Комментарии 39
Уже вижу производителей смартфонов, которые побегут ставить новые чипы в свои устройства. И особенно согласовывать работу этого чипа и ОС с одним набором устройств ввода-вывода.
+1
Защита для физических лиц строится на основе встроенной в чипсет смартфонов микросхемы, напрямую работающей с дисплеем, СИМ- картой и коммуникационным модулемт.е. надо покупать специальное устройство, так как пропихнуть такой чип в актуальные модели смартфонов — это очень нескорое дело, а ведь это даже не аналог TPM, тут планка повыше.
Работа напрямую с сим-картой и коммуницациями очень расстроит GSM-щиков, где уже все патентовано-перепатентовано вдоль и поперек. Своя отдельная «песочница», куда чужих не приглашают.
Програмный комплекс для реализации этого плана тоже должен быть недюжий.
В общем, звучит это все скорее как глава из Z4CK, а не что-то реальное.
0
Как и было выше сказано — система выглядит как не реализуемая.
Банк не будет выпускать телефон с такой системой — дорого выпустить телефон и потом заставить клиентов пользоваться этими телефонами, производитель телефонов не будет вставлять эту систему т.к. это не приведет к увеличению прибыли.
Одному мне кажется, что для патента здесь нет повода?
Но есть желание застолбить, возможно, хлебное место и потом паразитировать на тех, кто это (может быть) реализует?
Банк не будет выпускать телефон с такой системой — дорого выпустить телефон и потом заставить клиентов пользоваться этими телефонами, производитель телефонов не будет вставлять эту систему т.к. это не приведет к увеличению прибыли.
Одному мне кажется, что для патента здесь нет повода?
Но есть желание застолбить, возможно, хлебное место и потом паразитировать на тех, кто это (может быть) реализует?
+1
Очень много общих, приобщих слов. Я так и не понял, что вы патентуете? По поводу первого(юр лиц), вы написали какой-то крипто механизм или вероятнее надстройку над уже существующим?
В общем случае после соединения клиента с банком, клиент производит нужные ему операции. Вы хотите расширить этот фунционал и дать клиенту работать с цитата «внутренними IT ресурсами компании». Но при чем тут криптография? Это уже реализуется на стороне банка, то есть это просто расширенная связка АБС и ДБО.
В общем случае после соединения клиента с банком, клиент производит нужные ему операции. Вы хотите расширить этот фунционал и дать клиенту работать с цитата «внутренними IT ресурсами компании». Но при чем тут криптография? Это уже реализуется на стороне банка, то есть это просто расширенная связка АБС и ДБО.
+1
Конкретные слова написаны в заявке на патент, где защищается устройство железной части и способ для безопасной работы с финансовой информацией. Крипто-протокол обмена данными (не x509)- в том числе.
-1
Я несколько раз перечитал ответ, но все равно ничего не понял. Просто набор слов, которые связаны в предложение.
Да и x509 — это не протокол обмена данными.
Несочтите за придирки, но вы написали пост, «Приветствую всех, я подал патент, кстати я ищу двух работников», те по-прежнему неясно что именно вы патентуете(для юр лиц).
устройство железной части
Крипто-протокол обмена данными (не x509)- в том числе
Да и x509 — это не протокол обмена данными.
Несочтите за придирки, но вы написали пост, «Приветствую всех, я подал патент, кстати я ищу двух работников», те по-прежнему неясно что именно вы патентуете(для юр лиц).
+1
Я знаю, что x509- это не протокол обмена данными, это протокол проверки подлинности цифровой подписи. На нём строится защита протокола обмена сессионными ключами SSL/TLS. x509- это фундамент, на нём строится здание доверенного обмена данными по SSL/TLS.
Неа, я написал что-то немного другое. «Нужны выходы на банковских безопасников. И человек в команду».
Неа, я написал что-то немного другое. «Нужны выходы на банковских безопасников. И человек в команду».
-1
Покупать другой телефон, чтобы обслуживаться у конкретного банка? Да даже если в подарок при открытии счёта дадут, то вряд ли удовлетворит остальным (индивидуальным) требованиям к телефону. А таскать три (блин, и как я пропустил, что есть трехсимочные), да даже два как-то не хочется
0
Покупать другой телефон? Чтобы получить доступ к счетам в другом банке? :) Всё значительно проще- в серверной части системы хранится список банков, в которых у клиента существуют счета, доступ к финансовой информации осуществляется при выборе клиентом конкретной финансовой организации в списке. Один смартфон, один чип, одна симка- сколько угодно банков.
0
Ага, щаааз. Т.е. мне надо доверить ВАМ весь доступ к банку, где у меня сотопицот миллионов лежит? Вы в своём уме? Ни один здравомыслящий клиент банка (и сам банк в том числе) на такое не пойдёт.
0
Любая платёжная система имеет доступ к вашему счёту в банке (если есть привязка к карте). И может снять со счёта деньги в любой момент. Не пользуйтесь электронными платёжными системами.
0
Мне кажется, вы не до конца понимаете логику работы платёжных систем. Нет у них доступа к моему счёту. Они могут попробовать _попросить_ банк списать денег на основе моих данных, но во-первых это оспаривается на раз-два, а во-вторых очень легко пресекается. И подобные платёжные системы проходят проверок по самое не балуй и не один раз, а постоянно.
З.Ы. Я ел этих устриц и знаю, о чём говорю. За 14 лет использования кредитками ни разу не нарывался на фрод.
З.Ы. Я ел этих устриц и знаю, о чём говорю. За 14 лет использования кредитками ни разу не нарывался на фрод.
0
Угу, замечательно. Доступа к счёту нет, но денежку снять могут. И просьбы их банк, почему-то, удовлетворяет в автоматическом режиме, а не измеряет угол склонения в земном поклоне менеджера платёжной системы.
Тогда встаёт другой вопрос- а зачем моей системе иметь весь доступ к банку, где лежат много-много миллионов, если всего-навсего достаточно, после выбора пользователем нужного ему банка из списка, указать адрес нужного банковского ресурса безопасной зоне телефона, а дальше уже безопасная зона сама работает с ресурсами банка напрямую, и я экономлю деньги своей компании на траффике? Вы не считаете, что ваше пожелание дать мне «весь доступ к банку» несколько нерационально и не следует ниоткуда из всего того, что я писал в оригинальном посте?
Тогда встаёт другой вопрос- а зачем моей системе иметь весь доступ к банку, где лежат много-много миллионов, если всего-навсего достаточно, после выбора пользователем нужного ему банка из списка, указать адрес нужного банковского ресурса безопасной зоне телефона, а дальше уже безопасная зона сама работает с ресурсами банка напрямую, и я экономлю деньги своей компании на траффике? Вы не считаете, что ваше пожелание дать мне «весь доступ к банку» несколько нерационально и не следует ниоткуда из всего того, что я писал в оригинальном посте?
0
Ваши доводы выглядят так: любая платежная система, в которой в вашем аккаунте привязана банковская карточка, может безакцептно списать с вашего счета определенную сумму, пределы которой зависят от самой системы, банка-процессора, банка-эмитента и много еще от чего. Так давайте же вы не будете париться и включите еще одно колено в эту цепь — нашу суперзащищенную запатентованную систему суперзащищенного ДБО и самообслуживания. Вам все равно уже нечего терять, эта система не ссыт вашими деньгами прямо сейчас всего лишь по недосмотру или лени злоумышленников.
Такие рассуждения не катят, если человек в курсе, сколько точек риска есть УЖЕ.
А если он не в курсе — продать можно любую шнягу, хоть специальную супер-пупер защитную финансовую наклейку на его айфон. Это даже выгоднее, потому что удобнее, чем у вас —
Такие рассуждения не катят, если человек в курсе, сколько точек риска есть УЖЕ.
А если он не в курсе — продать можно любую шнягу, хоть специальную супер-пупер защитную финансовую наклейку на его айфон. Это даже выгоднее, потому что удобнее, чем у вас —
0
Доступа к счёту нет, но денежку снять могут.
Даже если считать, что у них есть право безакцептного списания, то движения по счёту они не получат никогда, а баланс (доступный остаток) могут проверить только кучей попыток зарезервировать разные суммы.
0
то движения по счёту они не получат никогда, а баланс (доступный остаток) могут проверить только кучей попыток зарезервировать разные суммы.
И тут всё будет аналогично.
0
Мы говорим о банковском обслуживании или о чём? Какое обслуживание, если я даже баланс посмотреть не могу?
0
Элементарно, Ватсон: система выдаёт список банков, при выборе пользователем далее идёт перенаправление на шлюз самого банка.
0
Система нужна, чтобы выбрать банк?
0
Да, иначе придётся выявлять банки, где обслуживается клиент, методом перебора, на нескольких десятках тысяч банков это выльется в задержку минут так во много, да и потери по траффику будут серьёзными. Ну и для электронных платежей- аналогичная ситуация, нужен единый адрес входной точки обслуживания.
0
То есть трафик с банком пойдёт как обычно?
0
Разумеется. Нафига тратить деньга на траффик, становясь тупой проксёй?
0
Тогда вообще не понятен профит от использования как банком, так и клиентом, если самая чувствительная информация передаётся так же как сейчас, «довольствуясь» криптографией самого банка.
0
А разве сейчас деньги крадут в результате перехвата траффика? Я-то, наивный, думал, что по статистике, из-за Man-in-the-Browser, равно как и контроля дополнительных каналов аутентификации, а оно вот как, оказывается…
Профит- в создании единого безопасного периметра безопасности, банк не теряет на фроде, страховках и репутации, клиент уверен, что его деньги в сохранности.
Профит- в создании единого безопасного периметра безопасности, банк не теряет на фроде, страховках и репутации, клиент уверен, что его деньги в сохранности.
0
Не знаю статистику, но по публикациям, создаётся впечатление, что основная проблема в ненадежной взаимной аутентификации — сначала клиент считает, что общается с банком и отдаёт аутентифицирующие данные, а потом банк, считает, что общается с клиентом и даёт злоумышленнику доступ к счёту. В в этот процесс хотите внедриться или куда?
0
Не нужно читать советских газет. Статистика говорит о похищении денег через банковские трояны, атакующие по схеме Man-in-the-Browser и стремящимися контролировать вторичные каналы аутентификации. Атаки по типу Man-in-the-MIddle уже канули в историю. Временами случаются проколы (типа ошибки в использовании крипто-библиотек Андроида в мобильных банковских приложениях), но такие вещи оперативно исправляются и не могут служить надёжной платформой для атак.
0
Посмотрел что-то похожее на статистику таких атак — только Windows и MacOS (один случай из десятка). Про Android или iOS не упоминается, да и вообще как-то странно, по-моему, пользоваться браузерным приложением на мобильных платформах, когда у каждого уважающего себя банка есть нативное приложение под популярные.
0
То есть вы предполагаете быть посредником между банком и клиентом, а не предоставлять им программно-аппаратную платформу и помогать с интеграцией? Это точно не взлетит.
А телефон всё равно нужно будет покупать (ну или в дар принимать) и с большой вероятностью ходить с двумя — для обычных дел и для банка. Разве что не менять при смене банка.
А телефон всё равно нужно будет покупать (ну или в дар принимать) и с большой вероятностью ходить с двумя — для обычных дел и для банка. Разве что не менять при смене банка.
+2
Придётся делать и то, и другое, на распределёно-централизованной основе, иначе будет плохо работать.
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно. Где-то логический изъян, не находите?
Хотите ходить с двумя- ходите, ваш выбор. Подавляющему большинству хватит и одного, как и сейчас.
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно. Где-то логический изъян, не находите?
Хотите ходить с двумя- ходите, ваш выбор. Подавляющему большинству хватит и одного, как и сейчас.
0
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно.
Нет, согласно моей логике они вполне могут существовать. Они предоставляют услугу, которую сами банки толком предоставить не могут (лет 15-20 назад, емнип, многие российские банки пытались внедрить свои системы карт, но толком, там где была конкуренция, ничего не получилось.
Подавляющему большинству хватит и одного, как и сейчас.
Подавляющее большинство выбирает сейчас телефон из тысяч доступных вариантов. Вы готовы предоставить такой же выбор?
0
А что тут нового? «Доверенные» (читай — сертифицированные) терминалы давно используются военными, ещё с начала эры терминалов. А в плане банков — давно уже есть токены безопасности и прочие средства, которые позволяют обеспечить безопасность пользователей. Просто безопасность и удобство — точки на разных концах отрезка и практическая реализация обычно лежит где-то между ними :)
0
Вроде токены безопасности не исключают атаки на уровне, например, ОС.
0
Не исключают, разумеется. Но есть вариант ещё и с подтверждением по смс — как у вебмани, например. Слишком много надо напрягаться, чтобы банально украсть денег со счёта пользователя — уж проще сразу АБС ломануть :)
0
Два варианта атаки:
1. Перевод в полпервого ночи (смс-ку увидят только утром, когда поздно пить Боржоми)
2. Модифицировать точку назначения платежа, скорее всего, бухгалтер не будет сверять каждый платёж с смс-кой.
Ну и рассылка в массовом порядке смс-ок банку денег стоит. А откуда он их берёт?
1. Перевод в полпервого ночи (смс-ку увидят только утром, когда поздно пить Боржоми)
2. Модифицировать точку назначения платежа, скорее всего, бухгалтер не будет сверять каждый платёж с смс-кой.
Ну и рассылка в массовом порядке смс-ок банку денег стоит. А откуда он их берёт?
0
Напоминает lurkmore.to/%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B5%D0%B9_%D0%91%D0%B0%D0%B1%D1%83%D1%88%D0%BA%D0%B8%D0%BD.
Надеюсь, русский — не родной язык автора?
Надеюсь, русский — не родной язык автора?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Система защиты дистанционного банковского обслуживания и электронных платежей