16 ноября, пятница 20:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Модели угроз и нарушителей при использовании ЭЦП

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Модели угроз и нарушителей при использовании ЭЦП

    Уважаемые коллеги,
    дискуссия о достоинствах и недостатках конкретных средств ЭЦП, по-моему, страдает от излишне технологического уклона. Обсуждается в основном техническая возможность "вскрытия" ЭЦП, при этом неявно предполагается, что у нарушителя есть неограниченный доступ к трафику подписанных документов и неограниченное время, в течение которого ЭЦП сохраняет актуальность.

    На самом деле, в реальных системах и то, и другое предположение далеко не очевидны. Кроме того, при грамотном проектировании внутренней нормативной и договорной базы реальной системы, в которой используется ЭЦП, существует избыточность средств идентификации/аутентификации субъекта документооборота, а также установления подлинности и неизменности обращающихся документов. Поэтому многие страхи, основанные на весьма абстрактном представлении о реальном документообороте по сделкам электронной коммерции (в частности, по банковским операциям), кажутся мне сильно преувеличенными (если не чисто умозрительными).

    Представим себе реальную систему электронной коммерции, в которой используется ЭЦП -- например, систему электронного банкинга. Предположим, что средство формирования ЭЦП (СФЭЦП -- не хочу называть его СКЗИ) содержит ошибку или закладку (например, позволяет определить закрытый ключ по известному тексту платежки менее, чем за месяц). Весь трафик между сервером банка и клиентом защищен SSL 128, т.е. стандартными средствами MS IE. Вход клиента в систему -- по паре логин/пароль. Сеанс протоколируется на сервере банка (опционально -- на компьютере клиента).

    Возникают следующие вопросы:
    1. Кто может быть нарушителем (сотрудник банка; администратор системы; хакер, поставивший на канал сниффер; кто еще?).
    2. Как нарушитель может воспользоваться слабостью СФЭЦП:
    - если она ему известна;
    - если она ему a priori не известна.
    3. Насколько вероятна угроза.

    Главный вопрос здесь -- каким образом нарушитель заработает, а клиент (или банк) потеряет деньги, если эта слабость существует: мало вычислить ключ, надо ведь еще и ввести в систему корректный документ так, чтобы это не было сразу же обнаружено, а затем получить от этого выгоду, не попавшись.

    Давайте сообща определим потенциальные угрозы, чтобы вместе выработать меры защиты от них.

  • #2
    alexve: Предположим, что средство формирования ЭЦП (СФЭЦП -- не хочу называть его СКЗИ) содержит ошибку или закладку (например, позволяет определить закрытый ключ по известному тексту платежки менее, чем за месяц).

    Давайте рассмотрим закладки поэффективнее, которые упоминались в "Поправках..."

    1. Секретный ключ передается на сторону, например, при его генерации и регистрации открытого ключа на УЦ
    2. Преднамеренная слабость алгоритма, которая позволяет, зная только открытый ключ вычислить за приемлемое время секретный. Доступ к подписанным документам при этом не требуется.

    Комментарий


    • #3
      sandyman
      ОК, включаем в рассматриваемую модель.
      Тогда кто может быть потенциальным нарушителем в случаях 1 и 2?
      В случае 2 -- ответ очевиден: разработчик СФЭЦП.
      В случае 1 -- разработчик СФЭЦП и -- ?

      Комментарий


      • #4
        alexve

        Я предлагаю сразу структурировать по участвующим субъектам и процессам.
        (И почему-то мне кажется, что это уже было сделано. Нужно поискать.)
        Затем рассмотреть возможные атаки и угрозы. Затем их вероятность и последствия. Т.е. идти сверху вниз. Проще будет разбираться.

        Комментарий


        • #5
          saf -- согласен, но раз уж человек дал конкретное предложение, то пусть его развивает.

          Итак:
          участвующие в процессе обмена документами субъекты:
          - банк;
          - клиент;
          - провайдеры Интернета на стороне банка и клиента;
          - удостоверяющий центр (который может принадлежать, а может и не принадлежать банку).
          Я никого не забыл?
          Кроме того, имеются субъекты, не участвующие в процессе обмена документами, но имеющие потенциальную возможность создать и использовать слабость:
          - разработчик СФ ЭЦП;
          - разработчик Интернет-клиент-банка.

          Комментарий


          • #6
            Среди субъектов необходимо добавить всякого рода сертификаторов.
            И, может быть, расчетную систему.

            В начале определим предмет.
            И так, как мне кажется, мы рассматриваем ОДНУ и ЕДИНУЮ систему, непосредственные участники бизнес-процессов которой обязательно должны быть ее участниками и подчиняться единым правилам. Если это так, топрименяемы средства ЭЦП в такой системе будут унифицированы и их количество будет минимальным. Справедливо так же будет предположить, что участники такой системы могут пользоваться одним и тем ключом для совершения различных операций в системе с различными контрагентами.

            Кроме того, Alexve, Вы предложили идти от бизнеса. Так давайте это и сделаем. Т.к. риски и последствия будут зависить от роли участников. Или я не прав?

            Если я все-же прав, то в начале договримся о терминологии.
            Предлагаю.
            - Поставщика товаров и услуг называть просто ПОСТАВЩИКОМ.
            - Его обслуживающий банк (который тоже может быть участником системы) - БАНКОМ ПОСТАВЩИКА
            - Гарант поставщика, вполне возможное лицо, гарантирущая исполнение обязательств поставщика, ГАРАНТ ПОСТАВЩИКА
            - Расчетная система, организация, обеспечивающая организацию и управление, РАСЧЕТНАЯ СИСТЕМА.
            - Потребитель продукции и услуг (т.е. плательщик) - ПОТРЕБИТЕЛЬ.
            И т. д.

            Или я все усложнил? И можно говорить в термина точка-точка о технических участниках?

            Тем не менее по ролям необходимо разбить.

            Комментарий


            • #7
              saf
              Мы говорим о разных вещах. Разбивка по субъектам, которую привел я, -- это разбивка для системы Интернет-банк-клиент. Для электронной торговой площадки B2B, которую имеете в виду Вы, вообще говоря, одной-единственной разбивки не существует (типов таких площадок довольно много). Тем не менее, Ваша разбивка более или менее правильная -- в ней отсутствует только одно важное и необходимое звено: расчетный банк системы. Кроме того, Вы забыли банк потребителя, который тоже может быть участником системы (см., например, Фактуру).

              Комментарий


              • #8
                alexve
                Я не забыл. Я остановился.
                Мое недопонимание говорит все-же о том, что давайте более точно сформулируем предмет.
                Можно конечто типизовать угрозы несколько по иному.
                - Непосредственные участники документооборота (адресат, адресант)
                - Обеспечивающие технологический процесс (провайдеры, телекоммуникаторы)
                - Регулирующие (Удостоверяющие и сертифицирующие центры)
                - Разработчики ПО.

                Т.е. мы пришли к шаблонной цепочке банк-клиента и в ней можем работать.
                И все- таки нужно поискать, дабы не изобретать велосипед.

                Комментарий


                • #9
                  saf
                  Ваша классификация по роли в документообороте нравится мне больше. Можно добавить также (для полноты) роль, которую я бы назвал "внешний нарушитель" -- т.е. субъект, не участвующий в системе, но желающий получить незаконный доступ (например, хакер или сотрудник ФСБ).

                  Комментарий


                  • #10
                    alexve: Тогда кто может быть потенциальным нарушителем в случаях 1 и 2?
                    В случае 2 -- ответ очевиден: разработчик СФЭЦП.
                    В случае 1 -- разработчик СФЭЦП и -- ?


                    Кроме разработчика секретный ключ может перехватить хакер, используя троянцев. Причем данная угроза весьма реальна для физлиц, которые в основной массе не способны справиться с вирусами.

                    Вообще, Вы как-то слишком глобально подошли к вопросу. Не проще ли угрозы сначала рассмотреть на примере ИБ, который использует УЦ, а уже затем перейти на площадки.
                    И потом стоит различать закрытые системы ИБ прошлого века , где даже зная секретный ключ, очень непросто сделать платеж, который проведет банк (несовместимые системы подписи и шифрования, невозможность простой подмены ключа, доп. информация от клиента). И современные открытые системы, где злодею несложно подписать платеж, зная секретный ключ, а банку, для проведения платежа, совершенно достаточно получения подписанной платежки.

                    Комментарий


                    • #11
                      Я-то как раз и начал рассматривать с примера ИБ...

                      Комментарий


                      • #12
                        И так мы имеем роли участников:
                        - Адресат
                        - Адресант
                        - Обеспечивающие технологический процесс (провайдеры, телекоммуникаторы)
                        - Регулирующие (Удостоверяющие и сертифицирующие центры)
                        - Разработчики ПО
                        - Разработчики СФЭЦП (Специально разделил)
                        - Внешний

                        Предлагаю далее двигаться по такому плану.

                        1. Определить виды атак и условия при которых они возможны.
                        2. Затем непосредственно кто из персонала участников на какой вид атаки способен.
                        3. Далее оценить вероятность, что это может быть осуществлено.
                        4. И какие меры необходимо предпринять, что бы их не было..

                        Комментарий


                        • #13
                          Из внешних атак, ИМХО, наиболее вероятна и опасна - троянский конь.
                          Сейчас любое юное дарование первым делом пишет не программу "Hello, world", а трояна для утягивания лонгинов к И-нет провайдеру. Будут писать тоже самое для утягивания секретных ключей.
                          И реального кардинального метода защиты я не вижу. Проблему бы решило оснащение рабочих станций аппаратными криптографическими средствами (например, ридер+карта). Но в реальность этого я не верю.

                          С уважением,
                          ==========
                          С уважением,
                          ==========

                          Комментарий


                          • #14
                            EUgeneUS
                            Проблему бы решило оснащение рабочих станций аппаратными криптографическими средствами (например, ридер+карта). -- это не столь нереально, как Вы думаете (по крайней мере, в ситуациях B2B), но почти столь же бесполезно. Дело в том, что нет проблемы написать троян, перехватывающий не ввод пароля с клавиатуры, а выдачу аппаратного средства идентификации, в том числе биометрического, а также криптографических средств защиты информации. Затем эта выдача может быть совмещена с перехваченным клавиатурным вводом и переслана нарушителю. Последствия очевидны.

                            Комментарий


                            • #15
                              alexve

                              > (по крайней мере, в ситуациях B2B)

                              Про в2в - согласен.

                              > Последствия очевидны.

                              Аппаратные средства спасут от компроментации секретного ключа. От замены контекста - нет.

                              С уважением,
                              ===========
                              С уважением,
                              ==========

                              Комментарий


                              • #16
                                Угрозы

                                1. Хищение секретного ключа
                                2. Подмена подписываемого документа
                                3. Сбои в работе УЦ

                                1.1 Разработчиками ПО через троянца
                                1.2 Разработчиками СФЭЦП через троянца
                                1.3 Хакером через троянца
                                1.4 Сотрудником банка через троянца (при установке или под видом модернизации)
                                1.5 Сотрудником клиента (носитель ключа и компьютер общедоступен, пароль через программу-шпиона)
                                1.6 Разработчиками УЦ, если клиент для генерации ключей использует ПО УЦ
                                1.7 Хакером через подмену СФЭЦП, скачиваемого из интернета

                                Защита

                                1. Устройства со встроенной криптографией, которое закрытый ключ никогда не покидает и поэтому неизвестен даже владельцу.

                                Остаются угрозы
                                - подмены документа (через троянца)
                                - сбои УЦ
                                - хищение секретного ключа пп. 1.2, 1.5

                                2. То же устройство но с визуализацией того, что подписывается.

                                Устраняется угроза подмены документа, остальные угрозы п.1 Защиты остаются.

                                3. Дополнительные методы, при которых знание секретного ключа недостаточно для формирования платежа, который будет принят банком к исполнению.

                                Устраняются угрозы хищения ключа, кроме п. 1.5. Но система рискует превратиться в закрытую.

                                Комментарий


                                • #17
                                  Но система рискует превратиться в закрытую. -- что абсолютно правильно, во всяком случае для систем B2B. Иначе риски неприемлемо велики.

                                  На самом деле проблема, которую мы здесь обсуждаем, не сводится к ЭЦП. Для нормального функционирования серьезной системы электронной коммерции, вообще говоря, недостаточно надежно работающего механизма ЭЦП. Задача этого механизма -- 1) подтвердить аутентичность контрагента и 2) исключить возможность отказа контрагента от его обязательств. Это снижает риски сторон сделки, но недостаточно. Действительно серьезное снижение рисков возможно только в ЗАКРЫТОЙ (клубной) системе, в которой сделки происходят между заранее известными и зарегистрированными партнерами, которые связаны с электронной торговой площадкой договорными обязательствами. Очевидно, что любая система "клиент-банк" и представляет собой такую закрытую (клубную) систему.

                                  Теоретически, в перспективе, возможно такое развитие электронной коммерции, при котором роль центра закрытой системы будет играть какое-то "третье" лицо (например, тот же удостоверяющий центр). Но его функции не должны при этом сводиться к выдаче цифровых сертификатов электронной подписи. Он должен брать на себя также функции проверки контрагента, установления лимитов кредитного риска на данного контрагента, ведения кредитной истории и истории сделок контрагента и т.п., т.е. ограничивать не только риски, связанные с функционированием механизма ЭЦП, но и риски, связанные с возможностью умышленного или неумышленного неисполнения обязательств клиентом.
                                  Последний раз редактировалось alexve; 05.03.2002, 13:41.

                                  Комментарий


                                  • #18
                                    Ну вот, коллеги, приехали наши смарт-технологии. Я, впрочем, говорил и писал об этом еще в 1996 году.

                                    Материал из Компьютерры
                                    -----------------------------------------------------
                                    Смарт-карточные игры


                                    Дата публикации: 04.03.2002

                                    Киви Берд, kiwi@computerra.ru

                                    Для начала хочется напомнить, что прошлая история из "гнезда" некоторым существенным образом была связана с проходившей в г. Сан-Хосе, Калифорния ежегодной "Конференцией RSA". Среди разнообразных впечатлений и откликов, посвященных этому мероприятию, хотелось бы отметить упоминание еще об одной любопытнейшей экспозиции в выставочной части форума.

                                    Речь идет о стенде компании Datacard Group, специалисты которой развернули на экспозиционных столах некий "полевой вариант" небольшой электронной лабораторию и на глазах изумленной публики демонстрировали вскрытие смарт-карт с помощью подробно описанных в криптографической литературе методов "дифференциального анализа питания (ДАП)" и "дифференциального анализа искажений (ДАИ)" (Differential Power Analysis, Differential Fault Analysis). Оборудования для этих работ требуется совсем немного - осциллограф, компьютер да несколько "специальных коробочек".






                                    Для зрителей процесс вскрытия смарт-карты выглядел примерно так: "Сейчас вы видите на экране осциллографа последовательность вертикальных всплесков. Это циклы DES-алгоритма, шифрующего информацию в чипе карты. Давайте увеличим разрешение картинки. Внутри цикла вы видите пики характерной формы - это S-боксы, преобразующие нужный нам ключ. Давайте запустим программу вскрытия, которая по особенностям этих сигналов отыскивает биты секретной информации, и вот через минуту или две мы получаем ключ на выходе программы". Тройной DES вскрывался аналогично, но примерно раза в 3 раза больше по времени. Те же самые несколько минут уходили у аналитиков Datacard на отыскание пары больших простых чисел, образующих ключ в алгоритме RSA. Для этого не использовались, ясное дело, ужасно трудоемкие и широко известные методы факторизации, а "просто" внимательно анализировались реакции чипа смарт-карты на небольшие варьирования в напряжении и частоте при подаче питания...

                                    Несколько лет назад исследовательские работы с описанием такого рода методов вскрытия защищенных чипов наделали много шума в криптографических кругах, однако на выставках подобные технологии еще не демонстрировались, и, по свидетельству специалистов, открывающаяся картина действительно впечатляет.

                                    Начало же этой истории было положено в сентябре 1996 года, когда коллектив авторов из Bellcore, научно-исследовательского центра американской компании Bell, сообщил об открытии серьезной потенциальной слабости общего характера, свойственной практически для всех защищенных криптоустройств. В частности, и для смарт-карт электронных платежей. Авторы (Дэн Бонэ, Рич ДеМилло и Ричард Липтон) назвали свой метод вскрытия "Криптоанализом при сбоях оборудования" (изложение статьи можно найти, например, здесь). Суть его в том, что искусственно вызывая сбой в работе электронной схемы с помощью ионизации или микроволнового облучения, а затем сравнивая сбойные значения на выходе устройства с заведомо правильными значениями, теоретически можно восстанавливать криптографическую информацию, хранящуюся в смарт-карте. Правда, разработанная в Bellcore атака была применима для вскрытия ключей исключительно в криптосхемах с открытым ключом - RSA, алгоритм цифровой подписи Рабина, схема идентификации Фиата-Шамира и т.д.

                                    Но меньше чем через месяц, уже в октябре 1996 года аналогичная атака была разработана и в отношении вскрытия симметриччных криптоалгоритмов в смарт-картах. Новый метод был разработан знаменитым тандемом израильских криптографов Эли Бихамом и Ади Шамиром, получив название "Дифференциальный анализ искажений" или ДАИ. На примере блочного шифра DES эти авторы продемонстрировали, что в рамках той же "беллкоровской" модели сбоя в работе аппаратуры можно "вытащить" полный ключ DES из запечатанного и защищенного от методов инженерного доступа шифратора путем анализа менее 200 блоков шифртекста. Более того, впоследствии появился еще ряд работ Бихама-Шамира с описанием методов извлечения ключа из смарт-карты в условиях, когда о реализованной внутри криптосхеме неизвестно практически ничего. Окончательная версия данной работы была представлена авторами на конференции Crypto '97, текст статьи (правда, в "неудобоваримом" формате PostScript) можно найти здесь. Большая подборка материалов вокруг ДАИ в формате HTML выложена на сайте Джона Янга Cryptome.

                                    Наиболее часто критика в адрес ДАИ, особенно со стороны выпускающих смарт-карты фирм, сводилась к тому, что вся эта методика носит сугубо теоретический характер. Ведь никто не продемонстрировал на практике, что сбойные ошибки можно вызывать именно в криптосхеме, причем конкретно в алгоритме разворачивания ключа... Но уже весной 1997 года появилось описание не теоретической, а весьма практичной атаки, получившей название "усовершенствованный метод ДАИ". Авторы атаки, кембриджский профессор Росс Андерсон и его аспирант Маркус Кун, продемонстрировали, что могут извлекать ключ из смарт-карты менее чем по 10 шифртекстам. В основу нового метода была положена модель принудительных искажений или "глич-атак", реально практикуемых крэкерами при вскрытии смарт-карт платного телевидения. Под глич-атаками понимаются манипуляции с тактовой частотой или напряжением питания смарт-карт, что позволяет выдавать дампы с ключевым материалом на порт выхода устройства. Эффективность глич-атак продемонстрирована кембриджскими авторами как на симметричных криптосхемах, так и на вскрытии алгоритмов с открытым ключом, ссылки на соответствующие статьи можно найти на сайте Росса Андерсона.

                                    А летом 1998 года стало известно еще об одном методе вскрытия смарт-карт, причем реализованного на практике более чем успешно. Совсем небольшая, состоящая из 4 человек консалтинговая криптофирма Cryptography Research в Сан-Франциско разработала технику под названием "дифференциальный анализ питания" или ДАП. Взяв на вооружение аппарат математической статистики и алгебраические методы исправления ошибок для анализа флуктуаций в потреблении чипом электропитания, 25-летний Пол Кочер (глава фирмы) и его коллеги продемонстрировали, что могут извлекать криптоключи практически из всех доступных на рынке смарт-карт. Подробное описание техники ДАП было представлено Кочером на конференции Crypto '99, соответствуюую статью можно найти на сайте его компании.

                                    С тех пор, можно понять, технологии анализа и вскрытия смарт-карт не стояли на месте. И, возвращаясь к недавней конференции RSA и экспозиции Datacard Group, наибольший эффект на зрителей производило снятие информации с бесконтактных смарт-карт, когда доступ к секретной информации внутри чипа и извлечение ключа удается осуществить с помощью специального радиочастотного интерфейса и вообще безо всякого прикосновения пробников к карте...

                                    Смысл же всех этих демонстраций должен быть предельно ясен. Официальные представители смарт-картной идустрии повсюду трубят, что "чип-карты - это наиболее безопасная из существующих ныне технологий, их чрезвычайно сложно вскрывать". В том или ином виде заявления о "высочайшей безопасности" становятся одним из главных аргументов сторонников "цифровых карточек-паспортов" - активно продвигаемой ныне технологии идентификации во многих развитых странах. Описанные выше исследования и результаты демонстрируют, однако, что все это не совсем так.

                                    А может статься, что и совсем не так.

                                    Комментарий


                                    • #19
                                      to alexve

                                      Вы искуственно связываете вместе два разных вопроса: электронное оформление и гарантии выполнения сделок. Какая разница, подписал с Вами директор неизвестной фирмы договор на бумаге или скрепил его электронной подписью? Выполнение или невыполнение договора от этого не зависит.
                                      Вы предлагаете вокруг торговых площадок создавать закрытые клубы, стать членом которых может далеко не каждый. Только почему обязательно вокруг торговых площадок. Такие клубы прекрасно могут существовать и в офф-лайне. Только там их нет, потому что свободному рынку они противопоказаны. А значит и при торговых площадках обречены на неудачу.
                                      P.S. Насчет статьи - не стоит отдавать любимую карточку в чужие руки .

                                      Комментарий


                                      • #20
                                        2 sandyman
                                        Существует несколько, и совершенно различных, понятий клуба. Есть Аглицкий клуб, т.е узкое и замкнутое сообщество. А можно привести пример клуба фэнов Спартака. При этом и тот и другой являются клубами, т.е. сообщества людей, имеющих совпадающие в некоторой области интересы. И их, членов клуба, отличает от толпы следование некоторым правилам, присущим данному клубу.

                                        Если возвращаться к теме, то под клубностью применительно к электронному бизнесу, как я понял, alexve понимает не только следование "членов" клуба установленным нормам и предварительный отбор (т.е. "рекомендации"). Кроме того и возможность получить необходимую и достаточную информацию о контрагенте для принятия решения о возможности с ним делового партнерства.

                                        В офф-лайне клубы прекрасно существуют. Например клуб оптовых дилеров водки "Кристалл". И не важно, что он так не называется, - он существует. Да и речь ведь не об этом. Мы пытаемя говорить об электронном бизнесе как о новой технологии, которая позволит покупать, например, мерс через интернет, а не копеечную книгу. При этом, чтобы и покупатель и продавец были уверены, что сделка состоится и будет исполнена.

                                        Комментарий


                                        • #21
                                          sandyman
                                          Вы искуственно связываете вместе два разных вопроса: электронное оформление и гарантии выполнения сделок. Какая разница, подписал с Вами директор неизвестной фирмы договор на бумаге или скрепил его электронной подписью? Выполнение или невыполнение договора от этого не зависит.
                                          Я вообще-то иду от бизнеса. От реального бизнеса, в котором разбираюсь и которым занимаюсь каждый день. И этот бизнес показывает, что при электронном оформлении сделок существует больше рисков, чем при обычном. Наша цель -- сделать так, чтобы риски при электронном оформлении сделок были как минимум не выше, чем при обычном.

                                          Закрытые сообщества, образующиеся при торговых площадках -- это реальность, более того, это ПЕРСПЕКТИВА, с точки зрения решения этой проблемы. Причем существуют они гораздо дольше, чем электронная торговля: примером такого закрытого сообщества является сообщество брокеров на любой бирже. Причина возникновения брокерской формы биржевой работы -- такая же, как причина появления сообществ вокруг электронных площадок: необходимость снижения рисков за счет наложения на сообщество дополнительных, более жестких, чем обычно, обязательств.

                                          В заключение замечу, что мне не хотелось бы засорять этот тред таким же флеймом на общие темы философии и организации бизнеса, каким мы с Вами засорили тред о законе об ЭЦП. Поэтому давайте обсуждать такие темы либо в почте, либо открыв специальную тему, например "Общие принципы организации электронного бизнеса".

                                          Комментарий


                                          • #22
                                            Начали за здравие, кончили как всегда

                                            Сдесь расматривались направления защиты, и я хотелбы тоже ч.чуть сказать.

                                            Практически весь трейд свелся к техническим вопросам, но ИМХО, это не совсем прально. Уважаемые упускают из вида организационные методы с УИ. Смею напомнить, что защита информации - только одна сторона медали. Защищаться должна и технология. Причем не только конкретного процесса подписи, но всего процесса прохождения финансоваго документа. Многие, очень многие подпункты "угроз" решаемы наложением организационных ограничений.

                                            Какой смысл ломать, если клиент не имете прав в день проводить операций более чем на 1000$. Сколько стоит подлом?
                                            Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                            Комментарий


                                            • #23
                                              Romsan
                                              Многие, очень многие подпункты "угроз" решаемы наложением организационных ограничений. -- вот-вот, в другом треде я об этом тоже говорил. На самом деле более высокая степень защиты обеспечивается организационно-правовыми, чем техническими, методами. Чего не понимают ни ФАПСИ, ни депутаты, принявшие закон об ЭЦП в его нынешней бредовой форме.

                                              Приведу пример. Если коллеги посмотрят в соседнем форуме по пластиковым картам тред про скимминг, то обнаружат, что при определенных обстоятельствах клиент не имеет права на возмещение ущерба от мошеннической операции -- это сделано для защиты как для банков-эквайеров, так и системы в целом.

                                              Комментарий


                                              • #24
                                                alexve я ч.чуть о другом. Это конечно хорошо, если законы и определения будут 100% пральные...

                                                Но и на местах, на каждом отдельном пляже - спасение утопающих должно быть организовано с учетом местных течений и омутов.
                                                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                Комментарий


                                                • #25
                                                  Romsan
                                                  Дак ведь и я об этом же. А ФАПСИ и проч. помянул, поскольку сама суть закона об ЭЦП говорит о полном игнорировании ими возможности защиты системы организационно-правовыми методами.

                                                  В частности. Для замкнутого сообщества, работающего на одной электронной торговой площадке (ЭТП), на мой взгляд, риски значительно ниже, чем для открытого сообщества, не обусловленного предварительным заключением договоров с ЭТП.
                                                  Представим себе, что ключ ЭЦП продавца украден злоумышленником (студентом-хакером). Что он может сделать с помощью этого ключа? Подписать договор о поставке от лица продавца. Но дальше-то что? Договор надо исполнять, товар -- поставить. А откуда у студента товар? А как он узнает, куда надо его поставить (в правильной ЭТП эта информация доставляется на конкретный адрес продавца и не может быть получена в онлайне)? Наконец, даже если он его поставит, -- деньги-то могут быть перечислены только по тем реквизитам продавца, которые он указал при заключении договора с ЭТП! Так что за поставленный студентом товар деньги все равно получит продавец, у которого студент украл ключ ЭЦП.
                                                  В итоге:
                                                  - покупатель получил товар;
                                                  - продавец получил деньги (неизвестно за что);
                                                  - студент дважды обломался: передал свой товар и не получил деньги.

                                                  Легко показать, что то же самое действует и в отношении покупателя (если, конечно, он использует нашу систему расчетов с поставкой против платежа).

                                                  Комментарий


                                                  • #26
                                                    Romsan: Какой смысл ломать, если клиент не имеет прав в день проводить операций более чем на 1000$.
                                                    Сто тысяч зрителей по одному рублю...
                                                    С помощью закладки в СФЭЦП разработчик "имеет" все ключи клиентов, которые им пользуются.

                                                    alexve: если, конечно, он использует нашу систему расчетов с поставкой против платежа
                                                    Что называется искать ночью кошелек не там, где потерял, а под фонарем - где светлее .
                                                    Не знаю как в Москве, а у нас товар продают, в основном, по предоплате. А значит студенту нужно просто перевести деньги со счета покупателя на свой счет. Если ИБ посложнее, чем те, что есть сейчас, то студенту нужно будет изобразить из себя продавца и выставить счет-фактуру на этого покупателя.

                                                    Romsan: Многие, очень многие подпункты "угроз" решаемы наложением организационных ограничений.
                                                    alexve: На самом деле более высокая степень защиты обеспечивается организационно-правовыми, чем техническими, методами
                                                    Давайте тогда конкретно рассмотрим эти методы и ограничения, а не то пока только одни общие слова . На примере как ИБ, так и для ЭТП. Хотя топик все-таки посвящен угрозам, связанным с ЭЦП.

                                                    Комментарий


                                                    • #27
                                                      К сожалению бегал и не мог поучаствовать. А в предверии выставки ожидаю более длительного своего отсутствия.
                                                      Тем не менее. Давайте все таки перейдем в деловую плоскость, а общефилосовские рассуждения оставим другим топикам.

                                                      В приведенной sаndyman'ом классификации приведены не типы угроз для бизнеса, а техническая реализация угроз.

                                                      Я предлагаю следующие типы:
                                                      1. Технический сбой. (Если меня убедят, что существует достаточно большая вероятность, что в его результате конечный документ будет воспринят как "нормальный")
                                                      2. Утечка информации. (Здесь имеется ввиду,что злоумышленник будет снимать проходящую информацию для своих целей не вмешиваясь в работу системы и оставаясь "прозрачным")
                                                      3. Ввод "контрафактных" документов.
                                                      4. Подмена нормального документа на "контрафактный"


                                                      И еще. Мы обсуждаем РОССИЙСКИЕ реалии и тенденции. И других обсуждать не будем. По крайней мере пока.

                                                      Комментарий


                                                      • #28
                                                        sandyman
                                                        Не знаю как в Москве, а у нас товар продают, в основном, по предоплате.
                                                        Именно это создает основной риск для покупателя, причем не только при электронной торговле. Предоплата не гарантирует поставку против платежа. Этот механизм препятствует развитию B2B, так как риски оказываются неприемлемыми.
                                                        Поэтому мы разработали механизм, обеспечивающий гарантии для обеих сторон сделки.
                                                        А значит студенту нужно просто перевести деньги со счета покупателя на свой счет. Если ИБ посложнее, чем те, что есть сейчас, то студенту нужно будет изобразить из себя продавца и выставить счет-фактуру на этого покупателя.
                                                        В закрытой системе электронной торговли студент сможет изобразить из себя продавца только в том случае, если он зарегистрирован на ЭТП, представил необходимый набор документов, подписал с ЭТП пакет договоров и прошел проверку службой безопасности. Следовательно, он засвечен по полной программе. Если же он "подменил" настоящего продавца, то, как я уже писал, деньги все равно попадут к этому продавцу, а не к студенту.
                                                        Давайте тогда конкретно рассмотрим эти методы и ограничения, а не то пока только одни общие слова . На примере как ИБ, так и для ЭТП. -- так вот то, что я только что описал, и есть один из примеров методов организационно-правовой защиты.

                                                        Комментарий


                                                        • #29
                                                          saf
                                                          Я предлагаю следующие типы:
                                                          Вы, откровенно говоря, тоже перечисляете не типы угроз для бизнеса, а типы механизмов, создающих эти угрозы.
                                                          Сами же угрозы для бизнеса, вообще говоря, весьма немногочисленны:
                                                          - угроза убытков (ущерба) из-за потери денег покупателем вследствие неисполнения (ненадлежащего исполнения) своих обязательств продавцом;
                                                          - угроза убытков (ущерба) из-за потери товара продавцом вследствие неисполнения (ненадлежащего исполнения) своих обязательств покупателем;
                                                          - угроза убытков (ущерба) любой из сторон сделки из-за подмены другой стороны;
                                                          - угроза неправомерного возникновения ответственности любой из сторон (перед другой стороной или третьими лицами) из-за ее подмены злоумышленником;
                                                          - угроза возникновения ответственности любой из сторон, а также оператора ЭТП, перед государством вследствие преднамеренного или непреднамеренного нарушения законодательства, в том числе со стороны третьего лица-злоумышленника;
                                                          - угроза репутации любого из участников вследствие несанкционированных действий другого участника или третьего лица.

                                                          Собственно, организационно-правовые методы направлены именно на защиту от этих угроз, в то время как технические, включая ЭЦП, -- на защиту от предпосылок возникновения этих угроз. На мой взгляд (и опыт) -- организационно-правовые методы более эффективны.

                                                          Комментарий


                                                          • #30
                                                            alexve в правильной ЭТП эта информация доставляется на конкретный адрес продавца и не может быть получена в онлайне)? Наконец, даже если он его поставит, -- деньги-то могут быть перечислены только по тем реквизитам продавца, которые он указал при заключении договора с ЭТП!

                                                            Приятно, что мои идеи по организации безопасной B2C нашли отражение в Ваших организационно-правовых методах для ЭТП .

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X