Требуется консультация IT-специалиста

[Черный Лотос]

Ну в таком случае обращаться в отдел К обязательно.
Пусть хоть выяснят айпи адрес сеанса того. И по возможности адрес.
А так могу сказать, что ключи подделать врядли могли на 99.9999%
Они же генерируются по ГОСТу. И в таком случае уязвимы получаются практически все пользователи.
Да по мимо ключа нужно еще знать и пароль нужно было.
Так что пусть утечку ищут у себя.
Ключи были на чем? ЮСБ?
Сеанс связи с банком велся как? VPN поднимался для этого? Или открытая передача была?

 

[alex]

Сеанс связи с банком велся как? VPN поднимался для этого? Или открытая передача была?

Это-то здесь причём? А если даже и открытая, на сохранность ключей это никак не влияет.

 

[эрмак]

Lady Winter
Я так понимаю стоит "СКЗИ Агава"?
Теоретически доказать можно. Например, данный продукт стантадартизированн по гостам: ГОСТ 28147—89, ГОСТ Р 34.10—94, ГОСТ Р 34.10—2001, ГОСТ Р 34.11—94 из которых как минимум 2 на данный момент не являются стойкими к взломам и коллизиям и как минимум один является нестойким именно при подписи документов, которые можно модифицировать.
+ криптозащита сертификата идет с помощью алгоритма RSA (сейчас у меня нет под рукой агавы, будет вечером посмотрю, сколько там бит шифрование), вполне возможно что на данный момент времени оно не является уже криптостойким. И кроме того, алгоритм обмена подписями RSA не подразумевает защищенность при работе с каналом, не защищенным от подмены.
+ надо смотреть саму агаву и как она работает, если она не шифрует весь поток, то однозначно возможно сделать подмену потока при определенных условиях.

п.с. Тебе оно вообще насколько надо? Доказывать подобные вещи можно, но цена вопроса и время будут просто космос. По опыту.

 

[Черный Лотос]

Это-то здесь причём? А если даже и открытая, на сохранность ключей это никак не влияет.

Не совсем...перехват трафика возможен

 

[Lady Winter]

но цена вопроса и время будут просто космос

можно в личку порядок цен

 

[Ferz]

Интересует именно этот вопрос - можно ли это технически доказать?

можно поискать "код ключа", этакий набор символов, набор этот почти полностью занимает лист А4. Воссоздать его, не имея оригинала невозможно. Плюс банк фиксирует какой ключ кому дал, все это должно быть отображено в договоре и владельца можно посмотреть открыв ключ. Если подписались и зашифровали вашим ключом ищите того, кто его копирнул. Ежели флешка с ключом постоянно торчит в компе или лежит на видном месте, то факт кражи даже не удивляет, зловредного кода для этих целей в сети полно и все они только и ждут таких подарков.

 

[Федор]

Ежели флешка с ключом постоянно торчит в компе или лежит на видном месте, то факт кражи даже не удивляет, зловредного кода для этих целей в сети полно и все они только и ждут таких подарков.

Ключ ЭЦП хранится на доступном для любого ПО носителе и не запароленный? Вот вам еще одна потенциальная дыра в программе.

 

[Ferz]

Ключ ЭЦП хранится на доступном для любого ПО носителе и не запароленный? Вот вам еще одна потенциальная дыра в программе.

А оно чаще всего так и бывает. Торчит флешка в компе. Там ключи, эл.подписи. Кто мешает эту флешку дернуть пока бухгалтер не видит? В сейф их тоже мало кто прячет, потому как не понимают чем грозит такая халатность. А потом возникают вопросы разряда: от куда здесь левые проводки и платежи.
Фаервол и АВ маст хев в первую очередь, во вторую защищенные впн каналы, а еще лучше для таких нужд выделять отдельный ПК, не входящий в общую сеть и лишь на время выполнения операций проводок подключить его к ВПН каналу. Про пароли я уже молчу.

 

[эрмак]

Кстати один из банков на днях прогнал оповещение клиентов интернет-банкинга о том, что надо серьезнее подходить к собственной безопасности и ключам. Видать что то реально накосячили недавно.

 

[Denwer]

1. Всякие подборы RSA можно даже и не рассматривать
2. Единственный способ сделать перевод денег на другой счет это сделаеть копию/эмулятор ключа
3. В Саратове такую экспертизу не сделает НИКТО, ни за ДОРОГО ни за МЕГА ДЕШЕВО(Можете даже не обращаться нивкакие КНИиТы, и отдел К тоже не поможет в таком доказательстве)
4. Единственный экперт в данной области(хаспы, те USB ключи) живет в ..... другом городе короче

ЗЫ: Теоретически это сделать реально

 

[micron]

Считаю, что вину банка доказать будет невозможно, т.к. встречал некоторых идиотов, которые копировали содержимое ключей с флешки на жёсткий диск - на случай поломки. Поэтому ворам не составило труда скопировать эцп...

 

[Denwer]

Считаю, что вину банка доказать будет невозможно, т.к. встречал некоторых идиотов, которые копировали содержимое ключей с флешки на жёсткий диск - на случай поломки. Поэтому ворам не составило труда скопировать эцп...

В этой ситуции идиот не только клиент банка, но и сам банк, это каким долпаепом нада быть, что бы сделать ключ в виде файла на обычной флешке? Нада засудить банк в некомпетентности данного вопроса. Давно уже придуманы USB ключи, которые работают как расчетный блок, типа при коннекте банк запрашивает у клиента ответ на вопрос, который собственно расчитывается в ключе. Тогда что бы сделать дубликат, нужно на продолжительно время заиметь оригинал, но если есть оригинал дубликат то уже и не нужен. Ну и привязка к оборудованию по требованию клиента это уж полюбому должно быть.

 

[Ferz]

За такие услуги банк просит оплату побольше. А нам как обычно - подешевше, да поудобней.

 

[эрмак]

За такие услуги банк просит оплату побольше. А нам как обычно - подешевше, да поудобней.

Обратите ваше внимание на то, как к данному вопросу (хранение файлов ключей) подходит WM со своим кипером. Там не пернеш без подтверждения операции по смене железа и IP по почте и варуют их файлы ключей только вместе с почтой иначе его можно просто выкинуть. И это по большому счету фри продукт, система имеет обычную комиссию за переводы и за софт/подключение денег не берет.

 

[Denwer]

Обратите ваше внимание на то, как к данному вопросу (хранение файлов ключей) подходит WM со своим кипером. Там не пернеш без подтверждения операции по смене железа и IP по почте и варуют их файлы ключей только вместе с почтой иначе его можно просто выкинуть. И это по большому счету фри продукт, система имеет обычную комиссию за переводы и за софт/подключение денег не берет.

Вебмани занимают совсем ждругую нишу клиентов, это не корпортатив с их суммами, поэтому идея вебманей для банков не приемлема. Кстаи вебмани воруют очень много сейчас. Да и защита по ИП это только лишняя проблема для клиентов на динамическом ИП. Хотя как дополнительная защита по просьбе клиента не помешает. Привязка к оборудованию куда надежнее.

 

[эрмак]

Вебмани занимают совсем ждругую нишу клиентов, это не корпортатив с их суммами, поэтому идея вебманей для банков не приемлема. Кстаи вебмани воруют очень много сейчас. Да и защита по ИП это только лишняя проблема для клиентов на динамическом ИП. Хотя как дополнительная защита по просьбе клиента не помешает. Привязка к оборудованию куда надежнее.

Да по большому счет какая разница какие у кого ниши и кто сколько ворует? Я думаю банки не на бюджетные деньги живут и могут себе позволить юзать не агаву с уровнем защиты вровень с плинтусом а постаить нормальную систему. Даже блин по конфигу железа привязка + пароль на ключ хотябы с теми же критериями сложности что и по дефорту на 2к8 стоит и целая куча проблем исчезнет.

 

[Denwer]

Да по большому счет какая разница какие у кого ниши и кто сколько ворует? Я думаю банки не на бюджетные деньги живут и могут себе позволить юзать не агаву с уровнем защиты вровень с плинтусом а постаить нормальную систему. Даже блин по конфигу железа привязка + пароль на ключ хотябы с теми же критериями сложности что и по дефорту на 2к8 стоит и целая куча проблем исчезнет.

Я к тому что защита кипера слаба для банковских клиентов, хотя на практике получается что у банков еще хуже. А получается это потому, что зачастую руководство банка доверяет своим работникам ИТ отдела, а там работают люди не очень квалифицированные.

 

[Черный Лотос]

Ой ладно рассказывать про всякие уязвимости в клиентах.
Я не разу не слышал, чтоб из за них кто то получил доступ к банковским транзакциям.
А вот горе юзвери, сидящие под аккаунтом администратора, не пользующееся антивирусом и качающие с интернета кучу всего-вот это угроза.
И те еще нерадивые пользователи, что не хранят носители с электронными ключами в безопасности.

 

[Denwer]

Ой ладно рассказывать про всякие уязвимости в клиентах.
Я не разу не слышал, чтоб из за них кто то получил доступ к банковским транзакциям.
А вот горе юзвери, сидящие под аккаунтом администратора, не пользующееся антивирусом и качающие с интернета кучу всего-вот это угроза.
И те еще нерадивые пользователи, что не хранят носители с электронными ключами в безопасности.

Повнимательнее прочитай посдение посты темы, тут нету вообще не слова про уязвимости, как раз реч идет о том что бы обезопаситься от СОЦИАЛЬНОЙ ИНЖЕНЕРИИ. Например разве сложно скопировать файлик с флешки? А если этот комп вообще к сети подключен? Или напрмиер админ не чистый на руку? Вот это самые важные проблемы, и вероятность воспользоватся такой "дыркой" в софте намного выше, чем настоящие уязвимости. Ключ-файл на обычной флешке, это просто маразм полнейший.

 

[Танкер]

.... разве сложно скопировать файлик с флешки? А если этот комп вообще к сети подключен? Или напрмиер админ не чистый на руку? Вот это самые важные проблемы, и вероятность воспользоватся такой "дыркой" в софте намного выше, чем настоящие уязвимости. Ключ-файл на обычной флешке, это просто маразм полнейший.

Юзаем USB-токен , котрый является персональным аппаратным криптопровайдером (ПАК).
Главное достоинство ПАК - защищенное хранение и неизвлекаемость (невозможность считывания)
секретного ключа ЭЦП. Ни разработчик, ни владелец, ни злоумышленник не могут никакими способами
считать секретный ключ ЭЦП из устройства. Секретный ключ ЭЦП генерируется самим ПАК и хранится в
защищенной памяти устройства (в памяти ПАК позволяет хранить до 64-х секретных ключей ЭЦП).
Подпись электронного документа происходит непосредственно внутри токена: на вход ПАК принимает
электронный документ, на выходе выдает ЭЦП под данным документом. Таким образом, использование ПАК
исключает возможность кражи ключей с помощью недобросовестных сотрудников организации
или вредоносного программного обеспечения.

Пользователю остается лишь обеспечить сохранность самого USB-токена... rankster2:
и доступ к нему лишь достойных... и обвинить кого либо в краже ЭЦП уже не получится :yu: