Просмотр полной версии : Безопасность при работе с SAM.online
MichaelR
17.05.2012, 12:59
Ну и чтобы окончательно добить тему страхового депозита. Его можно зачислить за год вперед, или ежемесячно надо телодвижения делать?
большой авансовый взнос на депозит это по желанию, а ежемесячные регулярные платежи на сумму не менее **** - это обязаловка! почитайте условия тарифного обслуживания. зачислять на год вперед , стало быть, нецелесообразно! ...а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже. и наперед и ежемесячно!
Andrey Kim
17.05.2012, 14:36
.а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже
Если владелец сохранит закрытый ключ в секрете, будьте спокойны, его деньги никуда не денутся.
MichaelR
17.05.2012, 14:50
.а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже
Если владелец сохранит закрытый ключ в секрете, будьте спокойны, его деньги никуда не денутся.
как это сделать не изощренному в защитах пользователю, вот в чем вопрос!...сейчас сумм боьших на счетах нет, нет интереса. а дальше что?
Bakhtiyor aka
17.05.2012, 15:05
сейчас сумм боьших на счетах нет, нет интереса.
Смею Вас заверить суммы растут, и очень быстро. За год (Май 2011-2012) по различным SAM.online счетам(777, 555, 666, стрх депозиты, е-депозиты) прирост соcтавляет от 10 до 50 раз!
а дальше что?
Так что это "дальше" уже наступило, и по этому систему безопасности постоянно усиливаем. Внешние транзакции взяты под строгий контроль, крупные суммы уже без обоснования (или контакта с клиентом) не выводим, внутренние подозрительные суммы или операции уже автоматом блокируются. А членам клуба собираемся даже выдавать е-токены! И вообще е-токены наверное станут требованием для крупных сумм.
Andrey Kim
17.05.2012, 16:27
а дальше что?
прорабатывается один вариант, как раз для тех, у кого большие суммы на счетах но о нем позже, сейчас я не готов говорить...
Так что это "дальше" уже наступило, и по этому систему безопасности постоянно усиливаем. Внешние транзакции взяты под строгий контроль, крупные суммы уже без обоснования (или контакта с клиентом) не выводим, внутренние подозрительные суммы или операции уже автоматом блокируются. А членам клуба собираемся даже выдавать е-токены! И вообще е-токены наверное станут требованием для крупных сумм.
Оказывается Бахтиер ака уже ответил. Раскрою карты, Unicon производит токены с неизвлекаемыми ключами по стандарту O'z DST. Ключ будет генерироваться внутри токена. Так как стандарт известен только в Узбекистане, он будет менее подвержен атакам на криптостойкость, я надеюсь.
Andrey Kim
17.05.2012, 16:55
Сообщение модератору.
Предлагаю несколько последних сообщений выделить и перенести в отдельную новую тему "Безопасность при работе с SAM.online". Только сейчас обратил внимание, что отдельной темы нет, а вопросов меньше не стало, еще и новые появляются, к тому же много новых пользователей. Одно время где-то шла бурная переписка, но я даже не могу вспомнить, в какой ветке и когда. Всегда был убежден, что дыры в безопасности на 80-90 процентов - результат человеческого фактора, пренебрежение элементарными правилами безопасности. Надеюсь тема станет частичным ликбезом хотя бы для посетителей форума.
Andrey Kim
17.05.2012, 17:47
Постараюсь коротко в тезисах изложить основное, что касается стороны клиента. Указанное ниже носит рекомендательный характер.
Безопасность.
Про то, что пароль к учетной записи нужно хранить в секрете, что он должен иметь требования к сложности (не менее 8 символов, малые и прописные буквы, цифры) форумчане знают.
Подбор паролей ботом помогает предотвратить Captcha.
Шаг 1.
Антивирус с актуальными базами сигнатур - обязателен. Просто напоминание.
Шаг 2.
Пароль для установки закрытого ключа и пароль для доступа к нему также должны быть сложными. Файл pfx\p12 - это оболочка, которая содержит сертификат открытого ключа и сам закрытый ключ и он защищен паролем. Теоретически, если получить доступ к этому файлу, хороший специалист может написать для него брутфорсер, который будет перебирать пароли. Поэтому рекомендуется записать этот файл куда-нибудь на внешний носитель и запрятать подальше, не хранить на жестком диске и установить сложный пароль. При установке ключа не ставить галочку напротив "пометить как экспортируемый". Тогда ключ нельзя будет экспортировать из системы.
Шаг 3.
Использование токенов с неизвлекаемыми ключами. Ключ генерируется внутри токена и не может быть оттуда скопирован.
Шаг 4.
Даже при использовании токенов не держать их постоянно в USB-разъеме. Возможен риск туннелирования трафика (перехвата) и прослушивания канала. А также удаленное подключение типа r-admin и отправка платежек прямо с компьютера "жертвы".
Помимо всего прочего есть вероятность подмены реквизитов. На экране видно одно, а подписываются совсем другие данные. Держите на вооружении хороший антивирус, чтобы по максимуму предупредить последние две атаки.
В случае подозрения или факта доступа посторонних к закрытому ключу необходимо немедленно обратиться в банк для блокировки аккаунта.
В принципе это основное и соблюдение хотя бы этих правил намного снизит риски несанкционированного доступа к вашим деньгам.
Есть много нереализованного, к примеру, привязка аккаунта к определенному мак адресу или IP (хотя последний зачастую динамический), подтверждение платежей одноразовыми паролями (СМС, ОТР-токены или OTP-приложения и пр.). Недавно коллеги из БСС (российский разработчик ДБО) показали решения компании AGSES - токен, который показывает то, что вы собираетесь подписать (это против атаки man-in-the-middle, когда подменивают реквизиты). Аутентифицирует он при помощи отпечатка пальцев. Причем датчик реагирует помимо рисунка и на температуру. Производители утверждают, что отрезанный палец :???: после 5 минут не пройдет аутентификацию. Но стоит эта вещица о-очень дорого.
Есть еще много чего. И использование специальных криптопровайдеров (каждый разработчик разрабатывает для себя) и специально разработанных протоколов передачи данных, которые используют вместо SSL и многое другое.
Возможно у форумчан есть свои соображения на этот счет. Просим поделиться!
Постараюсь коротко в тезисах изложить основное, что касается стороны клиента. Указанное ниже носит рекомендательный характер.Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Как раз наоборот, человек уверен что у клиента лицензионная ОС с включенным по умолчанию автообновлением!!!
Bakhtiyor aka
17.05.2012, 18:59
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Не нашли пока решение как заставить помочь клиенту в этом вопросе, ведь это не только финансирование лицензированного ОС, наверное это ещё и понимание... Но мы готовы обсудить идеи, если они есть.
Но мы готовы обсудить идеи, если они есть. Если это поможет, считайте, что меня убедили :)
Bakhtiyor aka
17.05.2012, 19:11
Но мы готовы обсудить идеи, если они есть. Если это поможет, считайте, что меня убедили :)
Не поможет. Слишком маленкая доля в общей массе клиентов, для которых вопросы безопасности неприоритет. :)
привязка аккаунта к определенному мак адресу
Через интернет это невозможно
Andrey Kim
17.05.2012, 21:34
привязка аккаунта к определенному мак адресу
Через интернет это невозможно
если только нет определенного софта, который передаст данные на сторону банка. Но это все так, мысли вслух.
если только нет определенного софта, который передаст данные на сторону банка. Но это все так, мысли вслух.
В таком случае лучше генерировать некий hardware id, как это делает скажем WM кипер
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Странная связь: заплатки - лицензионность. Одно не гарантирует и не зависит от другого.
Andrey Kim
17.05.2012, 21:51
Постараюсь коротко в тезисах изложить основное, что касается стороны клиента. Указанное ниже носит рекомендательный характер.Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
И правда, в качестве рекомендации можно и указать. Особенно это важно для крупных клиентов юрлиц. Тому, кто ломает систему не интересно будет ковыряться в компе какого-то физлица, чтобы украсть небольшую сумму, затраты выйдут дороже. А вот под крупных юрлиц атаки как правило проводятся целенаправленно. И вирус пишется целенаправленно. Но это все так, теория, опыт соседних стран... надеюсь мы хоть сколько то успеем предупредить подобное.
С трудом получается, но многие клиенты уже не экономят на лицензионном антивирусе, согласно нашим рекомендациям. Наверное понимают, чем дело пахнет...
Andrey Kim
17.05.2012, 21:53
если только нет определенного софта, который передаст данные на сторону банка. Но это все так, мысли вслух.
В таком случае лучше генерировать некий hardware id, как это делает скажем WM кипер
на основе каких данных он генерируется? Как я понимаю, ID складывается из каких-то уникальных параметров железа?
на основе каких данных он генерируется? Как я понимаю, ID складывается из каких-то уникальных параметров железа?
Да вероятно, это уже зависит от реализации
Andrey Kim
18.05.2012, 14:40
на основе каких данных он генерируется? Как я понимаю, ID складывается из каких-то уникальных параметров железа?
Да вероятно, это уже зависит от реализации
Может быть у вас есть конкретные мысли, как это реализовать?
Может быть у вас есть конкретные мысли, как это реализовать?
Вопрос сложный, тут головой думать нада :) Навскидку - серийник процессора + айди клиента, шифруем каким-нибудь алгоритмом, возможно асинхронным, либо получаем соленый хэш
vBulletin® v3.8.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot