[vIv]

12-го и 13-го числа Банк Москвы разослал по своим клиентам уведомления, что обслуживание через Интернет-Банкинг с 1 декабря прекращается.

В понедельник всё уточню сам лично, но скорее всего речь идет о переходе физиков с Java-вского Internet-Банкинга "iBank2" на новый Web-овский Internet-Банкинг "iBank2".

Да, именно так. Но как туда привинтили USB токены? Они туда вообще привинчиваются? (простите, но компетентность москвабанки смазывается их общесистемным бардаком, поэтому лучше заранее знать, что просишь, - тогда есть шанс получить то, что нужно)

[vIv]

Хотя конечно же прикольно узнавать такие новости не от банка ;-)

Можете меня им сдать в качестве альфа-тестера, в том числе и услуг. Благо, я всё-равно абонент, - буду заодно багрепорты писать.

 

Какая мудрая душа придумала ПОЧТУ привязывать к счёту? Получил письмо - ответить не могу, ибо добрая москвабанка прислала письмо с несуществующего счёта (спуфит FROM сцуко!). Кстати, за все эти годы так и не смог узнать, как этой штуковиной написать ТУДА письмо =)

Не говоря уже о том, что разослать логин/пароль по СМС вполне можно было по тому номеру, который УЖЕ привязан к СМС-информированию. Но нет, в москвабанку надо лично пешком сходить, очередь создать.... Я уж не говорю про такую нихера не очевидную супертехнологию как пере-использование номера СМС-информирования при перевыпуске карты. Карту перевыпустил, получил на руки, - потом сходи потолпись в очереди, чтобы заново включить СМС-информирование, протухшее вместе со старой картой. А, да, и не забудь оставить ещё однну копию паспорта. Они с меня собрали уже несколько десятков этих копий :-))

 

Какое там нахрен продвижение услуг, вы что, родные???... Им бы имеющееся научиться делать. Я их сотрудникам рассказываю, какие у них услуги есть, блин! Вы новых хотите напродвигать? 8-)

 

- Я тут заявление на перевыпуск сделал. Когда карта будет?

- А где заявление?

- У вас где-то... пишет, что ушло...

- Кто пишет? Куда пишет? Где ваше заявление?

- В интернет-банкинге. Заполнил и отправил.

- А что, там есть заявление?

- Есть.

- Ух ты!

- Я рад, что вы рады, но мне что делать?

- Вот вам бланк, напишите теперь бумажное заявление.

 

Не говоря уже о том, что у них сервер интернет-банкинга по их словам в пятницу часа в четыре вечера уходит на выходные и возвращается только к 2-3 дня в понедельник. Раздолбайский такой сервер....

[woddy]

Не говоря уже о том, что у них сервер интернет-банкинга по их словам в пятницу часа в четыре вечера уходит на выходные и возвращается только к 2-3 дня в понедельник. Раздолбайский такой сервер....

у меня такой же бред с райфайзеном был. сервер работал, но до понедельника переводы не обрабатывал.

[vIv]

А, вот ещё что вспомнил: у ПромСвязьБанки и у МоскваБанки бывает "забавная" ситуация, когда деньги в сторону адресата уже ушли, но до адресата ещё не дошли. В пределах одного банка, причём. В трекинге смотришь и ээ... нервничаешь.

[vIv]

Я многое видел, но ТАКОГО я не мог даже предположить!

 

Вы знаете, КАК Бифит сделал вход в свой веб-банкинг?!

 

Позвольте напомнить, как происходит мастурбация: руку надо двигать туда, потом сюда, потом опять туда, потом опять сюда... и так много-много раз. Представили? Теперь переходим к виртуальной клавиатуре производства Бифит, на которой надо набирать пароль: НАЖИМАТЬ на кнопки НЕ НАДО, надо задерживать курсор мышки над кнопкой, растягивая удовольствие, и она спус нажмётся. Обязательно надо переключать регистр, поэтому не забываем позависать над "Caps Lock"

Когда надрочится минимум 6 разных кнопочек - переходим ко второй серии, повторяем всё ещё раз на "бис" ;-)

 

С облегченьицем вас!

 

2bifit: а давайте придумаем какой-нибудь более человеческий вариант?

 

Подумайте на досуге, насколько сложные пароли будут сделаны большинством хомячков, если введение КАЖДОГО символа настолько мучительно. Намекаю: незапоминаемые пароли после автогенератора обычно хранятся на листочке под клавиатурой.

[Ivan_83]

Им бы такой логон на рабочие места, и авторазлогон после 10 минут простоя :)

[s.lobanov]

Не говоря уже о том, что у них сервер интернет-банкинга по их словам в пятницу часа в четыре вечера уходит на выходные и возвращается только к 2-3 дня в понедельник. Раздолбайский такой сервер....

Это как у нас в поликлинике(мне один раз пришлось брать больчиный по месту жительства), днём огромная очередь бабулек(поликлиника работает до 20:00), чтобы выписать рецепт на бесплатные лекарства, потому что "компьютер выключают в 16:00".

[bifit]

vIv, а Вы что-нибудь о многофакторной аутентификации слышали? А о фишинге? А о троянах screen-scraper'ах? Последние собирают информацию преимущественно по клику мышки. Поэтому пришлось делать ввод долговременного пароля через виртуальную клавиатуру методом удержания курсора на виртуальной клавише в течение 2..4 секунд (это время тоже плавает).

 

Сделали не от хорошей жизни. Вы ж ведь OTP-токен для генерации одноразовых паролей (Time-Based + Event-Based) за 300 руб. у Банка Москвы покупать не желаете? И при этом хотите мегабезопасности для Ваших денег. А также простоты и суперкомфортности в работе. И тут приходится каждому банку выбирать свой баланс между простотой/удобством с одной стороны и разумной достаточностью механизмов защиты с другой стороны.

 

2bifit: а давайте придумаем какой-нибудь более человеческий вариант?

Давайте, предлагайте. Только вместе с ограничениями на суммы и типы операций.

 

Система поддерживает произвольное количество профилей безопасности.

 

Одна группа физиков может заходить по банальному логину и долговременному паролю, вводимому с обычной клавиатуры. Но здесь риски похищения у клиента его аккаунта банальным кейлогером.

 

Другая группа физиков заходит с двухфакторной аутентификацией - логин + одноразовый пароль с ОТР-токена, OTP-мидлета с мобилки или полученного по SMS + долговременный пароль из головы (последний лучше вводить через виртуальную клавиатуру дабы усложнить жизнь любителям троянов).

 

Но еще остается фишинг. И не все клиенты набирают у себя в браузере HTTPS://ibank.bankname.ru, не все смотрят на статус защищенного SSL-подключения в браузере, не все напрягаются, когда сертификат оказывается левым, просроченным или самозаверенным банком. Поэтому нужны механизмы противодействия фишингу. Да и вообще прочитайте отчеты antiphishing.org в части финансового и платежного сектора.

 

Есть также поддержка EVM CAP, всевозможных MAC-токенов, полноценного механизма ЭЦП.

 

Но каким клиентам с какими ограничениями в работе и какие схемы аутентификации применять - определяет и настраивает банк.

 

Если действительно есть разумные по Вашему мнению схемы - пишите, донесём Ваше мнение до бизнесов Банка Москвы.

 

С уважением, Репан Димитрий.

[vIv]

Сделали не от хорошей жизни. Вы ж ведь OTP-токен для генерации одноразовых паролей (Time-Based + Event-Based) за 300 руб. у Банка Москвы покупать не желаете?

Документация на оффсайте москвабанки как-то нифига не совпадает с реальностью в их же отделениях. Я вчера минут двадцать мучал несчастную девушку дебильными вопросиками, но потом сжалился и смирился с тем, что этот квест мной не пройден. В наличии есть какие-то токены, но они не совпадают ни с один из трёх описаний. Кроме того, нет информации, есть ли их поддержка в веб-банкинге. В наличии есть только неразборные токены неизвестной модификации. Кстати, почему они не помаркированны ВООБЩЕ НИКАК?! (я видел нераспечатанную упаковку их, если что)

 

Давайте плюнем в глаз:

1) поставщику неопознанного оборудования;

2) покупателю неопознанной фигни

 

Повторяю вопрос про токен: поддерживается ли он в Win7/64? пригоден ли он для работы с веб-банкингом? Вопрос касается толстеньких чёрно-белых токенов с крышечкой. Приложил бы фото, но фотографировать там запрещено.

 

"Для проверочки - до дна" © атаман Несколько лет назад некие особо гениальные товарищи решили резко победить спам, введя SPF. На примитивные вопросы "а что помешает спамеру тупо зарегать себе свой домен и вписать туда OK для всех своих ботов" - задумчиво мычали что-то типа "а спамеры пока так не делают же?" Результат можете сами пооценивать. Это я к тому, что свойства человеков величина меняющаяся медленно, а апгрейд кейлоггера в ботнете - дело одного обновления, которое надо ботам разослать. В итоге полезность супер-анонизма стремится к абсолютному нулю, ибо при следующем же апгрейде ПО ботов будет нивелирована, а ущербность этого издевательского "интерфейса" останется.

 

Кстати, при переезде в веб ваши программисты забыли, что в браузере есть кнопка "Back", иногда дофига более удобная, чем любая кнопка в окне браузера (может быть помещена на манипуятор), и уж тем более на несколько порядков более привычная. Сообщите име об этом, пожалуйста.

[vIv]

2bifit: а давайте придумаем какой-нибудь более человеческий вариант?

Давайте, предлагайте. Только вместе с ограничениями на суммы и типы операций.

Я уже несколько раз описывал: хоть в виде карты, хоть в виде свистка, но с экранчиком и кнопкой. На экранчике - сумма, кнопка подтверждает решение человека. Глаз человека и аппаратную кнопку хрен софтом подломишь.

Если решаем в пределах имеющегося софта - сертификат на носителе. Которое, кстати, БЫЛО. Минусы я знаю, меня они устраивают. Ограничения на работу по суммам реализованы отсутствием этих сумм на доступных счетах. Хрен какой хакирь что взломает. Вторым эшелоном стоит СМС-уведомление и возможность немедленного звонка с блокировкой интернет-операций, хотя это и слишком сложно для понимание СБ москвабанки. Будет необходимость гонять суммы крупнее - куплю карточиталку. Кстати, у вас и москвабанки они заявленны, ни нифига не доступны, - где они, блин? Я бы с удовольствием купил бы пару ридеров и пару карточек. Только для этого придётся научить москвабанку продавать отдельно ридеры, а отдельно карточки. А то они пока он наличия двух пластиковых карт у одного физика в ступор впадают. Вчера переключал СМС-информирование на новые карты, - мы совершили открытие, оказывается, можно на двух картах сделать СМС-информирование на ОДИН одинаковый номер телефона! Ваауууу!!! Я просто двигатель прогресса, йоптыть! Я открываю москвабанке ранее интеллектуально недоступные горизонты!

 

Напомните, Дмитрий, вы там в веб-банкинге новые услуги впаривать собираетесь, да? А реализовывать их кто будет? ;-)))

[vIv]

Другая группа физиков заходит с двухфакторной аутентификацией - логин + одноразовый пароль с ОТР-токена, OTP-мидлета с мобилки или полученного по SMS + долговременный пароль из головы (последний лучше вводить через виртуальную клавиатуру дабы усложнить жизнь любителям троянов).

Кейлоггерам похеру, в данном случае осложнение жизни ТОЛЬКО честному пользователю. ТОЛЬКО и ИСКЛЮЧИТЕЛЬНО ему. Даже 5-долларовый логгер мыши запишет и повторит перемещения мыши даже не вникая в то, что он делает. Если привлечь софтовую запись поведения окон, то можно даже проиграть эти движения в любом произвольном месте экрана. Это было доступно ещё в штатном мышином софте в 2001-2002 годах, кажись

 

Я новости рассказываю, да? 8-)

 

Но еще остается фишинг. И не все клиенты набирают у себя в браузере HTTPS://ibank.bankname.ru, не все смотрят на статус защищенного SSL-подключения в браузере, не все напрягаются, когда сертификат оказывается левым, просроченным или самозаверенным банком.

А чего напрягаться то, когда та же москвабанка демонстративно клала хер на это? Ну звонил я им, что у них сертификат протух, - и что? "Ага, мы в курсе" было ответом. Это юзер-физик должен там за профпригодностью персонала информбезопасности следить? Или этим всё-таки может заняться HR самого банка?

[vIv]

Если действительно есть разумные по Вашему мнению схемы - пишите, донесём Ваше мнение до бизнесов Банка Москвы.

Дмитрий, я, может быть, глупую вещь ща скажу... Но у вас ЕСТЬ решение с кард-ридером и карточками. Это лучше токена тем, что карточка легко вставляется/снимается и ЗАМЕТНА. Кроме того, её может быть больше одной. На мой взгляд это было бы (для меня) лучшим решением. Можно даже, как у PSB дырочку в уголке штатно вырубать, чтобы на шнурок повесить. Ну и, опять же, то, что удобно (сунуть карточку) - тётка обыкновенная делать будет. А то, что нифига не удобно - не будет. Возвращяемся к суперстойким паролям на бумажке под клавиатурой. Юзабилити - оно сцуко такое, его уважать надоть!

 

Правда, на месте вот именно банка я, возможно, пусть бы даже бесплатно эти ридеры раздавал бы, благо, копеечные - 20 баксов в розницу, но делал бы обязательными, - чтобы не было даже мыслей у хомячка сэкономить ценой риска. Ибо толпы рискующих хомячков - это риск портфеля банка, а это самому банку плохо.

[woddy]

Я уже несколько раз описывал: хоть в виде карты, хоть в виде свистка, но с экранчиком и кнопкой.

и полутарометровым удлинителем в комплекте. а то бухгалтеры так и будут за каждой транзакцией под стол лазить.

[romane]

оффтоп в разгаре... Кто-что знает про дос у яши 10.10.10?

[vIv]

Я уже несколько раз описывал: хоть в виде карты, хоть в виде свистка, но с экранчиком и кнопкой.

и полутарометровым удлинителем в комплекте. а то бухгалтеры так и будут за каждой транзакцией под стол лазить.

Сегодня модно втыкать эти фигульки в монитор или клавиатуру. Удлинители остались только у гиков типа меня =)

[bifit]

Повторяю вопрос про токен: поддерживается ли он в Win7/64? пригоден ли он для работы с веб-банкингом? Вопрос касается толстеньких чёрно-белых токенов с крышечкой.

Вот такой что-ли - http://www.bifit.com/ru/company/press/usb-token.html - ?

 

Тогда это наш USB-токен "iBank2Key". И наклейка на нём должна быть, если конечно же Банк Москвы специально не взял без наклейки (это мне надо уточнить).

 

USB-токен "iBank2Key" исполнение "М" абсолютно нормально работает под Microsoft Windows 7 64-bit. Драйвер можно взять на https://ibank2.ru

 

Плагин для ЭЦП в Web-Банкинге поддерживает работу с USB-токеном и со смарт-картой "iBank2Key". Смарт-карты "iBank2Key" и добротные USB-картридеры - http://www.bifit.com/ru/company/press/smart-card.html - Банк Москвы не стал закупать в силу своего понимания нужд своих клиентов.

 

Решение с экранчиком сейчас не готово.

 

Публичное обсуждение достоинств и недостатков системы "iBank2" в общем, и версии Банка Москвы в частности, предлагаю перенести в профильный форум "Электронный банкинг" на портале Банкир.Ру - http://bankir.ru/dom/forumdisplay.php?f=18

 

А то мы совсем далеко от темы топика ушли...

Изменено 24 октября, 2010 пользователем bifit

[vIv]

Повторяю вопрос про токен: поддерживается ли он в Win7/64? пригоден ли он для работы с веб-банкингом? Вопрос касается толстеньких чёрно-белых токенов с крышечкой.

Вот такой что-ли - http://www.bifit.com/ru/company/press/usb-token.html - ?

 

Тогда это наш USB-токен "iBank2Key". И наклейка на нём должна быть, если конечно же Банк Москвы специально не взял без наклейки (это мне надо уточнить).

 

USB-токен "iBank2Key" исполнение "М" абсолютно нормально работает под Microsoft Windows 7 64-bit. Драйвер можно взять на https://ibank2.ru

Точно такой! Наклейка на полиэтиленовой "сосиске" никакого уточнения про "исполнение" не несёт, сам смотрел. Это - по ссылке - Исполнение "М"? Можно брать для веб-банкинга?

 

Плагин для ЭЦП в Web-Банкинге поддерживает работу с USB-токеном и со смарт-картой "iBank2Key". Смарт-карты "iBank2Key" и добротные USB-картридеры Банк Москвы не стал закупать в силу своего понимания нужд своих клиентов.

Какого рода дебильные вопросики надо задавать в заявлениях на имя Управляющего, чтобы их понимание приблизилось к реальности?

 

Просто уточнение: ЛЮБОЕ решение USB не стимулирует к втыканию/вытыканию, особенно если ноутбук. А этот толстенький ещё и на хабе 3 гнезда займёт, судя по габаритам ;-(

 

А без участия Гордого Банка у вас купить картридер + карту нельзя? пока москвабанка себе её не пропишет, мне легче же не станет?

[vIv]

Публичное обсуждение достоинств и недостатков системы "iBank2" в общем, и версии Банка Москвы в частности, предлагаю перенести в профильный форум "Электронный банкинг" на портале Банкир.Ру - http://bankir.ru/dom/forumdisplay.php?f=18

ОК, как-то так: http://bankir.ru/dom/showthread.php?p=2789977#post2789977 , но там довольно тяжело всвязи с

A: Because it messes up the order in which people normally read text.

Q: Why is top-posting such a bad thing?

A: Top-posting.

Q: What is the most annoying thing in e-mail?

[beckman]

В преддверии новогодних праздников любо-дорого завалить сайт конкурента. Вот и компанию DNS эта беда не прошла стороной, за последние несколько дней мне удалось зайти к ним на сайт только сегодня и я увидел там новость про то, что

 

Уважаемые посетители!

 

Сайт федеральной сети Компьютерных супермаркетов DNS уже неделю находится под массированной DDoS-атакой, что является причиной длительных перебоев в его работе.

 

Приносим извинения своим клиентам за доставленные неудобства. В настоящее время специалисты предпринимают ряд мер по предотвращению проблемы.

Вот вам клиент, господа антиДДоСеры, забирайте, да поскорее, а то в розницу один из самых привлекательных магазинов в городе (да и в городах) и без интернет каталога выбирать подарки на себе и близким на Новый Год не получается :(

 

А, вообще, всех этих ддосеров сажать надо, и надолго, и без удо, и подальше на север куда-нибудь. Наболело.

 

[Ivan_83]

Вот и компанию DNS эта беда не прошла стороной

У меня вроде без проблем http://www.dns-shop.ru/irk/ открывается.

 

 

А, вообще, всех этих ддосеров сажать надо, и надолго, и без удо, и подальше на север куда-нибудь. Наболело.

С дуба рухнули?

У нас оффлайновых злодеев хватает по самое не могу, от гопников на улицах до пилильщиков на верху.

[kostich]

оффтоп в разгаре... Кто-что знает про дос у яши 10.10.10?

один хостинг, клиента которого дидосили, тупо вписал в днс адреса яшки и др... инфой владею в полном объеме. падали все к кому они пытались клиента пристроить. бифит бы причесало вместе со всеми клиентами и сидели мы без какого либо банкинга. там даже одного без пяти минут tier1 умудрились подпричесать этой темой. в гигах не скажу... больше пока не видели. хрень эту дидосеры за очень мало денег организовали, описывать по понятным причинам не буду. мы как-то основной пик выдержали за АДЕКВАТНЫЕ деньги со стороны клиента.

 

ps. интересно шо будет делать бифит если им убьют все линки с бёрстом ради убивания линков с бёрстом?

Изменено 23 декабря, 2010 пользователем kostich

[kostich]

А, вообще, всех этих ддосеров сажать надо, и надолго, и без удо, и подальше на север куда-нибудь. Наболело.

их по другим статьям сажают. и меня, кстати, за несколько лет убедили, что не надо искать этих тварей и доставлять им проблем. регулярное пропалывание ведет к эволюционированию сорняков.

 

[bifit]

интересно шо будет делать бифит если им убьют все линки с бёрстом ради убивания линков с бёрстом?

"Глупец! Кто же может устоять против целого стада буйволов?!"

 

Kostich, если на нас польется даже половина того, что лилось в упоминаемой Вами DDoS-атаке 10.10.10 (где-то приводится оценка в 300Гбит/сек, где-то - в 100Гбит/сек) - БИФИТ в текущей конфигурации не сдюжит точно.

 

Но мы развиваемся - буржуйские IX'ы, расширение аплинков, новые железки с новым софтом...

 

И опять же, мы не чистим весь инет и не защищаем все сайты подряд, включая "партнёрки"...

 

У нас немного другая целевая аудитория...

Изменено 23 декабря, 2010 пользователем bifit

[kostich]

И опять же, мы не чистим весь инет и не защищаем все сайты подряд, включая "партнёрки"...

да ваще... тут некоторые уже сказанули на меня, что я рашинкиберкриминал в чистом виде. теперь следователю пытаются пояснить хоть что-то их слова подтверждающие. на самом деле грязь мы не протектим. а что там у клиента-клиента-клиента из абуз обычно сразу узнается. откроем вот скоро представительство в забугорье... да и лейбл российский мы сменили. на днях оно будет на ddosprotection.ru, а по услугам в РФ предоставлять будет ООО "ДДОС ЗАЩИТА"

Изменено 24 декабря, 2010 пользователем kostich

[Mikhail_N]

Здравствуйте! Я занимаюсь мониторингов инцидентов информационной безопасности и недавно мне поступило предложение от иностранного инвестора обдумать возможность построить центр очистки ДДоС траффика мощностью 40 Гбит\с (для начала) в Киеве, для работы с ДДоС траффиком с Украины. Сразу скажу, что имя конспиративное, так как предложение не от текущего работодателя.

 

Опыта особого у меня нет, по понимание вопроса в принципе должно быть (насколько я могу оценить).

 

Архитектура решения должна быть, по моим прикидкам такова:

Берем Сіsco 7600 серии (еще не определился с конкретной моделью) с платами с 10 Гигабитными портами. 4 порта на 4 коннекта (burstable схема как я почитал наиболее рациональна) к UA-IX, еще 4 к четырем наибольшим магистралам в NewTelco. Далее ставим 5 железок Radware (инвестор намекал на Arbor, но это железо в Украине официально не поставляется - я говорил с официальным поставщиков и местным офисом Сisco и они меня оба направила к московскому ритейлеру) 8412 (более рационально было бы 3S1 и потом cделать апгрейд с 40 до 60, благо платформа позволяет, но в 3S2 есть и IPS..), заворачиваем их назад на Сіsco откуда и форвардим назад нашим зарубежным клиентам (100 мбит на мир должно хватить в принципе). Выбора по ритейлерам еще не сделал, может быть кому будет интересен подобный заказ.

 

Просьба покритиковать, ну если кому интересно пообщаться более предметно, то пишите в ПМ, буду рад.