Совет (предупреждение) начальникам отделов компьютеризации в различных банках которые выдают ключи доступа для системы "Банк-клиент":
1) В момент подписания акта приема передачи ключей доступа требуйте у клиента (который пришел за ключом) ксерокопию его паспорта, и тщательным образом сверте подписи на паспорте и на акте приема передач. Добавте ксерокопию паспорта к своей копии данного акта.
2) Если у Вас нет в логах обращения к серверу банка, IP адреса клиента пользующегося "Банк-клиентом"(или программа не сервере не позволяет, или отсутствует какая либо тех, деталь:naughty:), то добивайтесь у руководства изменения!!!!

В связи с увеличивающемся количеством мошеннических финансовых операций, с доступом к р/с предприятия посредством "Банк-клиент" наше государство терпит много миллиардные убытки (налоги и тд). И очень часто крайними становятся отделы которые выдают ключи доступа к р/с.
А в случае несовпадения образцов почерка в акте приема передач ключей доступа и (учетнй карточкой клиента, паспорта директора) то уголовная статья (халатность), как минимум.

С чего бы это ?
С какой стати тут раздаете "предупреждение" ?
Где факты о "многомиллиардных убытках" ?
Вы читали ПОЛОЖЕНИЕ ЦБ о проведении расчетов с использованием программного комплекса "Банк-клиент" (от 27.06.1998 г. N 402)
Кстати сейчас обсуждается проект нового положения.

И очень часто крайними становятся отделы которые выдают ключи доступа к р/с.
А в случае несовпадения образцов почерка в акте приема передач ключей доступа и (учетнй карточкой клиента, паспорта директора) то уголовная статья (халатность), как минимум.
Договор на обслуживание в системе "Банк-клиент" составляется между филиалом и клиентом. Если договор не заполнен надлежащим образом то виноват в первую очередь руководитель филиала.

С какой стати тут раздаете "предупреждение" ?
ОТ собственного желания предостеречь.
Где факты о "многомиллиардных убытках" ?
В уголовных делах, которые в текущий момент ведёт отдел по борьбе с экономическими преступлениями республиканского МВД.
Вы читали ПОЛОЖЕНИЕ ЦБ о проведении расчетов с использованием программного комплекса "Банк-клиент" (от 27.06.1998 г. N 402) Нет, да и не моя эта сфера деятельности. Так как к работе банкам в РУз, Я не имею никакого отношения.

В уголовных делах, которые в текущий момент ведёт отдел по борьбе с экономическими преступлениями республиканского МВД.
В таком случае, подождем до оглашения ...

В уголовных делах, которые в текущий момент ведёт отдел по борьбе с экономическими преступлениями республиканского МВД.
Любая халатность, тем более преступная должна быть наказана!

Совет (предупреждение) начальникам отделов компьютеризации в различных банках которые выдают ключи доступа для системы "Банк-клиент": 1) В момент подписания акта приема передачи ключей доступа требуйте у клиента (который пришел за ключом) ксерокопию его паспорта, и тщательным образом сверте подписи на паспорте и на акте приема передач. Добавте ксерокопию паспорта к своей копии данного акта. 2) Если у Вас нет в логах обращения к серверу банка, IP адреса клиента пользующегося "Банк-клиентом"(или программа не сервере не позволяет, или отсутствует какая либо тех, деталь), то добивайтесь у руководства изменения!!!!

За это спасибо, IT- шникам надо помнить об этих правилах которые у некоторых так и так применяется.

В связи с увеличивающемся количеством мошеннических финансовых операций, с доступом к р/с предприятия посредством "Банк-клиент" наше государство терпит много миллиардные убытки (налоги и тд).

Ну миллиарды это уже слишком, наверное имеется ввиду в целом все долги "оптовиков" по налогам, IT-шники тут не карйние. Вообще-то я думаю технически это невозможно.

А в случае несовпадения образцов почерка в акте приема передач ключей доступа и (учетнй карточкой клиента, паспорта директора) то уголовная статья (халатность), как минимум.

Ну за халатность, везде надо отвечать.

Кстати сейчас обсуждается проект нового положения.

Мы дали свои предложения, кто нибудь ещё дал?

Договор на обслуживание в системе "Банк-клиент" составляется между филиалом и клиентом. Если договор не заполнен надлежащим образом то виноват в первую очередь руководитель филиала.
Ну миллиарды это уже слишком, наверное имеется ввиду в целом все долги "оптовиков" по налогам, IT-шники тут не карйние. Вообще-то я думаю технически это невозможно.

Две гипотетическии ситуации:
Действующие лица:
Банкиров У.З. начальник отдела компьютеризации(банка или его филлиала);
Бэзил Кэт - директор фирмы ООО "Миракл Филд"
следователь -

Гипотетическая ситуация №1
ООО "Миракл Филд" открывает 31 февраля р/с в банке и получает электронные ключи к р/с (при акте передачи было только визуальный посмотр присутствия подписи и печати). Через небольшой помежуток времени на основании уголовного дела происходит выемка докуметов ООО "Миракл Филд". И получив вызов в прокуратуру или МВД, Банкиров У.З. узнает что с помощью программы "банк клиент" были проведены платежи на общую сумму ХХХХХХХХХ сум. И что по акту экспертизы проведенной с документами фирмы выяснилось:
Печать и подпись в учетной карточке клиента подлинные.
А (тут есть вариации: или печать подделана или подпись, а может что и подпись и печать подделные) на акте приема передач электронного ключа поддельные.А директор ООО "Миракл Филд" заявил что программу "Банк-клиент" не использовал, и не получал электронный ключ в принципе.
И гн Банкиров У.З. у следствия в связи с выше перечисленными данными становится подозреваемым в соучастии. И ........

Гипотетическая ситуация №2
ООО "Миракл Филд" открывает 31 февраля р/с в банке и получает электронные ключи к р/с . Через небольшой помежуток времени на основании уголовного дела происходит выемка докуметов ООО "Миракл Филд". И получив вызов в прокуратуру или МВД, Банкиров У.З. узнает что с помощью программы "банк клиент" были проведены платежи на общую сумму ХХХХХХХХХ сум. И что по акту экспертизы проведенной с сервером банка логи с работой р/с ООО "Миракл Филд" указывают на его домашний адрес (или рабочее место). И ........

....... что скрыто за многоточием, предлагаю домыслить самостоятельно, Я выложил грубо говоря основу, но которая может быть изменена при введении на первых взгляд мелких, но меняющих эту основу кардинально факторов.
Выше перечисленны ситуации взяты из историй различных уголовных дел которые были в странах СНГ, и обсуждались на различных форумах и новостях.

И также совет директорам и главным бухгалтерам различных организаций: Будьте осторожны со своими электронными ключами доступа к р/с.
:187:

И также совет директорам и главным бухгалтерам различных организаций: Будьте осторожны со своими электронными ключами доступа к р/с.Честно говоря не понял смысла открытия темы. То что банки запуганные и через чур осторожные вы наверное не лучше меня знаете. И если идут на нарушение закона то во многом сознательно, с умыслом. Хлеб с маслом всем кушать охота.:)

Честно говоря не понял смысла открытия темы. То что банки запуганные и через чур осторожные вы наверное не лучше меня знаете. И если идут на нарушение закона то во многом сознательно, с умыслом. Хлеб с маслом всем кушать охота.:)
Смысл в первом посте темы.

все ваши гипотетические ситуации - бред.
Если Вы ничего не поняли из данной ветки, или внимательно не читали... ну чтож это Ваши личные проблемы.
вы что-то где-то краем уха слышали, но ничего не поняли.
Не имею привычки выдавать непроверенные данные.

Не имею привычки выдавать непроверенные данные. Ну тогда давайте ссылку или сам документ. Так будет действительно интереснее. Имхо.

Выше перечисленны ситуации взяты из историй различных уголовных дел которые были в странах СНГ, и обсуждались на различных форумах и новостях.

В других странах СНГ не знаю, но у нас в банках поручения по "банк клиент", всё равно проходят по процедуре через АБС, что делает технически невозможным махинации по счёту с стороны клиента - ООО "Миракл Филд", без сговора с гл.бухгалтером банка.


И также совет директорам и главным бухгалтерам различных организаций: Будьте осторожны со своими электронными ключами доступа к р/с.

Это уже, да, в любом случаи, могут посторонние использовать..
Кстати банк тоже может провести махинации по счёту клиента подделав ключ, если захочет отвечать следователю. В этом случаи в сговоре будут и IT-шники. Здесь наказание будет по заслугам (по закону).

подделав ключ
Позвольте спросить, каким образом можно подделать ключ? Электронные ключи уже научились подделывать?

Позвольте спросить, каким образом можно подделать ключ? Электронные ключи уже научились подделывать?
Скорее всего имеется в виду кража ключа доступа, и его использование другими лицами.

подделав ключ
Позвольте спросить, каким образом можно подделать ключ? Электронные ключи уже научились подделывать?


С самого начала темы говорим о подделке документов на электронный ключ, зачем подделывать ключ, если банк может документы на этот ключ подделать?

Но ход Ваших мыслей мне нравиться...

Давно не встречал Ваши озорные вопросы, чо с отпуска что-ли?

Не буду никого цитировать, просто попробую уточнить сам процесс работы банк-клиент.
Договор на банк-клиент является неотъемлемой частью Договора банковского счета и подписывается первыми лицами, в том числе акты приема-передачи. Банковским айтишникам подписанный Договор и Акты передаёт Гл.бухгалтер, после этого на основании двухсторонне подписанного первыми лицами Договора и акта приема-передачи создается ключи и консультируется при установке у клиента.
Кстати добился того, что бы оригиналы договоров и акты хранился вместе с договорами банковского счета и образцами подписей в бухгалтерии. Это я к тому, что в большинство случая заставляют айтишников держать эти договора у себя и вести учёт, это считаю неправильно. Таким образом причем тут айтишники они исполнители и этим все сказано. А образами подписей пусть занимается те первые лица, которые подписывают и скрепляют печатью.
Кроме этого поручения полученное через Банк-Клиент приравнивается к оригиналу документа и имеет одинаковую с ним юридическую силу. Клиент несет полную ответственность за правильность оформления и соответствие поручения в электронном и бумажном виде. Таким образом, убытки, которые терпит наше государство это не вина банка, и пусть этим занимаются соответствующие структуры и тем более не надо делать крайним айтишников.
Да слышал, что в одном банке был инцидент, когда клиент предъявил претензию банку, что не отправлял поручения на некоторые транзакции. В итоге оказался его кидал его же бухгалтер, которая крала деньги у клиента. Инцидент был исчерпан…:187:

P.S.
Банковским айтишниками могу поделиться типовым договором на банк-клиент, просто для обмена опытом и может кому-то поможет для работы. Чуть что для меня это не тайна не от кого. Кстати, в свое время создавал тему Домен для банков (http://uforum.uz/showthread.php?t=7719) но, увы, ничего не получился.

Не буду никого цитировать, просто попробую уточнить сам процесс работы банк-клиент.
Договор на банк-клиент является неотъемлемой частью Договора банковского счета и подписывается первыми лицами, в том числе акты приема-передачи. Банковским айтишникам подписанный Договор и Акты передаёт Гл.бухгалтер, после этого на основании двухсторонне подписанного первыми лицами Договора и акта приема-передачи создается ключи и консультируется при установке у клиента.
Кстати добился того, что бы оригиналы договоров и акты хранился вместе с договорами банковского счета и образцами подписей в бухгалтерии. Это я к тому, что в большинство случая заставляют айтишников держать эти договора у себя и вести учёт, это считаю неправильно. Таким образом причем тут айтишники они исполнители и этим все сказано. А образами подписей пусть занимается те первые лица, которые подписывают и скрепляют печатью.
Кроме этого поручения полученное через Банк-Клиент приравнивается к оригиналу документа и имеет одинаковую с ним юридическую силу. Клиент несет полную ответственность за правильность оформления и соответствие поручения в электронном и бумажном виде. Таким образом, убытки, которые терпит наше государство это не вина банка, и пусть этим занимаются соответствующие структуры и тем более не надо делать крайним айтишников.
Да слышал, что в одном банке был инцидент, когда клиент предъявил претензию банку, что не отправлял поручения на некоторые транзакции. В итоге оказался его кидал его же бухгалтер, которая крала деньги у клиента. Инцидент был исчерпан…:187:

P.S.
Банковским айтишниками могу поделиться типовым договором на банк-клиент, просто для обмена опытом и может кому-то поможет для работы. Чуть что для меня это не тайна не от кого. Кстати, в свое время создавал тему Домен для банков (http://uforum.uz/showthread.php?t=7719) но, увы, ничего не получился.

Всё по полочкам разложили, профессионально.

ИТшников не надо делать крайными согласен, но безотвественными они тоже не должны быть. :187:

подделав ключ
Позвольте спросить, каким образом можно подделать ключ? Электронные ключи уже научились подделывать?

Нет, подделать закрытый ключ невозможно, с учетом того, что нет случайной копии, которая доступна не только его владельцу (а в наше время с учетом того, что большинство клиентов банка понятия не имеют о том как надо работать с парой ключей это вполне вероятная ситуация).
А как сделать так, чтобы без ключа осуществить операцию со счетом клиента я рассказывать не буду. Но прошу поверить мне на слово, что это вполне реально для сотрудника Департамента ИТ Банка или разработчика(администратора) системы.

Кроме этого поручения полученное через Банк-Клиент приравнивается к оригиналу документа и имеет одинаковую с ним юридическую силу.Для этого требуется, чтобы ЭЦП удовлетворяла всем требованиям - в частности закрытый ключ делжен быть получен в зарегистрированном в УзАСИ Центре регистрации ключей. Пока этого в банках нет. Согласно договора банк-клиент ответственность за подпись может быть переложена на клиента банка, но за нарушение самой процедуры регистрации закрытого коюча я бы наверное смог бы подать в суд на банк за мошенничество и вернуть деньги.Нет, подделать закрытый ключ невозможноЗачем подделывать - достаточно копировать при ее создании. Пока создают ключи и раздают клиентам айтишники в банке! Может что изменилось, но я бы не верил.

Зачем подделывать - достаточно копировать при ее создании.

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации.

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации. Главное, что у нас не понимают, что их ключи скомпроментированы с момента создания и ответственности никто нести за такие ключи не может.

Для этого требуется, чтобы ЭЦП удовлетворяла всем требованиям - в частности закрытый ключ делжен быть получен в зарегистрированном в УзАСИ Центре регистрации ключей. Пока этого в банках нет.

Ну зачем недооценивать банки,... Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.

Зачем подделывать - достаточно копировать при ее создании.

Один из способов. Тем более, как я уже говорил, клиент даже не представляет как необходимо работать (генерировать, хранить, использовать) свой закрытый ключ и не понимают всей серьезности ситуации.

Антон, я попрошу Службу внутренного контроля и безопасноти, провести воспитательную работу среди сотрудников департмента ИТ, на предмет отвественности за сохраннность средств клиентовhttp://uforum.uz/images/icons/icon7.gif ....

Что-то ты тут разболтался.:rtfm:

Для этого требуется, чтобы ЭЦП удовлетворяла всем требованиям - в частности закрытый ключ делжен быть получен в зарегистрированном в УзАСИ Центре регистрации ключей. Пока этого в банках нет. Согласно договора банк-клиент ответственность за подпись может быть переложена на клиента банка, но за нарушение самой процедуры регистрации закрытого коюча я бы наверное смог бы подать в суд на банк за мошенничество и вернуть деньги.

Согласен, не спорю…
Однако 1999 году после долгих скитаний у себя, по рекомендацию определенных структур я ездил в Москву для заключения Договора с компанией Лан - Крипто на программу криптографии. Тогда купили бессрочную лицензию на 200 клиентов и вся ответственность на процедуры регистрации, взлом или еще каких-то претензий третьих лиц возлагался на компанию, которая по договору должна была во всем разобраться. Ключ записывался на обыкновенную дискету, и до недавнего времени все это в одном банке работала.
Ну не было у нас в прошлом и в начале этого века ничего такого. Потом никто и не заставляет клиента работать по системе банк-клиент и делать активные операции. Например, знаю одну, ну очень крупную предприятию, которая пользуется системой только как чисто информационной. Конечно, теперь вроде бы все это приходить в порядок, но так много волокиты, что желание отпадает…:187:

Рад тебя видеть Надир…:187:

Главное, что у нас не понимают, что их ключи скомпроментированы с момента создания и ответственности никто нести за такие ключи не может.
Абсолютно верно, встречаются такие ситуации. И достаточно часто.

Ну зачем недооценивать банки,... Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.
Тоже поддерживаю. Более 1 года работаем с Центром регистрации ЭЦП Multisoft Solutions. Никаких претензий относительно процедуры выдачи сертификатов не имеем. Все сделано очень прфессионально с технической и юридической точки зрения. Генерация закрытого ключа происходит на стороне клиента, а утверждение и выдача сертификата осуществляется после предоставления заявления и дукумента удостоверящего личность. Никакой возможности скопировать ключ, т.к. он всегда остается на компьютере клиента.



и достаточно часто

Договора с компанией Лан - Крипто на программу криптографии. Тогда купили бессрочную лицензию на 200 клиентов и вся ответственность на процедуры регистрации, взлом или еще каких-то претензий третьих лиц возлагался на компанию, которая по договору должна была во всем разобраться.Думаю это не обходит уголовную ответственность за мошенничество с созданием дубликатов электронных ключей.
Уже больше года работаем с ЭЦП ( MSS), и для юр.лиц и физ.лиц, обслуживание через интернет.
А вот тут бы чуточку по-подробней.

1) Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)?

2) MSS ключи сам создает или выдает софт по генерации ключа, а сам только сертификат регистрирует?

Рад тебя видеть Надир…Тоже очень даже рад.

А вот тут бы чуточку по-подробней. 1) Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)? 2) MSS ключи сам создает или выдает софт по генерации ключа, а сам только сертификат регистрирует?

1) MSS лицензированный УзАСИ Центр регистрации ключей, и сертификаты выданные этим центром не запрещены для использования.
2)Процедура выдачи сертификата описана выше. Генерация ключа осуществляется клиентом на своем компьютере.

Это Вам уже центральный банк разрешил невзирая на вышеуказанное требование (или рекомендация, как у ЦБ часто бывает)?

По сути уже Антон ответил, а на остальное я не в ЦБ работаю, и за них не могу отвечать.

Если счтиете что в ЦБ одними "запретами" занимаются, то глубоко ошибаетесь. И инетрент-банкинг они также как и банки хотять развивать, я уже сказал что у банков попросили коментарии к соотвествующему положению. И мы свои рекомендации отправили.

Не надо провоцировать, рационалное обсуждение певращать в "горячую тему"....

MSS лицензированный УзАСИ Центр регистрации ключей, и сертификаты выданные этим центром не запрещены для использования.Мы ведь говорим о безопасности, а не о допустимости. ИМХО, уже много раз повроряюсь, создание закрыытого ключа регистрирующим центром - маразм и полное нарушение логики информационной безопасности.

Генерация закрытого ключа происходит на стороне клиента, а утверждение и выдача сертификата осуществляется после предоставления заявления и дукумента удостоверящего личность. Никакой возможности скопировать ключ, т.к. он всегда остается на компьютере клиента.Это уже интересней.
Вопрос "чей софт" не затруднит? Если софт по генерации ключей - MSS, то опять маразм. Выбор генератора случайных чисел в 99% случаев слабое звено в софте создания закрытых ключей. Даже если MSS пытались сделать все безопасно, выбор генератора и софта - не их право. Для понимания объясню так, что представьте, что сложность вашего кода будет не 512 бит (не 0x10^0x40), а какие-нибудь 10^6 - 10^7 комбинаций, с учетом знания алгоритма и даты регистрации, если алгоритм привязан к тактам времени, например.

Действительно, почему всегда айтишники крайние и за всё отвечают? Какое-то укоренившееся заблуждение. Я потому и ушел с должности заведующего сектором информатизации.

Это уже интересней.
Вопрос "чей софт" не затруднит? Если софт по генерации ключей - MSS, то опять маразм. Выбор генератора случайных чисел в 99% случаев слабое звено в софте создания закрытых ключей. Даже если MSS пытались сделать все безопасно, выбор генератора и софта - не их право. Для понимания объясню так, что представьте, что сложность вашего кода будет не 512 бит (не 0x10^0x40), а какие-нибудь 10^6 - 10^7 комбинаций, с учетом знания алгоритма и даты регистрации, если алгоритм привязан к тактам времени, например.

Угу. Это старая известная проблема, и с ней связаны куча курьезов в программировании. Помню, в какой-то версии операционки на EC1022 лет 25 назад в одном хоздоговоре сам натыкался на то, что программа, делающая некие трехмерные расчет, выдавала полную чушь с точки зрения теории. Суть была в том, что выбирались тысячи случайно разбросанных точек внутри объемного объекта и кое-что по ним считалось. Результаты были просто дикие. Анализ выявил, что все выбранные точки (а выбиралась точка с тремя координатами - последовательными случайными числами) ЛЕЖАЛИ В ОДНОЙ ПЛОСКОСТИ ! Вот такой чудесный генератор был. Спас переход на 1066(?) в Политехе, где стояла более свежая MVT(?) и этого глюка не было.

А мы сейчас для генерации PIN-ов карточек экспресс-оплаты используем генератор аппаратный.

1066(?)

1061


MVT(?)

СВМ

1066(?)

1061


MVT(?)

СВМ

Ну Вы ребята профи, "каменный век" помните...Молодцы:187:

Ну Вы ребята профи, "каменный век" помните...Молодцы
а как же его не помнить. Как это не смешно, но мощности компьютеров вроде возросли многократно, но те расчеты что делались на ЕС 1035 скажем за 20 минут и сейчас занимают примерно такое же время. :) :) :)

Действительно, почему всегда айтишники крайние и за всё отвечают? Какое-то укоренившееся заблуждение. Я потому и ушел с должности заведующего сектором информатизации.

Если в Ваш профиль посмотреть, недалеко ушли, значительно не сильно "крайним" Вас делали -:)

MSS лицензированный УзАСИ Центр регистрации ключей, и сертификаты выданные этим центром не запрещены для использования.Мы ведь говорим о безопасности, а не о допустимости. ИМХО, уже много раз повроряюсь, создание закрыытого ключа регистрирующим центром - маразм и полное нарушение логики информационной безопасности.

Генерация закрытого ключа происходит на стороне клиента, а утверждение и выдача сертификата осуществляется после предоставления заявления и дукумента удостоверящего личность. Никакой возможности скопировать ключ, т.к. он всегда остается на компьютере клиента.Это уже интересней.
Вопрос "чей софт" не затруднит? Если софт по генерации ключей - MSS, то опять маразм. Выбор генератора случайных чисел в 99% случаев слабое звено в софте создания закрытых ключей. Даже если MSS пытались сделать все безопасно, выбор генератора и софта - не их право. Для понимания объясню так, что представьте, что сложность вашего кода будет не 512 бит (не 0x10^0x40), а какие-нибудь 10^6 - 10^7 комбинаций, с учетом знания алгоритма и даты регистрации, если алгоритм привязан к тактам времени, например.

Такое впечатление складывается, что вас хлебом не корми, а дай всех раскритиковать.
Во-первых сложность кода закрытого ключа RSA 2048 бит. Если можете, попробуйте расшифровать. Ведущие удостоверяющие центры по СНГ используют этот алгоритм. Считается, что для расшифровки такого закрытого ключа нужен минимум 1 год, с учетом того, что дешифровщик должен иметь очень мощную вычислительную технику. Поэтому центром регистрации MSS ключ выдается на 365 дней, затем он аннулируется и выдается новый. Пока не знаю случая, чтобы у кого получилось расшифровать ключ, у нас в Узбекистане, если только сам клиент по неосторожности не оставил где то копию закрытого ключа.
Во-вторых если вы критикуете, вы должны знать более лучший способ реализовать защиту информации. А не то вас послушать, так надо в каменном веке оставаться и ничего не предпринимать.

Как говорится, я за любой кипиш, кроме голодовки:)