б24 и "другая" версия интернет-банкинга?

Тем, что для подделки операции по ЭЦП злому умышленнику потребуется проделать гораздо больший объём гораздо более трудной работы, а не просто исправить несколько цифр в платёжном поручении.

Любая модификация документа с ЭЦП нарушает целостность подписи, легко обнаруживается.

В случае с кодиком вам предъявят платёжное поручение на сумму Z и реквизиты Q - и ваш подлинный кодик (напомню - отправить-то вы хотели M рублей получателю N), как вы будете доказывать, что вовсе не это собирались сделать?!

Можете попробовать на моём компьютере. Я даже в свою учётную запись зайду и токен к ключом вам дам - вперёд! Весь баланс ваш. Если у вас получится, конечно...

В банках, где "безопасность" сделана на кодиках (банк "Санкт-Петербург", например) я не рискую держать суммы, крупнее нескольких тысяч рублей.

Мойте руки после туалета, уверяю, это несложно.

Обеспечить безопасность ключа ЭЦП может любой, кто не от дауна с дауншей родился. Семи пядей во лбу не надо.

[Сообщение изменено пользователем 18.01.2010 14:54]

Меня заинтересовало ваше предложение. Какой суммой вы готовы рискнуть, предоставив мне полный административный доступ к вашему компьютеру на десять минут?

а тут все интереснее и интереснее :-) :-) :-)

Это вообще сильное Заявление!!! Вы серьезно считаете, что USB-Токен и т.п. вещи "Неуязвимые?



5 Баллов!!!
На 10 минут мне пожалуй будет маловато, но вот если бы побольше и с товарищем, то я бы может тоже поучаствовал... :-)
Да, еще забыл, расписку надо взять с товарища "Генарала", что он действительно Вам жертвует оговоренную сумму! "безвозмездно, т.е. Даром" :-)

А с кодиками угадывать я не собираюсь, ни за 10, ни за 100, ни за 1000 минут ("Тут без помощи барин не обойтись...") :-)

Я же, кажется, ясно сказал - весь баланс.
Только "полного административного доступа" вам за эти (большие) деньги надо будет добиться самостоятельно.
Десяти минут не хватит, даю вам на это пару дней.

[Сообщение изменено пользователем 18.01.2010 15:30]

Что такое "итп" и какие у него ТТХ - я не знаю, поручиться не могу, а за БИФИТовский токен уверен вполне, особенно на своём компьютере.

[Сообщение изменено пользователем 18.01.2010 15:35]

Если он хотя бы от 50 000 рублей - я принимаю ваше предложение.


Правильно я понимаю - у меня будет доступ к консоли вашей эвм в течение двух дней?
Если да, то подытожим:
- вы мне даете компьютер, за которым вы обычно работаете с интернет-банком, на котором установлено соответствующее программное обеспечение;
- пароль от административной учетной записи мне не передается;
- ваш компьютер не оснащен средствами шифрования диска;
- я могу вносить любые изменения в программную конфигурацию вашей рабочей станции;
- после возврата эвм вы продолжаете работать с интернет-банком обычным для себя образом, не производя переустановку/доустановку операционной системы и какого-либо программного обеспечения.

Результатом моей работы будет безналичный перевод 50 000 рублей с вашего счета на мой. Данный перевод будет выполнен после первого вашего внешнего платежа с атакуемого счета.

Вы согласны на данные условия?

[Сообщение изменено пользователем 18.01.2010 15:44]

И что тут сложного?!
Раз вы такие крутые куллЪхацкеры, что можете аппаратный криптопровайдер взломать, DEP, SRP и LUA пробить - то уж украсть статический логин/пароль да введённый ползователем кодик - для вас должно быть проще, чем два байта переслать...

Не выполнены ваши требования:
- на системном разделе установлен TrueCrypt в режиме WDE с pre-boot authentication.
- применены ещё кое-какие меры по предотвращению обхода этого pre-boot authentication

А так - пожалуйста, я в Питере. Добро пожаловать.
50 000 рублей мне за урок не жалко.

но учетку, которая позволяет мне загрузить машину и читать диск - вы выдаете, так?

"и т.п." - известное сокращение в Русском языке означает дословно "и тому подобное"
"ТТХ", как известно - "Тактико - технические зарактеристики"
Итак определившись с терминологией
Так вот, эти самые " и т.п." - Это:
- электронный USB-ключа MS_Key производства компании «Мультисофт».
- USB токены:
- eToken PRO (Java)
- eToken ГОСТ
- eToken PRO
- eToken NG-FLASH
смарт-карты:
- eToken PRO/SC
- MP42........ Компании Alladin
А такжке Ru-Токен, компаний «Актив» и «Анкад»
А также UA - Токен (Кто бы сомневался...:-) )
И т.д. и т.п.... :-) Все это суть одно, и Бифит-овский токен тоже, так что ждите сообщений, как только что-нибудь из этого сломают - "Вы жертва..." :-)

Да, пароль от УЗ "non-admin user", из которой я получаю ДБО - дам.
:-)

Вычёркиваем:
- eToken PRO
- eToken NG-FLASH
смарт-карты:
- eToken PRO/SC
а так же Ru-Токен
как не являющиеся аппаратными криптопровайдерами для ГОСТовской криптографии.
Что такое UA-токен и MP42 - не знаю, думаю, что это тоже следует вычеркнуть.

Проверил - неадминистратор не может напрямую читать диск.

На ваше предложение взломать шифрование диска, защиту операционной системы, и наконец ваш интернет-банк - вынужден ответить отказом.

Зато у меня есть встречное предложение - поставьте ваш токен в мою машину и проведите платеж. Как вам такой вариант, а? ;-)

Не путайте теплое с мягким... - украсть то кодик действительно не проблема, но он ведь одноразовый, и для того чтобы узнать следующий, нужно либо отследить достаточно много введенных кодиков (Иногда ну очень просто много - факториально много... :-) ), либо ломать защиту Банка и Интернет-Банк до кучи полностью, но это уже "другие деньги..." :-)

Я не для того набирался ума-разума в области защиты информации и сетевой безопасности, не для того трачу время и силы на поддержание доверенного состояния своего рабочего места Клиента ДБО, чтобы вот так запросто подвергать себя рискам - тем более - в заведомо враждебной и злонамеренной среде.

Хотя, я полагаю, чтобы злоумышленно воспользоваться моим MS-Key в iBank2, вам потребуется довольно серьёзная подготовка своего компьютера. Двух дней не хватит.

Это вы путаете.
Раз допускаете на рабочем месте ДБО присутствие вредоносного кода, который способен украсть логин/пароль, то почему вы думаете, что он (вредоносный код) не способен и перерисовывать картинку на экране так, что вы видите одну транзакцию, а фактически кодиком подтверждается СОВСЕМ другая? С вашего рабочего места, с вашего IP-адреса, в реальном времени.
У банка в протоколах всё будет чики-пуки, замаетесь доказывать, что Z рублей получателю Q вы не отсылали.

Надеюсь - для Лапшина я ничего нового тут не сообщил.
(В смысле - всё это он и без меня прекрасно знает)

Думаю, будет достаточно примитивного трояна, который в поле ввода номера счета заменит ваш счет на мой.

А в случае использования ЭЦП - это "гораздо более другие деньги", поэтому у меня в бСПб баланс всего несколько тысяч рублей - чтобы на бензин хватало, а серьёзные средства в совсем других банках.

Спасибо за замечание. Обязательно исправим.

Несомненно, но он должен знать все особенности рабочей среды.
Защитой это (необходимость подстройки вредоносного кода под конкретную ситуацию) не считаю, по этому и не рискну работать на чужом РМ ДБО, со своим счётом, по крайней мере.
:-)

И уж тем более - не буду считать, что "всё под контролем, если у меня кодики", когда я в интернет-кафе...

[Сообщение изменено пользователем 18.01.2010 16:47]

Опять теплое с мягким... :-(
В одном случае мы говорим про угрозы со стороны внешних мошенников,
а в другом про недобросовестных Банковсих работников, а у Вас
все смешалось "конелюди..." :-)

Это как раз с кодиками и кони, и люди (читай: и дистанционные злые умышленники, и банковский жулик) могут вам нагадить!
При чём - в лёгкую. Простым HEX-редактором. Во время чайного перерыва...

С ЭЦП такие фокусы не пройдут.