19 августа, понедельник 21:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Возможно появился червяк по БСС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Romsan
    Участник создал тему Возможно появился червяк по БСС

    Возможно появился червяк по БСС

    Недавно произошел инцидентик, с клиентского счета срисовали денюжек немного. Через БК(БСС) был выполнен перевод в другой банк(на физлицо), от туда денюжки сняли через карточку и вебмани.
    При общении с СБ банка получателя выяснилось что это не единичный случай. И везде в переводы выполнялись через БК БСС(тонкий клиент).
    Мне кажется что появился червячок срисовывающий логин/пароль и секретный ключ если он лежит в открытом виде.
    Я так думаю что банки использующие БСС должны предупредить клиентов об этой угрозе...

    Анализ действий злоумышлиника говорит о том, что он знает как работает БСС, как работает банк(рейсы, платежи, контроль)...

  • xell
    Участник ответил
    Сообщение от sergio1969 Посмотреть сообщение
    Есть иные, нескоько мненее "высокотехнологичные", но оттого не менее эффективные методы ОРД, которые дают результаты. Если, разумеется, есть желание работать.
    Золотые слова! только жаль, что оно нинафик.

    Прокомментировать:


  • sergio1969
    Участник ответил
    Сообщение от xell Посмотреть сообщение
    IgorL
    и самое обидное, что поймать практически не реально - все общение через тырнет, закрытые форумы и прочие скайпы.
    Есть иные, нескоько мненее "высокотехнологичные", но оттого не менее эффективные методы ОРД, которые дают результаты. Если, разумеется, есть желание работать.

    Прокомментировать:


  • xell
    Участник ответил
    IgorL,

    ждали пока покупателей найдут или обнальщиков, те обналят и отсыпят денаг. это ж многоуровневые бригады.
    1.одни вирус пишут - продают;
    2.другие покупают и рассылают, собирают инфу - продают;
    3.ищут обнальщиков - за процент продают;
    4.обналивают, берут процент, остальное передают;
    5.большие хищения ддос-ами прикрываю;
    6.и кто-то, видимо, рулит сверху.
    вариантов, наверное, много, но приблизительно так.

    и самое обидное, что поймать практически не реально - все общение через тырнет, закрытые форумы и прочие скайпы.

    толи еще буудет, толиии ещее буудет, толи еще будет ой ё ёй!

    Прокомментировать:


  • IgorL
    Участник ответил
    Сообщение от Zoomer Посмотреть сообщение
    [b]...Милиционеры установили, что на центральном сервере хакеры хранили банковские ключи от систем дистанционного банковского обслуживания, а также логины и пароли клиентов банков. ...
    Как то странно. Зачем хранить украденный ключ? Он ведь в любой момент "прокиснуть" может. Ждали деньги на счетах?

    Прокомментировать:


  • xell
    Участник ответил
    Zoomer,

    вы думаете только от БСС ключи тырят? ключи тырят от всего! причем, в последнее время, редко - обычно удаленно все делают и не только с БСС. БСС просто много, поэтому их клиентов и хреначат чащще. вот когда реально возьмутся за софт БСС - вот тогда начнется веселье!

    Прокомментировать:


  • Zoomer
    Участник ответил
    В Москве предотвращено хищение денег со счетов 457 компаний в 96 банках.

    В Москве сотрудники управления экономической безопасности столичного ГУВД предотвратили кражи денег со счетов 457 компаний в 96 банках. Об этом сообщили в пресс-группе управления.

    Сотрудники милиции узнали о том, что преступная группа, в которую входят профессиональные хакеры, завладела паролями к доступу управления счетами клиентов в 96 российских и зарубежных банках. Преступники похитили электронные ключи 457 компаний. Милиционеры установили, что на центральном сервере хакеры хранили банковские ключи от систем дистанционного банковского обслуживания, а также логины и пароли клиентов банков. Банковские ключи, логины и пароли 457 клиентов были похищены хакерами с помощью вредоносного программного обеспечения.

    Полученные данные были направлены в службы безопасности банков для идентификации пострадавших клиентов, предупреждения и пресечения кражи денег с их счетов. По заключению специалистов, хищение паролей стало возможным в связи с нарушением порядка хранения ключей доступа, а также несвоевременным обновлением системного и антивирусного программного обеспечения.

    http://www.rbc.ru/rbcfreenews/20110201113521.shtml

    Прокомментировать:


  • Romsan
    Участник ответил
    небольшое лирическое отступление. Но, как Вы понимаете - по теме.
    http://dom.bankir.ru/blog.php?b=2184

    Это я к чему - нужен чОткий план взаимодействия между подразделениями при выявлении факта неправомерной проводки.
    На самом деле случай довольно редкий, но плана не было и совершенно случайно удалось поймать деньги. Проводка была сделана очень качественно, ни у менеджера, ни у кого из наблюдателей не вызвала волнения выше порога - "надо позвонить уточнить".
    Ну и жулики лопухнулись.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Именно про это и говорит ФСБ ;-)

    Прокомментировать:


  • pushkinist
    Участник ответил
    ну вообще-то есть примеры корректного встраивания криптопро в прикладные системы с заключением фсб
    значит вполне реально это осуществлять

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Именно к КриптоПро, т.к. у них такие ограничения в формуляре. По другим криптоядрам надо смотреть - возможно ситуация аналогичная.

    Прокомментировать:


  • pushkinist
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    Пойду дальше и объявлю, что ЛЮБОЕ встраивание КУДА УГОДНО не получить заключения о корректности встраивания. Опять же по формальному признаку. Ибо перед таким встраиванием, ТЗ должно быть согласовано с ФСБ. А это в существующих массовых применения КриптоПро не сделано ;-(
    это имеется в виду применительно к джаве и криптопро или вообще впринципе криптопро?

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Zuz Посмотреть сообщение
    А это, что http://download.java.net/jdk6/source/ ? Уж как несколько лет всё открыто (JDK включает себя JRE так для справки).
    Деййствительно, с 8 мая 2007. Значит, именно в Java я несколько отстал от жизни

    Прокомментировать:


  • Zuz
    Участник ответил
    Сообщение от malotavr Посмотреть сообщение
    Методика тематических исследований предполагает, что иследуемый код непосредственно обращается к криптоядру. В случае Java (не только в этом случае, просто это самая болезненная проблема из-за большого количества enterprise решений под OEBS) между вызывающим кодом и криптоядрмо сисдит прослойкав в виде JRE. Поскольку код JRE закрыт, существующие методики к таким исследованиям не применимы.
    А это, что http://download.java.net/jdk6/source/ ? Уж как несколько лет всё открыто (JDK включает себя JRE так для справки).

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от WildCat Посмотреть сообщение
    Я хоть и не разработчик на Java, но все-таки интересно, а что это за стандартный косяк такой?
    Методика тематических исследований предполагает, что иследуемый код непосредственно обращается к криптоядру. В случае Java (не только в этом случае, просто это самая болезненная проблема из-за большого количества enterprise решений под OEBS) между вызывающим кодом и криптоядрмо сисдит прослойкав в виде JRE. Поскольку код JRE закрыт, существующие методики к таким исследованиям не применимы.

    Сообщение от WildCat Посмотреть сообщение
    А можете сказать хотя бы, десятки или сотни тыс. руб.?
    Увы, не знаю. Не интересоваля - я тогда просто инженером был.

    Прокомментировать:


  • WildCat
    Участник ответил
    malotavrРеально, за исключением нескольких стандартных косяков, один из них - упомянутое обращение к криптоядру из кода Java.
    Я хоть и не разработчик на Java, но все-таки интересно, а что это за стандартный косяк такой?

    malotavrПо деньгам - зависит от жадности лицензиата
    А можете сказать хотя бы, десятки или сотни тыс. руб.?

    Прокомментировать:


  • pushkinist
    Участник ответил
    Сообщение от surfer Посмотреть сообщение
    Ключ не покидает носителя. Грубо: на входе - платёжка, на выходе - платёжка с ЭЦП.
    на входе не платежка, а хэш платежки.
    хэш считается не в токене, а программно в компе.
    и фиг знает как он там может считаться на зараженном компе.
    наверняка по-разному.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от WildCat Посмотреть сообщение
    А кто-нибудь эту процедуру проходил? Насколько это реально и сколько это по деньгам и по времени?
    Проходил. Реально, за исключением нескольких стандартных косяков, один из них - упомянутое обращение к криптоядру из кода Java. По времени - до года. По деньгам - зависит от жадности лицензиата, который будет служить прослойкой между разработчиком и экспертной организацией (без такой прослойки вам просто укажут на оложение о лцензировании деятельности по разработке СКЗИ).

    Прокомментировать:


  • WildCat
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    ...специальное разъяснение ФСБ, в котором написано, что просто встраивания недостаточно, нужна именно проверка корректности этого встраивания.
    А кто-нибудь эту процедуру проходил? Насколько это реально и сколько это по деньгам и по времени?

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от malotavr Посмотреть сообщение
    Раз пошла такая пьянка - легко. Любое встраивание КриптоПро в Java-приложение через Java Cryptography Extension будет некоректным в том смысле, что фиг вы сумеете получить положительное заключения о корректности встраивания. Опять-таки, искобчительно по формальному признаку.
    Пойду дальше и объявлю, что ЛЮБОЕ встраивание КУДА УГОДНО не получить заключения о корректности встраивания. Опять же по формальному признаку. Ибо перед таким встраиванием, ТЗ должно быть согласовано с ФСБ. А это в существующих массовых применения КриптоПро не сделано ;-(

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Димитрий Посмотреть сообщение
    Может мне кто-нибудь в форуме привести пример некорректного встраивания СКЗИ "КриптоПро CSP" в прикладную систему?!

    То есть чтобы всё четко работало - ключики генерировались, сохранялись в контейнерах, всё шифровалось и расшифровывалось, всё подписывалось и проверялось, обеспечивалась целостность, аутентификация и т.д. - но при этом встраивание СКЗИ было некорректным.
    Раз пошла такая пьянка - легко. Любое встраивание КриптоПро в Java-приложение через Java Cryptography Extension будет некоректным в том смысле, что фиг вы сумеете получить положительное заключения о корректности встраивания. Опять-таки, искобчительно по формальному признаку.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.
    Сообщение от Димитрий Посмотреть сообщение
    У меня их нет ;-) Но требование-то у ФСБ есть.
    Дмитрий перепутал сертификацию, которая и в случае ФСБ, и в случае ФСТЭК проводится по единым правилам, установленным Росстандартом, с тематическими исследованиями, которые регулируеются только ведомственными нормативными документами ФСБ. Сертификат может выдаваться только системой, освященной великим Росстандартом, поэтому в случае тематических исследований просто дается экспертное заключение.

    Открытой информаци о наличии подобных заключений обычно не бывает. В тех тематических исследованиях, в которых мне довелось участвовать в качестве заказчика, и СТЗ, и заключение засекречивались по формальному признаку (есть указание на модель нарушителя, а это - ссылка на секретный документ). И я так понимаю, что это - общее правило. Некоторые особо продвинутые товарищи просят сделать несекретную выписку из заключения, и на ее основе делают пресс-релизы.
    Последний раз редактировалось malotavr; 26.04.2010, 21:03.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от Димитрий Посмотреть сообщение
    Корректность встраивания...

    Любимая тема для рассуждений представителей регуляторов (ФСБ, ЦБ и др.)...
    Ну а как без нее ;-)

    Сообщение от Димитрий Посмотреть сообщение
    Только вот вопрос - корректность встраивания чего и куда?

    Только конкретно, без очередной "подмены понятий".


    Встраивание поддержки Криптомодуля-С в прикладной продукт?
    Именно. Начнем хотя бы с этого.

    Сообщение от Димитрий Посмотреть сообщение
    Но так ведь непосредственного доступа к СКЗИ "Криптомодуль-С" у прикладных продуктов нет
    А вот это и призвана доказать проверка корректности встраивания ;-)

    Сообщение от Димитрий Посмотреть сообщение
    У государевых регуляторов почему-то есть острое ощущение, что лицензиаты (а другие - и не могут заниматься встраиванием), не имеют должной компетенции, и некорректно встраивают СКЗИ в прикладные системы.
    И что в этом странного с их многолетним опытом. Я сам, не будучи большим специалистом по криптографии, регулярно сталкиваюсь с заявлениями недавних выпускников о том, что они разработали супер-мега-стойкий криптоалгоритм, который никому не под силу ломать. В ФИДО, в RU.CRYPT уже перестали обращать внимания на такие заявления ;-)
    И уж гораздо чаще мне приходится сталкиваться с примерами незнания программистами основ защищенного программирования. И с этим приходится потом бороться. Malotavr лучше может рассказать об этом.
    И встраивание СКЗИ не исключение...

    Сообщение от Димитрий Посмотреть сообщение
    Но если внимательно, не торопясь почитать API к сертифицированным CКЗИ (хоть одно API Вам, Алексей, знакомо?), а после хорошенько всё обдумать, то оказывается, что пространства для манёвра у лицензиата-разработчика прикладной системы, который встраивает в свою систему поддержку очередного сертифицированного СКЗИ, не так уж и много.
    Мы сейчас что обсуждаем? Неразвитость рынка СКЗИ, нежелание регулятора выпускать дойную корову из стойла или вопрос выполнения требований регуляторов? Если первые два пункта, то я даже очень согласен. Но мы же говорим о третьем пункте. Если компания заявляет о том, что она соответствует всем требованиям ФСБ и делает это своим конкурентным преимуществом, то мне становится интересно - компания все требования выполняет? Или только те, которые возможно выполнить в реальные сроки и с реальными затратами? Опять же я не буду спорить - хорошо это или плохо. Так есть. Давайте отталкиваться от этого, коль скоро мы все-таки используем сертификат и лицензию ФСБ, как дифференциатор. Вот когда ЛАН Крипто говорило о своих продуктах, как о классных с точки зрения криптографии, то они ни слова не говорили о сертификатах и пытались выживать на жестком рынке наравне с PGP и т.п. бесплатными программами. Увы... не выжили.

    Сообщение от Димитрий Посмотреть сообщение
    Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.
    У меня их нет ;-) Но требование-то у ФСБ есть.

    Сообщение от Димитрий Посмотреть сообщение
    Может я чего не знаю, чего-то пропустил...
    Может быть. Вот у меня перед глазами документ ФСБ, который только готовится к выпуску. Так там прямо написано (чтобы не было недоразумений), что для встраивания в прикладные системы корректность встраивания должна быть ОБЯЗАТЕЛЬНОЙ при условии наличия такого пункта в формуляре (ТУ) на СКЗИ. Т.е. все зависит от того, что у вас написано в формуляре на криптомодули. Вот в КриптоПро, например, четко написано, что встраивать можно, но по ТЗ, согласованному с ФСБ. А еще есть у меня специальное разъяснение ФСБ, в котором написано, что просто встраивания недостаточно, нужна именно проверка корректности этого встраивания.

    ЗЫ. Я еще раз подчеркну свою позицию.
    1. Я не против токенов. Я за то, чтобы при из продвижении не подменялись понятия и одна угроза не заменялась другой, более интересной для конечного пользователя. Именно его, а не сотрудника службы ИБ, который решил закупить партию токенов.
    2. На свободном рынке дифференцироваться надо не сертификатами регуляторов. И если уж дошло до этого и компания сказала "А", то надо говорить и "Б" и соответствовать всем действующим требованиям регуляторов.

    Прокомментировать:


  • malotavr
    Участник ответил
    /**/

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от Димитрий Посмотреть сообщение
    Алексей, Вы определитесь с Вашей ролью.

    Вы - водитель автомобиля, и тогда именно Вы должны разбираться в правилах дорожного движения, понимать общее устройство автомобиля, нести ответственность за езду.

    Или же Вы - VIP-пассажир, и тогда Ваша задача выбрать квалифицированного водителя, который будет следить за исправностью автомобиля, везти Вас быстро, аккуратно и с минимальными рисками.

    Ровно тоже самое - в Интернет-Банкинге.
    Вот именно. Даже если я VIP-пассажир, я не хочу, что за лоском и фуражкой якобы квалифицированного и сертифицированного водителя скрывался профан, который с меня тресет деньги ;-) И когда мне приходится пересаживаться с авто на такси, я все-таки слежу как он меня везет (и с точки зрения манеры, и с точки зрения знания города). Ибо меня волнует конечный результат (добраться живым и вовремя до точки назначения), а не якобы имеющаяся квалификация и безупречная работа водителя. И если он попадет в аварию и начнет кивать на то, что это все другой водила не смотрел по сторонам, то я его выслушаю, но в следующий раз уже не выберу. Это его обязанность была предусмотреть все случайности на дороге.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от Димитрий Посмотреть сообщение
    Бывает

    Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

    Учите матчасть...
    Матчасть? Мы о какой криптостойкости сейчас будем спорить? О теоретической или практической? Я уже давно вышел из того возраста, когда рассматриваю чисто теоретические изыскания. Я стараюсь преломлять ту или иную аксиому на практику.

    Прокомментировать:


  • malotavr
    Участник ответил
    Сообщение от Димитрий Посмотреть сообщение
    Бывает

    Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

    Учите матчасть...
    Дмитрий,
    вы уж определитесь: или "гарантированная стопроцентная", или "при обеспечении конфиденциальности ключей". Иначе это вариант из серии "к пуговицам претензии есть"?

    В обсуждаемым случае шифровальный блокнот постоянно валяется на столе в переговорке.

    Прокомментировать:


  • Димитрий
    Участник ответил
    С точки зрения ФСБ наличие сертифицированного токена - только часть задачи. У вас должна быть также подтверждена корректность встраивания криптобиблиотек. Это реализовано? Если нет, то какой смысл вообще говорить о наличии сертификата соответствия?
    Корректность встраивания...

    Любимая тема для рассуждений представителей регуляторов (ФСБ, ЦБ и др.)...

    Только вот вопрос - корректность встраивания чего и куда?

    Только конкретно, без очередной "подмены понятий".

    Встраивание СКЗИ "Криптомодуль-С" при производстве в масочный ROM микроконтроллера ST19NR66?

    Встраивание СКЗИ "Криптомодуль-С" в карточную операционную систему "Магистра"?

    Встраивание карточного чипа ST19NR66 с Магистрой и Криптомодулем-С в масочном ROM'е в USB-токен (фактически анализ работы связки USB-картридера со смарт-карта через интерфейс ISO 7816)?

    Встраивание поддержки Криптомодуля-С в прикладной продукт?

    Но так ведь непосредственного доступа к СКЗИ "Криптомодуль-С" у прикладных продуктов нет

    Есть API карточной операционной системы "Магистра". С этим API и приходится работать. Дали на вход смарт-карте одну APDU-команду - получили один результат. Дали другую APDU-команду - другой результат.

    Я тут временами участвую в дискуссиях о необходимости и возможности независимой оценки корректности встраивания СКЗИ в системы ДБО.

    Тема больная.

    У государевых регуляторов почему-то есть острое ощущение, что лицензиаты (а другие - и не могут заниматься встраиванием), не имеют должной компетенции, и некорректно встраивают СКЗИ в прикладные системы.

    Но если внимательно, не торопясь почитать API к сертифицированным CКЗИ (хоть одно API Вам, Алексей, знакомо?), а после хорошенько всё обдумать, то оказывается, что пространства для манёвра у лицензиата-разработчика прикладной системы, который встраивает в свою систему поддержку очередного сертифицированного СКЗИ, не так уж и много.

    А вернее ВООБЩЕ НЕТ.

    Есть API к СКЗИ - вот его и можем пользовать.

    API к СКЗИ в рамках ТЗ и последующей сертификации утвержден ФСБ и неизменен. А по-другому, кроме как через API, воспользоваться СКЗИ НЕВОЗМОЖНО.

    Может мне кто-нибудь в форуме привести пример некорректного встраивания СКЗИ "КриптоПро CSP" в прикладную систему?!

    То есть чтобы всё четко работало - ключики генерировались, сохранялись в контейнерах, всё шифровалось и расшифровывалось, всё подписывалось и проверялось, обеспечивалась целостность, аутентификация и т.д. - но при этом встраивание СКЗИ было некорректным.

    Да, и еще. Прошу привести в форуме информацию о сертификатах ФСБ РФ о корректности встраивания СКЗИ в прикладные системы.

    Может я чего не знаю, чего-то пропустил...

    Прокомментировать:


  • Димитрий
    Участник ответил
    отправил Алексей Лукацкий
    Гарантированной безопасности вообще не бывает.
    Бывает

    Например, блокнотные шифры обеспечивают гарантированную стопроцентную конфиденциальность передаваемых данных при обеспечении конфиденциальности ключей.

    Учите матчасть...

    Прокомментировать:


  • Димитрий
    Участник ответил
    отпрвил Алексей Лукацкий
    Димитрий, угроза для кого? Вот меня, как клиента ДБО, совершенно не волнуют какие-то там ключи.
    Алексей, Вы определитесь с Вашей ролью.

    Вы - водитель автомобиля, и тогда именно Вы должны разбираться в правилах дорожного движения, понимать общее устройство автомобиля, нести ответственность за езду.

    Или же Вы - VIP-пассажир, и тогда Ваша задача выбрать квалифицированного водителя, который будет следить за исправностью автомобиля, везти Вас быстро, аккуратно и с минимальными рисками.

    Ровно тоже самое - в Интернет-Банкинге.

    Прокомментировать:

Пользователи, просматривающие эту тему

Свернуть

Присутствует 1. Участников: 0, гостей: 1.

Обработка...
X