телефоны для справок
(495) 980-25-86
(8442) 67-87-23

Поиск по сайту:

  Найти

Акция!!! | Аудит | Оценка | Обучение | Программы 1С | Новости бизнеса

Зарегистрироваться | Личный кабинет | Наши партнеры | Контакты | Карта сайта


Рейтинг@Mail.ru
Яндекс цитирования
Яндекс.Метрика
 
 
 
 

Повышение безопасности при обмене с банком через текстовый файл

26.01.2018

В последнее время участились атаки на информационные системы банков и их клиентов с целью хищения денежных средств клиентов. Один из способов хищения заключается в подмене данных в файлах, выгружаемых из учетных систем клиентов и передаваемых в системы для дистанционного обмена данными клиентов с банком (системы типа «клиент-банк»). Подмену осуществляют вредоносные программы, которыми заражается компьютер клиента банка.
Об этом сообщает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Центрального банка России в письме FinCERT PC-V: BN-1C-FAKE -20161129-02. 
По информации FinCERT,  вредоносные программы отслеживают появление файла, обычно имеющего имя 1c_to_kl.txt, выгружаемого из учетных программ и предназначенного для загрузки в программы Клиент-Банк. Вредоносные программы подменяют в файле данные об исходящих платежах. Если пользователь загрузит этот файл с подмененными данными в систему Клиент-Банк и не проверит данные перед отправкой в банк, то платеж уйдет по подложным реквизитам, указанным злоумышенниками.
Чтобы защитить подготовленные в учетных программах системы "1С:Предприятие 8" файлы с данными для загрузки в программы Клиент-Банк специалистами фирмы 1С предлагаются дополнительные способы проверки файлов на модификацию. Проверка выполняется после загрузки данных в программу банка, но до их отправки на исполнение.
Способ реализации данной рекомендации приведен ниже. 

Сценарий использования:

  1. Пользователь выгружает подготовленные платежи в текстовый файл из программы "1С:Предприятие". При этом появляется блокирующее окно

    Пример блокирующей формы:

  2. Пользователь выполняет действия в соответствии с указаниями, написанными на форме.
  3. Если проверка пройдена успешно, то загруженные платежи в программе банка пользователь отправляет на исполнение. Если проверка не пройдена и обнаружена модификация файла, то  необходимо удалить загруженные платежи в программе банка и выполнить проверку компьютера антивирусным программным обеспечением.

 

Пример успешной проверки файла:

Пример обнаружения модификации файла:

Исходные условия:

  1. Файл выгрузки формируется из серверного общего модуля и двоичные данные помещаются во временное хранилище.
  2. На клиент возвращается ссылка на временное хранилище, содержащее двоичные данные файла.

Реализация:

  1. При первоначальной настройке обмена с банком через текстовый файл необходимо генерировать уникальное название файла данных, но дать возможность изменять название пользователем при необходимости

    Пример генерации уникального названия файла:

    Копировать в буфер обмена 
    &НаКлиенте
Процедура ВыборФайлаДляВыгрузки(Элемент) Экспорт	

    	ДиалогВыбора = Новый ДиалогВыбораФайла(РежимДиалогаВыбораФайла.Сохранение);

    	ДиалогВыбора.Фильтр                  = НСтр("ru = "Текстовый файл"") + " (*.txt)|*.txt";

    	ДиалогВыбора.Заголовок               = НСтр("ru = "Выберите папку для выгрузки данных из 1C"");

    	ДиалогВыбора.ПредварительныйПросмотр = Ложь;

    	ДиалогВыбора.Расширение              = "txt";

    	ДиалогВыбора.ИндексФильтра           = 0;

    	НазваниеФайла = СтрЗаменить(Строка(Новый УникальныйИдентификатор), "-", "");

    	

    	ДиалогВыбора.ПолноеИмяФайла          = ?(ПустаяСтрока(Элемент.ТекстРедактирования),

    		НазваниеФайла + ".txt", Элемент.ТекстРедактирования);

    	ДиалогВыбора.ПроверятьСуществованиеФайла = Ложь;

    

    	ОписаниеОповещения = Новый ОписаниеОповещения("ВыборФайлаДляВыгрузкиЗавершение", ЭтотОбъект);

    	ДиалогВыбора.Показать(ОписаниеОповещения);

    	
КонецПроцедуры
  2. После выгрузки файла данных на клиенте открыть блокирующую форму и передать ссылку на временное хранилище двоичных данных файла и путь к файлу на клиенте.

    Пример открытия формы:

    Копировать в буфер обмена 
    ПараметрыФормы = Новый Структура;

    ПараметрыФормы.Вставить("АдресИсходныхДанных", АдресФайлаВоВременномХранилище);

    ПараметрыФормы.Вставить("ПутьКФайлу", Объект.ФайлВыгрузки);

    ОткрытьФорму("Обработка.КлиентБанк.Форма.ПроверкаДанныхПриВыгрузке", ПараметрыФормы);
  3. При создании формы на сервере необходимо получить исходный текст выгруженных данных и сохранить в реквизите формы.

    Пример создания формы на сервере:

    Копировать в буфер обмена 
    &НаСервере
Процедура ПриСозданииНаСервере(Отказ, СтандартнаяОбработка)

    

    	ДвоичныеДанныеИсходногоФайла = ПолучитьИзВременногоХранилища(Параметры.АдресИсходныхДанных);

    	ВремФайл = ПолучитьИмяВременногоФайла();

    	ДвоичныеДанныеИсходногоФайла.Записать(ВремФайл);

    	ТекстовыйДокумент = Новый ТекстовыйДокумент;

    	ТекстовыйДокумент.Прочитать(ВремФайл);

    	ТекстВыгрузкиСтрокой = ТекстовыйДокумент.ПолучитьТекст(); // Сохранение исходного текста в реквизите формы

    	УдалитьФайлы(ВремФайл);

    
КонецПроцедуры
  4. На форме разместить кнопку Проверить и реализовать код для контрольной проверки выгруженных данных.

    Пример контрольной проверки файла:

    Копировать в буфер обмена 
    &НаКлиенте
Процедура Проверить(Команда)

    	Файл = Новый Файл(Параметры.ПутьКФайлу);

    	Если Файл.Существует() Тогда

    		ТекстовыйДокумент = Новый ТекстовыйДокумент;

    		ТекстовыйДокумент.Прочитать(Параметры.ПутьКФайлу);

    		Если ТекстВыгрузкиСтрокой = ТекстовыйДокумент.ПолучитьТекст() Тогда

    			Сообщить("Проверка выполнена успешно. Отправьте платежи на исполнение в программе банка.");

    		Иначе

    			Сообщить("Файл выгрузки изменен вредоносной программой. Удалите все загруженные платежи из программы банка.");

    		КонецЕсли;

    	Иначе

    		Сообщить("Файл удален. Отключите удаление исходного файла в программе банка, удалите загруженные платежи и повторите операцию.
				|Файл также может быть удален вредоносной программой.");

    	КонецЕсли;	
КонецПроцедуры

 

Пример обработки клиент-банк с безопасной выгрузкой данных в программу банка

Обработка КлиентБанк.epf для конфигурации Бухгалтерия предприятия 3.0 на платформе 1С:Предприятии 8.3 находится в каталоге: 1CIts/EXE/EXAMPLES/

Вы можете скопировать обработку прямо сейчас.

Копировать

Источник: 1С:ИТС

Архив

 
 
 
© 2007—2012. Все права защищены. Торговая марка Эккаунтинг Сервис
Тел.: (495) 980-25-86; (8442) 67-61-22, 67-66-34, 67-87-23
Обратная связь: электронная почта