19 июня, среда 22:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Возможно появился червяк по БСС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.
    Сообщение от Димитрий Посмотреть сообщение
    У меня их нет ;-) Но требование-то у ФСБ есть.
    Дмитрий перепутал сертификацию, которая и в случае ФСБ, и в случае ФСТЭК проводится по единым правилам, установленным Росстандартом, с тематическими исследованиями, которые регулируеются только ведомственными нормативными документами ФСБ. Сертификат может выдаваться только системой, освященной великим Росстандартом, поэтому в случае тематических исследований просто дается экспертное заключение.

    Открытой информаци о наличии подобных заключений обычно не бывает. В тех тематических исследованиях, в которых мне довелось участвовать в качестве заказчика, и СТЗ, и заключение засекречивались по формальному признаку (есть указание на модель нарушителя, а это - ссылка на секретный документ). И я так понимаю, что это - общее правило. Некоторые особо продвинутые товарищи просят сделать несекретную выписку из заключения, и на ее основе делают пресс-релизы.
    Последний раз редактировалось malotavr; 26.04.2010, 21:03.

    Комментарий


    • #62
      Сообщение от Димитрий Посмотреть сообщение
      Может мне кто-нибудь в форуме привести пример некорректного встраивания СКЗИ "КриптоПро CSP" в прикладную систему?!

      То есть чтобы всё четко работало - ключики генерировались, сохранялись в контейнерах, всё шифровалось и расшифровывалось, всё подписывалось и проверялось, обеспечивалась целостность, аутентификация и т.д. - но при этом встраивание СКЗИ было некорректным.
      Раз пошла такая пьянка - легко. Любое встраивание КриптоПро в Java-приложение через Java Cryptography Extension будет некоректным в том смысле, что фиг вы сумеете получить положительное заключения о корректности встраивания. Опять-таки, искобчительно по формальному признаку.

      Комментарий


      • #63
        Сообщение от malotavr Посмотреть сообщение
        Раз пошла такая пьянка - легко. Любое встраивание КриптоПро в Java-приложение через Java Cryptography Extension будет некоректным в том смысле, что фиг вы сумеете получить положительное заключения о корректности встраивания. Опять-таки, искобчительно по формальному признаку.
        Пойду дальше и объявлю, что ЛЮБОЕ встраивание КУДА УГОДНО не получить заключения о корректности встраивания. Опять же по формальному признаку. Ибо перед таким встраиванием, ТЗ должно быть согласовано с ФСБ. А это в существующих массовых применения КриптоПро не сделано ;-(

        Комментарий


        • #64
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          ...специальное разъяснение ФСБ, в котором написано, что просто встраивания недостаточно, нужна именно проверка корректности этого встраивания.
          А кто-нибудь эту процедуру проходил? Насколько это реально и сколько это по деньгам и по времени?

          Комментарий


          • #65
            Сообщение от WildCat Посмотреть сообщение
            А кто-нибудь эту процедуру проходил? Насколько это реально и сколько это по деньгам и по времени?
            Проходил. Реально, за исключением нескольких стандартных косяков, один из них - упомянутое обращение к криптоядру из кода Java. По времени - до года. По деньгам - зависит от жадности лицензиата, который будет служить прослойкой между разработчиком и экспертной организацией (без такой прослойки вам просто укажут на оложение о лцензировании деятельности по разработке СКЗИ).

            Комментарий


            • #66
              Сообщение от surfer Посмотреть сообщение
              Ключ не покидает носителя. Грубо: на входе - платёжка, на выходе - платёжка с ЭЦП.
              на входе не платежка, а хэш платежки.
              хэш считается не в токене, а программно в компе.
              и фиг знает как он там может считаться на зараженном компе.
              наверняка по-разному.

              Комментарий


              • #67
                malotavrРеально, за исключением нескольких стандартных косяков, один из них - упомянутое обращение к криптоядру из кода Java.
                Я хоть и не разработчик на Java, но все-таки интересно, а что это за стандартный косяк такой?

                malotavrПо деньгам - зависит от жадности лицензиата
                А можете сказать хотя бы, десятки или сотни тыс. руб.?

                Комментарий


                • #68
                  Сообщение от WildCat Посмотреть сообщение
                  Я хоть и не разработчик на Java, но все-таки интересно, а что это за стандартный косяк такой?
                  Методика тематических исследований предполагает, что иследуемый код непосредственно обращается к криптоядру. В случае Java (не только в этом случае, просто это самая болезненная проблема из-за большого количества enterprise решений под OEBS) между вызывающим кодом и криптоядрмо сисдит прослойкав в виде JRE. Поскольку код JRE закрыт, существующие методики к таким исследованиям не применимы.

                  Сообщение от WildCat Посмотреть сообщение
                  А можете сказать хотя бы, десятки или сотни тыс. руб.?
                  Увы, не знаю. Не интересоваля - я тогда просто инженером был.

                  Комментарий


                  • #69
                    Сообщение от malotavr Посмотреть сообщение
                    Методика тематических исследований предполагает, что иследуемый код непосредственно обращается к криптоядру. В случае Java (не только в этом случае, просто это самая болезненная проблема из-за большого количества enterprise решений под OEBS) между вызывающим кодом и криптоядрмо сисдит прослойкав в виде JRE. Поскольку код JRE закрыт, существующие методики к таким исследованиям не применимы.
                    А это, что http://download.java.net/jdk6/source/ ? Уж как несколько лет всё открыто (JDK включает себя JRE так для справки).

                    Комментарий


                    • #70
                      Сообщение от Zuz Посмотреть сообщение
                      А это, что http://download.java.net/jdk6/source/ ? Уж как несколько лет всё открыто (JDK включает себя JRE так для справки).
                      Деййствительно, с 8 мая 2007. Значит, именно в Java я несколько отстал от жизни

                      Комментарий


                      • #71
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Пойду дальше и объявлю, что ЛЮБОЕ встраивание КУДА УГОДНО не получить заключения о корректности встраивания. Опять же по формальному признаку. Ибо перед таким встраиванием, ТЗ должно быть согласовано с ФСБ. А это в существующих массовых применения КриптоПро не сделано ;-(
                        это имеется в виду применительно к джаве и криптопро или вообще впринципе криптопро?

                        Комментарий


                        • #72
                          Именно к КриптоПро, т.к. у них такие ограничения в формуляре. По другим криптоядрам надо смотреть - возможно ситуация аналогичная.

                          Комментарий


                          • #73
                            ну вообще-то есть примеры корректного встраивания криптопро в прикладные системы с заключением фсб
                            значит вполне реально это осуществлять

                            Комментарий


                            • #74
                              Именно про это и говорит ФСБ ;-)

                              Комментарий


                              • #75
                                небольшое лирическое отступление. Но, как Вы понимаете - по теме.
                                http://dom.bankir.ru/blog.php?b=2184

                                Это я к чему - нужен чОткий план взаимодействия между подразделениями при выявлении факта неправомерной проводки.
                                На самом деле случай довольно редкий, но плана не было и совершенно случайно удалось поймать деньги. Проводка была сделана очень качественно, ни у менеджера, ни у кого из наблюдателей не вызвала волнения выше порога - "надо позвонить уточнить".
                                Ну и жулики лопухнулись.
                                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                Комментарий


                                • #76
                                  В Москве предотвращено хищение денег со счетов 457 компаний в 96 банках.

                                  В Москве сотрудники управления экономической безопасности столичного ГУВД предотвратили кражи денег со счетов 457 компаний в 96 банках. Об этом сообщили в пресс-группе управления.

                                  Сотрудники милиции узнали о том, что преступная группа, в которую входят профессиональные хакеры, завладела паролями к доступу управления счетами клиентов в 96 российских и зарубежных банках. Преступники похитили электронные ключи 457 компаний. Милиционеры установили, что на центральном сервере хакеры хранили банковские ключи от систем дистанционного банковского обслуживания, а также логины и пароли клиентов банков. Банковские ключи, логины и пароли 457 клиентов были похищены хакерами с помощью вредоносного программного обеспечения.

                                  Полученные данные были направлены в службы безопасности банков для идентификации пострадавших клиентов, предупреждения и пресечения кражи денег с их счетов. По заключению специалистов, хищение паролей стало возможным в связи с нарушением порядка хранения ключей доступа, а также несвоевременным обновлением системного и антивирусного программного обеспечения.

                                  http://www.rbc.ru/rbcfreenews/20110201113521.shtml

                                  Комментарий


                                  • #77
                                    Zoomer,

                                    вы думаете только от БСС ключи тырят? ключи тырят от всего! причем, в последнее время, редко - обычно удаленно все делают и не только с БСС. БСС просто много, поэтому их клиентов и хреначат чащще. вот когда реально возьмутся за софт БСС - вот тогда начнется веселье!

                                    Комментарий


                                    • #78
                                      Сообщение от Zoomer Посмотреть сообщение
                                      [b]...Милиционеры установили, что на центральном сервере хакеры хранили банковские ключи от систем дистанционного банковского обслуживания, а также логины и пароли клиентов банков. ...
                                      Как то странно. Зачем хранить украденный ключ? Он ведь в любой момент "прокиснуть" может. Ждали деньги на счетах?

                                      Комментарий


                                      • #79
                                        IgorL,

                                        ждали пока покупателей найдут или обнальщиков, те обналят и отсыпят денаг. это ж многоуровневые бригады.
                                        1.одни вирус пишут - продают;
                                        2.другие покупают и рассылают, собирают инфу - продают;
                                        3.ищут обнальщиков - за процент продают;
                                        4.обналивают, берут процент, остальное передают;
                                        5.большие хищения ддос-ами прикрываю;
                                        6.и кто-то, видимо, рулит сверху.
                                        вариантов, наверное, много, но приблизительно так.

                                        и самое обидное, что поймать практически не реально - все общение через тырнет, закрытые форумы и прочие скайпы.

                                        толи еще буудет, толиии ещее буудет, толи еще будет ой ё ёй!

                                        Комментарий


                                        • #80
                                          Сообщение от xell Посмотреть сообщение
                                          IgorL
                                          и самое обидное, что поймать практически не реально - все общение через тырнет, закрытые форумы и прочие скайпы.
                                          Есть иные, нескоько мненее "высокотехнологичные", но оттого не менее эффективные методы ОРД, которые дают результаты. Если, разумеется, есть желание работать.

                                          Комментарий


                                          • #81
                                            Сообщение от sergio1969 Посмотреть сообщение
                                            Есть иные, нескоько мненее "высокотехнологичные", но оттого не менее эффективные методы ОРД, которые дают результаты. Если, разумеется, есть желание работать.
                                            Золотые слова! только жаль, что оно нинафик.

                                            Комментарий

                                            Пользователи, просматривающие эту тему

                                            Свернуть

                                            Присутствует 1. Участников: 0, гостей: 1.

                                            Обработка...
                                            X