Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>>>Дык чтобы прочитать — нужен только публичный ключ.
SS>>Неправда
VDB>Хм... А что еще нужно?
Закрытый нужен в любом случае. Только с помощью вашего личного секретного знания вы сможете расшифровать сообщение
VDB>>>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
SS>>Сессионный ключ обычно передается в зашифрованном виде по каналу
VDB>Да, шифрованный приватным ключем, который расшифровывается публичным. Ну или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем не хуже обоих собеседников зашифрованного диалога. У меня есть все те же исходные данные, что и у каждого из собеседников.
VDB>Или я где-то заблуждаюсь?
Классика: шифруем на открытом ключе, расшифровываем на закрытом
Здравствуйте, Аноним, Вы писали:
А>- украсть приватный ключ сервера;
Этот ключ согласно законам РФ должен быть доступен ФСБ и ФАПСИ.
Теоретически если вы передаете по каналам связи данные,
которые не могут быть расшифрованы ФСБ и ФАПСИ, то могут
возникнуть проблемы юридического характера.
Здравствуйте, Red Bird, Вы писали:
RB>Просто ФСБ "слушает" весь трафик, в т.ч. стационарные и мобильные телефоны. RB>Так что мы все "под колпаком у Мюллера"...
SSL сессию нельзя расшифровать, даже слушая ее с самого начала — только, если знать приватный ключ сервера, который по сети не передается и находится, соответсвенно на сервере (в случае google — это их сервера, Thawte тут не при чем — просто их ключом подписан ключ гугла) — для этого SSL и создавался, почтиайте RFC что ли.
в двух словах это выглядит так (на самом деле все сложнее, не это непринципиально)
1. Клиент генерирует случайный сессионый ключ и зашифровывает его открытым ключом сервера
2. Зашифрованный ключ отправляется серверу
3. Сервер расшифровывает ключ при помощи своего закрытого ключа
4. трафик в обе стороны шифруется сессионным ключом
перехватить можно только зашифрованный RSA-подобным алгоритмом сессионый ключ, но толку от \того мало, т.к. расшифровать его может только владелец закрытого ключа.
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
KV>В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
Интересно, много ли пхисхеров с сертификатами level 3 CA?
V>>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
KV>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Smetanin, Вы писали:
S>>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
Надо же, стоило ненадолго отлучиться, а тут уже...
Это все, конечно, зашибись, шифрование-мифрование... Программсты, блин.
Расскажите мне, пожалуйста, каким именно путем и по каким каналам пойдет электронное письмо ОТ БАНКА ДО ГУГЛЯ.
Здравствуйте, pavel_turbin, Вы писали:
_>транзакции по кредитке можно откатить пока вы не оплатили счет. Единтсвенная большая проблема, что вы не заметили подвох, к примеру лишнюю десятку баксов среди сотни транзакции. Если вы помните каждый счет и сохраняете чеки, то это не проблема.
Вот это-то меня и настораживает. Ведь не станешь каждый день проверять не оплатил ли кто-нибудь что-нибудь через твой счет. А двух-трех дней вполне достаточно чтобы в магазине уже собрали и отправили заказ (да и обычная практика формировать начисления не в момент поступленя заказа, а в момент его отправки покупателю), и злоумышленник достигнет своей цели. В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
_>Вообщем, обычно кредитки очень безопасны и удобны.
Здравствуйте, qwertyuiop, Вы писали:
Q>Здравствуйте, kochetkov.vladimir, Вы писали: KV>>Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате?
Q>Потому что я с ними могу побороться.
Без подготовки это рискованная затея. Можно остаться без денег истекающим кровью. Зеленые бумажки это самое малое что можно в подобной ситуации потерять, поэтому за это не так обидно, никто тут не застрахован. А вот если на##ут в интернете мне будет куда досаднее, поэтому и хочется обезопаситься.
Здравствуйте, Smetanin, Вы писали:
S>Расскажите мне, пожалуйста, каким именно путем и по каким каналам пойдет электронное письмо ОТ БАНКА ДО ГУГЛЯ.
Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Большинство способов, так или иначе сводятся к получению необходимой для совершения покупок информации о карте. Что касается конкретных способов — в гугле все есть
Что ж, будем искать
V>>(обман через банкоматы — отдельная тема) KV>
Читал как-то статейку на эту тему, изобретательности и изощренности этих дельцов можно только позавидовать
KV>Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно.
Любопытно было бы узнать.
KV>Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
Фишинг — это уловка против телепузиков (конечно это мое категоричное имхо), а вот с недобросовестностью персонала интернет- (или обычного) магазина вообще не понятно как бороться. Вот если бы была какая-нибудь статистика на этот счет чтоли...
Кстати не так-то просто поднять фейковый SSL-сервер с идентичным сертификатом, заверенным тем же Thawte.
KV>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
Была какое-то время назад почта smail.com кажется. Правда им пришлось прикрыть эту инициативу из-за спамеров.
KV>Гуглу нет смысла подрабатывать на продаже паролей. Масштаб не тот. А вот от недобросовестных сотрудников — не застрахована ни одна компания.
Что делать?
Здравствуйте, Roman Odaisky, Вы писали:
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
А может и есть. Ведь это упирается только в вычислительные мощности, а кто знает, что там уже изобрели в секретных лабораториях гестапо. Квантовые компьютеры на подходе как-никак.
Здравствуйте, vhonest, Вы писали:
V>Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
Да мы не впереди планеты всей. У нас просто в банках никто не считает деньги, которые тратятся на разработку разного рода защит. Ну, то есть, сколько тратится — считают, а вот эффект оценивать — да нафиг не надо. Гавное при случае можно в рекламе упомянуть всякие модные аббревиатуры и словечки ("SSL!!!", "ЭЦП!!!", "АБВГД!!!!", "12341324124-битные ключи!!!")
Примитивные прикидки:
Любые защиты интернет-банкинга быстрее и проще всего обходятся путем напаивания пользователя или проникновения к нему в квартиру/офис, чтобы стырить пароли/сессионные коды или еще какими-то подобными средствами.
Просто сравните стоимость:
1. Найма более-менее квалифицированного хакера, который сможет вытащить хотя бы просто текстовый файл с паролем с домашнего компьютера произвольного пользователя даже если этот компьютер не закрыт фаерволом. (Даже не говоря про хоть какую-то защиту!!!)
2. И стоимость найма бойкого циганенка лет семи-восьми, чтобы тот залез в форточку и вынес все конверты и т.п. из квартиры.
Потом прикиньте сколько денег можно стырить, получив доступ к интернет-банкингу среднего пользователя. Готов спорить, что найм хакера окупится только в каком-то исключительно редком случае.
А теперь прикиньте, сколько вообще тех хакеров, которые реально могут куда-то влезть и что-то украсть. Положа руку на сердце — вот сколько вы знаете людей. способных взять и влезть вот скажем на мой компьютер (WinXP SP2, все апдейты, но никаких антивирусов и фаерволов)? И за сколько они согласятся это сделать, учитывая, что это незаконно?
Да любому банку в разы дешевле будет компенсировать убыток обокраденным пользователям, чем наворачивать какую-то защиту.
Ровно то же — про кредитные карты. Дешевле периодически компенсировать убыток и отлавливать немногих действительно опасных преступников, нежели париться с защитой всего этого дела.
Так. Меня тут что-то понимают не очень, поэтому я мысли подитожу свои:
1. Разработка защиты в смысле разнообразного шифрования — крайней редко будет экономически оправдана.
2. Именно поэтому иностранные банки с ней особо не парятся
3. Наши парятся — потому что не считают экономическую эффективность разработки защиты.
4. Хакерская атака — слишком дорогое удовольствие
5. Более или менее квалифицированный хакер, способный что-то утащить даже с незащищенной машины — крайне редкое явление.
6. Не говоря уж про способного перехватить какие-нибудь пароли в момент их передачи по сети и т.п.
7. Даже если ничего нигде не шифруется.
8. Что для интрнет-банкинга, что для кредитных карт человеческий фактор и "классические методы" настолько опаснее "электронных", что электронными можно практически пренебречь.
Здравствуйте, vhonest, Вы писали:
V>Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться V>
Кредитки "легко хачатся". В особенности на амазонах и озонах.
V>Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания.
В данном случае обманутыми банком. Споры по интернет транзакциям всегда решаються в пользу держателя карты. Что бы там банк не говорил — это ему просто не охото связываться с чаржбеком. Если ему действительно так в лом шевелиться его могут чудно промотивировать письмо в Визу или Мастер (смотря что за карта), после чего он вспомнит, что защищать клиента доверевшиго свои деньги платёжной системе его святая обязаность.
Если бы не гарантия безопасности денег, никакая Виза не смогла бы уговорить этих "тупых амерекосов" дать им свои деньги.
Так что если мы говорим про инет транзакцию то всё просто. Пропала сума в течении 180 дней идёшь в банк пишешь заяву, в течении 60 дней должны вернуть. При этом в худшем случае потери понесёт банк продавца, но как правило, эта почётная обязанасть перекладываеться на продовца. Если его что то не устраивает он может подать на тебя в суд по обвинению в мошеничестве (если ты, что то купил, а потом вернул себе денег).
Недавно был широкий флейм на эту тему в другой ветке. Естественно, абсолюбтная незащищенность операций по кредитной карте (достаточно просто знать данные с карты, могущие быть кем угодно перехваченными) вызывает опасения у любого здравомыслящего.
Логичный путь совершения этих операций, на мой взгляд, транзакции по одноразовому ключу. Но почему-то банки предпочитают совсем незащищенный (соответственно более простой) способ идентификации по открытым данным карты. Не знаю, им виднее
привожу свой пост на эту тему
----------------------------------- A>Ну дык, а по-другому как? Лучшая секьюрити — большие накладные расходы (т.е. денежные расходы и время). Все равно где-то придется провести линию. Вот сейчас провели здесь. А 100% гарантию и господь бог не дает.
А по-другому очень просто. Ничего нового изобретать не надо. Неавторизованные транзакции (по номеру и открытым данным карты) — отменить нафиг.
Исключительно
Предоставить пользователю , например, через веб-интерфейс или телефон, dashboard управления уровнем защиты и опциями своей карты — предоставлять/запрещать возможность транзакций с карт-ридеров, из интернета , банкомата итд с соответствующими лимитами сумм.
Установить опопвещение пользователя по телефону о проведенной транзакции и возможность блокировки карты с помощью СМС.
По уровню незащищенности транзакции можно подразделить
1) По номеру и данным карты — бронирование через инет, по телефону etс — без присутствия носителя и ПИН-кода (пароля)
2) Через карт-ридеры (в магазинах, на заправках итд) — с присутствием носителя и пинпадом (в принципе существует возможность установки хакерского , заряженного "трояном" карт-ридера, уж коли даже банкоматы "заряжают")
3) Банкоматы — то же, носитель + пин
4) Операция через операциониста банка — с предъявлением документов + карты + ПИНа
Для каждого уровня пользователь карты должен иметь возможность установаить запрет/разрешение обслуживания и лимит сумм ( единовременный, в сутки итд)
Пункты 2) 3) 4) нареканий не вызывают — там присутствует должный уровень защиты носитель + ПИН
Теперь Пункт 1) — транзакции без носителя. То как это реализовано сейчас, это , простите, шайзе.
Естественно, как опцию для ускорения обслуживания по мелким покупкам, для богатых людей, могущщих во имя удобства рискнуть защищенностью, можно оставить это как есть — лимиты списываемых таким способом сумм, оповещение и своевременная блокировка спасут владельца от крупного мошенничества.
Но это не выход. А выходов на самом деле много и они просты и широко используются в информационных технологиях (странно почему не в банковских)
Защищенная оплата без носителя может происходить следующими довольно простыми способами
1) предварительная квитанция на некоторую сумму — по принципу действия напоминает "чековую книжку".
Пользователь выписывает квитанцию на энную сумму и получает одноразовый код, предъявитель которого имеет право списать со счета эту сумму
Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб.
Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом и говорит "хочу оплатить 5000 руб". Ему выдается чек с неким кодом заказа 13245379. Далее Вася при оплате через инет-магазин указывает номер карты и код заказа 13245379, по которому сервис инет-магазина имеет право списать сумму и которй после этого становится недействительным. В существующей системе отсутствует этот код заказа, что делает ее незащищенной.
2) последующая транзакция — тот же Вася Пупкин покупает через инет мобильник, вводит номер карты и жмет "Оплатить". Далее он идет в банкомат/делает запрос с телефона/через специальную комп. программу/операциониста (в общем, защищенное звено) подтверждает ожидающую транзакцию. И после того как он подтвердит ее через защищенное звено, с его счета спитсываются поставщику деньги.
Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
Здравствуйте, vhonest, Вы писали:
V>Вот это-то меня и настораживает. Ведь не станешь каждый день проверять не оплатил ли кто-нибудь что-нибудь через твой счет. А двух-трех дней вполне достаточно чтобы в магазине уже собрали и отправили заказ и злоумышленник достигнет своей цели. В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
Это проблемы банка, а не ваща. Когда в конце месяца придет счет, то прежде чем его оплатить его лучше проверить. Если что-то не так как ожидалось, звоните и откатываете транзацию. Все. Дальше вас это особенно не волнует. Так весь мир живет и особенно не переживает.
Здравствуйте, vhonest, Вы писали:
V> В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
А банк-то с какой радости потеряет??? — это проблема магазина удостоверять личность покупателя. Так что он и заплатит за все.
Здравствуйте, egaron, Вы писали:
E>Предоставить пользователю , например, через веб-интерфейс или телефон, dashboard управления уровнем защиты и опциями своей карты — предоставлять/запрещать возможность транзакций с карт-ридеров, из интернета , банкомата итд с соответствующими лимитами сумм. E>Установить опопвещение пользователя по телефону о проведенной транзакции и возможность блокировки карты с помощью СМС.
Альфа-банк, Сбербанк, ВТБ-24 — уже усе украде..., тьфу, придумано до нас
E>1) предварительная квитанция на некоторую сумму — по принципу действия напоминает "чековую книжку". E>Пользователь выписывает квитанцию на энную сумму и получает одноразовый код, предъявитель которого имеет право списать со счета эту сумму E>Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб. E>Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом
заказывает себе виртуальную виза или мастер, переводит на нее 5000, платит, потом убивает карту вообще.
E>Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
принцип еще проще, и уже существует и, о чудо, используется
Здравствуйте, Smetanin, Вы писали:
S>Здравствуйте, vhonest, Вы писали:
V>>Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
S>Да мы не впереди планеты всей. У нас просто в банках никто не считает деньги, которые тратятся на разработку разного рода защит. Ну, то есть, сколько тратится — считают, а вот эффект оценивать — да нафиг не надо. Гавное при случае можно в рекламе упомянуть всякие модные аббревиатуры и словечки ("SSL!!!", "ЭЦП!!!", "АБВГД!!!!", "12341324124-битные ключи!!!")
Угу меня тут поразило -- у Альфы для интернет банкинга ограничение на длину пароля 10 символов!! Я с такими паролями только на всяких левый форумах регистрируюсь. Да еще спец символы вродебы не разрешены
... << RSDN@Home 1.2.0 alpha rev. 655>>
"Бог не терпит голой сингулярности" -- Роджер Пенроуз
egaron пишет:
> 2) последующая транзакция — тот же Вася Пупкин покупает через инет > мобильник, вводит номер карты и жмет "Оплатить". Далее он идет в > банкомат/делает запрос с телефона/через специальную комп. > программу/операциониста (в общем, защищенное звено) подтверждает > ожидающую транзакцию. И после того как он подтвердит ее через защищенное > звено, с его счета спитсываются поставщику деньги.
этот сценарий мне знаком... очень часто буржуйские карточки не чаржатся
с ответом "confirmation call required"
...особенно, если сервер — google.com.
, недобросовестность персонала интернет-магазина...
Ведь это упирается только в вычислительные мощности, а кто знает, что там уже изобрели в секретных лабораториях гестапо. Квантовые компьютеры на подходе как-никак.
