Как стать автором
Обновить

Комментарии 30

от обезьяны до человека с М-16…

Разьве связка Операция — SMS — Подтверждение недостаточно надежный вариант?
НЛО прилетело и опубликовало эту надпись здесь
спокойно? терморектальный криптоанализ выйдет гораздо дешевле, чем перехват обычной СМСки.
ладно бы вы про фишинг или social engineering сказали.
В большинстве случаев достаточно надежно, но атаки есть. Обычно SMS подтверждение просто одноразовый пароль не связанный с содержимым платежки, и потому это код может быть использован для подтверждения незаконного платежа. Пути получения этого кода тоже есть. Это фишинговые сайты, это переадресация SMS сообщений. Это социальная инженерия, например звонок на телефон из «банка»- «Извините, у нас сбой, и у вас прошел ошибочный платеж, что бы отменить назовите код из SMS».
Вот информация с сайта компании РУТОКЕН:
>>Для аутентификации может использоваться протокол ISO Public-Key Two-Pass Unilateral Authentication Protocol

И еще, не совсем понятно, из системы ДБО в Рутокен PINPad данные о платеже будут передаваться в зашифрованном виде или по-старинке через текстовые файлы.
В PINPad данные передаются по старинке в текстовом виде. На безопасность это не влияет.
Тогда, что помешает зловредоному ПО, подсовывать в пинпад «верную»(для пользователя) информацию, получать пин-код, а затем в канал до банка подсовывать другие платежные реквизиты?
В банк отправляется код подтверждения (подпись), той информации, которую пользователь подтвердил на экране устройства. Код подтверждения аппаратно формируется из тех данных, что поступили в устройство.
Спасибо за разъяснения, сейчас стало понятно.

Параноик внутри меня предпочел бы, чтоб «канал» между пинпадом и ДБО тоже шифровался.
Это кошмар порожденный сном разума российской банковской системы.

К самому устройству претензий нет, уверен, оно отлично решает свою задачу.
Сам факт появления спроса на такое устройство — вот что страшно.
Расскажу про немецкие системы.

Вначале (не совсем вначале, а когда я начал пользоваться) были списки TAN-ов — это шестизначные числа и для подтверждения транзакции надо было ввести любой из неиспользованых с бумажки. Когда кончались — банк высылал новый.

Потом перешли на iTAN (indexed TAN). Это когда можно было вводить не любое число, а форма говорила, мол скажи ка мне число номер 14… Но в моем банке это уже больше года как тоже отменили. В других пока используют.

Сейчас, собственно, работают такие способы:

1. SMS (mTAN — «mobile»). После заполнения формы, например, для перевода денег, появляется кнопка «запросить mTAN». Приходит SMS-ка на заранее прописанный в системе номер. Номеров мобильников может быть несколько, но добавлять/менять их можно только по почте с подтверждением. Приходит, значит, SMS текстом «код XXX для перевода суммы YYY на счет ZZZ». Так что даже если троян подменил номер счета и хочет заставить тебя отправить деньги на какой-то левый счет — в SMS это будет видно.

2. генератор одноразового кода (chipTAN). Выглядит как калькулятор. Для подтверждения транзакции появляется какая-то мигающая картинка. Этот «калькулятор» ее считывает прямо с экрана, и вычисляет код. Может еще на своем экранчике вывести сумму перевода и счет получателя для проверки. Есть модели в которые надо свою банковскую карту засовывать. ИЧСХ, это похоже какой-то стандарт на мигающие картинки, потому что банки не продают эти «калькуляторы», а отсылают к сторонним производителям, и есть модели разной степени сложности и цены. Работает это так: www.youtube.com/watch?v=U7PnC1S-j4I

3. И совсем недавно появилось что-то что втыкается в USB. Почти ничего сказать не могу, кроме того что в Постбанке ее называют «BestSign», и там на экранчике высвечивается, как обычно, счет и сумма, которые надо нажатием кнопки подтвердить (и инструкция, естественно, подчеркивает: сверяйте номер счета и сумму с данными на счет-фактуре, не с данными на экране компьютера)
ну вопервых, трафик gsm перехватывается легко, посетите любой фрикерский форум и там куча устройст в продаже.
во вторых аа ну как обычно самый главный фактор безопасности это СИ, и прежде всего надо обучать специалистов банка на антиСИ атаки.
и в третих, простые да мелочи, очень часто на сайтах крупных банков находишь sql-inj.
на мелочи ни кто никогда не обращает внимания, а надо бы.
С Рутокен PINPad идея интересная, узнать бы еще вес, габариты и ориентировочную стоимость устройства.
Ну и учитывая, что достаточно большое количество банков до сих пор используют iTAN, устройства подобные PINPad'у до конечных пользователей систем ДБО дойдут еще не скоро…
Эхх… читаю статью и плАчу: какие правильные и вполне удобные вещи существуют… а потом смотрю на установленные последние версии клиентов Сбербанка и пары банков поменьше…

Плюс защищенных устройств авторизации, отдельных от ПК, еще и том, что в случае кражи, инициированной доверенным лицом, сложно переложить вину на вредоносное ПО.
safe-tech.ru/index.php/products-ru/safetouch-desc-ru
image

Производитель (SafeTech, основана в 2010 году) декларирует 1600 руб./устройство, на деле выходит примерно раза в два дороже: клиентская и серверная лицензии для системы ДБО для поддержки смарт-карт + сама смарт-карта.

Ну и если надо подписать N документов — на экране будет отображаться количество и общая сумма.
>>SafeTech, основана в 2010 году
Компании занимающиеся безопасностью зарабатывают доверие годами, иногда десятилетиями. На худой конец, имеют лицензии и сертификаты. Использовать же устройство неизвестно кем разработанное для защиты своих денег я бы поостерегся.
Я так понимаю главный минус этой компании — тесное партнёрство с вашими конкурентами (Аладдин Р.Д.)?
не без этого :)
Но основное я уже написал. Неизвестно кто разрабатывал, неизвестно кто будет оказывать тех. поддержку, какие гарантии у компании созданной вчера?

спасибо за искренний ответ :) с минусами согласен
а вообще железка интересная, есть ли у вас возможные сценарии её использования не в сфере ДБО?
Мне такие сценарии не видятся. Устройство узко специализированно, оно конечно может заверять любую информацию, отображенную у него на экране, но есть ли еще настолько же значимая информация как финансовая, я не знаю.
Евгений,
Я бы на Вашем месте поостерегся говорить о доверии, так как используемые Вашей компанией методы и технологии довольно далеки от категории «доверенные». Если Вам интересно, могу конкретизировать.
Если Вы сомневаетесь в профессионализме компании SafeTech, то прошу аргументировать свои слова и привести обоснование, отличное от «зарабатывается годами» и «неизвестно кто».
Как мне кажется, в если в довольно тесном кругу специалистов по защите ДБО Вы называете основателей компании SafeTech «неизвестно кем», то Вы, мягко говоря, сами мало знакомы с темататикой.
Всем привет,
Для начала представлюсь, Денис Калемберг, компания СэйфТек.
Что хотелось бы ответить на пост Евгения:
1. Думаю, все согласятся, что не так важна дата регистрации юридического лица, как опыт команды, которая это юр.лицо создала. В нашем случае суммарный опыт специалистов компании в области информационной безопасности исчисляется не одним десятилетием. Кстати, как показывает опыт того же RSA, срок жизни компании на рынке не является гарантией безопасности конечных решений.

2. Возникает вопрос, почему компания Актив-софт со своим 17-летним опытом разработала свое решение для защиты от атак с подменой документа почти на год позже, чем «неизвестно кто»?

P.S. Евгений, Вы прекрасно знаете, что я на этом рынке работаю уже много лет. С Вашей стороны было крайне некорректно употреблять выражение «неизвестно кем».
Привет, коллеги!
Рад слышать! :)
Я свое мнение высказал. Оно относится не к Вам лично, а к компании производителю. Как Вы могли заметить я не обсуждал технических достоинств решений и тем более Ваш профессионализм, а только организационные моменты. Приходя на рынок и покупая, например, автомобиль, люди задумываются не только о характеристиках данного авто, а и о гарантиях, о условиях тех. обслуживания, о том будет ли существовать компания через год, будет ли кому предъявить претензии.

Евгений,
Компания может «пропасть» с рынка как через год, так и через 15 лет, примерно с равной вероятностью. Примеров масса.
Повторюсь, юридическое лицо, это, прежде всего, команда. Уверяю, с перечисленными Вами задачами наша команда справится.
Жизнь покажет! :)
Спасибо за комментарий.
Хотелось бы отметить, что итоговая цена = считыватель смарт-карт SafeTouch + смарт-карта. Это примерно 2100 руб. Считать туда стоимость лицензий на систему ДБО не совсем правильно, так как данные лицензии банком уже закуплены.

Кстати, SafeTouch также работает со смарт-картами, выпущенными в рамках проекта «доступ к порталу государственных услуг». Суть — в чип стандартной банковской карты (EMV-сертифицированной) добавлен сертифицированный апплет (приложение), реализующий российскую криптографию. С помощью такой карты клиент банка может также получать доступ к порталу государственных услуг и подписывать электронные документы (в том числе платежные).
Если у клиента уже есть такая карта — ему уже не надо тратиться на дополнительную. У нас сейчас в стадии реализации пилотные проекты с несколькими банками. Надеюсь, скоро сможем рассказать подробнее:)
Ждём эксплоитов для этих «подписантов».
в нашем королевстве все банки используют устройства VASCO DIGIPASS или аналогичные



в него вставляется карточка с чипом (та же самая, которая используется в банкоматах), набирается пин и выдаётся пароль на вход (I) или на подписание платежа (S) по входным данным, которые показываются на сайте

для получения пароля нужны три компонента — устройство + карта + пин
никаких SMS и никаких USB, можно с телефона использовать, можно в интернет-кафе

по существу, эксплойтится только одним способом — сделать сайт 1:1 похожий на банковский, и убедить жертву его использовать
но при крупных платежах (больше пары сотен евро) надо вводить как челлендж в т.ч. и сумму, и часть номера счёта бенефициара
поэтому такой хак заставить эффективно работать тоже не совсем понятно как
Хе-хе, эти штуки имеют другие проблемы. Вернее не они. А ПО которое с ними работает на стороне банка и сносит эффективность к нулю.
Ну не все ПО — я про конкретную реализацию (коробочный продукт). Должны были исправиться уже…
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории