Скачать MetaTrader 5

В ногу со временем: "паранойя" с безопасностью - модный тренд или насущная необходимость?

Авторизуйтесь или зарегистрируйтесь, чтобы добавить комментарий
Зарегистрируйтесь продавцом и начните зарабатывать!
x572intraday
349
x572intraday 2013.11.25 12:56 

 Если обнаружите меня в танке - вынимайте!

 А пока назрели нижеследующие размышления...

 Положим, где-нибудь в аэропорту был забыт ноутбук с торгующим в реальном времени экспертом. Ну а вдруг. Не запаролена ни учётная запись операционки, ни даже рабочий е-мэйл (либо сессия в браузере не истекла и можно рефрешить и мониторить Входящие, либо файлик с паролями лежит где-то поблизости), не говоря уже о самом терминале.

 Заранее предупреждаю вопли типа "сам виноват, шифровать и паролить надо перед выходом из дома!" элементарной фразой: в жизни всякое случается.

 Итак. Злоумышленник заполучает бойко и прибыльно торгующий ноутбук. Все счета - первоначального и законного владельца аппарата, так что, казалось бы, всё, что он может сделать - это медленно смотреть, как растёт прибыль на чужом счёте, с которого он сам всё равно ничего не сможет вывести. Или сможет?..

 Например, зайти в Личный Кабинет того самого брокера или ДЦ (пароль от Кабинета - в файле на ноутбуке) и просто поменять платёжные реквизиты на свои - это вряд ли, так как финансовый отдел перед выплатами проверяет владельца и в случае любых подозрений сделает запрос для подтверждения личности владельца новых реквизитов. Тупик.

 Исходный код эксперта недоступен, есть защищённый, привязанный к ноутбуку ex5-файл, поэтому перенести сразу его либо скопировать, перенести и скомпилировать исходник для себя на другой машине возможности нет.

 Тогда злоумышленник заводит у того же брокера реальный счёт, подключает его через уже существующий в ноутбуке терминал, переключается на него и наслаждается зарабатыванием на чужом эксперте? Разумеется, всё это он делает через прокси, чтобы перед выплатой заработанного к нему не могли бы придраться, что с того IP торгует совсем другой клиент. Возможно, злоумышленник зачищает ещё какие-то следы в ноутбуке, о которых я не знаю, но которые могли бы деанонимизировать или вернее разоблачить его перед брокером.

 Дабы чужой новоявленный владелец не смог получить выгод от чужих трудов или программного незаконно приобретённого бизнес-имущества, мне подумалось (сидя глубоко в танке), что неплохо было бы иметь, во-первых, опциональную возможность периодического ручного подтверждения автоматических запросов с торгового сервера на резолюцию дальнейшей торговли, высылаемых хоть на е-мэйл, хоть на мобильный, хоть ещё как с заданной частотой, что само по себе вносит определённые неудобства, но добавляет степень защиты; во-вторых, многие эксперты имеют окно предзаданных оптимальных параметров торговли с возможностью ручного изменения, без которых эксперт превращается в шлак. Также могут быть и намеренно вводящие в заблуждение параметры (эдакая очередная степень защиты от дурака или того же злоумышленника), которые невозможно оптимизировать в тестере стратегий, а их точное значение просто нужно знать (своеобразный ключ для успешной торговли). Но проблема в том, что эти настройки легко просмотреть. Тогда к ним тоже нужен был бы какой-то особый доступ.

 В принципе, не слишком-то жалко, что кто-то другой подзаработает на чужом труде, цена вопроса лишь в том, какими средствами будет располагать злоумышленник для инвестирования в качестве рычага для зарабатывания ещё больших средств с прибыльным торговым роботом. А тут уже здравствуйте, махинации международного масштаба!

 Существует ли данная проблема или это паника на пустом месте? 

Igor Konyashin
3110
Igor Konyashin 2013.11.25 12:59  

Заведите себе VPS-сервер, подключение к которому будет отрубаться после 30 минут простоя.

x572intraday
349
x572intraday 2013.11.25 13:00  
i_logic:

Заведите себе VPS-сервер, подключение к которому будет отрубаться после 30 минут простоя.

 Интересно. Возьму на вид, спасибо.

 Однако, проблема в том, что простой гарантирован и во время сессии, за которой находится законный владелец. Если он что-то делал параллельно автоторговле, а потом пошёл спать или просто резко отвлёкся на заранее неизвестное время, то связь отрубится, а зачем, если автоторговля must go on!?

Igor Konyashin
3110
Igor Konyashin 2013.11.25 13:03  
x100intraday:
 Интересно. Возьму на вид, спасибо.

Я недавно подобное реализовал у себя. На домашнем сервере (он у меня 24х7 работает) запускается виртуальная машина с Win7, где с помощью редактора групповой политики задается время отключения сеанса RDP в случае простоя. Также можно задать блокировку учетной записи на n минут после m неверных попыток ввода пароля.

Тестировал, всё работает наотлично.

Для параноиков можно еще и собственные сертификаты генерить, защищающие подключение, и usb-токены использовать навроде e-token или rutoken, но это уже перебор, имхо.

x572intraday
349
x572intraday 2013.11.25 13:07  
i_logic:

Я недавно подобное реализовал у себя. На домашнем сервере (он у меня 24х7 работает) запускается виртуальная машина с Win7, где с помощью редактора групповой политики задается время отключения сеанса RDP в слачае простоя. Также можно задать блокировку учетной записи на n минут после m неверных попыток ввода пароля.

Тестировал, всё работает наотлично.

 Вообще, перекрытие килорода торговому роботу чревато, если только заранее не вложить в него кучу продуманных условий о том, как поступать в случае отсутствия связи. Да и подобные отрубания сразу исключают многие вкусности авто- и обычной торговли, такие как закрытие сделок в реальном времени, трейлинг-стоп и т. п., где приходится уповать на TP и SL, которые тоже не всегда-то и срабатывают на сервере.
Igor Konyashin
3110
Igor Konyashin 2013.11.25 13:09  

В моем случае "перекрывается кислород" не роботу, а пользователю. Полльзователь может отойти, сеанс разорвется, но все запущенные программы так и будут работать.

Чтобы "перекрывать кислород" роботу это не знаю каким садюгой нужно быть.

x572intraday
349
x572intraday 2013.11.25 13:14  
i_logic:

В моем случае "перекрывается кислород" не роботу, а пользователю. Полльзователь может отойти, сеанс разорвется, но все запущенные программы так и будут работать.

Чтобы "перекрывать кислород" роботу это не знаю каким садюгой нужно быть.

 Ах, вот как. Теперь стало ещё яснее. Просто пока я теоретизировал в исходном посте, но при необходимости теперь буду хотя бы знать, в каком направлении действовать.

 Но мне всё ещё видятся данные меры относительными. Абсолютного вообще ничего нет. Если злоумышленник окажется не простым пользователем, а хакером по призванию, экспертом по безопасности или вроде того, он сможет и сессию передёрнуть, запустив ноутбук заново и теминал. Или нет? 

Igor Konyashin
3110
Igor Konyashin 2013.11.25 13:20  
Нажмите у себя на клавиатуре <значок Windows> + <L> :)
Igor Konyashin
3110
Igor Konyashin 2013.11.25 13:20  
x100intraday:


 Но мне всё ещё видятся данные меры относительными. Абсолютного вообще ничего нет. Если злоумышленник окажется не простым пользователем, а хакером по призванию, экспертом по безопасности или вроде того

Если у вас возникают такие вопросы, то тогда вам необходимо использовать специальное ПО в комплекте со сканером отпечатков пальцев.

x572intraday
349
x572intraday 2013.11.25 13:23  
i_logic:
Нажмите у себя на клавиатуре <значок Windows> + <L> :)
 Учётка без пароля - это туда, в сторону "в жизни всякое может случиться". Да и учитывая, что многие настройки валяются в реестре Windows, есть немало инструментов для перекраивания, влома, вычищения ненужного из-под Live CD. То есть к незашфрованному диску (а в жизни и такое может случиться) злоумышленник проберётся и запустит всё, что на нём было.
x572intraday
349
x572intraday 2013.11.25 13:23  
i_logic:

Если у вас возникают такие вопросы, то тогда вам необходимо использовать специальное ПО в комплекте со сканером отпечатков пальцев.

 Пальцы, слава Богу, вроде есть. Дело осталось за малым...
123
Авторизуйтесь или зарегистрируйтесь, чтобы добавить комментарий