Если стоит полуось, то банк до сих пор не пользуется чиповыми картами, т.к. под полуось нет драйверов для использования чипового считывателя в картридере.
Мы боролись с пролезанием грызунов следующим образом: засовывали во все отверстия, через которые могли бы пролезть грызуны, металлические щетки для мытья посуды. Дешево и работало безотказно.
Последний абзац немного неправильно написал.
Вот как он должен выглядеть:
Остается немного не понятным: открывает операционист свое прикладное ПО и вуаля() или он сохраняет «документ.scr» из вложения и потом его уже ручками запускает?
>>> В данной атаке, как я понял, предполагается, что операционист может добавить документ напрямую в базу ДБО BSS сразу в нужном статусе «К выгрузке».
Нет тут немного другой сценарий в статье.
В статье описан пример с отправкой «произвольного документа в банк». Произвольный документ приходит в банк, и возможно операционист из своей кастрированной версии bsclient открывает это сообщение (например нам так посылали списки на зачисление зп), но опять же в диктмане можно 65 ветку настроить так, чтоб ничего кроме тхт приложить не смогли:
>>>У оператора специальное десктопное ПО для обработки подобных заявок
>>>Он его открывает, и после этого на нашем счету 13 млрд рублей:
Остается немного не понятным открывает автопроцедура на cbank'e «документ.scr» или все-таки операционист его ручками запускает?
>>Смысл в том, что АБС забирает платежки из базы, где атакующий создает их уже с таким статусом, где ЭЦП не проверяется
Не спорю по поводу того, что проверки ЭЦП по-умолчанию(!) на стороне связки с БД ДБО и БД АБС нет. По крайней мере, когда я был сотрудником банка, то такой проверки со стороны связки по-умолчанию(!) в этих продуктах я не видел, АБС была Diasoft5NT.
Но прошу отметить, что БСС и Diasoft предоставляют очень гибкие и очень мощные в плане кастомизации системы.
Как я отметил в комментарии выше, у нас связка была немного переписана, были забиты специфичные для нас «гвозди» и проверки, не зная о которых сгенерить платежный документ в абс становится практически не возможным, т.к. связка не вываливала статусы наружу и из себя представляла черный ящик. Плюс в АБС у нас было разграничение по ролям и один человек, не мог переводить документы из статуса в статус, ко всем действиям привязывалась ЭЦП из АБС и был последконтроль.
Но такая ситуация, когда и организационными и техническими мерами были внедрены системы тотального контроля, возникла после неприятного инцидента:).
Насколько понимаю, в описанном примере, возникла ситуация, когда получилось в БД ДБО внести данные об остатках на счете и затем они попали в БД АБС? Или программный код из «Документ.scr» выполнялся уже в БД АБС?
Да точно, совсем забыл в cbank'e БССа реализованы все возможные внутренние механизмы, правда мало кто ими пользуется.
В этом комментарии habrahabr.ru/company/dsec/blog/214351/#comment_7375847 я отписался, что есть еще эшелон обороны, а именно связка между ДБО и АБС.
Стоит отметить, что вышеописанное характерно и сработает в том случае, если связка между системой ДБО и автоматизированной банковской системой (АБС) используется стандартная и вы знаете какая именно это связка(у БСС в их продукте этих связок много). И нужно отличать что БД ДБО это не БД АБС, в которой как правило есть разграничения по доступам и разграничение контроля, как правило изменение баланса счета без наличия первичных документов обнаружат в кратчайшие сроки и инициируют внутреннюю проверку с блокировкой подозрительного счета.
А еще может быть связка не стандартной, мне, например, в свое время от предыдущего сотрудника досталась связка между АБС diasoft5nt (40я вроде в нотации БСС) и ДБО, так в этой связке кроме «гвоздей» была реализована антифрод система и все подозрительные документы просто сливались в специальную пачку и им присваивался статус фиктивных. Тем самым в любом случае операционист был вынужден обращать на документы внимание. И не зная реализации этой доработанной связки становится очень сложно реализовать подобное описанному в статье.
Думаю стоит использовать 8.2 и 8.3, как основные для выбора.
7 версия платформы, если кому-то и нужна будет, то это только из-за предельно специфичной конфигурации, которую дешевле и проще держать на 7, чем перетащить все на 8-ю.
navion видимо спрашивал из-за того, что для многих организаций, будет проще купить готовое решение с 1ской (платформа+ нужная конфигурация), чем заморачиваться с приобретением всего по отдельности.
После прочтения этой новости, до сих пор бегаю по офису, как на этом ролике: z0r.de/2805
Огромнейшее спасибо за внедрение поддержки web2py. Была мысль использовать этот фреймворк в паре проектов, но останавливало, что PyCharm его не поддерживал.
Вот как он должен выглядеть:
Остается немного не понятным: открывает операционист свое прикладное ПО и вуаля() или он сохраняет «документ.scr» из вложения и потом его уже ручками запускает?
Нет тут немного другой сценарий в статье.
В статье описан пример с отправкой «произвольного документа в банк». Произвольный документ приходит в банк, и возможно операционист из своей кастрированной версии bsclient открывает это сообщение (например нам так посылали списки на зачисление зп), но опять же в диктмане можно 65 ветку настроить так, чтоб ничего кроме тхт приложить не смогли:
>>>У оператора специальное десктопное ПО для обработки подобных заявок
>>>Он его открывает, и после этого на нашем счету 13 млрд рублей:
Остается немного не понятным открывает автопроцедура на cbank'e «документ.scr» или все-таки операционист его ручками запускает?
Не спорю по поводу того, что проверки ЭЦП по-умолчанию(!) на стороне связки с БД ДБО и БД АБС нет. По крайней мере, когда я был сотрудником банка, то такой проверки со стороны связки по-умолчанию(!) в этих продуктах я не видел, АБС была Diasoft5NT.
Но прошу отметить, что БСС и Diasoft предоставляют очень гибкие и очень мощные в плане кастомизации системы.
Как я отметил в комментарии выше, у нас связка была немного переписана, были забиты специфичные для нас «гвозди» и проверки, не зная о которых сгенерить платежный документ в абс становится практически не возможным, т.к. связка не вываливала статусы наружу и из себя представляла черный ящик. Плюс в АБС у нас было разграничение по ролям и один человек, не мог переводить документы из статуса в статус, ко всем действиям привязывалась ЭЦП из АБС и был последконтроль.
Но такая ситуация, когда и организационными и техническими мерами были внедрены системы тотального контроля, возникла после неприятного инцидента:).
Насколько понимаю, в описанном примере, возникла ситуация, когда получилось в БД ДБО внести данные об остатках на счете и затем они попали в БД АБС? Или программный код из «Документ.scr» выполнялся уже в БД АБС?
В этом комментарии habrahabr.ru/company/dsec/blog/214351/#comment_7375847 я отписался, что есть еще эшелон обороны, а именно связка между ДБО и АБС.
А еще может быть связка не стандартной, мне, например, в свое время от предыдущего сотрудника досталась связка между АБС diasoft5nt (40я вроде в нотации БСС) и ДБО, так в этой связке кроме «гвоздей» была реализована антифрод система и все подозрительные документы просто сливались в специальную пачку и им присваивался статус фиктивных. Тем самым в любом случае операционист был вынужден обращать на документы внимание. И не зная реализации этой доработанной связки становится очень сложно реализовать подобное описанному в статье.
Просто в статье вы пишете только про GPS.
Хотя возможно вы используете это обозначение как нарицательное (как например, ксерокс для всех копиров или джип для внедорожников).
Думаю стоит использовать 8.2 и 8.3, как основные для выбора.
7 версия платформы, если кому-то и нужна будет, то это только из-за предельно специфичной конфигурации, которую дешевле и проще держать на 7, чем перетащить все на 8-ю.
navion видимо спрашивал из-за того, что для многих организаций, будет проще купить готовое решение с 1ской (платформа+ нужная конфигурация), чем заморачиваться с приобретением всего по отдельности.
<irony>в этой стране есть o7.com</irony>Сейчас все в одной коробке, есть смысл и web2py попробовать.
Огромнейшее спасибо за внедрение поддержки web2py. Была мысль использовать этот фреймворк в паре проектов, но останавливало, что PyCharm его не поддерживал.