сайт Друзей
Общество
Хацкеры
"В Калининграде направлено в суд уголовное дело в отношении хакеров, похитивших у банков около 2 млн руб. Об этом сообщает пресс-служба прокуратуры Калининградской области.
Обвинение в совершении кражи в особо крупном размере предъявлено 4 местным жителям. Личность их подельника, действовавшего под псевдонимами AlexV и «ktmn», следствием не установлена.
По версии следствия, в августе 2009г. четверо граждан вместе с подельником, похитили хранившиеся в ряде банков денежные средства в сумме 1 млн 923 тыс. 300 руб. Лицо, действовавшее под псевдонимами «AlexV» и «ktmn», с помощью вредоносной программы через интернет неправомерно завладевало логином и паролем для осуществления денежных переводов. В дальнейшем по разработанной заранее схеме злоумышленник совершал фиктивные операции по переводу денежных средств, которые, в конечном счете, попадали в руки его подельников."
http://top.rbc.ru/society/14/01/2011/527137.shtml
Имхо, это просто пресс-релиз. Не думаю, что речь идет о хакерах. На самом деле, все, видимо, было не так - гораздо банальнее и проще. Есть кое-какие соображения.
Особо порадовала стилистика "с помощью вредоносной программы через интернет неправомерно завладевало логином и паролем для осуществления денежных переводов".
Обвинение в совершении кражи в особо крупном размере предъявлено 4 местным жителям. Личность их подельника, действовавшего под псевдонимами AlexV и «ktmn», следствием не установлена.
По версии следствия, в августе 2009г. четверо граждан вместе с подельником, похитили хранившиеся в ряде банков денежные средства в сумме 1 млн 923 тыс. 300 руб. Лицо, действовавшее под псевдонимами «AlexV» и «ktmn», с помощью вредоносной программы через интернет неправомерно завладевало логином и паролем для осуществления денежных переводов. В дальнейшем по разработанной заранее схеме злоумышленник совершал фиктивные операции по переводу денежных средств, которые, в конечном счете, попадали в руки его подельников."
http://top.rbc.ru/society/14/01/2011/527137.shtml
Имхо, это просто пресс-релиз. Не думаю, что речь идет о хакерах. На самом деле, все, видимо, было не так - гораздо банальнее и проще. Есть кое-какие соображения.
Особо порадовала стилистика "с помощью вредоносной программы через интернет неправомерно завладевало логином и паролем для осуществления денежных переводов".
Все же не могу не прокомментировать. Уж слишком много стало таких победных релизов ради звездочек на погоны - нет, не за поимку и работу извилинами, а за глупость т.н. кул хацкеров. Возможно, кому-нибудь это будет интересно.)
О какой-такой вредоносной программе идет речь? Взлом напрямую практически невозможен. Банковские сервера уже давно никто не берет за рога- долго и малорезультативно - их либо досят -дешево и сердито , либо покупают админа или программиста с его правами который выдаст всю нужную инфу. В последнем пункте ума большого вообще не надо. Собственно о хаке. Посадить демона на сервер банка малореально, если даже реально, быстро найдут и уберут. Представим идеальное: на сервере были баги, хацкер без особых проблем запустил инъекцию, нашел дыры, взял/написал исходник, перебил там код - и (о чудо) зашел в рут с правами админа. Дальше увидел клиентов, слямзил пароли и вышел, подтерев за собой… Да, теоретически возможно - в сторону алгоритмы защиты,снорты и др. живность фиксирующую такие поползновения, - представим, это было там мертво ( а заодно и админ). Но что дальше. Дальше то, что сделать трансакцию по переводу денег непосредственно сервере и без паления практически невозможно. Имхо, возможно не в лоб, а со стороны если грамотно, через цепь из 3х машин: компьютер хакера - компьютер на прокси - компьютер-зомби. Клиент-Банки пользователей работают исключительно под Виндоуз или через ssl, или telnet. Вот вариант: на зомби клиента с взломанным telnet-ом на Виндоуз ( под Клиент-Банк) ставится экзешник, благо сделать бэкдор и повесить bat- очень реально, обойти антивирусник - так же реально ,если есть голова, а затем перекомпилировать bat в экзешник. Есть масса других хитростей, но не в том суть. Суть в том, что в даже с зомбированным клиентом в онлайне идет проверка сертификатов по криптографии от 256-бит - алгоритмы могут быть разные и в великих вариациях. Они выдаются банком физически на электронном носителе при заключении договора. Установить тип не проблема, но как сделать так чтобы сервер ответил на запрос. Взломать telnet в банке? Написать самому? Подменить? Если последнее, нужно быть Перельманом, что перебрать все варианты операций.) Я так и не нашел ответа на этот вопрос. Предположим еще фантастику: опять же на потенциально дырявом банковском сервере взять, забить лог " так и было" для админа, но опять же там только сертификат, а нужен что ключ к нему - в договоре показан сам код ключа, дововор в 2-х экземплярах - у клиента и банка, у банка есть служба безопасности, к-я проверяет, а он-то там другой… Вот почему мне кажется,что в подобных релизах много помпы и бутафории. Вполне реально, на самом деле вся во всей этой истории не было никакого хака - было просто банальное воровство ключа и паролей у клиента с помощью траяна, брутфорсера для почты и т.д. и затем его именем заходить и умыкать деньги. А если еще кул хацкеров поймали на обналичке - это еще и говорит об их уровне.
О какой-такой вредоносной программе идет речь? Взлом напрямую практически невозможен. Банковские сервера уже давно никто не берет за рога- долго и малорезультативно - их либо досят -дешево и сердито , либо покупают админа или программиста с его правами который выдаст всю нужную инфу. В последнем пункте ума большого вообще не надо. Собственно о хаке. Посадить демона на сервер банка малореально, если даже реально, быстро найдут и уберут. Представим идеальное: на сервере были баги, хацкер без особых проблем запустил инъекцию, нашел дыры, взял/написал исходник, перебил там код - и (о чудо) зашел в рут с правами админа. Дальше увидел клиентов, слямзил пароли и вышел, подтерев за собой… Да, теоретически возможно - в сторону алгоритмы защиты,снорты и др. живность фиксирующую такие поползновения, - представим, это было там мертво ( а заодно и админ). Но что дальше. Дальше то, что сделать трансакцию по переводу денег непосредственно сервере и без паления практически невозможно. Имхо, возможно не в лоб, а со стороны если грамотно, через цепь из 3х машин: компьютер хакера - компьютер на прокси - компьютер-зомби. Клиент-Банки пользователей работают исключительно под Виндоуз или через ssl, или telnet. Вот вариант: на зомби клиента с взломанным telnet-ом на Виндоуз ( под Клиент-Банк) ставится экзешник, благо сделать бэкдор и повесить bat- очень реально, обойти антивирусник - так же реально ,если есть голова, а затем перекомпилировать bat в экзешник. Есть масса других хитростей, но не в том суть. Суть в том, что в даже с зомбированным клиентом в онлайне идет проверка сертификатов по криптографии от 256-бит - алгоритмы могут быть разные и в великих вариациях. Они выдаются банком физически на электронном носителе при заключении договора. Установить тип не проблема, но как сделать так чтобы сервер ответил на запрос. Взломать telnet в банке? Написать самому? Подменить? Если последнее, нужно быть Перельманом, что перебрать все варианты операций.) Я так и не нашел ответа на этот вопрос. Предположим еще фантастику: опять же на потенциально дырявом банковском сервере взять, забить лог " так и было" для админа, но опять же там только сертификат, а нужен что ключ к нему - в договоре показан сам код ключа, дововор в 2-х экземплярах - у клиента и банка, у банка есть служба безопасности, к-я проверяет, а он-то там другой… Вот почему мне кажется,что в подобных релизах много помпы и бутафории. Вполне реально, на самом деле вся во всей этой истории не было никакого хака - было просто банальное воровство ключа и паролей у клиента с помощью траяна, брутфорсера для почты и т.д. и затем его именем заходить и умыкать деньги. А если еще кул хацкеров поймали на обналичке - это еще и говорит об их уровне.
А как Вы считаете? Реально ли хакнуть, если подтверждение на транзакцию идёт по выданному по смс (на телефон клиента) коду?
Нет, практически нереально. Такое новшество как смс как у ВТБ 24 и некоторых др. банков просто дополнительная мера защиты как- идентификация лица имеющего право цифровой подписи. Сделано это было, в теории, для повышения безопасности онлайн сессий, но здесь есть подоплека - по моему мнению, это снимает ответственность с банка в случае юридических казусов . А с т.з. сугубо безопасности клиента мера эта, имхо, не очень удобная и неоригинальная.
По большому счету неважно есть этот код у кого-то или нет он - ни какой роли при взломе или несанкционированному доступу к счету в банке он не играет. Как я уже сказал прежде, во время сессии идет аппаратная сверка сертификатов через криптографию. Прежде при 64, и 128-битных алгоритмах это было возможно, т.к. при вычислении кода, например в алгоритме RSA, можно было подделать подпись владельца, чем многие умельцы пользовались. Теперь это уже в прошлом. Если учесть, что все больше и больше входит в моду поточное ассиметричное шифрование с плавающими переменными, перехватить сессию и подменить скрипт во время сеанса с банком (в отличии от других эл. платежей - например заказа в интернет-магазине или системах яндекса, пай пал, веб мани и т.д.) крайне сложно. Даже если через зомби ( подставной комп, с которого хакер удаленно ведет взлом) - будут слушатся все порты, и удастся заполучит сертификаты, не факт, что их удастся использовать: т.к. программах, ведущих шифрование есть дополнительные алгоритм защит респондента: даже если хакеру удастся снять хэш во время онлайн-сессии, данные для доступа изменятся = идентификации ключа не произойдет. Хотя, конечно, есть разные хитрые варианты).
Сегодня большинство платежей в России идет через систему Крипто-Про, Сигнал-Ком и др. подобные использующей алгоритмы ГОСТ+ разные цифры на конце релизов Это сугубо российская разработка. Все они при изучении оказываются с достоинствами и недостатками. Крипто-Про, по моему мнению, это лучшее из отеч. разработок. Хотя там есть недостатки, о странностях поведения этой программы говорить не буду - вы вряд ли поймете. Скажу, что в целом программа неплохая и безопасность там весьма высока.
Однако нужно помнить, что совершенной безопасности не бывает.
И в теории на каждый замок находится ключ или отмычка.
По большому счету неважно есть этот код у кого-то или нет он - ни какой роли при взломе или несанкционированному доступу к счету в банке он не играет. Как я уже сказал прежде, во время сессии идет аппаратная сверка сертификатов через криптографию. Прежде при 64, и 128-битных алгоритмах это было возможно, т.к. при вычислении кода, например в алгоритме RSA, можно было подделать подпись владельца, чем многие умельцы пользовались. Теперь это уже в прошлом. Если учесть, что все больше и больше входит в моду поточное ассиметричное шифрование с плавающими переменными, перехватить сессию и подменить скрипт во время сеанса с банком (в отличии от других эл. платежей - например заказа в интернет-магазине или системах яндекса, пай пал, веб мани и т.д.) крайне сложно. Даже если через зомби ( подставной комп, с которого хакер удаленно ведет взлом) - будут слушатся все порты, и удастся заполучит сертификаты, не факт, что их удастся использовать: т.к. программах, ведущих шифрование есть дополнительные алгоритм защит респондента: даже если хакеру удастся снять хэш во время онлайн-сессии, данные для доступа изменятся = идентификации ключа не произойдет. Хотя, конечно, есть разные хитрые варианты).
Сегодня большинство платежей в России идет через систему Крипто-Про, Сигнал-Ком и др. подобные использующей алгоритмы ГОСТ+ разные цифры на конце релизов Это сугубо российская разработка. Все они при изучении оказываются с достоинствами и недостатками. Крипто-Про, по моему мнению, это лучшее из отеч. разработок. Хотя там есть недостатки, о странностях поведения этой программы говорить не буду - вы вряд ли поймете. Скажу, что в целом программа неплохая и безопасность там весьма высока.
Однако нужно помнить, что совершенной безопасности не бывает.
И в теории на каждый замок находится ключ или отмычка.
Если есть счет с банке ( неважно в каком) можно сделать это двояко: если есть доверительные отношения на работе, возложить это на бухгалтера - многие , особенно в крупных фирмах так и делают на возмездной основе для него, либо руководство таким образом проявляет заботу о сотрудниках. Плюсы: не нужно тратить время, гораздо выше безопасность тк. используются корпоративные средства защиты к-е и мощнее и надежнее. Минусы: все что ты покупаешь будет известно. Либо вариант 2: поставить себе на компьютер программу Клиент-Банк и ее клоны в частном порядке. Одно но: нужен Виндоус или его эмулятор, если другая ОС, на иных ОС они не работают, также как с др. браузером кроме IE, увы. Чтобы это сделать, нужно заключить договор с банком для электронных платежей предусмотренных для физ. лиц. Программа шифрования пойдет в комплекте так же как ключи. Годовая сумма обслуживания системы эл. расчета в разных банка
разная от 500 до 4 тыс. р. - нужно уточнять.
В любом случае это будет на порядок выше, чем использование яндексов, вебмани, пэй-пэлов и др.
Если речь шла о последних, то лучше PayPal - субъективно. Яндекс-Деньги можно рассматривать как альтернативу.
разная от 500 до 4 тыс. р. - нужно уточнять.
В любом случае это будет на порядок выше, чем использование яндексов, вебмани, пэй-пэлов и др.
Если речь шла о последних, то лучше PayPal - субъективно. Яндекс-Деньги можно рассматривать как альтернативу.
По-моему Вы слишком усложняете. Для личного использования с клиент-банками ни к чему заморачиваться. Если на счете не миллионы, то пэйпала вполне достаточно.
Нужно просто открыть долларовый счет в банке и привязать его к пэйпалу.
Если все же хочется большей безопасности, то некоторые банки сейчас предоставляют возможность создать временный счет в дополнение к основному специально для одной конкретной покупки. В этому случае рискуешь только деньгами на временном счете. Реквизиты же основного нигде не светятся.
Нужно просто открыть долларовый счет в банке и привязать его к пэйпалу.
Если все же хочется большей безопасности, то некоторые банки сейчас предоставляют возможность создать временный счет в дополнение к основному специально для одной конкретной покупки. В этому случае рискуешь только деньгами на временном счете. Реквизиты же основного нигде не светятся.
Благодарю за развёрутый ответ!
Мои знания в области компьютерной безопасности (к стыду) весьма не велики…
А по сему… после слов "аппаратная сверка сертификатов через криптографию"…. ))))
..Вобщем два первых и два последних предложения меня пока успокаивают!))
Мои знания в области компьютерной безопасности (к стыду) весьма не велики…
А по сему… после слов "аппаратная сверка сертификатов через криптографию"…. ))))
..Вобщем два первых и два последних предложения меня пока успокаивают!))
| Последние обсуждаемые темы на этом форуме: | Ответов | Автор | Обновлено |
|---|---|---|---|
| Примеси железа в воде | 0 | Топа3 | 06.08.2025 в 18:21 Топа3 |
| Работа в Газпроме | 0 | Топа3 | 03.08.2025 в 15:59 Топа3 |
| Рекомендую хорошую гадалку | 3 | tatanaustugova | 01.08.2025 в 13:59 ramzanovao |
| Курила 10 лет — спасла под система в Guru Vape | 0 | ViktoriaDemchuk12 | 12.07.2025 в 16:01 ViktoriaDemchuk12 |
| офисы в аренду в Москве | 0 | litifa | 10.07.2025 в 16:13 litifa |