?

Log in

No account? Create an account
ЖЖ Украина

Самый сок!

всё то интересное в сети, что попало в мои сети


Предыдущий пост поделиться Следующий пост
Профессор

Центробанк готов нанести удар по интернет-банкингу

Российские пользователи интернет-банкинга как-то совсем распустились. Заходят, понимаешь, в аккаунт из разных мест, с разных компьютеров и через разные точки доступа — не уследишь! Пора этот бардак прикрыть, решил Центробанк и подготовил проект указания к положению об идентификации банковских клиентов, уникального даже для наших чиновников.

Если указание утвердят (а сомневаться в этом сложно), то каждое физическое лицо и каждая организация должны будут заранее — при заполнении анкеты на открытие счета в банке — указать, с какого IP-адреса они собираются заходить в интернет-банк. Кроме того, требуется сообщить и MAC-адрес каждого устройства, с которого будет происходить работа со счетом.

Если вы немного разбираетесь в сетевых технологиях, то наверняка решили, что я сошел с ума или что-то напутал. Вовсе нет, все ровно так: необходимо сообщить банку «9. Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых физическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным физическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг». Для организаций — то же самое.

Специалисты, пропустите пару абзацев и придите в себя, а я пока расскажу, в чем тут дело, нормальным людям, не обремененным лишними знаниями о сетях (тем более что объяснять я буду «на пальцах», не совсем правильно, но зато доступно).

Каждый компьютер в момент подключения к Интернету получает свой уникальный «адрес». Это IP-адрес, с помощью которого компьютер технически «общается» с сайтами и прочими интернет-сервисами. IP-адреса назначает интернет-провайдер, к которому вы подключены. Они бывают постоянными (всегда один и тот же адрес у одного компьютера или у одной домашней/корпоративной сети) либо динамическими, то есть регулярно меняющимися. Сегодня у вашего компьютера один адрес, через неделю — другой, потом — третий. А ваш «вчерашний» адрес сегодня может быть чьим-то еще. Собственно, ни для вас, ни для вашего компьютера никаких проблем это не создает, все это — сугубо технические заморочки, необходимые для работы в Интернете.

Очевидно, что если вы пользуетесь не стационарным компьютером, а ноутбуком, планшетом или смартфоном, то ваш IP-адрес зависит от того, где вы сейчас находитесь: дома он один, в кафе — другой, на работе — третий, в метро — четвертый и т. д.

MAC-адрес — это «автограф» сетевой карты в вашем компьютере, то есть той микросхемы, с помощью которой компьютер (ноутбук, смартфон, планшет, холодильник, часы, что угодно) общается с другими устройствами, не обязательно через Интернет. Этот адрес «зашивается» в устройство при изготовлении, но при большом желании его можно сменить.

Оба адреса — информация не секретная, при соответствующих полномочиях и навыках их можно узнать. При этом в каждый конкретный момент сочетание двух этих адресов однозначно идентифицирует устройство, подключенное к Интернету: IP-адрес рассказывает, где примерно географически находится компьютер, а MAC-адрес — какой именно компьютер в этом месте подключен.

Именно ради однозначной идентификации компьютера пользователя Центробанк и хочет заставить всех клиентов интернет-банков заранее оставить свои электронные «отпечатки пальцев», то есть IP- и MAC-адреса, в банке. Мол, когда клиент приходит в банк лично, он предъявляет паспорт, в котором однозначно указано, кто это. Все действия человека в этом случае можно проконтролировать — например, если он перевел деньги террористам или Навальному. А если клиент заходит удаленно, через Интернет, то однозначно сказать, что он — это на самом деле он, нельзя. Логины-пароли — понятно, но это слишком слабая защита. «Финансирующий террористов» пользователь всегда может сказать, что злые хакеры украли его данные, а он — ни сном, ни духом. Зато если банковский сайт «видит», что к интернет-банку подключается конкретный компьютер с таким-то MAC-адресом, находящийся в заранее известном месте (квартире или офисе), с таким-то IP-адресом, то клиент в случае чего уже не отвертится.

Остается, конечно, вопрос, насколько обязательным станет использование именно заявленных адресов для доступа к интернет-банку. Теоретически можно предположить, что банк возьмет эти данные и забудет о них. Но в реальности это маловероятно: банк должен иметь возможность в любой момент отчитаться перед ЦБ в том, что он предоставляет доступ в интернет-аккаунт только идентифицированным клиентам. Иначе вся эта история полностью теряет смысл. Поэтому, скорее всего, банковский сервер будет пропускать запросы к интернет-банку только от пар адресов IP/MAC, входящих в белый список, то есть однозначно принадлежащих клиентам.

Вроде бы все логично. Более того, с точки зрения полицейского государства все правильно: каждый постоянно должен быть «под колпаком». Но с точки зрения обычного пользователя такой подход резко снижает ценность интернет-банкинга, ведь на клиента ложится несколько дополнительных ограничений.

Во-первых, придется купить статический IP-адрес. Это отдельная услуга у провайдеров, которая предоставляется по требованию и стоит неких денег — порядка сотен или пары тысяч рублей в год. Причем для мобильного интернет-устройства (ноутбука или смартфона) понадобится отдельный адрес в сетях 3G или 4G.

Во-вторых, при покупке очередного домашнего роутера, компьютера, смартфона, планшета или ноутбука (если вы собираетесь через него заходить в интернет-банк) необходимо лично обращаться в банк, чтобы дополнить свою анкету новым MAC-адресом.

В-третьих, стоит забыть о пользовании интернет-банком через публичные Wi-Fi-точки в кафе, аэропортах, метро, торговых центрах, ведь каждая из них имеет собственный IP-адрес.

В-четвертых, при поездке за границу никакого доступа к интернет-банку не будет. Совсем. Впрочем, если очень надо, можно настойчиво поинтересоваться в гостинице или у бизнес-партнера, есть ли у них статический IP-адрес, и, если есть, заранее внести его в свою банковскую анкету. Могу представить реакцию менеджера гостиницы на такое обращение.

В-пятых, воспользоваться компьютером друга, чтобы посмотреть состояние своего счета или провести операцию через веб-интерфейс, не выйдет. MAC-адрес не пройдет проверку.

В общем, идеальный частный пользователь интернет-банка с точки зрения ЦБ заходит на свой аккаунт строго из дома и строго с одного компьютера. В крайнем случае, из ограниченного числа заранее известных мест и с заранее известных компьютеров. Шаг в сторону от этого правила означает, что пользователь задумал что-то плохое — финансирование терроризма или отмывание преступно нажитых доходов.

Вполне возможно, что для кого-то это не проблема. Многие люди вообще имеют только один компьютер, установленный дома. Им по большому счету новый порядок безразличен, разве что придется заплатить за IP-адрес и лишний раз сходить в банк, чтобы сдать свои «электронные отпечатки пальцев».

Для других новые ограничения создадут серьезные неудобства. Я, скажем, постоянно находясь в паре тысяч километров от своего банка, замучаюсь летать в Москву, чтобы менять данные для своих устройств. И все равно сохранится опасность внезапно оказаться без доступа к рабочим и личным счетам — мало ли какой сбой возникнет у банка, провайдера или в моем компьютере. А кто-то привык работать со счетом, подключаясь к Интернету в ресторане или кофейне (при принятии определенных мер это достаточно безопасно).

Наконец, такая привязка интернет-банка к конкретному месту и конкретным вещам ради идентификации пользователя в наше динамичное время просто унизительна. Это прямое и очевидное ограничение свободы, в том числе финансовой, и оскорбление чувств современного человека. Хотя кого теперь этим удивишь?

источник


promo ibigdan декабрь 3, 2007 00:08
Buy for 1 500 tokens
Если вы хотите сделать хорошую рекламу вашему продукту или услуге - вы зашли по адресу. Блог "Самый сок!" читают во всём мире. Среднее количество просмотров на каждый пост - 50 тысяч, среднее количество просмотров блога в месяц - 4-5 миллионов. Изучить аудиторию блога в разных разрезах можно в…

hjarlat 12 октября, 2012
Буду банален - пора валить. Актуален вопрос - куда?

ruho 12 октября, 2012
Юго-восточная Азия, так их столько, что одним больше, одним меньше, не очень то и заметно.

(Удалённый комментарий)
kolodin 12 октября, 2012
Мне не жалко.
Мой IP 192.168.0.3

hjarlat 12 октября, 2012
Да, но после маскарадинга - для банка это будет адрес который присвоил провайдер вашему маршрутизатору.

(Удалённый комментарий)
fomostm 12 октября, 2012
смею вас уверить что видно.

П.С. Но такой бред придумать могут только идиоты, а если у меня динамический адрес?

(Удалённый комментарий)
dr_sartorius 12 октября, 2012
А почему бы сразу не указывать весь возможный диапазон адресов? Я понимаю, что метод идиотский. Но каков закон... :))

elmm 12 октября, 2012
ага, через запятую, по одной штуки, запалняя акету от руки :)

ruho 12 октября, 2012
Бред бредом, но такая уж она власть.

state_gov 12 октября, 2012
На самом деле MAС адрес можно увидеть в интернете если протокол IPv6. а лет через 5 точно будет он.

tetanizer 12 октября, 2012
Да ради бога.
1.1.1.1 - 255.255.255.255

hjarlat 12 октября, 2012
Вот помню я сталкивался с таким дурным требованием банка лет 5 тому назад. Они требовали только один адрес IP.

skytruck 12 октября, 2012
Полицейский Рейх! И Рейхсканцлер Ботокс Стерхович Краббе во главе...

state_gov 12 октября, 2012
главупырь Путин негодуэ!

hillguard 12 октября, 2012
Мне интересно, каким именно образом банк будет определять с правильного ли адреса зашел конкретный пользователь? Или каким образом будут отсекаться не указанные в анкетных данных адреса?

male_banshee 12 октября, 2012
Да... Это серьезный удар по интернет-банкингу.
Интересно, а как к этому относятся управляющие банками России? Они же только начали двигать сами идеи интернет-банкинга в массы, и используя эту услугу в качестве определенного преимущества в борьбе за клиентов.

floamaldita 12 октября, 2012
ЦБ изящно завалил им бизнес ;)))

parsultang 12 октября, 2012
Проверять MAC-адрес устройства за пределами его сети? Спасибо поржал. Не у всех по умолчанию включены скрипты в браузере.

Denis Terebiy 12 октября, 2012
А если вспомнить про то, что MAC можно переопределить ручками...

Denis Terebiy 12 октября, 2012
Недодуманность закона очевидна.

Обходные пути (для шарящих) элементарны:
Покупаем домой роутер с поддержкой VPN (для параноиков - арендуем виртуалку с реальным IP в любом доступном облаке). Настраиваем к нему VPN с использованием его в качестве основного шлюза ("терминалка" на домашнем компе как вариант).

"Где смысл" в проекте закона?

Ну, способов скомуниздить учетные данные для входа к "интернет-банк" уже дофига и их число будет расти. Можно предположить, что такое требование должно сократить объёмы краж денег со счетов за счет дополнительной линии защиты (МАС - это отдельная хохма, моему здравому смыслу неподвластная).

И тут даже просматривается здравый смысл, хотя логичнее было бы разделить полномочия типа "просматривать информацию по счету можно откуда угодно, а выводить деньги - только с предопределенных IP адресов". Нужна мобильность для всех задач - смотри пункт первый с собственным VPN и/или терминалкой.

megawiz 12 октября, 2012
Да начать нужно с того что самый верный путь узнать логин и пароль для злоумышленника это вломиться на комп пользователя и подсмотреть. Потом с этого же компа и зайти. При фишинге адреса клиента тоже очевидны. Так что идея с самого начала бессмысленная. Узнать адреса и подделать их проще чем узнать логин и пароль.
В наших банках авторизация игрушечная. А вот в HSBC недурно сделано.

honeywhale 12 октября, 2012
Можно много говорить про эту "новость", но так как откаментившиеся тут читатели, как видно, никуда кроме этого блога не ходят, то подскажу: к примеру, в блоге Экслера с позавчерашнего утра эта тема активно обсуждается, причем далеко не глупыми ребятами. Почитайте и успокойтесь. Кричать "Они все ублюдки, буду хранить бабло в кубышке" легко и отдает школотой.
Удачи.

(Удалённый комментарий)
(Удалённый комментарий)
vred888888 12 октября, 2012
Какой билять несусветный бред.....

zebroff 12 октября, 2012
Так, куда слать деньги террористам, чтобы они разнесли эту шарашкину кантору? :)

deryni_a 12 октября, 2012
>> Финансирующий террористов» пользователь всегда может сказать, что злые хакеры украли его данные, а он — ни сном, ни духом
Бред конечно. Когда получаешь ЭЦП, заключаешь договор о том, что она фактически то-же самое, что обычная подпись и ты за неё точно также отвечаешь, как если бы подписался под документом.