А мне нравится банк

[Сообщение удалено пользователем 26.03.2024 12:48]

Анек напомнило:
- а вы - страшная!
- а вы... а вы безобразно пьяны!
- но я-то завтра проснусь и буду трезвым...

:-)

Это к тому, что защита от последствий хищения ключика "приделывается" к системе с ЭЦП без проблем (применительно к СК: вопрос уже в работе), а система с чисто парольной аутентификацией - "больна неизлечимо", ее можно только убить и сделать другую.



да


Скажем так: возможности для этого у Вас будут. Но очень сомневаюсь, что Вы ими воспользуетесь.
Можно я не буду просить сидящих в зале поднять руки тех, кто при каждом заходе по адресу https://i.bank24.ru/ нажимает на замочек и сверяет сертификат с доменным именем?


Не волнуйтесь, Вам помогут ;-)
Способов гораздо больше одного.

поясните, что дает хищение одноразового использованного ключа?


учитывая то, что я вручную ввожу урл обычно, у меня другое мнение на этот счет.


однако, Вы упомянули меньше одного

Сэр специалист по сетевой безопасности? :-)
"Вести с полей" пока что говорят об обратном. Если бы кое-кто счел за труд осилить английский текст по ссылке, то заметил бы, что технология MiTM в данном случае уже автоматизирована и в свободной продаже (и от нее уже пострадали тысячи клиентов СИТИ). В то время как утаскивание ключей - гораздо менее тривиально. Хотя бы потому, что нужно знать, что именно тащить - во всех системах разное расположение и имена файлов :-)


Сказать-то можно что угодно. Но в данном случае оно не будет соответствовать истине.


Да ничего, в том-то и дело.
В защите от угрозы "кодикам", о которой я говорю, ssl вообще не при делах.
Может не стОит рассуждать об области знаний, в которой плохо разбираетесь? :-)


А "приемник" не треснет? :-)
Вот опять рассуждаем о "сферических конях в вакууме"...

/* Предвидя вопросы: около 10 лет назад я тестировал на устойчивость к такой атаке одну криптосистему, посему "подводные грабли"процесса утаскивания файлов с ключами хорошо знаю */


Легко!
Только с Вашего позволения не буду оглашать публично. Самые очевидные "грабли" уже озвучил уважаемый "раздражитель". Но они не последние :-)


Естественно. Угрозы ключам и кодикам - абсолютно разные. Спич о том, что от первых защита относительно несложно реализуется, от вторых - нет.

Т.е. текст по ссылке Вы перевести не смогли.


Ответ неверный.
У меня нет времени и желания сейчас проводить ликбез по PKI (хотя, если наберется аудитория, могу провести платный семинар :-). Тем более, что схема атаки описана неоднократно, в т.ч. и по приведенной ссылке.

ну хорошо. могу тут привести перевод

"дуитёселф мэнинмиддл фишерские наборы, которые автоматически создают поддельные фишинговые сайты, обходящие двухфакторную защиту аутентификации - продаются негодяями в инете.
чуве из рса заявляют их аналитики исследовали демку одного из таких наборов, что была предложена на пробу на одном из форумов.
так называемый универсальный фишинг кит позволяет негодяям провести утаку на любой сайт, без нужды в ручной настройке. рса заявляют что приобретенный негодяем набор можно сконфигурить на импорт страниц с настоящего сайта
кит создает поддельный урл, связывающий юзера и сайт компании. урл шлется в виде спама по емэйл. при переходе юзер попадает на логинскую страницу фэйкового сайта, который собирает данные пользователя для аутентификации.
эта инфа передается на настоящий сайт и происходит вход. после этого вся инфа отправленная пользователем может быть стянута негодяями.
эти атаки типа атаки нового поколения блаблабла
ну и дальше про ситибанк который от этого пострадал."


и все упирается в урл.
вся атака на этом и строится.
нет захода - нет угрозы.

[Сообщение изменено пользователем 16.02.2007 16:27]

«Истинно вам говорю — четвертого мая тыща девятьсот двадцать пятого года Земля налетит на небесную ось» © ;-)

Господа-теоретики, скажите : сколько подменов URL зафиксировано в практике «Банка24.ру» и сколько раз были украдены данные и расшифрованы пароли у клиентов «Северной казны»? ;-)

Да-да, «нужно всегда предусматривать такую возможность»... ;-)

Истина где-то рядом ©... :-)

только для информации
Товарисч, вы тут спорите с одним из лучших в Росии спецом по защите информационных систем - и - определенно лучшим в этом городе :-d

Вот, это и есть ключевое свойство.



Ну, это совсем на лохов рассчитано. В то время, как Вы пишете:


Но, к сожалению, есть более изощренные схемы, которые без "специальной подготовки", каковой среднестатистический пользователь обычно не обладает, выявить очень сложно. Зато в реализации они на порядок проще, чем "утаскиватель ключей", и для этого злоумышленнику совсем не нужно пробиваться сквозь файрвол или что-то имплантировать на комп, за которым сидит юзер...

p.s. А между тем, парольные схемы все ломают и ломают...
http://dom.bankir.ru/showthread.php?t=71805


[Сообщение изменено пользователем 16.02.2007 16:47]

не убегайте от ответа многоуважаемый специалист! :-)элементарнейший способ получения доступа к счетам Вашего клиента понятный даже ламеру я Вам озвучил. На форуме СК он также упоминается - люди беспокоятся - тото Вы изобретаете всяки новые нашлепки :-)

"раздражитель" абсолютно никаких особых граблей имхо не выдал: дубликат карты - инсайдерский взлом, в разных вариациях у Вас может быть аналогичный исход. Украдут карту доступа - опасности много меньше чем от кражи кредитки.
А то заявки "йа то усе знаю но фиг Вам скажу" :-)

Какие у Вас там грабли могут быть скопировать ключики если я свои куды хошь без проблем копирую :-) Приемник махонький? ну фильтр на пару десятков файлов повесить долго чтоль

мне ничего об этом не известно
а даже если это и так, то что мне с этого?
любая номинация а-ля "лучший специалист по защите ис в городе" не объективна, а сродни званию "ебург - третья столица"

ога-ога

это заметно :-d

"понятный даже ламеру" - согласен.
"элементарный" - флаг в руки.

Зато способ, о котором я говорю, непонятен даже Вам. Зато в реализации - гораздо проще.


Заметьте! До того, как появились первые реализации угрозы на практике.

А "пинопарольные" системы имеют во все щели уже не первый год. Так что пользуйтесь, на здоровье, и уповайте на SSL, который от этих атак не защищает.


Если говорить конкретно об этих двух банках, то по нолям (хотя, про Б24 утверждать не буду, я там не работаю).
Если говорить о прецедентах реализации обсуждаемых угроз в других аналогичных системах, то с "пинопарольными" - сплошь и рядом (см. ссылку на "Альфу" выше), про криптографические - лично мне не известно (кроме "клинических" случаев, когда человек сам отдавал ключ и пароль).

если Вы про man-in-the-middle phishing kits кому-то где-то продающийся то с интересом бум следить за развитием ситуации. А если еще про что-то, то Вам флаг обратно, храните секреты тщательно а то вдруг кто узнает и сделает чего нехорошее :-)

Про «Альфа Клик» говорить не совсем корректно... ;-) Там лишь две составляющие (логин-пароль). Любой «клавиатурный шпион» даст необходимый результат. Добавление третьей составляющей(одноразовые «кодики») существенно осложняет возможность скрытого несанкционированного доступа.

обхохочешься


есть ведь еще всякие командки типа dd, например.
такому щас даже студентов учат.
и в свете этого, можно докопаться до такого вопроса: каким образом носители с ключами ибанка могут быть обезопасены от копирования или даже порчи, что проще, программно или аппаратно на незнакомом компе?

и еще по поводу инсайдеров: возможен ли в вашей системе такой расклад, что сотрудник банка ставит кейлоггер на комп в отделении банка, на котором клиент заводит пароль?

а кроме фишинга через урл, можете ли Вы, как специалист по иб, предложить другие возможности реализации угроз на системы с одноразовыми ключами?

[Сообщение изменено пользователем 16.02.2007 18:09]

Естественно. При всем моем несогласии с данной системой аутентификации, подставлять Банк24.ру, оглашая технические подробности, считаю неэтичным.


Да нет, конечно. Упоминание про этот комплект лишь иллюстрация того факта, что технология настолько отлажена, что уже начала продаваться в виде "коробочного решения".


Согласен


Для описанных условий ("интернет-кафе") - не принципиально. Могу аргументировать, но только приватно.

Я вам верю, спасибо за предложение. :-)

Мое мнение: самый эффективный способ борьбы с киберпреступностью — показательное ломание рук хакерам с помощью бейсбольных бит... ;-)

Найти можно кого-угодно... :-)

Мсье видел в интернет-кафе хоть один комп не под windows :-)


О, да :-) Это великое тайное знание ;-)

Сорри, пятница, не удержусь от анекдота:



Мыслите в очень верном направлении ;-)
Хотя вероятность РЕАЛИЗАЦИИ этой угрозы в настоящий момент невелика, варианты изучаем. Но закон сохранения энергии - он по жизни соблюдается ;-) В смысле, решения по защите есть, но они плохо сказываются на мобильности/переносимости.


Давайте начнем с того, что как только упоминается слово "инсайдер", то возможно практически все. Там уже рулит немного другая тема: можно ли потом доказать, как и чего было.
Как я уже неоднократно говорил, схема с ЭЦП - единственная, где что-то можно доказать, ибо все "пинопарольные" (даже с одноразовыми) - симметричные, и, как следствие, не обладают свойством "неотрекаемости".


Вообще-то, если мы говорим об СК, то клиент не обязан вводить никаких паролей на компьютерах банка - он может сгенерировать ключевую пару и запрос на сертификат на компьютере у себя дома, а в банк отдать только распечатку запроса на бумаге (это при первичном подключении, потом все вообще дистанционно). В офисах установлены компьютеры, на которых клиент может сгенерировать себе ключ (сам!), но это исключительно по желанию.


Специалисты по ИБ обычно все-таки предлагают способы защиты от угроз, а не их реализации ;-)
Навскидку, для условий задачи "злой админ в инет-кафе" четко вижу одну красивую реализацию атаки. Но это "навскидку", а если подумать? :-)



:-)

И тем не менее ;-) Раз

вот Вам про Citibank:
http://news.netcraft.com/archives/2006/07/13/fraud...
"Поимели" их и с одноразовыми кодами, буквально в июле этого года...

Для СВульфа: облом вышел с засекречиванием, однако...

Мне вот это больше всего понравилось:

"Netcraft offers a comprehensive range of phishing protection services, including Phishing, Identity Theft and Bank Fraud Detection, and a Phishing Site Feed, which offers realtime protection against new phishing attacks as soon as they are reported. Netcraft's Phishing Site Countermeasures service can be used to 'take down' fraudulent sites that are actively engaged in phishing attacks." ©

;-)

Теоретически такая подмена возможна, согласен. Практически — как? Исключим «линки» присланные по E-mail.

Ой ;-)
Может, тут не надо? :-)
Манипуляции с DNS, подмена корневиков в репозиториях, игра на схожих написаниях и редиректах...

Именно. ;-) ИМХО, банальный «гоп-стоп» проще... :-)

в смысле кто чего засекречивал? в инфо аськи чтоль залез? ну кульный суперперец чо сказать :-)мегаспецебурга гордость за себя так и прет поди :lol:

или про сити? так нефик ники коверкать. да никто и не спорил что все взломать можно

[Сообщение изменено пользователем 16.02.2007 20:35]

нет, но в виндовз ведь наверное есть свои утилиты для работы с носителями. как-то же оно само с ними работает. а попортить можно хоть форматом.


а, ну да.. забыл.

если я например нигде не пользую инетбанк, кроме как в офисе, тогда понятно, что можно и на жестком диске и на внешнем носителе все хранить: и интерпро и ключи и вообще где угодно.
это если не требуется мобильность.
но конкретно мне, как физлицу, мобильность необходима, равно как и надежность работы без оглядки на какие-либо внешние носители.
ну и при таком раскладе одноразовость выгодней и надежней, а от бутафорских сайтов можно легко защититься, если не попадать на них по ссылкам или банально лишний раз проконтролировать, куда попал.


от всяких социально-инженерских штучек типа бутафорских сайтов или схожих написаний и редиректа опять же контроль "куда попал" защищает.
можно большими буквами писать на карте ключей: "проверьте адрес, где находитесь, перед операцией, иначе пеняйте на себя в случае незаконных манипуляций со счетом. адрес должен быть такой: https://i.bank24.ru".
тогда остаются только взлом днс, и всякие нехорошие действия злых провайдеров, но от этого спасает контроль сертификата ссль.
опять же можно на карте ключей приписывать большими буквами: "проверьте данные сертификата: они должны быть такие: блаблабла. при несоответствии сертификата сообщите в банк и пеняйте на себя в случае попытки совершения операции".
с учетом того, что сертификат генерится на несколько лет, это вполне реализуемо.
ну короче какой-нибудь способ привязки сертификата на сервере к карте ключей в руках пользователя.

таким образом, при одноразовых ключах все упирается только в человеческий фактор. его влияние можно снизить, а вот на работу и безотказность той же дискеты мы повлиять почти никак не можем.