D>Я вот не могу понять, зачем существует такое понятие как целевик?
Целевик, это человек, который фактически пошел учиться по контракту. Просто он не сам платит, а за него платит кто-то другой — организация, в которой он потом будет работать
Ты против платного обучения тех, кому не хватило баллов на бесплатное?
Здравствуйте, Sammo, Вы писали:
S>Целевик, это человек, который фактически пошел учиться по контракту. Просто он не сам платит, а за него платит кто-то другой — организация, в которой он потом будет работать S>Ты против платного обучения тех, кому не хватило баллов на бесплатное?
Ну я, например, в принципе против платного образования. Разумеется за исключением модных болезней специальностей художественной, артистической и подобной направленности.
Здравствуйте, Sammo, Вы писали:
S>Целевик, это человек, который фактически пошел учиться по контракту. Просто он не сам платит, а за него платит кто-то другой — организация, в которой он потом будет работать S>Ты против платного обучения тех, кому не хватило баллов на бесплатное?
Нет, за целевиков платит государство. Раньше было иначе, а именно сейчас так. На некоторых специальностях нужно вообще запретить целевиков и платников. Например врачи.
Здравствуйте, Denwer, Вы писали:
V>>А последние примерно пару десятилетий всё движется к обратному — к унификации высокоуровневых протоколов/инфраструктур, способов шифрования, способов хранения секретов, и т.д. и т.п. D>Мне это напомнило одного программиста, который пришел на собеседование, он релаьно не знал ничего, вот не одной строчки кода написать не мог. На что он мне ответил — а зачем сейчас уметь программировать на С++, если все можно найти в инете.
Значит, он устраивался не програмистом С++?
Только как это опровергает мною написанное?
И с чего ты решил, что твой собеседник плохо знает/разбирается в "протоколах"?
D>Вот у тебя тоже самое, унифицированные протоколы нужно выбрать правильно и использовать правильно.
Если уж пошли тыкать друг в друга, мне чегой-то кажется (судя по твоим, прямо скажем, неглубоким рассуждениям), что мои знания/представления об семействах протоколов, начиная с пресловутых HTTPS/SSL/SSH, через стандарты X509 и прочих нескольких семейств ITU, включая нескольких из семейств VoIP, дадут твоей эрудиции фору в десяток-другой лет. Потому что за плечами как разработка протоколов, так и их реализация, в т.ч. в разлином embedded окружении.
И на ключевое ты внимания не обратил:
V>>Потому что "уникальность" протокола или шифрующего алгоритма давно не даёт никакой форы защищающемуся, а чаще наоборот, доморощенные алгоритмы дают много подсказок.
В этом смысле стандарты из X509 и связанная с ним россыпь RFC практически вытеснили доморощенные инфраструктуры и процесс вытеснения лишь продолжается.
И не случайно.
V>>А да, еще плох тот студент, который не взломал хотя бы десяток-другой защит различного софта. V>>Значит, его так и не научили отладке. D>Опять воспоминания из детства. Кто защищает софт они тоже не лаптем щи хлебают.
Ну да, продают свои продукты за десяток тыщ баксов, поэтому могут позволить себе хлебать ложкой. ))
D>Ну попробуй снять защиту с USB токена, когда в нем реализовано часть функции.
Прикладной ф-ии?
Окстись.
D>Вот кто их применяет тоже обязан значть, что даже не читаемый токен можно применить так, что защита будет нулевой. Я не ошибусь, если скажу что больше половины защиты на токенах используют тупо для запроса константы. Просто дампишь протокол и ставишь виртуальный токен. Даже программировать не нужно ничего, уже есть для этого софт. Это как раз работа студентов, которые про защиту ничего не знают.
Только взлом идёт не там, а в тех участках кода, которые ветвятся по наличию защиты. ))
Взламывают обычно не сам токен, а ПО, его использующее.
Исключения тут составляют токены, которые обслуживают обмен сетевыми защищёнными данными, например, при пересылке док-тов, в клиент-банках и т.д., потому что часть вычислений, действительно, может располагаться в токене и ты это не переплюнешь аж никак, т.к. токены нового поколения не выдают внутреннее содержимое напрямую, они считают хеш этого содержимого с поданной солью. Поэтому, опять отсылаю к устоявшимся стандартам защиты, в т.ч. к ГОСТ-ам на этот счёт, где с "математической" составляющей всего этого процесса полный порядок.
V>>Эээ, разработка драйвера — это что-то сложное и интересное? D>Так ты попробуй что бы не фантазировать.
Ну так сам попробуй. ))
Вопрос в силе.
D>Даже если не принимать во внимание реализацию защиты, знаешь какая часть программистов может кодить в режиме ядра? Единицы.
Единицы этим занимаются или единицы могут? ))
Знаешь, сколько времени надо обычному сишнику, чтобы начать програмимровать в режиме ядра (и то не обязательно, т.к. есть разные модели драйверов)?
От пары часов до пары дней.
Это просто АПИ, причём, в разы более скромное (если взять любой конкретный класс устройств), чем прикладное АПИ ОС.
И опять, судя по твоим рассуждениям, ты во всём этом плаваешь, т.е. плохо представляешь себе "сложность" такой работы.
Нет там никакой сложности, есть скукатень, в том плане, что практически ничего из готового нет, часто приходится лепить велосипеды (начиная с банальных коллекций и связанных списков) на ровном месте.
И у меня этих велосипедов накопилось — ууу.
Сложность каждого — 2-3-й курс ВУЗ-а, базовые структуры данных. ))
Хотя да, порой выручают и в прикладном коде, когда надо слепить что-нить максимально легковесное.
Но это бывает очень редко.
D>А ты сначала напиши алгоритм шифрования, который не просадит производительность и будет хорошо защищенным от взлома.
Так а в чем лопата?
Вот тебе "математик" дал алгоритм, в сегодняшнем мире уже рассуждают о "не просадит производительность"? ))
Как сам думаешь, например, реализации мультимедиа-кодеков должны "просаживать производительность"?
А там примерно тот же характер работ — обработка порций данных.
D>Думаешь математики могут написать алгоритм адаптированный к современным процессорам, те на уровне асемблера по сути.
Думаю, могут.
Математикам не надо владеть ассемблером, им надо достаточно дать возможностей процов, причём, из интересующих сегодня векторных вычислений это описание возможностей весьма и весьма скромное, бо в отличие от регистров общего назначения, векторные регистры не имеют особенностей и привязанных к конкретным им специальных инструкций, т.е. все эти регистры равноправны.
D>>>система шифрования дисков. V>>Лопата в чём? D>Лопата в том, что нужно учесть много чего, учесть все методы взлома таких вещей, учесть какие алгоритмы устарели, и их без проблем можно взломать брутом на хороших мощностях.
Так лопата в чём? ))
Открываешь гугл и смотришь актуальные RFC, там всё н аблюдечке.
Ничего в этом плане изобретать не надо и даже вредно, если ты только не специалист по математическим аспектам шифрования, бгг.
D>Нужно учесть возможность дампа памяти.
Пошёл уже совсем детсад.
Про дампы регистров еще забыл.
Про кольца защиты проца.
Про системы прав в современных ОС и т.д. и т.п.
А в чём лопата — непонятно. ))
D>Если бы я жил в Москве, я бы из этой области не ушел, в провинции таких проектов очень мало. Хотя из за пандемии все сильно изменилось и я очень и очень задумываюсь вернуться. Удаленку просто не люблю, хотя такое ощущение что это становится нормой. В том же линкеде уже в месяц по несколько запросов на проекты по безопасности и по разработке дров. Лет 6-7 назад такого не было и близко.
Во всех этих вакансиях по "безопасности" надо просто прикручивать уже готовое к тем продуктам, которые ранее о безопасности не позаботились.
Я не исключаю, что кому-то такая работа может быть интересной, я просто считаю её слишком узкоспециализированной и от того скучной.
Если прямо сейчас тебе не скучно, то ты еще не вышел в своём развитии в этом ремесле в "область насыщения".
Но пройдёт пяток-другой лет плотного занятия темой — и ты выйдешь, никуда не денешься.
V>>Любая предметная область небольшого объема крайне скучна, бо по-класике, интересно лишь до тех пор, пока продолжается процесс познания. D>Небольшого объема она исключительно с твоей колокольни.
С колокольни огромного кол-ва одновременно используемых технологий в современном ПО.
Кто как, а я натурально боюсь утратить интерес к IT.
Разумеется, такие вещи — это интимные моменты каждого достаточного опытного разработчика, но они объективно наличествуют...
Здравствуйте, pagid, Вы писали:
P>Ну я, например, в принципе против платного образования. Разумеется за исключением модных болезней специальностей художественной, артистической и подобной направленности.
Ну а по мне, платное пусть живёт. На самом деле, если ты платишь, это даже лучше для тебя. В идеальном мире, за свои деньги, ты можешь получить custom-образование. Требовать особые условия. Учиться в своем темпе. Индивидуальный учебный план. Что-то не объяснили как следует, можешь потребовать разъяснений. Или повторно пройти курс. В США учеба платная, и это имеет свои преимущества. Как минимум в виде обратной связи от студентов к ВУЗу.
Здравствуйте, jamesq, Вы писали:
J>Ну а по мне, платное пусть живёт. На самом деле, если ты платишь, это даже лучше для тебя. В идеальном мире, за свои деньги, ты можешь получить custom-образование. Требовать особые условия. Учиться в своем темпе. Индивидуальный учебный план. Что-то не объяснили как следует, можешь потребовать разъяснений. Или повторно пройти курс. В США учеба платная, и это имеет свои преимущества. Как минимум в виде обратной связи от студентов к ВУЗу.
Да без проблем, но только что бы сохранить выходной экзамен, типа как сейчас диплом, только сейчас диплом это чистая формальность. Иначе теряется смысл высшего образования, заплатил что бы получить корочку вуза. Чем тогда отличается человек с вышкой и без? Тем что один платил заденьги, а другой нет?
Здравствуйте, vdimas, Вы писали:
D>>Мне это напомнило одного программиста, который пришел на собеседование, он релаьно не знал ничего, вот не одной строчки кода написать не мог. На что он мне ответил — а зачем сейчас уметь программировать на С++, если все можно найти в инете.
V>Значит, он устраивался не програмистом С++?
Вообще то он пришел на вакансию С++ программиста.
D>>Ну попробуй снять защиту с USB токена, когда в нем реализовано часть функции.
V>Прикладной ф-ии? V>Окстись.
Почему прикладной? Там может быть функция шифрования протокола. Передаешь туда массив данных, обратно получаешь зашифрованный. И ты никогда не сдампишь память токена для дизасемблирования этой функции шифрования. Даже если она там очень простая, даже если она использует минимальный ключ ширфования, ну пусть будет 64 бита, вскрыть может быть просто не возможно.
D>>Вот кто их применяет тоже обязан значть, что даже не читаемый токен можно применить так, что защита будет нулевой. Я не ошибусь, если скажу что больше половины защиты на токенах используют тупо для запроса константы. Просто дампишь протокол и ставишь виртуальный токен. Даже программировать не нужно ничего, уже есть для этого софт. Это как раз работа студентов, которые про защиту ничего не знают.
V>Только взлом идёт не там, а в тех участках кода, которые ветвятся по наличию защиты. )) V>Взламывают обычно не сам токен, а ПО, его использующее.
Это зависит как раз от того как применили. Если применили через жопу, то смотрят ветвление алгоритма. А если в токен перенесена какая нибудь важная функция софта, то уже ничего не сделать.
V>Исключения тут составляют токены, которые обслуживают обмен сетевыми защищёнными данными, например, при пересылке док-тов, в клиент-банках и т.д., потому что часть вычислений, действительно, может располагаться в токене и ты это не переплюнешь аж никак, т.к. токены нового поколения не выдают внутреннее содержимое напрямую, они считают хеш этого содержимого с поданной солью. Поэтому, опять отсылаю к устоявшимся стандартам защиты, в т.ч. к ГОСТ-ам на этот счёт, где с "математической" составляющей всего этого процесса полный порядок.
Так я про это и говорю. Нечитаемые токены уже много много лет как продаются за копейки. Но они могут работать и как старый токен, который тупо константу выдает. Вот некоторые умудряются купить хороший токен, куда можно залить реализацию какой нибудь функции, напрмиер шифрование протокола, или шифрование файлов на диске, но они используют его как запрос-ответ константы.
V>>>Эээ, разработка драйвера — это что-то сложное и интересное? D>>Так ты попробуй что бы не фантазировать.
Так я 15 лет их пишу. И ферволы писал на уровне NDIS+TDI(эта прослойка ыбла на ХП), и драйвера файловых систем писал, и всякие дисковые драйвера. И всякие антируткиты писал. Вот наверное антируткит был одной из интересных разработок, т.к. была война почти в реальном времени, антируткиты писали с такой скоростью, что не успеваешь следить за их развитием, в том числе всякие буткиты.
D>>Даже если не принимать во внимание реализацию защиты, знаешь какая часть программистов может кодить в режиме ядра? Единицы.
V>Единицы этим занимаются или единицы могут? ))
Единицы могут. И не всегда речь идет о сложности, написание драйверов требует огромный внимательности при напсиании кода, тк малейшая ошибка и винда уходит в синий экран.
V>Знаешь, сколько времени надо обычному сишнику, чтобы начать програмимровать в режиме ядра (и то не обязательно, т.к. есть разные модели драйверов)? V>От пары часов до пары дней. V>Это просто АПИ, причём, в разы более скромное (если взять любой конкретный класс устройств), чем прикладное АПИ ОС.
О да. Как то пришли ко мне студенты, точнее уже выпускники, и сказали, что придут через 2 недели, им нужно выучить С++. Через 2 недели они пришли как и обещали, но сказали что они очень ошибались.
V>И опять, судя по твоим рассуждениям, ты во всём этом плаваешь, т.е. плохо представляешь себе "сложность" такой работы. V>Нет там никакой сложности, есть скукатень, в том плане, что практически ничего из готового нет, часто приходится лепить велосипеды (начиная с банальных коллекций и связанных списков) на ровном месте.
Конечно конечно.
D>>А ты сначала напиши алгоритм шифрования, который не просадит производительность и будет хорошо защищенным от взлома.
V>Так а в чем лопата? V>Вот тебе "математик" дал алгоритм, в сегодняшнем мире уже рассуждают о "не просадит производительность"? ))
Вот поэтому сейчас программы и требуют хер пойми сколько мощности, программисты обленились писать скоростной код. Все думают, зачем сейчас про это думать, если компы и так мощные. Например берем современный ССД, скорость чтения и записи аховые. Вот и напиши такой лагоритм ширфования, который не просадит скорость настоящего ССД и что бы процессор не был постоянно на 100% загружен.
V>Как сам думаешь, например, реализации мультимедиа-кодеков должны "просаживать производительность"? V>А там примерно тот же характер работ — обработка порций данных.
Мультимедия может просаживать, тк там работа по желанию пользователя, хочу сейчас запущу кодирование, хочу потом когда комп будет свободный. Шифрование диска так не получится сделать, он если включен, то шифрует в еральном времени постоянно и ыт не можешь его на потом отложить.
D>>Думаешь математики могут написать алгоритм адаптированный к современным процессорам, те на уровне асемблера по сути.
V>Думаю, могут. V>Математикам не надо владеть ассемблером, им надо достаточно дать возможностей процов, причём, из интересующих сегодня векторных вычислений это описание возможностей весьма и весьма скромное, бо в отличие от регистров общего назначения, векторные регистры не имеют особенностей и привязанных к конкретным им специальных инструкций, т.е. все эти регистры равноправны.
Оптимизация не только из за векторных вычислений, но там куча всяких подводных камней, например просто выбор типа данных иногда сильно сказывается на производительности. Или что бы структуры были разибты на поля для записи и для чтения. Попробуй отсортировать массив BYTE и массив LONG, будешь удивлен что они выполняются с разной скоростью. Про многопточную реализацию я вообще молчу, многопоточность могут осилить 20% программистов, а проматематиков можно и не говорить.
D>>>>система шифрования дисков. V>>>Лопата в чём? D>>Лопата в том, что нужно учесть много чего, учесть все методы взлома таких вещей, учесть какие алгоритмы устарели, и их без проблем можно взломать брутом на хороших мощностях.
V>Так лопата в чём? )) V>Открываешь гугл и смотришь актуальные RFC, там всё н аблюдечке.
Вот программисты винды так же думали, открыли RFC и там было написано, что MD5 фиг сломаешь. А теперь у них из за этого проблемы, эти хеши дампят и брутят пароли. Из за этого всякие локеры создают много миллионные проблемы.
V>Ничего в этом плане изобретать не надо и даже вредно, если ты только не специалист по математическим аспектам шифрования, бгг.
Изобретать можно и нужно, современные алгоритмы сложные для взлома и очень производительные, взять тот же Salsa20, а потом появившийся Chacha20. Это хороший пример того, что алгоритмы продолжают развиваться, а не стоят на месте с ГОСтовскими, которым уже несколько десятилетий.
D>>Нужно учесть возможность дампа памяти.
V>Пошёл уже совсем детсад. V>Про дампы регистров еще забыл. V>Про кольца защиты проца. V>Про системы прав в современных ОС и т.д. и т.п.
V>А в чём лопата — непонятно. ))
Лопата в том, что применив мощный алгоритм шифрования, софт вкламывают на кривом использовании. Некоторое время назад в США был бум дамперов систем оплат. Она мега примитивные, тупо дампят память софта и ищут номера кредиток. Ну руки нужно программистам поотрывать, что хранение в памяти В ОТКРЫТОМ ВИДЕ номеров кредиток. Хотя передавали они все сильно шифрованное, по всем ГОСТам. В итоге в США срочно пришлось вкладывать миллиарды баквос, что бы весь софт срочно пофиксить от дампинга. Миллиарды из за программистов, которые не знали азы компьютерной безопасности. Доходило до примитивного, они удаляли память с кредитками и думали что защитились. Но память то не чистилась, в итоге их тоже дампили.
D>>Если бы я жил в Москве, я бы из этой области не ушел, в провинции таких проектов очень мало. Хотя из за пандемии все сильно изменилось и я очень и очень задумываюсь вернуться. Удаленку просто не люблю, хотя такое ощущение что это становится нормой. В том же линкеде уже в месяц по несколько запросов на проекты по безопасности и по разработке дров. Лет 6-7 назад такого не было и близко.
V>Во всех этих вакансиях по "безопасности" надо просто прикручивать уже готовое к тем продуктам, которые ранее о безопасности не позаботились. V>Я не исключаю, что кому-то такая работа может быть интересной, я просто считаю её слишком узкоспециализированной и от того скучной.
Полно продуктов с новыми разработками, со всякими ноухау.
V>Если прямо сейчас тебе не скучно, то ты еще не вышел в своём развитии в этом ремесле в "область насыщения". V>Но пройдёт пяток-другой лет плотного занятия темой — и ты выйдешь, никуда не денешься.
Так уже прошел, я временно выходил из этой области в область высокропроизводительных серверов, но это не то, нет того задора, нет драйва, ты просто выполняешь свою работу. Сейчас у меня уже руководящая должность, вот тут дейтсвительно все совсем тухло, и если бы не обязательства перед людьми, которых я уважаю, я бы давно завязал с этим всем и вернулся полностью в область разработки дров, фаерволов, антивирусов и прочего. Благо работы последние два года просто многократно увеличилось, бомбят линкед постоянно с такой работой.
Здравствуйте, Denwer, Вы писали:
D>>>Мне это напомнило одного программиста, который пришел на собеседование, он релаьно не знал ничего, вот не одной строчки кода написать не мог. На что он мне ответил — а зачем сейчас уметь программировать на С++, если все можно найти в инете. V>>Значит, он устраивался не програмистом С++? D>Вообще то он пришел на вакансию С++ программиста.
Тогда ты приводишь в пример какого-то неадеквата, намекая, что твой собеседник как он?
Пятёрка по демагогии!
И как это связано с кряком программы у клиента, если крякать надо сервер/инфраструктуру?
К тому же, про этот случай отписался.
В общем, опять мимо.
Тем более, что не популярен этот USB-токен.
Когда-то был, а сейчас нет от слова совсем.
Многие системы, его использующие в обязаловку, от него отказались, например, почти все клиент-банки.
Перешли на двухфакторную авторизацию по мобиле.
Аналогично этот токен не помогает против кряков программ, защита которых строится на общении с сервером лицензий, бо крякнутый код даже не доходит в исполнении на опрос состояния защиты, поэтому, в таких программах от USB-токенов как защитного механизма тоже активно отказываются.
D>Передаешь туда массив данных, обратно получаешь зашифрованный. И ты никогда не сдампишь память токена для дизасемблирования этой функции шифрования.
Это тебе тоже писалось ниже.
Даже если ты пишешь ответ, не читая предварительно сообщение, ты мог потом вернуться и удалить лишнее написанное...
В общем, учитывая странность твоих манер почти в каждом абзаце, я пока сделаю паузу в этом общении, бо оно неконструктивно.
Здравствуйте, vdimas, Вы писали:
V>В общем, опять мимо. V>Тем более, что не популярен этот USB-токен. V>Когда-то был, а сейчас нет от слова совсем.
А не думал что ты просто демаг? Ты пишешь чушь, но принимаешь за истину? Эти токены используютсяы и еще как, просто ты этого не знаешь.
V>Многие системы, его использующие в обязаловку, от него отказались, например, почти все клиент-банки. V>Перешли на двухфакторную авторизацию по мобиле.
КТо куда перешел? Ты про физиков кто хранит копейки и кто пользуется моиблами для первода? И куда там ключ воткнуть? А теперь погугли, специалист по всем областям, как банки вводят эти токены для бизнес клиентов. Авторизация по мобиле давно себя декредитировала. Бизнес сам просит токены:
Обрати внимание на дату, эти ключи наоборот только начинают все внедрять, а не когда то был.
14.08.2015
Альфа-Банк внедрил криптографию и USB-ключи для авторизации и подписания электронных документов в интернет-банке «Альфа-Бизнес Онлайн».
V>В общем, учитывая странность твоих манер почти в каждом абзаце, я пока сделаю паузу в этом общении, бо оно неконструктивно.
Конечно не конструктивно, когда ты придумываешь на ходу хрень и выдаешь ее за истину. Почитай про токены банковские для бизнес клиентов. То что ты написал про защиту через сотовый — это твой уровень понимания в данной теме. Это дно. Мобилу используют там, где не нужна сильная защита, которая усложняет работу пользователей, а там где хорошие деньги — там защита по телефону это дырища безопасности.
Здравствуйте, Denwer, Вы писали:
V>>В общем, опять мимо. V>>Тем более, что не популярен этот USB-токен. V>>Когда-то был, а сейчас нет от слова совсем. D>А не думал что ты просто демаг? Ты пишешь чушь, но принимаешь за истину? Эти токены используютсяы и еще как, просто ты этого не знаешь.
Расслабься уже, это ты не знаешь, потому что я выдал в сравнительной степени (тогда/сейчас), а ты пытаешься рассуждать в абсолютной.
Что говорит о том, что у тебя нет ретроспективы, но поспорить охота.
V>>Многие системы, его использующие в обязаловку, от него отказались, например, почти все клиент-банки. V>>Перешли на двухфакторную авторизацию по мобиле. D>КТо куда перешел? Ты про физиков кто хранит копейки и кто пользуется моиблами для первода?
Про юриков.
Посмотри топ банков для юриков, плиз.
Посмотрел? ))
У многих ключи увидел?
D>И куда там ключ воткнуть?
В веб-сайт, конечно. ))
Уже несколько лет как в стандарте для браузеров.
D>А теперь погугли, специалист по всем областям, как банки вводят эти токены для бизнес клиентов.
Я знаю одну платформу, достаточно угрёбищную, которой пользуются большинство банков за пределами топ-20, т.е. не имеющие собственного интернетного клиент-банка — это iBank2.ru.
Вот там только токены, типа Bifit Signer и прочая такая хрень.
Этим кошмаром нельзя пользоваться.
Поэтому, топ-банки и не пользуются.
А насчёт "вводят токены для бизнес клиентов" — ну ты как только родился.
Эти токены массово вводили с середины нулевых, причём, они были обязательными, т.к. не было альтернативных способов защитить электронную подпись, а она требуется согласно законодательсву об электронном документобороте.
У меня с тех пор целая коробка этих токенов от разных банков.
Но эти времена уже давно прошли, тю-тю.
Вот что пишет один топ-2 банк для юриков:
Раньше банки использовали для этого токены — специальные флешки. Если токен подключен к компьютеру, банк считает, что за компьютером вы, и пускает вас в личный кабинет. Токен легко потерять, сломать и забыть дома, а телефон всегда с собой. Поэтому у нас — смс-коды.
Топ-1 и Топ-3 предлагают на выбор в т.ч. и токены, но это, скорее, уже имеющаяся давно экосистема, которую жалко выбросить.
Экосистема эта досталась в наследство от тех времён, когда не было в стандартах браузера общения со смарт-картами, в те тёмные времена клиент-банк представлял из себя десктопное приложение либо Java/ActiveX-апплеты.
D>Авторизация по мобиле давно себя декредитировала.
Какой ты шустрый! ))
Она только относительно недавно стала популярной и продолжает набирать популярность.
Пусть.
Токены иногда удобней.
Например, когда идёт активная работа с документами для банка и нет возможности подписать всю пачку, как в Сбербанке.
Затрахаешься каждый документ подписывать через мобилу. ))
Потому Сбер и не входит в топы по удобству для юриков, хотя и обитает в топах для физиков.
D>Вот тебе еще по альфабанку, прочитай там про корпоративных пользователей. D>https://alfabank.ru/corporate/rko/akol/security_online/ D>Обрати внимание на дату, эти ключи наоборот только начинают все внедрять, а не когда то был. D>14.08.2015 D>Альфа-Банк внедрил криптографию и USB-ключи для авторизации и подписания электронных документов в интернет-банке «Альфа-Бизнес Онлайн».
Очередное "слышал звон".
Полный текст:
Альфа-Банк внедрил криптографию и USB-ключи для авторизации и подписания электронных документов в интернет-банке «Альфа-Бизнес Онлайн». Это открывает дополнительные возможности для малых и средних предприятий пользователей «Альфа-Бизнес Онлайн», которых уже 160 тысяч, и для крупных корпоративных клиентов банка — они смогут при желании перейти с «Альфа-Клиент Онлайн» на более современный и удобный «Альфа-Бизнес Онлайн» и при этом пользоваться единым USB-ключом.
Итак, существовал "Альфа-Клиент Онлайн", в котором уже применялись USB-токены.
Появилось новое приложение "Альфа-Бизнес Онлайн", которое теперь поддерживает выданные для "Альфа-Клиент Онлайн" уже имеющиеся токены.
V>>В общем, учитывая странность твоих манер почти в каждом абзаце, я пока сделаю паузу в этом общении, бо оно неконструктивно. D>Конечно не конструктивно, когда ты придумываешь на ходу хрень и выдаешь ее за истину.
Тебе показалось.
Как выяснилось, причина в том, что ты не в состоянии прочесть и понять инфу даже по собственным ссылкам.
И еще у тебя не хватает банального мужества признавать даже мелкие ошибки, в итоге ты всё больше суетишься и делаешь всё больше ошибок.
Но можешь уже не суетиться, ситуация примерно понятна — ты не в теме абсолютно, и ничем ты это уже не опровергнешь, даже если попытаешься "по-быстрому" разобраться, уже всё-равно низачот. ))
D>Почитай про токены банковские для бизнес клиентов.
Наивный, наивный вьюнош.
Давай я тебе лучше горсть токенов из 2000-х вышлю, может тогда станет хоть немного стыдно за своё невежество...
Здравствуйте, vdimas, Вы писали:
V>Про юриков. V>Посмотри топ банков для юриков, плиз. V>Посмотрел? )) V>У многих ключи увидел?
Конечно посмотрел. Альфа банк, ВТБ, Сбер, газпром банк. Вот 4 топовых банка, у всех есть токены. Ты сам то смотрел, перед тем как писать? Даже у тинькова есть ключ защиты token. Скажи, у кого нет этого токена то?
Здравствуйте, Denwer, Вы писали:
D>Изобретать можно и нужно, современные алгоритмы сложные для взлома и очень производительные, взять тот же Salsa20
Посмотрел, обычный блочный шифр, типа Магмы, Кузнечика или их первоисходника ГОСТ-а 28147-89.
Однако, размер слова всего 32 бит, и кол-во раундов в исходном виде всего 20, а в вариациях 12 и 8.
Для читателей — блочные симметроичные шифры делят входной поток на блоки, затем в каждом блоке микшируют биты, согласно специально подобранному словарю с хорошим распределением и накатывают XOR с текущим отрезкой ключа шифрования, который (ключ) рассчитывается на подготовительном шаге.
Одна такая операция — один раунд.
Алгоритмы эти симметричные, т.е. расшифровка выполняется тем же словарём и тем же ключом, т.е. как бы в обратном порядке.
Если длина ключа больше размера блока, то разница м/у блочными и потоковыми шифрами малость стирается.
Сравнить характеристики Salsa20 (32 бит слово, 20 раундов) с размерами слов 128/64 бит и кол-вом раундов 32 в наших аналогах.
На всяк случай — каждый раунд микширования в блочных шифрах — примерно удвоение показателя степени сложности взлома.
Да, кое-что интересное в Salsa20 есть — это своеобразная операция микширования бит, возможность её распараллеливания, ОК, это хорошо ложится на многоядерные/многопоточные современные вычислители, включая GPU.
Но общие показатели стойкости были выбраны небольшими в угоду еще больше "эффективности" самого процесса кодирования/раскодирования.
Просто для понимания происходящего:
В 2005 году Paul Crowley объявил об атаке на Salsa20/5 с расчетной сложностью по времени 2165. Эта и последующие атаки основаны на усеченном дифференциальном криптоанализе (truncated differential cryptanalysis). За этот криптоанализ он получил награду в 1000$ от автора Salsa20.
B 2006, Fischer, Meier, Berbain, Biasse, и Robshaw сообщили об атаке на Salsa/6 со сложностью 2117, и об атаке со связанными ключами на Salsa20/7 со сложностью 2217
B 2008 году Aumasson, Fischer, Khazaei, Meier и Rechberger сообщили об атаке на Salsa20/7 со сложностью 2153 и о первой атаке на Salsa20/8 со сложностью 2251.
При том, что Salsa20/8 фактически принят как разновидность стандарта на основе Salsa20.
D>а потом появившийся Chacha20. Это хороший пример того, что алгоритмы продолжают развиваться, а не стоят на месте с ГОСтовскими, которым уже несколько десятилетий.
Что опять говорит о том, что ты не в теме абсолютно.
ГОСТ-ы задают различные режимы шифрования, которые влияют на стойкость ко взлому.
Но всё не бесплатно, ес-но.
Например, описывают гаммирование — подстановку бит из словаря.
Плавающее гамирования — ключ подстановки зависит от текущего блока ключа.
Гаммирование с обратной связью — ключ гаммирования зависит от предыдущих зашифрованных данных и т.д.
Например, Кузнечик и Магма — это лишь модификации более общего алгоритма ГОСТ.
Такие как — варьирование битности слов, исключение лишних операций реверса бит (приведения big endian к little endian), расширение битности ключа и т.д.
Но принцип тот же.
По годам последних модификаций — 2015, 2018, 2019-й.
D>Лопата в том, что применив мощный алгоритм шифрования, софт вкламывают на кривом использовании. Некоторое время назад в США был бум дамперов систем оплат. Она мега примитивные, тупо дампят память софта и ищут номера кредиток. Ну руки нужно программистам поотрывать, что хранение в памяти В ОТКРЫТОМ ВИДЕ номеров кредиток. Хотя передавали они все сильно шифрованное, по всем ГОСТам.
Откуда в США ГОСТ-ы?
И да, в наших реалиях, имея номер кредитки на руках, ты не украдёшь с неё денег.
Сливы номеров кредиток могут происходить банальным образом — даже от работников банка.
D>В итоге в США срочно пришлось вкладывать миллиарды баквос, что бы весь софт срочно пофиксить от дампинга. Миллиарды из за программистов, которые не знали азы компьютерной безопасности. Доходило до примитивного, они удаляли память с кредитками и думали что защитились. Но память то не чистилась, в итоге их тоже дампили.
Или дело в слабости общей их банковской архитектуры, что можно потырить деньги, имея лишь номера кредиток, бгг...
А насчёт таких защит — ну смешно же.
Человек вводит номер кредитки в некое поле, этот номер отображается и в этот момент доступен для кражи шпионскому ПО.
Даже если "грамотный программист" после операции тут же забьет нулями соотв. участки памяти — это не спасёт от кражи данных во время незаметного (для человека) исполнения кода под отладкой или своевременного дампа памяти в нужный момент.
Т.е., наивный твой подход "быстро поднятый бутерброд не считается упавшим" никакая не защита, если другой процесс принципиально может считывать память.
Это значит, что дыра уже есть где-то в другом месте.
V>>Во всех этих вакансиях по "безопасности" надо просто прикручивать уже готовое к тем продуктам, которые ранее о безопасности не позаботились. V>>Я не исключаю, что кому-то такая работа может быть интересной, я просто считаю её слишком узкоспециализированной и от того скучной. D>Полно продуктов с новыми разработками, со всякими ноухау.
А на деле ведущим прикладным проектам десятки лет.
Это в инструментарии для программистов движуха и то, наиболее популярный инструментарий тоже возрастом в десятки лет, бгг...
V>>Если прямо сейчас тебе не скучно, то ты еще не вышел в своём развитии в этом ремесле в "область насыщения". V>>Но пройдёт пяток-другой лет плотного занятия темой — и ты выйдешь, никуда не денешься.
D>Так уже прошел, я временно выходил из этой области в область высокропроизводительных серверов, но это не то, нет того задора, нет драйва, ты просто выполняешь свою работу. Сейчас у меня уже руководящая должность, вот тут дейтсвительно все совсем тухло, и если бы не обязательства перед людьми, которых я уважаю, я бы давно завязал с этим всем и вернулся полностью в область разработки дров, фаерволов, антивирусов и прочего.
Да я уже понял, что сравнение себя с неопытными студентами повышает твою самооценку.
Ты дважды прибегал к этому приёму.
Но это ж днище, бро!
Это из области психологии уже.
Тебе разве отец в детстве не говорил "не сравнивай себя с другими"?
Когда ты пытался лениться по той лишь причине, что и так заметно лучше окружающих учишься? ))
Извини, но твои странные рассуждения исключительно о глупых студентах, хотя бывают весьма умные...
"Я видел в жизни парочку дураков, поэтому на всякий случай всех окружающих считаю заранее дураками" (С)
Следом аргументы в духе "в драйверах надо быть внимательными, иначе синий экран"
(в биржевом ПО не надо быть, что ле? в бухгалтерии/складе, документообороте и т.д., где можно потерять кучу денег из-за ошибок программиста?)
Всё вместе — суровый косяк, бо нельзя даже пытаться рассуждать в этом духе.
По этой причине мне расхотелось с тобой общаться вовсе, просто решил прояснить — почему.
И да, есть еще кое-что — ты мне не коллега, по крайней мере по профилю образования.
Вещаемое тобой проходят на 1-3-х курсах по профилю системотехников, т.е. оно никак не могло бы выдаваться за прям откровение.
И от того происходящее тут вдвойне ущербней.
В общем, если тебе пришлось самостоятельно освоить приличную часть нашего ремесла, будь молодцом — встань тихонько в ряд других бойцов и молча делай своё дело...
А вот это размахивание руками "какой я молодец, а вот там рядом ходят неучи" — брр...
D>>Лопата в том, что применив мощный алгоритм шифрования, софт вкламывают на кривом использовании. Некоторое время назад в США был бум дамперов систем оплат. Она мега примитивные, тупо дампят память софта и ищут номера кредиток. Ну руки нужно программистам поотрывать, что хранение в памяти В ОТКРЫТОМ ВИДЕ номеров кредиток. Хотя передавали они все сильно шифрованное, по всем ГОСТам.
V>Откуда в США ГОСТ-ы?
Это было использовано как знак стойкости, конечно слово ГОСТ русское.
V>И да, в наших реалиях, имея номер кредитки на руках, ты не украдёшь с неё денег. V>Сливы номеров кредиток могут происходить банальным образом — даже от работников банка.
Опять ты не дыры не знаешь. Читай про TRACK1 и TRACK2.
D>>В итоге в США срочно пришлось вкладывать миллиарды баквос, что бы весь софт срочно пофиксить от дампинга. Миллиарды из за программистов, которые не знали азы компьютерной безопасности. Доходило до примитивного, они удаляли память с кредитками и думали что защитились. Но память то не чистилась, в итоге их тоже дампили.
V>Или дело в слабости общей их банковской архитектуры, что можно потырить деньги, имея лишь номера кредиток, бгг...
Опять читай про TRACK1 и TRACK2. У нас просто банковская система перепрыгнула развитие магнитных лент, а сразу скакнули и крипто-чипы. Поэтому и пробелм не было. В США и Европе это большая проблема была.
V>А насчёт таких защит — ну смешно же. V>Человек вводит номер кредитки в некое поле, этот номер отображается и в этот момент доступен для кражи шпионскому ПО. V>Даже если "грамотный программист" после операции тут же забьет нулями соотв. участки памяти — это не спасёт от кражи данных во время незаметного (для человека) исполнения кода под отладкой или своевременного дампа памяти в нужный момент.
Он не вводит, он проводит по ридеру, он передает например по RS232 треки карт.
V>Т.е., наивный твой подход "быстро поднятый бутерброд не считается упавшим" никакая не защита, если другой процесс принципиально может считывать память. V>Это значит, что дыра уже есть где-то в другом месте.
Конечно, дыра в том, что треки хранятся в открытом виде. Америке понадобилось лет 8, что бы большую часть софт сделать безопасной. За эти 8 лет люди теряли деньги.
Здравствуйте, Denwer, Вы писали:
V>>И да, в наших реалиях, имея номер кредитки на руках, ты не украдёшь с неё денег. V>>Сливы номеров кредиток могут происходить банальным образом — даже от работников банка. D>Опять ты не дыры не знаешь. Читай про TRACK1 и TRACK2.
Поднадоело.
Считаем косяки только в этом посте.
1. Имея лишь номер карточки на руках невозможно сформировать содержимое её магнитной полосы.
V>>Или дело в слабости общей их банковской архитектуры, что можно потырить деньги, имея лишь номера кредиток, бгг... D>Опять читай про TRACK1 и TRACK2.
2.
D>У нас просто банковская система перепрыгнула развитие магнитных лент, а сразу скакнули и крипто-чипы.
3.
У нас кредитные карты с конца 90-х (например, у меня), а чипы массово в картах появились где-то после 2010-го, хотя встречались в голдах/платинах и ранее (у меня первая карточка с чипом появилась где-то в 2006-м).
D>Поэтому и пробелм не было. В США и Европе это большая проблема была.
Ты нам зубы не заговаривай. ))
Про считывание магнитных полос фальшивыми терминалами все и без тебя хорошо в курсе.
Твоя задача — объяснить свой косяк рассуждений с дампами номеров.
V>>Человек вводит номер кредитки в некое поле, этот номер отображается и в этот момент доступен для кражи шпионскому ПО. V>>Даже если "грамотный программист" после операции тут же забьет нулями соотв. участки памяти — это не спасёт от кражи данных во время незаметного (для человека) исполнения кода под отладкой или своевременного дампа памяти в нужный момент. D>Он не вводит, он проводит по ридеру, он передает например по RS232 треки карт.
Да хоть как.
Вопрос в силе.
Тут такое дело, ты уже 3-й пост подряд придерживаешься своей версии, согласно которой "быстрое стирание данных" защищает от тобой же указанных типов атак.
ОК, ответ понятен, вы нам не подходите, попробуйте поискать себя в другой области. ))
V>>Т.е., наивный твой подход "быстро поднятый бутерброд не считается упавшим" никакая не защита, если другой процесс принципиально может считывать память. V>>Это значит, что дыра уже есть где-то в другом месте. D>Конечно, дыра в том, что треки хранятся в открытом виде.
На диске? Или в оперативной памяти?
В оперативной памяти они всё-равно в какой-то момент существуют в открытом виде.
Но это еще не всё.
4. Чтобы украсть именно деньги или совершить заметную по стоимости покупку, нужен еще пин-код.
В общем, в реальных случаях ограбления через данные банковских карт, добыча собсно номера карты было самым простым делом (почти всегда использовали фальшивые ридеры), сложности начинались на других этапах.
А ты нам тут фуфло втираешь с умным видом.
Тебя поэтому тебя и уволили парой абзацев выше, что от твоих представлений о "быстро поднятом бутерброде" плющит как от кислого лимона.
Ты как те студенты, которых сам же приводил в пример, мол, я не такой как они!
Такой.
Невнимательность + шапкозакидательство.
D>Ты сам то смотрел, перед тем как писать? Даже у тинькова есть ключ защиты token. Скажи, у кого нет этого токена то?
В двух первых топах у меня счета, поэтому я знаю, о чём говорю.
У Тинькоффа токен опционален, как и у первых топов.
Я тебе уже делал подсказку — у всех банков, у которых есть мобильный клиент, аппаратный токен опционален.
Для общения по мобильному клиенту банк выпустит электронную подпись для тебя, но хранить её будет у себя, подписывая ею подтверждённые тобой документы/операции.
2. Сегодня вообще платформы интернет-банкинга, ну т.е. вообще все, даже которые ранее работали только через аппаратные токены, например iBank2.ru (через который я тоже работал, поэтому давал оценку из личных впечатлений, а не как позволяешь себе ты — сплошное слышал звон, с третьих рук и статей в интернете), позволяют хранить сертификат с ключом на диске тем или иным способом. https://www.signal-com.ru/products/crypt/kripto-kom-3-4/
СКЗИ «Крипто-КОМ 3.4» имеет сертификаты ФСБ России, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты (ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012), требованиям ФСБ России к шифровальными (криптографическим) средствам класса КС1 и КС2, Требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1 и КС2, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш функции для данных, содержащихся в областях оперативной памяти, реализация функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011г. №63-ФЗ «Об электронной подписи»: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.
...
СКЗИ «Крипто-КОМ 3.4» поддерживает несколько типов ключевых носителей для хранения секретных ключей:
— Накопители на гибком магнитном диске (НГМД);
— Разделы накопителей на жестком магнитном диске (НЖМД);
— Сменные носители с интерфейсом USB;
— Электронные ключи с интерфейсом USB (eToken, SafeNet eToken 5110, Рутокен и др.);
— Криптографические устройства, поддерживающие интерфейс PKCS#11;
— Карты флэш-памяти;
— Реестр Windows.
Смотри, сколько всего ты не знал до этого общения.
Хоть кому-то польза от этого бестолкового времяпрепровождения... ))
Здравствуйте, vdimas, Вы писали:
V>Здравствуйте, Denwer, Вы писали:
D>>Конечно посмотрел. Альфа банк, ВТБ, Сбер, газпром банк. Вот 4 топовых банка, у всех есть токены.
V>Это не топовые для юрлиц. V>Актуальный список топов тут: V>https://vsezaimyonline.ru/reviews/best-ibank-ooo.html
Что занчит топовые? Ты уж определись. Вот например сбер на конец 17 года имел 2 млн юр лиц в обслуживании, а точка имела 0.1 млн юриков. Кто из них топовый? Сбер в 20 раз больше точки, а точка оказалась топовой и толкьо по той причине что не обсулаждивает физ лиц. Ты сам то читал название статьи, там про топовость вообще ни слова, там написано лучшие, лучшие например по качеству обслуживания или фишкам. Удобство например для удаленной работы. Какие нафих ТОПы. КОгад я смотрел ТОП, тоже на эту статью напал, но у меня хватило в голове все же вещества, что бы не приводить в пример этот рекламный список.
D>>Ты сам то смотрел, перед тем как писать? Даже у тинькова есть ключ защиты token. Скажи, у кого нет этого токена то?
V>В двух первых топах у меня счета, поэтому я знаю, о чём говорю. V>У Тинькоффа токен опционален, как и у первых топов.
Ах как ты начал крутиться. Сначала ты гвоорил что от него все отказались, теперь оказывается если есть и не обязаловка то тоже значит нет. Нет уж, если есть есть, и не важно опционален или нет — значит он есть.
V>Я тебе уже делал подсказку — у всех банков, у которых есть мобильный клиент, аппаратный токен опционален. V>Для общения по мобильному клиенту банк выпустит электронную подпись для тебя, но хранить её будет у себя, подписывая ею подтверждённые тобой документы/операции.
Нет, ты никаких подсказок не делал, ты просто начинаешь выкручиться. Ты гвоорил что от них отказались. Знаешь почему токены опциональны, потмоу что некоторые клиенты используют мобилы, там некуда волтткнуть токен, но уже начали выпускать токены которые работают через блютуз. А ты гвооришь все отказываются. Нет, все наоборот к ним идут.
D>>Ну и на засыпочку: D>>https://www.rutoken.ru/press-center/news/2016-11-21.html
V>1. 2016-й год.
Именно, уже в 16 году было окучено 200 банков только одинм производителем токенов, подумай что сейчас.
V>2. V>СКЗИ «Крипто-КОМ 3.4» поддерживает несколько типов ключевых носителей для хранения секретных ключей: V>- Накопители на гибком магнитном диске (НГМД); V>- Разделы накопителей на жестком магнитном диске (НЖМД); V>- Сменные носители с интерфейсом USB; V>- Электронные ключи с интерфейсом USB (eToken, SafeNet eToken 5110, Рутокен и др.); V>- Криптографические устройства, поддерживающие интерфейс PKCS#11; V>- Карты флэш-памяти; V>- Реестр Windows. V>[/q] V>Смотри, сколько всего ты не знал до этого общения.
Почему не знал, знал, только самые стойкие это токены железные. Файл с флешки можно прочитать. А про реестр винды я вообще молчу, я так думаю это только для идиотов, которые попросят сами сделать им дыру.
V>Хоть кому-то польза от этого бестолкового времяпрепровождения... ))
Конечно, наконец то ты узнаешь что токены только недавно начали распространятся так массово в банках. А не умирли все, как ты изначально написал.
Здравствуйте, vdimas, Вы писали:
D>>Поэтому и пробелм не было. В США и Европе это большая проблема была.
V>Ты нам зубы не заговаривай. )) V>Про считывание магнитных полос фальшивыми терминалами все и без тебя хорошо в курсе. V>Твоя задача — объяснить свой косяк рассуждений с дампами номеров.
Ты че херату то несешь, какие фальшивые ридеры, ты вообще в теме про POS-вирусы? Они дампят софтом память, где стоит POS софт, это чисто программная херня. Как ты поставишь фальшивый ридер, если этот терминал ручной? КОгда к тебе в ретсоране подходит официант и ты у нгео на руках расплачиваешься кратой? Давай закнчивать треп, ты кроме как обсиранием собеседников ничем не занимаешься, причем это твой конек не только этого поста, а вообще. Хотя по знаним пишешь лажу, потмо выкручиваешься, а когда крутитсья становится трудно начинаешь обсирать.
)
