Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали
Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!
Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.
mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))
Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.
KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.
waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.
KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
А по серьезному… такие преценденты были или это только теория?
waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.
А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.
При открытии счета и генерации ключей об этом предупреждает каждый уважающий себя брокер. Для меня новость, что есть такие, кто по незнанию годами вводят полный логин.
yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами
Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.
Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
мои 5 копеек. знал об этом от техподдержки брокера, ибо в втб 24 каждые три года надо подписывать соглашение по квику. и без ввода пароля, вход не удаётся.
Дмитрий,
СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
Логин ни на что не влияет, можете не волноваться. Пароль должен быть сложным так как с помощью него зашифрован закрытый ключ (secring). Ваш публичный ключ есть у вас и у брокера. Брокер используя ваш публичный ключ (pubring) может расшифровать поток зашифрованный вашим закрытым ключом. Так что для брокера тот кто использует ваш закрытый ключ — тот и есть вы. Quik нужно настроить чтобы он искал ключи с защищенной флешки. Плюс выставить в квике опцию восстанавливать соелинение после обрава связи автоматом. Вставляете флешку, набираете логин (любая подстрока из набора символов в логине, хоть один символ), набираете забубенный пароль. После установки соединения флешку убираем. Все, до тех пор пока квик не закроете квик будет сам держать соединение.
oki7, я проверил. залогинился в квике. вытащил флешку. поток отключил кабель Ethernet. и квик больше не логиниться. этот совет не катит. версия квика 5.2
oki7, а как настроить квик, чтобы он искал ключи на флешке? единственное, с чем я согласен, что надо переместить файл QRYPTO.CFG в другую папку и переименовать его.
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП. доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП («ключевой контейнер»). доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
Забыл, самое дибильное что вы можете сделать с точки зрения кражи ключей — это держать ключи в каталоге с квиком или там где их местоположение описано в конфиг файле.
Евгений Александрович,
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.
Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например
pubring=key\pubring.txk
secring=key\secring.txk
при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.
Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.
В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.
меня об этом много-много лет назад
проинформировали в Трояке,
когда я там свой счёт открывал…
:)
Доброго Дня Вам!
Коллеги, мне кажется — это номинация на пост года на фарт-лабике!!!
А по серьезному… такие преценденты были или это только теория?
ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK
uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm
Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
так и вхожу
quik.ru/user/faq/keys/#q61
iquik.ru/2012/03/20/iquik-how-to-connect-to-different-brokers-account/
iquik.ru/2012/05/10/quik-change-login-password/
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.
Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например
pubring=key\pubring.txk
secring=key\secring.txk
при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.
Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.
В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.