Блог им. wibe

куда податься бедному гусару? )

по поводу поста Alexgood и обеспечения безопасности своих капиталов в торговле на бирже я бы разделил задачу на основные части — выбор брокера и защита своего компа.
надо исходить из того, что помимо неизбежных угроз (инсайдеров у брокера и/или дети дома)) всегда существует угроза взлома компа, которая при осуществлении не оставляет никаких шансов владельцу средств — унесено будет все, что будет доступно, и с любым количеством нулей, так что ставить вопрос о безопасном размере депозита бессмысленно — разве что опыт торговли на бирже с учетом тамошних рисков. )) а реализация угроз посредством перелива — одна из частностей, выбираемых злоумышленниками по обстоятельствам.

1 по выбору брокера
помимо разницы в тарифах брокеры различаются принадлежностью к финансовым институтам (банкам). даже дочерние  структуры зарегулированы отраслевыми (ЦБ) нормативными документами и у них хоть как-то выстроена система защиты информации, а вольные (даже из топ-10) не утруждают себя такими вопросами и не соблюдают даже базовых требований по защите информации, в частности, того же закона о персональных данных, пэтому я бы просто исключил их из рассмотрения, оставив только (при)банковские структуры. я уже писал здесь о технологии взлома и некоторых угрозах. как-нибудь соберусь и допишу остальное.
двухфакторная аутентификация посредством смс — типа БАДа для души, т.к. смс-ки читаются не только получателем. ) но есть и другой известный вариант — OTP (one time password) или система одноразовых паролей без  передачи пароля между клиентом и сервером. это может быть любой токен, генерирующий пароли, или карточка с одноразовыми паролями. не знаю, кто из брокеров сегодня может предложить такой способ аутентификации, хотя в банках они используются. если найдешь — сообщи, пожалуйста. вольные точно не предоставляют такую услугу.

по компу.
использовать его для всего — плохая идея, т.к. даже при простом листании страниц инета регулярно попадаются зараженные сайты из списка «благонадежных» публичных, поэтому можно утверждать, что ежегодное (если не чаще) заражение гарантировано. ессно, антивирус присутствовать обязан, и необязательно коммерческий, но не аваст и ему подобные. лучше взять бесплатный комплексный продукт типа comodo internet security или аналог типа avira, который помимо антивирусной защиты ставить свой firewall и браузер, который может запускаться в своем уникальном контейнере (для квика, к примеру). жесткая система, но все ее неудобства (может мешать играть, к примеру,) оправданы целью.
если же комп безнадежно под windows и используется в хвост, и в гриву, то защита любой онлайновой системой управления финансами должна включать все возможные способы — инет sequrity, организацию виртуальной машины (только для ТС) с еще одним comodo), запуск браузера (для webquik) в контейнере и безусловную авторизацию в каждой подсистеме. плюс регулярное (хотя бы раз в неделю) резервное копирование этой виртуальной машины с всеми потрохами на внешнем носителе.

категорически не рекомендую использовать смартфон для управления своими финансами.

и не следует забывать, что ЛЮБОЙ брокер предоставляет услугу по принципу «как есть» и не несет никакой ответственности за сохранность твоих средств. если внимательно почитать условия догоров, всегда можно найти неисполняемые требования, которые позволять брокеру отвертеться от ответственности в случае инцидента, поэтому спасение утопающих — известно, чья забота. )

будут вопросы — пожалуйста.

вдогонку, спасибо оппоненту — как еще один эшелон обороны можно добавить и криптодиск внутри контейнера. )
★2
7 комментариев
¯ _ (ツ) _ / ¯, я не сказал, что невозможно защитить смартфон, но если для человека защита компа представляет проблему, то защита сматфона — вообще небеса. да, есть технологии для корпоративного сектора типа samsung knox или его преемник samsung folder, но они практически недоступны обычному пользователю и платны ко всему, как и яблочные решения или иных корейцев/японцев/китайцев!, но те и вовсе выгружают все ваши тайны в свои облака, так что прежде, чем комментировать, читай, пожалуйста, по классику — «с чувством, с толком, с расстановкой» ).

как-нибудь распишу угрозы гаджетов — это отдельная и обширная тема.

пишу не для пустых дискуссий — удалять буду безжалостно.
avatar
ок ну предположим был перелив...
но средства надо вывести… причем уплатить ндфл со всего...
т.е внезапно брокеру идет заявка на вывод средств в размере 100500% годовых с охрененным ндфл… а брокер прямо не замечая такого выводит деньги в банк???
да перелив палится брокером за 5 сек… бокер смотрит сделки видит перелив и просит обосновать экономический смысл… иначе легализация отмыв и здоровенный толстый куй цбрф в попе… да еще и полиция будет шастать и документы смотреть

еслиб так было просто все бы деньги переводили через брокеров переливом

за 14 лет торговли не слышал чтоб счет взломали и деньги слили
avatar
ves2010, способов вывода средств, в которых предусмотрен обход методов контроля системы, достаточно. не стану детально излагать сценарии, но предлагаю взглянуть на задачу с точки зрения злоумышленника, вспомнить историю эскалации краж с банковских карт и спроецировать ее на торговую систему. в двух словах, к примеру, когда фбр установил уровень кражи, привлекающий внимание и требующий расследования, в 20 баксов, хакеры стали его соблюдать — так же просто соблюдать установленные ЦБ правила, чтобы не привлекать внимание безопасников. по самой технологии — почему бы не открыть несколько аккаунтов на чужие паспортные данные и, фактически, организовать аналог миксеров в даркнете/на криптобиржах или создать видимость легимной деятельности с целью запутывания следов, и/или… достаточно?
а сор из избы не принято выносить, чтобы не портить себе репутацию, поэтому информация об инцидентах в сми просачивается в редких случаях, когда ее озвучивают сами пострадавшие, как в недавнем случае с открывашкой.
ну, и менталитет наш крепко стоит на принципе — пока гром не грянет., а любая стекляшка рано или поздно бьется. )
пока достаточно, тем более, что это другая тема.

вдогонку — пора бы понимать и всеръез принимать виртуальный криминальный бизнес, который организован и технологически выстроен намного совершеннее, чем бизнес жертв.
avatar
no matter, 
1 это в банке перевод мгновенно идет со счета на карту… а с брокерского счета 2 дня...
2 любой огромный выйгрышь + последующий вывод средств это не скроешь никак
3 по мелкому тырить не получится — раз в месяц подписываешь отчет брокера  -там все сделки — сразу увидишь перелив

avatar
¯ _ (ツ) _ / ¯, - «утренник в детском саду», да и только. )
1 если популярные фильмы не смотришь, так хотя бы почитай по теме
2 все sandbox/jail/etc в мобильных системах прозрачны de facto — в какой среде они создаются?
3 для мобильных систем и искусственный интеллект в качестве потенциального нарушителя не нужен в модели угроз. )

и последнее — всему свое время.
avatar



Пользователь запретил комментарии к топику.

теги блога no matter

....все тэги



UPDONW