Комментарии 21
Без технических деталей это не статья, а нытьё жадных банкиров, которым, как обычно, лень палец о палец ударить.
Предлагают сменить только криптоалгоритмы или протокол тоже? Если только алгоритмы (а судя по многолетнему переходному периоду так и есть) — то разговор вообще ни о чём. Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Чипы выпускает Зеленоград в том числе. После всех разоблачений Сноудена использовать в такой чувствительной области импортный чип, разработанный под контролем АНБ и выпущенный китайцами — ну это диверсия чистой воды. Считайте меня параноиком. И да, при ежегодном выпуске сотен миллионов чипов их цена будет копеечная. То, что пишут про десятки тысяч долларов за криптомодуль — это с аппаратным термоядерным генератором случайных числе что ли? Или просто кому-то надо меньше пилить?
Предлагают сменить только криптоалгоритмы или протокол тоже? Если только алгоритмы (а судя по многолетнему переходному периоду так и есть) — то разговор вообще ни о чём. Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Чипы выпускает Зеленоград в том числе. После всех разоблачений Сноудена использовать в такой чувствительной области импортный чип, разработанный под контролем АНБ и выпущенный китайцами — ну это диверсия чистой воды. Считайте меня параноиком. И да, при ежегодном выпуске сотен миллионов чипов их цена будет копеечная. То, что пишут про десятки тысяч долларов за криптомодуль — это с аппаратным термоядерным генератором случайных числе что ли? Или просто кому-то надо меньше пилить?
>>Предлагают сменить только криптоалгоритмы или протокол тоже?
Судя по статье предлагают сменить вообще все под предлогом «что бы наши не разучились». Какая то сомнительная причина, честное слово.
>>Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Насколько я понял, проблема в том, что раскачиваться можно только первое время, потом своей протокол станет обязательным.
>>Или просто кому-то надо меньше пилить
Я так понимаю собственник банка спросил: а сколько это будет стоить, ему ответили 2-5т уе, не хотите не покупайте. Но без него через какое то время ваш банкомат\терминал потеряет право работать. Собственник умножил на 200-300терминалов и чота приуныл.
Судя по статье предлагают сменить вообще все под предлогом «что бы наши не разучились». Какая то сомнительная причина, честное слово.
>>Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Насколько я понял, проблема в том, что раскачиваться можно только первое время, потом своей протокол станет обязательным.
>>Или просто кому-то надо меньше пилить
Я так понимаю собственник банка спросил: а сколько это будет стоить, ему ответили 2-5т уе, не хотите не покупайте. Но без него через какое то время ваш банкомат\терминал потеряет право работать. Собственник умножил на 200-300терминалов и чота приуныл.
Что будет стоить 5туе? Пара микросхем для банкомата? При условии производства миллионами штук в год?
Причина очень даже не сомнительная кстати. Вы представляете, что будет, если некто, например, очередной простой сисадмин из АНБ типа Сноудена, но только жадный, или не менее жадный «злёбный руцкий хацкер» найдёт брешь в протоколе Visa? И решит поперечислять денег с карточек, коих в этих ваших интернетах — миллионы? Таки я подскажу — коллапс банковской системы, а за ней и крах экономики.
И это я ещё геополитические риски не упоминаю.
Причина очень даже не сомнительная кстати. Вы представляете, что будет, если некто, например, очередной простой сисадмин из АНБ типа Сноудена, но только жадный, или не менее жадный «злёбный руцкий хацкер» найдёт брешь в протоколе Visa? И решит поперечислять денег с карточек, коих в этих ваших интернетах — миллионы? Таки я подскажу — коллапс банковской системы, а за ней и крах экономики.
И это я ещё геополитические риски не упоминаю.
Откуда миллионы в год, если всего в стране банкоматов 200 тысяч, и обновлять их парк разом никто не станет? И потом, а где гарантии, что вендоры банкоматов, коих два с половиной, вообще захотят поддерживать чьи-то левые криптографические модули?
При чем здесь АНБ и вообще США? Какая еще «брешь в протоколе»? Вы хоть представляете себе, как происходит авторизация операции по карте?
Стандартну EMV 20+ лет, и его только ленивый еще не ковырял (после магнитной полосы, которую можно скопировать на коленке), и тут внезапно брешь найдется?
И потом, с чего вдруг быть «коллапсу»? Банки не карточками зарабатывают. Никакого коллапса ни банков, ни экономики, ни геополитики в случае массового карточного фрода, который банки через несколько часов прикроют, не будет.
При чем здесь АНБ и вообще США? Какая еще «брешь в протоколе»? Вы хоть представляете себе, как происходит авторизация операции по карте?
Стандартну EMV 20+ лет, и его только ленивый еще не ковырял (после магнитной полосы, которую можно скопировать на коленке), и тут внезапно брешь найдется?
И потом, с чего вдруг быть «коллапсу»? Банки не карточками зарабатывают. Никакого коллапса ни банков, ни экономики, ни геополитики в случае массового карточного фрода, который банки через несколько часов прикроют, не будет.
Банкоматов — 200 тысяч, и ещё миллион pos-терминалов. Это пока QIWI с им подобными не внедрили массовый приём карточек.
Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках.
Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство. HTTPS постарше будет, однако ж heartbleed нашли совсем недавно.
Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах, насколько он соответствует современным реалиям и требованиям к качеству? Сталкивались хоть когда-нибудь? Нет? Ну продолжайте верить в 20+ лет. Когда тот софт писали, интернета считайте что не было.
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты, если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках.
Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство. HTTPS постарше будет, однако ж heartbleed нашли совсем недавно.
Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах, насколько он соответствует современным реалиям и требованиям к качеству? Сталкивались хоть когда-нибудь? Нет? Ну продолжайте верить в 20+ лет. Когда тот софт писали, интернета считайте что не было.
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты, если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках.
И сколько наших, исконно русских, от сохи, банкоматов производится на данный момент?
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты, если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат систему «Мир», если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте «Мир», имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
> Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках
Тогда ж почему их клепают не все, кому не лень, а 3-4 производителя, из них 2 с именем? Почему мы до сих пор своих не делаем? Ящик-то не рокет саянс, а вот бюрократию сертификации пройти сложно. Или вы предлагаете банкам ставить везде по два банкомата сразу, один — сертифицированный, для обслуживания карт МПС, другой — «исконно русский», только для карт «Мир»?
> Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство.
Безусловно, сам факт того, что стандарт не вскрыли за 20 лет — это еще не доказательство, но какой-никакой показатель пригодной надежности.
И вы считаете, что ли, что хартблид был закладкой, а не багом?
> Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах
Я представляю, как этот софт влияет на процесс выполнения транзакции — чуть менее, чем никак. Банкомат — тупая коробка с инструментами ввода-вывода, он не производит проверки, не одобряет транзакции, даже сумму посчитать не может сам.
> Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты
Миллионы левых транзакций одновременно от имени банкоматов нельзя реализовать. А вот если речь об описываемом вами случае, когда
> злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг
то тут чип (о котором статья) вообще не при делах, никаких стандартов EMV ломать для этого не нужно.
Тогда ж почему их клепают не все, кому не лень, а 3-4 производителя, из них 2 с именем? Почему мы до сих пор своих не делаем? Ящик-то не рокет саянс, а вот бюрократию сертификации пройти сложно. Или вы предлагаете банкам ставить везде по два банкомата сразу, один — сертифицированный, для обслуживания карт МПС, другой — «исконно русский», только для карт «Мир»?
> Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство.
Безусловно, сам факт того, что стандарт не вскрыли за 20 лет — это еще не доказательство, но какой-никакой показатель пригодной надежности.
И вы считаете, что ли, что хартблид был закладкой, а не багом?
> Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах
Я представляю, как этот софт влияет на процесс выполнения транзакции — чуть менее, чем никак. Банкомат — тупая коробка с инструментами ввода-вывода, он не производит проверки, не одобряет транзакции, даже сумму посчитать не может сам.
> Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты
Миллионы левых транзакций одновременно от имени банкоматов нельзя реализовать. А вот если речь об описываемом вами случае, когда
> злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг
то тут чип (о котором статья) вообще не при делах, никаких стандартов EMV ломать для этого не нужно.
Не несите чушь. Цель установки криптомодуля за 5 т.у.е. — проста и очевидана — обычный попил. Осуществляться он будет за ваш счет, естественно, поскольку банки просто переложат свои расходы на потребителей путем увеличения тарифов на банковские услуги.
А вы представляете что будет, если «руцкий хацкер» найдет брешь в протоколе «мир»? Ах ну да, я забыл — это же истинно наша православная система, одобренная личноРПЦФСБ. В ней просто не может быть недостатков, ну да, ну да…
Вы представляете, что будет, если некто, например, очередной простой сисадмин из АНБ типа Сноудена, но только жадный, или не менее жадный «злёбный руцкий хацкер» найдёт брешь в протоколе Visa?
А вы представляете что будет, если «руцкий хацкер» найдет брешь в протоколе «мир»? Ах ну да, я забыл — это же истинно наша православная система, одобренная лично
Может. Но тут стратегия неуловимого джо во всей красе.
Причем тут неуловимый джо? То вы утверждаете, что злобные хацкеры спят и видят, как взломать Визы россиян в целях обогатится, то — что «мир» никому не нужен и ломать его не будут, патамушта никому не нужно? Хотя, если учесть стремительное падение доходов населения и скатывание экономики в УГ, то, действительно, никто и ломать ничего не будет, поскольку скоро и взять там нечего будет.
> банки просто переложат свои расходы на потребителей путем увеличения тарифов на банковские услуги.
Если бы это так просто работало — они бы давно увеличили тарифы без всяких расходов
Если бы это так просто работало — они бы давно увеличили тарифы без всяких расходов
Если бы это так просто работало — они бы давно увеличили тарифы без всяких расходовЭто все именно «так просто» и работает. Свободный рынок — хочу увеличу тарифы, хочу не увеличу. Не нравится — идите в другой банк.
И не надо рассказывать сказки про добрых банкиров, которые будут эти 5000 отстегивать из своего кармана — этого не будет ни при каких раскладах, за все заплатит население, как оно уже привыкло.
> Что будет стоить 5туе? Пара микросхем для банкомата?
А у вас в голове какой порядок цифр за пару схем?
Для примера, есть такая штука как ЭКЛЗ. Флешка мегабайта на 4. Около 6000 руб, с установкой раза в полтора больше. Менять надо раз в год.
А у вас в голове какой порядок цифр за пару схем?
Для примера, есть такая штука как ЭКЛЗ. Флешка мегабайта на 4. Около 6000 руб, с установкой раза в полтора больше. Менять надо раз в год.
Простите, но где здесь тысячи у.е.?
Я рад, что ваши знакомые в 2015 году умудряются пилить на магнитной ленте.
Но не надо называть это «флешкой»
Я рад, что ваши знакомые в 2015 году умудряются пилить на магнитной ленте.
Но не надо называть это «флешкой»
12000 при себестоимости 100р и работе «5 минут в носу поковырять» считается нормальным?
Да вы все сумасшедшие! Наденьте гири на ноги и бегите, догоняйте нормальные страны, которые бегут налегке
Да вы все сумасшедшие! Наденьте гири на ноги и бегите, догоняйте нормальные страны, которые бегут налегке
Нет там «нормальности». Там есть пересечение спроса и предложения, при ограниченном предложении сертифицированной фигни.
PS. Телемастера вызвали починить телевизор.
Тот посмотрел и неожиданно ударил по корпусу кулаком – телевизор заработал.
Мастер говорит «С Вас 101 рубль»
— «101 рубль за один удар?!!!!»
— «Удар стоит рубль. 100 рублей за то, что знал, куда ударить ».
PS. Телемастера вызвали починить телевизор.
Тот посмотрел и неожиданно ударил по корпусу кулаком – телевизор заработал.
Мастер говорит «С Вас 101 рубль»
— «101 рубль за один удар?!!!!»
— «Удар стоит рубль. 100 рублей за то, что знал, куда ударить ».
После того, как я узнал, сколько стоила разработка техническо-экономического обоснования Керченского моста, я уже не удивляюсь, что криптомодуль, собранный из тех же самых китайских микросхем, купленных на АЛиэкспрессе, будет стоить именно 5 тыр.
промазал
Глядя из 2022 года оказалось, что внедрение карт Мир было правильным и полезным.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Внедрение банковской карты «Мир» обойдется российским банкам в сотни миллионов долларов – комментарии экспертов