Для выгрузки документа с ЭП, ключа проверки ЭП и самой ЭП из "базы" в файлы в iBank2 есть специальное ПО (получить его банк может в службе поддержки БИФИТ по запросу на почту), вот описание:

" Инструкция по использованию Арбитражной процедуры

1. Для использования - распакуйте утилиту в отдельный каталог, укажите в bat-файле путь к каталогу iBank-а, путь к Java-машине.
Также укажите идентификатор документа, тип документа и идентификатор ключа, которым подписан спорный документ.
Идентификатор документа и идентификатор ключа можно узнать, распечатав спорный документ из АРМ операциониста со служебной информацией.
Тип документа, для, например, платежки можно узнать, выполнив из-под пользователя ibank2 следующий запрос

select id from doc_types where type like '%doc/payment%';

2. Запустите doc-export.bat (должны появиться файлы file.bin, sign.bin, certificate.xml)

3. Отправьте файлы на support@bifit.com"

Затем БИФИТ проводит эксперитизу и даёт официальную бумагу (возможно за деньги, сами не пользовались этой услугой никогда). В случае судебного разбирательства они будут как эксперт привлечины, эти же данные могут быть переданы сторонним экспертам для независимой проверки.

А вот процедура проверки подписи комиссией в банке в целом сводится действительно к демонстрации. Запускается АРМ Операциониста, в нём находят спорный документ, и жмакают кнопку проверка ЭП, в ответ будет сообщение, подпись верна или нет, там же можно увидеть немного деталей. Перед запуском этой магии можно убедиться, что апплет АРМ Администратора подписан ЭП БИФИТа (это JRE делает при запуске этого апплета в браузере), что собсвенно должно для вас, как клиента создать доверие к этой магической процедуре. А уж потом, если вы всё равно не верите, можете запустить арбитражную процедуру в БИФИТ (у них есть ПО, которое по этим трём файликам делает проверку ЭП, в файле file.bin лежит платежка в UTF16, остальные файлы тоже понятно).

Конкретно в вашем случае, некоторые вредоносы для iBank2 действительно умеют прятать платежки в выписке, документах, и корректировать остатки. Банк по-хорошему должен был вас проинформировать о том, что такая вредоносная штука есть и вам необходим дополнительный контроль (хотя бы информирование через e-mail об операциях и сверка на конец дня, или там SMS-ки, в крайнем случае, если нет этих средств у банка то созвон с операционистом на конец рабочего дня).

Образ вашего жестрого диска нужно отдать компетентным специалистам, они там быстро кучу заразы найдут (тот образ до момента, когда документы "чудесным образом появились" ибо вредонос умеет после грязных дел самоликвидироваться практически без следов).

Так же я бы уволил вашего бухгалтера за нарушение дисциплины по контролю за счетом. Сверки даже на конец месяца с банком не делались (сверка должна проводится явная, без электронной магии). Это, конечно, жесть.
Как минимум, потерю 200к можно было предотвратить.

P.S. И, да, в полицию нужно бежать и следователю излагать свои подозерния, раз вы банк подозреваете. Да, и вообще, при хищениях, обычно, туда идут. 210к уже почти крупный размер, должны дело возбудить.

Вот похоже то что я ожидал
Как понимаю те самые файлы которые я и ожидал увидеть (исходные данные, подпись и мой открытый ключ)
Плохо что никакой утилиты нет на сайте Бифита, так бы скачал заведомо корректную прогу, подсунул ей три файла и убедился что правильная подпись или нет. Если подпись корректна, то и в суд незачем идти. Но так тоже выход. Надеюсь что ответят. Прошлое мое обращение к ним закончилось ответом робота: "Ваше обращение зарегистрировано с идентификатором RegId={97337}" Поэтому пришлось тут написать.
Я так понимаю алгоритм используемый Бифитом для подписи известен. Можно поинтересоваться какой именно алгоритм? Насколько я знаю их несколько разных используется.

А если подписано другим ключем? (раз уж select можно то и update/insert пройдет при наличии прав) Тогда подпись верна, неверен открытый ключ. Свой открытый ключ я увижу в файле certificate.xml если все правильно понимаю. И он должен совпадать с переданным в банк на бумаге с подписью директора и печатью. То что платежи без подписи клиента бывают это факт, например: списание денег за услуги банка или списание по решению суда.

SMS-ки были на телефон главбуха. Конкретно по сумме 200 т.р. СМС не приходило, остальные были. Она бы ее заметила, т.к. таких сумм одной платежкой не проходит.

По поводу что "банк должен проинформировать" поржал от души, извините. Неужели правда есть такие банки которые проинформировали? Я ИП, сам шлю свои платежи, поэтому отслеживаю угрозы своему р/счету. Вот смотрю свой точно такой же ИБ от Бифита, только банк другой, покрупнее того о котором тут речь. Ради интереса пролистал все письма в ИБ и в почте с 2009 года. Ни слова о чем-то подобном. Точнее одно письмо со смыслом "новый сервис одноразовые пароли повышает надежность". Почитал инструкции на сайте банка по безопасности работы с ИБ, тоже самое. Стандартные формулировки. В части описания схем кражи: блокировка компа и отправка пп в этот момент, кража ключей и т.п. Рекомендации включить IP-фильтр, СМС и одноразовые пароли.
Про умелое сокрытие отправленных ПП ни слова. Я сам изначально не поверил что такое возможно, знакомый программист из ЦБ тоже сказал что такого не бывает (правда и-банки не его профиль). Только на этом сайте прочитал что такое было. Написано год назад.
Мое мнение: банки не обязаны оповещать клиентов о достижениях взломщиков, поэтому ограничиваются описанием и так общеизвестных схем взлома. А что-то подобное данному случаю всячески скрывается и умалчивается чтобы не напугать клиента непонятными словами. Не осуждаю банки, т.к. зная технический уровень людей со стороны клиента могу смело сказать что подобные рассылки минимум у половины получателей вызовут мысль "у кого-то в этом банке украли деньги через И-Банк, может сменить банк?" Да и Бифиту такая "реклама" не нужна. Молодцы что хоть на профильном форуме написали.
Натолкнись я на описание подобного взлома в общекомпьютерной прессе, то думаю запомнил бы, уж очень нехарактерная для взломщиков разработка.

А смысл? Компетентные специалисты за спасибо не работают. Допустим был тот самый троян, допустим взломщиков нашли, это уже фантастика, а то что удалось с них обратно деньги получить - это мистика.
И потом спецы может и найдут троян, но никак не гарантируют что подобное никогда не повторится. Чисто технические меры по ограждению компа всякими техническими барьерами не могут гарантировать на 100% что подобное не повторится. Только менять подход к совершению платежей, что и так уже понятно без спецов. В данном случае делается несколько десятков платежей за раз переброской их из 1С-ки. Лично мне видится самый надежный и удобный в работе вариант - заведение двух подписей и поселение второй на отдельном ноуте, который будет включаться только для подписи.

Не надо так категорично валить на бухгалтера, контроль за счетом ведется, выписки ежедневно печатаются, проведенные платежи в 1С загружаются. Кто мог подумать что надо периодически перепроверять информацию показываемую в ИБ с тем что реально видит операционист банке. Для бухгалтеров ИБ это достоверный источник информации. Если за это увольнять, то думаю 99% бухгалтеров работающих с ИБ можно уволить.
Лично для меня это тоже была неприятная новость о существовании такого трояна. Я сам делаю свои платежи, считал что я, как человек знающий достаточно много об организации ит-безопасности, принял достаточные меры предосторожности чтобы если не предотвратить взлом, то незамедлительно узнать о списании денег, а оно совсем не так как оказалось. Добавил себе отправку остатков в почту.

Смысл? Если подтвердится вина банка - есть договор с банком, мы в арбитраж и банк деньги вернет. А дальше пусть сами ищут у себя нечистых на руку, для этого в банке есть служба безопасности и другие специально обученные люди.

PS Общение с полицией даже в качестве потерпевшего тот еще геморрой.
PPS Да и неправильно наезжать на банк через полицию только на основании "мне кажется", надо сначала подтвердить вину банка. Тем более есть вполне реальный способ это проверить.

Тут спорно, т.к., на мой взгляд, проверку должен проводить квалифицированный специалист.


ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".
Вообще всё это должно быть у вас в договоре прописано.


Как-то вы однобоко доверяете: утилите, которая из базы по id документа его выгружает вы доверяете, а вот ПО подписанное ЭП разработчика нет. В чём подвох? Вы считаете, что утилита выгрузит ваш ключ проверки ЭП, а АРМ Операциониста сделает не так? Нет, уверяю вас, что они работают одинаково, только АРМ Операциониста ещё и проверяет подпись, в окне проверки есть идентификатор ключа, по которому собсвенно ключи проверки ЭП и выгружаются утилитой, а так же ФИО. Этого вполне достаточно для досудебного урегулирования, если на этом этапе не верите, то просто попросите банк отправить как указано в арбитражной процедуре файлики в БИФИТ и дождитесь официального ответа.


Это всё опять же можно увидеть в логах на стороне банка, было или не было. Опять же 10к проскочило и вы говорите, что эта СМСка была, значит главбух не выполнил свои обязанности по контролю, что прискорбно. Т.к. на этом этапе можно было всё заблокировать и поменять.
Если СМСки не доходят иногда, задублируйте на e-mail, ICQ (обычно, в iBank2 есть и эти каналы информирования).

Да, такие банки есть. Да, информируют. Да, БИФИТ информирует банки и просит их информировать клиентов. Да, некоторые банки не делают этого.
Как вы могли прочитать на Банкире и здесь http://www.bifit.com/ru/company/press/vazhno5.html БИФИТ одной из мер защиты предлагает "полное и корректное информирование об угрозе".

161-ФЗ не загорами, нормативка вся выпущена (почти вся), банки практически уже обязаны это делать. Тема освещалась широко, предпосылки такой разработки я описывал ещё в момент выхода iBank2Key здесь на форуме.

Для чего? Ну для правды, в ней сила же. )

Для защиты, да, логично выделить отдельный компьютер, на котором проводить подпись документов можно действительно, проводить дополнительную подпись (для его защиты достаточно ограничить доступ в интернет до сайта системы, заблокировать все вх. сетевые соединения и всё, ну там флешки запретить и т.п. по мелочам).

Для 1С есть плагин, подробности здесь https://ibank2.ru (просите ваш банк внедрить, очень удобная штука).

Олдскульные бухгалтеры вам скажут, что нужно. Некоторые банки ежемесячно составляют протоколы подтверждения остатков по счету. Да и появляться раз в месяц в банке хорошая практика, операционист должен вас знать в лицо. )


Достоверный только в том случае, если вы уверены в том, что ваш компьютьер не страдает забывчивостью.
Так же достоверный источник это выписка с ЭП банка, это уже документ, с которым можно и в суд идти (если ваш банк этого не делает, попросите внедрить, там делов не много, ну для тех кто в теме):

Вот, оно недостаточное информирование об угрозе, а говорите недейственная мера.

Да, для общего блага. Когда завалят полицию и прокуратуру жалобами, то может появится нормальная группа следователей, которые будут по этой теме работать. А то, вон дело Навального по хищению леса аж 4 следователя по особо важным делам ведут, а тут проблема безопасности государства (крадут столько, что это действительно так), а воз и ныне там (хотя может эта группа засекречена, так, чтобы не вспугнуть кого).

Не то чтобы однобоко, просто перестраховываюсь по причине отсутствия какого-либо практического опыта в данном вопросе. Утилита она ведь в руках, можно ее потестить как "черный ящик", подавая на вход все что в голову придет. А непонятный софт что-то показывающий в руках человека которому изначально нельзя доверять автоматом вызывает недоверие. Если непонятный софт покажет результат в нашу пользу, то доверие к нему резко возрастет до 100%, особенно если банк признает свой косяк за подписью и печатью. В противном случае буду сомневаться до использования всех возможностей по проверке

Я это не говорил. Я сказал что не было смски про 200к хотя были смски о других платежах в тот день. 10к было за месяц до этого. Была о них смска или нет выяснить невозможно. Может не было, может была, но главбух не обратила на нее внимания т.к. большинство платежей именно такого размера, а делает их не она, а другой человек. Если за день падают смски о нескольких десятках платежей, и вы видите только сумму то тут может вызвать подозрение только нестандартно большая сумма.
Что касается логов банка - так их видит только банк, нам они ничего не показывали и не покажут. В ИБ нам тоже не посмотреть, т.к. мы его тут же отключили после обнаружения хищения. Банк же написал только официальный опус с перечислением ID-шников из своей базы и успокоился.

Рад что не все потеряно. Кстати на сайте вашего банка битая ссылка про информационную безопасность на сайт Бифита.

Общее благо это хорошо. Но надежда на появление нормальной группы следователей отсутствует, извините. Тут гораздо эффективней скандал в прессе устроить, чтоб большое начальство услышало, тогда и группа появится. Хотя тут не мне решать, не мои деньги украли.

Причем тут государство? Крадут ведь у частных контор больше (т.к. среди пользователей ИБ частных юриков на порядки больше чем государственных). Обокрали бы р/с газпрома на пару миллиардов, на худой конец бухгалтерию прокуратуры или следственного комитета, так сразу бы результаты появились. Шутка. У большинства гос.контор все через мин.финансов, там свой софт, так что они в безопасности.
Если серьезно то слабо верю в возможность расследования таких дел глобально. По следам в инете можно найти только полного ламера. Только по горячим следам конкретного случая, отслеживать путь прохождения денег, тогда еще можно успеть перехватить вора в момент получения денег, кстати на этом и ловят обычно в подобных случаях.

DmitriyT, государство притом, что эти деньги затем идут в основном на то, против чего государство борется и для чего собсвенно создано. Вы думаете в оргпреступности дураки? Как только они про эту тему узнали, сразу пошли инвестиции, начался бум разработки различных зловредов.

Но ведь этот софт подписан ЭП БИФИТ и при запуске эта подпись проверяется. Как в этом случае может быть недоверие? Т.е. вы допускаете, что в банке троян или спец. модификация базы, которая в одном случае одни данные показывает в другом другие? ИМХО, для сумм < 800к такого подтверждения вполне должно хваталть, а дальше логично привлекать БИФИТ.
И, да, как вообще может быть недоверие к банку? Если оно есть, то бегите от туда. )

Ну, на лицо, безалаберность. Зачем они падают ей на сотовой, если последпроверка не проводится. А вообще в СМСке с информации о проводке (если банк не экономит), обычно, видно не только сумму, но и контрагента и даже основание (4-5 стандартных СМСок такое сообщение занимает).

Ну хоть что то. ) Я просто к тому, что может ваш главбух скрыл факт прихода СМСки с 200к. ) Поверьте, были случаи в практике и более курьёзные, например, когда клиент сам подтверждает, что это действительно он отправил документ (благо у нас телефонные разговоры записывают), а потом дней через десять в панике звонит и говорит, что перепутал.

Да, у нас не всё так гладко, как хотелось бы, сейчас идёт очередной виток актуализации, повышения уровня информирования клиентов и качества (переход на новую версию iBank2, обновление договора / инструктивных материалов и .т.п).


Не уверен, куча нераскрытых дел сходной тематики не меньший стимул. Статистика в органах очень важна. )

БИФИТу я доверяю, только подпись гарантирует что софт не пропатчен, но гарантии что никто не лазил ручками напрямую в базу и ничего там не поправил БИФИТ не дает.
Практика показывает что сломать можно все. Вопрос только в цене взлома. Поэтому хочу увидеть три файла. Данные и открытый ключ я могу проверить сам, надеюсь данные не шифрованы, проверить корректность подписи доверим БИФИТу. В то что подпись не подделана верю только потому что ее подделка займет очень долгое время.

Уже. Первое действие было смена банка.

Если рассматривать версию с трояном, то ничего не мешает ему предварительно отключить все каналы доставки извещений, отправить платеж, а после включить обратно. В общем гадать можно долго, а проверить просто - попросить банк посмотреть логи извещений.
Скажу про свой банк, в СМСке получаю "Доставлен документ 16.08.2012 09:49 GMT+06:00 Платежное поручение N:123 16.08.2012 100.00 RUR Подпись N1: ФИО"
Никаких настроек смс-оповещения не предусмотрено. Если выбрать отправку мылом - тогда есть куча галок для выбора что писать в оповещении.

Звучит замечательно в теории, только на практике быть потерпевшим по заведомо нескрывающемуся делу очень невеселое занятие. Думаете пришел, заяву написал быстренько и дело ушло тут же в нераскрытые пополнять статистику? Нет, у полиции есть свои формальности, они всех учавствующих вызовут для дачи показаний, потом дело могут передать другому следователю, тот повторно всех опросит, потом еще раз если будет что-то делаться и вскрываться какие-то новые факты. А потом может случиться что какой-то хакер-нарик Вася (специалист по установке ломаных виндовсов) неожиданно во всем сознается, напишет добровольное признание по нескольким десяткам таких висяков и висяки закроются, статистика нормализуется. Позовут еще на суд сходить, на Васю посмотреть. Увы, но вот таким нехитрым способом статистика выправляется.

DmitriyT если забивать на обращение в правоохранительные органы, то масштабы бедствия будут расти невероятными темпами. и по моему опыту подобные дела раскрываются, тут вы не правы.

Возможно неправ, статистики никакой не видел по данному вопросу. Повторюсь, деньги не мои, не мне решать обращаться в полицию или нет. Свое мнение по этому вопросу выше изложил. Может оно и поменяется если подобная ситуация повторится со мной или с кем-то из знакомых.

Увы, не помогает.

У коллеги в банке был случай
1. Выловили фродовый платеж, позвонили клиенту
2. Клиент спасен, клиент счастлив, клиент заблокировал ключи, клиент расслаблен
3. Клиент перезвонил через пару дней и рассказал:
- Вы знаете, а хищение у нас всё таки случилось, но в другом банке, хотя с того же компьютера %(

Кажется, даже система клиент-банк была иная в другом банке.

Так что лечение не там где болит... не помогает...

Лечение произведено везде где только можно. Однозначно и там и не там. Сменой банка все не ограничилось.

ЗЫ Я прекрасно понимаю что форум тут сотрудников банков и я такой-сякой пытаюсь доказать вину людей которые считаются априори невиновными. Давайте сделаем перерыв несколько дней. Я получу требуемые файлы, проверю подписи и обязательно отпишусь по результату. У меня нет цели обвинить банк любой ценой. Просто есть подозрения в его вине.

И снова недостаток информирования, хорошей практикой при обнаружении компрометации является замена всех ключей, которые использовались на данном компьютере. Об этом крайне желательно клиенту напомнить!

Данные не зашифрованы, я же вам уже говорил. Платежка это просто файл в UTF16, сертификат xml-ка, в которой в таком же как и на бумаге виде лежит ключик проверки ЭП.
По поводу модификации базы, она чисто теоретически возможна, но маловероятна в вашем случае, хотя не исключена и, если вы окажитессь правы, то это будет сенсацией, т.к. пока таких случаев обнародовано не было.

Насколько известно, нет трояна с такой функциональностью сейчас. Но, потенциально это возможно (хотя, если мне не изменяет память, что то для противодействию этому делалось, доберусь до стенда проверю). Вы не поверите, но злоумышленники часто наоборот настраивают информирование, например, на ICQ, чтобы получать информацию по движению из первых рук не заходя в систему.
А так, желательно ещё мониторить вход в систему, хотя от "инжетещегося в вашу сессию" трояна это тоже не спасает.

В iBank2? Странно, там куча настроек для инфы по СМС, есть все нужные поля.


А никто не говорил, что подобный инцидент обходится дёшево, банку он тоже кучу проблем создаёт.

Насколько я понимаю смена ключей тоже была, нельзя же с тем же ключом в другой банк уйти.

Тут я напутал, я поставил "Все исходящие платежи", там нет выбора. Если поставить "Платежное поручение" то там можно включить в СМС получателя и прочие данные из платежки.

По теме топика: Дали мне требуемые файлы, подпись везде наша стоит, банк не виноват. Так что остается версия с трояном.
По поводу обращения в полицию я наврал немного, попытка написать заявление была, но в полиции дело не стали заводить т.к. ущерб незначительный, значительный по их меркам от 250 т.р. (сам только сегодня только узнал что попытка завести дело была).
Появились кое-какие мысли по этому поводу: в разговоре были заявления что банку такие случаи тоже приносят ущерб и бьют по репутации, таких случаев происходит достаточно много, идет организация внутригородского межбанковского сообщества, в т.ч. для обмена информацией по подобным случаям. Планируется внедрение дополнительных мер зашиты, в т.ч. анализ платежей и дополнительное переспрашивание клиента в случае подозрительных платежей. Все это звучит прекрасно, но как говорится "на каждую хитрую попу найдется ..." (дословно не буду писать, думаю как оно звучит в оригинале все знают).
Тут невозможно ограничится только техническими мерами. Это никогда не даст 100% защиту. Надо помогать клиенту решать проблему если уж такое случилось. Хотя бы оказать квалифицированную юридическую помощь. Ведь клиент даже если он юр.лицо далеко не всегда обладает собственным юр. отделом, даже если и есть юрист, то его профильные знания не включают уголовный кодекс, у него нет большого опыта общения с полицией. А у банков есть юр.отделы, службы безопасности состоящие из бывших сотрудников полиции, прокуратуры и более серьезных органов. Так почему бы не предложить клиенту помощь? Даже не выходя за рамки закона можно просто помочь оформить заявление в полицию так чтоб та его приняла и как-то помочь/подсказать той же полиции как вести дело, помочь в сборе банковской информации, они ведь тоже далеко не профи в банковском деле, а тем более в его ИТ части. А реакция банков: "Извините но вы сами лоханулись вот сами и разгребайте". Наш банк такую позицию занял, и в этом топике тоже самое высказывалось. Да и в соседнем топике обсуждается как бы подальше послать запросы МВД. На словах вроде банки переживают за свою репутацию, а на деле как-то совсем по другому получается.

Не совсем понял ответ, сменить ключи нужно для всех систем ДБО используемых на этом компьютере (и даже если не использовались в целях профилактики), переустановить ОС и т.д. Это должно быть в рекомендациях банка по итогам инцидента, сначала желательно в устной форме для оперативности. Установить жесткий контроль за каждым счетом (например, созвон с операционистом).
Если бы была смена, не было бы хищения ну или повторно увели ключи после смены, такое бывает, если трояна не извести.
Об этом нужно подробно объяснять, да - не все банки это делают, но ситуация улучшается.

По поводу юридической помощи: АРБ выпустила рекомендации по этой теме, банки по идее должны их использовать, чтобы помочь и клиенту, и органам. Одно могу сказать, эта работа достаточно затратная, пока не каждый банк готов выделить на это направление специалистов. В этом проблема. Но 161-ФЗ уже совсем близко, а так же контроль со стороны ЦБ, ситуация в целом должна начать улучшаться.

И да, отказать вам в возбуждении уголовного дела не могли на этом основании - это УК ст. 159 ч. 4: организованная группа - есть, приобретение права на чужое имущество путем обмана или злоупотребления доверием - есть, всё вперёд, ну и пачка других статей из главы 28 УК и подделка электронного документа туда же.

DmitriyT а вам банк давал какие либо рекомендации по безопасной работе с банк-клиентом?

В ibank2 есть волшебная штука Device Fingerprint С помощью нее это можно выяснить, равно, как и многое другое.

Думаете его невозможно подделать? Так и не понял, что именно сказать хотели.

В случае трояна должны по идее все группы, кроме четвертой измениться.

Не обязательно, например, для сучаев удаленного управления машиной через троян (типично при использовании iBank2Key), и не уверен я, что нет троянов, которые могут собирать такую инфу дополнительно, чтобы потом её использовать (есть же троян, который документ сркывает в выписке и списке документов).

Пятая группа поменяется должна.
Ну тут из серии "полную уверенность может дать только страховой полис" (с)

Как правило, но были и случаи когда не менялась. Хм, а откуда у вас знания по этой теме, вообще в документации про это ни слова?

Zuz, Немного подсказали, а потом игрался на тестовом сервере.