки которые вам возвращают, если вы их собираетесь оставить на столе.
.>В русском языке для таких людей есть простые обозначения — вор и мошенник
ога для меня банковский работник как раз вор и мошенник
ога для меня банковский работник как раз вор и мошенник
Просто и понятно. Спасибо за статью.
ХеХе, видел я у одного банка связку из BS-Defender-a и КриптоПРО с токеном…
Только вот BS-Defender просто проверял просто факт наличия ключа, а в конфигах его можно было от этого легко отучить.
Но это ещё что, в тех же конфигах можно было техническому ключу право подписи подрисовать!
Всё это счастье тупо лежало на жестком диске, так-что любой злоумышленник завладевший директорией, обладая некоторой фантазией вполне бы себе мог…
Только вот BS-Defender просто проверял просто факт наличия ключа, а в конфигах его можно было от этого легко отучить.
Но это ещё что, в тех же конфигах можно было техническому ключу право подписи подрисовать!
Всё это счастье тупо лежало на жестком диске, так-что любой злоумышленник завладевший директорией, обладая некоторой фантазией вполне бы себе мог…
Один ключ также можно пользовать на несколько организаций
Друзья, давайте еще сильнее упростим нашу схему. Из личного опыта: огромное количество организаций тупо экономит на системных администраторах. Мало того, что полно некомпетентных администраторов (хотя, какой хороший специалист согласится на работу за гроши), дак ведь у множества более-менее солидных контор сисадмина нет вообще — есть только «приходящие» и те раз в год бывают… Про защиту и обилие вирусов всех мастей в подобных конторах умолчу.
>> Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму.
>> В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их
>> отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств.
>> Это требования закона о борьбе с отмыванием и легализацией средств.
Если процесс непонятен — стоит для начала прочитать закон 115-ФЗ. Никакой контролёр в банке ничего не обязан. Если прошла операция свыше 600 тыс. со счёта клиента, составляется соответствующее сообщение об этой операции и отправляется куда надо. Если поступление на 600 тыс. и более — тогда запрашивается анкета выгодоприобретателя. Но это уже по факту. Требовать предоставить дополнительные документы — бред. Для чего тогда вообще клиент-банк нужен? Другое дело, что некоторые системы клиент-банк дают возможность вводить дополнительные уровни авторизации при превышении определённой суммы. SMS, токены разные и т.д.
Все отношения юрлица и банка прописаны в договоре. Практика показывает, что при чётком соблюдении договора ЮРИДИЧЕСКИМ ЛИЦОМ шансы профукать деньги равны нулю. А на практике клиенты договоры не читают, подмахивают не глядя. И рекомендаций по защите информации, которые обычно прописываются в приложениях к договору, никто не выполняет. И не спасут в таком случае ни USB-токены, ни смарт-карты, хотя вроде экспортировать с них ключ физические невозможно.
>> В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их
>> отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств.
>> Это требования закона о борьбе с отмыванием и легализацией средств.
Если процесс непонятен — стоит для начала прочитать закон 115-ФЗ. Никакой контролёр в банке ничего не обязан. Если прошла операция свыше 600 тыс. со счёта клиента, составляется соответствующее сообщение об этой операции и отправляется куда надо. Если поступление на 600 тыс. и более — тогда запрашивается анкета выгодоприобретателя. Но это уже по факту. Требовать предоставить дополнительные документы — бред. Для чего тогда вообще клиент-банк нужен? Другое дело, что некоторые системы клиент-банк дают возможность вводить дополнительные уровни авторизации при превышении определённой суммы. SMS, токены разные и т.д.
Все отношения юрлица и банка прописаны в договоре. Практика показывает, что при чётком соблюдении договора ЮРИДИЧЕСКИМ ЛИЦОМ шансы профукать деньги равны нулю. А на практике клиенты договоры не читают, подмахивают не глядя. И рекомендаций по защите информации, которые обычно прописываются в приложениях к договору, никто не выполняет. И не спасут в таком случае ни USB-токены, ни смарт-карты, хотя вроде экспортировать с них ключ физические невозможно.
Раз уж пошли такие статьи, может кто нибуть опишет как сканят карты пластиковые на банкоматах? А то даже до нашего захолустья докатились такие умельцы.
пин карты… антивири… етокены… это все клево…
Но вопрос. Почему до сих пор клиентбанки не работают под линуксом?
Ведь под не гораздо меньше вирей и троянов… т.е. на данный момент она безопаснее винды…
И таким образом можно снизить факторы риска…
Но вопрос. Почему до сих пор клиентбанки не работают под линуксом?
Ведь под не гораздо меньше вирей и троянов… т.е. на данный момент она безопаснее винды…
И таким образом можно снизить факторы риска…
А Вы прочитайте, не торопясь, ветку на профильном форуме:
bankir.ru/dom/showthread.php?t=99228
Там всё со всех сторон обсуждено
bankir.ru/dom/showthread.php?t=99228
Там всё со всех сторон обсуждено
Работают. iBank2 фирмы Бифит имеет клиента на Java. Мало того, для физлиц было верно подмечено выше — используются упрощённые технологии, hmtl+javascript и шифрование, встроенное в браузер.
А то, что нет у производителей клиент-банков пиитета перед Linux — так потому, что доля клиентских машин под Linux в бизнесе стремится к нулю. Поверит бизнес в Linux — наплодят и клиент-банков под него.
А то, что нет у производителей клиент-банков пиитета перед Linux — так потому, что доля клиентских машин под Linux в бизнесе стремится к нулю. Поверит бизнес в Linux — наплодят и клиент-банков под него.
То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана.
Как насчет статьи 1102 ГК РФ (неосновательное обогащение)?
Новый троян, получивший название OddJob, крадет деньги с банковских счетов, получая управление над сессиями онлайн-банкинга после того, как пользователь считает, что закончил сессию.
Для защиты эксперты, обнаружившие угрозу, рекомендуют устанавливать свежие патчи и обновления, не переходить по незнакомым ссылкам и использовать комплексные средства информационной безопасности, включающие в себя элементы проактивной защиты, которые способны эффективно противостоять новейшим угрозам.
Для защиты эксперты, обнаружившие угрозу, рекомендуют устанавливать свежие патчи и обновления, не переходить по незнакомым ссылкам и использовать комплексные средства информационной безопасности, включающие в себя элементы проактивной защиты, которые способны эффективно противостоять новейшим угрозам.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Атака на банк-клиент...». Взгляд со стороны работника банка