"Точка" в новости попала.

http://www.e1.ru/news/spool/news_id-358123-section...
Можно только посочувствовать. И банку и ИП. Вот только возникает у меня недоумение - с чего вдруг "постоянно менять IP-адреса" вдруг стало мерой безопасности при работе в ИБ? 8(

знаю три фирмы у которых пытались увести бабло,
с первой 1,4 ляма
со второй 24 ляма
с третей 400 тыр


везде тормозили платежи операционисты .
также везде в ходе выяснений причины было очевидно, что ктото свой дал наводку.


p.s. пусть сотрудников своих проверяет.

меня вот больше забавляет, когда они наконец додумаются сделать подтверждение ухода больших сумм через смс.

Дык сделано уже.

Наоборот - мера безопасности это привязка к одному IP и MAC адресу.

Это как реализовать дальше одной сети? я всегда считал что MAC остается в пределах L2... да и меняется он ручками достаточно легко...

Дык и я о том же. А ОТВ людЯм голову морочит.

Только по MAC нет особого смысла привязывать. Но вот, предположим, с 1 IP выходит несколько машин, но ИК должен только с одной запускаться, тогда смысл есть.

Нету никакого смысла в MACе и в этом случае, т.к. MAC-адрес - это характеристика ethernet-фрейма, а не IP-пакета. Первый же шлюз "перепаковывает" IP-пакет в другой ethernet-фрейм с другими MAC-адресами. А может, и вообще не в ethernet, т.к. это не единственная среда передачи между компьютером клиента и сервером банка...
Кроме того, как уже заметили выше, MAC-адрес подменяется не просто, а очень просто.

Так я не спорю, что он подменяется. Здесь смысл привязки по МАСу - в ограничении доступа других сотрудников того же предприятия.

Это уже вопрос безопасности на самом предприятии, никакого отношения к банку не имеющий.

Ну так все равно устанавливается на банке, вместе с IP. Потому и рассматривается вместе.

В таком случае, поясните, плиз, что к MAC-адресу предлагается привязывать и кто будет проверять это ограничение?
К IP-адресу привязывается доступ - с этого IP можно, с других нельзя. И это проверяет сервер банка, т.к. он видит, с какого IP идет соединение.

Со стороны ДБО МАС тоже виден, между прочим.

клиент может отправлять мак на сервер
у меня чёткое ощущение, что этот баян мы перетираем уже на третий раз

чушь полная !!!
обьясню почему ! уже не секрет не для кого что многие антивирусные компании ещё 2 года назад сказали что появилась такая вещь как АЗ (автозалив)
Главная функция АЗ в том что злоумышленник просто распространяет вирус по сети интернет, вирус сам определяет есть на компе жертвы клиент банк или нет. Приимущественно работает она на ибанк2, и метод работы заключается в том что идет подмена реквизитов, т.е. жертва заполняет реквизиты компании куда желает отправить деньги. Подписывает документ, сохраняет и отправляет в банк. Сервер видит что именно с компа владельца счета идёт платежка и подписана верным ключем. И платёж уходит. Прикол в том что в этой АЗ стоят разные лимиты, и злоумышленники прекрасно знают что такое смс информирование и т.д.
Еще есть паралельный рабочий стол но тут злоумышленники делают всё руками.

Год назад когда была открыта вакансия специалиста по противодейтсвию мошенничеству в точке я посылал резюме меня не взяли из за отсутствия практического опыта работы. :-D :-D :-D

А то что украв ключи эцп, логин и пароль можно отправить платёж полная чушь.

[Сообщение изменено пользователем 21.10.2011 14:35]

Скажу политкорректно: изучите 7-уровневую модель OSI (или хотя бы 4-уровневую IP), чтобы не делать утверждений, не соответствующих действительности.


Угу, а еще серийные номера всего остального оборудования.
Прописать нужный MAC в любом случае не проблема.

А потом этот вирус, распространяясь посредством платежа, заражает сам банковский счет...

Дак а чо спорить... Выдержка из документации:
"Для каждого пользователя подсистемы Интернет-Клиент можно указать индивидуальные условия фильтрации по идентификационным признакам. Активация проверки идентификационных признаков и указание условий фильтрации для пользователя подсистемы Интернет-Клиент выполняются в окне Настройка IP /MAC фильтрации для клиента. ... Окно содержит списки, предназначенные для просмотра и редактирования условий филь
трации по внутренним IP, внешним IP, MAC адресам сетевых устройств пользователей."
Так что ничего я не придумываю.



:-D А как еще идентифицируется клиент в системе, если смс не подключено? По ауре?

Уважаемый не хочу Вас ничем обидеть !!! НО Вы многое не понимаете в работе интернет банкинга. Писать как всё устроено ОЧЕНЬ долго, в любой программе есть дырки которые можно обойти. Любой человек обладающий знаниями в программирование и знающий принципы работы банковского сервера может понять то что я написал выше.
Понимаете, можно купить автомобиль и ездить на нём не понимая как получается так что машина при нажатии на газ едет, а при нажатии на тормоз тормозит. А можно пользоваться ИБ и не понимать как это работает.
Работает и работает главное чтобы деньги были в сохранности.

Первое правило бизнеса, защищайте свои инвестиции (С) Этикет банкира 1775 год

Действительно, куда уж мне... :-D Работает и работает... Но, может, таки объясните кратенько, каким образом клиент распознается в Интернет-Банкинге? :-)

Коротко если :-D
Есть программа такие как крипто про, которая устанавливается в кишки винды, и отправляет на сервер банка инфу о компе, т.е. от номера и модели материнки до номера и модели жесткого. И привязывается к железу, и так же сертификаты которые имеют шифрование ключем. И когда есть логин пароль, и эцп ничего не сделать, ну максимум можно посмотреть выписку и всё.
Ну вроде если кратко то так

Замечательно. В документации написать можно что угодно, но в реальной жизни в приходящих на сервер ДБО пакетах стоит MAC-адрес ближайшего маршрутизатора или бриджа, а не клиентского компьютера.
Поэтому "видеть" (т.е. узнавать по собственной инициативе) MAC-адрес клиента (а также его внутренний IP) сервер ДБО не может.


Чтобы это работало, прикладное ПО (клиентское) само должно брать и отправлять эту информацию на сервер ДБО, т.к. в адресной части сетевых пакетов она не сохраняется.
В любом случае, MAC подменяется не намного сложнее, чем IP. Так что эта "защита" приносит больше вреда, создавая ложное ощущение защищенности. Плюс еще создаст головную боль законному пользователю, который выставил фильтр по MAC, а потом поменял сетевую карту :-)

О как. То, что Крипто Про привязывается к железу - это для меня новость. Народ, это действительно так? Какие версии, какие продукты?
В любом случае разговор об ИБ, а не о СКЗИ. Что, если банк использует другую систему криптозащиты?


Ну так ведь клиент не с чистого листа работает. Я ничего не говорила о том, что МАС считывается из адресной части сетевых пакетов. Такая функция в клиентской части ДБО предусмотрена . И работает. Хотя, полностью согласна:



Так, устаревшая примочка. Потому и используется только как дополнение

Понятно, что это не панацея, это доп.защита, но говорить, что ставить сейф-дверь в квартиру бесполезно, оставьте деревянную, так как профи откроют её за 2 минуты - это неправильно. И вы же, умные дяденьки, пишете в банках эти инструкции и тут же говорите, все это фигня.

Ну, тут речь идет, скорее, о том, что отдельно эта мера защиты бесполезна. Ее нужно использовать в комплексе.
Если пользоваться подобными сравнениями - как дверь без замка.