Деньги

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 27 мар 2018, 05:27

Три дня было таких, что "откисать" приходится.
Пишу. Скоро будет
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
Дани
Пользователь
Сообщения: 924
Зарегистрирован: 10 мар 2017, 12:46

Деньги

Сообщение Дани » 27 мар 2018, 20:14

Тоже жду. :)
Если ты очень ждёшь своего друга, не принимай стук своего сердца за топот копыт его коня (китайская поговорка)

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 02:06

Ну что ж, продолжим. Извиняюсь за задержку.
Когда установлена система корреспондентских отношений любого из описанных мной типов и открыты соответствующие корсчета, встает вопрос о способах уведомления Банка плательщика в Банк получателя о необходимости зачислить деньги на счет Клиента-получателя платежа. Таких способов несколько и почти все они были в ходе нашего диспута перечислены: 1) почтой; 2) телеграфом; 3) электронно. Каждому из этих способов соответствуют свои форматы передачи информации о платеже. Заполнение этих форматов - самое простое в процессе передачи.
Главная и сложнейшая проблема – подтверждение на стороне получателя двух моментов: 1) достоверности отправителя и 2) достоверности платежа в условиях массовости платежей. Во всех трех способах передачи механизмы подтверждения достоверности имеются. Не буду останавливаться на первых двух, т.к. в настоящее время их применение практически свелось к нулю вплоть до утраты технологии (уходят владевшие ей люди, в учебных заведениях учить этому давно перестали). Единственное, что стоит отметить – почтовые уведомления наиболее уязвимы – их трудно (именно в условиях массовости платежей) защищать от криминального вмешательства (достаточно вспомнить про массовые многомиллиардные хищения через т.н. «чеченские авизо», а там были не только чеченские) и от технических ошибок. С телеграфом проще, но тоже всякое бывало.
Защита электронных платежных сообщений во всем мире строится с одновременным применением двух механизмов:
- шифрование, позволяющее скрыть информацию о платеже от «любопытных»;
- электронная цифровая подпись (ЭЦП), позволяющая на стороне отправителя авторизовать платежное сообщение, а на стороне получателя однозначно аутентифицировать отправителя (подтвердить достоверность отправителя) и удостовериться в неизменности сообщения с момента его подписания ЭЦП (подтвердить достоверность платежа).
Помимо этого могут применяться и применяются дополнительные механизмы защиты каналов передачи данных с платежными сообщениями.
Пока речь идет о платежных системах, состоящих из 2-х или чуть больше банков, или о внутрибанковских ПС банков с разветвленной филиальной структурой – все и здесь довольно просто, как и писала Кострома (почти просто).
Когда же имеем дело с разветвленными ПС, включающими в себя сотни/тысячи банков (филиалов), тем более, если сам оператор ПС (держатель множества реальных корсчетов) имеет распределенную структуру, все существенно усложняется.
Так, и у нас, и за рубежом, генерация ключей шифрования и ключей ЭЦП системно значимых платежных систем требует государственных и/или международных сертификации и лицензирования.
Создание, эксплуатация и сопровождение пользователей сертифицированных и лицензированных ключевых систем – весьма не дешевое удовольствие.
Здесь будет уместным, в дополнение к терминам «платежная система» («ПС»), «оператор платежной системы» («оператор ПС»), ввести понятия и термины «система передачи платежных сообщений» («СППС») и «оператор системы передачи платежных сообщений» («оператор СППС»).
Любая «СППС» включает в себя (в самых общих чертах):
- совокупность форматов передачи данных о платежах и форматов передачи вспомогательных, технологических сообщений (в т.ч. - сообщения с подтверждениями о получении платежных сообщений и о результатах их обработки);
- совокупность правил работы с форматами передачи данных;
- правила (регламенты) работы с системами шифрования и авторизации/аутентификации (ЭЦП) и их применения;
- правила (регламенты) использования средств и каналов передачи данных (телекоммуникации);
- «соглашение о доверии» (как правило – в форме публичного договора оператора СППС с платежной системой/системами и/или банками – клиентами платежной системы/систем);
- правила (регламенты) разбора и урегулирования конфликтных ситуаций.
Продолжение следует.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 02:18

Как правило, каждый оператор ПС (не только у нас, но и в мире) является и оператором СППС внутри своей системы и использует свою СППС внутри своей ПС как основную или резервную.
Но, в условиях современных межгосударственных экономических и финансовых отношений, плотности межгосударственных денежных переводов и прочих финансовых сообщений оказалась востребована надсистемная (с точки зрения совокупности мировых ПС) система передачи платежных сообщений, которая и воплотилась в образе СВИФТ.
Кроме платежных сообщений, СВИФТ предусматривает и передачу сообщений о иных финансовых операциях – биржевых торгах, операциях с ценными бумагами и т.п.
По сути, СВИФТ, в части передачи сообщений о платежах, ничем не отличается от любых других СППС. Более того, по мере развития СВИФТ, многие СППС мира на национальном уровне перешли либо к СВИФТ-подобному формату сообщений о платежах (в т.ч. - ЦБ РФ), либо просто копируют форматы СВИФТ.
Получая со всего мира сообщения о платежах из банков-отправителей, СВИФТ проверяет достоверность отправителя и достоверность платежа, технологическую правильность заполнения формата сообщения, группирует эти сообщения по банкам-получателям, подписывает группы сообщений своей ЭЦП, шифрует своими ключами шифрования, которые признаются всеми получателями в соответствии с «соглашением о доверии», принятом в СВИФТ. С учетом этого называть СВИФТ «просто международный банк-клиент, которому 100 лет в обед» - это очень большое упрощение с т.з. технологии и серьезное оскорбление с т.з. масштабов. Кстати, не 100, а всего то 45 (по российской классификации – ягодка опять!), а современной реализации в части форматов, программно-аппаратного обеспечения, телекоммуникационных решений – не более 20. Так что, некачественно Кострома к СВИФТу относится, ой не качественно!
Однако, если за сообщением о платеже не стоят корреспондентские отношения (или цепочка корреспондентских отношений) между банком-отправителем и банком-получателем, то хоть зашлись те сообщения, реального платежа не будет.
Итого: Самое главное свойство СВИФТ - эта система реализует в мире принцип «одного окна» для передачи платежных/финансовых сообщений, позволяя исключить немалые издержки платежных систем мира на создание, эксплуатацию и поддержку СППС по принципу «каждый с каждым». Однако сама по себе СВИФТ не является платежной системой, т.к. не устанавливает ни с кем корреспондентских отношений и не открывает никому корсчетов. В этом плане угроза «отключить СВИФТ», в случае реализации, сама по себе никак не влечет за собой прекращение функционирования платежных систем и утрату возможности осуществления расчетов, как совершенно верно говорили наши форумчане. Вот только до телеграфа и голубей для этого дело никак не дойдет.
Но об этом чуть позже.
Немного осталось. И есть очень интересная фактура, про которую «российские СМИ» не спешат, как всегда, рассказать своим читателям/зрителям. Это я интриганю.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 18:45

ООО! Ждём!

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 18:57

Как я уже писал, практически все национальные платежные системы имеют и свои системы передачи платежных сообщений. Эти СППС либо работают в качестве основных на внутригосударственном уровне, либо являются резервными при использовании СВИФТ в качестве основного транспорта платежей.
Плюс к этому:
Центральные/Национальные/Государственные банки стран, имеющих устойчивые экономические отношения и соответствующие им платежные потоки, 100% устанавливают друг с другом парные корреспондентские отношения и открывают друг другу корсчета. Через эти корсчета платежные системы разных стран могут без особых проблем быть интегрированы друг в друга и обеспечить трансграничные платежи субъектов своих экономик. Как правило, параллельно с открытием корсчетов создается и локальная СППС, служащая для передачи данных о платежах между корсчетами.
В «мирное» время эти межгосударственные ПС функционируют не так интенсивно, т.к. с трансграничными переводами прекрасно, с минимальными издержками для банков и клиентов, справляются коммерческие ПС, используя транспортный сервис СВИФТ.
Но в случае саботажа со стороны любой коммерческой международной СППС, в т.ч. и со стороны СВИФТ, госбанки заинтересованных в сохранении экономических отношений стран легко и быстро, на базе уже существующих взаимных ПС и СППС обеспечат расчеты не сильно напрягая своих субъектов экономики. При этом телеграф и голуби не понадобятся.
Именно поэтому «отключение» СВИФТ без разрушения межгосударственных экономических связей, в т.ч. без блокирования международных коммерческих и государственных корреспондентских отношений (а это уже война в самом прямом смысле) – пустое сотрясание воздуха, а тема СВИФТа – больше из разговорного жанра туповатых ыкспердов, а не практических действий противоборствующих сторон.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 20:26

А диверсии, замаскированные под действия хакеров возможны ли? Например - та же ЭЦП по идее поддается перехвату вполне себе легко

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 20:39

А теперь немного истории и обещанная «вишенка».
Основан СВИФТ в 1973 году в Брюсселе, юрисдикция – Бельгия.
СССР вступил в СВИФТ в декабре 1989 года, РФ унаследовала членство.
Высшим органом СВИФТ является Генеральная ассамблея представителей банков-членов. Согласно Уставу организации, решения принимаются большинством голосов из расчета один голос – одна акция, акции распределяются исходя из трафика пересылаемых сообщений.
Устав СВИФТ предписывает для стран-участников создание объединяющей всех пользователей системы Национальной группы членов СВИФТ и Группы пользователей СВИФТ. В России интересы обеих групп и право действия от их голоса принадлежит Российской Национальной Ассоциации СВИФТ (РОССВИФТ).
РОССВИФТ является одним из самых многочисленных, сплоченных и активных национальных объединений акционеров и пользователей СВИФТ в мире. Наша страна уверенно удерживает второе место в мире по количеству пользователей СВИФТ. В глобальном рейтинге стран, отправляющих наибольшее количество сообщений СВИФТ (первая двадцатка), Россия занимает 18 место. (25 лет СВИФТ в России)
В 2015 году (еще раз и помедленнее: в 2015 году! Уже Крымнаш!) Россия получила место в Совете директоров СВИФТ.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
Кострома
Пользователь
Сообщения: 721
Зарегистрирован: 02 дек 2014, 22:29

Деньги

Сообщение Кострома » 28 мар 2018, 20:54

Значимость СВИФТА в одном - он есть у всех участников рынка. Ладно, почти у всех. Кто не жадный. И пока он есть, он удобен, условно недорог, не требует сумасшедших вложений, с должным уровнем безопасности - зачем рожать что-то свое? Берем и пользуемся.

Когда в начале 90-х была всего одна система расчётов в России - через РКЦ, и платежи ходили неделями, всего 2 месяца работы шустрых мальчиков из одного крупного банка - беготня по всей стране и предложение открыть всем лоро счета - вуаля, платежи стали ходить день в день. Этот крупный банк (увы, почил на сегодня) взял на себя функцию крупнейшего расчётного центра страны. Фактически заменил собой систему РКЦ. На обычном своем клиент-банке. Думаю, если бы мальчиков посылали в международные командировки, тот клиент-банк смог бы составить конкуренцию СВИФТу. Цель такую не ставили)). Зачем? Работает же... нормально.

Не нужно усложнять и восторженно выдыхать на "достижения западной цивилизации". Ничего необычного. Просто грамотный маркетинг. Ну и подсадили всех, конечно)) теперь чтобы слезть - это ж поработать нужно. В условиях, когда кругом враги, это безусловно сложновато.

Про то, что мы в СД Свифта не знала. Прикольно!

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 21:26

coins писал(а):Источник цитаты А диверсии, замаскированные под действия хакеров возможны ли? Например - та же ЭЦП по идее поддается перехвату вполне себе легко

Откуда инфа о легкости перехвата ЭЦП? Я такой не располагаю. Алгоритмы ЭЦП сертифицированы у них АНБ, у нас - ФСБ. Про компрометацию этих алгоритмов информацией не располагаю. Были бы прецеденты - стопудово знал бы.
Другое дело - хакерские атаки на банки путем вирусного внедрения на ПЭВМ, с которых осуществляется подключение к СППС.
При дистанционной активизации вирусная программа не перехватывает ключи шифрования и/или ЭЦП, а изящно подсовывает СППСному АРМу "левое" платежное сообщение. Левак подписывается легальной ЭЦП банка и шифруется с легальными ключами шифрования, интегрированными в АРМ, и улетает со свистом до хакерского получателя. И СППС и ПС расценивает такое платежное сообщение как легальное, т.к. и с ЭЦП и с шифровкой все нормально.
Таким образом, речь идет не о перехвате ЭЦП, а о перехвате управления СППСным АРМом лоховского банка, в котором имеются серьезные проблемы с обеспечением информационной безопасности, в т.ч. - с антивирусной защитой. Последний известный мне такой случай в РФ был в 2016 или 2015 году. При всей изящности, продуманности и масштабности хакерской операции, часть украденного удалось перехватить "в полете" и жуликов в конечном итоге сластали.
Банки после этого провели серьезные ревизии и реорганизации своих систем информационной безопасности, лохов стало существенно меньше, что показали результаты последних атак на банки вирусами-шифровальщиками в 2017-18 гг. Пострадавших - минимум, реальный ущерб почти нулевой.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 21:45

Кострома, Вы, вероятно, говорите о Тверьуниверсалбанке? Они были пионерами в электронном межбанке и на самом деле в начале 90-х сделали революцию в расчетах. К ним почти сразу присоединился новосибирский Сибирский торговый банк (СТБ), на базе которого в скором времени была создана "Золотая Корона".
А платежная система Тверьуниверсалбанка в начале 2000-х не выдержала конкуренции с платежной системой ЦБ, она для банков просто потеряла смысл.
И кстати, технология "Банк-Клиент" и технология электронного межбанка разветвленных ПС и СППС - несколько разные вещи, при всём кажущемся сходстве формы и способа передачи платежных сообщений.

ПС: я давно понял, что Вы "в теме" :drinks:
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 21:56

Я про ЭЦП со стороны хакеров знаю, но опять же = давно. И разумеется не про СВИФТ а про банк-клиент.
Ответ собственно в вашем сообщении уже есть.

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 21:58

coins писал(а):Я про ЭЦП со стороны хакеров знаю, но опять же = давно. И разумеется не про СВИФТ а про банк-клиент.
Ответ собственно в вашем сообщении уже есть.

В том то и дело, что описанное мной хищение к банк-клиенту никакого отношения не имеет.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 22:01

ПС: В банк-клиенте используются другие технологии хищения. Но тоже через вирусы. И тоже без перехвата ЭЦП.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 22:05

Ну - на начальном этапе внедрялся вирус, который собственно и тырил логин - пароль и эцп. Сначала этого было достаточно. Потом система усложнялась - например должны был быть определенный айпи. Но - и эта защита обходилась "автоплатежом" - кажется так. Как раз - когда пользователь видит одного получателя, а банк - другого. Но в итоге сейчас почти никто уж и не использует вроде ЭЦП то? Я так думал, потому что как раз особого смысла в нем нет. Имея доступ - можно этот файл скопировать себе и всё.

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 22:41

coins писал(а):Источник цитаты внедрялся вирус, который собственно и тырил логин - пароль и эцп.

Саш, ты правильно отразил суть одного из способов хищения через банк-клиент: подмена реквизитов получателя.
Но в большинстве случаев для этого не надо тырить то, что ты называешь "эцп". Коннект с банком производится с устройства клиента банка, но программой "банк-клиент" в фоновом режиме управляет вирусная программа, либо дистанционно управляемая хакером, либо работающая по заданному алгоритму подмены реквизитов получателя.
Многоуровневая идентификация клиента в банках используется давно, в т.ч. с использованием ip- и mac-адресов устройства клиента. Так что тыренье паролей и "эцп" хакера к успеху не приведут.
А по ЭЦП надо определяться в терминах.
Здесь надо выделять:
- объект защиты (файл или определенная совокупность машинного кода);
- секретный ключ ЭЦП, имеющийся только у владельца ключа и объектов защиты;
- публичный ключ ЭЦП, имеющийся "у всех";
- собственно ЭЦП - цифровая последовательность, сформированная в результате обработки объекта защиты с применением секретного ключа ЭЦП.
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 22:55

Так я и говорил, что ЭЦП на ранних этапах был уязвим. Поэтому мне и не понятно было с самого начала - почему в платежной системе используется это решение.
Впрочем - всё уже понятно.

Аватара пользователя
Туранчос
Администратор
Сообщения: 3783
Зарегистрирован: 02 дек 2014, 08:27

Деньги

Сообщение Туранчос » 28 мар 2018, 23:13

coins писал(а):Источник цитаты Так я и говорил, что ЭЦП на ранних этапах был уязвим.

Саш, говорить об уязвимости ЭЦП можно только с точки зрения его функционала.
То, о чем пишешь ты - это не уязвимость технологии ЭЦП, а уязвимость вычислительных устройств в целом и любых хранящихся на них объектов перед вирусным проникновением.
Главная задача технологии ЭЦП - подтверждение авторства и неизменности информационных объектов. При соблюдении владельцем информационного объекта и секретного ключа ЭЦП правил и процедур информационной безопасности существующие технологии ЭЦП справляется со своей задачей на "отлично".
Острую мысль нужно подавать тупым концом вперед

Аватара пользователя
coins
Пользователь
Сообщения: 1209
Зарегистрирован: 17 фев 2016, 05:20

Деньги

Сообщение coins » 28 мар 2018, 23:30

Спасибо за разъяснения. И за ликбез.

Аватара пользователя
Дани
Пользователь
Сообщения: 924
Зарегистрирован: 10 мар 2017, 12:46

Деньги

Сообщение Дани » 29 мар 2018, 06:56

Просто замечательно! Спасибо за ликбез и разъяснения!!! А за вишенку - отдельное СПАСИБИЩЕ!!! И чего тогда запад нос-то свой задирает? Я думала там СВИФТ(!!!), а там обыкновенный СВИФТ и все. :hahaha:
Если ты очень ждёшь своего друга, не принимай стук своего сердца за топот копыт его коня (китайская поговорка)

Вернуться в «Высокие материи»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей

Создано на основе phpBB® Forum Software © phpBB Limited :: Русская поддержка phpBB :: ProSilverOnTheRocks by HaNNF :: Часовой пояс: UTC+03:00
cron
Рейтинг@Mail.ru Яндекс.Метрика