On-line: гостей 0. Всего: 0 [подробнее..]
Доска объявлений

08.07.2013 Доступно для скачивания ПО ФПСУ-IP/Клиент Скачать с сайта Сбербанка
08.07.2013 Доступна для скачивания версия 07.020.00 АРМ "Клиент" АС "Клиент-Сбербанк" Скачать с сайта Сбербанка
08.07.2013 Архив ссылок на предыдущие версии АРМ "Клиент" АС "Клиент-Сбербанк" перенесен в тему Загрузка полезной информации


Для Вас доступны следующие темы:
Загрузка полезной информации (*update 09.07.2013)
FAQ по АРМ Клиент

Вы можете оставить свои предложения и отзывы в теме:
Книга отзывов и предложений по работе СБ РФ


АвторСообщение



Сообщение: 1
ссылка на сообщение  Отправлено: 16.06.11 09:49. Заголовок: Использование ЭЦП - бесплатно, удобно и безопасно.


Моё чистейшее IMHO, но всё же решил поделиться с народом.

Первое - не тратим деньги на покупку всяких ru, ua и e-token'ов.
Второе - храним ЭЦП только на машине, которая используется для ЭД и резервную копию на флешке в сейфе.
Третье - не корячимся вставляя - меняя дискеты или ru, ua и e-token'ы, только движения мышОй.

Необходимый софт для организации безопасного, удобного и бесплатного хранения и использования ЭЦП:
а. RawWrite for Windows - для создания образов дискет. http://www.chrysocome.net/downloads/rawwritewin-0.7.zip
б. Virtual Floppy Drive (VFD) for Windows NT - бесплатный эмулятор Floppy-дисков для платформ Windows NT / 2000 / XP и 2003 (только 32-х битные!). Позволяет эмулировать любые 5.25, 3.5 дискеты стандартных емкостей в 1 или 2-х виртуальных дисководах. Программа позволяет подключать образы дискет, созданные в других приложениях (RawWrite(Win), WinImage, dd), или же создавать их самому.
Работает и в WIN7, есть драйвер и для 64-битных систем, но я не проверял работу, поэтому только сведения о наличии. http://citylan.dl.sourceforge.net/project/vfd/2.1%20%28February%2006%2C%202008%29/vfd21-080206.zip
http://citylan.dl.sourceforge.net/project/vfd/2.1%20%28February%2006%2C%202008%29/vfd-x64-critical0.zip
http://nnm-club.ru/forum/viewtopic.php?t=303640
в. TrueCrypt - программа для шифрования «на лету» для 32- и 64-разрядных операционных систем семейств Microsoft Windows. Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска, все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску.
http://www.truecrypt.org/download/transient/89c008bb42/TrueCrypt%20Setup%207.0a.exe
http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip
http://nnm-club.ru/forum/viewtopic.php?t=293691
г. DevCon — это программа с интерфейсом командной строки, которая используется в качестве альтернативы диспетчеру устройств. С ее помощью можно включать, выключать, перезапускать, обновлять, удалять и опрашивать отдельные устройства или группы устройств. Нам будет нужна для программного отключения floppy дисковода. http://download.microsoft.com/download/1/1/f/11f7dd10-272d-4cd2-896f-9ce67f3e0240/devcon.exe
Всё это ПО бесплатное, спасибо огромное авторам этих программ.
Весь набор одним архивом можно скачать здесь: http://www.kashary.ru/downloads/Floppy.zip (примерно 8 метров, в наборе и образ чистой дискеты, с него удобно начинать генерацию ключей, если это предусмотрено программой. Но образ форматированной дискеты можно сделать и самостоятельно, и при том, очень запросто в Virtual Floppy Drive).
Установка.
Крипто-Про, Sbersign и все подобные установлены, ключи ЭЦП заказываем или генерируем сами на floppy дискетах.
1.Устаналиваем (очень громко сказано) RawWrite for Windows - просто распаковываем rawwritewin-0.7.zip в походящее место. Пусть даже в корень диcка - C:\. Запускаем rawwritewin.exe. И создаём образы дискет с ЭЦП, сохраняя их на припасённую флешку, которую потом спрячем сейф за семь замков.
2.Оцениваем ситуацию на используемой для ЭД машине, если имеются иные программы, использующие в качестве ключевого носителя исключительно диск A:\, то и для них делаем образы дискет и отключаем физический floppy дисковод утилитой DevCon.
Если же используется только Крипто-про, то физический floppy дисковод можно не отключать, отставив за ним A:\. Крипто Про с успехом будет использовать виртуальный диковод B:\.
Для отключения физического floppy дисковода распаковываем скачанный devcon.exe и в командной строке даем команду ПУТЬ_КУДА_РАСПАКОВАЛИ\devcon\i386\devcon.exe disable *FLOPPY* , если надо будет когда-нить включить дисковод, то devcon.exe enable *FLOPPY*
3. Устанавливаем TrueCrypt, создаем шифрованный файл, подключаем его как диск и копируем на него образы дискет с ЭЦП. Как это сделать, если вдруг в самой программе не понятно, - http://truecrypt.org.ua/faq, http://truecrypt.org.ua/content/руководство-для-начинающих . Добавляем наш шифрованный файл в виде раздела в избранные.
4. Устаналиваем (очень громко сказано) Virtual Floppy Drive (VFD) for Windows NT - просто распаковываем vfd21-080206.zip. Пусть даже в корень диcка - C:\. Запускаем vfdwin.exe и настраиваем эмуляцию виртуального дисковода. Очень подробно сие действие описано в инструкции в общем архиве.
Использование.
В трее значок TrueCrypt давим правой кнопки мыши и выбираем пункт "монтировать избранные тома", вводим пароль и только тогда!!! получаем доступ к образам дискет с ЭЦП. Двойным щелчком по нужной в данный момент подписи "вставляем" её в виртуальный привод. Нужна вторая подпись - щёлкаем по нужному образу и он уже в "дисководе".
В настройках TrueCrypt ставим "размонтировать через Х минут неиспользования", и наши ЭЦП будут сами "прятаться" по прошествии указанного времени.
Вот и безопасность - не зная пароля доступ к ЭЦП не получить, и дискеты на столе (в дисководе) не валяются (не торчат) по забывчивости.
По мне - так красотища! И ru, ua и e-token'ы ф топку, а то может случиться пива нахлещусь и потеряю... А так всё под паролем, забыл пароль или выгнал бухгалтера - все копии на флешке в сейфе!!!

Подготовленно по публикациям в рунете, всем, чьи материалы прямо или косвенно использовались огромный респект. Ссылки на всех, к сожалению, дать не могу - уже позабыл где и что читал...

Спасибо: 0 
ПрофильЦитата Ответить
Ответов - 13 [только новые]





Сообщение: 2
ссылка на сообщение  Отправлено: 16.06.11 09:51. Заголовок: Для использования вы..


Для использования вышеозначенного пакета программ на 64 битных Windows7 необходимо VFD уговорить запуститься в 64 битной среде. Остальные программы и так работают как миленькие.
Что нам понадобится.
1. Драйвер VFD для х64 взять на этой странице http://levicki.net/downloads , на сегодняшний день третья сверху позиция: 2009/02/16 Virtual Floppy Drive Kernel Mode Driver
2. Программка для установки собственной ЭЦП на вышеуказанный драйвер. Лежит тут http://files.ngohq.com/ngo/dseo/dseo13b.exe, но наверное начать придётся отсюда http://www.ngohq.com/home.php?page=dseo.
3. Она же для отключения проверки ЭЦП у драйверов.
4. RemoveWatermark для удаления надписи с рабочего стола о включенном тестовом режиме (если кому жить мешает) взять тут http://file.qip.ru/file/u7JVZl46/RemoveWatermark_20090509.html
Для чего нужна программа из п.2 и п.3. Если мы просто (как на х86) попытаемся установить имеющийся драйвер, то ничего не выйдет потому, что достопочтенный Windows 7 64bit не предупреждая нас просто не запустит неподписанный драйвер. Вот такая особенность имеется.
Можно отключить эту проверку, но только на один сеанс - до перезагрузки: по F8 до загрузки Windows выбрать соответствующий пункт.
Применяя утилиту Driver Signature Enforcement Overrider 1.3b мы одной программой драйвер подпишем и включим тестовый режим (тот же, что и по F8, только не на один сеанс).
Сразу скажу, что есть ещё один вариант отключения проверки подписи драйверов, но он, на мой взгляд, гораздо сложнее и вмешивается в загрузчик Windows, что не есть гут.

Что делаем.
1. Отключаем UAC (Контроль Учетных Записей): щелкните на кнопке Пуск и затем откройте окно Панель управления. В поле поиска, расположенном в верхнем правом углу окна, введите UAC. Теперь щелкните на ссылке Изменение параметров контроля учетных записей. Откроется окно в котором ползунок передвигаем в самый низ. Ок – перезагружаемся.
Ещё вариант отключения и включения UAC батниками, они имеются в наборе.
2. Разархивируем драйвер vfd_x64.zip в папку программы VFD, то есть заменяем имеющиеся там vfd.dll и vfd.sys на специальные для 64 битных систем.
2. Отключаем запрет на установку неподписанных драйверов и подписываем тестовой подписью.
а. Запускаем dseo13b.exe давим Next, Yes (соглашаемся с тем что никто ни за что не несёт ответственности, хотя программа использует штатный режим операционной системы и не может навредить сама по себе)
б. Включаем тестовый режим, установив переключатель в положение "Enable Test Mode", давим Next. Должно появится окошко с предупреждением от том, что включен тестовый режим. "Test Мode has been ENABLED......" давим ОК. Предусмотрено и обратное действие "Disable Test Mode", отключающее тестовый режим.
в. Теперь нужно добавить подписи для непроверенных системных файлов. Для этого выберите "Sign a System File" и введите имя файла, включая полный путь.
В моём случае путь назывался так c:\Program Files(86)\vfd21\vfd.sys, Вы исходите из того, куда установили (распаковали VFD). Ввели путь к драйверу, давим ОК, и фсё - VFD подружился с Windows 7 64 bit. Далее как и в XP настраиваем программы.
3. Теперь, если мы перезагрузимся, то на рабочем столе появится надпись Test Мode итп, надпись маленькая, жить особо не мешает, но если вам будет портить жизнь, то запускаем RemoveWatermarkX64.exe давим Y, и ждём пока в окошке не появится "Press Enter to exit". Конечно давим Enter.
Всё, мы сделали своё дело, драйвер будет принят за своего и мы можем настраивать программы для хранения ключей на шифрованном разделе винчестера.
Опять-таки всем, чьи труды я использовал громадный респект.
Набор http://www.kashary.ru/downloads/Floppy.zip обновлён.


Спасибо: 0 
ПрофильЦитата Ответить
администратор




Сообщение: 653
Откуда: Россия, Петрозаводск
ссылка на сообщение  Отправлено: 16.06.11 22:49. Заголовок: Я выложу рекомендаци..


Я выложу рекомендации безопасности на форум... Одно из них - НИ В КОЕМ СЛУЧАЕ НЕ ХРАНИТЬ ЭЦП НА КОМПЬЮЕТЕРЕ - ТОЛЬКО НА СЪЕМНЫХ НОСИТЕЛЯХ... и в этом есть здравая мысль...

Оцениваем наш форум и говорим "Спасибо!" в СМС-копилке... ждем Ваших СМС... Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 3
ссылка на сообщение  Отправлено: 17.06.11 19:36. Заголовок: Не спорю, но каждый ..


Не спорю, но каждый для себя сделает выбор.
Когда организаций больше одной, количество дискет или флешек превышает все разумные пределы. Дискеты своё отжили, но эмулировать их очень легко и удобно.
А хранение ЭЦП в зашифрованном виде в под одним-единственным паролем, взломать который под силу только ФСБ, да то с применением термо-ректального криптоанализа (копирайт не мой, ес-но), я считаю не менее безопасным, чем россыпь дискет на столе.



Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 1
ссылка на сообщение  Отправлено: 04.07.11 23:31. Заголовок: vamh пишет: Не спор..


vamh пишет:

 цитата:
Не спорю, но каждый для себя сделает выбор.
Когда организаций больше одной, количество дискет или флешек превышает все разумные пределы. Дискеты своё отжили, но эмулировать их очень легко и удобно.
А хранение ЭЦП в зашифрованном виде в под одним-единственным паролем, взломать который под силу только ФСБ, да то с применением термо-ректального криптоанализа (копирайт не мой, ес-но), я считаю не менее безопасным, чем россыпь дискет на столе.


При соблюдении основных мер безопасности (антивирус, периодическое обновление, работа не под админом и т. д.) извините, уважаемый vahm, но все это лишний огород. Если к машине с Клиент банком будет удаленный доступ или на ней будет сидеть троян, то ключи с ЭЦП с такой же легкостью, в момент монтирования вами виртуальных дисков, будут скопированы как и с реальных дискет.

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 4
ссылка на сообщение  Отправлено: 05.07.11 05:58. Заголовок: Таки макаром боремся..


Таки макаром боремся с двухрукими троянами, криворукими юзерами и отвратительным качеством дискет, а не спасаемся от вирусов...

Спасибо: 0 
ПрофильЦитата Ответить
moderator




Сообщение: 1306
Откуда: Россия, Курган
ссылка на сообщение  Отправлено: 05.07.11 21:10. Заголовок: vamh пишет: Таки ма..


vamh пишет:

 цитата:
Таки макаром боремся с двухрукими троянами, криворукими юзерами и отвратительным качеством дискет, а не спасаемся от вирусов...



Если Вы контору сопровождаете профессионально - респект. Но мы исходим здесь из посыла, что юзер - ламер, местный админ - лентяй (это не просто "громкие слова", с этим сталкиваемся повседневно, ладно, если админ не полный дебил). Если можете обеспечить локально безопасность, то почему бы и не "да". Но приходится чаще сталкиваться с ситуациями: "комп сп...ли (спёрли, разумеется) вместе с ключами", "админ "свалил", теперь ничего не работает (админ ходит в инет через rootkit на этом компе)", "Ваша программа таскает только вирусы (ваще перл постоянный )" и т.п. Если разъяснять все эти первопричины человеку, который в системе и ПО ничего не понимает, то работать абсолютно некогда будет, поймите правильно и нас.

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 5
ссылка на сообщение  Отправлено: 06.07.11 05:52. Заголовок: Я как буд-то диссер..


Я как буд-то диссертацию защищаю. Моя позиция изложена в первой строчке первого поста.
Неделю как в одной конторе смениля бухгалтер, пришла девушка, которая умеет только winamp запускать, через два дня уже СПЭД в работе, все подписи по описанной выше системе - не боги горшки обжигают...

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 2
ссылка на сообщение  Отправлено: 06.07.11 07:38. Заголовок: На многих форумах мо..


На многих форумах можно найти описания способов "удобного" работы с ЭЦП и обхода "дебильных" настроек ФПСУшки придуманных Сбером.
Ваш метод работы с ЭЦП, не спорю удобен, но не безопасен. А когда возникают проблемы с кражей денег, практически первый вопрос:
"А почему Сбер не обеспечил сохранность наших денег?". При такой организации работы с ЭЦП Вы должны четко понимать, все риски связанные с кражей подписей.
А хранение подписей на шифрованном разделе, может спасти только от случая кражи винчестера когда вор целенаправленно крадет ПК ради Клиент-Сбербанка, а в остальных
случаях шифрование бесполезно.

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 6
ссылка на сообщение  Отправлено: 06.07.11 22:56. Заголовок: komsa80 пишет: а в ..


komsa80 пишет:

 цитата:
а в остальных случаях шифрование бесполезно


Как и убирание дискет в сейф?
Ну так хотя кандидата даёте?

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 3
ссылка на сообщение  Отправлено: 07.07.11 23:22. Заголовок: vamh пишет: komsa80..


vamh пишет:

 цитата:
komsa80 пишет:

цитата:
а в остальных случаях шифрование бесполезно


Как и убирание дискет в сейф?
Ну так хотя кандидата даёте?


Уважаемый, не надо вырывать слова из контекста. В моем посте было сказано, что шифрование может защитить только от физической кражи ПК, точно также как и убирание дискет в сейф. Требование по хранению носителей ЭЦП в сейфе основывается на предположение, что клиент выполняет остальные рекомендации по безопасности. А если его ПК антивирус никогда не видел и на нем полный "зверинец", то убирай не убирай дискету так же как шифруй не шифруй, ЭЦП украдут.
Проблема не в убирании дискеты в сейф или в шифровании, а в комплексном подходе к обеспечению безопасности Клиентского места и в выполнении рекомендаций по безопасности (указанных в Памятке на доске объявлений сайта).

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 7
ссылка на сообщение  Отправлено: 07.07.11 23:25. Заголовок: Не заслужил.....


Не заслужил...

Спасибо: 0 
ПрофильЦитата Ответить



Сообщение: 4
ссылка на сообщение  Отправлено: 07.07.11 23:50. Заголовок: vamh пишет: Не засл..


vamh пишет:

 цитата:
Не заслужил...


Кандидата заслужили :)
То, что вы предлагаете удобно, но клиент (и человек сопровождающий Клиент Сбербанк) должны четко понимать, больше удобства, меньше безопасность.

Спасибо: 0 
ПрофильЦитата Ответить
moderator


Сообщение: 352
Откуда: Россия, Тольятти
ссылка на сообщение  Отправлено: 09.07.11 22:12. Заголовок: vamh Первое же треб..


vamh
Первое же требование работодателя покрыть убытки понесенные организацией вследствие Вашей оптимизации вернет вас на грешную землю. А первый судебный иск вобьет в нее по уши. И поверьте, это не эпитафия.


Спасибо: 0 
ПрофильЦитата Ответить
Ответ:
1 2 3 4 5 6 7 8 9
видео с youtube.com картинка из интернета картинка с компьютера ссылка файл с компьютера русская клавиатура транслитератор  цитата  кавычки оффтопик свернутый текст

показывать это сообщение только модераторам
не делать ссылки активными
Имя, пароль:      зарегистрироваться    
Тему читают:
- участник сейчас на форуме
- участник вне форума
Все даты в формате GMT  3 час. Хитов сегодня: 7
Права: смайлы да, картинки да, шрифты нет, голосования нет
аватары да, автозамена ссылок вкл, премодерация откл, правка нет



Создай свой форум на сервисе Borda.ru
Текстовая версия

клиент сбербанк банк клиент сбербанк АРМ Клиент Клиент-Сбербанк Сбербанк АС Клиент-Сбербанк Форум СПЭД Sbersign фактура Сбербанк Он-лайн ошибка RAS ошибка Winsocket