Bankir.Ru
23 января, понедельник 19:57

Объявление

Свернуть

Конференция «Банки и МСБ. Перезагрузка отношений»

Показать больше
Показать меньше

WAP-банкинг и безопасность WAP-шлюза МТС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • WAP-банкинг и безопасность WAP-шлюза МТС

    Уважаемые коллеги!

    Спешу сообщить, что на текущий момент WAP-шлюз компании МТС не обеспечивает должной безопасности при подключении к сайтам через протокол SSL.

    Мы развернули у себя в офисе Web-сервер с включенной поддержкой протокола SSL. Сертификат сгенерировали и выдали сами себе. При подключении к этому сайту через обычный Web-браузер выдается предупреждение, что издатель сертификата неизвестен. Более того, мы специально указали в сертификате доменное имя, не соответствующее доменному имени в URL. Обычный Web-браузер ругается и на это несоответствие.

    Теперь как обстояло дело с мобильным телефоном.

    Для тестирования мы использовали Siemens S35i стандарта GSM 900/1800 с поддержкой WAP 1.1. Была включена услуга МТС "Мобильный офис". Телефонный номер для входа в Интернет - 0885. IP-адрес WAP-шлюза 212.044.140.013. UDP-порт 9201.

    Подключаемся с сотового телефона к Интернет. В WAP-браузере указываем сслыку https://.... на наш подопытный сервер. WAP-шлюз МТС по протоколу SSL прекрасно соединяется с нашим сервером (смотрим логи фаервола и логи сервера). Но WAP-шлюз МТС никак не реагирует на некорректность предоставляемого Web-сервером Сертификата!!! Возможно реакция WAP-шлюза на некорректный Сертификат Web-сервера и существует, только вот WAP-браузер никак не сообщает пользователю о некорректном Сертификате.

    Вывод. Использовать WAP-шлюз компании МТС в существующем сейчас режиме для предоставления услуг WAP-банкинга небезопасно, так как существует возможность атаки с целью подмены сервера банка на сервер злоумышленника, и соответственно, перехвата всего трафика.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    Добрый день, Александр!

    Получили ответы от МТС и Би-Лайна (с WAP-шлюзом Би-Лайна точно такая же ситуация).

    Ребята из МТС обещали в ближайшие две недели установить коммерческую версию WAP-шлюза и настроить проверку Сертификатов при обращении WAP-шлюза к Web-серверам через SSL.

    Ребята из Би-Лайна со сроками не определились. Написали только, что свой WAP-шлюз настроят к объявлению Би-Лайном услуг электронной коммерции.

    Наше же решение для WAP-Банкинга уже готово и будет поставляться как дополнительный модуль начиная с iBank'а версии 1.8 (который будет официально объявлен в ближайшую неделю).

    Что касается проекта ГУТА-Банка. ИМХО, предлагаемое сейчас решение не выдерживает критики с точки зрения безопасности. Впрочем, это признает и сам Гута-Банк - см. http://www.telebank.ru/wap.zip По всей видимости, это пока еще пиар, а не созревшая и качественная услуга. Ну а если кто и зарабатывает деньги на WAP-Банкинге, так это операторы сотовой связи

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Приветствую, Дмитрий!

      Однозначно такое соединение небезопасно! Пользователь типа сделал платеж, злоумышленник узнал все данные и сделал платеж в реальном банке, только не на тот счет, который указывал клиент. На лицо не существование проверки на параметры сертификата либо у МТС либо в телефоне (это не понятно). Задайте МТС прямой вопрос по этому поводу.
      У Вас уже готово решение для WAP?
      Насколько я знаю проект МТС ведет ГУТА-банком. Может быть он просто не завершен и рано делать какие-либо выводы?

      Александр

      Комментарий


      • #4
        А на других сотовых проверяли ? Показывают ли они пролемы с сертификатами ?

        ------------------
        С уважением,
        Родион Вареников

        Комментарий


        • #5
          В Москве только два GSM-оператора, сответственно их WAP-шлюзы и проверили.

          С уважением, Репан Димитрий
          Компания "БИФИТ"
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Прошу прощения, я имел в виду другие сотовые телефоны, те же Эрики, к примеру.

            ------------------
            С уважением,
            Родион Вареников

            Комментарий


            • #7
              Давеча смотрел на нокиа 7110 и на новой соньке Z5 - ситуация аналогичная - WAP-шлюз МТС никак не уведомляем мобильник о подключении к серверу, сертификат которого некорректный. Проблема не в мобильнике - проблема в настройках WAP-шлюзов наших московских операторов. Мы пробовали подключиться к серверу с верным и неверным сертификатами через другие нормально настроенные WAP-шлюзы - все работает как надо. Если сертификат верен - на экране мобильника загорается значок в виде ключика, что взаимодействие защищено и wml-странички выкачиваются нормально. Если сертификат некорректный - даже не подключишься - WAP-шлюз ругается и не соединяется. Именно так должно быть с WAP-шлюзами МТС и Би-Лайна.

              С уважением, Репан Димитрий
              Компания "БИФИТ"
              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                Но, опять же, пока нет wap 1.2 даже при нормально настроенных шлюзах wap-банкинг не построешь. Остается надеятся, что к выходу 1.2 шлюзы настроят и наберется критическая масса пользователей ;-)

                ------------------
                С уважением,
                Родион Вареников

                Комментарий


                • #9
                  Родион, если под нормальным WAP-Банкингом Вы подразумеваете полноценный, то есть предоставляющий не только информационные услуги, но и все услуги управления счетом - тогда согласен. Без ЭЦП клиента под электронным документов никуда.

                  В то же время опрометчиво "ждать у моря погоды" в виде появления реальной поддержки WAP 1.2. Клиенты изъявляют желание работать уже сейчас, и если им не дать хоть что-то - они могут уйти в другой банк. Поэтому пусть не по полной программе, но хотя бы какой-то разумный объем услуг надо предоставить клиентам уже сейчас.

                  Что реально можно сделать при использовании WAP 1.1.

                  1. Купить у Нокиа и поставить в банке WAP-шлюз.

                  2. Получить (купить) у VeriSign сертификат WTLS.

                  3. Гарантировано защитив (шифруя трафик и обеспечивая аутентификацию WAP-шлюза банка) таким образом участок от мобильного телефона до банка, предоcтавить клиентам следующие услуги:

                  - просмотр остатков по счетам
                  - просмотр информации по проводкам
                  - просмотр курсов валют
                  - просмотр биржевых котировок

                  - внутренний перевод с одного своего счета на другой
                  - конвертация валюты
                  - пополнение карточного счета
                  - предварительно определенные платежи (мобильник, комуналка и пр.)

                  Это максимум. Больше давать - значит уже рисковать. И тогда в зависимости от Договора - либо риски несет клиент, либо банк.

                  Естественно для WAP 1.1 никакого ЭЦП не будет. Будет аутентификация по логину и паролю, которая не является доказательством при разрешении конфликтной ситуации.

                  С уважением, Репан Димитрий
                  Компания "БИФИТ"
                  С уважением, Репан Димитрий
                  Компания "БИФИТ" - www.bifit.com

                  Комментарий


                  • #10
                    Приветствую, Дмитрий!

                    Если нетрудно, расскажите подробнее об идентификации клиента (телефона), на чем она основана? Как я понимаю на верификации по логину и паролю, а также на основании сертификата. Как верифицируется по сертификату, привязан ли сертификат к SIM-карте телефона и можно ли верифицировать телефон лишь по SIM-карте?

                    С уважением, Герасимов Александр

                    Комментарий


                    • #11
                      2 All

                      Прошло время и на сайте телебанка теперь написано:

                      -------------------------------------------
                      5. Вопросы безопасности
                      При каждом входе в систему клиент вводит УНК и пароль, а также переменный ключ. Переменные ключи также используются при проведении операций для их подтверждения.

                      Возможно использование SSL для шифрования передаваемых данных на участке телефон -> сайт СТ (между телефоном и wap-гейтом используется WTLS). Для этого необходимо заходить на WAP-сайт Системы Телебанк по адресу https://www.telebank.ru/wap/ (завершающий слеш обязателен). Нужно заметить, что wap-гейт оператора и сам телефон должны поддерживать эту возможность (например, телефон Siemens C35, оператор МТС).

                      Все это делает невозможным проведение операций злоумышленником
                      -------------------------------------------

                      Считают ли Уважаемые спициалисты что проделанных вещей достаточно для обеспечения безопасности работы?

                      Я так понимаю что на WAP 1.2
                      так еще и не перешли, хотя теперь с появлением GPRS и мобил которые поддерживают WAP 1.2 кол-во клинтов может быть более чем это было еще год назад.

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X