ЗЫ. Интересно, когда же начнут наконец security token использовать, из которого приватный ключ для подписи фиг достанешь? А не складывать файлы на флэшку, откуда их скопировать не сложнее, чем с винта.
Я тебя умалаю, бухгалтеры втыкивают этот токен и забывают о нем на годы, юдивляясь "А я вытящиля эту флешечку и ффсе...", а имея "флешечку" воткнутой на момент атаки - похер, то ли там ключики в папке, ло ли токен.
Совсем не то же самое. Ключики из папки можно скопировать и этого никто не заметит, пока деньги не пропадут, а воспользоваться можно через некоторое время с любого компа. Токен же нужно использовать на месте и только тогда, когда он подключен. А если его спереть, то пропажа обнаружится при первом же платеже. Понятно, что и токеном можно воспользоваться удаленно, только это сильно сложнее, чем скопировать пару файлов с флешки.
вот поєэому токен должен быть прибит гвоздями к дупе бухгалтера - на смарт-карте должна быть rfid-метка для допуска на предприятие, тогда бухгалтер на сможет уйти из кабинета, не забрав токен. ну и смс-подтверждение в параллель, а лучше токены с экраном для подтверждения - могу продать особо заинтересованным ))
а лучше токены с экраном для подтверждения - могу продать особо заинтересованным ))
Что за хрень? Можно в личку..
а лучше токены с экраном для подтверждения - могу продать особо заинтересованным ))
не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое. таким способом умыкнули много денег как на раше, так и у нас)), но никто ж не признается. отп самый ненадежный в плане взлома способ. вот такой токен со стандартным механизмом наложения ЭЦП с возможностью подтверждения транзакции. но дорого но убедить бизнес купить такой девайс просто нереально(( им проще прописать правила в договоре, что клиент всегда неправ в случае чего
а лучше токены с экраном для подтверждения - могу продать особо заинтересованным ))
PKCS#11? Если да, то ценник в личку?
не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
не угадал - это ОТП-токены, т.е. по сути те же смс - для них дыра заложена в подмене сайта/приложения на липовую страницу, т.е. бух видит, что подписывает то, что нужно, а на самом деле подписывает другое.
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
Ну так в теории доверенный список получателей со своими отдельными лимитами (а основная масса контрагентов стабильна) и/или лимит по сумме для обычного подписания сильно облегчает жизнь. Но на практике бухи с такой системой все равно стабильно тормозили с платежами. Тяжело у них было с творческим подходом к использованию технологий.
...
Ни разу не специалист с точки зрения именно технологий, но среди токенов/смарт-карт/сертификатов и их комбинаций довелось как-то в одном москальском банке пользоваться токеном со следующим принципом работы: начиная с некой согласованной с банком суммы для того, чтобы получить пароль для подписания, нужно было не просто ввести на токене его начальный пароль, а последовательно вводить комбинацию из начального пароля токена, номера счета получателя и суммы платежа. Для облегчения жизни получателей можно было добавлять в доверенный список (по вышеуказанной процедуре) и подписывать платежи в упрощенном режиме.
это отп-токены, но представь себе буха с бесконечным количеством платежей?
Ну так в теории доверенный список получателей со своими отдельными лимитами (а основная масса контрагентов стабильна) и/или лимит по сумме для обычного подписания сильно облегчает жизнь. Но на практике бухи с такой системой все равно стабильно тормозили с платежами. Тяжело у них было с творческим подходом к использованию технологий.
я про это и говорю
история похожа на пиар. ну или крадуны были дилетантами. либо инсайдер, либо купили взломаный комп. это надо быть полным д-бом, чтобы вот так вот втупую среди рабочего дня "начали закрываться окна". ну и касательно незатейливого вывода средств - фейспалм лютый. а вот история 4matic вполне себе реальна. и среагировали грамотно. ну, как грамотно, сделали максимум по ситуации. а вообще у нас не редкость, что в конторах с вполне себе (много)миллионными оборотами бухгалтера родом из союза и с кантупером на вы, и вместо грамотной политики безопасности - эникей или "айтиотдел" на копеечной зарплате.
история похожа на пиар. ну или крадуны были дилетантами. либо инсайдер, либо купили взломаный комп. это надо быть полным д-бом, чтобы вот так вот втупую среди рабочего дня "начали закрываться окна". ну и касательно незатейливого вывода средств - фейспалм лютый. а вот история 4matic вполне себе реальна. и среагировали грамотно. ну, как грамотно, сделали максимум по ситуации. а вообще у нас не редкость, что в конторах с вполне себе (много)миллионными оборотами бухгалтера родом из союза и с кантупером на вы, и вместо грамотной политики безопасности - эникей или "айтиотдел" на копеечной зарплате.
история одна из многих, как это не печально, просто наши банки о них втупую молчат, чтобы не светиться. по поводу одминов, то чем больше компания, тем жлобистее. вчера мне один партнер звонил: компания на западенщине, оборот просто громадный, одмин был.. один..уволился - тупо не платили денег. при том, что реально в такой компании необходимо было не просто обеспечить глобальную безопасность данных топов - там все надо было держать под контролем во всей компании. в итоге вообще без одмина
Слабоватенький ПЕАР МВД.
полностью поддерживаю. глупый вброс о достижениях реформы киберполиции, в расчете на недалеких людей.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
но убедить бизнес купить такой девайс просто нереально(( им проще прописать правила в договоре, что клиент всегда неправ в случае чего
ну и касательно незатейливого вывода средств - фейспалм лютый. а вот история 4matic вполне себе реальна. и среагировали грамотно. ну, как грамотно, сделали максимум по ситуации. 
а вообще у нас не редкость, что в конторах с вполне себе (много)миллионными оборотами бухгалтера родом из союза и с кантупером на вы, и вместо грамотной политики безопасности - эникей или "айтиотдел" на копеечной зарплате.
