Судя по всему Linux завоевывает популярность еще в одной сфере - в качестве клиентской платформы для работы с онлайн-банкингом. Издание Washington Post опубликовало (http://voices.washingtonpost.com/securityfix/2009/10/avoid_w...) заметку с рекомендациями использования Linux LiveCD для совершения финансовых операций в онлайн режиме. В качестве аргумента против выполнения подобных операций в Microsoft Windows, приводятся два случая, в результате которых было потеряно 100 и 447 тыс. долларов. Инциденты произошли из-за внедрения злоумышленниками на одну из машин сети предприятия троянского ПО, позволившего перехватить параметры аутентификации при входе машины в Windows домен и получить полный контроль над машиной с которой выполняются запросы на дистанционное банковское обслуживание.С похожей рекомендацией выступил (http://www.itnews.com.au/News/157767,nsw-police-dont-use-windows-for-internet-banking.aspx) один из представителей австралийской полиции, заявивший...
URL: http://linux.slashdot.org/story/09/10/13/2344251/Washington-...
Новость: http://www.opennet.me/opennews/art.shtml?num=23844
не все livecd одинаково полезны, во многих получить рута достаточно просто, т.к. они предполагались как демонстрационные, а не рабочие.
> во многих получить рута достаточно простоНу да, а вот троян записать - уже проблема )) Во-первых - не заработает, а во вторых, даже если специально напишут линуксовый - перезагрузился, и всё чисто )
Кто там рута будет получать, если система не привязана к жесткому диску? Или троянов уже научились в биос засылать? Иногда лучше молчать.
То есть по вашему отсутствие привязки к жесткому диску сразу гарантирует безопасную работу? Иногда лучше молчать.
Зачем так категорично?!
Если затрояненая соседняя машина будет в одной сети с ОС на лайвсд. Троян будет шпионить на предмет выхода соседних машин на определенные ресурсы. То почему бы ему в этот момент не внедрится на эту машину и передать нужные данные на время сессии?!
Нифига себе троян. Ну если бы вы сказали, что кто-то снифит сессии с соседней машины - еще куда ни шло...
>Нифига себе троян. Ну если бы вы сказали, что кто-то снифит сессии
>с соседней машины - еще куда ни шло...Троянописатели на месте не сидят. Увы.
Я не разу не пробовал снифить... но вот кто-то из специалиство может мне объяснить... все современные раутеры и свитчи ( ну выпущенные покрайней мере за последние лет 6 ) не передают пакеты на все подключенные к ним компьютеры а только на соответсвующий... обычно это сразу на провайдер из диал апа если у вас скажем домашняя сеть... так при этом разве можно вообще заснифить чего-нибудь из компьютера подключенного к тому же раутеру не переделывая пути раутинга объекта наблюдения?
... я понимаю снифить на компьютерах провайдера через который проходит трафик... но по другому... да даже на провайдере без активного вмешательства сильно не поснифишь с широким распространением ссля в банковских системах...
у технологий всяческого спуфинга борода уже выросла от возраста на всех мозолистых местах. Навыки и умения в ИТ у бухгалтера пожалуй тоже не выросли. Так что пожалуй только ВПН от клиента до всяческого финансового сервиса закроет многие вопросы.
http://www.xgu.ru/wiki/ARP-spoofing
Эээ.. Ну шифрование всякое-то, вроде, никто не отменял? Ясен пень, что тут безопасность должна быть построена не только на том, что это лив-сиди. А уж забэкдорить такую машину больше, чем на один день, точно не получится ))
>Эээ.. Ну шифрование всякое-то, вроде, никто не отменял?Трояну главное увидеть хост получателя и отправителя...
>Ясен пень, что тут
>безопасность должна быть построена не только на том, что это лив-сиди.Но почему-то об этом забывают! Помня только, что кто-то, что-то сказал, что лайвсд - это безопасно.
>А уж забэкдорить такую машину больше, чем на один день, точно
>не получится ))возможно, больше и не надо... ;) Мы же говорим за машину управляющую финансами.
зы: Помнится еще история с зазомбированными модемами на линуксовой прошивке.
>Кто там рута будет получать, если система не привязана к жесткому диску?
>Или троянов уже научились в биос засылать? Иногда лучше молчать.rom.by
Научились
>>Кто там рута будет получать, если система не привязана к жесткому диску?
>>Или троянов уже научились в биос засылать? Иногда лучше молчать.
>rom.by
>Научилисьблагодарю, посмеялся.
А если лайв-сиди втыкается утром и вынимается вечером? Вполне можно успеть всё что нуна сделать.
> не все livecd одинаково полезны, во многих получить рута достаточно просто,
> т.к. они предполагались как демонстрационные, а не рабочие.Дело в том что я приходя на чужую виндовозную машину не знаю какой букет малвари там живет и вводить критичные пароли типа интрнет банкинга - попросту стремновато. Поэтому предпочитаю ребут и загрузку в чистый пингвин. Где троянов заведомо нет. А сайт банка ... если он трояна выдает и рут получает - его уже поимели и можно не нервничать особо, хуже уже не станет. Чем рут на ливцд мешает? Там 1 хрен конфигурацию системы записать некуда :D
Зато есть LiveCD в которых уровень безопасности доведён до параноидального. Интересно, некоторые товарищи хранят ключ от клиент-банка на флехе. Если сделать флеху загружаемой, туда шифрованный раздел, в нём защищённый профиль... А если флеха ещё со сканером отпечатка пальца, вообще шикарно было бы.
я вот по долгу службы работаю с несколькими крупными банками и очень часто наблюдаю картину как у большенства работников пользователь и пароль записаны на бумажке приклеенной к монитору... так что флеша с шифрованым разделом по ридеру отпечатков пальцев это уж через чур круто для большенства для начала надо научить людей хотя бы простые пароли запоминать а не записывать их на бумашке в видном месте :-)
ну во первых все равно пароля мало, нужен еще сертификат стащить. и например втб24 сейчас ввело авторизацию по смс: по сертификату прошел, по логин-паролю прошел, высылают смску с кодом который нужно ввести что бы войти в банк-клиент.
русские программеры! учитесь у австралийцев. НЕ ИСПОЛЬЗУЙТЕ ACTIVEX!!!!
(в частности, позор сбербанку и мастербанку). уж пора писать кроссплатформенное ПО!! (см. Qt).
Ну о чём вы говорите, у нас всё на дот нете делают.
Из-за скорости разработки. Чудилы выжигают моно каленым железом. Под линуксы подобного нет. Джава не катит.
платформа ibank использует java + IAIK для досттупа к токенам из браузера. Вполне себе рабочее решение.
О, можно про IAIK поподробнее? Ищу такие вещи.
Смотрю, 500€ стоит, немного. А free-аналоги?
>Джава не катит.Java не катит для банка? Обоснуй :-)
> Под линуксы подобного нет. Джава не катит.может хватит пороть херату?
для банковских программ подойдёт и C++ и FreePascal....
...прямоуж ваша сраная .NET спаситель человечества, чтобы делали без неё.. "ага" :D
>FreePascalЭто же насколько нужно быть упоротым, чтобы использовать FreePascal в ентерпрайзер?
Может, коммент писал _челябинский_ программист? :)Суровый народ!
>Это же насколько нужно быть упоротым, чтобы использовать FreePascal в ентерпрайзер?а что Ынтырпрайз это что-то особенное, и для него нужны какие-то спец ЯП? Ну насмешили так насмешили, жгите ещё.
энтерпрайз - это то, где нужна стабильность, поддержка и люди, которым можно бить морду в случае ошибок в используемых инструментах
так и чем тут фрипаскаль-то плох? тем что вы не нем не пишите?
>энтерпрайз — это то, где нужна стабильность, поддержка и люди, которым можно
>бить морду в случае ошибок в используемых инструментахочень хочу посмотреть на процесс бития морды санкам или m$. ну очень хочу.
в вот то, как извращаются бедные программеры, обходя баги в продуктах без исходников и молясь, чтобы дальше ничего из-за этого не сломалось — такое не раз видел. потому что исходников — нет, и даже если понимаешь, в чём баг — фиг поправишь. соси тунца и молчи. зато ынтырпрайз, фигле.
А вы у них энтерпрайз поддержку купите, и они к вам по ночам будут из другой области летать по любой мелоче.
А самостаятельно ручками лазить на критичных вещах... вам эти ручки, по самую шею отрубят потом.
>А вы у них энтерпрайз поддержку купите, и они к вам по
>ночам будут из другой области летать по любой мелоче.так и вижу, как санки в полном составе переселяются в соседнюю область, чтобы к нам летать.
ну вот ошибка, например, в кишках той же винды. я бы тебе рассказал, что отвечает поддержка m$, но мат тут не приветствуется. в лучшем случае скажут использовать какой-нибудь workaround и не жужжать. или ждать сервиспака номер-по-порядку 175496946396, где уж точно всё поправят, честно-честно! когда-нибудь…
>А самостаятельно ручками лазить на критичных вещах… вам эти ручки, по самую
>шею отрубят потом.угу. поэтому пусть лучше ничего не работает вообще, так определённо ничего не сломается.
алсо, что такое «некритичные вещи»? я такого понятия не знаю. если что-то сломалось — это уже анус и капец, простой и денежные потери. а если нет — то эта вещь не «некритичная», а «ненужная».
У микрософта корпоративной поддержки не покупали. А вот сановская через поставщика софта есть. Так вот, если проблема не ждет, то они самолетом полетят чинить, коли по телефону не смогут обьяснить.
Некритичное - это то, что "может подождать до завтра", к примеру какаянить статистика с железки раз в месяц не снимается за час.
>У микрософта корпоративной поддержки не покупали. А вот сановская через поставщика софта
>есть. Так вот, если проблема не ждет, то они самолетом полетят
>чинить, коли по телефону не смогут обьяснить.
>Некритичное — это то, что «может подождать до завтра», к примеру какаянить
>статистика с железки раз в месяц не снимается за час.да, с саном, тащемта, такого опыта не имели, так что может они и лапочки.
а по опыту, то, что может полежать до завтра — то и до послезавтра, и год, и пять полежит. то есть, оно нафиг никому не нужно, по большому счёту.
>Из-за скорости разработки. Чудилы выжигают моно каленым железом. Под линуксы подобного нет.
>Джава не катит.ПриватБанк, Украина. Основная програ на Джаве, Основная ОС Linux.
Сбербанк Онлайн не использует ActivX и замечательно пашет у меня в Firefox под линуксом (единственная ОС дома и на работе)
Вообще-то для таких вещей существуют токены с неизвлекаемыми ключами, и дополнительные каналы авторизации, например на основе SMS. Зависит от необходимой степени защищенности.То что онлайн-банкинги умудряются линукс плохо поддерживать - это плохо, да. Примеры по платформам в толстых нашинских банках:
- В альфабанке умудрились ibank так жестко к etoken прикрутить, что ни вздохнуть ни пернуть. Из-за драйверов формат ключей не совместим с OpenSC. Сами драйверы под линукс закрытые, и только под ограниченное количество старых сборок.
- У платформы BSS (например, Уралсиб) вообще artivex, который только экплорер понимает, а ARM-версия только под Win CE.
- У ВТБ (на основе inter-pro) вроде как можно прокси через wine запустить, но это изврат и на ARM тоже нема вариантов
у ВТБ вроде интерпро опционален, можно и без него с картой скретч-кодов
Скретч-коды там только для физиков. А для юриков - индейская народная изба.
inter-pro не "вроде как", а можно. у меня нормально через вине под фрей работает и не жужжит, быстро и безглючно.
>inter-pro не "вроде как", а можно. у меня нормально через вине под
>фрей работает и не жужжит, быстро и безглючно.Ну не хочется вайн ради этого держать. И на ARM не пойдет. Если чего - я тут выкладывал howto как оживлять альфабанковский ibank под линуксом, не просто покурить вышел.
Заманался уже от этих "воркэраундов" с кучей побочных условий. Если просвязьбанк для юриков пашет на чистой яве - уйду нафик к ним. Отфанател свое.
В продолжение темы:
У Райффазен банка свой БК на ActiveX со времен Импексбанка используем;
У многих банков RS-Bank (Мострансбанк например), тоже активикс компоненты для доступа к ключам.
raiffeisen-connect - на джаве, и вполне себе работает из линукса. Только плагин к браузеру надо, но с этим не проблем.
А разве он работает для юриков?
Хорошо, не правильно выразился. Для бывших клиент Импексбанка в РАййфазене остался стары Клиент-Банк, вот он АктивИкс, а ну и для новых тот же БК, не raiffasen-connect.
>Вообще-то для таких вещей существуют токены с неизвлекаемыми ключами,И мне постоянно таскать с собой не только карту но еще и эту байду? А в чужой системе кто мне позволит дрова ставить? Или мне предлагается в этом случае соснуть? Да и с ливцд загрузиться не факт что прокатит - а где там дрова этого токена?Итого - слишком много гемора.В итоге конечно получится безопасно - большинство вообще не осилит юзеж этого (или потому что заумно или потому что платформа не поддержана). Нет фичи, нет проблем. Круто.
пример правильной реализации, промсвязьбанк
банкклиент великолепно работает и линуксе и в винде.
при чем абсолютно одинаково, молодцы.
ВТБ24, запускал через wine,работает.. но все это от лукавого.. :(
Спасибо за информацию о промстройбанке. Не знал. Буду думать, как к ним свалить из альфы.
..промСВЯЗЬбанке,.. не путайте пжста! :)
>..промСВЯЗЬбанке,.. не путайте пжста! :)подтверждаю. ПРОМСВЯЗЬБАНК РЕАЛЬНО РУЛЯТ. на java, всё аккуратно и ровненько.. пашет годами.
Позвонил в их отдел мониторинга. Сказали, что ИП для обналички с расчетного понадобится 50% суммы снимать по чеку. То есть, каждый раз физически являться в отделение.Что-то не то. В альфабанке тупо на карточный счет физика безнал киддаю и не парюсь.
Какие проблемы с альфой? Без проблем работает под линуком и в ФФ и в Опере.
ИМХО один из лучших и безпроблемных КБ.
Кстати, в Криптопро ребята молодцы. Вот, почитайте, кому интересно:http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=post...
PS. Для справки - эта фиговина используется в некоторых банках и электронном документообороте. Например, "контур-экстерн", для сдачи налоговой отчетности в электронном виде.
Молодцы?! Вы с ним работали? Когда они хотя бы нормальный инсталятор сделают...хотя в 3.6 вроде уже лучше, а что было в 2.0 вообще ужас.
А контур экстарен....пароли у всех 111111, ключи на дискетах дают, а потом просят скопировать в реестр, очень безопасно!
Контур ключи на рутокенах еще раздает. Спрашивайте в аптеках города. Поддержка у них нормальная, если напрямую куплено. Еще бухгалтерию свою выпускают, и поддержка там на порядок лучше чем в 1с. И дешевле.Чем вам криптопро не прет - не знаю. Под LSB они версию выпустили, в OpenSSL поддержку госта коммитили. Нормальные ребята. Есть за что лапу пожать.
Да они под винду-то нормально написать не могут. Без поллитра сразу не настроишь.>> и поддержка там на порядок лучше чем в 1с
1С через франчайзи поддержку держит. Тут как попадёшь.
Всего лишь надо было флеху с закрытыми ключами после работы вынуть. И не стоит так все сильно драматизировать. Венда тут не причем - это распиз...ство.
> И не стоит так все сильно драматизировать. Венда тут не причем - это распиз...ство.Да, да, самовнушение - сильная вещь. Винда ни при чем, винда ни при чем, винда ни при чем, винда ни при чем...
Ну насчет легко копируемых контейнеров с ключами я молчу. Надо обязательно ставить пароль на контейнер!!!