Здравствуйте!
Украли деньги с р/счета юр.лица, есть основания считать что данные платежки не были подписаны клиентом. ПО iBank 2 с USB-токеном "iBank 2 Key". ЭЦП одна.
Техника взлома мало интересует, т.к. в теории ломается все, на практике почти все. Есть договор обслуживания и-банка, в котором четко прописано порядок разрешения спорных ситуаций: собрать комиссию из представителей банка, клиента и разработчиков софта и составить акт о правильности/неправильности подписи под платежкой.
Меня, как представителя клиента, интересует как именно происходит эта процедура. Я программист, есть общее понимание принципов работы с ЭЦП.
Я себе представляю процедуру так:
1. Платежка, полученная банком, это некоторый набор данных сформированный клиентом (Плательщик, р/с, сумма, Получатель, банк, р/с и т.д.) и этот набор подписывается ЭЦП. Т.е. в результате имеем один файл с исходными данными и второй с ЭЦП. Назову их ФайлПП и ФайлПодпись. Или все в одном файле (подпись добавлена в исходный файл).
2. Открытый ключ ЭЦП переданный банку на бумаге в виде распечатки шестнадцатеричного кода за подписью директора клиента и печатью. И тоже самое в электронном виде, назовем ФайлКлюч.
3. Какая-то утилита от разработчика ПО iBank 2, которая берет все три файла и сообщает что подпись верна или неверна.
В итоге (по моему представлению) должно выглядеть все так: банк предоставляет все три файла с утилитой, мы вместе запускаем, смотрим результат, так же проверяем совпадение "бумажного" открытого ключа с использованным в электронном виде, убеждаемся что внутри ФайлаПП та сама спорная ПП (ожидаю открыв текстовым редактором увидеть плательщика, получателя и т.д.).
Для доп. проверки (при корректной подписи) искажаем ФайлПП - смотрим что она стала некорректной, а так же проверяем подпись любой из последних нормальных платежек. Это для проверки правильности работы самой утилиты.
Извиняюсь за терминологию, я ее просто не знаю, если кто поправит буду благодарен.
Спрашиваю тут, потому что с программистом банка уже состоялся разговор примерно такой:
Я: Мы хотим проверить нашу подпись на спорных платежах
П: Как вы себе это представляете? Платежки у нас в базе, я не могу вас к ней пустить
Я: Мне не надо в вашу базу, дайте данные подписанные нами с подписью, чтобы мы могли их проверить
П: Вам платежку распечатать?
...
Не знаю дурачка он включал или я не теми терминами объяснялся. Боюсь как бы подобные опусы не превратились в демонстрацию подлинности ЭЦП.
В итоге договорились через неделю устроить комиссию по проверке.
Кстати попутно вопрос: предлагают обойтись без представителя разработчика ПО. Приглашать дорого. Но могут пригласить за счет клиента. Может кто подскажет как это обычно бывает?
Вопрос: правильно я все понимаю или это происходит по другому?
Предистория (к вопросу не относится, для любопытных) почему есть подозрения в адрес банка: в начале июня 2012 вскрылось что при достаточном остатке не уходят платежи с р/с. После разборок с операционистами было обнаружено две платежки: середина апреля 10 000р, конец мая 200 000 р. в адрес каких-то фирм однодневок. Этих сумм не было видно в ИБ до момента обнаружения (есть ежедневные распечатки выписок). Попутно был проверен на вирусы комп бухгалтера, на котором стоял антивирус MS Essential. При проверке НОД32 был найдет какой-то один подозрительный файлик, но не факт что это вообще был троян. Сомнения в том что это троян были из-за того что описание в антивирусных базах датировано 2006 годом. Банк конечно за это уцепился написал что клиент сам виноват раз не обеспечил требуемый уровень безопасности.
Наиболее подозрительным кажется то что бухгалтера не видели этих платежей до начала разбирательства, а потом они "чудесным образом" появились и остатки изменились задним числом. Возможно конечно что это троян умело пропатчил и-банк и маскировал эти платежи, но тут смущает география и сумма: все произошло внутри Екатеринбурга (все юр.лица и банки здесь) а сумма смешная для такого рода разработки.
Украли деньги с р/счета юр.лица, есть основания считать что данные платежки не были подписаны клиентом. ПО iBank 2 с USB-токеном "iBank 2 Key". ЭЦП одна.
Техника взлома мало интересует, т.к. в теории ломается все, на практике почти все. Есть договор обслуживания и-банка, в котором четко прописано порядок разрешения спорных ситуаций: собрать комиссию из представителей банка, клиента и разработчиков софта и составить акт о правильности/неправильности подписи под платежкой.
Меня, как представителя клиента, интересует как именно происходит эта процедура. Я программист, есть общее понимание принципов работы с ЭЦП.
Я себе представляю процедуру так:
1. Платежка, полученная банком, это некоторый набор данных сформированный клиентом (Плательщик, р/с, сумма, Получатель, банк, р/с и т.д.) и этот набор подписывается ЭЦП. Т.е. в результате имеем один файл с исходными данными и второй с ЭЦП. Назову их ФайлПП и ФайлПодпись. Или все в одном файле (подпись добавлена в исходный файл).
2. Открытый ключ ЭЦП переданный банку на бумаге в виде распечатки шестнадцатеричного кода за подписью директора клиента и печатью. И тоже самое в электронном виде, назовем ФайлКлюч.
3. Какая-то утилита от разработчика ПО iBank 2, которая берет все три файла и сообщает что подпись верна или неверна.
В итоге (по моему представлению) должно выглядеть все так: банк предоставляет все три файла с утилитой, мы вместе запускаем, смотрим результат, так же проверяем совпадение "бумажного" открытого ключа с использованным в электронном виде, убеждаемся что внутри ФайлаПП та сама спорная ПП (ожидаю открыв текстовым редактором увидеть плательщика, получателя и т.д.).
Для доп. проверки (при корректной подписи) искажаем ФайлПП - смотрим что она стала некорректной, а так же проверяем подпись любой из последних нормальных платежек. Это для проверки правильности работы самой утилиты.
Извиняюсь за терминологию, я ее просто не знаю, если кто поправит буду благодарен.
Спрашиваю тут, потому что с программистом банка уже состоялся разговор примерно такой:
Я: Мы хотим проверить нашу подпись на спорных платежах
П: Как вы себе это представляете? Платежки у нас в базе, я не могу вас к ней пустить
Я: Мне не надо в вашу базу, дайте данные подписанные нами с подписью, чтобы мы могли их проверить
П: Вам платежку распечатать?
...
Не знаю дурачка он включал или я не теми терминами объяснялся. Боюсь как бы подобные опусы не превратились в демонстрацию подлинности ЭЦП.
В итоге договорились через неделю устроить комиссию по проверке.
Кстати попутно вопрос: предлагают обойтись без представителя разработчика ПО. Приглашать дорого. Но могут пригласить за счет клиента. Может кто подскажет как это обычно бывает?
Вопрос: правильно я все понимаю или это происходит по другому?
Предистория (к вопросу не относится, для любопытных) почему есть подозрения в адрес банка: в начале июня 2012 вскрылось что при достаточном остатке не уходят платежи с р/с. После разборок с операционистами было обнаружено две платежки: середина апреля 10 000р, конец мая 200 000 р. в адрес каких-то фирм однодневок. Этих сумм не было видно в ИБ до момента обнаружения (есть ежедневные распечатки выписок). Попутно был проверен на вирусы комп бухгалтера, на котором стоял антивирус MS Essential. При проверке НОД32 был найдет какой-то один подозрительный файлик, но не факт что это вообще был троян. Сомнения в том что это троян были из-за того что описание в антивирусных базах датировано 2006 годом. Банк конечно за это уцепился написал что клиент сам виноват раз не обеспечил требуемый уровень безопасности.
Наиболее подозрительным кажется то что бухгалтера не видели этих платежей до начала разбирательства, а потом они "чудесным образом" появились и остатки изменились задним числом. Возможно конечно что это троян умело пропатчил и-банк и маскировал эти платежи, но тут смущает география и сумма: все произошло внутри Екатеринбурга (все юр.лица и банки здесь) а сумма смешная для такого рода разработки.
Комментарий