Димитрий, один только вопрос: с помощью какой технологии у вас обеспечивается защита от кражи ключа с токена? Ключ хранится в защищённой области? И как с этим дружат сертифицированные СКЗИ?

Сертифицированное СКЗИ "Криптомодуль-С" по классу КС2 содержится и работает внутри карточного чипа ST19NR66, который стоит внутри USB-токена "iBank 2 Key".

Генерация секретного ключа ЭЦП осуществляется внутри карточного чипа ST19NR66 сертифицированным СКЗИ "Криптомодуль-С".

Далее секретный ключ ЭЦП хранится в защищенном EEPROM'е карточного чипа и никогда, никем и ни при каких условиях не может быть считан из карточного чипа.

Формирование ЭЦП осуществляется внутри карточного чипа ST19NR66 сертифицированным СКЗИ "Криптомодуль-С" по ГОСТу Р34.10-2001. На вход USB-токену - платежка, на выходе - ЭЦП.

Именно этот механизм - формирование ЭЦП ВНУТРИ карточного чипа - и позволяет делать секретный ключ ЭЦП неизвлекаемым.

В этом координальное отличие от банальных USB-хранилищ, которые по пин-коду отдают в компьютер секретный ключ ЭЦП.

В USB-токене "iBank 2 Key" секретный ключ ЭЦП - неизвлекаемый.

Димитрий, Добрый день!
В сообщении компании «БИФИТ» о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены "iBank 2 Key" есть пункт:

4. Использовать в банке системы Fraud-мониторинга электронных платежей.

Не могли бы Вы привести примеры таких систем?
Это разработка «БИФИТа»?
Есть конкретные решения системы Fraud-мониторинга электронных платежей для связки "iBank 2» + Диасофт 5NT?
Спасибо!

Видимо от этого защитят только токены, в которых будут выводиться данные подписываемого документа (может быть просто сумма), и подтверждаться физическим нажатием кнопки подтверждения.

Кстати при использовании тунеллировании USB через TCP компьютер клиента НЕДОСТАТОЧНО, чтобы токен выдёргивали после работы - это может произойти и параллельно с работой клиента в реальное рабочее время. Как с этим бороться?
Да и "удалённый доступ" может быть просто открытой клиентской "телнет" сессией, которая даже на экране не будет отображаться...

Рынок решений для Fraud-мониторинга электронных платежей достаточно специфичен.

Не хочу рекламировать чужие системы, сами можете погуглить. Но если в качестве примера, то:

SAS® Fraud Framework for Banking - http://www.sas.com/industry/fsi/fraud/index.html

RSA® Transaction Monitoring - http://www.rsa.com/node.aspx?id=3069

Ценник на указанные выше системы Fraud-мониторинга не самый доступный

А потребность у российских банков в гибких и эффективных системах Fraud-мониторинга электронных платежей, поступивших по системам ДБО, IMHO, будет только увеличиваться.

Поэтому БИФИТ уже давно ведет разработки системы Fraud-мониторинга элеткронных платежей, которая будет максимально открыта для интеграции с произвольными системами ДБО и при этом будет максимально использовать все возможности нашей системы ДБО "iBank2".

На текущий момент в системе "iBank2" есть много дополнительной служебной информации, которая может выгружаться вместе с платежками во внешние системы (в том числе и в систему Fraud-мониторинга) и далее уже средствами внешних систем осуществлять Fraud-мониторинг.

Кстати, некоторые банки именно так и делают - разрабатывают свои системы выявления подозрительных электронных платежей, пришедших по системам ДБО.

Помнится, для отправки документов через банк-клиент автобанка в момент подписания требовалось приложить к считывателю таблетку, наподобие домофонной. Т.е. ключ не был постоянно воткнут в систему, клиент готовил документы, а ключ использовал только в момент подписи документов и запроса выписок.
Может и тут нечто подобное можно организовать?

Uncle Dima, таблетка точно не поможет, так как вряд ли процесс подписи происходит в таблетке. Более того, даже если втыкать иТокен в момент подписи, на 5 секунд, троян может задетектить новое устройство, определить что это иТокен, и сделать за это время левую платёжку.

Последние 2 -3 месяца в интернете блуждает одна из новых разновидностей вируса(причем только за конец марта я уже видел штуки 4!!!! разных и модифицированных), антивирусы не успевают их индефицировать ...в DrWeb помнится он опознавался как Pws.Ibank.
вырубает доступ к сайтам антивирусов с целью остановить обновление на некоторое время(на сколько помню инфицуруется с помощью большущей дыры в адобе ридере, т.е. через pdf, возможно фоксит ридер как то изменит ситуацию, но не на долго),тем временем пользователь ничего не понимает продолжает работать, а ПК начинает притормаживать и делать свои дела (для разработчиков тонких клиентов есть некоторые советы, которые будут для них большим плюсом, могу поделиться), как только злоумышленик (в принципе его найти не так трудно, работает с одного ноутбука, тоже есть идеи ... ) получит то что ему надо (всем на заметку, мак адрес тоже слить и поменять не проблема), принимается делать то что ему нужно, блокирует доступ к зараженному ПК (например в один момент случается проблема с винчестером, либо еще что то), делает свои дела и все...
пока злой юзер,который растроен поломкой компьютера поймет что по выписке у него что то не то, деньги могут уже потеряться

ЗЫ лично мое мнение, всякие там токены и прочие электронные вещи всегда будут ломаться, поэтому, на мой взгляд можно внедрить сеансовые ключи(или етокен пасс),или же смс код (на мой взгяд этот вариант очень хорош,но тоже помнится и такой вариант ломали)

ЗЫ 2 в такие временные моменты можно прибегать к другим мерам усиления безопасности,к примеру подтверждения всякие

Есть два типа USB-токенов:

1. С извлекаемыми секретными ключами ЭЦП пользователя

2. С НЕизвлекаемыми секретными ключами ЭЦП пользователя.

Первые - с ИЗВЛЕКАЕМЫМИ ключами - по введенному пин-кода отдают файл с секретным ключом ЭЦП пользователя. То есть троян может перехватить вводимый пользователем с клавиатуры компьютера пин-код и с его помощью считать из USB-токена файл с секретным ключом ЭЦП пользователя. А далее - уже с другого рабочего места преспокойно от имени клиента отправить платежку с корректной ЭЦП клиента в банк с использованием ранее похищенного (считанного) из USB-токена секретного ключа ЭЦП клиента.

USB-токены второго типа - с НЕизвлекаемыми секретными ключами - сами внутри себя генерируют секретные ключи и ни при каких условиях не отдают секретные ключи в мир. Никому и никогда. Ибо функция считывания секретного ключами из USB-токена отсутствует. При этом формирование ЭЦП под электронным документом происходит внутри USB-токена.

Соответственно атака для токенов второго типа - с НЕизвлекаемыми секретными ключами ЭЦП - может быть произведена только в моменты, когда реальный USB-токен клиента включен в работающий и подключенный к инету компьютер клиента и при этом на компьютере работает троян.

То есть только в онлайне с использованием рабочего компьютера клиента.

Клиента и банки должны четко понимать - USB-токены и смарт-карты с НЕизвлекаемыми секретными ключами ЭЦП решают задачу защиты секретных ключей ЭЦП от хищений (копирований).

Но при этом USB-токены и смарт-карты никак не решают задачу обеспечения доверенной среды на компьютере клиента.

Если у клиента троян зашарил все USB-порты на хост злоумышленника, то злоумышленник зная пин-код для доступа к функциям токена/смарт-карты, может воспользоваться удаленно подключенным токеном/смарт-картой.

Но вот считать из токена/смарт-карты секретный ключ ЭЦП или как-то еще клонировать USB-токен/смарт-карту - не получится никак.

Отсюда первый БОЛЬШОЙ вывод - для снижения рисков хищений надо заставить/убедить клиентов подключать USB-токен/смарт-карту к компьютеру только на момент работы с системой ДБО.

Во всех остальных случаях токен/смарт-карта должны быть отключены от компьютера.

Ну ведь никто из клиентов свои ключи от банковских ячеек в депозитарии не оставляет! Ключи втыкают в сейф/ячейку только на момент доступа.

Заблуждение.

Одноразовый пароль, снятый с ОТР-токена или полученный по SMS, никак не обеспечивает аутентичность (целостность и авторство) направляемого в банк электронного распоряжения/документа.

Одноразовый пароль - это только средство аутентификации.

Мировая практика защиты систем ДБО настоятельно рекомендует многофакторную аутентификацию клиентов.

Как минимум - долговременный пароль из головы (то, что знаешь) + одноразовый пароль с ОТР-токена/SMS/скреч-карты (то, чем владеешь).

На текущий момент БИФИТ настоятельно рекомендует клиентам банков использовать смарт-карты "iBank 2 Key" с неизвлекаемыми секретными ключами ЭЦП клиентов.

А при возможности - еще и расширенную многофакторную аутентификацию с использованием одноразовых паролей, получаемых по SMS или с OTP-токенов.

Очень доступные по цене, компактные, надежные и простые в использовании ОТР-токены Vasco Digipass Go3 и ActivIdentity Mini-Token компания "БИФИТ" оперативно поставляет банкам со склада в Москве (1..2 дня).

Старые добрые Touch Memory DS-1992 или DS-1994 использовались в старых добрый Банк-Клиентах компании "РФК" и самописных ДБО банков именно в качестве хранилища. Не более чем.

Считать с "таблетки" 8-байтный уникальный идентификатор и 64 или 256 байт из памяти - даже тогда в середине 90-х было простым делом (малая частичка одного из моих дипломов в Бауманке).

Более свежие iButton с Java и 32-битным чипов внутри "таблетки" теоретически позволяет впихнуть в "таблетку" российский ГОСТ Р34.10-2001 на ЭЦП на эллиптических кривых. И мы даже такие "пилоты" делали. Но у решения такого много минусов, включая меньшую защищенность, чем у чипов смарт-карт, сертифицированных по CC EAL5++.

Но даже если сделать реализацию ГОСТа с приемлемым для юрика временем формирования ЭЦП внутри iButton, то радикальных плюсов iButton в сравнении с смарт-картами или USB-токенами не наблюдается. Только одни минусы.

don_huan, таблетка точно не поможет, так как вряд ли процесс подписи происходит в таблетке. Более того, даже если втыкать иТокен в момент подписи, на 5 секунд, троян может задетектить новое устройство, определить что это иТокен, и сделать за это время левую платёжку.
Так это в дополнение к токену. В момент подписи документов надо приложить таблетку на секунду, далее работает токен.

Димитрий, Но даже если сделать реализацию ГОСТа с приемлемым для юрика временем формирования ЭЦП внутри iButton, то радикальных плюсов iButton в сравнении с смарт-картами или USB-токенами не наблюдается. Только одни минусы.
А если это будет дополнительная защита? Не подписывать ими документы, а давать право подписи выбранных документов токену.

Uncle Dima, чем это будет отличатся от пинкода? Только методом ввода(не через клаву).

1)Я не имел ввиду что злоумышленику в этом случае надо будет копировать ключи,я имел ввиду что ПК спокойно ночью к примеру пробуждается (это уже не новое,многие трояны и прочие "злые программы" этим занимаются),и мошенник получат полноценный доступ(на подобии радмин и прочих), зная уже все пароли и явки (опять же, как вы сказали что надо убедить клиента хотя бы вытаскивать токены, а это нереально) делает все свои дела,после чего трояну говирит - фас,и он благополучно форматит винт и сносит партиции

2)По поводу OTP одноразовых ключей, я не имел ввиду что это обеспечивает целность ПП, а я рассматриваю его как дополнительная мера аунтификации, при которой нельзя будет совершить нелегальное списание, причем внедрить его в банк не так уж и сложно (к примеру это не переход на токены или другую крипто-систему), а эффективность высока

ЗЫ Вам большой "+", за то что информируете своих клиентов
а вот БСС большой "-" за то, что они отмалчиваются (по моим данным больше страдают клиенты именно их системы)

Читаю список контрмер и становиться грустно, так как большей частью это орг.мероприятия. Для их выполнения необходим солидный запас актуальных знаний в сфере Интернет-безопасности. Многие ли ими обладают? Проецируем на реальный мир. К примеру Вы обладаете достаточным объемом знаний в области криминалистики связанной с квартирным взломом? Как давно Вы меняли в своей квартире дверь или замок? Покупая услугу интерент-банкинга клиент хочет получить законченный продукт-доверительную среду для осуществления операций с денежными средствами. После длительного кормления баснями о надежности токена для ключей клиент получает прецедент безопасности. Теперь необходимо будет еще покупать OTP-токен (кстати Вы себе представляете бухгалера минимум десятка предприятий с "бусами" и "связками" из различных токенов?). На текущий момент в связке с ip-фильтрацией это на какое-то время создаст иллюзию безопасности. Но и это не панацея если посмотреть в завтра:
1. Безопасность системы равна безопасности самого слабого звена, к примеру место соединения ПО и токена.
2. USB-токен с генерацией ЭЦП. Хорошо, но что мешает подменить платежные реквизиты в созданной платежке в процессе передачи ее в токен, к примеру отдавать в токен две платежки – оригинальную и фальшивую и т.д.
Может все-таки пора принять тот безапелляционный факт что работать по умолчанию придется в агрессивной (недоверенной) среде? Может все-таки пора создавать доверительную среду не только для ключа, а в целом для механизма? На текущий момент имея и антивирус и файервол никто не может быть уверен в отсутствии на компьютере вредоносного ПО, так как на текущий момент возможно уже решены задачи по сокрытию вредоносного трафика в интернет-трафике. Почему бы, к примеру, не разработать специализированный Linux-iBankLiveCD, заверенный ЭЦП "Бифит". Ведь этим мы и получим в результате ту необходимую доверенную среду (http://www.linux.org.ru/news/security/4701926) и (http://www.opennet.ru/opennews/art.shtml?num=25963). К этому добавляем доверенную среду в виде токена для ключа и получаем невзламываемую систему на несколько десятилетий вперед. Рентабельность решения высочайшая! Что мешает это сделать? Или задача стоит по другому (к примеру реализация OTP-токенов)?
Вышеописанный механизм можно уже украшать дополнительными побрякушками:
1. OTP-токеном;
2. хранение всех подписанных документов в энергонезависимой памяти токена;
3. и т.д.
Но это уже тюнинг для параноиков.
С уважением, Валерий.

Да, LiveCD с Ununtu в котором предустановлены дрова для всех даже самых древних компов, для всех разновидностей модемов (в т.ч. и 3G) и сетевух с выходом в интернет, драйвер токена... И сохранение конфигурации и шифрованной базы на, допустим, флешке (с возможностью экспорта выписок туда)...
Это была бы непробиваемая система ДБО.

LiveCD - это неудобно, т.к. надо перегружаться - раз, будет недоступен 1с на время работы в банк-клиенте - два, нельзя будет работать одновременно в нескольких разных банк-клиентах - три, пока хватит...

А чем плох вариант с подтверждающим кодом, отправляемым клиенту через SMS для подтверждения операции отправки (подписанных документов)? Дешево и сердито

На вскидку применительно в "Интернет-банкингу" "Бифит"-а (локальная база в данном случае в принципе отсутствует) набор минимум это:
1. Браузер;
2. Java;
3. Драйвер токена для ключей.
И все! Если я что-то пропустил прошу меня поправить.
В результате получаем ту абсолютную мобильность в рамках земного шарика, которая безвозвратно теряется при использовании ip-фильтрации.
Но тут, к сожалению, в атаку на данное решение пойдут "Microsoft", создатели антивирусного ПО, различного ПО и железяк по безопасности и т.д. и т.п.
С уважением, Валерий.

По сравнению с получаемой "непробиваемой" на десятилетия вперед системой все эти аргументы несущественны и малозначимы. Весь этот вышеописанный "сервис" и "прибамбасы" меркнут по сравнению с ощущением абсолютно безопасного дистанционного оперирования деньгами причем без каких-либо ограничений по суммам и каким либо привязкам (ip-адресу, интернет-зоне и т.д.). Данные категории просто не совместимы. Свобода и 100%-ая безопасность. Открываются безграничные перспективы.
Вопрос с "подтверждающим кодом, отправляемым клиенту через SMS" вообще не интересен ввиду наличия открытого канала передачи кода. Угроз - бесконечный список, по ним можно целый фолиант писать. Рентабельность данного решения не ахти, да и оперативность и гарантия доставки SMS также оставляет желать лучшего.
С уважением, Валерий.

rvl, решение с LiveCd на каком-либо юникс ядре(пусть даже freebsd) это тоже не панацея (чего мешает искать уизвимости например в них???!!!а они там тоже есть...), как я говорил - можно тогда новую услугу - нетбуки со всеми наворотами))) но к сожалению у наших бухгалтеров на их компьютерах стоит такое количество всяких программ(5-10 клиент банков запросто + штук по 5 на каждом организаций всякие там такскомы (при этом слове админы перекрещиваются)), администратор даже боится и снимает каждую неделю дамп с него...как тут можно говорить о лайвСД???
для них все должно быть просто,работать на всех машинах и всегда все безопасно!!!и пока "петух не клюнет" они даже не подумают...

слышал про клиента,у которого увели денюшку, и он сразу же купил себе ноутбук только!!! для клиент банков,поставил несколько антивирусов, ключи теперь хранит в сейфе и использует только тогда когда они нужны!!!

Нетбук с ядром какой-либо ОС вполне бы подошел.
Права администратора отобрать, пароль не сообщать, диск шифровать весь.
TXT и DBF файлы переносить на флешке.

Кто вот только из клиентов пойдет на удорожание системы на 8-9 т.р. ради безопасности, кроме тех кто уже имеет печальный опыт ?

bobans, ЗЫ Вам большой "+", за то что информируете своих клиентов
а вот БСС большой "-" за то, что они отмалчиваются (по моим данным больше страдают клиенты именно их системы)
Поддерживаю, тоже нравится политика поддержки БИФИТ.

Димитрий,
По теме: если у клиента будет SMS-оповещение на вход в систему и на подпись документов, спасёт ли это его?
Получится, злоумышленнику, чтобы сменить номер телефона (владелец счёта не должен получить уведомление), надо войти в систему, т.е. клиент моментально узнаёт о несанкционированном доступе, звонит в банк и блокирует все платежи.
Если же просто произошла отправка документов (подписаны документы), то клиент тоже получает информацию о совершённых платежах.

Что получим при таком раскладе? Будет ли достаточно защищён клиент?

Да, я как-то давно (года 3-4 назад) отправлял в суппорт бифита просьбу дать возможность блокировки изменения номера телефона на стороне клиента, чтобы номер телефона мог менять только администратор банка по письменному заявлению клиента. В письме как раз и обрисовывал ситуацию, когда злоумышленник получает доступ к системе, изменяет номер телефона и дальше фигачит документы от имени клиента без риска, что клиент получит уведомления.
Может ещё раз подумаете над такой возможностью? Вроде копеечная доработка, а безопасность будет выше гораздо.

А Вы бюджет таких наворотов себе представляете? Кто будет финансировать? Клиент? Да он на токен десяток евро зажимает. Банк? У Вас есть веская мотивация для Наблюдательного Совета? А как будет рада бухгалтерия Банка так вообще словами не передать. Вопросов масса...
Что касается ядра iBankLiveCD то я писал, что:"специализированный Linux-iBankLiveCD, заверенный ЭЦП "Бифит"." Т.е. "Бифит" может это ядро заранее "вылизать". Не вижу особенных препятствий. LiveCD от Касперского и DrWEB на Linux-ядрах отлично себя показали.

Акцент необходимо делать не на бухгалтеров - это наемный работник - а на собственнике денежных ресурсов. Это он, а не кто другой, теряет свои деньги в случае возможного инцидента безопасности.

Ну так национальный менталитет!

Во-первых, как я уже писал, у "БИФИТ"-а будет возможность "вылизать" ядро - код открытый.
Во-вторых. Ну нашли Вы уязвимость в браузере или в ядре записанном на неперезаписываемом оптическом накопителе с которого осуществляют взаимодействие исключительно с адресом сервиса дистанционного банковского обслуживания по защищенному каналу, ну и что дальше?????? Дальше то что?
С уважением, Валерий.

Почитал... Попытался осмыслить...

Мне что, БИФИТ в Гугл превращать?!

И так много ОДНОВРЕМЕННО реализуемых проектов по многим направлений, и все - приоритетные.

Вот, к примеру, уже больше двух лет банки воют, попадая под сильные DDoS-атаки.

Стоят растерянные, и ничего сделать не могут...

И клиенты плюются - ибо в такие периоды iBank2 им недоступен.

И во всём, как всегда, виноват БИФИТ

В итоге я созданию Центр компетенции по защите от DDoS-атак, инвестирую кучу денег ибо все наши славные "интеграторы" на деле только железо умеют впаривать да бюджеты осваивать, а реальной компетенции - крохи.

Далее выделяю пять толковых специалистов, посылаю ребят к вендорам учиться (в российском БИФИТе три сертифицированных специалиста по оборудованию Radware DefensePro, и они же первые три - в России; тоже самое - в Украине), покупаю NFR-железок (Not For Resale) разных вендоров (Arbor, Radware, Cisco и пр.) на несколько сотен килобаксов, строю лабораторию.

В итоге набираемся компетенции. Далее понимаем, что без настоящих боевых действий нельзя научиться эффективно воевать. В результате - создаем Центр очистки трафика "ИБАНК2.РУ" - расширяем Лицензии минсвязи, становимся LIR'ом, получаем AS, размещаем стойку на М9, докупаем тяжелое оборудование операторского класса (Cisco 7600), подключаем дорогущие широкие интернет-каналы, подключаемся к MSK-IX, запускаем Центр очистки трафика (далее ЦОТ) и предлагаем банкам в рамках техподдержки без дополнительных денег подключиться к нашему ЦОТу, поднять второй резервный вход для клиентов через наш Центр очистки трафика "ИБАНК2.РУ".

И всё это - нахаляву. То есть БЕСПЛАТНО, без АБОНЕНТСКОЙ ПЛАТЫ, просто в рамках существующей техподдержки!

У которых с финансами совсем туго - подключаются через L3 VPN (через резервные интернет-каналы).

У которых есть возможность выделить 300..400$ в месяц за L2 VPN 10..20Mb поверх уже работающего волокна - подымают канал "точка-точка" от банка до нашего ЦОТа на М9. Благо на М9 присутствует большинство провайдеров.

Или вот другой пример наших направлений проектов - СКЗИ, USB-токены, смарт-карты...

Сейчас в работе параллельно несколько проектов:

- контрольно-тематические исследования и сертификация в ФСБ нашего СКЗИ "iCrypto" для всех серверных (Windows/Linux/Solaris/FreeBSD на x64, Solaris на SPARC, AIX на POWER, HP-UX на Itanium) и клиентских платформ, включая Java-реализацию (ТЗ уже утверждено в 8-ом Центре ФСБ)

- новые дешевые и быстрые USB-токены на 32-битных микроконтроллерах на ядре ARM Cortex-M3 с СКЗИ и ОСом внутри, с предстоящей сертификацией в ФСБ (конкуренты Аладину, Актив-Софту и другим решениям)

- смарт-карты БИФИТа на базе новейших защищенных по CC EAL5++ карточных чипах NXP и STmicroelectronics со своим СКЗИ, КОСом и тоже с предстоящей сертификацией в ФСБ (тоже конкуренты - нашему же партнеру, разработчику Магистры и Криптомодулю-С компании "ПрограмПарк", и партнер об этом знает)

А еще куча других проектов:

- развитие услуг для холдингов - централизованный финансовый контроль, корпоративное бюджетирование, контроль расчетов по договорам, кэш-менеджмент, пр.

- развитие услуг для юриков - зарплатные проекты, эквайринг, авотклиент, новый SMS-Банкинг с мегагибкостью и тарифами, бюджетирование и аналитика для SMB, пр.

- развитие услуг для физиков - совсем новый интернет-банкинг на базе Web-технологий, со всем спектром услуг, с тарифами обслуживания, с профилями безопасности, антифишингом, многофакторной аутентификацией - долговременные и одноразовые пароли (скреч-карты, SMS и OTP-токены, Call-центры), АСП через MAC-токены и мидлеты с куар-кодами, полноценная ЭЦП с USB-токенами и пр.

- развитие мобильного банкинга - iBank2 для iPhone, iBank2 для iPad и пр.

- развитие интеграции - перенос всех шлюзов на OpenSource ESB (все новые проекты интеграции уже давно делаются только на шине), интеграция через шину с платежными системами, с системами мгновенных переводов, с карточными процессингами

- совсем новые проекты - система Fraud-мониторинга для электронных платежей ДБО, новые механизмы идентификации компьютера клиента (FingerPrint), новые механизмы противодействия троянам (специализированный эвристический антивирус), интеграция iBank2 с внешними УЦ (пока от КриптоПро и Сигнал-КОМ), iBank2 Guard (защита от DDoS-атак), поддержка в iBank2 промышленных балансировщиков, пр.


И вот банковская общественность предлагает БИФИТу свой Linux сделать...

Деньги то на проекты есть... Деньги - это самое простое...

Вот толковых специалистов, способных возглавить проект, подобрать команду, разумно и эффективно использовать финансовый ресурс, сделать на выходе добротный продукт/услугу - мало...

Ибо эта работа - тяжкий труд...

Но даже найти таких толковых специалистов - большая удача...

Димитрий, здравствуйте.
Речь, скорее всего, идет не о "сделать свой". Проще всего, на мой взгляд, сделать некий минимальный LiveCD (или USB) на базе Knoppix или DSL, с интегрированной Java-машиной, браузером типа FireFox, с возможностью автоматического монтирования некоего каталога на жестком диске компьютера (для хранения выписок и файлов импорта/экспорта).
И все. Пользователь загружает компьютер с флэшки, защищенной от записи (они иногда встречаются) или CD, запускает браузер и подключается к системе Интернет-банкинга. Ключи изначально прописаны на флэшке. Нет трояна - нельзя считать ключи и перехватить пароли.
Да, существует возможность трояну обратиться к флэшке, если она просто стоит в компьютере, без загрузки с нее ОС, но это потребует от него наличия умения чтения не только FAT/NTFS файловых систем, но, опять-таки - кто мешает внедрить в Linux-ОС поддержку токенов, если уж на то пошло? Да, это сложнее, но в итоге получаем практически недоступную для злодеев систему, потому, как:

1. Окружение 100% безопасно;
2. Никакие изменения не сохраняются;
3. Вероятность оперативного заражения червем online существенно ниже, чем для Windows систем.

Т.е. все затраты, в простейшем случае, заключаются в интеграции java-машины в дистрибутив и в скрипте для монтирования каталога на жестком диске.
Понятное дело, что установку такого ПО уже нельзя доверить клиенту, но ведь безопасность, полагаю, того стоит.

Тезисно - где-то так.

Собрать LiveCD с VM и запущать винду пользователя на время работы в VM, или сделать при инсталляции файл с настроенной виндой. Этому образу отрезать сеть и работать только через fs. А клиентская часть ДБО и пользовательское ПО должно работать в разных средах.

Фундаментальная проблема - это неспособность массового пользователя обеспечить доверенную среду на своем компьютере.

Как следствие - успешные атаки с использованием троянов.

Переносить работу с iBank'ом в Windows/Linux под VMPlayer'ом - бессмыслено. Давно и долго думали об этом.

Троян, работающий на хостовой ОС пользователя имеет доступ и к USB-портам (может зашарить UBS-порт на хост злоумышленника), и к клавиатуре компьютера.

А это практически легитимный доступ трояна при работе в UserSpace.

Поэтому VMware не спасет.

Более правильно, но не гарантировано - запретить пользователю работать в Интернете на хостовой ОС, работу в Инете - Web, мыло, месенджеры и пр. - делать только в одной виртуалке, работу с iBank'ом - только в другой виртуалке, штатную работу бухгалтера - только в третьей виртуалке.

А в хостовой ОС - вообще ничего не делать.

Но кто ж себя будет обременять дополнительными сложностями ради "какой-то там защиты"?

Все ж клиенты считают себя умными, все уверены в полной подконтрольности своего компьютера. Все считают себя достаточно компетентными в вопросах защиты информации...

IMHO, решение проблемы - в переносе функций просмотра подписываемых документов и формирования ЭЦП из уже недоверенного компьютера во внешнюю закрытую доверенную среду.

Эдакая компактная продвинутая "фоторамка" с дисплеем 800х600, с тачскрином или тачпадом, со встроенным картридером на "мордочке" для смарт-карт с неизвлекаемыми секретными ключами ЭЦП, с USB-портом на "мордочке" для USB-токенов с неизвлекаемыми ключами ЭЦП, с USB-шнурком для подключения к компьютеру, и конечно же с очень доступной ценой

Вся криптография вынесена в USB-токен или смарт-карту.

На вход девайсу подается документ, девайс показывает документ на экране, и если пользователь соглашается (вводит пин-код) - то передает документ в смарт-карту или USB-токен для формирования ЭЦП. А в компьютер из девайса возвращается только ЭЦП.

Клиент же с собой носит только смарт-карту или USB-токен.

Осталось сделать такую "фоторамку" с эндюзер-ценой до 100$.

Доброго дня, Димитрий.
Вы писали:
Все именно так. Следовательно, её наличие нужно обеспечить в принудительном порядке, влиять на который пользователь системы не в состоянии, ни прямо, ни косвенно.
Не то, чтобы совсем бессмысленно, но избыточно сложно для неквалифицированного пользователя и не гарантирует от влияния "человеческого фактора". А вот как раз загрузка компьютера с априори доверенного и неизменяемого пользователем носителя информации - вполне осмысленный шаг.
Т.е., во-первых, если мы берем за основу не-Windows операционную систему, то отсекается огромное число вирусных программ. И не-вирусных, но со схожими функциями - также. Во-вторых, если грамотно настроен firewall, запрещены удаленные подключения пользователей, пользователю неизвестен root пароль и запущены только необходимые для работы системы "Клиент-банк" службы системы - заразить такую систему online, во время ее работы - практически нереально. Равно как нереально выполнить и получение удаленного доступа к ресурсам - дискам и портам.
Да, в некоторых отдельных случаях, для клиентов, сидящих за прокси-серверами и прочими подобными системами, может потребоваться индивидуальная подстройка системного диска. Но это, полагаю, минимальная проблема.
Да, банковскому ИТ-персоналу придется работать побольше, ведь вариант "скачал-зарегистрировал-работаю" уже не пройдет, снова, скорее всего, придется обьяснять клиенту все на месте - но насколько это фатально?

Такого рода устройства существуют уже, и предлагаются банками. Правда, они значительно попроще по функционалу и, увы, "не здесь". Но они - есть.

Но, повторюсь, давайте исходить из реалий бытия. А они таковы, что собрать загрузочную read-only Linux-систему, ориентированную лишь на работу с "Клиент-банк" - значительно проще, чем создавать такую рамку.

Немного о себе, почему я за все за это пишу: я сам пользуюсь Бифит-овским "Клиент-банком". Правда, на Украине.

Вы запустите linux. В нем запустите VM с клиент-банком, а в другой VM - то что на харде у юзверя. И все это реализуемо в рамках liveCD.