Адрес для входа в РФ: exler.wiki
У ЦБ РФ сносит крышу
10.10.2012 11:51
13269
Комментарии (78)
ЦБ РФ намерен обязать банки, предоставляющие клиентам удаленное обслуживание, получать для их идентификации сведения об IP- и МАС-адресах.
Проект указания ЦБ РФ о внесении изменений в Положение Банка России от 19 августа 2004 года N262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" опубликован сайте ЦБ РФ.
Согласно проекту документа, предполагается дополнить перечни сведений, получаемых в целях идентификации физических и юридических лиц, а также индивидуальных предпринимателей, сведениями об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых они осуществляют доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным клиентом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг. (Отсюда.)
Они что - с дуба рухнули? Какой-то начальничек услышал волшебные слова "IP-адрес" и "MAC-адрес", после чего выдал вот эту бредятину? А ничего что я захожу на онлайновые банкинги с нескольких десятков IP-адресов, которые к тому же постоянно меняются, и с нескольких десятков устройств с самыми разнообразными MAC-адресами?
Ну и, кроме того, что им даст знание MAC-адреса моего устройства? И как они узнают MAC-адрес моего устройства при моем удаленном доступе? Да никак не узнают. Его знает только мой провайдер.
Войдите, чтобы оставить комментарий.
Большего бреда не слышал. Источник новости такой компетентный. Кстати, такая же новость появилась на фонтанке ( http://www.fontanka.ru/2012/10/11/024/ ).
А так это весьма симптоматично, когда дружно хают непроверенную новость.
А так это весьма симптоматично, когда дружно хают непроверенную новость.
Алекс, логика в этом есть и она весьма реальная, но касается она в первую очередь системы Банк-клиент для юридических лиц:
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку
3) В небольших городах кол-во банков ограничено и различные предприятия имеют счета в одном и том же банке. Система может распознать, если доступ к разным счетам происходил с одинаковой пары MAC+IP. Это скорее всего говорит о мошенниках.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку
3) В небольших городах кол-во банков ограничено и различные предприятия имеют счета в одном и том же банке. Система может распознать, если доступ к разным счетам происходил с одинаковой пары MAC+IP. Это скорее всего говорит о мошенниках.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
realpushkin:
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
MAC как отпечатки пальцев - это в юмор. Во-первых, не все NIC имеют MAC (но при этом иметь назначенный набор IP), во-вторых, в системе может ботаться несколько NIC (и это не обязательно несколько сетевух), в-третьих, у некоторых NIC могут MAC генерироваться при старте адаптера. Расскажите теперь об отпечатках?
Не менее забавно будет послушать как вы будете себя вести на ноде кластера.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку.
Обычно так и происходит: бухгалтер видит, что в очередной раз в банке зависли поручения, и звонит своему операционисту. Я так понимаю, к "отмазкам" добавился MAC адрес.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
1) В случае поимки мошенников, совершавших кражи со счетов клиентов совпадение найденных у мошенников компов с MAC адресами, будет весомым доказательством в их виновности. Это как отпечатки пальцев, их можно стереть, как и изменить MAC адрес, но не каждый раз их будут менять.
MAC как отпечатки пальцев - это в юмор. Во-первых, не все NIC имеют MAC (но при этом иметь назначенный набор IP), во-вторых, в системе может ботаться несколько NIC (и это не обязательно несколько сетевух), в-третьих, у некоторых NIC могут MAC генерироваться при старте адаптера. Расскажите теперь об отпечатках?
Не менее забавно будет послушать как вы будете себя вести на ноде кластера.
2) Системы Банка-клиента для юр. лиц весьма статичны, и изменение хотя бы одного параметра, уже должны привести к пометке операционисту, более тщательнее проверить платеж. Если же, при стандартных платежах изменились два параметра, то думаю операционист обязан убедиться, путем звонка клиенту, он ли отправляет платежку.
Обычно так и происходит: бухгалтер видит, что в очередной раз в банке зависли поручения, и звонит своему операционисту. Я так понимаю, к "отмазкам" добавился MAC адрес.
Скажу так, по пунктам 2 и 3 у нас работает система и показала свою эффективность. А как получить MAC я писал наверху в комментах.
И можете привести число отказов реальным мошенникам?
Народ, а мы точно обсуждаем один и тот же документ? В том, что вижу я, говорится буквально следующее:
В целях идентификации клиента, установления и идентификации выгодоприобретателя кредитной организацией осуществляется _сбор_ сведений и документов, предусмотренных приложениями 1 - 3 к настоящему Положению.
Сведения о клиенте, выгодоприобретателе фиксируются в анкете (досье) клиента в соответствии с перечнем, приведенным в приложении 4 к настоящему Положению.<В приложении 4 идет ссылка на приложения 1-3>
Именно в эти приложения 1-3 и предлагается включать ip адрес. Идентификация, согласно закону, это всего лишь установление сведений о клиенте. Банк будет обязан помимо того что установить, как тебя зовут, установить, с какого адреса ты обращаешься через сеть. Письмо, кажется, действительно всего лишь о том, что банки теперь будут обязаны хранить логи доступа к их системам дистанционного обслуживания. Ни про какую _привязку_ к ip я там нигде не нашел.
В целях идентификации клиента, установления и идентификации выгодоприобретателя кредитной организацией осуществляется _сбор_ сведений и документов, предусмотренных приложениями 1 - 3 к настоящему Положению.
Сведения о клиенте, выгодоприобретателе фиксируются в анкете (досье) клиента в соответствии с перечнем, приведенным в приложении 4 к настоящему Положению.<В приложении 4 идет ссылка на приложения 1-3>
Именно в эти приложения 1-3 и предлагается включать ip адрес. Идентификация, согласно закону, это всего лишь установление сведений о клиенте. Банк будет обязан помимо того что установить, как тебя зовут, установить, с какого адреса ты обращаешься через сеть. Письмо, кажется, действительно всего лишь о том, что банки теперь будут обязаны хранить логи доступа к их системам дистанционного обслуживания. Ни про какую _привязку_ к ip я там нигде не нашел.
Redart98: Народ, а мы точно обсуждаем один и тот же документ?
Я наивно предполагаю, что ни хозяин блога, ни комментаторы (за редким исключением), не читали ни Положения ни изменений в Положение, которые вносятся. Тут простой принцип - не читал, но осуждаю.
Насчет MAC-адреса впервые слышу, а с системой привязки систем клиент-банк к айпишнику сталкивался. Банк - один из крупнейших. Защита адова: регистрируют IP, в комп - usb-токен, ну и на каждый сеанс смс- пароли. Меняется ай-пи - на день облом с платежами: пока документы туда-сюда прогуляются, пока техподдержка новый адрес зарегистрирует.
Про IP и MAC адреса кому-то рассказали, а на всякие PKI (см. для начала Инфраструктура открытых ключей в википедии), шифрацию по ГОСТу, криптоПРО, CA-servers, двухфакторные авторизации и других животных его видимо уже не хватило 😄
Это, видимо, родилось в мозгу технического гения, думающего, что электронная подпись - это надо бумажку отсканировать с подписью и в bmp-файлике с высоким разрешением прислать 😄
Надо ему еще рассказать, по-большому секрету, что как ip-адрес, так и mac-адрес сменить элементарно. Гуглить можно начинать с "сменить mac адрес средствами windows".
Это, видимо, родилось в мозгу технического гения, думающего, что электронная подпись - это надо бумажку отсканировать с подписью и в bmp-файлике с высоким разрешением прислать 😄
Надо ему еще рассказать, по-большому секрету, что как ip-адрес, так и mac-адрес сменить элементарно. Гуглить можно начинать с "сменить mac адрес средствами windows".
Владельцы делают договор на оутсорсинг своих 100 компаний и вуаля! Спокойно работают с 1-го ИП.
А как они узнают об этом? Договор оутсорсинга запросят? Дык его наклепать липовый можно легко.
Хэлкар, а как быть, если бухгалтер-оутсорсер обслуживает со своего домашнего компа десяток мелких компаний? Причём вполне официально?
Это сделано с тем, чтобы ловить тех, кто деньги через ДБО ворует. А воруют на миллиарды евро в год, причем каждый год обемы удваиваются. И этой инициатеиве ЦБ уже года три как. А лоббирует ее кстати не сам ЦБ, а те конторы, которых поимели.
Может они хотели это для ipv6 реализовать? 😄
Алекс, вы многого хотите от организации, которая до сих пор использует 3-х дюймовые дискеты (которые уже не купить) и аналоговые модемы на 9600. На проходной у них до сих пор висит объявление, запрещающее проносить внутрь пейджеры. Но врочем фиксация IP und MAC - это безобидная шутка. Когда они злые-шутки у них жестокие. То дырок в купюрах понаделают, чтобы банкоматы с вакуумными присосками их выдавать перестали, то размер и толщину купюр поменяют, то десятирублёвки бумажные отменят, чтобы кредиты через банкоматы погасить нельзя было, то введут требования противоречащие пожарной безопасности, то еще какую гадость придумают.
Вообще MAC-публичная информация.
Чтобы узнать чужой MAC вовсе не обязательно тырить чужой ноут или телефон, и даже "хакать" его не нужно. Можно легко узнать MAC-адреса всех компьютеров в одной сети, например в обычном публичном wi-fi, достаточно просто подключиться к ней. Или узнать MAC'и всех коллег, которые используют интернет банк со своих рабочих компов. Дальше подсмотрел через плечо пароль, и вперед, тырить бабки 😉
Ну а если пароль от интернет-банка украл троян, то получить вместе с ним и MAC ему ничего не мешает.
Так что безопсности для клиентов банка эта мера не добавляет.
На мой взгляд смысл один - при конфискации устройства можно сравнить его MAC с логами банка и таким образом получить ДОКАЗАТЕЛЬСТВА, что именно с использованием этого устройства переводились c "отмываемого" счета деньги.
Для такого использования не нужна никая привязка MAC к счету в банке через SMS, а только запись в логе банка.
Но сменить MAC в компьютере элементарно, так что расчет на лохов... И среди отмывателей их тоже много 😉
Чтобы узнать чужой MAC вовсе не обязательно тырить чужой ноут или телефон, и даже "хакать" его не нужно. Можно легко узнать MAC-адреса всех компьютеров в одной сети, например в обычном публичном wi-fi, достаточно просто подключиться к ней. Или узнать MAC'и всех коллег, которые используют интернет банк со своих рабочих компов. Дальше подсмотрел через плечо пароль, и вперед, тырить бабки 😉
Ну а если пароль от интернет-банка украл троян, то получить вместе с ним и MAC ему ничего не мешает.
Так что безопсности для клиентов банка эта мера не добавляет.
На мой взгляд смысл один - при конфискации устройства можно сравнить его MAC с логами банка и таким образом получить ДОКАЗАТЕЛЬСТВА, что именно с использованием этого устройства переводились c "отмываемого" счета деньги.
Для такого использования не нужна никая привязка MAC к счету в банке через SMS, а только запись в логе банка.
Но сменить MAC в компьютере элементарно, так что расчет на лохов... И среди отмывателей их тоже много 😉
Железно прошитые "электронные подписи" в формате FlashDrive или SD\MMC карточек могут повысись безопасность и идентификацию. Выдавать только в офисах банков. Но от физической кражи этой флешки, с последующим клонированием защита призрачная. Если только клиент вовремя успеет заморозить сертификат.
Смутно представляю вообще смысл затеи. Допустим, зловред А получает от зловреда Б бабло на счет, оформленный на мертвого пингвина Цэ, к которому А имеет доступ через посредников. Причем Б тоже делает перечисления через мертвых пингвинов. И пингвинов этих может быть целое стадо. Каким образом помогут ЦБ маки и ипы? Ну найдут они горку мертвых пингвинов, дальше что? Похоронят?
------------
Кстати, цитата в тему с Баша.
Смутно представляю вообще смысл затеи. Допустим, зловред А получает от зловреда Б бабло на счет, оформленный на мертвого пингвина Цэ, к которому А имеет доступ через посредников. Причем Б тоже делает перечисления через мертвых пингвинов. И пингвинов этих может быть целое стадо. Каким образом помогут ЦБ маки и ипы? Ну найдут они горку мертвых пингвинов, дальше что? Похоронят?
------------
Кстати, цитата в тему с Баша.
технари такие технари, полезли в какие-то технические дебри... это просто очередная панама, придуманная для попила наших с вами денежек. все. никакого практического смысла и применения эта фича не подразумевает.
modesto: это просто очередная панама, придуманная для попила наших с вами денежек. все. никакого практического смысла и применения эта фича не подразумевает.
Проект размещен на сайте ЦБ для публичной экспертизы «в целях выявления положений, способствующих созданию условий для проявления коррупции». Электронный адрес, куда сообщить о выявленной коррупционной составляющей, указан. Осталось дело за малым: грамотно изложить, в чем Вы видите коррупционную составляющую и направить обращение на указанные адрес. Сделайте этот шаг, если уверены в своих словах.
Школота, которая грозилась "вычислить по IP" подросла, и пошла работать в ЦБ? 😄
Если приказать банкам сообщать инфу куда надо и отсортировать её по времени доступа и мак адресу, то можно получать онлайн у кого сколько счетов и в каких банках. Ну, если вы не параноик и не меняете каждый раз IP, Mac компа, рутера, сотового (?) и т.п.
Morgen: Если приказать банкам сообщать инфу куда надо и отсортировать её по времени доступа и мак адресу, то можно получать онлайн у кого сколько счетов и в каких банках.
Потрясающе. А по ФИО эту информацию, конечно, узнать никак нельзя...
Страшно далеки они от словосочетания "динамический IP", и даже не подозревают что 90% обращений к ним идут именно с таких IP по причине что смарты и планшеты в основном с таких и выходят. Кстати, надо будет им сообщить что колесо, каменный топор и палку копалку уже тоже давно изобрели, а то ребята из ЦБ похоже и этого скорее всего не знают.
Олбанский Лефф: Страшно далеки они от словосочетания "динамический IP", и даже не подозревают что 90% обращений к ним идут именно с таких IP по причине что смарты и планшеты в основном с таких и выходят. Кстати, надо будет им сообщить что колесо, каменный топор и палку копалку уже тоже давно изобрели, а то ребята из ЦБ похоже и этого скорее всего не знают.
слова "вирутальный" они тоже не знают cудя по всему
Конец года, пару лярдов неосвоено. Ща объявят конкурс, и далее по схеме. Поди докажи сколько тот скриптик стоит.
Если верить календарю, то сегодня Всемирный день психического здоровья.
Вот я сегодня весь день, читая новости отмечаю этот праздник:
сначала это - http://www.rbcdaily.ru/2012/10/09/media/562949984891633
потом это - http://lenta.ru/news/2012/10/10/limits/
Теперь вот еще и ЦБ РФ отметился.
Вот я сегодня весь день, читая новости отмечаю этот праздник:
сначала это - http://www.rbcdaily.ru/2012/10/09/media/562949984891633
потом это - http://lenta.ru/news/2012/10/10/limits/
Теперь вот еще и ЦБ РФ отметился.
да ничего не даст.
но имитация бурной деятельности удается на славу. ну и попилить трошки удастся.
но имитация бурной деятельности удается на славу. ну и попилить трошки удастся.
Насколько я знаю, во всяких многопользовательских онлайн-игрушках в том числе и броузерных, мультиаккаунты ловят в основном по мак-адресам. Так что техническая возможность есть.
А искать смысл в чиновничьем бреде, это дело бесполезное....
А искать смысл в чиновничьем бреде, это дело бесполезное....
Почему "сносит"? Глагол несовершенного вида тут неуместен, ИМХО.
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
scg_msk:
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Я думаю, что такую сложную информацию он уже не переварит.
scg_msk:
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Шэкарно! Надо этому кретину-начальнику рассказать еще и о динамических айпишниках. Пусть покумекает.
Ну, откровенно говоря, логи на стороне прова о том кому какой IP был выделен в какое время хранятся, это однозначно. Так что с этим проблем быть не должно.
А что вы хотите? Любая чиновничья шишка в России подбирает себе подчиненных по своему же или ниже уровню интеллекта и компетенции. Учитывая, что высшее руководство подбирается по степени владению и шелковистости языка, то логично предположить, что и их подчиненные, которые подобные цедульки выпускают, будут совсем не компетентны в вопросах, на которые их посадили.
А вы, Алекс, еще на ПейПэл обижались. Наши-то покруче будут! // и свирепо расхохотался
===
Эта... Может, у них был семинар по обмену опытом, и они там пили неделю? Ну, тогда скоро жди новостей от ПейПэла.
===
Эта... Может, у них был семинар по обмену опытом, и они там пили неделю? Ну, тогда скоро жди новостей от ПейПэла.
а на каком троллейбусе я в офис банка приеду - это тоже докладывать? 😄
arrow: а на каком троллейбусе я в офис банка приеду - это тоже докладывать?
Обязательно. Большой брат следит за тобой 😄
Что-то я уже ничего не понимаю. Человек, осуществляющий операции со своим банковским счетом, уже идетифицирован по паспорту (или какие еще там документы требуются для открытия счета). Что им даст IP?
Алекс, там же, на сайте ЦБ , под этим пресловутым проектом написано:
"Экспертные заключения направлять в Департамент финансового мониторинга и валютного контроля на E-mail: ksa3@cbr.ru с 9 по 16 октября 2012 года."
Вот и выскажетесь, не дайте злу свершиться и исполните свой гражданский долг 😄
Процесс общения можно осветить в блоге 😉
"Экспертные заключения направлять в Департамент финансового мониторинга и валютного контроля на E-mail: ksa3@cbr.ru с 9 по 16 октября 2012 года."
Вот и выскажетесь, не дайте злу свершиться и исполните свой гражданский долг 😄
Процесс общения можно осветить в блоге 😉
Если я террорист, то что мне мешает зайти через анонимайзер и поставить МАС на своём роутере методом "от балды"?
А уж если я террорист и НЕ ХОЧУ (!!! это важно!) засветиться, то я это сделаю. В чём выгода? А вот люди которые перечисляют деньги на РосПил скорее всего просто честные и наивные люди, которые шифроваться не будут, тут-то и наступит всеобщее счатье.
А уж если я террорист и НЕ ХОЧУ (!!! это важно!) засветиться, то я это сделаю. В чём выгода? А вот люди которые перечисляют деньги на РосПил скорее всего просто честные и наивные люди, которые шифроваться не будут, тут-то и наступит всеобщее счатье.
ну обяжут провайдера МАС-адрес сообщать, делов-то. взбесившийся принтер работает без устали...
modesto: ну обяжут провайдера МАС-адрес сообщать, делов-то. взбесившийся принтер работает без устали...
Каким образом БАНК может обязать моего провайдера (например, испанского) выдавать мой MAC-адрес?
Алекс созрел, выдайте ему пулемет
Demetrio:
Алекс созрел, выдайте ему пулемет
Алекс созрел, выдайте ему пулемет
Ага, и пострадают невинные жители Калейи. 😉
ОООО!!! Алекс, я 6 лет работаю в сфере банковского ИТ и могу сказать что это не самое страшное что они там выдумали. Наше ЦБ это что то с чем то. Просто они как то не так заметны были. Но когда приходит в банк официальное письмо, с путанным объяснением того что через 2 месяца в корне меняется схема бух. учета по кредитам например, тут дыбом вставали волосы сначала у самого банка, а потому у вендора который им АБС внедрял. Слава Богу это пока проект. Может пронесет 😉 Ну и кстати судя по всему они хотят логи вести кто с какого IP адреса заходил. И MAC адреса тоже хотят видеть. Бред конечно но вполне выполнимо по моему, чисто технически. Не вижу почему нельзя получить MAC адрес компа с которого зашли в инет. банк.
Константин Игоревич: Ну и кстати судя по всему они хотят логи вести кто с какого IP адреса заходил.
Э... Так эти логи ведутся по определению.
Константин Игоревич: И MAC адреса тоже хотят видеть. Бред конечно но вполне выполнимо по моему, чисто технически.
Э... Так эти логи ведутся по определению.
Константин Игоревич: И MAC адреса тоже хотят видеть. Бред конечно но вполне выполнимо по моему, чисто технически.
По-моему, нет. Вот захожу я на ваш сайт - получите мой MAC-адрес? Не получите.
Кроме того, я в роутере могу выставить любой MAC-адрес. И что это им даст? 😉
