Комментарии 33
Фишка решения в том, что оно абсолютно необременительно для конечного пользователя —подключилукрал токен, запустил браузер и сразу же можно начинать тратить деньги.
PIN-код еще надо подобрать. Обычно дается 3 попытки, потом токен блокируется и вы не авторизуетесь в личном кабинете. В общем, тупой троллинг.
Ну это уже неинтересно :-).
UPD: вспомнился «Сплинтер сэл» — как код в тепловизоре подбирали по остаточной теплоте клавиш.
UPD: вспомнился «Сплинтер сэл» — как код в тепловизоре подбирали по остаточной теплоте клавиш.
Да что его подбирать. 12345678 и при установке просят особо не менять.
Я в этом плане просто офигеваю от ситуации, когда на тебя чуть ли не как на идиота смотрят, когда ты хочешь сменить стандартный пароль или даже тот, что дали при установке.
Я в этом плане просто офигеваю от ситуации, когда на тебя чуть ли не как на идиота смотрят, когда ты хочешь сменить стандартный пароль или даже тот, что дали при установке.
Меняйте, не подчиняйтесь чужому влиянию :) Вендор дал вам все необходимые инструменты
Я, естественно, все всегда меняю. Но ситуация такова, что на токетах ставят стандартный легкий пароль непосредственно в момент установки системы клиент-банк и т.п. А потом никто не хочет заморачиваться со сменой пароля.
После того как увидел, что установщик с МОЕЙ машины зашел на почту mail.ru, скачал оттуда архив с регистрационными данными и поставил все на мою машину, все последующие установки в будущем производил самостоятельно.
И перейти особо некуда, так как сначала выбираешь банк, а уже потом ставишь софт для управлением р/с. В Беларуси 22 банка сидят на дерьме от СТ.
И перейти особо некуда, так как сначала выбираешь банк, а уже потом ставишь софт для управлением р/с. В Беларуси 22 банка сидят на дерьме от СТ.
федеральные законы, приказы регуляторов и требования к системам ДБО от Банка России, многие из которых касаются именно защиты информации в системах ДБО
А не подскажите какие? Просто стало интересно где конкретно должны быть Российские ГОСТы (в смысле алгоритмов) — в обеспечении безопасности хранения персональных данных или безопасности канала.
©
Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.
Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации».
Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ. А ФСБ пока еще не выдает сертификаты на НЕ ГОСТы
Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.
Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации».
Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ. А ФСБ пока еще не выдает сертификаты на НЕ ГОСТы
А вообще тема эта, на мой взгляд, мутная. Отсылаю Вас на форум www.ispdn.ru/forum/forum1/, на котором тусуются Эксперты по защите персональных данных, которые смогут убедить любого в необходимости использования именно сертифицированных средств и, в частности, сертифицированной российской криптографии.
А для Рутокен ЭЦП драйвер не нужен? Он работает так же как и Рутокен Web (HID устройство)?
Если браузер исполняется CPU компьютера — защиты нет.
Если ввод «ПИН-кода» производится на штатной клавиатуре компьютера — защиты нет.
Ни один «производитель» будет страховать убытки которые могут возникнуть в случаи инцидента ИБ с использование его «сертифицированных средств».
Если ввод «ПИН-кода» производится на штатной клавиатуре компьютера — защиты нет.
Ни один «производитель» будет страховать убытки которые могут возникнуть в случаи инцидента ИБ с использование его «сертифицированных средств».
->>>2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.
Что можете сказать по поводу новых ГОСТов и того, успели ли их внедрить в OpenSSL?
habrahabr.ru/post/180739/#comment_6341308
Что можете сказать по поводу новых ГОСТов и того, успели ли их внедрить в OpenSSL?
habrahabr.ru/post/180739/#comment_6341308
2. Загружаем sTunnel, собранный с поддержкой ГОСТов. В архиве все необходимые файлы, в том числе openssl с поддержкой российской криптографии.
Подскажите, а сертификат ФСБ у этого «openssl с поддержкой российкой криптографии» есть? Если да — был бы признателен за ссылку на него.
Мне непонятно одно — зачем Вы добавили скрипт на vbs?
Чтобы пользователь один раз щелкнул мышкой и зашел в интернет-банк.
1) в некоторых организациях Windows Scripts (wscript.exe) запрещен к выполнения — поскольку много вирусов используют его
2) в корп среде выполнение НЕподписанных приложений ОЧЕНЬ веселое занятие, а как все знают — подписать vbs скрипт невозможно в отличие от exe, dll, msh
P.S. хотя Я забыл — на Visual Basic Scripts самое лучшее решение (иначе же сертификацию не пройдет) :)
2) в корп среде выполнение НЕподписанных приложений ОЧЕНЬ веселое занятие, а как все знают — подписать vbs скрипт невозможно в отличие от exe, dll, msh
P.S. хотя Я забыл — на Visual Basic Scripts самое лучшее решение (иначе же сертификацию не пройдет) :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Защита систем интернет-банкинга: TLS, электронная подпись, ГОСТы, токены