Банк24.ру спасет от вируса?

Автор: АВ: [А][Вэ] [Свой человек в форумах: 139] (ЛС) (О пользователе)
Дата: 26 Янв 2009 10:50


Цитата:
От пользователя: Торбинс


Госопода оценщики, может хватит, а?



Что хватит? И почему оценщики? Вам копию заявления в банк от имени директора выложить?

Угу, при включении опцайки соответствующей. Но "интепра" - это программа,работающая в ОЗУ компа, т.е. в той самой "недоверенной" среде.
Речь о том, что вопрос "ну мы вот это подписываем?" должен задаваться той сущностью, которая непосредственно будет делать расчет ЭЦП из даных и ключа в доверенной среде.
Типа такой вот заразы:
http://www.todos.se/index.php/products/items/todos...

Никак не пойму, почему до сих пор никто такую хрень не сделал?
Интерфейс можно легко платформонезависимым сделать: подключил эту гадость к компу по USB, определилось как mass storage. На нем 2 каталога "in" и "out". Бросил файл в "in", проверил его содержимое на дисплее устройства, нажал "ок" (+ ввел ПИН на клавиатуре устройства), в каталоге "out" появился подписанный файл. Да, не быстро. Но это же не сервер, а клиентское устройство. Жужжать будет на любом компе с любой современной операционкой. Никаких драйверов ставить не надо, ПИН для доступа к устройству в компьютере вообще не фигурирует...
100% портабельный HSM для юзера...


Зачем так сложно? При сработке трояна он "докладывает" на управляющий сервер параметры и получает оттуда задание - какую сумму на какой счет согнать. Трояноводу совсем нет необходимости сидеть в онлайне и пасти жертву. Если он с достаточно большого числа компов упрет хотя бы по 10% от остатка на счете, уже на доступ к порноресурсам себе заработает.
Думаете, ребята из black-hat community совсем тупые? :-)


Вот именно, что со стыренным ключем злоумышленнику придется заходить на сервер, и он легко может нарваться на фильтр, плюс SMS о попытке входа. А когда "в рамках сессии законного владельца" - все проще.

я так примерно и думал.

нет в жизни счастья!

остается дедовский метод: избегайте случайных связей.

Я отлично понимаю, что там зашит "именно ключ". А мне он нужен в виде файла. Речь идет не о том, какая супер-пупер система защиты у банка24, а о гибкости услуги для клиента.

PS: Драйверов на токен под линукс я так на сайте банка24.ру не нашел. Хотя служба техподдержки уверяла, что они там есть.

забыли добавить: "быстро, суки!"

смешная предъява
разве линуксоиды не любят геморрой? :-D



а не сами ли вы это придумали?
в спецификациях говорится про аппаратную реализацию хеша.
сами бифитовцы в рекламных интервью говорят, что на вход поступает платежка, а не хеш.

да и по даташитам:
Hardware features
■ Enhanced 8-bit CPU core with extended
addressing modes
■ 224 KBytes User ROM
■ 6 KBytes User RAM
■ 66 KBytes User EEPROM including 128 Bytes
User OTP area:
– 1 to 64 Bytes Erase or Program in 1.5 ms
■ 3x8-bit timers with interrupt capability
■ 1.8 V, 3.0V and 5.0V supply voltage ranges
■ Power-saving Standby mode
■ ESD protection greater than 5000V
■ Serial access I/O, ISO 7816-3 compatible
■ ISO Asynchronous Receiver Transmitter for
high speed serial data support

платежку можно спокойно запихать в этот токен, она же не мегабайты весит.

просьба пояснить :cool:

Дураки какие-то ...
Механизмов защиты данных может быть дофига, включая сканер отпечатов пальцев, сканирование глазного яблока, анализ тембра голоса, анализ ДНК в крови, бла бла бла. Выход только один! Это договор, по которому все косяки валятся на клиента. И рекомендации банка по защите рабочего места пользователя, антивирусы, файрволы, надзиратели ...
Всё это говно, типо тооооокена, вываливается потом в такие проблеммы ... а если ВИП клиент его сломает например? Что делать? А платежи ему срочно отправить нужно!
У меня была такая ситуация, вышел из неё нарушая всё, что только можно, и при этом всё руководство стояло сзади "гнобило" и "подбадривало" одновременно.

P.S. Шильдик мне, или не заслужил ещё?

бго, мистер спец вернулся!


что с этим всем делать предлагаете?



а порекомендуйте-ка нам чё-нибудь?

"и тебя вылечат.."(ц)





[Сообщение изменено пользователем 27.01.2009 15:23]

Идите стихи читать, я вам ничем не обязан, как впрочем и остальным тоже. Есть что по делу - выкладывайте, нет - енот полоскун ждёт и вас.

в таком случае вы свободны
ну так избавьте нас от вашей бредотни

хамло!

Придумывать я люблю немного в другой области ;-)


1. В спецификации процитированной ничего про хеш не увидел
2. В рекламных интервью говорить можно что угодно. Но расчет хеша документа - зело затратная операция для бортового процессора. Запизхать-то можно, но будет ощутимо тормозить
3. Вскрытие девайса лично не делал, но общался с разработчкиами "программного" СКЗИ на тему "а чего вы не используете токен,сделанный для Бифита". В процессе дискуссии они мне и поведали, что расчет хеша внутри железки не предусмотрен. Врать им резона нет, т.к. они как раз занимались встраиванием функций этого чипа (и еще нескольких аналогичных) в свое решение.


Справедливости ради: у всех биометрических способов аутентификации есть одна общая проблема, из-за которой их в банковских делах широко и не используют...

не, там не хеш, там про память.
я имел в виду, что ее там достаточно, чтоб платежка поместилась :-)
в исходной спецификации смарткарты про госты то ничего нет конечно

про криптографию написано у бифита

последняя строчка разве не оно?

а еще вот такая информация:
внутри токена карточная ОС "Магистра" и встроенный СКЗИ "Криптомодуль-С"
//но только у разработчика чето сайт не грузится, поэтому я не смог посмотреть детали :cool:


может они имели в виду токен более старого поколения?
бифит использует вот эти
http://www.multisoft.ru/?an=mskey_tech
что тогда означает упоминание хеша в списке реализованных алгоритмов?


//эх, жалко, что Ерин Андрей пропал - уж он-то может разобрать токен и покопаться, что там такое внутри нареализовывали

Да-а-а-а, написали хрени...

Нельзя что-ли у разработчиков напрямую спросить? Или как в том анекдоте о слухах?

Итак, по порядку.

1. Поддержка вычисления хеш-функции по ГОСТ Р34.11-94 в USB-токене "iBank 2 Key", сделанного на базе карточного чипа ST19WR66 и российской КОС "Магистра" со встроенным СКЗИ "Криптомодуль-С", ПРИСУТСТВУЕТ.

2. В самых первых ОПЫТНЫХ версиях чипа с КОС "Магистра" действительно был баг с вычислением хеш-функции. Причем баг был не в сертифицированном СКЗИ, а в самой КОС "Магистра". В дальнейшем баг был исправлен и все новые чипы уже как больше года выпускаются без этого бага.

3. Все поставляемые БИФИТом токены "iBank 2 Key" никогда не делались на старом опытном чипе с багом. Всегда использовались ТОЛЬКО новые чипы с нормально работающей хеш-функцией.

4. Если есть желание поковыряться с токеном - обратитесь к разработчику, подпишите NDA, получите подробнейшее описание всех возможностей КОС "Магистра", и исследуйте на здоровье стойкость данного решения.

5. Именно так в свое время и сделал БИФИТ. Подписал NDA, получил описание, получил изделие, и начал наш ресёч разбираться во всех тонкостях этого персонального аппаратного криптопровайдера.

Ковырялись изо всех сил. Как только не пытались считать файлы с секретными ключами ЭЦП - не отдает КОС файлы этого типа ни под каким предлогом, ни на какие документированные и недокументированные APDU-команды.

6. Хеш-функция в чипе работает самым стандартным ПОТОЧНЫМ образом. То есть можно вычислить хеш-функцию хоть от гигабайтового массива. Делается это в стандартном режиме "command chaining". Только чип будет долго считать эту хеш-функцию, в том числе и из-за ограничения скорости ввода информации в чип в 115,2 Кбит/сек.

7. Если какие-то АВТОРИТЕТНЫЕ "разработчики" сказали Владу Мяснянкину (aka Cybervlad), что в чипе нет поддержки хеш-функции ГОС Р34.11-94 - тогда либо те "разработчики" не разобрались с документацией на КОС "Магистра", либо намеренно солгали Владу.

Ответственно заявляю - поддержка ГОСТа Р34.11-94 в чипе с КОС "Магистра" и СКЗИ "Криптомодуль-С" штатно ЕСТЬ, и работает в полном соответствии с указанным ГОСТом на байтовых массивах произвольной длины.

уважуха :beer:

Димитрий Репан - исполнительный директор компании БИФИТ.

В спорах всегда лучше обращаться к первоисточнику :-)

[Сообщение изменено пользователем 29.01.2009 18:55]

... или имели на руках "ту самую" версию чипа, где был баг. Ибо разговор был не вчера, а мир он не стоит на месте, развивается...

Кстати, когда я тебя год назад по всем этим вопросам пытал, ты почему-то не "кололся" :-)

Ну ладно, это лирика. PKCS#11 когда к этому мега-девайсу прикрутят?

это у вас наверно паяльник маломощный был :-)

Не, у нас с Димитрием вполне дружеские отношения, и "пытал" - в переносном смысле, причем по аське ;-)

кто в теме, тем это имя известно - а кто не в теме, тот всё равно ничё не понял :-D

и это ... правильно писать Димитрий, а не Дмитрий :-o

Сорри:

Репан Димитрий Васильевич :-o





Так читают форум не только спецы. Те, кто не в теме как раз и ищут ответ на вопрос: есть ли защита от дистанционного воровства ЭЦП (секретного ключа ЭЦП) и можно ли доверять токену.


Я доказываю, что риск воровства серетного ключа ЭЦП и пароля к нему - очень высокий, если ПК заражен, а вот токен защищает от этой угрозы. :gun:

Про подмену платежек можно сказать следующее: критичность риска ведь определяется не только возможным ущербом, но и вероятностью наступления события. В общем случае вероятность считается как отношение свершившегося события к общему количеству опытов. Число опытов (операций дистанционного управления счетми) в мировой практике огромно, но нет ни одного зафиксированного случая когда в токен загружалась бы левая платежка. Таким образом, на сегодня, вероятность подмены платежки равна нулю. И значит данный риск нулевой.

Когда количество токенизированных клиентов банков превысит критичное число, то мошенники начнут думать и когда-нибудь придумают выход, вот тогда и пойдет следующий виток вооружения – токены с окошком, уже за другие деньги.

Нет, не спасает.


Тему можно закрывать.

да не.
лучше переименовать и оставить для обсуждения околотокенной темы.
так-то кроме вирусов есть еще фишинг.
известны случаи, когда пользователям ибанков предлагалось отправлять свои ключи и пароли "на сверку" :-D
в этом случае к банкам, конечно, предъяв нет, но вот горбатого бухгалтера, кроме могилы, исправит токен - его через веб-форму отправить нельзя.
типа вот
:cool:

+1 я в гостах ничего не понял

ответьте мне простым языком:
1.
может сама вирусня платежку наколотить (кейлогером или удаленым раб.столом, трояном или еще чем нибудь) и отправить по нужному адресу.
токен установлен в ЮСБ-порт ибанк открыт, но пользователь отлучился на пять минут от экрана?

2. и защищает ли токен от этой заразы:

3. и от этой: подсунуть на подпись в токен вместо одной платежки, другую с помощью того же трояна

[Сообщение изменено пользователем 30.01.2009 21:38]

Чисто технически
1 да
2 нет
3 нет

Но Андрей правильно выше говорит, что наличие технической возможности и существование готового трояна - 2 большие разницы. "Копировальщик ключей/паролей" уже есть в природе, "подсовывальщика левых платежек" - пока нет. Ну, или есть, но мы еще не слышали про него массово ;-)
Поэтому переход на токен - полезен, он закрывает конкретную угрозу. Но надо лишь понимать, что существуют угрозы, которые он НЕ закрывает, и не расслабляться. Вот и все...