Pages:
Author

Topic: сбербанк предупреждает... правда или нет? (Read 2769 times)

member
Activity: 165
Merit: 10
тема снова актуальна
Quote
https://habr.com/ru/news/t/688840
denis-19   вчера в 23:46
«Сбер» после перехода на российские TLS-сертификаты просит установить корневой сертификат CA или «Яндекс Браузер»
.. для использования отдельных сертификатов отдельный браузер со своей отдельной песочницей, конечно, нужен (а лучше бы его в отдельной VM держать)
Moraiatw  18.09.2022 в 12:34
.. По дефолту этим сертом сбера можно подписать серт от любого сайта, к которому сбер не имеет отношения. Т.е. MITM для всего траффика.
.. Вот что действительно страшно: https://habr.com/ru/post/666520/
.. Успел только статью прочитать, а вот комментарии уже нет - доступ закрыт. Оперативно работают.
.. https://archive.ph/VQwWX
Abyss777  18.09.2022 в 11:42
В прошлой новости раскрыли https://habr.com/ru/news/t/688470/#comment_24736278
Каналы связи уже контролируются, стоит СОРМ, просто надоест хранить цифровой шум по закону Яровой, обяжут всех провайдеров делать MitM.
Как уже делают в соседней стране кстати https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
.. ну и третий вариант: не пользоваться услугами сбера.
Quote
https://habr.com/ru/news/t/688470/
denis-19   15 сентября в 17:51
Онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты и будут работать только в «Яндекс Браузере» и «Атоме»
...
https://habr.com/ru/news/t/688470/comments/#comment_24736278
baldr  15.09.2022 в 20:46
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
Quote
https://habr.com/ru/post/666520/
Доступ закрыт
Доступ к публикации закрыт
https://archive.ph/https://habr.com/ru/post/666520/
--->
Quote
Quote
https://archive.ph/VQwWX
, https://itnan.ru/post.php?c=1&p=666520
Суверенный, сувенирный, самопровозглашенный
... Итак, повторю риторический вопрос: кем был создан сертификат с «Госуслуг», кто и на основании чего решил объявить его национальным и кто, соответственно, готов нести всю связанную с этим сертификатом ответственность, если известно, что якобы сгенерировавший его «национальный удостоверяющий центра» не существует в природе, якобы выпустившее его Минцифры не имеет соответствующих полномочий, а у якобы создавшего НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ?
Практический вопрос таков: если завтра кто-то ломанет ваш ЛК во ФГИС ценообразования в строительстве (единственный известный мне сайт, использующий «национальный» сертификат), а Минстрой скажет: где корневой сертификат скачивали – туда и обращайтесь, вы кому предъявлять станете?
Комментарии 9
...
Quote
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
Казахстанская атака «человек посередине»
В 2015 году правительство Казахстана создало корневой сертификат, который мог обеспечить атаку «человек посередине» на HTTPS - трафик от интернет-пользователей в Казахстане . Правительство назвало это «сертификатом национальной безопасности». Если бы сертификат был установлен на устройствах пользователей, он позволил бы правительству Казахстана перехватывать, расшифровывать и повторно шифровать любой трафик, проходящий через контролируемые им системы. [1] [2]
... В декабре 2020 года правительство Казахстана в третий раз попыталось повторно ввести выданный государством корневой сертификат. [11] В ответ на это производители браузеров снова объявили, что будут блокировать любую такую ​​попытку, аннулируя сертификат в своих браузерах. [12]
google/спёрбанк MITM TLS-сертификат
Quote
https://deathofcommunism.com/forum/viewtopic.php?t=211#p3212
Re: Слежка за людьми
Сообщение  Admin » Сб фев 15, 2020
На все браузеры хотят установить шифрование по ГОСТу. Рунет начали переводить на отечественную криптографию
До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты.
По всему миру такие сертификаты используются на сайтах для создания безопасного соединения с браузерами пользователей, которое защищает их личные данные — например, пароли или номера банковских карт, передаваемые при онлайн-платеже.
Российские сертификаты будут отличаться тем, что для шифрования соединения начнут использовать отечественную криптографию. Их использование планируется сделать обязательным для сайтов органов власти, а затем — так называемых организаторов распространения информации, то есть «Яндекса», Mail Group и всех крупных IT компаний Рунета.
Чиновники намерены надавить на Microsoft, Apple, Google, Mozilla и Opera. — чтобы они добавили российский УЦ в список доверенных центров сертификации в своем софте. А также добавили криптопровайдер от одной из российских компаний. Так как Если не выполнить оба условия, то у пользователей, зашедших на сайт, использующий отечественный цифровой сертификат, будет появляться уведомление о небезопасном соединении.
Для чего собственно это все
Правами доступа к ресурсам центра будут обладать «полномочные сотрудники правоохранительных и контролирующих органов государственной власти Российской Федерации».
Данные государственные центры могут выдавать недействительные сертификаты и организовывать MITM-атаки.
Они позволяют расшифровывать перехваченный трафик пользователей практически к любому сайту в интернете, а не только к тем, TLS-сертификат которым выдал УЦ, организовавший атаку. Ключевое условие — в браузере на устройстве пользователя УЦ, организующий атаку, должен быть установлен в качестве «доверенного». Что собственно и хотят сделать чиновники.
Источник https://t.me/s/black_triangle_tg/571
2) Защита от этой MITM - 4pda.to/Tinfoil Chat
Quote
https://habr.com/ru/co…itsumma/news/t/486848/
http://www.opennet.ru/…ws/art.shtml?num=52305
В рамках проекта TFC (Tinfoil Chat) предпринята попытка создания прототипа ...
Quote
https://4pda.to/forum/index.php?showtopic=717365&st=19760#entry93810345
группой проекта TFC (Tinfoil Chat) Создан сверхзащищенный мессенджер https://safe.cnews.ru/news/top/2020-02-03_razrabotchiki_sozdayut_sverhzashchishchennyj
Код распространяется бесплатно https://github.com/maqp/tfc
и вы уже сейчас можете установить его себе https://github.com/maqp/tfc
компьютеров вам понадобиться три штуки.
USB-сплиттер в системе работает по принципу «диод данных» (data diode), пропуская информацию физически лишь в одном направлении – с первого ПК на второй и с третьего на первый.
Для регулировки направления передачи данных в сплиттере применяются оптроны.
Сплиттер можно собрать самостоятельно, купив детали в магазине радиоэлектроники. Мессенджер работает только на операционных системах Linux
все это можно собрать в одной небольшой коробочке из трех плат Raspberry PI. Получится невзламываемый
google/Tinfoil Chat site:reddit.com
Quote
https://www.reddit.com/r/crypto/comments/2nhwo0/tinfoil_chat_messaging_platform_immune_against/
Сообщение от навитус 7 лет назад
Tinfoil Chat — платформа для обмена сообщениями, защищенная от массовой слежки
джианнон·7 лет назад
Чем он лучше других клиентов OTR? Может ли криптокот подключиться к пиджину?
[удалено]·7 лет назад
Аннотация технического документа должна объяснять ключевые различия. По сравнению с OTR, TFC значительно повышает безопасность за счет некоторого удобства:
Криптография:
Отсутствие атак QC / TLS-MITM, в отличие от асимметричного шифрования и ключей PKI (+) <>, которые необходимо предварительно совместно использовать (-).
OTP: Нет атак только для CT (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
OTP: Безоговорочно безопасная целостность сообщений (+) <> ключевые данные исчерпываются после нескольких сотен тысяч сообщений (-).
CEV: Нет единой точки отказа алгоритма (+) <> больше кода для аудита (-).
Генерация ключей:
HWRNG с открытой схемой: недетерминированная энтропия без бэкдоров (+) <> инвестиции в оборудование (-).
Ключ безопасности:
Никакой пост-эксплуатации, если только ПО/ аппаратное обеспечение изначально не заблокировано или впоследствии физически скомпрометировано (+) <> Вложение двух дополнительных компьютеров для выделенного использования в качестве блоков TCB (-). При использовании компьютеров RPi с дешевой периферией цена системы начинается от 300 долларов без учета инструментов.
Таким образом, TFC лучше, чем OTR, если ваша модель угроз включает в себя автоматизированную эксплуатацию конечных точек сети с использованием нулевых дней , ежедневно практикуемых правительствами : АНБ с такими вредоносными программами, как Flame , Regin или программа под кодовым названием Foxacid — Metasploit , только с ограниченным бюджетом . GCHQ , Германия , Нидерланды и Финляндия , а вскоре и ФБР тоже этим занимаются. Если злоумышленнику не удается скомпрометировать систему во время процедуры установки, TFC невосприимчив к краже ключа , если только он не скомпрометирован физически.
TFC использует OTR, но только для запутывания и защиты протокола от анализа трафика. Кроме того, поскольку вы спросили, Cryptocat не подключается к Pidgin, хотя и совершенно не связан с этим.
newbie
Activity: 25
Merit: 0
В налоговой ты тоже будешь писать что не знаешь откуда и от кого? Такие смешные ребята.. С любого обналичивания тебя спросят ибо налоговый кодекс.. при этом неважно какая сумма.
full member
Activity: 277
Merit: 101
Тут что обсуждать либо дал в долг либо вернули долг и проблем нет
newbie
Activity: 24
Merit: 10
Пока никто из знакомых не попадал в подобную ситуацию. Ну и миллионами из них никто не переводит . 
full member
Activity: 812
Merit: 106
.....Как говорил наш капитан:
-Лучше обосраться во время шторма, чем от прогноза погоды.
(Кухня)
newbie
Activity: 28
Merit: 0
Да правда, есть информация если какой бы ни был перевод, лучше не писать дополнительное сообщение, кому и за что.
Просто делайте перевод, без сообщений.
full member
Activity: 182
Merit: 100
В итоге, все что прочитал о сбере, все какие то проблемы и подляны, однозначно пользоваться даже в житейских ситуациях не буду, не говоря уж о выводе крипты.
full member
Activity: 266
Merit: 111
да были раньше уже подобные набросы, если в гугл забьет текст объявления, он вам найдет несколько таких сообщений с разными датами
делается специально чтобы усилить недовольство населения и т.п.
кто делает не знаю, но то что сбербанк таки не занимается ( рассылкой), это точно
member
Activity: 100
Merit: 10
В Эстонии такое давно практикуют, периодически по делам перевожу деньги, всегда просят указывать в сообщении "в счет долга", даже если сумма мизерная, иначе налоговая, или кто там у них, потом с тебя живого не слезут. у нас тоже всегда за переводы крупные могли поинтересоваться, но не с физ лиц...
member
Activity: 250
Merit: 28
Похоже сбербанк начал сотрудничать с налоговой, нужно другой банк искать, мб альфа Huh
альфа та же петрушка... 7 кругов ада, а уж потом тебе разрешат снять твои деньги, точнее что от них останется из-за налогов...
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
какая выгода самому Сбербанку, что у них оборотные средства будут уменьшаться из-за блокировки счетов? Вот оно - введение нового налогообложенияGrin Сберовские карты надо менять в целях безопасности, в любом случае, это первый банк, который начнет тотальный контроль. . И спасибо за предупреждение!

Э-э, я думаю, вы что-то конкретно путаете

С чего бы это оборотным средствам у банка уменьшаться? Во-первых, полагаю, что общий объём заблокированных средств не такой уж и большой по сравнении с теми деньгами, которыми ворочает Сбербанк. И, во-вторых (и в самых главных), это у людей будут уменьшаться оборотные средства, а не у банка. У банка они как раз будут увеличиваться, поскольку если средства заблокированы, они заблокированы для клиента, а не для банка. Банк по сути получает бесплатный кредит на время блокировки, которым он может распоряжаться по своему усмотрению. Например, дать вам ваши же деньги в долг. Что не нравится?



Это Сбербанк, детка!
member
Activity: 308
Merit: 10
какая выгода самому Сбербанку, что у них оборотные средства будут уменьшаться из-за блокировки счетов? Вот оно - введение нового налогообложенияGrin Сберовские карты надо менять в целях безопасности, в любом случае, это первый банк, который начнет тотальный контроль. . И спасибо за предупреждение!
member
Activity: 280
Merit: 14
Смотрю правительство конкретно берет за жопу (((

Ещё никого не взяли, а уже все обосрались

Как же хорошо что в своей время одумался и не стал переводиться в сбербанк, казалось что это лучший вариант, а потом начитался отзывов и в итоге избежал подобных подстав. Крайне муторный банк, в любой момент подгадит.

Там и отзывов читать не надо

У меня в своё время была бесплатная карточка Сбера Маэстро, так я по ней ни в одном Интернет-магазине расплатиться не мог. Ну я обратился в поддержку Сбера, чтобы выяснить что за шлак они мне всучили, так они воспользовались моментом и поиздевались надо мной знатно. Но я этого не забыл, и когда срок действия этой карточки закончился, и они мне предложили выпустить новую карточку (такие же карточки больше не выпускались), я им вспомнил всё и высказал всё, что я о них думал (и продолжаю думать)

таки за жопу очень даже взяли. На днях по рбк про это было. Вовсю блокируют счета юрлиц, кто много с налом работает, например кто цветмет у физлиц покупает и потом за безнал за бугор тащит. Хотя это не совсем та тема, здесь про карты, но тоже близко. Так что не фейк. Такие дела...
hero member
Activity: 770
Merit: 501
Так что теперь делать ребят? Если advcash закроют каким образом можно вывести деньги? Какие сейчас карты иностранных банков можно использовать?
А всё .Приплыли.АДВ и ПАЙЕР только до НГ будут банкоматы еще давать и то на старые карты.Потом искать другие пути придется  Smiley
full member
Activity: 966
Merit: 100
Harmony for One and All
Так и что с этим делать? Есть какой то способ безопасный относительно обналичивать . Или надеяться на удачу - повезет не повезет?
full member
Activity: 164
Merit: 100
"Fueling Crypto Securitisation"
а зачем мне тогда карточка, если я оплачивать ею не могу? думаю это ложь, вряд ли такое происходит, ну или может где очень крупные суммы переводов.
member
Activity: 108
Merit: 10
Так что теперь делать ребят? Если advcash закроют каким образом можно вывести деньги? Какие сейчас карты иностранных банков можно использовать?
full member
Activity: 263
Merit: 105
Странно, со мной всегда все вежливы.
А если про Сбер, то у меня 3 штуки их карт. Я уже начал забывать, как наличные выглядят.

Да и у меня нет особых проблем с ним. Хотя я этот банк активно поиспользовал Grin
Нарекание только на навязывание мобильного клиента с целью получить плюсики к зарплате.



Тут очень много нареканий на Сбер.

Но учтите, активы Сбера в 100 раз превышают активы ТКС или Хомяка. Он абсолютный лидер по числу вкладов, карт, офисов.
Если его разделить на 100 разных банков, то будут жаловаться на банк1, банк2, банк3, ... , банк100.
А так сбер, сбер, сбер...

Я со многими банками имел дело и про многие банки в курсе дел - сбер не самый плохой банк.
Более того, есть более жёсткие банки чем сбер в области ФМ в относительном исчислении.
Просто сбера очень много.
newbie
Activity: 64
Merit: 0
Странно, со мной всегда все вежливы.
А если про Сбер, то у меня 3 штуки их карт. Я уже начал забывать, как наличные выглядят.
legendary
Activity: 3514
Merit: 1280
English ⬄ Russian Translation Services
Смотрю правительство конкретно берет за жопу (((

Ещё никого не взяли, а уже все обосрались

Как же хорошо что в своей время одумался и не стал переводиться в сбербанк, казалось что это лучший вариант, а потом начитался отзывов и в итоге избежал подобных подстав. Крайне муторный банк, в любой момент подгадит.

Там и отзывов читать не надо

У меня в своё время была бесплатная карточка Сбера Маэстро, так я по ней ни в одном Интернет-магазине расплатиться не мог. Ну я обратился в поддержку Сбера, чтобы выяснить что за шлак они мне всучили, так они воспользовались моментом и поиздевались надо мной знатно. Но я этого не забыл, и когда срок действия этой карточки закончился, и они мне предложили выпустить новую карточку (такие же карточки больше не выпускались), я им вспомнил всё и высказал всё, что я о них думал (и продолжаю думать)

И конечно же,  после того как вы все высказали какой -то девченке оператору или пацану - оператору, которые там на стажировке - все руководство Сбербанка и лично господин Греф покаялись, посыпали голову пеплом и пообещали так больше никогда не делать. Да, действительно, говорят, что месть надо подавать холодной.

Это всего лишь ваши домыслы

Я выразил своё негодование непосредственно в офисе Сбера в лицо тётке лет 50, которая очень настойчиво пыталась убедить меня купить ещё немного Сбера. А вот надо мной глумилась не "какая-то девчонка-оператор или пацан-оператор", а вполне взрослая личность, ну типа старшая или кто там у них решает вопросы, которые не может решить оператор. Но мне другое непонятно, с чего бы это вам так защищать Сбер, эту обитель зла и её демонов?
Pages:
Jump to: