5 марта, пятница 19:18
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Man-in-the-Box/Browser и как с этим бороться?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Man-in-the-Box/Browser и как с этим бороться?

    Спецы по безопасности, можете злорадствовать, таки жареный петух в задницу клюнул. То, о чем несколько лет назад осторожно говорили, теперь --- реальность. И даже не просто реальность --- мейнстрим. Встречайте, Man-in-the-Box, великий и ужасный. Криптография? Ха-ха-ха! IP-фильтрация? Хи-хи-хи. Смарт-карты и OTP? Хо-хо-хо! Все это фигня... Если компьютер жертвы затроянен.

    Другая проблема --- "мелкооптовая" сущность атак. Это вам не спам рассылать или пароли от уютной днявки тырить. Здесь намного выше технический и организационный уровень. А в своей конечной фазе она вообще практически индивидуальная. Или все-таки это глобальная тенденция? И вместо массовой рассылки тупых роботов --- сложные и многокомпонентные атаки, противодействие которым упирается в организационные меры, будь они неладны?

    Вопрос простой: "А что же делать?"

    Только не нужно шаблонных фраз типа "Небрежность --- причина пожара", или там "Не оставляйте без присмотра ваши электронагревательные приборы". Это и так понятно. ВСЕМ участникам процесса.

  • #2
    Ух как эмоционально! Клиент-Банк штоль ломанули?
    Вообще-то народ в реальности с Man-in-the-Box и Man-in-the-Browser столкнулся с год назад точно, а то и раньше.

    Комментарий


    • #3
      Решение техническое - внедрять ПО для клиента, на уровне ринг0 (а ещё круче на уровне гипервизора), которе следит за процессом браузера, за токеном и вводом с клаиваутуры, защищая себя и клиента.

      Комментарий


      • #4
        На эту тему народ наваял уже Qubes-OS http://qubes-os.org/Screenshots.html ничего лучшего не предумано, раз оргмеры не достаточны.

        Комментарий


        • #5
          Первое что пришло в голову - SMS подтверждение, в котором указывается назначение платежа, сумма и код подтверждения.
          В идеале можно использовать специальное выделенное GSM-устройство для этого, к которому невозможно внешнее подключение для передачи данных.

          Ну или любой другой доверенный канал.
          Может что-то подобное уже реализовано на практике?

          Комментарий


          • #6
            SMS-подтверждение хорошо для физиков или организаций, которые не больше десятка платежей в день отправляют. Для тех, кто больше - исполнители просто не читая сообщение будут вводить код подтверждения. А уж те, кто сотню платежей в день отправляет - они просто откажутся от такого сервиса.

            Комментарий


            • #7
              Те кто сотню документов в день делает, должны сами позаботиться о своей безопасности (это реально просто, было бы желание).
              Тех кому нужно абы где работать, можно защитить штуками типа http://www.cronto.com/ или СМСками.
              Последний раз редактировалось Zuz; 02.09.2011, 14:48.

              Комментарий


              • #8
                Сообщение от alexmib Посмотреть сообщение
                Первое что пришло в голову - SMS подтверждение
                Такая техника защиты называется out-of-bound (ХЗ как это по-русски) канал. И к нему рекурсивно тоже придется применять меры ОИБ, что и к основному, и уходим в бесконечную рекурсию. Если компьютер жертвы затроянен, то что мешает также затроянить устройство, реализующие OOB-канал? Это не говоря про Man-in-the-Middle.

                Если брать И-банки, хотя я совершенно не про них, то достаточно в опердне ввести определенные проверки. А OOB-канал (телефон) с клиентом обычно налажен. Но как мне рассказывали, некоторые злоумышленник делают платежку с таким же номером и назначением платежа, как легальная, но с разными реквизитами получателя. Социальные инженеры, хреновы. В этом и вся "прелесть" MitB. Можно неторопливо мониторить "пациента", чтобы полноценно использовать подвернувшуюся возможность.

                Привожу гипотетический сценарий. Есть некая, достаточно крупная организация, сидящая на зарплатном проекте. Получаем контроль над карточкой кого-то из персонала и тогда возможны два варианта. а) Модифицируем зарплатный реестр. Киллер-фича. Можно вообще атаку не заметить. б) Перечисляем от имени работодателя материальную помощь. И как с этим бороться?

                Комментарий


                • #9
                  Должны, но большинство ничего не делает.
                  Коллеги, а никто не пробовал что-то типа http://www.trusteer.com/product/trusteer-rapport ? Есть инфа, что зарубежные банки пользуются, про российские никаких данных.

                  Комментарий


                  • #10
                    Это всё бессмысленно и дорого.
                    Варианта два: либо обеспечивать доверенную среду (и это действительно просто было бы желание у клиента), либо создавать её в другом месте, о чём писал выше.

                    Комментарий


                    • #11
                      Сообщение от Zuz Посмотреть сообщение
                      На эту тему народ наваял уже Qubes-OS
                      Что мешает затроянить и виртуальную машину?

                      Комментарий


                      • #12
                        Сообщение от Zuz Посмотреть сообщение
                        либо обеспечивать доверенную среду
                        А можно с этого места по-подробнее?

                        Комментарий


                        • #13
                          Сообщение от Tor Посмотреть сообщение
                          Должны, но большинство ничего не делает.
                          Коллеги, а никто не пробовал что-то типа http://www.trusteer.com/product/trusteer-rapport
                          Its proprietary browser lockdown technology simply prevents...
                          В мусорку!

                          Комментарий


                          • #14
                            Сообщение от Zuz Посмотреть сообщение
                            Тех кому нужно абы где работать, можно защитить штуками типа http://www.cronto.com/
                            Да, шикарная штука. Но к российским реалиям требует адаптации. И все та же техника OOB-канала. Неужели она - единственная? Не верю!

                            Комментарий


                            • #15
                              Сообщение от Macil Посмотреть сообщение
                              Что мешает затроянить и виртуальную машину?
                              Вы внимательно прочитали как оно работает? Идея в том, что у вас есть домены приложений, изолированные на уровне гипервизора.


                              В одном вы работаете с ДБО, в другом ходите в тырнет. В третьем ещё, что-то. Даже подсистемы типа драйверов сети, фаервол выделены в отдельные "виртуальные машины". Вредонсный код не может получить доступ из одного домена в другой. И даже, если куда-то попадёт, то достаточно перезапустить этот домен, все внесённые вредоносным кодом изменения будут исправлены (считается, что в домен хранилища такой вредоносный код попасть не может из-за архитектуры системы).
                              Ещё прикручен TPM, который позволяет проводить контроль при загрузке.

                              Подробности тут.
                              Последний раз редактировалось Zuz; 02.09.2011, 17:48.

                              Комментарий


                              • #16
                                Сообщение от Macil Посмотреть сообщение
                                А можно с этого места по-подробнее?
                                Огрмеры + ряд технических ограничений не допускающих вредоносный код на машину (это действительно просто, но это должен сделать клиент, что он не делает обычно).
                                Та же Windows XP SP3 из коробки непробиваема, если не втыкать флешки с троянами и не ходить в интернет по распространяющим заразу сайтам. Нет в этом ничего сложного, не нужно ни антивирусов, ни патчей. Только следование простым двум правилам.
                                Последний раз редактировалось Zuz; 02.09.2011, 19:18.

                                Комментарий


                                • #17
                                  Сообщение от Macil Посмотреть сообщение
                                  Да, шикарная штука. Но к российским реалиям требует адаптации. И все та же техника OOB-канала. Неужели она - единственная? Не верю!
                                  Выше я писал либо доверенная среда в основной машине, либо где-то ещё. Какие могут быть иные варианты? )))

                                  Комментарий


                                  • #18
                                    Сообщение от Zuz Посмотреть сообщение
                                    В одном вы работаете с ДБО, в другом ходите в тырнет.
                                    Только вот не нужно сказки рассказывать (или пересказывать)! Винда в виртуальной машине работает БЕЗ изменений. Т.е. у нее есть полноценный сетевой стек, файрвол, драйвера (виртуальных) устройств. Она также уязвима к сетевым атакам, у нее такой же глючный и непатченный браузер, кривой прикладной софт и некомпетентный оператор. Ей также нужен антивирус. Короче говоря, от своих «вольных» собратьев она не отличается ничем.

                                    Другое дело, что в dom0 находятся драйвера реальных устройств, файрволл, который может прикрыть тот или иной domU, возможно IDS, возможно какие-то средства мониторинга винды (но крайне сомнительно). Можно сделать так, что domU будет каждый раз стартовать с чистого, проверенного снапшота... domU можно «фризить», когда необходимости работы с ним нет...

                                    Только проблема одна... Если если ты получил контроль над dom0 — вся эта распрекрасная схема сливается в унитаз. С чгего ты взял, что dom0 принципиально неломаем? С чего ты взял, что гипервизор при большом желании и подходящей карме не позволит тебе прорваться из domU в dom0, или из domU в domU. Да и все-равно междоменное взаимодействие тебе налаживать придется. Кто тебе сказал, что я не смогу затроянить соседнюю машину и невозбранно атаковать dom0? Что вся эта хрень запрещает мне применять методы соцальной инженерии?

                                    Далее. CubeOS подразумевает наличие 3-х копий винды, 3-х копий антивируса. Лицензионная политика софтеверных компаний однозначна: 3x. Туда же положи троекратные затраты на администрирование.

                                    А то, что ты описал — удел микроядерных ОС. Например, есть целое семейство микроядер L4. Не стоит забывать и про Plan9, которая хотя и не микроядерная, зато ориентирована на распределенные среды. Но до юзер-ориентированности еще и палкой не докинуть. Не говоря уж про тотальную ориентацию на Windows пользователей, разработчиков, безопасников и прочих участников сего прискорбного процесса.

                                    Комментарий


                                    • #19
                                      Сообщение от Zuz Посмотреть сообщение
                                      доверенная среда в основной машине
                                      Доверенная среда основывается на определенном множестве аксиом, и нарушение хоть одной из них делает доверенную среду недоверенной. Самый простой пример: криптографическая стойкость: математически доказано, что злоумышленнику потребуются громадные средства, заведомо превышающие ценность охраняемой информации, чтобы осуществить атаку. Это позитивный пример... А вот — негативный: PKI основана на безусловном доверии к CA. И никаких доказательств добросовестности, кроме «Мамой клянусь!», нет.

                                      А вообще, давай попробуем определить параметры такой доверенной среды. Это будет интересно.

                                      Комментарий


                                      • #20
                                        Macil, прошу сначала ознакомиться с документом, а уж потом начинать фантазировать. Да проблемы есть, но это лучшее с чем я имел дело в плане построения защищённых ОС.

                                        Да, применены многие подходы микроядерных ОС и собсвенные наработки, ничего нового в целом не придумано.

                                        Про винду как это будет реализовано пока не ясно, и это будет за денежку.
                                        Не думаю, что для работы нужно именно три винды. Интернет-банк может в родной среде QubesOS работать (как минимум, iBank2 и лично мне иного и не надо). Как именно будет обеспечиваться безопасность виндовых приложений и на какой технологии базироваться пока не ясно. Может это будет wine или виртуальная машина, в которой будет работать винда или и то и другое вместе. В целом в вышеуказанном документе есть раздел про поддержку иных ОС.

                                        Про безопасность. Если кратко, то система изначально спроектирована так, что скомпромитировать системный домен (где администрирование и GUI) практически не возможно (только, если не найдут какую-то аппаратную уязвимость в процессорах и/или в коде гипервизора), равно как проникновение из одного домена в другой (если не найдут ошибку в коде, реализующем междоменное взаимодействие). Социальная инженения тоже не шибко канает, т.к. при штатной работе (если упрощёно пояснять): обычный пользователь не имеет привилегий в Dom0, даже если он захочет и попробует произвести операцию передачи вредоносного файла из зараженного домена в Dom0, то система запретит такую операцию и попросит привилегий уровня root.
                                        В общем всё изложено в вышеуказанном документе.

                                        Понятно, что из коробки всё это само по себе не обеспечит безопасность. От администратора требуется грамотно разбить воркфлоу пользователя по доменам (если сам пользователь на это не способен). Пример как это сделано у архитектора системы здесь.
                                        Последний раз редактировалось Zuz; 02.09.2011, 22:19.

                                        Комментарий


                                        • #21
                                          Сообщение от Zuz Посмотреть сообщение
                                          если не найдут ошибку в коде реализующем междоменное взаимодействие
                                          Почему не найдут? Обязательно найдут. И не только в софте, а еще и в железе.

                                          Сообщение от Zuz Посмотреть сообщение
                                          Про винду как это будет реализовано пока не ясно, и это будет за денежку.
                                          Да все ясно. Хуки к GDI+, буфер в domU, разделяемая память и композитор в dom0. Для первого можно приспособить RedHat'овский SPICE (вернее его «гостевую» часть для винды). Для второго есть Wayland. Кроме того, он намного лучше с точки зрения безопасности, т.к. в dom0 не будет крутиться X.

                                          В перспективе вместо буферов, скорее всего, будет использоваться какое-то взаимодействие на уровне OpenGL.

                                          А вообще, готов признать, идея здравая. И после прочтения материалов не так скептически отношусь. Надо было тебе сразу давать ссылку на нормальный документ, вместо желтой «прэссы». У меня на нее аллергия :P

                                          Да, такое решение отсекает большинство векторов атаки MitB, оставляя самые экзотичесике. Да, такое решение позволит очень сильно ограничить последствия тупизны оператора. Да, такое решение позволяет строить уникальные, а значит неуязвимые для массовых атак среды.

                                          Надо будет заценить.

                                          Комментарий


                                          • #22
                                            Ну M$ тоже на эту теме думает (первое что попалось), посмотрим как оно в Windows 8 будет реализовано. Думаю QubesOS будет слегка безопаснее.
                                            Последний раз редактировалось Zuz; 02.09.2011, 23:18.

                                            Комментарий


                                            • #23
                                              Сообщение от Zuz Посмотреть сообщение
                                              Та же Windows XP SP3 из коробки непробиваема, если ... не ходить в интернет по распространяющим заразу сайтам.
                                              В мире WWW ты невозможно контроллировать доступ к ресурсам. Вот возьмем этот форум. Он почему-то кроме своих собственных обширных скриптов пытается загрузить скрипты с yandex.ru, 123service.ru, rambler.ru и googleapis.com. Из остального: adriver, yandex, rambler, computerra? yardo. И это, блин, с отключенными скриптами и блокированными тегами object. И это еще не самое худшее. Всякие порталы вообще полинтернета пытаются скачать. Я уж молчу про то, что любая сволочь считает свои долгом подвесить всяких-разных печенек, чтобы меня можно было невозбранно мониторить.

                                              Кроме того, некоторым работникам в силу должностных обязанностей приходится ходить по массе мелких сайтов. В особенности по сайтам всяких мелких фирмочек с косорукими админами, и клиническими идиотами, считающими что паковать свои дурацкие прайсы (экселевские файлы) в SFX архивы — это круто. А такие сайты со 100% вероятностью распространают ящур.

                                              Комментарий


                                              • #24
                                                Macil, на уровне хоста контроль элементарный, даже средствами ОС это можно сделать. Это в контексте изоляции машинки для ДБО.

                                                В общем виде для серфинга хороша штука типа QubeOS (при необходимости прокся + режим приватности браузера), но можно и на скорую руку сделать отдельную машинку под эти нужды и подключаться к ней удалённо. На такой машинке можно воткнуть, что-то типа ShadowUser/SandboxIE/и т.п. и после активного браузинга откатывать. Массовая вирусня точно обломится. "Гипервирусы", конечно, захакают, возможно, и специальные вирусы тоже, т.к. думаю там много юзермоде хуков.

                                                Вообще я не люблю веб, как раз из-за его непрозрачности в плане безопасности и приватности (но лично мне скрывать особо нечего), а так же "недоразвитости" браузеров (сейчас оно чуть лучше стало, но всё равно, достаточно кривые получаются клиентские приложения). Про закачать полинтернета - промолчу. )))
                                                Последний раз редактировалось Zuz; 03.09.2011, 00:34.

                                                Комментарий


                                                • #25
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  Ну M$ тоже на эту теме думает
                                                  Да все об этому думают. Все развивается по спирали. Только раньше это было на большом железе, сейчас — на бытовом.

                                                  M$ может деать все что угодно, но это не отменят того факта что современная винда проектировалась для «рабочих групп», которые исчезли вместе с тонким ehternet, IPX/SPX и LPT-принетрами. А с веселыми похоронами Windows98 кончилась линейка ОС для рабочих станций. Здравые и передовые архитектурные начинания загажены. Возьмем, например, подсистему печати. В винде уймищу лет есть драйвер для генерации PostScript, есть универсальный драйвер с поддержкой нескольких командных языков, есть модули для различных видов аппаратного взаимодействия, даже есть возможность сохранять данные в виде файла на диске. И собственно гворя что? Да любой производитель счтает своим долгом поставить свои собственные, избыточные велосипеды. И ему похрен, что от кривых модулей валится спулер. Ага, а M$ совершенно пофиг, что эти модули выполняются с привелегиями процесса spoolsw. Да это же золотое дно для руткитописателей. Да еще самые интересные и вкусные особенности подсистемы печати, например возможность организации сетевой печати из ОС, где принципиально отсутствует нужный драйвер принтера, или создание виртуального «PDF-принтера», доступны через глубочайшую задницу. И дело не в технологии, а в стойком нежелании M$ развивать хоть что-то, что не относится к свистелками и перделкам, или не усложнит и без того сверхсложное сетевое взаимодействие со сторонними решениями.

                                                  Все-равно M$ не сможет «порвать» свою систему на несколько кусков, исполняющихся в разных виртуальных машинах. Хотя когда-то, на заре NT ради этого все и затевалось. Все-таки NT типа микроядерная.

                                                  Комментарий


                                                  • #26
                                                    Думаю, что банковские транзакции нужно вытаскивать в отдельный терминал. Железный, с неизвлекаемой криптографией, уникальным номером и читалкой смарткарт. Типа POSа. Что бы он и только он вел обмен с сервером банк-клиента, на него выводились платежи, принятые банком в состояние плановых, и не двигающихся, пока их не подтвердит клиент в терминале (для этого он должен уметь выводить список "Получатель, назначение, сумма"). Не такая уж дорогая и сложная задача, если взять какую нибудь более менее стандартную платформу и ОС, выбросив все ненужное, обмен с ПК вести только на уровне текстовых файлов жестко заданного формата, а обмен с банком через GPRS, опять же посылками подписанными и закриптованными. Без намека на браузеры естественно. Микросхема памяти, где лежит операционка, должна переводиться в режим записи только аппаратно. Компьютер же всегда будет набиваться троянами, ввиду его избыточности для этой задачи.

                                                    Второй по компромиссу вариант это "толстый" клиент на машине, отправляющей платежки и тонкий на машине, где под отдельным логином/паролем другой человек подтверждает платежи, видя их так, как показывает банк, а банк показывает их как jpg картинки.
                                                    На 101% панацея, но разрыв канала передачи и подтверждения на две разных технологии, на разные машины и технологически на разных людей резко снизят вероятность. Это для крупного клиента. Мелкому подтверждение по SMS наверное будет удобнее и дешевле

                                                    Комментарий


                                                    • #27
                                                      Сообщение от IgorL Посмотреть сообщение
                                                      Думаю, что банковские транзакции нужно вытаскивать в отдельный терминал.
                                                      Не поможет, ибо в таком терминале по-определению будет нетривиальная логика. А значит — всегда есть возможность заражения. Скажем так, есть возможность математически доказать корректность его спецификации, но серьезных практических подвижек в данном направлении пока нет. Хотя теперь это направление модное.

                                                      По деньгам, это действительно не так и дорого получится: братья-китайцы помогут. Зато с софтом полный мрак.

                                                      Сообщение от IgorL Посмотреть сообщение
                                                      где под отдельным логином/паролем другой человек подтверждает платежи
                                                      Против MitB не помогает. Злоумышленник может сколь угодно долго наблюдать за технологией отправки документов.

                                                      Сообщение от IgorL Посмотреть сообщение
                                                      На 101% панацея, но разрыв канала передачи и подтверждения на две разных технологии, на разные машины и технологически на разных людей
                                                      Это бесконечная рекурсия Да и основывается на достаточно шатком предположении, что злоумышленник «второй» канал не контроллирует.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Macil Посмотреть сообщение
                                                        Не поможет, ибо в таком терминале по-определению будет нетривиальная логика.
                                                        Зачем там "нетривиальная логика"? Нужно получить посылку из компьютера или набранную в редакторе формы подписать и отправить по GPRS на определенный порт/адрес. В банке у посылки проверяется ЭЦП и создаются документы в план. С уникальным ID. Формируется выписка по правильным или протокол ошибок, сразу проверяется на антифрод, документы высокого риска получают отдельный признак.. Это дело подписывается ЭЦП банка и отправляется в терминал. Терминал принимает посылку и проверяет ЭЦП. Если подпись не прошла - в мусор, прошла распарсить в выписку, показать каждый документ отдельно для подтверждения, выделив документы, на которые у антифрода подозрения. Оператор "крыжит" документы и отправляет посылку в банк за подписью клиента, в посылке только открыженные ID. Банк исполняет только "крыженые", остальные висят в плане до конца опердня, после чего перегружаются в план на завтра или в отказ. В следующем сеансе придет выписка по документам в факте. Очень даже тривиальная логика, 100% реализуемая на яву, с вызовам зашитой процедуры крипта, с уникальными для каждой железки ключами.
                                                        Сообщение от Macil Посмотреть сообщение
                                                        ...
                                                        По деньгам, это действительно не так и дорого получится: братья-китайцы помогут. Зато с софтом полный мрак.
                                                        Мрак конечно. Сам он не напишится, но написать такое под силу паре толковых кодеров и одному грамотному постановщику. Или одному программеру средней гениальности.
                                                        Сообщение от Macil Посмотреть сообщение
                                                        Против MitB не помогает. Злоумышленник может сколь угодно долго наблюдать за технологией отправки документов.
                                                        Это бесконечная рекурсия Да и основывается на достаточно шатком предположении, что злоумышленник «второй» канал не контроллирует.
                                                        Операции могут и будут разорваны во времени и в пространстве. Код на одной машине уже не пройдет, нужно будет внедрять уже в две, отслеживать извне две и т/д (естественно логин/пароль достаточно условно, конечно на обоих машинах двухфакторная аутентификация ). Рекурсии нет, есть разделение точек атаки, при котором риск одновременного заражения снижается. Но вариант слабее, это точно, особенно если обе машины имеют выход во внешнюю сеть.

                                                        Вообще вариантов масса, по моим наблюдениям в банках этому вопросу часто не уделяют должного внимания, деньги же воруют у клиента, а клиент хочет как можно дешевле.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от IgorL Посмотреть сообщение
                                                          Вообще вариантов масса, по моим наблюдениям в банках этому вопросу часто не уделяют должного внимания, деньги же воруют у клиента, а клиент хочет как можно дешевле.
                                                          Не понял мысли, что значит банк не уделяет внимания? Что должен банк делать по вашему?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от IgorL Посмотреть сообщение
                                                            Зачем там "нетривиальная логика"? Нужно получить посылку из компьютера или набранную в редакторе формы подписать и отправить по GPRS на определенный порт/адрес.
                                                            Это и есть нетривиальная логика! Даже не касаясь пользовательского уровня. Настолько нетривиальная, что без высокоуровневых фреймворков просто не обойтись. А иногда просто берут линукс.

                                                            Есть несколько вариантов микроядра L4, но это именно микроядра с упором на аппаратную виртуализацию. И поскольку это микроядра - не очень понятно где брать остальные компоненты, например такую "прозу" как стек TCP/IP и драйвера для оборудования. Предлагают из все того же паравиртуализованного линукса.

                                                            Решения, применяемые в продуктах Apple или RIM типа есть, но не про нашу честь. Даже за деньги.

                                                            На пользовательском уровне, безотносительно предметной области, нужны: стандартная библиотека С, какая-то реализация POSIX API (или своего), "юзерская" морда для взаимодействия с графической подсистемой, реализация OpenGL, бэк-енд графической библиотеки, фронт-енд графической библиотеки, оконный менеджер, движок браузера (со всеми его потрохами) и т.п. и т.д.

                                                            И это мы еще к реализации логики предметной области не приступили!

                                                            Сообщение от IgorL Посмотреть сообщение
                                                            внедрять уже в две, отслеживать извне две и т/д
                                                            И так далее, пока количество не упрется в бесконечность. И еще учти, что для тебя даже три таких машины - уже неприемлемо. А для злоумышленника - да раз плюнуть.

                                                            Сообщение от IgorL Посмотреть сообщение
                                                            конечно на обоих машинах двухфакторная аутентификация
                                                            Не работает двухфакторная аутентификация. Не работает даже связка смарт-карта - OTP, хотя это уже четырехфакторная

                                                            Комментарий

                                                            Обработка...
                                                            X