Комментарии 39
Уже вижу производителей смартфонов, которые побегут ставить новые чипы в свои устройства. И особенно согласовывать работу этого чипа и ОС с одним набором устройств ввода-вывода.
Защита для физических лиц строится на основе встроенной в чипсет смартфонов микросхемы, напрямую работающей с дисплеем, СИМ- картой и коммуникационным модулемт.е. надо покупать специальное устройство, так как пропихнуть такой чип в актуальные модели смартфонов — это очень нескорое дело, а ведь это даже не аналог TPM, тут планка повыше.
Работа напрямую с сим-картой и коммуницациями очень расстроит GSM-щиков, где уже все патентовано-перепатентовано вдоль и поперек. Своя отдельная «песочница», куда чужих не приглашают.
Програмный комплекс для реализации этого плана тоже должен быть недюжий.
В общем, звучит это все скорее как глава из Z4CK, а не что-то реальное.
Как и было выше сказано — система выглядит как не реализуемая.
Банк не будет выпускать телефон с такой системой — дорого выпустить телефон и потом заставить клиентов пользоваться этими телефонами, производитель телефонов не будет вставлять эту систему т.к. это не приведет к увеличению прибыли.
Одному мне кажется, что для патента здесь нет повода?
Но есть желание застолбить, возможно, хлебное место и потом паразитировать на тех, кто это (может быть) реализует?
Банк не будет выпускать телефон с такой системой — дорого выпустить телефон и потом заставить клиентов пользоваться этими телефонами, производитель телефонов не будет вставлять эту систему т.к. это не приведет к увеличению прибыли.
Одному мне кажется, что для патента здесь нет повода?
Но есть желание застолбить, возможно, хлебное место и потом паразитировать на тех, кто это (может быть) реализует?
Очень много общих, приобщих слов. Я так и не понял, что вы патентуете? По поводу первого(юр лиц), вы написали какой-то крипто механизм или вероятнее надстройку над уже существующим?
В общем случае после соединения клиента с банком, клиент производит нужные ему операции. Вы хотите расширить этот фунционал и дать клиенту работать с цитата «внутренними IT ресурсами компании». Но при чем тут криптография? Это уже реализуется на стороне банка, то есть это просто расширенная связка АБС и ДБО.
В общем случае после соединения клиента с банком, клиент производит нужные ему операции. Вы хотите расширить этот фунционал и дать клиенту работать с цитата «внутренними IT ресурсами компании». Но при чем тут криптография? Это уже реализуется на стороне банка, то есть это просто расширенная связка АБС и ДБО.
Конкретные слова написаны в заявке на патент, где защищается устройство железной части и способ для безопасной работы с финансовой информацией. Крипто-протокол обмена данными (не x509)- в том числе.
Я несколько раз перечитал ответ, но все равно ничего не понял. Просто набор слов, которые связаны в предложение.
Да и x509 — это не протокол обмена данными.
Несочтите за придирки, но вы написали пост, «Приветствую всех, я подал патент, кстати я ищу двух работников», те по-прежнему неясно что именно вы патентуете(для юр лиц).
устройство железной части
Крипто-протокол обмена данными (не x509)- в том числе
Да и x509 — это не протокол обмена данными.
Несочтите за придирки, но вы написали пост, «Приветствую всех, я подал патент, кстати я ищу двух работников», те по-прежнему неясно что именно вы патентуете(для юр лиц).
Я знаю, что x509- это не протокол обмена данными, это протокол проверки подлинности цифровой подписи. На нём строится защита протокола обмена сессионными ключами SSL/TLS. x509- это фундамент, на нём строится здание доверенного обмена данными по SSL/TLS.
Неа, я написал что-то немного другое. «Нужны выходы на банковских безопасников. И человек в команду».
Неа, я написал что-то немного другое. «Нужны выходы на банковских безопасников. И человек в команду».
Покупать другой телефон, чтобы обслуживаться у конкретного банка? Да даже если в подарок при открытии счёта дадут, то вряд ли удовлетворит остальным (индивидуальным) требованиям к телефону. А таскать три (блин, и как я пропустил, что есть трехсимочные), да даже два как-то не хочется
Покупать другой телефон? Чтобы получить доступ к счетам в другом банке? :) Всё значительно проще- в серверной части системы хранится список банков, в которых у клиента существуют счета, доступ к финансовой информации осуществляется при выборе клиентом конкретной финансовой организации в списке. Один смартфон, один чип, одна симка- сколько угодно банков.
Ага, щаааз. Т.е. мне надо доверить ВАМ весь доступ к банку, где у меня сотопицот миллионов лежит? Вы в своём уме? Ни один здравомыслящий клиент банка (и сам банк в том числе) на такое не пойдёт.
Любая платёжная система имеет доступ к вашему счёту в банке (если есть привязка к карте). И может снять со счёта деньги в любой момент. Не пользуйтесь электронными платёжными системами.
Мне кажется, вы не до конца понимаете логику работы платёжных систем. Нет у них доступа к моему счёту. Они могут попробовать _попросить_ банк списать денег на основе моих данных, но во-первых это оспаривается на раз-два, а во-вторых очень легко пресекается. И подобные платёжные системы проходят проверок по самое не балуй и не один раз, а постоянно.
З.Ы. Я ел этих устриц и знаю, о чём говорю. За 14 лет использования кредитками ни разу не нарывался на фрод.
З.Ы. Я ел этих устриц и знаю, о чём говорю. За 14 лет использования кредитками ни разу не нарывался на фрод.
Угу, замечательно. Доступа к счёту нет, но денежку снять могут. И просьбы их банк, почему-то, удовлетворяет в автоматическом режиме, а не измеряет угол склонения в земном поклоне менеджера платёжной системы.
Тогда встаёт другой вопрос- а зачем моей системе иметь весь доступ к банку, где лежат много-много миллионов, если всего-навсего достаточно, после выбора пользователем нужного ему банка из списка, указать адрес нужного банковского ресурса безопасной зоне телефона, а дальше уже безопасная зона сама работает с ресурсами банка напрямую, и я экономлю деньги своей компании на траффике? Вы не считаете, что ваше пожелание дать мне «весь доступ к банку» несколько нерационально и не следует ниоткуда из всего того, что я писал в оригинальном посте?
Тогда встаёт другой вопрос- а зачем моей системе иметь весь доступ к банку, где лежат много-много миллионов, если всего-навсего достаточно, после выбора пользователем нужного ему банка из списка, указать адрес нужного банковского ресурса безопасной зоне телефона, а дальше уже безопасная зона сама работает с ресурсами банка напрямую, и я экономлю деньги своей компании на траффике? Вы не считаете, что ваше пожелание дать мне «весь доступ к банку» несколько нерационально и не следует ниоткуда из всего того, что я писал в оригинальном посте?
Ваши доводы выглядят так: любая платежная система, в которой в вашем аккаунте привязана банковская карточка, может безакцептно списать с вашего счета определенную сумму, пределы которой зависят от самой системы, банка-процессора, банка-эмитента и много еще от чего. Так давайте же вы не будете париться и включите еще одно колено в эту цепь — нашу суперзащищенную запатентованную систему суперзащищенного ДБО и самообслуживания. Вам все равно уже нечего терять, эта система не ссыт вашими деньгами прямо сейчас всего лишь по недосмотру или лени злоумышленников.
Такие рассуждения не катят, если человек в курсе, сколько точек риска есть УЖЕ.
А если он не в курсе — продать можно любую шнягу, хоть специальную супер-пупер защитную финансовую наклейку на его айфон. Это даже выгоднее, потому что удобнее, чем у вас —
Такие рассуждения не катят, если человек в курсе, сколько точек риска есть УЖЕ.
А если он не в курсе — продать можно любую шнягу, хоть специальную супер-пупер защитную финансовую наклейку на его айфон. Это даже выгоднее, потому что удобнее, чем у вас —
Доступа к счёту нет, но денежку снять могут.
Даже если считать, что у них есть право безакцептного списания, то движения по счёту они не получат никогда, а баланс (доступный остаток) могут проверить только кучей попыток зарезервировать разные суммы.
то движения по счёту они не получат никогда, а баланс (доступный остаток) могут проверить только кучей попыток зарезервировать разные суммы.
И тут всё будет аналогично.
Мы говорим о банковском обслуживании или о чём? Какое обслуживание, если я даже баланс посмотреть не могу?
Элементарно, Ватсон: система выдаёт список банков, при выборе пользователем далее идёт перенаправление на шлюз самого банка.
Система нужна, чтобы выбрать банк?
Да, иначе придётся выявлять банки, где обслуживается клиент, методом перебора, на нескольких десятках тысяч банков это выльется в задержку минут так во много, да и потери по траффику будут серьёзными. Ну и для электронных платежей- аналогичная ситуация, нужен единый адрес входной точки обслуживания.
То есть трафик с банком пойдёт как обычно?
Разумеется. Нафига тратить деньга на траффик, становясь тупой проксёй?
Тогда вообще не понятен профит от использования как банком, так и клиентом, если самая чувствительная информация передаётся так же как сейчас, «довольствуясь» криптографией самого банка.
А разве сейчас деньги крадут в результате перехвата траффика? Я-то, наивный, думал, что по статистике, из-за Man-in-the-Browser, равно как и контроля дополнительных каналов аутентификации, а оно вот как, оказывается…
Профит- в создании единого безопасного периметра безопасности, банк не теряет на фроде, страховках и репутации, клиент уверен, что его деньги в сохранности.
Профит- в создании единого безопасного периметра безопасности, банк не теряет на фроде, страховках и репутации, клиент уверен, что его деньги в сохранности.
Не знаю статистику, но по публикациям, создаётся впечатление, что основная проблема в ненадежной взаимной аутентификации — сначала клиент считает, что общается с банком и отдаёт аутентифицирующие данные, а потом банк, считает, что общается с клиентом и даёт злоумышленнику доступ к счёту. В в этот процесс хотите внедриться или куда?
Не нужно читать советских газет. Статистика говорит о похищении денег через банковские трояны, атакующие по схеме Man-in-the-Browser и стремящимися контролировать вторичные каналы аутентификации. Атаки по типу Man-in-the-MIddle уже канули в историю. Временами случаются проколы (типа ошибки в использовании крипто-библиотек Андроида в мобильных банковских приложениях), но такие вещи оперативно исправляются и не могут служить надёжной платформой для атак.
Посмотрел что-то похожее на статистику таких атак — только Windows и MacOS (один случай из десятка). Про Android или iOS не упоминается, да и вообще как-то странно, по-моему, пользоваться браузерным приложением на мобильных платформах, когда у каждого уважающего себя банка есть нативное приложение под популярные.
То есть вы предполагаете быть посредником между банком и клиентом, а не предоставлять им программно-аппаратную платформу и помогать с интеграцией? Это точно не взлетит.
А телефон всё равно нужно будет покупать (ну или в дар принимать) и с большой вероятностью ходить с двумя — для обычных дел и для банка. Разве что не менять при смене банка.
А телефон всё равно нужно будет покупать (ну или в дар принимать) и с большой вероятностью ходить с двумя — для обычных дел и для банка. Разве что не менять при смене банка.
Придётся делать и то, и другое, на распределёно-централизованной основе, иначе будет плохо работать.
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно. Где-то логический изъян, не находите?
Хотите ходить с двумя- ходите, ваш выбор. Подавляющему большинству хватит и одного, как и сейчас.
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно. Где-то логический изъян, не находите?
Хотите ходить с двумя- ходите, ваш выбор. Подавляющему большинству хватит и одного, как и сейчас.
Виза и Мастеркард являются посредниками между клиентами и банками. Согласно вашей логике, их существовать не должно.
Нет, согласно моей логике они вполне могут существовать. Они предоставляют услугу, которую сами банки толком предоставить не могут (лет 15-20 назад, емнип, многие российские банки пытались внедрить свои системы карт, но толком, там где была конкуренция, ничего не получилось.
Подавляющему большинству хватит и одного, как и сейчас.
Подавляющее большинство выбирает сейчас телефон из тысяч доступных вариантов. Вы готовы предоставить такой же выбор?
А что тут нового? «Доверенные» (читай — сертифицированные) терминалы давно используются военными, ещё с начала эры терминалов. А в плане банков — давно уже есть токены безопасности и прочие средства, которые позволяют обеспечить безопасность пользователей. Просто безопасность и удобство — точки на разных концах отрезка и практическая реализация обычно лежит где-то между ними :)
Вроде токены безопасности не исключают атаки на уровне, например, ОС.
Не исключают, разумеется. Но есть вариант ещё и с подтверждением по смс — как у вебмани, например. Слишком много надо напрягаться, чтобы банально украсть денег со счёта пользователя — уж проще сразу АБС ломануть :)
Напоминает lurkmore.to/%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B5%D0%B9_%D0%91%D0%B0%D0%B1%D1%83%D1%88%D0%BA%D0%B8%D0%BD.
Надеюсь, русский — не родной язык автора?
Надеюсь, русский — не родной язык автора?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Система защиты дистанционного банковского обслуживания и электронных платежей