Хакеры и взломы...

digger> Пересылать дигитально подписанные переводы денег на счет хакера.Д

Это как - сломать банк, подменить страницу и заиметь контроль над сервером, синхронизирующим коды безопасности, смс и прочие оповещения?

D.Vinitski> Это как - сломать банк, подменить страницу и заиметь контроль над сервером, синхронизирующим коды безопасности, смс и прочие оповещения?

Если оно еще и с СМС - тогда почти невозможно.Подделать страницу, украсть пароль и войти - это еще древние Банкосы делали, но зависит от стойкости самой страницы.

U235> Никакие вирусы и хакеры ей не страшны

Это опасное заблуждение, ИБО - даже если принять на веру неуязвимость машинки, это ещё не гарантирует неуязвимость всей системы. Малейший факап разработчиков или пользователя - и привет.

digger> Если оно еще и с СМС - тогда почти невозможно.Подделать страницу, украсть пароль и войти - это еще древние Банкосы делали,

Пароль взломать невозможно, ибо он однократно генерируется токеном. Можно попробовать захватить контроль над сервером, что ещё проблематичней, и вмешаться в процесс синхронизации (ну, да, и ещё выслать смс-код подтверждения операции )

D.Vinitski> Это как - сломать банк, подменить страницу и заиметь контроль над сервером, синхронизирующим коды безопасности, смс и прочие оповещения?

Не надо вообще лезть на банк. Достаточно ломануть машину клиента. Механизм влома банк-клиента путем подмены подписываемого документа заключается в следующем.

1. Вредоносный код встраивается между криптографическим модулем, осуществляющем ЭЦП, и собственно Клиент-Банком.
2. Клиент-банк показывает на экране платежку с запросом о подписи с документом и отправляет электронный документ в криптографический модуль на подпись.
3. Вредоносное ПО перехватывает эту платежку и подсовывает криптографическому модулю свою платежку. С "правильным" номером счета.
4. Пользователь, думая что подписывает тот документ, что на экране, положительно отвечает на все запросы, вводит все необходимые пин-коды и СМС-коды
5. В итоге подписанный документ на перевод денег на счет хакера уходит в банк.

U235> Достаточно ломануть машину клиента.

Фантастика. Начиная с того, что для перевода денег все равно нужно иметь доступ к счету онлайн с полной авторизацией доступа. Деньги же не в машине клиента находятся

D.Vinitski> Фантастика.

Это реальный способ взлома использованный в России. Впрочем, он и за рубежом достаточно популярен

D.Vinitski> Начиная с того, что для перевода денег все равно нужно иметь доступ к счету онлайн с полной авторизацией доступа. Деньги же не в машине клиента находятся

Так ты этот доступ и обеспечишь. Этот способ тем и хорош, что не надо ломать авторизацию. "Клиент" сам везде авторизуется и все пароли введет. Он думает, что подписывает платежку, которая отображается на экране, а платежка просто подменяется при передаче между модулями ПО на машине клиента. И на подпись отправляется не тот документ, что показывается на экране. Документ ведь на машине клиента подписывается, а не в банке. В банке ничего ломать не надо. Туда, в результате взлома компьютера клиента, приходит заверенная всеми требуемыми способами платежка на перевод денег хакеру

U235> Так ты этот доступ и обеспечишь. Этот способ тем и хорош, что не надо ломать авторизацию.

Из банка приходит смс код для подтверждения транзакции, кроме шифрования страницы. Если у злоумышленников есть все эти механизмы, то им пользователь вообще не нужен.

digger> Сложно, но может и возможно.Купить такую же, распотрошить, найти эксплоит, там же есть память и ОС. Потом вломиться на компьютер клиента и через USB вломиться на машинку, запустить там свой шеллкод, передать ключ его на компьютер и переслать хакеру.

Если все сделано по уму, то хрен. Используем процессор с гарвардской архитектурой. То, что передается по USB, идет в память данных. Память команд для записи с USB-интерфейса недоступна или она вообще на неперезаписываемой ПЗУ. Ну и как ты на такое устройство с зараженного компьютера через USB-интерфейс экплойт подсунешь и запустишь? Да, теряем в гибкости и возможности перепрограммирования, но эти фичи данному устройству и не нужны

D.Vinitski> Из банка приходит смс код для подтверждения транзакции, кроме шифрования страницы.

Естественно придет. Ты его и введешь, ты же не знаешь, что ты на самом деле подписываешь не ту платежку, что отображается на экране. Надо чтоб в СМС-коде реквизиты платежки, которую ты подписываешь, были, и надо еще взять труд их проверить, что многие не делают. Кроме того ограниченный объем СМС-сообщения и сугубо текстовый его характер не дают возможности в достаточном объеме и достаточно наглядно отобразить реквизиты подписываемой платежки

D.Vinitski> Пароль взломать невозможно, ибо он однократно генерируется токеном. Можно попробовать захватить контроль над сервером, что ещё проблематичней, и вмешаться в процесс синхронизации (ну, да, и ещё выслать смс-код подтверждения операции )
Не всё так просто. Он, конечно, генерируется, но по определённым правилам. И он действителен какое-то время. Сервер точно знает временные рамки и что сгенерировано. Поэтому пароль и проходит.

U235> Естественно придет. Ты его и введешь, ты же не знаешь, что ты на самом деле подписываешь не ту платежку, что отображается на экране. Надо чтоб в СМС-коде реквизиты платежки, которую ты подписываешь, были, и надо еще взять труд их проверить, что многие не делают.
Сумма, Контрагент, контактные данные, счёт зачисления (если перевод) - этого мало ?

Voennich> Сумма, Контрагент, контактные данные, счёт зачисления (если перевод) - этого мало ?

Кто ж СМСки внимательно читает? Да и не все банки даже эту информацию в СМСки с кодом подтвеждения вставляют. Опять же контрагент может быть заменен на схожего, если взлом адресно готовился. Например "Иванов С.П." на "Иванов С.Н.". Прозевать элементарно, тем более если не ждешь подвоха. Мало кто понимает, что можно подписать вовсе не то, что у тебя на экране компьютера красиво нарисовано

U235> Кто ж СМСки внимательно читает? Да и не все банки даже эту информацию в СМСки с кодом подтвеждения вставляют. Опять же контрагент может быть заменен на схожего, если взлом адресно готовился.
Извини, но по моему ты про каких то "терминаторов" пишешь.
Им обычные ламеры-юзеры (те, которые невнимательно СМС-ки читают) совершенно не сдались.
Что бы и онлайн платёж на большую сумму и бабла много на счетах и ламер 100% ...
Массовый бизнес на таком не выстроишь, а немассовый - выпасут и затраты на разработку отбить не успеешь.

Voennich> Извини, но по моему ты про каких то "терминаторов" пишешь.

Никакого терминаторства. Так уже ломались и десктопные и смартфонные приложения.
Не от паранойи к корпоративному токену для VPN зачастую выдаётся личный пин и всегда - максимально некомпрометируемый комп.

U235> 2. Клиент-банк показывает на экране платежку с запросом о подписи с документом и отправляет электронный документ в криптографический модуль на подпись.
U235> 3. Вредоносное ПО перехватывает эту платежку и подсовывает криптографическому модулю свою платежку. С "правильным" номером счета.
U235> 4. Пользователь, думая что подписывает тот документ, что на экране, положительно отвечает на все запросы, вводит все необходимые пин-коды и СМС-коды

Или заснифить ввод с оригинальной формы и подменить пост, или подделать форму так, чтобы юзер сам всё ввел.С обоими этими подходами ведется борьба уже 10 лет, есть множество мер и контрмер.

Voennich> Извини, но по моему ты про каких то "терминаторов" пишешь.
Voennich> Им обычные ламеры-юзеры (те, которые невнимательно СМС-ки читают) совершенно не сдались.

Целевая аудитория взломщиков - бухгалтера частных компаний средней руки. Когда обороты у компании уже достаточно приличные, а IT-служба толком не поставлена. Сами бухгалтерши как правило особо в компьютерах не понимают, так что если эти дитя остаются без глазу: сисадмин сугубо приходящий или низкооплачиваемый и малоквалифицированный, на лицензионный софт предприятие жмется, особенно - на лицензионные антивирусы и лицензионную винду, вследствие чего стоит непонятно что и как ломанное и непонятно как обновляющееся, не выработана четкая корпоративная культура работы на рабочих компьютерах, нет должного контроля за пользователями и продуманного ограничения их прав доступа, то рано или поздно эти бухгалтера троянов нахватают. Сначала среди всяких троянов будет разведывательный, который ищет на компьютере рабочий банк-клиент и, если находит, скидывает информацию о компьютере, его системе, конфигурации и установленном ПО хакерам. Хакеры из всего валящегося на них потока информации выбирают наиболее перспективные мишени и, используя предоставляемые разведывательным трояном бэкдоры, грузят на машины бухгалтеров уже специализированные трояны и начинают взлом.

Где-то несколько сот тысяч или даже миллион за раз умыкнуть им удается

ahs> Никакого терминаторства. Так уже ломались и десктопные и смартфонные приложения.
С двухфакторной аутентификацией? Можно примеры "массовых" взломов?

ahs> Не от паранойи к корпоративному токену для VPN зачастую выдаётся личный пин и всегда - максимально некомпрометируемый комп.
[flame mode on]
а зачем вообще корпоративный VPN-доступ, да ещё и с такими "тараканами"?
работать в каком нибудь тяжелом ERP|CRM - так терминальный доступ будет со всех сторон практичнее
почта и прочие типовые сервисы - публикацией

U235> Целевая аудитория взломщиков - бухгалтера частных компаний средней руки...
не сильно знаком с этой аудиторией.
Разве корп. банк-клиенты через SMS работают?
То, что ты описываешь, это просто получение доступа к ПК на котором установлен ключ Б-К

Voennich> Разве корп. банк-клиенты через SMS работают?

Через SMS запрашивается подтверждение транзакции и присылается одноразовый код подтверждения. Одна из степеней защиты от взлома, которые стали вводить, когда взломы стали достаточно массовыми

Voennich> То, что ты описываешь, это просто получение доступа к ПК на котором установлен ключ Б-К

Естественно. Саму технологию взлома, одну из реально работающих, в общих чертах описал несколькими сообщениями ранее.

digger> Или заснифить ввод с оригинальной формы и подменить пост, или подделать форму так, чтобы юзер сам всё ввел.С обоими этими подходами ведется борьба уже 10 лет, есть множество мер и контрмер.

Чем и хороши описанные мной выше решения TrustScreen, что позволяет уйти от большинства этих методов взлома. Ломать придется не компьютер изначально сделанный так, чтоб его было легко и просто программировать, а специальное узкозаточенное устройство, сделанное так, чтоб перепрограммировать его было невозможно.

U235> Через SMS запрашивается подтверждение транзакции и присылается одноразовый код подтверждения.
Как то внедрение SMS юрикам прошло мимо меня(комментировал в контексте физиков).

Если бухгалтер кликает ок-ок-ок-кодподтверждения не читая задаваемых вопросов, то это не лечится никакими железками/ПО.

В таком подходе он ЭДО-шных накладных/актов на левого контрагента/услуги наподписывает и доказывай, что не баран.

Voennich> С двухфакторной аутентификацией? Можно примеры "массовых" взломов?

Да если б я помнил, где про это читал...

Voennich> а зачем вообще корпоративный VPN-доступ, да ещё и с такими "тараканами"?

Странный вопрос - для предотвращения утечек прежде всего.

Voennich> работать в каком нибудь тяжелом ERP|CRM - так терминальный доступ будет со всех сторон практичнее

А VPN разве запрещает терминальный доступ? Просто ещё один этап защиты от подмены сертификатов, адресации и т.д.

Voennich> почта и прочие типовые сервисы - публикацией

Аналогично. Доступ к почте из браузера всегда предусмотрен и всегда менее удобен, чем клиент. Почту, кстати, во всех знакомых конторах в итоге сделали без токенов - на волне выдачи корпоративных смартфонов и планшетов.

Voennich> Если бухгалтер кликает ок-ок-ок-кодподтверждения не читая задаваемых вопросов, то это не лечится никакими железками/ПО.

Ну он читает, но не все читает одинаково внимательно. На проверку реквизитов платежки на экране бухгалтера обычно хватает. Но вот то, что с отображаемыми на экране документом может быть подстава и на самом деле может подписаться совсем не то, что на экране, если трояны резвятся, уже выше его понимания

Voennich> С двухфакторной аутентификацией? Можно примеры "массовых" взломов?

С подменой платежки? Элементарно. Ты сам все введешь