Bankir.Ru
4 декабря, воскресенье 17:19

Объявление

Свернуть
Показать больше
Показать меньше

Технологическая революция от РФК!!!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Технологическая революция от РФК!!!

    РФК внедряет новый, революционный метод телебанкинга.
    http://www.rfc.ru/files/nilmok.htm

    В ближайшее время клиентам компании будет доступна новая технология, позволяющая управлять банковским счётом с голосового телефона. Аутентификация будет производиться по голосу клиента путём произнесения специальных кодовых фраз. Бета-версия продукта будет доступна в ближайшее время.

    Все поля платёжных документов будут заполняться путём голосовых ответов на вопросы путём распознования речевых сообщенией.

    Уважаемые коллеги хотелось бы услышать Ваше мнение/критику о данной новации, о её потенциальных достоинствах и уязвимостях

    Данное сообщение и последующие более подробные располженны по адресу

    http://www.rfc.ru/files/nilmok.htm

    (с) РФК. ( www.rfc.ru )01.04.2003.
    Последний раз редактировалось nilmok; 01.04.2003, 04:35.

  • #2
    Это очень перспективное и своевременное решение, безусловно найдёт себе пользователей, если только обеспечит надлежащие качество и надёжность за разумную цену. Сейчас мы рассматриваем возможности WAP/SMS решений, но их принципиальные ограничения трудно преодолимы и перспективы не слишком воодушевляют.

    Не могли бы Вы несколько подробнее рассказать об аппаратных требованиях и предполагаемой цене внедрения, а также, где можно будет ознакомиться работающим решением. Мы также готовы принять участие в тестировании Вашего продукта.

    С уважением Алексей.

    P.S. Будет ли это решение работоспособным на зашумленных, междугородних и сотовых линиях?

    Комментарий


    • #3
      nilmok

      Хм. Интересный вариант. Прототип такой системы мне показывали еще в 1994 году, но есть одна тонкость - подобные системы достаточнно сильно зависят от используемого микрофона, а здесь они будут очень разные. Плюс - шумы в линии и последствия компрессии канала...
      Earl Vlad Drakula. ///

      Комментарий


      • #4
        Ну и что тут революционного? У нас точно такая же система уже год как в промышленной эксплуатации. Причем для аутентификации клиента кодовых фраз не требуется!

        Правда пока система используется только для сообщения клиентам остатков по счетам и требует тщательного подбора персонала.

        Комментарий


        • #5
          sandyman

          Вы недопоняли суть новости. Речь идёт именно о платежах путём голосового сообщения.

          Комментарий


          • #6
            Вы недопоняли суть новости. Речь идёт именно о платежах путём голосового сообщения.
            не, мы недопоняли техническую суть.
            "подшаманить" магнитофонную запись труда не составляет даже без компутерной обработки. я про "слепок" голоса. хм - странно звучит. значит спектр!
            а на чем держится аутентификация абонента?
            на кодовой фразе? т.е. возвращаемся к таблицам "одноразовых ключей?

            а вот еще: даже БЕЗ подделки голоса каков сейчас процент ошибок 1-го и 2-го рода на незашумленных, сиречь - "идеальных" линиях?
            это без подъелдыкивания - правда интересно...

            Комментарий


            • #7
              Так мы скоро тоже на платежи перейдем - уже накоплен достаточный опыт для этого. А магнитная запись - пройденный этап. Подделка исключается тем, что диалог с клиентом варьируется. На все случаи магнитную запись не сделаешь.

              И как правильно заметил mez голосовой спектр уникален, как отпечатки пальцев, так что вполне можно обойтись без кодовых фраз.

              Комментарий


              • #8
                sandyman

                кодовых фраз не требуется!

                Дело не в "кодовости" фраз, а в том, что:
                1. не каждое слово несет достаточно информации для опознавания голоса (не путать с распознаванием речи)
                2. если все время повторять одно и то же - ответы можно записать на магнитофон и прокрутить.
                Earl Vlad Drakula. ///

                Комментарий


                • #9
                  Для идентификации клиента можно просто просить произносить определённые случайно меняющиеся слова вслед за автоматом-оператором, подбирая их такими, чтобы можно было однозначно идентифицировать.

                  Коррекцию процедуры распознования можно вести по озвунивания распознанной информации и повтору при необходимости.

                  В общем похоже РФК эту проблему как-то решила, иначе бы не анонсировало подобный продукт

                  Комментарий


                  • #10
                    to hugevlad

                    Sorry! Не до конца разобрался. У нас все так и происходит, как описал В. Малышев. Только клиент повторяет за оператором предложение, а не отдельные слова.

                    Комментарий


                    • #11
                      Я вот подумал, может составить РФК конкуренцию и продавать свою технологию по более низким ценам. А сколько РФК просит за свой продукт?

                      P.S. Деловые предложения можно скидывать мне на b-mail!

                      Комментарий


                      • #12
                        2 sandyman

                        Как не странно на их главной страничке
                        http://www.rfc.ru/files/index.shtml
                        нет никакой информации о этом вопросе.
                        Ссылка
                        http://www.rfc.ru/files/nilmok.htm -единственное, что есть на эту тему.

                        Вероятно дело на стадии бета-версии и с ценой они не ещё опредилились.

                        Интересно, а у конкурентов (БСС, Бифит) есть какие-нибудь предложения в этой области?

                        Комментарий


                        • #13
                          За Бифит не скажу, а вот БСС за это точно не возьмётся по причине отсутствия законодательной базы и общей небрезупречности решения с точки зрения безопасности.

                          P.S. Вот nilmok веселится то

                          Комментарий


                          • #14
                            Да, первое апреля пробралось в самые серьёзные закрома нашей Родины.
                            Г. Комлин, нельзя так издеваться над автоматизаторами!!!

                            Должен отметить, что лично я повёлся на работоспособную ссылку.
                            www.rfc.ru/files/nilmok.htm
                            Не мог представить, что кто-либо из руководства РФК
                            позволит своим сотрудникам подобный экспромт.

                            Увы, только что, всмотревшись в ник понял:
                            Если читать наоборот, справа налево - nilmoK плавно переходит в печально известный ник Komlin

                            Неужели имел место дефэйс? Или есть какое-то другое объяснение?

                            P.S. 2Michael (Модератор): Может имеет смысл удалить ветку (или заблокировать до выяснения обстоятельств)? Кажется г-н Комлин перешёл границы допустимого... Дефэйс - уголовно наказуемое деяние и не стоит уважаемому сайту позволять рекламировать его.

                            Комментарий


                            • #15
                              АСУшник
                              Неужели имел место дефэйс? Или есть какое-то другое объяснение?
                              скорее не дефейс, а наглядная демонстрация очередной найденной баги в html-based К-Б

                              спросим автора?
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                АСУшник, я думаю, что автор и представители РФК сами все расскажут сегодня-завтра. Подождем.

                                Комментарий


                                • #17
                                  to Komlin

                                  Отличная шутка !
                                  А я было подумал, что это рекламный первоапрельский трюк самого РФК.

                                  to АСУшник
                                  Вам в КГБ работать надо !

                                  Комментарий


                                  • #18
                                    Доброе утро!
                                    Спасибо всем кто принял участие в осуждении новой технологии.


                                    2АСУшник - понимаю Ваши чувства, но следует внимательнее смотреть на даты.

                                    Теперь о подробностях:
                                    1) 2АСУшник - дефейсом обычно называется подмена заглавной (или действующей) страницы, нарушающая нормальную работу сервиса, здесь же в нерабочее время была просто создана ничем не мешающая страничка с шутливым текстом. Нормальная работа служб сервера не прерывалась не на минуту. Так, что как правильно сказал HugeVlad речь шла о "демонстрации" (чего - см. ниже).

                                    2) Доступ "на запись" к файлам и директориям сервера был получен отнюдь
                                    не по вине сотрудников РФК (или их разработок). Причина крылась в неопубликованной ошибке используемых ими (и/или их провайдером) Интернет-сервисов от сторонних производителей. От такой атаки, ни защищён никто. Все мы пользуемся множеством чужих программ и нельзя проверить каждую.

                                    3) РФК в качестве объекта для розыгрыша был выбран случайно из пяти лидеров рынка (random*6).

                                    Главной целью (поводом было 1 апреля) данной демонстрации было показать неправильность доминирующей и неоднократно озвучиваемой среди разработчиков ПО позиции "клиент должен безоговорочно доверять администратору сервера (банку)".

                                    Как показывает мировая практика ошибки в ПО серверов (особенно IIS) случаются регулярно и нет никакой гарантии, что Вы заходите на неизменный сервер банка, а не слегка модифицированный злоумышленником.

                                    Последствия могут быть самыми разными в зависимости от особенностей конкретного ПО, но особенно тяжкими они будут для систем изначально ориентированных на доверие к банку( в первую очередь на ПИН кодах)

                                    P.S. Надо отметить, что в Банк-клиенте РФК (точнее InterPro) предусмотрена неплохая защита от дефэйса странички (верификация формы), надо только требовать от клиентов, или автоматизаторов банка , чтобы её включали. Дальше уже клиенту решать что важнее - надёжность или удобство.

                                    Комментарий


                                    • #19
                                      Доброго времени дня
                                      С провайдером понятно - невозможно защититься от чужих ошибок
                                      Всё же большинство банков, включая даже мелкие, работают на собственных, гораздо более защищённых серверах, имеющих меньше уязвимых мест. К примеру, взломать систему на Unix/Apache гораздо труднее, чем MS/IIS используемую РФК и его провайдером.

                                      Последствия могут быть самыми разными в зависимости от особенностей конкретного ПО, но особенно тяжкими они будут для систем изначально ориентированных на доверие к банку(в первую очередь на ПИН кодах)
                                      Хочу напомнить Вашу-же фразу:

                                      Практически все версии браузеров, стоящие на клиентских машинах, непроапгрейжены и содержат различные баги,позволяющие выполнить посторонний код на машине пользователя.
                                      Так какая-же разница? При взломе сервера банка так или иначе
                                      появятся все условия для атаки на клиента.
                                      3) РФК в качестве объекта для розыгрыша был выбран случайно из пяти лидеров рынка
                                      Хотите сказать, что Вы можете взломать любую из систем ? Позвольте не поверить.
                                      взломать систему на Unix/Apache гораздо труднее, чем MS/IIS

                                      [/I]

                                      Комментарий


                                      • #20
                                        взломать систему на Unix/Apache гораздо труднее, чем MS/IIS , используемую РФК и его провайдером.
                                        Теоретически. На практике сами ОС и сервер большой роли не играют.
                                        Кстати откуда Вы взяли что rfc.ru работает под IIS??? Там Apache - 27 релиз?

                                        Так какая-же разница? При взломе сервера банка так или иначе появятся все условия для атаки на клиента.
                                        Разница большая- в успешной атаке на клиента как правило виноват он сам - не обновлял ОС или браузер, не ставил firewall и т.п. По крайней ему никто не мешал защититься при желании.

                                        В АСП схемах же от Вас ничего не зависит. Какая-бы защищённая локальная система не была, но без помощи разработчиков - воспрепятствовать перехвату пина или скрипту подписывающему скрытую форму невозможно.

                                        Согласитесь, это очень разные ситуации.

                                        С Уважением, Александр

                                        Комментарий


                                        • #21
                                          to Komlin

                                          Главной целью (поводом было 1 апреля) данной демонстрации было показать неправильность доминирующей и неоднократно озвучиваемой среди разработчиков ПО позиции "клиент должен безоговорочно доверять администратору сервера (банку)".

                                          Поясните, что в связи с последним утверждением не должен делать клиент.
                                          Те, прошу опубликовать FAQ для клиента, не доверяющего Администратору.
                                          WBR
                                          serg

                                          Комментарий


                                          • #22
                                            -
                                            Последний раз редактировалось Komlin; 03.04.2003, 04:45.

                                            Комментарий


                                            • #23
                                              -
                                              Последний раз редактировалось Komlin; 03.04.2003, 05:10.

                                              Комментарий


                                              • #24
                                                2 SharpCat
                                                Умеете Вы задать ?простой? вопрос :-)

                                                Вообще-то с банка в котором работает враждебный Вам администратор нужно поскорее убегать.

                                                Речь шла о том, что функции администратора может временно получить злоумышленник. От этого случая и надо защищаться. Причём не столько пользователю, сколько разработчику ПО и конечно, самому администратору банка

                                                В каждом конкретном случае меры разные. Общей частью являются следущие мероприятия (речь только об Интернет ?клиентах):
                                                1) Выбирать ПО, которое уже имеет встроенные механизмы защиты от подмены информации на сервере. Т.е. клиенту надо отдавать предпочтение ПО, поддерживающему схемы ЭЦП, а не АСП (ПИН, логин/пароль и т.п.).
                                                2) Среди систем ЭЦП выбирать ПО имеющее надёжную связку в между механизмом создания сообщения и его подписи, или систему верификации подписываемой формы (для HTML клиентов) или какую-либо другую систему обеспечивающую защиту от подмены подписываемого текста.
                                                3) Своевременно обновлять операционную систему и браузер компъютера используемого для работы с Банк-Клиентам. Использовать надёжный firewall, антитроян и (по-возможности) маскиратор.

                                                Удачи.

                                                P.S.2 SharpCat В Вашем случае я бы рекомендовал установить следующие опции в файле
                                                intpro.ini
                                                FormSignRequest=1
                                                ScrollFormSignRequest=1

                                                Комментарий


                                                • #25
                                                  Спасибо всем за столь живые отклики, из общего количества посмотревших топик и количества участвовавших в обсуждении понятно насколько востребованы "предложенные" технологии.
                                                  Отдельное спасибо Комлину за рекламную акцию. Получилось достаточно удачно: и спрос проверил, и основные проблемы выспросил, и еще раз показал, что опасно строить платежные системы на IIS и пр. универсальных средствах. И действительно многие разработчики (и РФК в том числе) отказались от таких платформ. Концепция повышения защищенности системы (в том числе и базирующейся на HTTP) за счет отказа от использования WEB сервера как такового получила очередной "+" (не в смысле "отметки" модератора).
                                                  На этом будем считать шутку состоявшейся, ведь "в каждой шутке есть доля шутки". За сим мы снимаем шуточную страницу с сайта. Еще раз спасибо.
                                                  С уважением,
                                                  Митричев Илья
                                                  ilya@rfc.ru, ilya@mail.transit.ru
                                                  ICQ 13530413

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X