Банк24.ру спасет от вируса?

Еще раз-вместо того, чтобы ржать, популярно объясните, как формируется электронныя цифровая подпись.

я умею читать удаленные сообщения бугога :cool:




банк-то не подскажете?
чтоб знать, где такие класни спецы работают, и куда не обращаться.
вообще-то будущее приходит.
ну даже если представить что будет у вас дамп токена бифитовского (хотя вряд ли), что вы с ним делать-то будете?
если снимите дамп с выхода звуковой карты (к примеру), вы че, сможете музыку через него воспроизводить чтоле? :-D

ясен пень, что технологии будут развиваться, как с одной стороны, так с другой, но на сей день все, что аппаратное, явно надежней, чем все, что программное.



да типа не сидеть в винде под админом.
устанавливать обновления безопасности венды.
юзать антивирус,
еще запретить удаленный доступ к компу учаснекам с локальными администраторскими правами.
и еще при серфе юзать фаерфокс на всякий случай

у вас чтоли рук нет, набрать на клавиатуре в гугле одно слово?
http://ru.wikipedia.org/wiki/ГОСТ_Р_34.10-2001

Ахренеть! (с)
Может RTFM сначала, а потом выводы?
Принцип "врагу известно все, кроме собственно ключа" Огюст Керкхофф еще в начале 20 века сфорумлировал, и все криптосистемы строятся исходя из этого принципа.


+1, угроза хищения ключа токеном закрывается.
Но остается угроза подсовывания токену "на подпись" совсем не той информации, которую клиент видит на экране (тем более, что хеш все равно программно считается, в ОЗУ компа). Так что, при всем уважении к Бифиту (разработчики iBank) и их подрядчикам (разработчики токена), говорить, что данное решение "100% безопасно" - как минимум некорректно.


[Сообщение изменено пользователем 23.01.2009 14:35]

http://cybervlad.net/crypto_pay/index.html
http://cybervlad.net/ecp/index.html

сорри, если вопросы покажутся глупыми

1. Это все касается как юриков так и физиков? То есть одинаково применимо к интернетбанкам для физ.лиц и для юр.лиц?
2. Это почему? "не сидеть в винде под админом"
3. Почему лучше юзать фаерфокс?

Это касается любого пользователя, заботящегося о безопасности своих данных. Любых.

это вообще не для инетбанка, а для того, чтоб меньше шансов было у вредоносного ПО попасть на комп.

если вас беспокоит только ибанк, то для физиков воровство пароля заканчивается просто блокировкой ибанка на три (или два?) часа.
карта ключей ведь у вас в кармане



точно

Слышал про подобные случаи в точке.

:popcorn:

Дело было летом. Бухгалтер обнаружила списание средств со счета в банке24 на сумму около миллиона рублей. К сожалению, она поздно спохватилась и деньги ушли за пределы банка. Первой в цепочке стояло ООО со счетом тоже в точке, с неё деньги были прослежены до ВУЗ-Банка на фирму, контролирующуюся обнальщиками. В общем, мы тоже долго промусолили и неофициально решить проблему не удалось. Подали тупо в арбитраж, получили исполнительный лист, тут по счастью счета заморозились у всех в точке, в общем после разморозки мы по листу получили деньги назад.

По неофициальной информации это же ООО было замешано в необоснованном списании 6,5 миллионов рублей со счета некоей московской фирмы. Ключи были на флэшке, с банком соединение шло с ноутбука который подключался к инету только на время сеанса связи с банком, ай-пи динамический. Со стороны банка никакого содействия, несмотря на все обещания не увидели.

[Сообщение изменено пользователем 23.01.2009 18:14]

ситуация обычная:

http://www.e1.ru/talk/forum/read.php?f=72&i=86996&...

мало того - распространенная:

"По словам заместителя начальника отдела «К» ГУВД Свердловской области Артёма Письменного, жалоб от банковских клиентов поступает очень много – несколько раз в неделю, на сумму 1-2 млн. рублей."

http://www.delurad.ru/news/show/686/

вот поэтому и торопятся на токены всех пересадить

а срок жизни ЭЦП бифитной два года (по опыту) так что раньше или позже все на токены перелезут

зы. и мобильный банк для юриков сгинет в небытье, так как токен к КПК не как прикрутить


на У начинается 4 сокращенных буквы

это следующий этап реализации у бифита. Спросить у пользователя правильную ли он платежку подписывает и выдать реквизиты получателя.
а сейчас уж лучше токен, чем без токена, как на интер-про реализовано. ключик то утянуть раз плюнуть.
вирусня в бифите keys.dat ищет и кейлогером пароль снимает - вуаля

ответьте лучше на такой вопрос:
может сама вирусня платежку наколотить (кейлогером или удаленым раб.столом) и отправить по нужному адресу.
токен установлен в ЮСБ-порт ибанк открыт, но пользователь отлучился на пять минут от экрана?

Теоретически может:


Но вероятность наступления такого события, на практике, стремиться к нулю, так как в мире еще не зафиксировано инцидентов загрузки платежек в токен.

Зато воровство секретных ключей ЭЦП и паролей к ним носит массовый характер из-за большого количества зараженных бухгалтерских машин.
Ну нет смысла мошенникам что-то изобретать и внедрять, если процесс уже налажен и полянки этой им хватит на несколько лет :-)

[Сообщение изменено пользователем 24.01.2009 17:24]

Зря смеётесь. Наличие у злоумышленника данных до применения ЭЦП и после может значительно упростить задачу поиска самой ЭЦП. Тем более, если входные данные можно выбирать произвольно.


+1.


Вот от этого токен, например, не защищает. Не актуально до того момента, пока ключи воровать можно будет.

Вообще, Банк24 имхо перегнул с пересаживанием всех под токены. Оставили бы хотя бы выбор, для тех клиентов, которые понимают суть угрозы и которым удобнее именно ключ.

послушаем вашу теорию :cool:

Спросить - на экране токена? :-)
Ибо если мы исходим из того, что ОЗУ компа - недовереная среда, то спрашивать там что-то бесполезно...



Так еще совсем недавно не было ни одного инцидента с воровством ключей/паролей ЭЦП при помощи троянца. Теперь - есть.
Кстати, для информации: в токен не платежка грузится, а ее хеш.
При формировании ЭЦП исходные данные должны быть фиксированного размера, а подписываемый текст (хоть платежка, хоть что) имеет размер произвольный. Поэтому перед формированием ЭЦП от подписываемого документа сначала считается хеш-функция (ГОСТ Р 34.11 у нас, MD5 или SHA-1 у буржуев). И уже для нее считается ЭЦП.
Так вот, в обсуждаемой реализации хеш считается программно, в ОЗУ компьютера, и в токен "суется" уже посчитанный хеш.


Понятно, что спереть ключ и пароль - более универсально, и троян для этого написать проще. Но будет массово использоваться токен - напишут троянчега и под такое решение.

"Именно ключ" мы и предлагаем, только храниться он будет в токене, из которого его нельзя скопировать.

В середине января БИФИТ поднял стоимость продажи токенов на 30%. Поэтому бесплатный токен до 31 января - это очень выгодное предложение, тем более, что эти модели токенов уже применяются в других банках города.

Тем, кто не успеет к раздаче подарков, потом будет обидно и опять будут писать в личку Дьяконову :-)

ну это понятно, но как аргумент против токена несерьезно.
ведь если так рассуждать, проще сложить ручки и сидеть ждать, пока денежки упрут



а это к чему сказано?

кому верить ?

Госопода оценщики, может хватит, а?

интер-пра спрашивает же.



начали в 24.ру, а затем подключились другие к использованию токенов. не?

+1
сейчас реализация такая: упер ключи, денежки злоумышленник перегнал дистанционно со своего компа когда удобно.

а с токеном будет - злоумышленник сидит за компом и ждет когда жертва начнет работать.


а как быть с фильтрацией ИП-адресов на банковском сервере?

"Эти модели токенов уже применяются в других банках города" - означает, что:


1. технология востребована

2. на токене можно хранить ключи от разных банков и приобретая один раз это устройство, им можно пользоваться с разными банками. Только И-банк там должен быть от БИФИТ.





Летом прошлого года мы были первыми, сейчас подтягиваются остальные.

а в курсе позиции бифита в этом вопросе?
чтобы использовать один токен в разных банках, надо чтоб каждый банк заплатил за лицензию на токен, что равносильно покупке нескольких токенов.
а если есть несколько токенов, а пользоваться одним, то куда девать остальные?