Помощь Регистрация
Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 25 из 48
  1. #1
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности

    Требуется консультация IT-специалиста

    Есть техническая схема:
    программа "клиент-банк" у человека в домашнем компе, которая получает доступ к серверу банка через инет с помощью ключей, выданных банком
    Вопрос в том - можно ли доказать, что если программа пустила чужие ключи - это дефект программы "клиент-банка".

    как то так... звиняйте за лексику, но уж как могу
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

  2. #2
    Super Moderator AG Team Аватар для X-tream
    Регистрация
    11.05.2008
    Пол
    Пол: Мужской
    Авто
    V6 3.3
    Сообщений
    19 890
    Благодарности
    ключи через что? цыфровые подписи. Электронный ключь типа флешки (e-token)


    Надо быть не с тем, с кем ты можешь быть, а с тем, без кого ты быть не можешь...
    === AG TeaM ===

  3. #3

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Чужие ключи - это ключи, выданные другим банком? Если нет, то это свои ключи, а не чужие.
    З.Ы. Привязывайте клиент-банк к IP-адресу во избежание разнообразных эксцессов.

  4. #4
    Аватар для Michael
    Регистрация
    10.10.2008
    Пол
    Пол: Мужской
    Авто
    Cee'd_SW JD
    Возраст
    30
    Сообщений
    1 932
    Благодарности
    А можно поподробнее ситуацию? Я так представляю, что через этот компьютер, платежку отослал другой человек со своим ключом? Ну здесь вины программы думаю что нет. Ведь ключ это своего рода зашифрованный файлик, и какая разница программе какой ключ расшифровать. Хотя и от программы зависит, либо она все ключи принимает, либо предварительно ключи должны быть вбиты в программу.

  5. #5
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности
    Demon™, это подделанные

    X-tream, вот хз... ключи там или ЭЦП была... или ключи это и есть ЭЦП
    Цитата Сообщение от Michael Посмотреть сообщение
    Ну здесь вины программы думаю что нет
    а вот надо чтобы была...
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

  6. #6

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Цитата Сообщение от Lady Winter Посмотреть сообщение
    Demon™, это подделанные
    Электронный ключ нельзя подделать. Его можно украсть и воспользоваться им. Если это, конечно, нормальный ключ. В этом случае программа совершенно не при чём. Если же ключ можно воссоздать (подобрать), не имея доступа к оригинальному ключу, это не ключ, а порнография. Тогда можно попробовать предъявить претензии к банку. Но это надо и договор читать и прочие документы, регламентирующие уровень безопасности при работе со счетами в онлайне.

  7. #7
    Аватар для Черный Лотос
    Регистрация
    07.10.2009
    Пол
    Пол: Мужской
    Сообщений
    2 281
    Благодарности
    А можно более подробно ситуацию узнать?
    Какой банк это был?
    И что значит "пустила чужие ключи"?

  8. #8
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности
    Цитата Сообщение от Demon™ Посмотреть сообщение
    Если же ключ можно воссоздать (подобрать), не имея доступа к оригинальному ключу, это не ключ, а порнография.
    Интересует именно этот вопрос - можно ли это технически доказать?
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

  9. #9
    Аватар для LexaEng
    Регистрация
    24.10.2009
    Пол
    Пол: Мужской
    Авто
    juke
    Сообщений
    88
    Благодарности
    +100 к высказываниям Demon™
    чтобы доказать что банковская программа дырява - нужно заключение экспертов, которые найдут и смогут продемоснтриролать суду тот механизм действий, при котором прога пропустит левую подпись к вашему счету.
    ЗЫ наверн надо сразу брать чемодан бабла и идти к тому программеру(ам) которые писали софт))

  10. #10

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Цитата Сообщение от Lady Winter Посмотреть сообщение
    Интересует именно этот вопрос - можно ли это технически доказать?
    Ну, как уже сказали, тут экспертное заключение нужно. Можно попробовать отдел К (или как он там сейчас называется) подключить. Не знаю, правда, занимаются ли они такими вещами...

  11. #11
    Аватар для Nusferatus
    Регистрация
    01.12.2006
    Пол
    Пол: Мужской
    Авто
    BMW m3
    Сообщений
    39 637
    Благодарности
    Цитата Сообщение от Lady Winter Посмотреть сообщение
    Интересует именно этот вопрос - можно ли это технически доказать?
    Да, можно. На основании криптоанализа ключа и исследовании самой программы на предмет "дыр" можно получить заключение о вероятностях подбора или обхода системы защиты ПО и прилинковать его к делу.

  12. #12
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности
    Цитата Сообщение от Demon™ Посмотреть сообщение
    Ну, как уже сказали, тут экспертное заключение нужно. Можно попробовать отдел К (или как он там сейчас называется) подключить. Не знаю, правда, занимаются ли они такими вещами...
    Не поверите, но мне известно, что тут экспертное заключение нужно)))))
    Вопрос именно в возможности проведения такой экспертизе. Отдел К тоже понятно, интересует возможность самостоятельной экспертизы.
    Есть мысли позвонить в КНииТ...
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

  13. #13
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности
    Цитата Сообщение от Nusferatus Посмотреть сообщение
    Да, можно. На основании криптоанализа ключа и исследовании самой программы на предмет "дыр" можно получить заключение о вероятностях подбора или обхода системы защиты ПО и прилинковать его к делу.
    Вот это я и хотела как раз услышать!
    Спасибочки! ;-)
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

  14. #14

    Регистрация
    01.03.2007
    Пол
    Пол: Мужской
    Сообщений
    1 901
    Благодарности
    эээ если честно я так понял что программа клиент-банк, которая установлена у автора, помимо его ключей также работала с ключами другого человека того банка, если это так то тут нет никакой уязвимости так и должно быть. А вот если эта програ съела ключи другого банка который использует другие алгоритмы ширования, то тут все двояко либо прграммер скомуниздил исходник, либо это судьба

  15. #15

    Регистрация
    21.05.2004
    Возраст
    39
    Сообщений
    2 334
    Благодарности
    Насколько я понимаю программа пустила не "чужие" ключи откуда-то. А ключи автора были каким-то образом скопированы и использованы с другого компьютера без его ведома. Тут никакой вины программы клиент-банка нет, есть тысяча и один способ залезть в комп человека со стандартной виндой и это проделать.

    Если действительно транзакция проведена с другими ключами, это легко проверить. Транзакция подписывается ключом клиента и отправляется в банк. Они обязаны её предъявить по запросу - подписанную зашифрованную и в открытом тексте расшифрованную. Если ту же самую транзакцию подписать еще раз ключом клиента, должно получиться ровно то же самое.
    Мне банк на каждую транзакцию присылает квитки - короткие циферки, как бы подпись транзакции. Это может быть использовано для сверки.

    Я лично считаю подделку ключа совершенно невообразимой. Таких дырок в банковских прогах всё-таки не бывает. Другой вопрос - как данный ключ попал к клиенту. Вот куда надо смотреть. Сам он его генерировал в установленной программе или ему банк выдал готовый ключ? Тут могут быть совершенно дикие нарушения безопасности.
    Например мне Газпромбанк выдал записанный на диск дистрибутив с уже сгенерированными ключами и я так понимаю общим для всех паролем. Любой человек мог по пути в банке его скопировать и делать любые транзакции от моего имени. По сути такая ЭЦП недействительна.

  16. #16
    Аватар для Grayel
    Регистрация
    09.01.2008
    Пол
    Пол: Мужской
    Авто
    Avtovaz
    Возраст
    35
    Сообщений
    2 213
    Благодарности
    А договор газпромбанк вам дал? Где прописаны правила хранения ключей? Мало ли как при установке они были вам переданы. Нельзя зарытый ключ хранить в базе клиент банка, или в реестре. - это нарушение, и трактоваться оно будет не в вашу пользу. С паролями история та же, некоторые клиент-банки позволяют незадавать их совсем - но ответственность за это несете тоже вы.

    P.S. Вряд ли дело в Банковском ПО.

    Кстати, не Росбанк?

  17. #17
    Федор
    Guest
    Цитата Сообщение от alex Посмотреть сообщение
    Если ту же самую транзакцию подписать еще раз ключом клиента, должно получиться ровно то же самое.
    ...
    Я лично считаю подделку ключа совершенно невообразимой. Таких дырок в банковских прогах всё-таки не бывает.
    ...
    Например мне Газпромбанк выдал записанный на диск дистрибутив с уже сгенерированными ключами и я так понимаю общим для всех паролем. Любой человек мог по пути в банке его скопировать и делать любые транзакции от моего имени. По сути такая ЭЦП недействительна.
    1. Повторная подпись может (и должна, если ЭЦП реализовывал не полный профан) быть другой. Проверить ее можно только проведя расшифровку ЭЦП по открытому ключу. Повторяемый результат ЭЦП - первый шаг к ее взлому, поэтому обычно этот шанс у взломщика отбирают.
    2. Каких только дырок в программах не бывает...
    3. И это - одна из самых уязвимых дыр.

  18. #18

    Регистрация
    21.05.2004
    Возраст
    39
    Сообщений
    2 334
    Благодарности
    Цитата Сообщение от Grayel Посмотреть сообщение
    А договор газпромбанк вам дал? Где прописаны правила хранения ключей? Мало ли как при установке они были вам переданы. Нельзя зарытый ключ хранить в базе клиент банка, или в реестре. - это нарушение, и трактоваться оно будет не в вашу пользу.
    Как хранить у себя ключи, поверьте - я разберусь.
    А вот передаваться мне они вообще не должны, а должны генериться у меня, и публичный ключ отправляться банку. Тогда это будет действительно мои ключи, а так это всё шляпа.

  19. #19
    Аватар для Черный Лотос
    Регистрация
    07.10.2009
    Пол
    Пол: Мужской
    Сообщений
    2 281
    Благодарности
    Я так и не понял, что случилось, а автор молчит.

  20. #20

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Насколько я понял, провели транзакцию по их счёту с другого компа. Хотят доказать, что утечки ключей не было, а виной явилось несовершенство защиты канала связи.

  21. #21
    Аватар для Черный Лотос
    Регистрация
    07.10.2009
    Пол
    Пол: Мужской
    Сообщений
    2 281
    Благодарности
    Ну в таком случае обращаться в отдел К обязательно.
    Пусть хоть выяснят айпи адрес сеанса того. И по возможности адрес.
    А так могу сказать, что ключи подделать врядли могли на 99.9999%
    Они же генерируются по ГОСТу. И в таком случае уязвимы получаются практически все пользователи.
    Да по мимо ключа нужно еще знать и пароль нужно было.
    Так что пусть утечку ищут у себя.
    Ключи были на чем? ЮСБ?
    Сеанс связи с банком велся как? VPN поднимался для этого? Или открытая передача была?

  22. #22

    Регистрация
    21.05.2004
    Возраст
    39
    Сообщений
    2 334
    Благодарности
    Цитата Сообщение от Черный Лотос Посмотреть сообщение
    Сеанс связи с банком велся как? VPN поднимался для этого? Или открытая передача была?
    Это-то здесь причём? А если даже и открытая, на сохранность ключей это никак не влияет.

  23. #23
    Аватар для эрмак
    Регистрация
    11.10.2009
    Пол
    Пол: Мужской
    Авто
    Nissan Terrano
    Возраст
    33
    Сообщений
    5 139
    Благодарности
    Lady Winter
    Я так понимаю стоит "СКЗИ Агава"?
    Теоретически доказать можно. Например, данный продукт стантадартизированн по гостам: ГОСТ 28147—89, ГОСТ Р 34.10—94, ГОСТ Р 34.10—2001, ГОСТ Р 34.11—94 из которых как минимум 2 на данный момент не являются стойкими к взломам и коллизиям и как минимум один является нестойким именно при подписи документов, которые можно модифицировать.
    + криптозащита сертификата идет с помощью алгоритма RSA (сейчас у меня нет под рукой агавы, будет вечером посмотрю, сколько там бит шифрование), вполне возможно что на данный момент времени оно не является уже криптостойким. И кроме того, алгоритм обмена подписями RSA не подразумевает защищенность при работе с каналом, не защищенным от подмены.
    + надо смотреть саму агаву и как она работает, если она не шифрует весь поток, то однозначно возможно сделать подмену потока при определенных условиях.

    п.с. Тебе оно вообще насколько надо? Доказывать подобные вещи можно, но цена вопроса и время будут просто космос. По опыту.
    Это. Это твое личное дело соблюдать правила или гонять по беспределу.
    Проехав на красный свет можешь покинуть белый. Но это твое личное дело.

  24. #24
    Аватар для Черный Лотос
    Регистрация
    07.10.2009
    Пол
    Пол: Мужской
    Сообщений
    2 281
    Благодарности
    Цитата Сообщение от alex Посмотреть сообщение
    Это-то здесь причём? А если даже и открытая, на сохранность ключей это никак не влияет.
    Не совсем...перехват трафика возможен

  25. #25
    Moderator Аватар для Lady Winter
    Регистрация
    05.11.2008
    Пол
    Пол: Женский
    Авто
    Марч & LCP
    Сообщений
    20 581
    Благодарности
    Цитата Сообщение от ermac Посмотреть сообщение
    но цена вопроса и время будут просто космос
    можно в личку порядок цен
    Все виды юридических услуг: www.reaction64.ru
    +7 (8452) 91-08-83
    Самый ПОЛЕЗНЫЙ инстаграм для водителей - @avtoprawo

Страница 1 из 2 12 ПоследняяПоследняя
Похожие темы
  1. Покупка квартиры(доли) от дольщика.Требуется консультация.
    от Инженер в разделе Прочие юридические вопросы
    Ответов: 7
    Последнее сообщение: 30.04.2009, 09:36
  2. Требуется консультация по приватизации квартиры
    от freya13 в разделе Прочие юридические вопросы
    Ответов: 12
    Последнее сообщение: 13.08.2008, 23:04
  3. Требуется консультация по выплате по ДТП. Суд.
    от decoder в разделе Прочие юридические вопросы
    Ответов: 12
    Последнее сообщение: 21.05.2008, 22:19
  4. Помогите....требуется консультация!!!!!
    от Diki в разделе Автомобильный
    Ответов: 6
    Последнее сообщение: 20.11.2007, 08:05
  5. Требуется консультация по медицине
    от Stas_K в разделе Полезно. Интересно. Познавательно
    Ответов: 7
    Последнее сообщение: 18.09.2007, 23:17
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •