14 апреля, среда 22:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Как происходит проверка ЭЦП спорных платежей? ПО iBank 2

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как происходит проверка ЭЦП спорных платежей? ПО iBank 2

    Здравствуйте!

    Украли деньги с р/счета юр.лица, есть основания считать что данные платежки не были подписаны клиентом. ПО iBank 2 с USB-токеном "iBank 2 Key". ЭЦП одна.
    Техника взлома мало интересует, т.к. в теории ломается все, на практике почти все. Есть договор обслуживания и-банка, в котором четко прописано порядок разрешения спорных ситуаций: собрать комиссию из представителей банка, клиента и разработчиков софта и составить акт о правильности/неправильности подписи под платежкой.

    Меня, как представителя клиента, интересует как именно происходит эта процедура. Я программист, есть общее понимание принципов работы с ЭЦП.
    Я себе представляю процедуру так:
    1. Платежка, полученная банком, это некоторый набор данных сформированный клиентом (Плательщик, р/с, сумма, Получатель, банк, р/с и т.д.) и этот набор подписывается ЭЦП. Т.е. в результате имеем один файл с исходными данными и второй с ЭЦП. Назову их ФайлПП и ФайлПодпись. Или все в одном файле (подпись добавлена в исходный файл).
    2. Открытый ключ ЭЦП переданный банку на бумаге в виде распечатки шестнадцатеричного кода за подписью директора клиента и печатью. И тоже самое в электронном виде, назовем ФайлКлюч.
    3. Какая-то утилита от разработчика ПО iBank 2, которая берет все три файла и сообщает что подпись верна или неверна.

    В итоге (по моему представлению) должно выглядеть все так: банк предоставляет все три файла с утилитой, мы вместе запускаем, смотрим результат, так же проверяем совпадение "бумажного" открытого ключа с использованным в электронном виде, убеждаемся что внутри ФайлаПП та сама спорная ПП (ожидаю открыв текстовым редактором увидеть плательщика, получателя и т.д.).
    Для доп. проверки (при корректной подписи) искажаем ФайлПП - смотрим что она стала некорректной, а так же проверяем подпись любой из последних нормальных платежек. Это для проверки правильности работы самой утилиты.
    Извиняюсь за терминологию, я ее просто не знаю, если кто поправит буду благодарен.

    Спрашиваю тут, потому что с программистом банка уже состоялся разговор примерно такой:
    Я: Мы хотим проверить нашу подпись на спорных платежах
    П: Как вы себе это представляете? Платежки у нас в базе, я не могу вас к ней пустить
    Я: Мне не надо в вашу базу, дайте данные подписанные нами с подписью, чтобы мы могли их проверить
    П: Вам платежку распечатать?
    ...
    Не знаю дурачка он включал или я не теми терминами объяснялся. Боюсь как бы подобные опусы не превратились в демонстрацию подлинности ЭЦП.
    В итоге договорились через неделю устроить комиссию по проверке.
    Кстати попутно вопрос: предлагают обойтись без представителя разработчика ПО. Приглашать дорого. Но могут пригласить за счет клиента. Может кто подскажет как это обычно бывает?

    Вопрос: правильно я все понимаю или это происходит по другому?


    Предистория (к вопросу не относится, для любопытных) почему есть подозрения в адрес банка: в начале июня 2012 вскрылось что при достаточном остатке не уходят платежи с р/с. После разборок с операционистами было обнаружено две платежки: середина апреля 10 000р, конец мая 200 000 р. в адрес каких-то фирм однодневок. Этих сумм не было видно в ИБ до момента обнаружения (есть ежедневные распечатки выписок). Попутно был проверен на вирусы комп бухгалтера, на котором стоял антивирус MS Essential. При проверке НОД32 был найдет какой-то один подозрительный файлик, но не факт что это вообще был троян. Сомнения в том что это троян были из-за того что описание в антивирусных базах датировано 2006 годом. Банк конечно за это уцепился написал что клиент сам виноват раз не обеспечил требуемый уровень безопасности.
    Наиболее подозрительным кажется то что бухгалтера не видели этих платежей до начала разбирательства, а потом они "чудесным образом" появились и остатки изменились задним числом. Возможно конечно что это троян умело пропатчил и-банк и маскировал эти платежи, но тут смущает география и сумма: все произошло внутри Екатеринбурга (все юр.лица и банки здесь) а сумма смешная для такого рода разработки.

  • #2
    Для выгрузки документа с ЭП, ключа проверки ЭП и самой ЭП из "базы" в файлы в iBank2 есть специальное ПО (получить его банк может в службе поддержки БИФИТ по запросу на почту), вот описание:

    " Инструкция по использованию Арбитражной процедуры

    1. Для использования - распакуйте утилиту в отдельный каталог, укажите в bat-файле путь к каталогу iBank-а, путь к Java-машине.
    Также укажите идентификатор документа, тип документа и идентификатор ключа, которым подписан спорный документ.
    Идентификатор документа и идентификатор ключа можно узнать, распечатав спорный документ из АРМ операциониста со служебной информацией.
    Тип документа, для, например, платежки можно узнать, выполнив из-под пользователя ibank2 следующий запрос

    select id from doc_types where type like '%doc/payment%';

    2. Запустите doc-export.bat (должны появиться файлы file.bin, sign.bin, certificate.xml)

    3. Отправьте файлы на support@bifit.com"

    Затем БИФИТ проводит эксперитизу и даёт официальную бумагу (возможно за деньги, сами не пользовались этой услугой никогда). В случае судебного разбирательства они будут как эксперт привлечины, эти же данные могут быть переданы сторонним экспертам для независимой проверки.

    А вот процедура проверки подписи комиссией в банке в целом сводится действительно к демонстрации. Запускается АРМ Операциониста, в нём находят спорный документ, и жмакают кнопку проверка ЭП, в ответ будет сообщение, подпись верна или нет, там же можно увидеть немного деталей. Перед запуском этой магии можно убедиться, что апплет АРМ Администратора подписан ЭП БИФИТа (это JRE делает при запуске этого апплета в браузере), что собсвенно должно для вас, как клиента создать доверие к этой магической процедуре. А уж потом, если вы всё равно не верите, можете запустить арбитражную процедуру в БИФИТ (у них есть ПО, которое по этим трём файликам делает проверку ЭП, в файле file.bin лежит платежка в UTF16, остальные файлы тоже понятно).

    Конкретно в вашем случае, некоторые вредоносы для iBank2 действительно умеют прятать платежки в выписке, документах, и корректировать остатки. Банк по-хорошему должен был вас проинформировать о том, что такая вредоносная штука есть и вам необходим дополнительный контроль (хотя бы информирование через e-mail об операциях и сверка на конец дня, или там SMS-ки, в крайнем случае, если нет этих средств у банка то созвон с операционистом на конец рабочего дня).

    Образ вашего жестрого диска нужно отдать компетентным специалистам, они там быстро кучу заразы найдут (тот образ до момента, когда документы "чудесным образом появились" ибо вредонос умеет после грязных дел самоликвидироваться практически без следов).

    Так же я бы уволил вашего бухгалтера за нарушение дисциплины по контролю за счетом. Сверки даже на конец месяца с банком не делались (сверка должна проводится явная, без электронной магии). Это, конечно, жесть.
    Как минимум, потерю 200к можно было предотвратить.

    P.S. И, да, в полицию нужно бежать и следователю излагать свои подозерния, раз вы банк подозреваете. Да, и вообще, при хищениях, обычно, туда идут. 210к уже почти крупный размер, должны дело возбудить.
    Последний раз редактировалось Zuz; 15.08.2012, 14:27.

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Для выгрузки документа с ЭП, ключа проверки ЭП и самой ЭП из "базы" в файлы в iBank2 есть специальное ПО ...
      Вот похоже то что я ожидал
      Сообщение от Zuz Посмотреть сообщение
      2. Запустите doc-export.bat (должны появиться файлы file.bin, sign.bin, certificate.xml)
      Как понимаю те самые файлы которые я и ожидал увидеть (исходные данные, подпись и мой открытый ключ)
      Сообщение от Zuz Посмотреть сообщение
      3. Отправьте файлы на support@bifit.com"
      Затем БИФИТ проводит эксперитизу и даёт официальную бумагу (возможно за деньги, сами не пользовались этой услугой никогда). В случае судебного разбирательства они будут как эксперт привлечины
      Плохо что никакой утилиты нет на сайте Бифита, так бы скачал заведомо корректную прогу, подсунул ей три файла и убедился что правильная подпись или нет. Если подпись корректна, то и в суд незачем идти. Но так тоже выход. Надеюсь что ответят. Прошлое мое обращение к ним закончилось ответом робота: "Ваше обращение зарегистрировано с идентификатором RegId={97337}" Поэтому пришлось тут написать.
      Сообщение от Zuz Посмотреть сообщение
      эти же данные могут быть переданы сторонним экспертам для независимой проверки.
      Я так понимаю алгоритм используемый Бифитом для подписи известен. Можно поинтересоваться какой именно алгоритм? Насколько я знаю их несколько разных используется.

      Сообщение от Zuz Посмотреть сообщение
      А вот процедура проверки подписи комиссией в банке в целом сводится действительно к демонстрации. Запускается АРМ Операциониста, в нём находят спорный документ, и жмакают кнопку проверка ЭП, в ответ будет сообщение, подпись верна или нет.
      А если подписано другим ключем? (раз уж select можно то и update/insert пройдет при наличии прав) Тогда подпись верна, неверен открытый ключ. Свой открытый ключ я увижу в файле certificate.xml если все правильно понимаю. И он должен совпадать с переданным в банк на бумаге с подписью директора и печатью. То что платежи без подписи клиента бывают это факт, например: списание денег за услуги банка или списание по решению суда.

      Сообщение от Zuz Посмотреть сообщение
      Конкретно в вашем случае, некоторые вредоносы для iBank2 действительно умеют прятать платежки в выписке, документах, и корректировать остатки. Банк по-хорошему должен был вас проинформировать о том, что такая вредоносная штука есть и вам необходим дополнительный контроль (хотя бы информирование через e-mail об операциях и сверка на конец дня, или там SMS-ки, в крайнем случае, если нет этих средств у банка то созвон с операционистом на конец рабочего дня).
      SMS-ки были на телефон главбуха. Конкретно по сумме 200 т.р. СМС не приходило, остальные были. Она бы ее заметила, т.к. таких сумм одной платежкой не проходит.

      По поводу что "банк должен проинформировать" поржал от души, извините. Неужели правда есть такие банки которые проинформировали? Я ИП, сам шлю свои платежи, поэтому отслеживаю угрозы своему р/счету. Вот смотрю свой точно такой же ИБ от Бифита, только банк другой, покрупнее того о котором тут речь. Ради интереса пролистал все письма в ИБ и в почте с 2009 года. Ни слова о чем-то подобном. Точнее одно письмо со смыслом "новый сервис одноразовые пароли повышает надежность". Почитал инструкции на сайте банка по безопасности работы с ИБ, тоже самое. Стандартные формулировки. В части описания схем кражи: блокировка компа и отправка пп в этот момент, кража ключей и т.п. Рекомендации включить IP-фильтр, СМС и одноразовые пароли.
      Про умелое сокрытие отправленных ПП ни слова. Я сам изначально не поверил что такое возможно, знакомый программист из ЦБ тоже сказал что такого не бывает (правда и-банки не его профиль). Только на этом сайте прочитал что такое было. Написано год назад.
      Мое мнение: банки не обязаны оповещать клиентов о достижениях взломщиков, поэтому ограничиваются описанием и так общеизвестных схем взлома. А что-то подобное данному случаю всячески скрывается и умалчивается чтобы не напугать клиента непонятными словами. Не осуждаю банки, т.к. зная технический уровень людей со стороны клиента могу смело сказать что подобные рассылки минимум у половины получателей вызовут мысль "у кого-то в этом банке украли деньги через И-Банк, может сменить банк?" Да и Бифиту такая "реклама" не нужна. Молодцы что хоть на профильном форуме написали.
      Натолкнись я на описание подобного взлома в общекомпьютерной прессе, то думаю запомнил бы, уж очень нехарактерная для взломщиков разработка.

      Сообщение от Zuz Посмотреть сообщение
      Образ вашего жестрого диска нужно отдать компетентным специалистам, они там быстро кучу заразы найдут.
      А смысл? Компетентные специалисты за спасибо не работают. Допустим был тот самый троян, допустим взломщиков нашли, это уже фантастика, а то что удалось с них обратно деньги получить - это мистика.
      И потом спецы может и найдут троян, но никак не гарантируют что подобное никогда не повторится. Чисто технические меры по ограждению компа всякими техническими барьерами не могут гарантировать на 100% что подобное не повторится. Только менять подход к совершению платежей, что и так уже понятно без спецов. В данном случае делается несколько десятков платежей за раз переброской их из 1С-ки. Лично мне видится самый надежный и удобный в работе вариант - заведение двух подписей и поселение второй на отдельном ноуте, который будет включаться только для подписи.

      Сообщение от Zuz Посмотреть сообщение
      Так же я бы уволил вашего бухгалтера за нарушение дисциплины по контролю за счетом. Сверки даже на конец месяца с банком не делались.Это жесть.
      Как минимум, потерю 200к можно было предотвратить.
      Не надо так категорично валить на бухгалтера, контроль за счетом ведется, выписки ежедневно печатаются, проведенные платежи в 1С загружаются. Кто мог подумать что надо периодически перепроверять информацию показываемую в ИБ с тем что реально видит операционист банке. Для бухгалтеров ИБ это достоверный источник информации. Если за это увольнять, то думаю 99% бухгалтеров работающих с ИБ можно уволить.
      Лично для меня это тоже была неприятная новость о существовании такого трояна. Я сам делаю свои платежи, считал что я, как человек знающий достаточно много об организации ит-безопасности, принял достаточные меры предосторожности чтобы если не предотвратить взлом, то незамедлительно узнать о списании денег, а оно совсем не так как оказалось. Добавил себе отправку остатков в почту.

      Комментарий


      • #4
        Сообщение от Zuz Посмотреть сообщение
        P.S. И, да, в полицию нужно бежать и следователю излагать свои подозерния, раз вы банк подозреваете. Да, и вообще, при хищениях, обычно, туда идут. 210к уже почти крупный размер, должны дело возбудить.
        Смысл? Если подтвердится вина банка - есть договор с банком, мы в арбитраж и банк деньги вернет. А дальше пусть сами ищут у себя нечистых на руку, для этого в банке есть служба безопасности и другие специально обученные люди.

        PS Общение с полицией даже в качестве потерпевшего тот еще геморрой.
        PPS Да и неправильно наезжать на банк через полицию только на основании "мне кажется", надо сначала подтвердить вину банка. Тем более есть вполне реальный способ это проверить.
        Последний раз редактировалось DmitriyT; 15.08.2012, 17:50.

        Комментарий


        • #5
          Сообщение от DmitriyT Посмотреть сообщение
          Плохо что никакой утилиты нет на сайте Бифита, так бы скачал заведомо корректную прогу, подсунул ей три файла и убедился что правильная подпись или нет. Если подпись корректна, то и в суд незачем идти. Но так тоже выход. Надеюсь что ответят. Прошлое мое обращение к ним закончилось ответом робота: "Ваше обращение зарегистрировано с идентификатором RegId={97337}" Поэтому пришлось тут написать.
          Тут спорно, т.к., на мой взгляд, проверку должен проводить квалифицированный специалист.


          Сообщение от DmitriyT Посмотреть сообщение
          Я так понимаю алгоритм используемый Бифитом для подписи известен. Можно поинтересоваться какой именно алгоритм? Насколько я знаю их несколько разных используется..
          ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".
          Вообще всё это должно быть у вас в договоре прописано.


          Сообщение от DmitriyT Посмотреть сообщение
          А если подписано другим ключем? (раз уж select можно то и update/insert пройдет при наличии прав) Тогда подпись верна, неверен открытый ключ. Свой открытый ключ я увижу в файле certificate.xml если все правильно понимаю. И он должен совпадать с переданным в банк на бумаге с подписью директора и печатью. То что платежи без подписи клиента бывают это факт, например: списание денег за услуги банка или списание по решению суда.
          Как-то вы однобоко доверяете: утилите, которая из базы по id документа его выгружает вы доверяете, а вот ПО подписанное ЭП разработчика нет. В чём подвох? Вы считаете, что утилита выгрузит ваш ключ проверки ЭП, а АРМ Операциониста сделает не так? Нет, уверяю вас, что они работают одинаково, только АРМ Операциониста ещё и проверяет подпись, в окне проверки есть идентификатор ключа, по которому собсвенно ключи проверки ЭП и выгружаются утилитой, а так же ФИО. Этого вполне достаточно для досудебного урегулирования, если на этом этапе не верите, то просто попросите банк отправить как указано в арбитражной процедуре файлики в БИФИТ и дождитесь официального ответа.


          Сообщение от DmitriyT Посмотреть сообщение
          SMS-ки были на телефон главбуха. Конкретно по сумме 200 т.р. СМС не приходило, остальные были. Она бы ее заметила, т.к. таких сумм одной платежкой не проходит.
          Это всё опять же можно увидеть в логах на стороне банка, было или не было. Опять же 10к проскочило и вы говорите, что эта СМСка была, значит главбух не выполнил свои обязанности по контролю, что прискорбно. Т.к. на этом этапе можно было всё заблокировать и поменять.
          Если СМСки не доходят иногда, задублируйте на e-mail, ICQ (обычно, в iBank2 есть и эти каналы информирования).

          Сообщение от DmitriyT Посмотреть сообщение
          По поводу что "банк должен проинформировать" поржал от души, извините. Неужели правда есть такие банки которые проинформировали? Я ИП, сам шлю свои платежи, поэтому отслеживаю угрозы своему р/счету. Вот смотрю свой точно такой же ИБ от Бифита, только банк другой, покрупнее того о котором тут речь. Ради интереса пролистал все письма в ИБ и в почте с 2009 года. Ни слова о чем-то подобном. Точнее одно письмо со смыслом "новый сервис одноразовые пароли повышает надежность". Почитал инструкции на сайте банка по безопасности работы с ИБ, тоже самое. Стандартные формулировки. В части описания схем кражи: блокировка компа и отправка пп в этот момент, кража ключей и т.п. Рекомендации включить IP-фильтр, СМС и одноразовые пароли.
          Про умелое сокрытие отправленных ПП ни слова. Я сам изначально не поверил что такое возможно, знакомый программист из ЦБ тоже сказал что такого не бывает (правда и-банки не его профиль). Только на этом сайте прочитал что такое было. Написано год назад.
          Да, такие банки есть. Да, информируют. Да, БИФИТ информирует банки и просит их информировать клиентов. Да, некоторые банки не делают этого.
          Как вы могли прочитать на Банкире и здесь http://www.bifit.com/ru/company/press/vazhno5.html БИФИТ одной из мер защиты предлагает "полное и корректное информирование об угрозе".

          Сообщение от DmitriyT Посмотреть сообщение
          Мое мнение: банки не обязаны оповещать клиентов о достижениях взломщиков, поэтому ограничиваются описанием и так общеизвестных схем взлома. А что-то подобное данному случаю всячески скрывается и умалчивается чтобы не напугать клиента непонятными словами. Не осуждаю банки, т.к. зная технический уровень людей со стороны клиента могу смело сказать что подобные рассылки минимум у половины получателей вызовут мысль "у кого-то в этом банке украли деньги через И-Банк, может сменить банк?" Да и Бифиту такая "реклама" не нужна. Молодцы что хоть на профильном форуме написали.
          Натолкнись я на описание подобного взлома в общекомпьютерной прессе, то думаю запомнил бы, уж очень нехарактерная для взломщиков разработка.
          161-ФЗ не загорами, нормативка вся выпущена (почти вся), банки практически уже обязаны это делать. Тема освещалась широко, предпосылки такой разработки я описывал ещё в момент выхода iBank2Key здесь на форуме.

          Сообщение от DmitriyT Посмотреть сообщение
          А смысл? Компетентные специалисты за спасибо не работают. Допустим был тот самый троян, допустим взломщиков нашли, это уже фантастика, а то что удалось с них обратно деньги получить - это мистика.
          И потом спецы может и найдут троян, но никак не гарантируют что подобное никогда не повторится. Чисто технические меры по ограждению компа всякими техническими барьерами не могут гарантировать на 100% что подобное не повторится. Только менять подход к совершению платежей, что и так уже понятно без спецов. В данном случае делается несколько десятков платежей за раз переброской их из 1С-ки. Лично мне видится самый надежный и удобный в работе вариант - заведение двух подписей и поселение второй на отдельном ноуте, который будет включаться только для подписи.
          Для чего? Ну для правды, в ней сила же. )

          Для защиты, да, логично выделить отдельный компьютер, на котором проводить подпись документов можно действительно, проводить дополнительную подпись (для его защиты достаточно ограничить доступ в интернет до сайта системы, заблокировать все вх. сетевые соединения и всё, ну там флешки запретить и т.п. по мелочам).

          Для 1С есть плагин, подробности здесь https://ibank2.ru (просите ваш банк внедрить, очень удобная штука).

          Сообщение от DmitriyT Посмотреть сообщение
          Не надо так категорично валить на бухгалтера, контроль за счетом ведется, выписки ежедневно печатаются, проведенные платежи в 1С загружаются. Кто мог подумать что надо периодически перепроверять информацию показываемую в ИБ с тем что реально видит операционист банке.
          Олдскульные бухгалтеры вам скажут, что нужно. Некоторые банки ежемесячно составляют протоколы подтверждения остатков по счету. Да и появляться раз в месяц в банке хорошая практика, операционист должен вас знать в лицо. )


          Сообщение от DmitriyT Посмотреть сообщение
          Для бухгалтеров ИБ это достоверный источник информации. Если за это увольнять, то думаю 99% бухгалтеров работающих с ИБ можно уволить.
          Достоверный только в том случае, если вы уверены в том, что ваш компьютьер не страдает забывчивостью.
          Так же достоверный источник это выписка с ЭП банка, это уже документ, с которым можно и в суд идти (если ваш банк этого не делает, попросите внедрить, там делов не много, ну для тех кто в теме):

          Сообщение от DmitriyT Посмотреть сообщение
          Лично для меня это тоже была неприятная новость о существовании такого трояна. Я сам делаю свои платежи, считал что я, как человек знающий достаточно много об организации ит-безопасности, принял достаточные меры предосторожности чтобы если не предотвратить взлом, то незамедлительно узнать о списании денег, а оно совсем не так как оказалось. Добавил себе отправку остатков в почту.
          Вот, оно недостаточное информирование об угрозе, а говорите недейственная мера.

          Комментарий


          • #6
            Сообщение от DmitriyT Посмотреть сообщение
            Смысл? Если подтвердится вина банка - есть договор с банком, мы в арбитраж и банк деньги вернет. А дальше пусть сами ищут у себя нечистых на руку, для этого в банке есть служба безопасности и другие специально обученные люди.

            PS Общение с полицией даже в качестве потерпевшего тот еще геморрой.
            PPS Да и неправильно наезжать на банк через полицию только на основании "мне кажется", надо сначала подтвердить вину банка. Тем более есть вполне реальный способ это проверить.
            Да, для общего блага. Когда завалят полицию и прокуратуру жалобами, то может появится нормальная группа следователей, которые будут по этой теме работать. А то, вон дело Навального по хищению леса аж 4 следователя по особо важным делам ведут, а тут проблема безопасности государства (крадут столько, что это действительно так), а воз и ныне там (хотя может эта группа засекречена, так, чтобы не вспугнуть кого).

            Комментарий


            • #7
              Сообщение от Zuz Посмотреть сообщение
              Как-то вы однобоко доверяете: утилите, которая из базы по id документа его выгружает вы доверяете, а вот ПО подписанное ЭП разработчика нет. В чём подвох? Вы считаете, что утилита выгрузит ваш ключ проверки ЭП, а АРМ Операциониста сделает не так? Нет, уверяю вас, что они работают одинаково, только АРМ Операциониста ещё и проверяет подпись, в окне проверки есть идентификатор ключа, по которому собсвенно ключи проверки ЭП и выгружаются утилитой, а так же ФИО. Этого вполне достаточно для досудебного урегулирования, если на этом этапе не верите, то просто попросите банк отправить как указано в арбитражной процедуре файлики в БИФИТ и дождитесь официального ответа.
              Не то чтобы однобоко, просто перестраховываюсь по причине отсутствия какого-либо практического опыта в данном вопросе. Утилита она ведь в руках, можно ее потестить как "черный ящик", подавая на вход все что в голову придет. А непонятный софт что-то показывающий в руках человека которому изначально нельзя доверять автоматом вызывает недоверие. Если непонятный софт покажет результат в нашу пользу, то доверие к нему резко возрастет до 100%, особенно если банк признает свой косяк за подписью и печатью. В противном случае буду сомневаться до использования всех возможностей по проверке

              Сообщение от Zuz Посмотреть сообщение
              Это всё опять же можно увидеть в логах на стороне банка, было или не было. Опять же 10к проскочило и вы говорите, что эта СМСка была, значит главбух не выполнил свои обязанности по контролю, что прискорбно. Т.к. на этом этапе можно было всё заблокировать и поменять.
              Я это не говорил. Я сказал что не было смски про 200к хотя были смски о других платежах в тот день. 10к было за месяц до этого. Была о них смска или нет выяснить невозможно. Может не было, может была, но главбух не обратила на нее внимания т.к. большинство платежей именно такого размера, а делает их не она, а другой человек. Если за день падают смски о нескольких десятках платежей, и вы видите только сумму то тут может вызвать подозрение только нестандартно большая сумма.
              Что касается логов банка - так их видит только банк, нам они ничего не показывали и не покажут. В ИБ нам тоже не посмотреть, т.к. мы его тут же отключили после обнаружения хищения. Банк же написал только официальный опус с перечислением ID-шников из своей базы и успокоился.

              Сообщение от Zuz Посмотреть сообщение
              Да, такие банки есть. Да, информируют. Да, БИФИТ информирует банки и просит их информировать клиентов. Да, некоторые банки не делают этого.
              Рад что не все потеряно. Кстати на сайте вашего банка битая ссылка про информационную безопасность на сайт Бифита.

              Сообщение от Zuz Посмотреть сообщение
              Да, для общего блага. Когда завалят полицию и прокуратуру жалобами, то может появится нормальная группа следователей
              Общее благо это хорошо. Но надежда на появление нормальной группы следователей отсутствует, извините. Тут гораздо эффективней скандал в прессе устроить, чтоб большое начальство услышало, тогда и группа появится. Хотя тут не мне решать, не мои деньги украли.

              Комментарий


              • #8
                Сообщение от Zuz Посмотреть сообщение
                а тут проблема безопасности государства (крадут столько, что это действительно так), а воз и ныне там (хотя может эта группа засекречена, так, чтобы не вспугнуть кого).
                Причем тут государство? Крадут ведь у частных контор больше (т.к. среди пользователей ИБ частных юриков на порядки больше чем государственных). Обокрали бы р/с газпрома на пару миллиардов, на худой конец бухгалтерию прокуратуры или следственного комитета, так сразу бы результаты появились. Шутка. У большинства гос.контор все через мин.финансов, там свой софт, так что они в безопасности.
                Если серьезно то слабо верю в возможность расследования таких дел глобально. По следам в инете можно найти только полного ламера. Только по горячим следам конкретного случая, отслеживать путь прохождения денег, тогда еще можно успеть перехватить вора в момент получения денег, кстати на этом и ловят обычно в подобных случаях.

                Комментарий


                • #9
                  DmitriyT, государство притом, что эти деньги затем идут в основном на то, против чего государство борется и для чего собсвенно создано. Вы думаете в оргпреступности дураки? Как только они про эту тему узнали, сразу пошли инвестиции, начался бум разработки различных зловредов.

                  Комментарий


                  • #10
                    Сообщение от DmitriyT Посмотреть сообщение
                    Не то чтобы однобоко, просто перестраховываюсь по причине отсутствия какого-либо практического опыта в данном вопросе. Утилита она ведь в руках, можно ее потестить как "черный ящик", подавая на вход все что в голову придет. А непонятный софт что-то показывающий в руках человека которому изначально нельзя доверять автоматом вызывает недоверие. Если непонятный софт покажет результат в нашу пользу, то доверие к нему резко возрастет до 100%, особенно если банк признает свой косяк за подписью и печатью. В противном случае буду сомневаться до использования всех возможностей по проверке
                    Но ведь этот софт подписан ЭП БИФИТ и при запуске эта подпись проверяется. Как в этом случае может быть недоверие? Т.е. вы допускаете, что в банке троян или спец. модификация базы, которая в одном случае одни данные показывает в другом другие? ИМХО, для сумм < 800к такого подтверждения вполне должно хваталть, а дальше логично привлекать БИФИТ.
                    И, да, как вообще может быть недоверие к банку? Если оно есть, то бегите от туда. )

                    Сообщение от DmitriyT Посмотреть сообщение
                    Я это не говорил. Я сказал что не было смски про 200к хотя были смски о других платежах в тот день. 10к было за месяц до этого. Была о них смска или нет выяснить невозможно. Может не было, может была, но главбух не обратила на нее внимания т.к. большинство платежей именно такого размера, а делает их не она, а другой человек. Если за день падают смски о нескольких десятках платежей, и вы видите только сумму то тут может вызвать подозрение только нестандартно большая сумма.
                    Ну, на лицо, безалаберность. Зачем они падают ей на сотовой, если последпроверка не проводится. А вообще в СМСке с информации о проводке (если банк не экономит), обычно, видно не только сумму, но и контрагента и даже основание (4-5 стандартных СМСок такое сообщение занимает).

                    Сообщение от DmitriyT Посмотреть сообщение
                    Что касается логов банка - так их видит только банк, нам они ничего не показывали и не покажут. В ИБ нам тоже не посмотреть, т.к. мы его тут же отключили после обнаружения хищения. Банк же написал только официальный опус с перечислением ID-шников из своей базы и успокоился.
                    Ну хоть что то. ) Я просто к тому, что может ваш главбух скрыл факт прихода СМСки с 200к. ) Поверьте, были случаи в практике и более курьёзные, например, когда клиент сам подтверждает, что это действительно он отправил документ (благо у нас телефонные разговоры записывают), а потом дней через десять в панике звонит и говорит, что перепутал.

                    Сообщение от DmitriyT Посмотреть сообщение
                    Рад что не все потеряно. Кстати на сайте вашего банка битая ссылка про информационную безопасность на сайт Бифита.
                    Да, у нас не всё так гладко, как хотелось бы, сейчас идёт очередной виток актуализации, повышения уровня информирования клиентов и качества (переход на новую версию iBank2, обновление договора / инструктивных материалов и .т.п).


                    Сообщение от DmitriyT Посмотреть сообщение
                    Общее благо это хорошо. Но надежда на появление нормальной группы следователей отсутствует, извините. Тут гораздо эффективней скандал в прессе устроить, чтоб большое начальство услышало, тогда и группа появится. Хотя тут не мне решать, не мои деньги украли.
                    Не уверен, куча нераскрытых дел сходной тематики не меньший стимул. Статистика в органах очень важна. )

                    Комментарий


                    • #11
                      Сообщение от Zuz Посмотреть сообщение
                      Но ведь этот софт подписан ЭП БИФИТ и при запуске эта подпись проверяется. Как в этом случае может быть недоверие? Т.е. вы допускаете, что в банке троян или спец. модификация базы, которая в одном случае одни данные показывает в другом другие?
                      БИФИТу я доверяю, только подпись гарантирует что софт не пропатчен, но гарантии что никто не лазил ручками напрямую в базу и ничего там не поправил БИФИТ не дает.
                      Практика показывает что сломать можно все. Вопрос только в цене взлома. Поэтому хочу увидеть три файла. Данные и открытый ключ я могу проверить сам, надеюсь данные не шифрованы, проверить корректность подписи доверим БИФИТу. В то что подпись не подделана верю только потому что ее подделка займет очень долгое время.

                      Сообщение от Zuz Посмотреть сообщение
                      И, да, как вообще может быть недоверие к банку? Если оно есть, то бегите от туда.
                      Уже. Первое действие было смена банка.

                      Сообщение от Zuz Посмотреть сообщение
                      Ну, на лицо, безалаберность. Зачем они падают ей на сотовой, если последпроверка не проводится.
                      Если рассматривать версию с трояном, то ничего не мешает ему предварительно отключить все каналы доставки извещений, отправить платеж, а после включить обратно. В общем гадать можно долго, а проверить просто - попросить банк посмотреть логи извещений.
                      Сообщение от Zuz Посмотреть сообщение
                      А вообще в СМСке с информации о проводке (если банк не экономит), обычно, видно не только сумму, но и контрагента и даже основание
                      Скажу про свой банк, в СМСке получаю "Доставлен документ 16.08.2012 09:49 GMT+06:00 Платежное поручение N:123 16.08.2012 100.00 RUR Подпись N1: ФИО"
                      Никаких настроек смс-оповещения не предусмотрено. Если выбрать отправку мылом - тогда есть куча галок для выбора что писать в оповещении.

                      Сообщение от Zuz Посмотреть сообщение
                      Не уверен, куча нераскрытых дел сходной тематики не меньший стимул. Статистика в органах очень важна.
                      Звучит замечательно в теории, только на практике быть потерпевшим по заведомо нескрывающемуся делу очень невеселое занятие. Думаете пришел, заяву написал быстренько и дело ушло тут же в нераскрытые пополнять статистику? Нет, у полиции есть свои формальности, они всех учавствующих вызовут для дачи показаний, потом дело могут передать другому следователю, тот повторно всех опросит, потом еще раз если будет что-то делаться и вскрываться какие-то новые факты. А потом может случиться что какой-то хакер-нарик Вася (специалист по установке ломаных виндовсов) неожиданно во всем сознается, напишет добровольное признание по нескольким десяткам таких висяков и висяки закроются, статистика нормализуется. Позовут еще на суд сходить, на Васю посмотреть. Увы, но вот таким нехитрым способом статистика выправляется.

                      Комментарий


                      • #12
                        DmitriyT если забивать на обращение в правоохранительные органы, то масштабы бедствия будут расти невероятными темпами. и по моему опыту подобные дела раскрываются, тут вы не правы.

                        Комментарий


                        • #13
                          Сообщение от olgeir Посмотреть сообщение
                          по моему опыту подобные дела раскрываются, тут вы не правы.
                          Возможно неправ, статистики никакой не видел по данному вопросу. Повторюсь, деньги не мои, не мне решать обращаться в полицию или нет. Свое мнение по этому вопросу выше изложил. Может оно и поменяется если подобная ситуация повторится со мной или с кем-то из знакомых.

                          Комментарий


                          • #14
                            Сообщение от DmitriyT Посмотреть сообщение
                            Уже. Первое действие было смена банка.
                            Увы, не помогает.

                            У коллеги в банке был случай
                            1. Выловили фродовый платеж, позвонили клиенту
                            2. Клиент спасен, клиент счастлив, клиент заблокировал ключи, клиент расслаблен
                            3. Клиент перезвонил через пару дней и рассказал:
                            - Вы знаете, а хищение у нас всё таки случилось, но в другом банке, хотя с того же компьютера %(

                            Кажется, даже система клиент-банк была иная в другом банке.

                            Так что лечение не там где болит... не помогает...

                            Комментарий


                            • #15
                              Сообщение от zoomp Посмотреть сообщение
                              Так что лечение не там где болит... не помогает...
                              Лечение произведено везде где только можно. Однозначно и там и не там. Сменой банка все не ограничилось.

                              ЗЫ Я прекрасно понимаю что форум тут сотрудников банков и я такой-сякой пытаюсь доказать вину людей которые считаются априори невиновными. Давайте сделаем перерыв несколько дней. Я получу требуемые файлы, проверю подписи и обязательно отпишусь по результату. У меня нет цели обвинить банк любой ценой. Просто есть подозрения в его вине.

                              Комментарий


                              • #16
                                Сообщение от zoomp Посмотреть сообщение
                                - Вы знаете, а хищение у нас всё таки случилось, но в другом банке, хотя с того же компьютера %(
                                И снова недостаток информирования, хорошей практикой при обнаружении компрометации является замена всех ключей, которые использовались на данном компьютере. Об этом крайне желательно клиенту напомнить!

                                Комментарий


                                • #17
                                  Сообщение от DmitriyT Посмотреть сообщение
                                  БИФИТу я доверяю, только подпись гарантирует что софт не пропатчен, но гарантии что никто не лазил ручками напрямую в базу и ничего там не поправил БИФИТ не дает.
                                  Практика показывает что сломать можно все. Вопрос только в цене взлома. Поэтому хочу увидеть три файла. Данные и открытый ключ я могу проверить сам, надеюсь данные не шифрованы, проверить корректность подписи доверим БИФИТу. В то что подпись не подделана верю только потому что ее подделка займет очень долгое время.
                                  Данные не зашифрованы, я же вам уже говорил. Платежка это просто файл в UTF16, сертификат xml-ка, в которой в таком же как и на бумаге виде лежит ключик проверки ЭП.
                                  По поводу модификации базы, она чисто теоретически возможна, но маловероятна в вашем случае, хотя не исключена и, если вы окажитессь правы, то это будет сенсацией, т.к. пока таких случаев обнародовано не было.

                                  Сообщение от DmitriyT Посмотреть сообщение
                                  Если рассматривать версию с трояном, то ничего не мешает ему предварительно отключить все каналы доставки извещений, отправить платеж, а после включить обратно. В общем гадать можно долго, а проверить просто - попросить банк посмотреть логи извещений.
                                  Насколько известно, нет трояна с такой функциональностью сейчас. Но, потенциально это возможно (хотя, если мне не изменяет память, что то для противодействию этому делалось, доберусь до стенда проверю). Вы не поверите, но злоумышленники часто наоборот настраивают информирование, например, на ICQ, чтобы получать информацию по движению из первых рук не заходя в систему.
                                  А так, желательно ещё мониторить вход в систему, хотя от "инжетещегося в вашу сессию" трояна это тоже не спасает.

                                  Сообщение от DmitriyT Посмотреть сообщение
                                  Скажу про свой банк, в СМСке получаю "Доставлен документ 16.08.2012 09:49 GMT+06:00 Платежное поручение N:123 16.08.2012 100.00 RUR Подпись N1: ФИО"
                                  Никаких настроек смс-оповещения не предусмотрено. Если выбрать отправку мылом - тогда есть куча галок для выбора что писать в оповещении.
                                  В iBank2? Странно, там куча настроек для инфы по СМС, есть все нужные поля.


                                  Сообщение от DmitriyT Посмотреть сообщение
                                  Звучит замечательно в теории, только на практике быть потерпевшим по заведомо нескрывающемуся делу очень невеселое занятие. Думаете пришел, заяву написал быстренько и дело ушло тут же в нераскрытые пополнять статистику? Нет, у полиции есть свои формальности, они всех учавствующих вызовут для дачи показаний, потом дело могут передать другому следователю, тот повторно всех опросит, потом еще раз если будет что-то делаться и вскрываться какие-то новые факты. А потом может случиться что какой-то хакер-нарик Вася (специалист по установке ломаных виндовсов) неожиданно во всем сознается, напишет добровольное признание по нескольким десяткам таких висяков и висяки закроются, статистика нормализуется. Позовут еще на суд сходить, на Васю посмотреть. Увы, но вот таким нехитрым способом статистика выправляется.
                                  А никто не говорил, что подобный инцидент обходится дёшево, банку он тоже кучу проблем создаёт.

                                  Комментарий


                                  • #18
                                    Сообщение от Zuz Посмотреть сообщение
                                    И снова недостаток информирования, хорошей практикой при обнаружении компрометации является замена всех ключей, которые использовались на данном компьютере. Об этом крайне желательно клиенту напомнить!
                                    Насколько я понимаю смена ключей тоже была, нельзя же с тем же ключом в другой банк уйти.

                                    Комментарий


                                    • #19
                                      Сообщение от Zuz Посмотреть сообщение
                                      В iBank2? Странно, там куча настроек для инфы по СМС, есть все нужные поля.
                                      Тут я напутал, я поставил "Все исходящие платежи", там нет выбора. Если поставить "Платежное поручение" то там можно включить в СМС получателя и прочие данные из платежки.

                                      Комментарий


                                      • #20
                                        По теме топика: Дали мне требуемые файлы, подпись везде наша стоит, банк не виноват. Так что остается версия с трояном.
                                        По поводу обращения в полицию я наврал немного, попытка написать заявление была, но в полиции дело не стали заводить т.к. ущерб незначительный, значительный по их меркам от 250 т.р. (сам только сегодня только узнал что попытка завести дело была).
                                        Появились кое-какие мысли по этому поводу: в разговоре были заявления что банку такие случаи тоже приносят ущерб и бьют по репутации, таких случаев происходит достаточно много, идет организация внутригородского межбанковского сообщества, в т.ч. для обмена информацией по подобным случаям. Планируется внедрение дополнительных мер зашиты, в т.ч. анализ платежей и дополнительное переспрашивание клиента в случае подозрительных платежей. Все это звучит прекрасно, но как говорится "на каждую хитрую попу найдется ..." (дословно не буду писать, думаю как оно звучит в оригинале все знают).
                                        Тут невозможно ограничится только техническими мерами. Это никогда не даст 100% защиту. Надо помогать клиенту решать проблему если уж такое случилось. Хотя бы оказать квалифицированную юридическую помощь. Ведь клиент даже если он юр.лицо далеко не всегда обладает собственным юр. отделом, даже если и есть юрист, то его профильные знания не включают уголовный кодекс, у него нет большого опыта общения с полицией. А у банков есть юр.отделы, службы безопасности состоящие из бывших сотрудников полиции, прокуратуры и более серьезных органов. Так почему бы не предложить клиенту помощь? Даже не выходя за рамки закона можно просто помочь оформить заявление в полицию так чтоб та его приняла и как-то помочь/подсказать той же полиции как вести дело, помочь в сборе банковской информации, они ведь тоже далеко не профи в банковском деле, а тем более в его ИТ части. А реакция банков: "Извините но вы сами лоханулись вот сами и разгребайте". Наш банк такую позицию занял, и в этом топике тоже самое высказывалось. Да и в соседнем топике обсуждается как бы подальше послать запросы МВД. На словах вроде банки переживают за свою репутацию, а на деле как-то совсем по другому получается.

                                        Комментарий


                                        • #21
                                          Сообщение от DmitriyT Посмотреть сообщение
                                          Насколько я понимаю смена ключей тоже была, нельзя же с тем же ключом в другой банк уйти.
                                          Не совсем понял ответ, сменить ключи нужно для всех систем ДБО используемых на этом компьютере (и даже если не использовались в целях профилактики), переустановить ОС и т.д. Это должно быть в рекомендациях банка по итогам инцидента, сначала желательно в устной форме для оперативности. Установить жесткий контроль за каждым счетом (например, созвон с операционистом).
                                          Если бы была смена, не было бы хищения ну или повторно увели ключи после смены, такое бывает, если трояна не извести.
                                          Об этом нужно подробно объяснять, да - не все банки это делают, но ситуация улучшается.

                                          По поводу юридической помощи: АРБ выпустила рекомендации по этой теме, банки по идее должны их использовать, чтобы помочь и клиенту, и органам. Одно могу сказать, эта работа достаточно затратная, пока не каждый банк готов выделить на это направление специалистов. В этом проблема. Но 161-ФЗ уже совсем близко, а так же контроль со стороны ЦБ, ситуация в целом должна начать улучшаться.

                                          И да, отказать вам в возбуждении уголовного дела не могли на этом основании - это УК ст. 159 ч. 4: организованная группа - есть, приобретение права на чужое имущество путем обмана или злоупотребления доверием - есть, всё вперёд, ну и пачка других статей из главы 28 УК и подделка электронного документа туда же.
                                          Последний раз редактировалось Zuz; 21.08.2012, 23:23.

                                          Комментарий


                                          • #22
                                            DmitriyT а вам банк давал какие либо рекомендации по безопасной работе с банк-клиентом?

                                            Комментарий


                                            • #23
                                              Сообщение от DmitriyT Посмотреть сообщение
                                              Так что остается версия с трояном.
                                              В ibank2 есть волшебная штука Device Fingerprint С помощью нее это можно выяснить, равно, как и многое другое.

                                              Комментарий


                                              • #24
                                                Сообщение от Aleksonx Посмотреть сообщение
                                                В ibank2 есть волшебная штука Device Fingerprint С помощью нее это можно выяснить, равно, как и многое другое.
                                                Думаете его невозможно подделать? Так и не понял, что именно сказать хотели.

                                                Комментарий


                                                • #25
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  Думаете его невозможно подделать?
                                                  В случае трояна должны по идее все группы, кроме четвертой измениться.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Aleksonx Посмотреть сообщение
                                                    В случае трояна должны по идее все группы, кроме четвертой измениться.
                                                    Не обязательно, например, для сучаев удаленного управления машиной через троян (типично при использовании iBank2Key), и не уверен я, что нет троянов, которые могут собирать такую инфу дополнительно, чтобы потом её использовать (есть же троян, который документ сркывает в выписке и списке документов).

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      удаленного управления машиной через троян
                                                      Пятая группа поменяется должна.
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      и не уверен я, что нет троянов, которые могут собирать такую инфу дополнительно, чтобы потом её использовать (есть же троян, который документ сркывает в выписке и списке документов)
                                                      Ну тут из серии "полную уверенность может дать только страховой полис" (с)

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Aleksonx Посмотреть сообщение
                                                        Пятая группа поменяется должна.
                                                        Как правило, но были и случаи когда не менялась. Хм, а откуда у вас знания по этой теме, вообще в документации про это ни слова?

                                                        Комментарий


                                                        • #29
                                                          Zuz, Немного подсказали, а потом игрался на тестовом сервере.

                                                          Комментарий

                                                          Обработка...
                                                          X