Прочитала наша бухгалтерия про страшные клиент-банковские вирусы и спросили наш IT отдел, а все ли у нас в порядке с этим делом?  Почитали мы эту статью
http://smart-lab.ru/blog/65501.php
и эту ветку
Админы будьте бдительны, вирусняк по ломке банк клиента.
и поняли, что есть где поработать.

Приняты меры по безопасности:
1. Антивирь касперского
2. Рутокен использовать только во время подписи
3. Отдельный комп только под клиент банк
4. Единственный открытый канал до айпишника банка
5. Смс уведомления и смс авторизацию

Что еще можете посоветовать?

Уволить админов, нанять спецов

(1) Крендель, пристрелю при случае. )
\

вообще все что завязано в компе - обходится, по этому

самое стоящее из перечисленого - "Смс уведомления" все остальное так себе....

еще можно генератор одноразовых паролей юзать... (типа флешки от аладина)

А че за генератор одноразовых паролей? Насколько это геморно для пользователя?

6. Доступ к клиент-банку только с определенных ip
7. Одноразовые пароли

(4)Никакого геморроя

(6) Вот это? http://www.aladdin-rd.ru/catalog/etoken/pass/

(7)ага. только такие штуки - это замена токенов

Смс уведомления кстати запаздывают. Т.е. деньги то уйдут уже, скорее всего.

(8) это НЕ замена, а дополнение!

(10)у нас несколько клиент-банков - и везде это замена обычных токенов.
У директора уже целая сумка флэшек/токенов

(11)сами ключики при этом могут быть просто на флэшке

ключи на 5.25" дискетах, отличная защита, попробуй наиди дискеты или рабочий дисковод под них ;)

касперского надо ставить. у них вроде как соглашения с крупными банками. банки им в течении двух часов отсылают инфу если инцедент какой произошел.

У нас СБ сказала ставить на машины с КБ - Касперский Кристал

Начал читать статью

"Специфика в том, что у нас любой бомж либо человек с чужим паспортом может открыть счет в банке. За границей — сложнее на порядок."

Вот думаю читать дальше или нет.

(15) Чем так хорош касперский кристалл?

Про касперского кристалл хорошая идея, поставим. Только опасение, что он на атоме слишком тормозить будет (под клиент банки отдельный комп берем, маленький на атоме)

от воровства бабла достаточно одной меры - уволить буха в случае если ключ висит в компе не в момент подписи платежек. Все остальное лишнее.

(18) антивирусы всегда идут позади вирусописателей.

(19) А так сложно написать программу, которая будет караулить установку ключа и быстренько подсунет свою платежку

(20) Это понятно, что на самую хитрую опу есть хрен с винтом, но хотя бы от 99% простых вирусописателей хотелось бы застраховаться.

(17)не интересовался - сказали ставь.
(21)сложно, ты с КБ работал?

(22) в таком деле, простых вирусописателей не бывает.

(23) 15 лет работаю с КБ. Моя 1С работает в банком минуя оригинальные программы КБ. Это совсем несложно отснифить запросы которые генерятся в КБ и имитировать их своей программой. В конце концов декомпиляцию никто не отменял

В принципе, мозговитый айтишник может достаточно легко написать или найти все необходимое ПО для кражи денег через клиент банк. Проблема главная это бабло потом обналичить и не попасться. Поэтому этим и занимаются ОПГ.

(26) а если еще будет иметь документацию по клиент-банку, что вобщем-то для ОПГ принадлежащей данному банку очень реально

(0) достаточно смс-ки об подписанных доках, входа в систему

если хотите уберечься от всяких взломов --- откажитесь от интерент-банка

для клиент-банка отдельный комп, не подключенный к лвс, со свистком а еще лучше со свистком в отдельном роутере. все браузеры убить (если только к-б не браузерный). файрвол, монитор процессов, антивирус и к-б. больше ничего на нем не держать.

(30) > для клиент-банка отдельный комп, не подключенный к лвс

???

(31) что не так?

(32) интернет от yota ?

(33) йота, опсосы... не важно

(34) почему в обычной сетке нельзя быть ?

(35) чтобы не словить животное с компа разгильдяя-манагера, решившего в обед разбавить чаек клубничкой

(36) что животное сделает, сидя на машине манагера ?

(37) заразит все машины в лвс

(9) быть может речь про смс-подтверждение? Для подтверждения операции нужно смс код ввести (если есть такая опция конечно)

(24) Есть мнение, что пейсатели параллельно работают в антивирусных компаниях

(30) ТОгда уж отдельный 3Г или ЖПРС подем к нему. Банкоматы и терминалы всякие так и работают - со своим содулем связи.

(30) ТОгда уж отдельный 3Г или ЖПРС подем к нему. Банкоматы и терминалы всякие так и работают - со своим модулем связи.

у нас так и есть. после попытки украсть бабло. клиент банки на отдельном ноуте с йотой.

помнится на заре этих клб, у сбера были драконовкие правила. как-то бронированная комната где комп и комп отдельный. в нем модем и звонили на выделенные линии сбера.

(44) Помогало?

(45)в начале 2000-х ничего такого не помню

(45) ну таких проблем небыло. Как только банки полезли через инет появилась эта проблема. но она ожидаема. И решается просто- оргвыводы. в 99% случаев флешка с ключами или токен все время висят в компе

(41) это и есть свисток

(47) Из тех случаях которые были мне известны, в большинстве рулил злобный (причем умышленный) человеческий фактор. Либо со стороны банка либо со стороны клиента. В частности вы уверены что ваше банковское ПО не сливает куда-нибудь ваш секретный ключ в процессе его генерации?

(49) а где гарантия что твое по не сливает секретный ключ в процессе его генерации?

(50) при чем здесь мое ПО. ПО дает банк, в некоторых банках ключи генерятся прямо в банке. Вон токены сбера пишутся в сбере и потом в якобы запечатанных конвертах отдаются клиентам

(51)
>>(23) 15 лет работаю с КБ. Моя 1С работает в банком минуя оригинальные программы КБ. Это совсем несложно отснифить запросы которые генерятся в КБ и имитировать их своей программой. В конце концов декомпиляцию никто не отменял

В некоторых конторах ещё остался клиент от сбербанка, который работает по модему.
Но сейчас эпоха информатизации, и клиент-банки ставят на компы главбухов, которые лазают по сайту клерка или консультанта - кстати - там подцепить заразу оказалось проще, чем с "клубничкой".

(52) Вообще не могу понять к чему вопрос? Ворую ли я деньги сам у себя, еще и таким сложным способом: вставкой закладок в собственное ПО? Нет, у меня есть возможность украсть из конторы деньги 1000 и одним способом. Я просто хотел сказать что несколько знаком с реализацией некоторых банк-клиентов и понимаю их уязвимости и серебряной пули в данном вопросе нет. То что вы вставляете флешку исключительно только для шифрования платежек не дает вам абсолютной гарантии, потому что троян еще быстрее вас подкараулит зашифрует и отправит нужную ему платежку и в это не абсолютно ничего сложного.

(53) и сеанс модема ничего не стоит подкараулить трояну и заслать свою платежку. с СМС-паролями сложнее, но их банки как правило использую только для авторизации, а дальше в сеанс опять таки можно вклиниться.

Не нужно к защите информации относиться как к шаманству: я прочитаю нужные молитвы, которые мне спустили из банка и подсказали на форуме. Нужно просто повышать свою компьютерную грамотность

Хм, щас реализуем меры по защите вышеприведенные, столкнулись с тем, что у сбербанка нет смс подтверждения. Это только у нашего отделения сбера, или например в московском есть такое подтверждение? Мне казалось почему-то, что такая услуга у всех банков уже есть. Оказывается нет.

Кстати, соберу статистику, в каких клиент банках каких банков есть смс подтверждение?

SMS-подтверждение - не панацея, так как текст SMS-сообщения отправляется оператору часто по открытым каналам или через специальное API, и никто не даёт гарантии, что сообщение не могут перехватить по дороге. Конечно, это очень сложно и маловероятно.