Washington Post рекомендует использовать Linux при совершении банковских on-line операций

> Зачем вооще его компрометировать когда можно подсунуть левые данные - вмосто $100 - $100000 или вместо счёта контрагента - левый счёт на Кайманах? > От потери $447000 токен не спас, и это явно не единичный случай, скорее наоборот, то-то все засуетились!

Токен от этого спасти и не мог. Токен всего лишь способ банка огородится от претензий клиента.

Да и кстати как подставит вместо 100-100к?

> Токен от этого спасти и не мог.

Т.е. совершенно не нужен и бесполезен, ничем не лучше пароля на бумажке и куда хуже пароля в голове.

> Токен всего лишь способ банка огородится от претензий клиента.

Согласен, бестолковая приблуда.

> Т.е. совершенно не нужен и бесполезен, ничем не лучше пароля на бумажке и куда хуже пароля в голове.

Ну таки большинство токнов требуют знания пароля

> Согласен, бестолковая приблуда.

не бестолковая, она защищает банк от неавторизированого захода пользователя

Статья из серии "Не прячьте ваши денежки по банкам и углам, скорей несите к нам". Эра руткитов под линух сменит эру вирусов под винду. А дураки и не узнают, что у них не так все безопасно под линух.

> А дураки и не узнают, что у них не так все безопасно под линух.

Ага, не всё.

Но с виндовым решетом даже смешно сравнивать.

> Вот поэтому отвестственные приложения (например клиент/банк) не должен устанавливаться на систему общего пользования, а должен предствалять собой "черный ящик" - тот же live-CD, в котором вся политика безопасности уже настроена. Воткнул CD (DVD, flash и т. п.), загрузился, выполнил транзакцию.

Воткнул, загрузился... в виртуальную машину разумеется - мыж работаем и нам некогда для каждой транзакции комп ерегружать, да? Червь, не простой штатный, а заказной, то есть тип хост-ос пофиг какой, тип ос на лайвсиди - тоже, перехватил, подменил и выполнил левую транзакцию... Или на транзитном роутере... или атакой в DNS запись подменили... или еще как - вариантов куча. И лоха, уверенного в своей бозопасности опять поимели - не помежет ни линакс... ничего не поможет если за компом сидит лох педальный.

> Пустая болтовня, ни от чего эти устройства не спасают. Читай статью:

Ты читаешь, а я пользуюсь. Security Token не сильно помогут. Смысл в том, что банк тебе должен выдать уникальный код для транзакции и чтобы этот год был доставлен не компьютерным путем (например, SMS). При этом должно так же быть подтверждено, на какой счет переводятся деньги.

Пример: http://www.volksbank-osnabrueck.de/privatkunden/online-banking/smart-tan_plus... Там по-немецки, но из видео понять можно

Сейчас уже есть устройства, считывающие информацию прямо с экрана и декодирующие ее. Т.е. еще удобней и надежней стало.

> Сейчас уже есть устройства, считывающие информацию прямо с экрана и декодирующие ее. Т.е. еще удобней и надежней стало.

Да похеру это всё, пускай даже выдают устройство только в банке.

Пока юзаешь виндовый клиент - никакие приблуды не помогут.

Ничто не мешает подсунуть трояна и иказить данные, сумму, счёт и т.д.

А эти SMS - только иллюзия безопасности. ПЕРВЫМ ШАГОМ должен быть отказ от винды, но не только.

> Да похеру это всё, пускай даже выдают устройство только в банке. > Пока юзаешь виндовый клиент - никакие приблуды не помогут. > Ничто не мешает подсунуть трояна и иказить данные, сумму, счёт и т.д. > А эти SMS - только иллюзия безопасности. ПЕРВЫМ ШАГОМ должен быть отказ от винды, но не только.

:) Шапочку из фольги уже купил? Она от всего помогает!

> А эти SMS - только иллюзия безопасности. ПЕРВЫМ ШАГОМ должен быть отказ от винды, но не только.

Сейчас самая опасная иллюзия это то что отказ от венды может хоть на йоту повысить безопасность. Это не так, а по совокупности фактов наблюдается даже обратный эффект.

> Шапочку из фольги уже купил? Она от всего помогает!

+1, использовать линакс с целью повышения безопасности - та же самая шапочка из фольги.

> Ты читаешь, а я пользуюсь. Security Token не сильно помогут. Смысл в том, что банк тебе должен выдать уникальный код для транзакции и чтобы этот год был доставлен не компьютерным путем (например, SMS). При этом должно так же быть подтверждено, на какой счет переводятся деньги.

А теперь представь работу буха который допустим в день должен 100 транзакций сделать?

> Это не так, а по совокупности фактов наблюдается даже обратный эффект.

Не болтай чушь - закрытие ОДНОЙ дыры ВСЕГДА повышает безопасность.

Иначе бы никто на малоопасные уязвимости внимания не обращал, нафиг фиксить, безопасность же не меняется.

Потому - ПЕРВЫЙ ШАГ - ОТКАЗ ОТ ВИНДЫ!

Об этом собственно в статье и пишут.

>мой банк хотел ie для онлайн-доступа, и ни в какую

Хотель ни банк, а конькретининий чиловек, умеющий программировать только для IE, а руководство банка не хочет поставить задачу перед начальником инф.отдела, потому что придерживается позиции - "наш софт правильный и защищённый", а если у клиента в IE дыры и к нему ломятся из сети, и тем более что-то взломали -это проблемы клиента.

> использовать линакс с целью повышения безопасности - та же самая шапочка из фольги.

Нет - реальное уменьшение рисков.

СНАЧАЛА - ОБЯЗАТЕЛЬНЫЙ ОТКАЗ ОТ ВИНДЫ.

> Сейчас самая опасная иллюзия это то что отказ от венды может хоть на йоту повысить безопасность. Это не так, а по совокупности фактов наблюдается даже обратный эффект.

Обоснуй, ибо брешешь.

манагер по впариванию винды детектед.

>Пока юзаешь виндовый клиент - никакие приблуды не помогут.

только что звонок от гл.бух. -вдруг перестал пускать клиент втб24_курган -грязно ругается на сертификат. А с утра работал. (когда подключались к нему, я потерял 2 дня, чтобы доказать программистам втб24, что это ИХ серверная часть криво работает с филиалами, в результате за неделю в московском офисе софт кое-как допилили). при том, что с "приблудами" у меня всё в порядке(тройной файервол и двойной антивирус, и порты закрыты). А в моей бухглтерии на каждом компе по десятку клиент-банков, и все виндовые. И так постоянно- то самопроизвольно теряются policies в мастдаевском реестре, то IE вдруг самопроизвольно перестаёт открывать всплывающие окна....

>И в следующий раз поимеют через взлом транзитного роутера с линаксом на борту, как я уже сказал - прецеденты были.

Мальчик, ты поменьше лохморье читай. Если данные шифрованы то взлом роутера ничего не даст, максимум подмена днс сервера но в небольшой сети проще писать глобальные ДНС в настройках сети на компах

>Статья из серии "Не прячьте ваши денежки по банкам и углам, скорей несите к нам". Эра руткитов под линух сменит эру вирусов под винду. А дураки и не узнают, что у них не так все безопасно под линух.

Теперь сравним сложность заразить винду вирусом и сложность установить руткит под линуксом.

Если первое поставлено на поток и делается без участия человека, то второе требует индивидуального и творческого подхода к каждой "установке".

С точки зрения информационной безопасности это неэффективная мера. Если не сопровождать отказ от венды отказом от небезопасных web технологий, малозащищённой криптографии, некомпетентных операторов и администраторов, отсутствия "железной" безопасности и не сопровождать целевыми организационно-техническими мероприятиями, вроде анализа транзакций т.п. Можете мне поверить, если осуществить только первую меру (отказ от венды), эффект будет ниже, чем если проигнорировать первую, но осуществить остальные. Только вот затраты, скорее всего, будут на остальные на порядки больше, чем на первую. В итоге - пусть попробуют, пока не доказано обратное, Ubuntu безопаснее венды.

>И лоха, уверенного в своей бозопасности опять поимели - не помежет ни линакс... ничего не поможет если за компом сидит лох педальный.

Свои комплексы проецируй другом месте. Для отправки транзакций вполне можно завести отдельный нетбук если суммы большие и отправляются часто. И на нем система в ro с клиент-банком. Сертификат на карте памяти опять же в ro

Отказ от венды одобряю, но в статье традиционно предлагается лечить мигрень декапитацией.

По этой логике и ремни безопасности неэффективная мера. Однако в среднем жизни они спасают

>Воткнул, загрузился... в виртуальную машину разумеется - мыж работаем и нам некогда для каждой транзакции комп ерегружать, да?

"Вольно хозяину на печи насрать" (c) народ

>Червь, не простой штатный, а заказной, то есть тип хост-ос пофиг какой, тип ос на лайвсиди - тоже, перехватил, подменил и выполнил левую транзакцию...

И как сделать червя, которому "пофиг ос"?

>Или на транзитном роутере... или атакой в DNS запись подменили... или еще как - вариантов куча.

Или высадились у дома террористы, взорвали дверь, накрыли его силовым куполом, залезли пользователю в сознание и выведали пароль.

>Смысл в том, что банк тебе должен выдать уникальный код для транзакции и чтобы этот год был доставлен не компьютерным путем (например, SMS). При этом должно так же быть подтверждено, на какой счет переводятся деньги.

Помнится однажды читал книгу по компьютерной безопасности, и там приводились примеры из жизни взломов.

В одном из этих примеров некая информация шла сисадмину через пейджер. Так взломщики атаковали и при этом перехватывали пейджерные сообщения - следили за реакцией системы.

Т. е. нет средств полностью обезопаситься, но есть средства затруднить взлом. Т. е. чтобы

1) не всякий мог взломать

2) даже для специалиста требовались значительные усилия по взлому.

> перехватил, подменил и выполнил левую транзакцию... Или на транзитном роутере... или атакой в DNS запись подменили...

Да, да точно, все так, ну конечно - именно так. Правда, это так только в мечтах школьников. Ибо только школьникам и чайникам неизвестно про PKI, TLS и SSL, но в отличие от школьников, чайникам не приходит в голову лезть не в свое дело.

>> Да похеру это всё, пускай даже выдают устройство только в банке. > Пока юзаешь виндовый клиент - никакие приблуды не помогут. > Ничто не мешает подсунуть трояна и иказить данные, сумму, счёт и т.д. > А эти SMS - только иллюзия безопасности. ПЕРВЫМ ШАГОМ должен быть отказ от винды, но не только.

>:) Шапочку из фольги уже купил? Она от всего помогает!

При чем тут "шапочка из фольги"? Ты можешь иметь сколь угодно надежный канал и надежного контрагента. Но если твоя ОС дирявая, то именно через нее тебя и обуют.

> И как сделать червя, которому "пофиг ос"?

"Я новая компьютерная программа-червь. Пожалуйста, вставьте дискету с ключами шифрования в дисковод, отправьте ключи и пароль на указанный e-mail, разошлите этот текст всем своим знакомым и отформатируйте жесткий диск" :-)

>> Шапочку из фольги уже купил? Она от всего помогает!

>+1, использовать линакс с целью повышения безопасности - та же самая шапочка из фольги.

Точно. Если может лопнуть шина, то зачем чинить рулевое управление и тормоза?

> Если данные шифрованы то взлом роутера ничего не даст,

Лох педальный детектед! Бегом читать про атаку MiM - именно ее позволяет реализовать скомпрометированный роутер, при этом- абсолютно незаметно для пользователя. Тут кто-то сказал про сертификаты... Ну да помогут - если юзер будет читать сообщения, выскакивающие на компе, а девочка бухгалтер этого делать не будет.

Слушай, не оскорбляй незнакомых людей. Из-за таких как ты анонимус уже давно тождественно питарас

> Помнится однажды читал книгу по компьютерной безопасности, и там приводились примеры из жизни взломов.

сравнил шифрование GSM и пейджеров...

> И как сделать червя, которому "пофиг ос"?

Еще раз - данный случай описанный известным клоуном Brian Krebs (одно из предложенй по безопасности которого звучало как отключить русских от интернету) это именно целенаправленная атака на конкретную жетву, а никак не бомбежка по площадаям. Эти типа атак различаются принципиально и поверьте - приз в полляма баксов позволяет использовать для атаки куда более изощренные методы и затратить куда большие средство, чем на массувую атаку с целью создания ботнета, который принесет создателю на порядок меньшие суммы.

Ну а похищение хозяина карты и требование выкупа даст еще больший доход

> Ну да помогут - если юзер будет читать сообщения, выскакивающие на компе, а девочка бухгалтер этого делать не будет.

Девочку - на курсы по комп. безопастности. И под роспись, что ознакомилась. Тогда будет думать, прежде чем кнопки нажимать. На машинах почему-то учатся ездить, просто так на дорогу не высовываются...

> Слушай, не оскорбляй незнакомых людей.

Если человек так уверен в том шифрование это панацея, то он лох педальный, наслушавшийся рекламных песен. Математику в школе учил? Про необходимы и достаточные условия помнишь? Чем отличаются понимаешь? Ну так вот - шифрование это есть необходимое, но не есть достаточное условие, для обеспечения безопасности, в том числе - для безопасности банковских транзакций. Тот кто этого не понимает - неизбежно будет поимет.

> Девочку - на курсы по комп. безопастности. И под роспись, что ознакомилась. Тогда будет думать, прежде чем кнопки нажимать.

То есть начинать надо со самого слабого звена, с людей, а не с замены ОС. В этом согласен. Ну я уже говорил что пользователь должен нести полную ответственность за все действия, совершенные с его компьютера/из-под его аккаунта. И нести полную ответственность за них, вплоть до уголовной. Ну разумеется если он доказал что он предпринимал все необходимые меры, то ответственности быть не может.

> Ну а похищение хозяина карты и требование выкупа даст еще больший доход

Но и гораздо более высокий риск, накладные расходы и трудозотраты. Посему желающих это сделать меньше.

Слушай ты, школьник с лохморья. Я не утверждал что шифрование это панацея. Однако пойми своим убогим умишком - взломать роутер сложнее чем комп, анализировать раффик транзитных узлов на несколько порядков сложнее чем содержимое локалхоста а объем памяти большинства роутеров не больше 16 мб рам (это еще продвинутые модели) и 2 мб ром

Это для детей мир черно белый а взрослые люди понимают что есть градации. Да, ремень не спасет при столкновении лоб-в-лоб двух тачек по 150 км/ч, бронежилет не спасает от снайпера и ножа, антибиотики не помогают от вирусов. Однако оказыватся от средст элеменарной безопастности потому что они обеспечивают 90% гарантию а не 100% это долбоебизм

>Но и гораздо более высокий риск, накладные расходы и трудозотраты. Посему желающих это сделать меньше.

аналогично и массовый взлом vs. индивидуальная работа с "клиентом"

> Однако пойми своим убогим умишком - взломать роутер сложнее чем комп, анализировать раффик транзитных узлов на несколько порядков сложнее чем содержимое локалхоста а объем памяти большинства роутеров не больше 16 мб рам (это еще продвинутые модели) и 2 мб ром

1. Смотря какой роутер, а с учетом что многие ISP увернные в их безопасности делают абсолютно дикие настройки их безопасности, поскольку так им удобней. Речь идет о ADSL/DOCSIS-модемах с линаксом унутри.

2. Сколько-сколько? Ну вот пример конфигурации моего домашнего роутера:

home#sh ver

Cisco 877W (MPC8272) processor (revision 0x200) with 236544K/25600K bytes of memory.
Processor board ID FHK10401207
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
24576K bytes of processor board System flash (Intel Strataflash)

Ну да - это не китайская мыльница, сломать ее не так просто - факт. :) Но тоже можно.

3. И самое главное - такие атаки всегда проводятся с участвием засланого казачька, что полностью нивелирует разницу в ОС.

> Однако оказыватся от средст элеменарной безопастности потому что они обеспечивают 90% гарантию а не 100% это долбоебизм

home#sh int di 1
Dialer1 is up, line protocol is up (spoofing)
Hardware is Unknown
Description: Stream PPPoE (Internet Connection)
Internet address is 91.76.248.104/32

Жду когда сломаешь. Винда, да. Вперед.

>> пользователь должен нести полную ответственность за все действия, совершенные с его компьютера/из-под его аккаунта.

А на каком основании, если софт, в тч и ОС, с которым он работает ему даже не принадлежит?

Знаешь анекдот про Неуловимого Джо? Короче, ты уныл и неинтересен

> А на каком основании, если софт, в тч и ОС, с которым он работает ему даже не принадлежит?

На том основании что это его действия или бездействие привели к ущербу для третих лиц. Если ты ездишь на арендованном автомобиле, то ты несешь точно такую же отвественность как если бы он был твой.

> Лох педальный детектед! Бегом читать про атаку MiM - именно ее позволяет реализовать скомпрометированный роутер, при этом- абсолютно незаметно для пользователя. Тут кто-то сказал про сертификаты... Ну да помогут - если юзер будет читать сообщения, выскакивающие на компе, а девочка бухгалтер этого делать не будет.

"Девочка бухгалтер", работающая за клиент-банком, на ЛЮБУЮ ошибку обязана звать спеца-ИТшника, и не нажимать ничего. ИТ-шник при необходимости привлекает безопасников, дальше вопрос техники.

Никакие руткиты и прочее здесь не канает, поскольку запускаемая ссистема проходит "процесс доверенной загрузки", что подразумевает верификацию бинарников со сверкой сигнатуры.

Никакие черви и прочая хрень по сети до такого компа не достучится - он либо в изолированном сегменте, либо прикрыт настолько жестоким файрволом, что через него http и https со скрипом пролазят.

Ничего на флэшках юзер не притащит - флэшки запрещено втыкать в комп. Единственная возможно "разрешенная" флэшка - это флэшка с ключами (но обычно это смарт-карта).

То, что ты не знаешь даже такие элементарные вещи, означает что ты никогда не работал в мало-мальски серьезной компании на должности связанной с ИТ и безопасностью.

Поскольку ты именно тот анонимус, который распинался про 120 на руки и еще по 30-60 на приработках, то твой самодекларированый доход в 5 килобасов в месяц наверное можно поделить на 5. Впрочем, есть вариант что ты не врешь, и работаешь в "компьютерной скорой помощи" из тех, что выставляют счет "400 рублей за установку каждого драйвера - драйвер мышки, драйвер сеевой, драйвер звуковой, драйвер видео, драйвер контроллера SATA, драйвер первичного канала IDE, драйвер вторичного канала IDE, дарйвер клавиатуры, дарйвер флэшки" и так далее, но рассуждать о безопасности у тебя как бы не получится :-)

> Знаешь анекдот про Неуловимого Джо? Короче, ты уныл и неинтересен

Короче слив засчитан - признай что я под вендой имею точно такую же степень безопасности как и ты под линаксом. Ибо продемонстрировать мою, яко бы высокую уязвимость на практике ты не можешь.

>пользователь должен нести полную ответственность за все действия, совершенные с его компьютера/из-под его аккаунта.
>И нести полную ответственность за них, вплоть до уголовной.

Мой безымянный друк, ты сам готов за "лоха педального" по 20.1 КоАП РФ
выложить от одной тысячи до двух тысяч пятисот рублей
или отведать административный арест на срок до пятнадцати суток?

> "Девочка бухгалтер", работающая за клиент-банком, на ЛЮБУЮ ошибку обязана звать спеца-ИТшника, и не нажимать ничего.

А она это делает? Особенно когда платеж надо провести срочно ибо так приказал биг босс, а времени в обрез - банковский день кончается через 5 минут?

> Никакие руткиты и прочее здесь не канает, поскольку запускаемая ссистема проходит "процесс доверенной загрузки", что подразумевает верификацию бинарников со сверкой сигнатуры.

Еще раз - атака персонифицированная, то есть с высокой степени имеет место быть засланный казачек. Откуда такая уверенность что сигнатуры валидны? :)

> Никакие черви и прочая хрень по сети до такого компа не достучится - он либо в изолированном сегменте, либо прикрыт настолько жестоким файрволом, что через него http и https со скрипом пролазят.

В теории - да, на практике... это обычно не так. Готов спорить что в рассматриваемом случае это было не так. И девочка-бухгалтер на каждую ошибку к компу никого не звала.

А если это так и черви до него доползти не могут, то какая разница какая там ОС? :)