-ћузыкальный плеер



плеер собран приложением V.exeR

 -¬сегда под рукой

Ќайти в блоге:




Rost рекомендует
Ѕлог »льи “атарникова

 -ѕодписка по e-mail

 

 -—татистика

—татистика LiveInternet.ru: показано количество хитов и посетителей
—оздан: 08.05.2003
«аписей: 13235
 омментариев: 160094
Ќаписано: 247732

—тать€ про безопасность интернет-банкинга

ѕонедельник, 23 јвгуста 2010 г. 10:30 + в цитатник
¬ выходные прочЄл замечательную статью про безопасность ƒЅќ (дистанционного банковского обслуживани€).
» вам советую. ¬от ссылка: http://www.nobunkum.ru/issue003/banker-attacks/.

ѕроцитирую самое главное (дл€ тех, кому лень ходить и читать):
1. Ќа сегодн€шний день большинство инцидентов финансового мошенничества представл€ют собой атаки на системы онлайн-банкинга с использованием вредоносных программ в качестве инструментов.
2. —уществуют налаженные технологии обхода всех видов защиты, используемых в системах электронных транзакций.
—уществуют доступные инструменты дл€ совершени€ финансовых атак всех видов и масштабов.
3. ‘иксируетс€ рост заинтересованности атакующих субъектами российской электронной коммерции, в первую очередь клиентами банков (как физическими лицами, так и организаци€ми) и системами денежных переводов.
ѕо состо€нию на сегодн€шний день, 99% потенциальных Ђжертвї не защищены.
„то делать? ¬от рецепт, приведЄнный в статье.
≈динственным фундаментальным решением дл€ защиты онлайн-банкинга €вл€етс€ его полна€ изол€ци€, обеспечивающа€ невозможность проникновени€ на компьютер вредоносного кода и установки тро€нских перехватов. Ёто решение реализуетс€ путЄм размещени€ системы банк-клиента на отдельном физическом компьютере или загрузочном диске, защищЄнном от записи, в совокупности с тонкой настройкой политик безопасности и общей архитектуры решени€. ќтметим, что решение по программной виртуализации интернет-банка не имеет смысла, так как оно не защищает от схемы атаки є2 (атака изнутри компьютера Ђжертвыї), а решение с загрузочным диском окажетс€ бесполезным, если размещЄнна€ на нЄм система может быть успешно атакована в промежутке между загрузками.
P.S. ј те, кто чита€ эти строки подумал: "” мен€ стоит последн€€ верси€ хорошего платного антивируса, мне на это пофиг!" - всЄ таки рекомендую сходить и почитать. » подумать, за что вы платите деньги.
ћетки:  

ѕроцитировано 3 раз



_SVETA_LANA_   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 10:57 (ссылка)
ќдна головна€ боль за другой!:diablo:
—пасибо за инфу!
ќтветить — цитатой ¬ цитатник
tulyachka   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 11:07 (ссылка)
Rost, спасибо за полезную дл€ мен€ информацию!:mda:
ќтветить — цитатой ¬ цитатник
walterianets   обратитьс€ по имени Re: —тать€ про безопасность интернет-банкинга ѕонедельник, 23 јвгуста 2010 г. 11:41 (ссылка)
ѕрочитал и пон€л, что защиты никакой не существует?(((

LI 7.05.22
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 11:43 (ссылка)
» правильно пон€л :)
ќтветить — цитатой ¬ цитатник
xif   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 12:52 (ссылка)
правильно ли € понимаю, что единственна€ более-менее безопасна€ модель - завести дл€ этого дела отдельную карту, на которую иногда класть немного денег?
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 12:56 (ссылка)

ќтвет на комментарий xif

¬ы думаете, что с карты, на которой нет денег, нельз€ ничего сн€ть? ;)
ќтветить — цитатой ¬ цитатник
xif   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 12:59 (ссылка)
Rost, а вот с этого места поподробнее, если можно
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:00 (ссылка)

ќтвет на комментарий xif

ј зачем?  то надо и так знают. ј остальным рассказывать не буду.
ќтветить — цитатой ¬ цитатник
xif   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:08 (ссылка)
Rost, хотела узнать не как это сделать, а вообще чего опасатьс€.
Ќо спасибо за ответ
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:12 (ссылка)

ќтвет на комментарий xif

ќпасатьс€... ƒа всего. Ќо смысл писать про то, как этого избежать не вижу. Ќикому не интересно. ј мне и лень, и не хочетс€ врем€ зр€ тер€ть.
ќтветить — цитатой ¬ цитатник
xif   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:13 (ссылка)

ќтвет на комментарий Rost

ѕон€тно. »звините за беспокойство
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:21 (ссылка)

ќтвет на комментарий xif

ј мне вот, если честно, не пон€тно.

ѕотому что когда пишешь хороший пост, который нужен каждому, то на самом деле никому он не нужен.
Ќу, да... Ћучше прочитать про Ђ10 самых красивых пл€жей мираї.

Ќа первый раз думаешь, что не заметили. Ќа второй думаешь, что слишком сложно.
ј в третий раз понимаешь: такие посты никому не нужны. Ќе тер€й зр€ врем€, пиши про Ђ10 самых красивых пл€жей мираї.

”же 3 раза писал про карточки. ќбщее число цитат Ц меньше 20. «начит, больше писать не буду. ” банков есть службы поддержки, им за это деньги плат€т.

ј мне так спокойней: лучше голых девок в инете посмотрю. Ёто Ц при€тнее, чем голову ломать, как люд€м донести нужную информацию.

“еперь Ц пон€тно?
ќтветить — цитатой ¬ цитатник
xif   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:26 (ссылка)

ќтвет на комментарий Rost

да мне и раньше пон€тно было )

ј в люд€х € не разбираюсь. Ќо за красивыми картинками хожу в другие места.

≈щЄ раз извините за беспокойство.
ќтветить — цитатой ¬ цитатник
walterianets   обратитьс€ по имени Re: ќтвет в Rost; —тать€ про безопасность интернет-банкинга ѕонедельник, 23 јвгуста 2010 г. 13:35 (ссылка)
ѕро баб не надо. ƒавай на животрепешчушчие темы и конкретно - что и как. —пасение утопающих - дело рук и ног самих утопаюших.

LI 7.05.22
ќтветить — цитатой ¬ цитатник
pupunussi   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 13:46 (ссылка)
Nordea, которой € пользуюсь, использует одноразовые пароли. ѕаролей два массива. ќдин массив используетс€ дл€ входа в систему, второй массив дл€ проведени€ каждой транзакции. ѕароли дл€ входа используютс€ поочерЄдно и вычЄркиваютс€ из списка после использовани€. ѕри проведении транзакции запрашиваетс€ случайный пароль из списка паролей дл€ транзакций.

≈сли перехватить пароль дл€ входа и войти в систему, то ничего сделать будет нельз€ без парол€ дл€ транзакций. ƒаже если в систему войти и перехватить пароль дл€ транзакции, то при попытке совершени€ новой нелегальной транзакции будет запрошен другой случайный пароль, а старый станет бесполезным.

ѕо-моему, тут отлавливать запросы и нажати€ клавиш бесполезно.
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 14:26 (ссылка)
»сходное сообщение walterianets
ѕро баб не надо. ƒавай на животрепещущие темы и конкретно - что и как. —пасение утопающих - дело рук и ног самих утопающих.

Ќе хочу и не буду!
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 14:27 (ссылка)
»сходное сообщение Mandrake
ѕо-моему, тут отлавливать запросы и нажати€ клавиш бесполезно.

»менно дл€ таких случаев модифицируютс€ данные, куда отправл€ютс€ деньги.
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 14:28 (ссылка)
Mandrake, кстати, почитай таки по ссылке. особенно после слов: "ќдноразовые пароли" ;)
ќтветить — цитатой ¬ цитатник
walterianets   обратитьс€ по имени Re: ќтвет в Rost; —тать€ про безопасность интернет-банкинга ѕонедельник, 23 јвгуста 2010 г. 14:52 (ссылка)
Ќу и фиг с ними. ƒавай о чЄм - нибудь.

LI 7.05.22
ќтветить — цитатой ¬ цитатник
pupunussi   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 14:53 (ссылка)

ќтвет на комментарий Rost

Rost, € таки прочитал.

>тро€н перехватывает очередной переменный код, введЄнный пользователем, отображает сообщение об ошибке и использует полученный код дл€ проведени€ нелегальной транзакции

Ќу перехватил тро€н код на вход, показал мне ошибку. ќн всЄ равно ничего не сделает без второго парол€. я про это.

ј так да, надо подсовывать данные серверу ещЄ с момента формировани€ Ђза€вкиї на транзакцию до запроса случайного парол€.
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 15:12 (ссылка)

ќтвет на комментарий pupunussi

ќбычно за€вка на перевод делаетс€ уже после входа. “о есть, после ввода парол€.
ќтветить — цитатой ¬ цитатник
pupunussi   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 15:16 (ссылка)

ќтвет на комментарий Rost

Rost, € разве по-другому написал? ƒа, так и есть. —ледующий по списку пароль, вход, за€вка на транзакцию, случайный пароль дл€ подтверждени€, транзакци€. ”крав первый пароль без второго ничего не сделать.
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 15:23 (ссылка)

ќтвет на комментарий pupunussi

“о есть, при посылке транзакции при вводе парол€ данные уже не подменить? ;)
ќтветить — цитатой ¬ цитатник
pupunussi   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 15:26 (ссылка)

ќтвет на комментарий Rost

Rost, см. выше: "надо подсовывать данные серверу ещЄ с момента формировани€ Ђза€вкиї на транзакцию до запроса случайного парол€", когда пароль транзакции присваиваетс€. ј ещЄ € написал "ѕо-моему, тут отлавливать запросы и нажати€ клавиш бесполезно". ћы о чЄм спорим-то? :D
ќтветить — цитатой ¬ цитатник
Rost   обратитьс€ по имени ѕонедельник, 23 јвгуста 2010 г. 15:30 (ссылка)

ќтвет на комментарий pupunussi

ќ том, что уходит тво€ за€вка на сервер банка, а не кака€-то друга€.
ќтветить — цитатой ¬ цитатник
Ryjiy   обратитьс€ по имени ѕ€тница, 10 —ент€бр€ 2010 г. 02:41 (ссылка)
мен€ тут сбер порадовал!(могли бы предупредить!)
покупаю € билет в нете, и выкидвает мен€ на сайт банка, там выбор или одноразовый пароль, а где ж его вз€ть, или смс.
выбираю смс, и получаю на телефон.
там точна€ сумма. тоесть максимум можно подменить получател€, € вот не помню на сайте было написано куда банк деньги хочет направить...
напишу € им совет об этом!

и пойду читать по ссылке.
ќтветить — цитатой ¬ цитатник
Ryjiy   обратитьс€ по имени ѕ€тница, 10 —ент€бр€ 2010 г. 15:48 (ссылка)
прочитал пол статьи.
=)))
лишний раз улыбнулс€. это конечно удобно библиотеки стандартные функции апи...
финансова€ программа должна быть написана сама в себе. и с подвыпердвертом - как скайт себ€ шифровать расшифровывать... мож посложней будет.
ќтветить — цитатой ¬ цитатник
Ryjiy   обратитьс€ по имени ѕ€тница, 10 —ент€бр€ 2010 г. 15:59 (ссылка)
о!
"
ƒл€ банков доступны такие решени€, как полный перевод системы удалЄнных платежей из интернета на мобильную платформу, а также подключение SMS-уведомлений дл€ каждой транзакции (подчеркнЄм, что SMS-уведомление должно содержать значение суммы перевода и –еквизиты получателя, а номер телефона клиента должен хранитьс€ на стороне банка). ѕоследнее решение неудобно дл€ пользователей, создаЄт высокую нагрузку на системы банка и неприменимо в организаци€х с большим объемом транзакций." это € отправлю в сбер!

и самое интересное:
≈динственным фундаментальным решением дл€ защиты онлайн-банкинга €вл€етс€ его полна€ изол€ци€,...
Ќет тут ничего нереального. —истемы дешевеют. –азмеры падают. ¬скоре у каждого может быть по маленькому пос терминаллу =)))
ќтветить — цитатой ¬ цитатник
јноним   обратитьс€ по имени —реда, 06 ќкт€бр€ 2010 г. 20:07 (ссылка)
слушай говориш компьютер с зашитой от записи но программу можно вогнать в оперативную памать
ќтветить — цитатой ¬ цитатник    |    Ќе показывать комментарий
Rost   обратитьс€ по имени „етверг, 07 ќкт€бр€ 2010 г. 11:03 (ссылка)
»сходное сообщение јноним
слушай говориш компьютер с зашитой от записи но программу можно вогнать в оперативную памать

“ут главное не дать программе запуститьс€, а где она это будет делать - не важно. ѕроста€ аналоги€: чтобы подн€ть «емлю, нужна точка опоры.
ќтветить — цитатой ¬ цитатник
 омментировать   дневнику —траницы: [1] [Ќовые]
 

ƒобавить комментарий:
“екст комментари€: смайлики

ѕроверка орфографии: (найти ошибки)

ѕрикрепить картинку:

 ѕереводить URL в ссылку
 ѕодписатьс€ на комментарии
 ѕодписать картинку