Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 92
Сомнительная безопасность. Я бы ещё с некоторым пониманием отнесся если бы они предлагали использовать токены для аутентификации, хотя это тоже куча неудобств.
2-х факторная авторизация тогда уж. По временному паролю.
В альфабанке такое есть, а если еще и учесть, что логин никак не записан на карте, то вполне себе защита. Меня больше пугает возможность оплаты через интернет чего угодно, просто имея у себя чужую карту. Это как нибудь защищается?
Смотря где оплачиваете… Много где используется 3Ds (у Альфовских карточек он подключается при наличии у клиента Клика, Чека или Мобаила)
Paypal, aliexpress, blizzard, зрелищные кассы — нигде ничего не спрашивали кроме номера карты и cvv.
При проведении транзакций в интернет магазинах банк эмитент и банк экваейр обмениваются специальным параметром под названием ECI. Если он равен 7, то ответственность в случае мошенничества ложится на банк эквайер и магазин (мерчанта) и деньги будут возвращать за их счет. Так вот… этом случае не используется 3Ds вообще… скорее всего указанные вами мерчанты используют именно ECI =7 при авторизации платежа.
Мастером от Сити не оплатишь: требуют одноразовый пароль через СМС.
Так в том же альфабанке нужно еще смс-кой транзакцию подтвердить. Правда, заметил, что не все сервисы спрашивают этот ОТП пароль.
Не пройдет — как только кто-то намекнет нашим клоунам законотворцев, что их указа как бы тоже касается :)
А можно указать адреса всех устройств, с которых я может быть буду осуществлять доступ? Прямо от 0.0.0.0 до 255.255.255.255.
а может хватит одного — 127.0.0.1
Могут попросить отдельное заверенное бумажное заявление на _каждый_ из адресов:)
В одном банке, не скажем каком, у нас такое требовали:-\
Потом правда требование убрали через пару месяцев, но осадочек остался.
В одном банке, не скажем каком, у нас такое требовали:-\
Потом правда требование убрали через пару месяцев, но осадочек остался.
Я думаю потратил бы пару дей своего времени чтобы выслать им хотя бы пару тысяч заявлений. Дураков нужно учить.
Т.е. через провайдера с динамическим IP нельзя по определению?
Мы, например, уже полгода используем схему со списком белых IP-адресов для доступа к серверу тестирования test.nica.ru. Тестирование проходит в вузах, в определённых аудиториях, так что они заранее подают диапазон своих внешних ай-пи. Естественно, если адрес у них не статический, то диапазон они вынуждены запрашивать у провайдера, и эту информацию им спокойно выдают.
За всё время только пару раз были реальные проблемы, с МТС-3G и с yota, сложно оказалось добраться до нужного специалиста техподдержки. Ну и серые адреса 192.168 часто пытаются прислать.
И да, сама схема введена после DDOS-атаки, как самое простое средство от её предотвращения в будущем. Она не оптимальна, но гарантирует результат.
За всё время только пару раз были реальные проблемы, с МТС-3G и с yota, сложно оказалось добраться до нужного специалиста техподдержки. Ну и серые адреса 192.168 часто пытаются прислать.
И да, сама схема введена после DDOS-атаки, как самое простое средство от её предотвращения в будущем. Она не оптимальна, но гарантирует результат.
не не… не так…
0.0.0.0
0.0.0.1
0.0.0.2
0.0.0.3
…
255.255.255.255
Следом другой талмут с ipv6 адресами. И на добивку, можно удалить из списка свой реальный IP адрес. После чего пройти успешную авторизацию под ним и подать в суд на банк, который разрешил доступ с IP не из списка.
0.0.0.0
0.0.0.1
0.0.0.2
0.0.0.3
…
255.255.255.255
Следом другой талмут с ipv6 адресами. И на добивку, можно удалить из списка свой реальный IP адрес. После чего пройти успешную авторизацию под ним и подать в суд на банк, который разрешил доступ с IP не из списка.
Будет очень смешно, если такой идиотизм пройдет.
Даа, первые пять минут будет смешно.
другие ведь прошли
Тут вот закон о «топоте котов» продвигают. Так что это еще нормально для них…
У них давно крышу снесло. А не нужно им указывать адреса всех моих будущих мест жительства? Для идентификации, так сказать.
Сейчас есть требования некого «адреса регистрации». Миллионы людей живут не по адресу, указанному в штампе. А про «купленные» и упоминать не стоит. Какой смысл в требовании этих штампов и клочков бумаги с адресами непонятно. Достаточно просто идентифицировать личность. В США вообще люди переезжает по 10-15 раз за всю жизнь с одного места проживания в другое. В банк предъявляют конверт на имя и адрес или счёт за что-нибудь и всё.
Сейчас есть требования некого «адреса регистрации». Миллионы людей живут не по адресу, указанному в штампе. А про «купленные» и упоминать не стоит. Какой смысл в требовании этих штампов и клочков бумаги с адресами непонятно. Достаточно просто идентифицировать личность. В США вообще люди переезжает по 10-15 раз за всю жизнь с одного места проживания в другое. В банк предъявляют конверт на имя и адрес или счёт за что-нибудь и всё.
Знаете, мне тут нужно было в военкомате с учёта сняться, в связи с отъездом в другую страну на срок от шести месяцев. Так вот, меня отказались снимать с учёта, поскольку у меня не было обратного билета в Россию с датой через шесть месяцев или позже.
Все мои попытки показать заранее распечатанный ФЗ «О воинской обязанности и военной службе» не имели абсолютно никакого смысла. Никто из сотрудников военкомата, включая и самого военного коммисара, даже смотреть эти распечатки не стал. Самое смешное здесь то, что согласно этому закону, никаких доказательств того, что ты уезжаешь, вообще не требуется. И если ты останешься в стране, не встав на учёт повторно (в двухнедельный срок) — то отвечать за это тебе (уже по статье 328 УК РФ). В некоторых военкоматах, кстати, действительно никаких проблем не возникает, и людей снимают с учёта сразу же. Но тут военкомат оказался не из таких.
Все мои попытки показать заранее распечатанный ФЗ «О воинской обязанности и военной службе» не имели абсолютно никакого смысла. Никто из сотрудников военкомата, включая и самого военного коммисара, даже смотреть эти распечатки не стал. Самое смешное здесь то, что согласно этому закону, никаких доказательств того, что ты уезжаешь, вообще не требуется. И если ты останешься в стране, не встав на учёт повторно (в двухнедельный срок) — то отвечать за это тебе (уже по статье 328 УК РФ). В некоторых военкоматах, кстати, действительно никаких проблем не возникает, и людей снимают с учёта сразу же. Но тут военкомат оказался не из таких.
В принципе тогда к ним нужно прийти с нотариусом и заверить их отказ. Потом подать жалобу, а потом в суд за преступное бездействие и материальный ущерб.
Но в конце концов мне было проще сменить страну.
Но в конце концов мне было проще сменить страну.
А что сказали в военной прокуратуре?
Честно говоря, не ходил туда. Мне уезжать нужно было через неделю. Заявление они, кстати, всё-таки приняли, но сказали, что без подтверждающих документов с учёта снимать не будут, а срок рассмотрения заявления — 10 дней (то есть дольше, чем я оставался в Питере). Что интересно, у них даже не было такого бланка — пришлось заполнять бланк для переезда по России (указав заграничный адрес).
А до этого было ещё интереснее — я до этого тоже долгое время не жил в России, и был снят с учёта (в другом военкомате для снятия с учёта ничего не потребовалось: заполнил заявление, мне тут же выдали справку и забрали приписное). Потом я приехал в Россию и перепрописался в другом месте, и попытался встать на учёт (уже по новому месту прописки). Но ничего не вышло, потому что военкомат в Питере говорил, что не может меня поставить на учёт, если я не принесу приписное, а военкомат в другом городе говорил, что не может выдать мне приписное, а может только отправить в другой военкомат вместе с личным делом по запросу. Военкомат в Питере, в свою очередь, говорил, что не может отправить запрос, если у меня нету приписного. В общем, около трёх лет меня просто отказывались ставить на учёт. Если бы не необходимость получить загран. паспорт — может, и не поставили бы. А так я уже пришёл к ним в пятнадцатый, наверно, раз, достучался до военного коммисара (непонятно, как они там работают — его часами нужно ждать), и он всё-таки разрешил другим сотрудникам военкомата отправить запрос, чтобы другой военкомат выслал личное дело с приписным. А потом меня ещё пытались заверить, что я могу даже не пытаться получить загран. паспорт, потому что они будут отвечать отказом на запрос от УФМС и так далее. Я проконсультировался с юристами, и мне сказали, что это абсурд, и не препятствовать получению загран. паспорта они не имеют права. Соответственно, загран. паспорт мне выдали, но вот с учёта сняться уже не получилось, потому что они отказались снимать меня без подтверждения. Теперь вот недавно звонили моей сестре (она ездила в Питер с моей сим-картой) и требовали прислать справку о том, что я не в России.
А до этого было ещё интереснее — я до этого тоже долгое время не жил в России, и был снят с учёта (в другом военкомате для снятия с учёта ничего не потребовалось: заполнил заявление, мне тут же выдали справку и забрали приписное). Потом я приехал в Россию и перепрописался в другом месте, и попытался встать на учёт (уже по новому месту прописки). Но ничего не вышло, потому что военкомат в Питере говорил, что не может меня поставить на учёт, если я не принесу приписное, а военкомат в другом городе говорил, что не может выдать мне приписное, а может только отправить в другой военкомат вместе с личным делом по запросу. Военкомат в Питере, в свою очередь, говорил, что не может отправить запрос, если у меня нету приписного. В общем, около трёх лет меня просто отказывались ставить на учёт. Если бы не необходимость получить загран. паспорт — может, и не поставили бы. А так я уже пришёл к ним в пятнадцатый, наверно, раз, достучался до военного коммисара (непонятно, как они там работают — его часами нужно ждать), и он всё-таки разрешил другим сотрудникам военкомата отправить запрос, чтобы другой военкомат выслал личное дело с приписным. А потом меня ещё пытались заверить, что я могу даже не пытаться получить загран. паспорт, потому что они будут отвечать отказом на запрос от УФМС и так далее. Я проконсультировался с юристами, и мне сказали, что это абсурд, и не препятствовать получению загран. паспорта они не имеют права. Соответственно, загран. паспорт мне выдали, но вот с учёта сняться уже не получилось, потому что они отказались снимать меня без подтверждения. Теперь вот недавно звонили моей сестре (она ездила в Питер с моей сим-картой) и требовали прислать справку о том, что я не в России.
Фи, мне в военкомате сказали: да вобще пофиг где ты, у нас ведь не война.
и финансированию терроризма
Как в штатах, на этой почве проводи какие хочешь законопроекты. Кто против: «Вы что, поддерживаете террористов?». И таким образом «во благо» начинается тотальная проверка и идентификация всего чего только можно «ради нашей же безопасности».
Надо в РПЦ написать, а то нам тут опять печать на руку и чело хотят поставить. Пусть хоть здесь ради общего блага поработают.
Скоро ЦБ РФ будет подконтролен России, и такого бреда не будет.
Вы можете сами прямо сейчас принять участие в улучшении России — подпишись под важнейшими законопроектам — nstarikov.ru/blog/21064
Вы можете сами прямо сейчас принять участие в улучшении России — подпишись под важнейшими законопроектам — nstarikov.ru/blog/21064
заодно и экономику похороним!
Вы ошибаетесь.
Аргументируйте, как подчинение ЦБ (включая функции эмисии, да и вообще регуляции денежной массы) государству оздоровит экономику.
Вот здесь посмотрите nstarikov.ru/blog/20203
В свое время именно по этой причине ушли с Банка Москвы, будучи юриками. Это насколько нужно быть дебилами, чтобы сделать интернет-банк, но при этом привязать возможность его использовать к какому-то конкретному месту. Есть же двухфакторная аутентификация (токен + смс, к примеру), на хрена городить ломающую саму идеологию феерию. А с MAC'ами вообще безумие. Обормоты!
Даже моя жена, далекая от программирования и компьютеров спросила: «Они что, идиоты?»
Маразм крепчал.
Опять же, не совсем ясно, можно ли указывать данные о промежуточном узле, самостоятельно настроенном для доступа к интернет-банкингу и другим интернет-сервисам (например, VPS с настроенным SSH-туннелем или VPN)
Вы явно перестарались с безопасностью. С таким же успехом можно в своём паспорте замазать ФИО — чтоб если кто увидит паспорт Вашей личности не раскрыл.
И зачем же Вам SSH-туннели или VPN при работе с интернет-банкингом? Вдруг заблокируют сайт банка по решению МинЮста как содержащий экстремистскую информацию? Скорее, использование этого всего наводит на мысль о том, что Вы — мошенник и вас надо заблокировать.
Уважающий себя банк в онлайн банкинге использует https с подписанным сертификатом. Этого вполне достаточно для защиты соединения при работе с ненадёжным Wi-Fi
использует https с подписанным сертификатом. Этого вполне достаточно для защиты
Если быть совсем точным, то недостаточно. У клиента может внедрен левый сертификат CA, подписывающий серверы злоумышленнику. Да и с настоящими trusted CA бывали проколы, как например, не такой уж давний случай с компрометацией перекурившего голландского центра.
Если быть совсем точным, то недостаточно. У клиента может внедрен левый сертификат CA, подписывающий серверы злоумышленнику. Да и с настоящими trusted CA бывали проколы, как например, не такой уж давний случай с компрометацией перекурившего голландского центра.
Давайте отделим мух от котлет
Если SSH-туннель или VPN используются для защиты трафика при использовании интернета в не доверенном месте (публичный Wi-Fi, например), то это лишнее, т.к. в этом случае https с подписанным сертификатом вполне достаточно для защиты. Если внедрен левый сертификат CA, подписывающий серверы злоумышленнику, то толку от VPN или SSH-туннеля опять же — никакого.
Если SSH-туннель или VPN используются для защиты трафика при использовании интернета в не доверенном месте (публичный Wi-Fi, например), то это лишнее, т.к. в этом случае https с подписанным сертификатом вполне достаточно для защиты. Если внедрен левый сертификат CA, подписывающий серверы злоумышленнику, то толку от VPN или SSH-туннеля опять же — никакого.
Почему это никакого? MITM бывает разный. Если, например, мы используем собственный DNS-сервер, и запросы на него отсылаются через туннель или VPN, значит мы можем рассчитывать на то, что IP-адрес получен правильно. А если мы обращаемся к правильному IP-адресу, и трафик передаётся на наш сервер, но вторгнуться в него получается почти невозможно.
Конечно, если помимо левого CA на компьютере оказалась ещё и запись в /etc/hosts (либо злоумышленник перенастроил DNS) — вот тогда уже сложнее. Или если был получен доступ к нашему серверу.
Но если речь идёт только о внедрении сертификата CA, то VPN или туннель будет очень даже полезен, и может не позволить злоумышленнику произвести атаку.
Конечно, если помимо левого CA на компьютере оказалась ещё и запись в /etc/hosts (либо злоумышленник перенастроил DNS) — вот тогда уже сложнее. Или если был получен доступ к нашему серверу.
Но если речь идёт только о внедрении сертификата CA, то VPN или туннель будет очень даже полезен, и может не позволить злоумышленнику произвести атаку.
Давайте отделим. Правильно настроенному VPN нет никакого смысла полагаться на цепочку доверенных CA: серверу и клиенту достаточно знать статические/единожды сгенерированные ключи друг друга. А в https подпись доверенными CA — часть архитектуры, у которой есть значительные проблемы с безопасностью, главные из которых: — 1. безопасность клиентской базы доверенных CA, которая зависит от используемого браузера; и 2. вопрос безоглядного доверия ко всему списку доверенных CA (никто не гарантирует, что очередные «голландцы» поленятся следовать процедуре и не выдадут Злым Людям сертификат мойбанк.ру, который позволит Злым Людям устроить вам MiTM и спереть банковский пароль). Ситуацию временно исправляет EV, но ровно до той поры, пока кто-то не забьет на процедуру выдачи уже EV сертификатов.
А если я настраиваю защиту для клиента, и хочу максимальо обезопасить его от MITM (который становится возможным в случае, если он по своей глупости подтвердит неподписанный сертификат)?
Но на самом деле я говорю не о дополнительной защите (помимо HTTPS), а именно о промежуточном узле. В законе ведь не указывается, что требуются данные именно о том устройстве, с которого человек фактически осуществляет доступ. Соответственно, можно предположить, что мы можем просто указать свой сервер, и каждый раз выходить через него. Интернет-банкинг будет фиксировать его IP-адрес, а вот фактически устройств у нас может быть сколько угодно, и получать доступ мы можем откуда хотим.
Но на самом деле я говорю не о дополнительной защите (помимо HTTPS), а именно о промежуточном узле. В законе ведь не указывается, что требуются данные именно о том устройстве, с которого человек фактически осуществляет доступ. Соответственно, можно предположить, что мы можем просто указать свой сервер, и каждый раз выходить через него. Интернет-банкинг будет фиксировать его IP-адрес, а вот фактически устройств у нас может быть сколько угодно, и получать доступ мы можем откуда хотим.
А главное — зачем? В процессе работы клиента с интернет банкингом у банка будет накоплен список этих самых IP адресов с которых осуществляется доступ.
каким образом они предлагают реализовать проверку MAC-адреса
Наверное, для самописного софта. Раньше банки делали самописный, а не предоставляли услугу через браузер. Всё же документ от бородатого 2004 года
Так почему бы просто не поставить компьютеры в отделениях банка, предоставлять доступ по паспорту, и никаких вам заморочек с IP-адресами? Что-то последнее время просто волна идиотских законопроектов пошла, чего это вдруг?
Проект нуждается в серьёзной корректировке. Ведь MAC-адрес можно подменить. Его нужно заменить на инвентарный номер компьютера. Его подменить намного сложнее, он приклеен. А поскольку передача инвентарного номера не поддерживается протоколом TCP/IP, его нужно будет временно запретить, до исправления этого досадного недочета. Заодно Ipv6 не потребуется, у любого устройства, предмета мебели и прочего имущества, состоящего на балансе предприятия этот номер уже есть.
Предлагаю выступить с общественной инициативой.
Предлагаю выступить с общественной инициативой.
Автор, вы бы хотя бы написали, что экспертное мнение по этому дополнению нужно отправить по адресу ksa3@cbr.ru до 16 октября. Смысл просто так сотрясать воздух? И что значит «общую атмосферу», ЦБ более чем полностью независимая от государства (как по конституции, так и по закону об ЦБ) структура которая сама под себя пишет законы и ей никто не указ.
В принципе толика здравого смысла тут есть. Совсем маленькая правда. Добровольная возможность привязки к ip была бы полезна. Благо у меня, что телефон, что планшет, что все остальные компы ходят на платежные сайты через мой VPN, выходной ip которого постоянен.
Еще полезно было бы иметь возможность диапазон указать. У меня на домашней машине ip, хоть и динамика, но прямой.
С MAC-ами конечно смешно. Кто-нибудь представляет хоть какую-то возможность передавать мак устройства дальше первого роутера в цепочке?
Еще полезно было бы иметь возможность диапазон указать. У меня на домашней машине ip, хоть и динамика, но прямой.
С MAC-ами конечно смешно. Кто-нибудь представляет хоть какую-то возможность передавать мак устройства дальше первого роутера в цепочке?
Извините, ответ получился ниже.
Защита по MAC адресам вообще гениальна. Сервер банка всегда будет у всех клиентов видеть один MAC — ближайшего шлюза )
Защита по IP и MAC это как «Тупой и еще тупее»
Защита по IP и MAC это как «Тупой и еще тупее»
Хотел бы обратить ваше внимание на первый абзац обсуждаемой новости:
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
… проект указания о внесении изменений в Положение Банка России от 19 августа 2004 года N262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
> Поэтому собранные у них IP и MAC-адреса мало чем помогут
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Да? Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках. Указанные адреса могут быть одним из доказательств отсутствия инсайда. Указанные адреса могут свидетельствовать об автозаливе или о проведении платежа с компьютера бухгалтера. Указанные адреса могут свидетельствовать о многом, даже если они зарегистрированы не в России или СНГ, а логи по ним получить невозможно. Неоднократно доказано ;)
Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках.
Если он дурак, то да — может. Особенно суицидно это будет выглядеть после принятия обсуждаемых изменений.
Если ваша логика верна, то следы пальцев рук на месте преступления искать не надо, вряд ли грамотные преступники их будут оставлять. Гильзы тоже не надо искать, как и угнанные автомобили по номерам. И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
А, с другой стороны, ситуация несколько по-другому выглядит: следы оставляются, преступления раскрываются, даже очень сложные. Злоумышленников, делающих деньги на мошенничестве в системах ДБО, «принимают». Почему так происходит? На этот вопрос ответ дает целая наука, криминология :-) Даже очень грамотный «компьютерщик» не сможет совершить идеальное компьютерное преступление. До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений. И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
Из моих высказываний это никак не следует. Давайте вернемся к нормальному обсуждению — без приписывания мне всякой ерунды, ок? А то некрасиво получается.
За аналогии спасибо. Они помогут более наглядно аргументировать мою точку зрения.
Чем хороши в расследовании преступлений гильзы, номера автомобилей, отпечатки пальцев? Тем что их сложно менять и подделывать, не так ли? А как дела обстоят с MAC-адресами? С точностью до наоборот — их очень легко и быстро менять и подделывать (можно хоть каждую платежку посылать с новым MAC-адресом).
А теперь вернемся к вашей аналогии и посмотрим, как она будет выглядеть с учетом сказанного.
Представьте такую картину: преступник из своего оружия выпускает очередь (= посылает серию криминальных платежек), и каждая вылетающая пуля имеет не только свой рисунок царапин, но и свой калибр, вес, длину и т.д. 10 выстрелов — 10 разных пуль и гильз на любой вкус (начиная от артиллерийского снаряда и кончая дробью). Причем ни одна из них не соответствует реальному стволу, из которого стреляет преступник. Согласитесь, это уже и стволом-то назвать нельзя — это суперствол!
Дорогой ли он, трудно ли его достать? Увы, доставать суперствол вообще не нужно — он бесплатно(!) есть у каждого(!) человека. Максимум, что требуется — узнать, как им пользоваться. А пользоваться им за 5 минут может научиться хоть школьник, хоть домохозяйка (интернет завален инструкциями, как менять MAC-адреса — причем даже в картинках).
Итак, что мы имеем в результате? У всех людей (не только преступников) уже от рождения есть суперстволы, которые могут стрелять какими угодно калибрами и царапинами пуль и любой может этому научиться за 5 минут. Вот теперь ваша аналогия близка к реальной ситуации с MAC-адресами.
И вот в условиях поголовного обладания описанными выше суперстволами кто-то наверху вдруг издает указ об обязательном отстреле реальных стволов для формирования пуле- и гильзотеки. И это еще не всё: сама процедура отстрела, достоверность ее результатов и какой ствол был отстрелян — реальный или виртуальный суперствол — всё ложится на совесть самого заявителя. Занавес…
А теперь с учетом вышесказанного ответьте честно:
— Так ли я был неправ насчет низкой эффективности этого решения в целях поимки преступников? Особенно если учесть, что сам злоумышленник отстреливает свои стволы, а в банк несет только бумагу?
— Как вы оцените умственные способности преступника, который имея при себе суперствол, тем не менее во время преступления тупо стреляет своим реальным стволом, зная, что ни гильзы, ни пули с места преступления забрать гарантированно не сможет? И это еще не всё: он со своим реальным стволом идёт даже не на одно, а на несколько дел, связь между которыми в его интересах максимально скрывать (ваш пример-контраргумент «Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках»). Так ли далек я от истины, назвав такого преступника дураком? Вы-то сами как такого уникума назовете?
Специально отмечу во избежания повторения кривотолков: я нигде не утверждал и не утверждаю, что MAC-адреса никогда и ни при каких обстоятельствах не пригодятся — в случае поимки идиотов они действительно могут пригодиться. Я лишь утверждаю, что они малоэффективны.
Вы плохой критерий эффективности выбрали. Сам факт регулярной фальсификации MAC-адреса уже дает полезные выводы.
Вы плохой критерий эффективности выбрали.
Если мы всё еще беседуем в контексте идентификации клиента (напомню, обсуждение ведется вокруг Положения ЦБ РФ «Об идентификации кредитными организациями...»), то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности. Особенно если учесть криминальную особенность этого контекста: злоумышленники, против которых как раз и направлено указанное Положение, — лица максимально заинтересованные, чтобы их не вычислили. И по этой причине они сильно заинтересованы в легкости и быстроте смены идентифицирующих их признаков, а также в подстановке вместо реальных значений фиктивных.
Если уж выбирать идентифицирующий признак, то не MAC-адрес, а что-нибудь другое — то, что не меняется так легко даже школьниками и домохозяйками.
Сам факт регулярной фальсификации MAC-адреса уже дает полезные выводы.Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
То у вас преступник при наличии суперствола зачем-то использует реальный ствол (причем один и тот же в разных преступлениях, связь между которыми в его интересах скрывать). Теперь же у вас преступник демонстративно, можно сказать даже нагло показывает другой стороне, что мухлюет и обманывает ее, тем самым привлекая к себе особое внимание.
Я только за, когда идет речь о технических и организационных мерах, помогающих ловить преступников. Но лучше их внедрять не с расчетом на ловлю одних лишь идиотов, а с расчетом преступников как минимум среднего уровня. Если вводимые меры позволят ловить преступников среднего ума, то идиоты тем более попадутся, и тем самым убьем двух зайцев. Согласны?
Вернемся к вашему контраргументу. Если отбросить из рассмотрения идиотов, то для преступников среднего ума логично предположить, что они всё же знают технические вопросы хотя бы в объеме среднего сисадмина, на рожон лезть совершенно не желают и стараются максимально долго оставаться вне поля подозрений и расследований различных органов (чтобы и дальше «без шума и пыли» обстряпывать свои темные делишки). И если уж они понимают, с какой целью MAC-адреса им приходится фальсифицировать, то они осознают и глупость демонстративного жонглирования этими адресами. Ведь в их интересах и дальше маскироваться под законопослушного клиента и как можно дольше скрывать свои манипуляции с MAC-адресами. Простейшее, доступное даже для школьника решение на этот случай: на каждый счет — свой фиктивный MAC-адрес. Поэтому ваш способ ловли на регулярной фальсификации MAC-адреса для преступника-неидиота отпадает.
> то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
Если можно собирать все идентификационные признаки, то это и нужно делать. Я бы вообще еще и писал все тисипидампом :-)
К тому же, в контексте действующего законодательства, под идентификацией клиента понимается сбор сведений о нем, что подразумевает постоянное накопление данных. Поэтому банк обязан постоянно собирать всю информацию (включая нетехническую), и поэтому для физических лиц был создан упрощенный порядок идентификации (кстати говоря, требование о логировании IP- и MAC-адресов на упрощенную идентификацию физических лиц не распространяется, о чем критики вносимых изменений тактично забывают).
> Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
Потому что для хищений в системах ДБО необходимо поддерживать весьма неоднородную структуру преступной группы. Очень часто наиболее высокий уровень знаний среди лиц, формирующих мошеннические платежные поручения, находится на уровне, представленном на скриншоте: i53.tinypic.com/2vbu2x5.png
И следует помнить, что иногда даже самые умные и педантичные совершают глупые ошибки. Это замечание распространяется на все сферы жизни :-)
Если можно собирать все идентификационные признаки, то это и нужно делать.
На мой взгляд, неправильный подход.
Теоретические ведь очень многое можно собирать. Но нужно ли? Например, собирать рост, вес, внешние признаки всех лиц, приносящих платежки в банк. А также марки и номера машин, на которых они приехали. И с какой стороны банку подъехали. Это поможет потом органам? Безусловно. Ну что, начнем? Обяжем все банки это делать? Или всё же есть какой-то ограничитель таким желаниям?
Что касается моего мнения, то я бы выбрал другое решение. Сейчас системы «Банк-клиент» не может разрабатывать кто угодно — нужны лицензии. Т.е. разработчики подчиняются требованиям государства. Кто мешает доработать систему лицензирования таких разработчиков так, чтобы обязать их скрытно, в зашифрованном виде журналировать целый ряд параметров, про которые даже администраторы банков знать не будут? И выдавать их органам в стандартном зашифрованном виде, подписанном ЭП — так чтобы ничего вырезать, добавить или изменить никто из сотрудников банка не мог? Такие параметры можно будет добавлять, удалять без внесения изменений в законодательство. Чем не вариант?
Нужно знать пределы разумного и границы маразма. Логирование MAC-адресов находится в пределах разумного. Хранение видеоряда с камер наблюдения в пределах, обусловленных емкостью накопителей видеорегистраторов, также трудно признать маразмом.
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
Предложенный вами вариант возможен, но пока нет предпосылок для его реализации. Да и формальная скрытность подобного логирования под большим вопросом – ни один закон не обязывает разработчиков и операторов журналирующей системы хранить в тайне перечень журналируемых сведений (увязать это с коммерческой тайной практически невозможно), а гласность уголовного судопроизводства и распространение требований УПК на использование результатов оперативно-разыскной деятельности в качестве доказательств диктуют принципиальную невозможность сохранения обсуждаемого перечня в тайне (обвиняемый имеет право знать, на основании каких данных его вычислили).
Нужно знать пределы разумного и границы маразма.
Иными словами, озвученный выше принцип «Если можно собирать все идентификационные признаки, то это и нужно делать» на самом деле имеет имеет существенные ограничения. Спасибо, именно это я и хотел отметить.
Что касается хранения в тайне перечня журналируемых параметров — не настаиваю, можно и не делать из этого тайны. Но предлагаемое мной решение всё равно обладает несомненными плюсами:
— Администраторы хоть и будут знать, какие параметры журналируются, но не смогут их вырезать и изменить. Варианты с «левыми отмазками» станут невозможны в принципе.
— Сотни банков вообще не будут заморачиваться, что и как должно журналироваться. Их задача — использовать сертифицированный софт (это требование уже сейчас выполняется), всё остальное — задача всего нескольких разработчиков. Получить максимум пользы при минимуме напрягов — один из строго желательных критериев оценки государственных хотелок.
До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений.
Если незнание злоумышленниками про журналирование МАС-адресов помогало, как вы утверждаете, в расследовании преступлений, то после публичного оглашения и внедрения предлагаемых изменений каждая собака теперь будет знать про это журналирование и 99% станут хитрее и умнее. Тогда в чем польза таких изменений? Писали бы втихаря MAC-адреса — ловили бы эти 99% злоумышленников. Так нет — надо прокричать на весь белый свет «Мы MAC-адреса теперь пасём!!! Учтите это!!!». А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно — «Ты давай, вписывай в анкету свой MAC-адрес».
И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
Что-то я не пойму — вы сейчас за кого болеете? Это же хорошо, что схемы «идеальных» преступлений на самом деле не идеальны и имеют пару-тройку изъянов. Зачем их устранять? Что бы схема стала идеальной уже без кавычек?
В качестве примера приведу ваш контраргумент выше — кто-то раньше думал, что в «идеальной» схеме не надо заботиться о безопасности MAC-адресов, потому что они не журналируются. А на самом деле в этой схеме был серьезный изъян: кое-кто эти адреса втихаря журналировал. Теперь на один изъян будет меньше и 99% глупых злоумышленников сразу станут умнее. Кто от этого в выигрыше?
> А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
99% критикующих обсуждаемые поправки законы и другие нормативно-правовые акты не читали. Банк не обязан требовать у клиента перечень IP- и MAC-адресов. Банк не обязан фильтровать доступ в систему ДБО по этим адресам. Банк не обязан собирать эти сведения до начала обслуживания клиента (согласно пункту 2.8 Положения ЦБ РФ №262-П). Банк всего лишь должен записывать эти адреса в лог.
> Кто от этого в выигрыше?
Правоохранительные органы. Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
Я специально проконсультировался с давним хорошим знакомым, работающим в одном из небольших банков ведущим администратором одной из широкораспространенных систем «Банк-клиент» (какая именно система — могу назвать в личном сообщении и вы сами сможете проверить правдивость его сведений). Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются. Запросы — да, были, он сам же и готовил на подпись руководству выписки из логов, но MAC-адресов в них не было.
Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона. Ибо используемая программа широко известна, узнать у разработчиков (или аналогичных администраторов других банков) так ли это на самом деле — не проблема, после чего у него могут возникнуть серьезные неприятности в связи с подозрением в сообщничестве с киберпреступниками. Оно ему надо?
Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Спорить не буду, возможно какие-то (подозреваю, что достаточно крупные и/или приближенные к государству) банки действительно могут вести себя достаточно нагло по отношению к правоохранителям и запросам от них. Но это потому, что не боятся их. Для рядового же банка на ровном месте нагло скрывать MAC-адреса при том, что разработчик этой системы на запрос правоохранительных органов официально ответит, что MAC-адреса все же журналируются — это надо быть очень уверенным в своей неуязвимости.
> Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются.
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
А вот посмотрите в документации к BS-Client Internet Client – там явно написано, что MAC-адреса журналируются. Скачать можно тут: www.vyborg-bank.ru/img/saved/download/ur/instructions_ibank.pdf (см. стр. 18). Более подробно написано в документации для банков (также можно скачать в Интернете). А это, между прочим, самая популярная система ДБО для юридических лиц.
> Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке. При этом по одним запросам идут нормальные ответы, а по другим – пустые.
> Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Загляните в ближайший отдел УЭБиПК и спросите там. Ответ будет на моей чаше весов :-) Лично я общался с оперативными сотрудниками (равно как и с сотрудниками банков во время выемок сведений об обслуживаемых организациях) и точно знаю про существование «левых отмазок».
А вот посмотрите в документации к BS-Client Internet Client...
Охотно верю, что в некоторых системах «Банк-клиент» MAC-адреса журналируются.
Но я же говорил не о том, что они нигде не журналируются, а о том, что есть системы, где они не журналируются, и из этого следует, что у части банков действительно нет таких данных и это — не «левая отмазка». BS-Client ведь не единственная на российском рынке.
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке.Я же писал, что допускаю существование таких банков. И даже предположил, что это за банки.
Если приближенный к государству банк, имея MAC-адреса, не боится показать оперативникам фигу, то он также, чтобы отмахнуться, не будет боятся поставить один и тот же MAC-адрес на все операции. Т.е. проблема с этими банками в другом и решать ее надо другими средствами.
… точно знаю про существование «левых отмазок».
Я разве отрицал их существование? Я просто сказал, что не везде «левые отмазки» — есть еще и объективные причины. И пусть хоть сто сотрудников внезапно придет в тот банк, где работает администратором мой знакомый — никаких MAC-адресов они не найдут. Ну нет их в журналах! И это не «левая отмазка».
Во-первых, в указанном Положении, с учетом вносимых изменений, речь идет про идентификацию клиентов. Не про проверку подлинности, т. к. четкое юридическое определение идентификации дано в законе «О ПОД/ФТ». Только ССЗБ-банки будут требовать от клиентов обязательной бумажки с указанием всех IP- и MAC-адресов. Нормальные банки будут собирать такие адреса в процессе работы клиента. Как уже давно и происходит.
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
Во-вторых, сбор MAC-адресов технически осуществим… И, вы не поверите, уже производится! Такие системы ДБО как BS-Client давно собирают с компьютера перечень всех MAC-адресов (Java-апплетом). Указанное Положение лишь легализует обязанность банков собирать такие сведения и позволяет избежать дальнейших отказов в предоставлениии соответствующей информации правоохранительным органам и судам по глупым мотивам («у нас таких данных не было и нет»).
В-третьих, я повторяю, клиентам не будет ограничиваться доступ в интернет-банкинг по IP- и MAC-адресам, если они сами того не пожелают. В противном случае вы смело можете писать на имя банка претензию, т. к. его действия нарушат ваше право на свободу перемещения.
И, последнее, конечно, злоумышленник может использовать и прокси-сервер, и VPN, и даже Tor, но такие логи действительно помогают в расследовании экономических и компьютерных преступлений (ибо идеальных преступлений не бывает :)).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ЦБ РФ намерен обязать пользователей интернет-банкинга предоставлять информацию об IP-адресах всех их устройств