Bankir.Ru
8 декабря, четверг 01:16

Объявление

Свернуть
Пока нет объявлений.

интернетбанкинг опять "попал"?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • интернетбанкинг опять "попал"?

    Прочитавши достаточно мутную по содержанию статью "Expert demonstrates Microsoft hack" (живет здесь: http://news.com.com/2100-1001-955442.html) нахожусь в мрачном расположении духа. В статье нет подробностей, но, судя по всему, суровые скандинавские парни попользовались недавно раскопанной уязвимостью на тему недостаточно четкого подтверждения сертификатов SSL эксплорером (и, видимо, IIS). Расположение духа мрачное потому, что несмотря на то, что фактически проблема имеет место быть только по отношению к системам, использующим штатные средства защиты браузеров и серверов, толпы кулхацкеров ломанутся штурмовать системы и-банкинга, построенные на совсем другой технологии...

    Earl Vlad Drakula. ///

  • #2
    а до этого кулхацкеры сидели и ждали, пока обнаружится именно эта дырка?

    мне кажется, что все проблемы с электронной безопасностью и хакерами есть следствие неразумного проектирования систем инет банкинга. мне кажется, проектировщик и владелец проекта должны исходить из того, что их банк УЖЕ поломан и злоумышленник уже внутри и может управлять всей их базой данных. рано или поздно такое случится. с любым банком и любой системой. в случае 100%-ой надежности - у банка всегда есть сотрудники с невысокой зарплатой.

    если изначально закладываться на это - все будет впорядке. и никакой хакер не страшен. самое страшное, что он сможет сделать - это продать вашу информацию на сторону. или шантажировать вас на предмет ее же неразглашения.

    Комментарий


    • #3
      matex
      а до этого кулхацкеры сидели и ждали, пока обнаружится именно эта дырка?
      нет. но до этого не было публикаций об уязвимостях с акцентом, что с ее помощью "можно поломать ваще все ибанки нафиг".

      мне кажется, проектировщик и владелец проекта должны исходить из того, что их банк УЖЕ поломан и злоумышленник уже внутри и может управлять всей их базой данных
      ну зачем до такой степени-то утрировать? систем, которые обеспечат безопасность при таких начальных условиях, просто не существует.
      возвращаясь к описаной баге. если я подставлю клиенту банка свою страницу и он не просечет фишку с сертификатом (т.е. имеем банальный MiTM), поимею его пароль и обчищу его счет, что тут может придумать проектировщик/владелец ресурса?
      можно только страховатьтакой риск...
      Earl Vlad Drakula. ///

      Комментарий


      • #4
        как это "поимею его пароль и обчищу его счет"?
        можно подробнее, как имея пароль можно обчистить счет?

        я готов прямо тут опубликовать всю информацию о своем банковском счете. с логином и паролем.

        и все желающие могут попробовать его обчистить.

        логин и пароль - это только доступ к статистической информации. нет в природе таких банков (кроме разве может Crozier Bank), которые бы только по логину и паролю давали возможность выводить деньги.

        Комментарий


        • #5
          to matex
          как это "поимею его пароль и обчищу его счет"?
          я готов прямо тут опубликовать всю информацию о своем банковском счете. с логином и паролем.
          1. Используя обнаруженную в реализации MS ssl багу, можно сделать MiTM
          2. Поскольку злоумышленник имеет возможность читать содержимое сессии, он может перехватить передаваемый в ней пароль (если он вообще есть в дополнение к сертификату)
          3. Спокойно рулить счетом.

          Естественно, этот способ не прокатит, например, против InterPRO и систем с одноразовыми паролями.

          Насчет "обчистить всем желающим" - не получится, нужна еще возможность подставить клиенту фейковую веб-страницу, если мы вообще об одном способе доступа к счету говорим Если сильно неймется, попросите г-на Комлина, который весной/летом нашел уязвимости в алгоритме ГОСТа и i-bank'е. Думаю, ему интересно будет проанализировать конкретно систему Вашего банка.
          Earl Vlad Drakula. ///

          Комментарий


          • #6
            3. Спокойно рулить счетом.
            честно, я не понял этого. ну вот в нашем банке - если у кого и есть логин и пароль - ничем рулить он не может. только походит, посмотрит на статистику. поизучает. и все. на этот все закончится. чтобы сделать транзакцию нужны либо кодовые слова, либо верификация по телефону, либо digipass. ну так же везде.

            где не так?
            дайте ссылку и этому банку жить осталось не долго

            Комментарий


            • #7
              Уважаемый Egor Bugaenko!

              Я не поленился и потратил 10 минут на ознакомление с сайтом, указанным в Вашей подписи - www.yambo.biz - Banking and Processing Solutions.

              В Вашем случае даже криптосурогаты типа digipass'ов и костыли типа кодового слова не применимы при работе через Интернет.

              Или теперь вдруг стало модным использовать самозаверенный SSL-сертификат?

              Всем настоятельно рекомендую попробовать зайти в пункт меню "Вход" - https://gateway.yambo.biz

              Неужели финансовая комания Yambo Financials Ltd., зарегистрированная в Великобритании, и позиционирующая себя как "надежного партнера" в "области электронных расчетов аж с незапамятного 1999 года", не способна купить у Thawte Consalting cc или VeriSign Inc. обычный 125-ти долларовый SSL-сертификат для своего "ЗАЩИЩЕННОГО" Web-сервера ????

              Зачем использовать самозаверенный сертификат?!

              Неужели Ваша финансовая компания Yambo Financials Ltd. никому не доверяет и каждому клиенту направляет своего представителя для передачи в запечатанном и опломбированном конвертре дискеты с самозаверенным сертификатом?!


              Зачем Вы вообще тогда используете SSL? Или же это обычная очередная профанация?! И Вы, как "специалист", компетентно утверждаете о защищенности Вашего решения???

              Вам следует прислушаться к совету товарища Ленина: "Учиться, учиться и учиться..."

              И я готов дать Вам десятки ссылок, где сделано не так, как у Вашей финансовой компании, где сделано всё действительно профессионально, со знанием предметной области. Для начала - российские банки:

              https://ibank.mmbank.ru
              https://falcon.binbank.ru
              https://i-pay.ru
              https://secure.deal-bank.ru
              https://icb.dor.ru
              https://ibank.mastbank.ru
              https://ibank.rosinbank.ru
              https://ibank.rusgenbank.ru
              https://i-bank.sbb.ru
              https://www.ccb.ru

              И используются в системах Интернет-Банкинга этих банков не сурогаты и костыли типа одноразовых таблиц паролей, кодовых фраз, верификации по телефону и всяких digipass'ов, но используется полноценная полнофункциональная криптогарфия - ЭЦП клиента под финансовыми документами, строгая аутентификация (на основе АСИММЕТРИЧНОЙ криптографии) сторон, полноценное шифрование передаваемых данных с обеспечением целостности этих данных.

              ну так же везде.

              где не так?
              дайте ссылку и этому банку жить осталось не долго
              Ссылки банков где не так, где ОЧЕНЬ НЕ ТАК, где СОВЕРШЕННО НЕ ТАК, как у Вашей финансовой компании из Великобритании, я привел. И если Вы, Егор, чувствуете в себе силы "задушить" один из банков, приведенный в списке - всё в Ваших руках. Вперед, Маестро...
              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                to matex
                честно, я не понял этого. ну вот в нашем банке - если у кого и есть логин и пароль - ничем рулить он не может. только походит, посмотрит на статистику. поизучает. и все. на этот все закончится. чтобы сделать транзакцию нужны либо кодовые слова, либо верификация по телефону, либо digipass. ну так же везде.
                Ужас какой. Т.е. в вашей системе даже законный пользователь не имеет возможности полноценно порулить счетом? Уверяю Вас, так далеко не везде В смысле, ваш вариант тоже неплох, когда требуется легкость и дешевизна (в обмен на снижение безопасности).
                Тем не менее. Если я правильно понимаю выражение "кодовое слово", то, перехватив ssl-сессию (ssl sniffer можно взять тут: http://www.thoughtcrime.org/ie.html), я получаю и "кодовое слово". Поскольку у вас на сервере сертификат просроченный (действителен по 11.11.2001) и вы не регистрируете защищенным способом сертификаты клиентов, никто мне не мешает с этим кодовым словом получить доступ к счету. Если же у вас используются одноразовые коды, то это и есть единственный способ защиты, а ssl - жалкая попытка защититься от просмотра трафика дилетантами.
                Вы все еще хотите опубликовать здесь свои имя пароль доступа? "Оттянуть" на себя ssl-соединение можно путем изменения роутинга или атаки на DNS (хоть и не очень тривиально), а при помощи arp-poison, находясь с Вами в одной сети - 2 пальца об асфальт. Прислать программку? А после того, как я делаю MiTM, я не просто могу читать ваш трафик, но и изменять его. Когда Вы будете совершать очередной платеж и предъявите свое "кодовое слово", злоумышленник изменит сумму и назначение платежа и подтвердит их Вашим кодовым словом. Забавно потом будет посмотреть на процесс разбирательства клиента и банка по поводу "посылал/не посылал"
                ПРо подтверждение по телефону - это вообще несерьезно. Вы бы еще про подтверждение в виде бумажного документа с печатью вспомнили. Какой же это онлайновый интернетбанкинг?
                Так как, будем оценивать безопасность практически? Только во избежание казусов, хочется получить full prior blanket authorization, желательно в письменном виде

                p.s. Почитал Legal Notes. Ребята, ну вы и беспредельщики

                Yambo.biz AND ITS SUPPLIERS AND LICENSORS DISCLAIM ALL WARRANTIES...
                ...
                Yambo.biz, ITS SUPPLIERS AND LICENSORS SHALL NOT BE LIABLE FOR ANY DIRECT, INDIRECT, SPECIAL, CONSEQUENTIAL, INCIDENTAL, OR PUNITIVE DAMAGES, EVEN IF Yambo.biz, ITS SUPPLIERS OR LICENSORS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
                Indemnity
                You agree to defend, indemnify, and hold harmless Yambo.biz, employees, attorneys, and agents ("Indemnitees") against all claims, expenses, liabilities, losses, costs, and damages, including reasonable attorney's fees, that the Indemnitees may incur (i) in connection with your use of the Site or any hyperlinked web site or (ii) resulting from content you supply.
                Я плакалЪ (с)

                to Димитрий
                Список замечательный, но почему-то очень однобокий, т.е. все решения на базе только одного продукта
                Последний раз редактировалось hugevlad; 06.09.2002, 10:03.
                Earl Vlad Drakula. ///

                Комментарий


                • #9
                  кодовое слово - кодовым словом. как насчет человеческого фактора? а? с помощью кодового слова вы сможете всего лишь гонять туда сюда деньги внутри системы. когда вы захотите их вывести - тут будет уже мало этого слова.

                  Комментарий


                  • #10
                    я прошу прощения, но хочу пояснить пару моментов

                    SSL сертификат. когда я покупаю порнуху за 25 долларов в месяц моя страница тоже защищена этим сертификатом. надежно защищена. но, когда я ввожу туда свою карточку, я не всегда уверен, что мой банковский стейтмент будет содержать выписку только из этого сайта. чувствуете, куда я клоню?

                    список банков приведенных внушает доверие. но это все русские банки. а мы ориентируемся в своей работе на банки типа Bank Of America, First Union Bank, JP Morgan Chase. Например.

                    банки ломают люди. и люди выводят деньги из банков. и люди грабят людей. а не машины - машин.

                    из ваших банков когда-нить воровали деньги?

                    я хочу закончить свою мысль. наше мнение - защищаться нужно от ЛЮДЕЙ, а не от цифр и букв. и банк, какой бы он ни был - онлайн или оффлайн - должен проверять свои транзакции не путем сверки цифр. а путем сверки истинных мотивов своих пользователей с тем, что было задекларировано.

                    если этого нет - рано или поздно банк ограбят. и если с вашими банками еще этого не сделали, то просто потому, что хакеры боятся иметь дело с русскими банками. причины всем понятны, думаю.

                    а замечания по поводу текстов на нашем сайте приняты. будем работать и все исправим. но тексты - это тексты. а работа - это работа.

                    Комментарий


                    • #11
                      отправил
                      SSL сертификат. когда я покупаю порнуху за 25 долларов в месяц моя страница тоже защищена этим сертификатом. надежно защищена. но, когда я ввожу туда свою карточку, я не всегда уверен, что мой банковский стейтмент будет содержать выписку только из этого сайта. чувствуете, куда я клоню?
                      Егор, Ваше решение совершенни никак не дотягивает до уровня решений порносайтов. И если на упоминаемых Вами порносайтах используется SSL для передачи реквизитов карточки, то SSL там скорее всего будет полноценный, с полноценным сертификатом, полученным у VeriSign или Thawte.

                      В случае же Вашего решения, использование SSL якобы для защиты передаваемого трафика и аутентификации Web-сервера Вашей финансовой компании - полная профанация, ибо Вы используете САМОЗАВЕРЕННЫЙ сертификат. И в Вашем случае атака на подмену ресурса не просто тривиальна, а катастрофически тривиальна.

                      На основании этого я делаю вывод - либо Ваша финансовая компания из Великобритании не имеет денег, чтобы построить полноценное защищенное решение с привлечением квалифицированных специалистов, либо Ваша компания сознательно подставляет клиентов, дабы в случае возникновения конфликтной ситуации списать все потери клиентов на незащищенность Интернета.

                      ИМХО, всё это напоминает подход уличных кидал: "Без лохА и жизнь плохА"...

                      а мы ориентируемся в своей работе на банки типа Bank Of America, First Union Bank, JP Morgan Chase.
                      Судя по текстам на сайте Вашей финансовой компании, Ваши услуги ориентированы на простых смертных, на обычных клиентов физлиц и юрлиц, которых Вы завлекаете к себе в том числе защищенным и безопасным обслуживанием через Интернет.

                      А указанные Вами американские банки... это Ваша компания для них является клиентом... Клиентиком... Одним из миллионов...

                      Это как если бы алкоголичка тётя Маша или бомж дядя Коля ссылались на ориентацию в своей "работе" на Сбербанк России, лишь на основании того, что в сберкассе через дорогу получают пенсию и платят коммунальные платежи
                      С уважением, Репан Димитрий
                      Компания "БИФИТ" - www.bifit.com

                      Комментарий


                      • #12
                        Димитрий, слушайте, а почему Вы прицепились к этому SSL сертификату? Ну проехали уже... Все поняли, что это ошибка

                        Комментарий


                        • #13
                          Димитрий, слушайте, а почему Вы прицепились к этому SSL сертификату? Ну проехали уже... Все поняли, что это ошибка
                          Да потому, Максим, что из-за таких вот "ошибок", из-за халатного, отношения к работе, из-за поверхностных знаний, почерпнутых из околокомпьютерным СМИ, и возникают супер-пупер "защищенные" решения, которые преподносятся как достижения инженерной мысли, и укрепляются в умах клиентов волшебными словами типа Bank Of America, First Union Bank, JP Morgan Chase.

                          Мелочей в безопансости не бывает. Любой прокол или прокольчик может потянуть за собой целую гору серьезнейших проблем. Здесь надо быть всегда "на взводе", всегда мобилизованным, всегда готовым.

                          Подобная ошибка - это как всего лишь спутать дебет с кредитом... Для суммы в миллиард долларов...
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            to matex
                            а замечания по поводу текстов на нашем сайте приняты. будем работать и все исправим. но тексты - это тексты. а работа - это работа
                            Я догадался, что тексты писались про содержание портала, а не про услугу Тем не менее, неаккуратненько.
                            Так как же все-таки насчет того, что у вас все совсем защищено и можно буквально пароль на заборе писать? На сайте отсутствует описание порядка работы с системой. Может ли клиент этой системы отправить деньги со своего счета (или карточки) на произвольный счет? Что ему для этого надо? Просто предъявить в браузере имя/пароль или потом еще будет подтверждающий звонок по телефону? Если второе, то это не интернетбанкинг, соответственно не имеет отношения к головному сообщению этого треда. Если первое, то Ваше решение полностью уязвимо к описанной выше схеме...
                            Earl Vlad Drakula. ///

                            Комментарий


                            • #15
                              hugevlad

                              1. клиент открывает у нас счет только пользуясь услугами Internet. офис посещать не нужно

                              2. смотреть статистику по счету он может, пользуясь только логином и паролем.

                              3. получает деньги он, естественно, без всяких паролей

                              4. чтобы отправить деньги - клиенту нужно знать еще кодовое слово. таких слов всего у каждого клиента - 10 штук. они ему выдаются при открытии счета.

                              5. при сомнительных или крупных транзакциях, при транзакциях от новых клиентов и прочих сложных ситуациях - мы перезваниваем клиенту. например, интернет-банк Netbank.com делает также.

                              вот собственно.
                              нам кажется, что такая система надежна

                              а вот система PayPal.com, у которой сертификат SSL собственный - не очень надежна. думаю, со мной многие согласятся.

                              Комментарий


                              • #16
                                Можно пояснить подробнее, чем самозаверенный сертификат слабее выданного тавтом?

                                Комментарий


                                • #17
                                  [отправил Egor Bugaenko[/b]
                                  а вот система PayPal.com, у которой сертификат SSL собственный - не очень надежна. думаю, со мной многие согласятся.
                                  Не стоит, Егор, путать Божий Дар с яичницей, не стоит заниматься очковтирательством и подменять сути.

                                  Во-первых, если зайти на сайт PayPal - https://www.paypal.com - то обнаружиться, что SSL-сертификат на сайте совершенно корректный, выдан мировым издателем сертификатов компанией VeriSign.

                                  В Вашем, Егор, случае, по всей видимости была экономия, и Ваш, Егор, сертификат САМОЗАВЕРЕННЫЙ. По всей видимости Ваша финансовая компания решила стать еще одним мировым Издателем сертификатов но только браузеры простых смертных юзеров ничегошеньки о Вашем намерении не знают, и не признают действительным SSL-сртификат Вашей финансовой компании из Великобритании.

                                  Другими словами - наличие САМОЗАВЕРЕННОГО сертификата, без передачи онного клиенту защищенным гарантированным образом (на запечатанной в конвертер дискете) под роспись в соответствующем Акте, не просто эквивалентно отсутствию SSL-протокола во взаимодействии, но хуже того - САМОЗАВЕРЕННЫЙ SSL-сертификат создает у клиента ИЛЛЮЗИЮ ЗАЩИЩЕННОСТИ, то есть идет ПРЯМАЯ ПОДСТАВА КЛИЕНТА финансовой компанией.

                                  Что же касается деятельности самой компании PayPal - это совершенно другой вопрос, это ОРГАНИЗАЦИОННЫЙ ВОПРОС, это ВОПРОС ДЕЯТЕЛЬНОСТИ.

                                  Не стоит аппелировать к бизнесу компании, обсуждая исключительно технические вопросы.

                                  Да, технически корректное решение вопросов информационной безопасности является исключительно НЕОБХОДИМЫМ УСЛОВИЕМ для защищенной работы клиента через Интернет-Банкинг. Но корректное техническое решение не является ДОСТАТОЧНЫМ условием.

                                  В случае же Вашей финансовой компании, зарегистрированной в Великобритании, и работающей на рынке аж с 1999 года, не выоплняется даже НЕОБХОДИМЫЕ УСЛОВИЯ - Ваше техническое решение - сплошная ПРОФАНАЦИЯ защищенности. После этого обсуждать какую-либо другую надежность компании, обсасывать организационные методы, знакомиться с авторитетом и рекомендациями Ваших клиентов - СОВЕРШЕННО БЕССМЫСЛЕННО.

                                  Кстати, смеха ради, на Вашем сайте в разделе "Продукты" (Services) - http://www.yambo.biz/yambo.php?app=S...f9ca13a9cd9db7 - упоминаемая Вами здесь в Форуме в негативном контексте компания PayPal представлена как ВАШ ПАРТНЕР со следующими словами:

                                  Платежи через систему PayPal.com. Самая популярная платежная система рынка США доступна клиентам Yambo.biz. Прием платежей и отправка - через стандартный интерфейс клиента

                                  Вот такие пирожки с котятами. Их ешь - а они мяукают...
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    окей, Дмитрий.

                                    мы завтра купим сертификат за 118 долларов и продолжим дискуссию.

                                    Комментарий


                                    • #19
                                      Можно пояснить подробнее, чем самозаверенный сертификат слабее выданного тавтом?
                                      Для простоты понимания - Сертификат - это электронный документ, заверенный ЭЦП электронного нотариуса.

                                      Самозаверенный сертификат - это как если бы Вы сами себе выдали паспорт . Или сами бы себе выдали диплом об окончании Ваших же собственных курсов самообразования

                                      Если же говорить серьезно, то самозаверенный сертификат нельзя использовать до тех пор, пока корневой сертификат "издателя" этого самозаверенного сертификата, либо сам заверенный сертификат не будет передан клиенту гарантированным путем из гарантированного источника (на дискете), и пока не будет проинсталлирован в Web-браузер пользователя. После этого браузер клиента уже будет знаком с издателем (сертификатом) и тогда нельзя будет провести атаку на подмену ресурса.

                                      Сертификат же выданный Тавтом признается браузером, ибо корневой сертификат Тавта уже изначально присутствует в БД сертифкатов браузера. Поэтому браузер уже знаком с Тавтом, и доверяет сертификатам, изданным Тавтом.

                                      Вот и всё отличие.
                                      С уважением, Репан Димитрий
                                      Компания "БИФИТ" - www.bifit.com

                                      Комментарий


                                      • #20
                                        окей, Дмитрий.

                                        мы завтра купим сертификат за 118 долларов и продолжим дискуссию
                                        Ну и славненько - одной дыркой меньше.

                                        Кстати, а что по поводу взаимодействия Вашей финансовой компании с PayPal ?

                                        Вы уже имели неосторожность высказаться негативно об этой компании. Тогда как с этим согласуется Ваше партнерство с ней, заявленное на Вашем сайте? Очередная профанация? Надпись для галочки?

                                        Или же Ваша финансовая компания не брезгует работать с другими компаниями, которым она не доверяет?

                                        Как насчет лояльности к Вашим партнерам? Как насчет доверия? Почему Вы упоминаете негатив о компании и при этом одновременно заявляете на сайте о работе с ней, и предлагаете Вашим клиентам услуги по оплате через PayPal? Или Вы придерживаетесь так горячо любимого американцами принципа "ничего личного - только бизнес"? Для Вас деньги не пахнут?
                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ" - www.bifit.com

                                        Комментарий


                                        • #21
                                          SSL сертификат. когда я покупаю порнуху за 25 долларов в месяц моя страница тоже защищена этим сертификатом. надежно защищена. но, когда я ввожу туда свою карточку, я не всегда уверен, что мой банковский стейтмент будет содержать выписку только из этого сайта. чувствуете, куда я клоню?
                                          Егор, Ваше решение совершенни никак не дотягивает до уровня решений порносайтов. И если на упоминаемых Вами порносайтах используется SSL для передачи реквизитов карточки, то SSL там скорее всего будет полноценный, с полноценным сертификатом, полученным у VeriSign или Thawte.
                                          это не ответ на вопрос.

                                          вам действительно становится легче когда вы видите сертификат verisign, а потом вашей картой пользуются десятки отморозков?

                                          Комментарий


                                          • #22
                                            то есть другими словами вы готовы поверить в сертификат, купленный за 120 долларов? просто потому, что это сертификат verisignа? хотите я вам их напокупаю штук 10?

                                            Комментарий


                                            • #23
                                              Дмитрий, то, что деньги не пахнут - это точно. Думаю, если человек работает в финансовой сфере - для него деньги перестают быть деньгами. А становятся просто материалом для работы. Если все время внюхиваться... Главное - не нарушать закон.

                                              по поводу PayPal поясню. на наш взгляд, компания PayPal является образцом ненадежности. все операции совершаются на основании логина и пароля. пользователь системы имеет прямой доступ к кредитным картам и системе NACHA (ACH/EFT). снять деньги со счета и отправить их на счет - вопрос двух минут.

                                              получить пароль и логин на аккаунт в пейпале не сложно. это стоит не дорого. за пару долларов у 13-ти летнего хакера можно купить пару сотен таких паролей и логинов.

                                              с другой стороны, на наш взгляд, система PayPal является образцом крупнейшей криминальной структуры на официальном финансовом рынке. по оценкам неофициальных источников они в сутки воруют столько, что всей чеченской мафии до них далеко (выражение образное, просьба не принимать всерьез). они знают о своей ненадежности и незащищенности и продолжают присваивать себе чужие деньги.

                                              и наконец с третьей стороны, мы считаем, что PayPal - это лучшее, что было придумано в области финансов в америке. с момента появления электронной комерции. система PayPal развивается в несколько раз быстрее, чем весь остальной рынок. и клиентов у нее огромное количество. мы считаем своим долгом, дать возможность нашим клиентам работать через эту систему.

                                              вот. мне кажется, я ответил на вопросы. мы с трех сторон рассматриваем эту систему. мы ей поклоняемся, мы ее боимся и нам она очень неприятна с моральной стороны.

                                              Комментарий


                                              • #24
                                                Димитрий

                                                Самозаверенный сертификат - это как если бы Вы сами себе выдали паспорт . Или сами бы себе выдали диплом об окончании Ваших же собственных курсов самообразования

                                                Действительно от самозаверенного сертификата толку мало.

                                                Если же говорить серьезно, то самозаверенный сертификат нельзя использовать до тех пор, пока корневой сертификат "издателя" этого самозаверенного сертификата, либо сам заверенный сертификат не будет передан клиенту гарантированным путем из гарантированного источника (на дискете), и пока не будет проинсталлирован в Web-браузер пользователя. После этого браузер клиента уже будет знаком с издателем (сертификатом) и тогда нельзя будет провести атаку на подмену ресурса.

                                                Именно так.

                                                Сертификат же выданный Тавтом признается браузером, ибо корневой сертификат Тавта уже изначально присутствует в БД сертифкатов браузера. Поэтому браузер уже знаком с Тавтом, и доверяет сертификатам, изданным Тавтом.

                                                То есть в данном утверждении говорится, что сертификат Тавта попал в БД браузера (или точнее в хранилище сертификатов windows) гарнтированным путем. В принципе это ни откуда не следует, поскольку с вероятностью 99.9% сама операционка попала на компьютер отнюдь не гарнтированным путем. Так что сертификат Тавта в данном случае ничуть не лучше самоподписанного.

                                                Алексей.

                                                Комментарий


                                                • #25
                                                  Добрый день, уважаемые банкиры, и конкретно, господин Hugevlad!

                                                  Основная концепция безопасности строится на след. тезисе.
                                                  На "периметр" безопасности какой либо системы нужно потратить столько средств
                                                  что б злоумышленник, который будет пытатся получить доступ к защищенным ресусам
                                                  затратил больше средств чем ушло на настройку и установку самого "периметра".
                                                  давайте прикинем примерно сколько нужно средств и времени что б осуществить
                                                  взлом данной системы описанными способами.
                                                  Перехват SSL траффика:
                                                  для того что б снять SSL траффик по хосту gateway.yambo.biz нужно быть в одном сегменте с ними,
                                                  Находится на машине через которую идет траффик yambo(raven.uplink.ru (62.118.252.34) это последнее что
                                                  я только что увидел в traceroute ) и мало того там нужен доступ с правами
                                                  superuser root.
                                                  Uplink.ru, не глупые ребята и наверняка знают кто такие хакеры и наверняка много знают
                                                  про безопасность.Я думаю что ты не найдешь хлопца который бы проломил извне uplink.ru,
                                                  и так же думаю что врядли подкупишь админа, а если и купишь что б он дал тебе доступ рута,
                                                  это будет сумма выше 10.000.Ну если ты очень упертый конечно можно админа в темном переулке подкараулить
                                                  и долго пытать.Даже если ты все это и проделал(затратил к примеру 10.000) я почти уверен , что ни разу в жизни ты
                                                  даже tcpdump не запускал , а потому я так навскидку скажу что тебе примерно неделю нужно убить что б разобратся
                                                  с командами в консоле .и.тд.
                                                  Но вот наконец то то ты получишь какое то там кодовое слово.Залогинишься туда, на какой нибудь дохлый акк на котором
                                                  есть 2 или 3 штуки гринов.сделаешь свой перевод...) я мало знаком с Ямбо, но так навскиду посмотрев , я тебе 99% даю
                                                  что у пацанов просто нет автоматизации никакой и сидит какой то admin который руками делает переводы с какого то счета своего
                                                  и мало того делает он это только после того как его парили по асе,мылом, звонили ему с угрозами типа я вот только что перевел
                                                  2.000 где деньги.И тут ты попадаешь опять

                                                  DNS атака:
                                                  читаешь ты в инете много конечно, но мало понимаешь.Чтоб провести DNS атаку на uplink.ru тебе братан нужен канал мигабита 3 минимум
                                                  и несколько недель , которые ты проведешь тупо таращась в логи и перелистывания кучи книг.Я даже не буду особо на эту тему писать
                                                  так как тут народ деловой в основном и проблемы TCP/IP маршрутизации на уровне протоколов BGP их мало волнуют.
                                                  скажем так этот метод попадает под самый дорогой.Я думаю просто у тебя столько денег даже в мыслях никогда не было.


                                                  ARP:
                                                  "....а при помощи arp-poison, находясь с Вами в одной сети - 2 пальца об асфальт. Прислать программку?.." програмку не нужно слать, спасибо.
                                                  Тут вообще все коротко: набираем в ya.ru в поиске arp-poison..читаем.."ARP Poisoning атака может производиться в случае
                                                  если в основе сети лежат бриджи, хабы, свитчи, но не роутеры." Следует, что опять же для проведения таких аттак тебе нужно
                                                  быть рядом с yambo..конкретнее что б пакеты между вами не ходили через роутер а ходили через свитч.Я думаю что raven.uplink.ru (62.118.252.34)
                                                  уже не поможет тебе, прийдется копать глубже...Я кстати еще почитал по поводу аттак такого плана и вычитал что такие аттаки в
                                                  основном совершаются в беспроводных сетях. Связи yambo с этим я не вижу.

                                                  MiTM:
                                                  я долго думал что ты имел ввиду под этим, так и не понял четсно говоря.Обратимся к всемирной сети...
                                                  ya.ru строка поиска MiTM.."MITM-атака на криптографию с открытым ключом .." короче , говоря все что в инете про это написано
                                                  это то что только реализовали такую аттаку для протокола ssh v1.
                                                  Итог, даже если ты насобираешь где нить 10.000 гринов то максимум что ты поимеешь это головную боль на пару недель
                                                  и неприятный осадок в душе от бесцельно проделанной работы.
                                                  Пока все.
                                                  (Sirtaca)

                                                  Комментарий


                                                  • #26
                                                    это не ответ на вопрос.

                                                    вам действительно становится легче когда вы видите сертификат verisign, а потом вашей картой пользуются десятки отморозков?
                                                    Когда я вижу самозаверенный сертификат, я просто дальше не иду, или по крайней мере держу в уме, что ресурс, к которому я подключаюсь:

                                                    а) может быть липовым

                                                    б) передаваемые данные на сайт и с сайте не шифруются

                                                    в) целостность передаваемых данных не обеспечивается

                                                    г) и, если это сайт ФИНАНСОВОЙ КОМПАНИИ, я делаю вывод, что это чистой воды кидалово, ибо нет доверия к такой финансовой компании, которая позиционирует себя и свои услуги на простых смертных, обещая абсолютную защищенность интернет-транзакций, но при этом допускает детсадовские ошибки экономя 100 гринов на полноценом сертификате из-за некомпетентности сисадмина.

                                                    Кстати, участник форума Sirtaca своим письмом Владу, ИМХО, как раз и явил на всеобщее обозрение эдакого самоуверенного сисадмина, недавно освоившего консоль, и узнавшего о существовании tcpdump, ssh и прочих вещах с поисковиков

                                                    Чего только стоят рассуждения о периметре безопасности и ценообразовании
                                                    С уважением, Репан Димитрий
                                                    Компания "БИФИТ" - www.bifit.com

                                                    Комментарий


                                                    • #27
                                                      По Вашему, Дмитрий, ключ к безопасности - приобритение сертификата?
                                                      Сильно сомневаюсь...
                                                      Если у сисадмина головы нету, то он начнёт и закончит приобритением сертификата...
                                                      Очень сомниваюсь, что Вы сможете перехватить что-то из этой сессии.
                                                      Сертификат, как по мне, это уже дело престижа, а потом уже безопасности.

                                                      Комментарий


                                                      • #28
                                                        Приобретение сертификата у мирового Издателя - это в первую очередь забота о клиентах, о действительно гарантированно безопасном подключении клиентов, о безопасности транзакций клиентов.

                                                        Приобретение сертификата у мирового Издателя - необходимое, но далеко не достаточное условие для реализации технически безопасного решения. Никто не спорит, что задачу обеспечения инфорамционной безопасности надо решать всесторонне (термин "комплексно" не люблю - вызывает негативные ассоциации), включая организационные методы. Но явные технические промахи, чистой воды завлекаловки для злоумешленников делать не следует.

                                                        А имиджевая составляющая от сертификата, престиж... Ну разве подымается имидж банка при наличие в депозитарном хранилище бронированной двери? Бронированная дверь в депозитарии, как и полноценный сертификат на защищенном сайте - обычная норма жизни.

                                                        Если у сисадмина головы нету, то он начнёт и закончит приобритением сертификата...
                                                        Он скорее всего поставит MS ISA Server и будет пребывать в уверенности, что жизнь прекрасна До полноценного сертификата дело врядли дойдет - пример тому YAMBO.BIZ

                                                        Очень сомниваюсь, что Вы сможете перехватить что-то из этой сессии. Сертификат, как по мне, это уже дело престижа, а потом уже безопасности.
                                                        Зря сомневаетесь. Ой как зря. Самоуверенность губительна для специалиста по информационной безопасности. И многие, в том числе и я, убеждались в этом на практике... Это как раз тот случай, когда лучше перебдеть
                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ" - www.bifit.com

                                                        Комментарий


                                                        • #29
                                                          Димитрий, Вы напоминаете мне просто глупого американца, когда говорите о том, что дальше Вы просто не пойдете, если увидите проблемы с сертификатами )) Да и вообще, Вы по-мойму жестко недовольны своей жизнью Очень жестко Или просто видите конкурента в это самой yambo. Я так понимаю, что и ямбо и бифит занимаются приблизительно одним и тем же... Читать Вас со стороны очень весело

                                                          Кстати, участник форума Sirtaca своим письмом Владу, ИМХО, как раз и явил на всеобщее обозрение эдакого самоуверенного сисадмина, недавно освоившего консоль, и узнавшего о существовании tcpdump, ssh и прочих вещах с поисковиков
                                                          вот тут бы я кстати последовал своим же словам (см. ниже) и не делал бы таких скороспелых заявлений. совсем бы не делал. потому как вы, Димитрий, скорее всего не располагаете информацией некоторой


                                                          Зря сомневаетесь. Ой как зря. Самоуверенность губительна для специалиста по информационной безопасности. И многие, в том числе и я, убеждались в этом на практике... Это как раз тот случай, когда лучше перебдеть

                                                          И еще я бы советовал Вам больше читать, а не писать
                                                          Сори.

                                                          Комментарий


                                                          • #30
                                                            Димитрий, Вы напоминаете мне просто глупого американца, когда говорите о том, что дальше Вы просто не пойдете, если увидите проблемы с сертификатами
                                                            Странные у Вас, Максим, ассоциации. Да причем здесь левый сертификат и глупый американец?

                                                            Наличие самозаверенного сертификата и публичные заявления о совершенной защищенности YAMBO.BIZ вызывают естественное недоумение:

                                                            "Почему финансовая компания Великобритании, работающая с 1999 года и позиционирующая себя как надежного партнера в финансовых расчетах для обычных физических и юридических лиц, как минимум с 11 ноября 2000 года (если судить по дате издания самозаверенного сертификата) использует ПРОСРОЧЕННЫЙ САМОЗАВЕРЕННЫЙ Сертификат, да к тому же еще и выданного на доменный адрес PLESK.COM ?!?!?!

                                                            Скажите мне, почему я захожу на сайт YAMBO.BIZ, а сертификат выдан на домен PLESK.COM ??? Разве это не подмена ресурса???"


                                                            Всем желающим рекомендую посмотреть:

                                                            - nslookup yambo.biz (=> 62.118.252.34)

                                                            - nslookup 62.118.252.34 (=> raven.uplink.ru)

                                                            - whois -h whois.networksolutions.com yambo.biz (очень много интересного, особенно о ФИНАНСОВОЙ компании, зарегистрированной, как заявляется на сайте в Великобритании! А почему сразу не в Науру? Или в Антигуа ?)
                                                            Registrant Organization: Yambo Financials Inc.
                                                            Registrant Address1: 1001 SW 16th Av, #25
                                                            Registrant City: Gainesville
                                                            Registrant State/Province: FL
                                                            Registrant Postal Code: 32601
                                                            Registrant Country: United States


                                                            - whois -h whois.ripe.net 62.118.252.34

                                                            - traceroute 62.118.252.34


                                                            И вот здесь в форуме представитель "финансовой компании", Egor Bugaenko, www.yambo.biz - Banking and Processing Solutions, начинает всем полоскать мозги, что дескать у его компании взаимодействие с американскими банками, что его решение самое супер-пупер защищенное, ибо используются hi-tech кодовые слова, и авторизация по телефону (и это в Интернет-Банкинге!!! Крутой И-Б получается, однако), а все кто не с ними, те отсталые от жизни банки?!

                                                            Право, смешно, Максим! Смешно и грустно, что финансовая компания, зарегистрированная в Великобритании, и столь высоко себя позиционирующая, не может себе позволить выделенный канал непосредственно на свою площадку, а размещает свой супер-пупер навороченный Интернет-Банкинг на публичной хостинговой площадке UPLINK.RU, здесь в Москве, в России !!!

                                                            Максим, Вы бывали в самых обычных, средних московских банках, в отделах автоматизации?! Вы знаете, что попасть в серверную, временами сложнее, чем в депозитарий банка?! Вы даже себе не представляете на сколько в банках всё по-взрослому сделано.

                                                            Максим, и кто теперь наивный глупый американец

                                                            Алес, тема закрыта. Не вижу предмета для обсуждения.
                                                            С уважением, Репан Димитрий
                                                            Компания "БИФИТ" - www.bifit.com

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X