8 марта, понедельник 09:54
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Статья безопасников из Банка Москвы

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Статья безопасников из Банка Москвы

    сабж - http://ib-bank.ru/bis/a/84

    Статья - спорная.

    Предлагаю обсудить на Банкире ибо на ресурсе ib-bank.ru комментарии не сохраняются.
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    Димитрий,
    На деле с его счёта перечисляется не 1·000 рублей управляющей компании за жилищно-коммунальные услуги, а, скажем, 1·млн. рублей на счёт подставной фирмы-однодневки в далёком регионе. После чего деньги переводят на банковскую карточку для зарплаты, зарегистрированную на украденный паспорт, и быстро снимают наличными в банкоматах.
    Прелестный посыл мне встретился в этой статье.
    Какая-то квинэссенция желаемого и действительного....
    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

    Комментарий


    • #3
      К сожалению, ни одно из этих средств, ни вся их совокупность, по нашим оценкам, не могут обеспечить надёжную защиту от такого приёма кибер-мошенничества как подмена экрана / документа – следствие отсутствия доверенной среды формирования электронного документа.
      А фактов, что не могут так и не предоставили. Например, даже SMS-информирование закрывает проблему почти полностью (не говоря уже об SMS-подтверждении). К слову, у Банка Москвы для физиков его и не было, а там была основаня масса (по количеству случаев) хищенией.
      Описанный сценарий хищения вообще ни разу мне не встречался на практике, похоже пытались простыми словами объяснить, и написали не понятно что (если есть у кого ссылка на описание подобного случая буду рад почитать). Я вот про эти слова: "Параллельно со своего компьютера хакер вводит совсем другие данные − сумму платежа и реквизиты получателя, которые верно отражаются на его мониторе".

      ИМХО, любой человек может обеспечить безопасность своего компьютера следуя тремя простым правилам:
      1. Не запускаем с внешних носителей не поятно что, а лучше вообще их к компьютеру не подключаем.
      2. Компьютер должен быть защищён персональным фаерволом, который запрещает всё входящее сетевое взаимодействие.
      3. Посещать только доверенные сайты в сети Интернет (желательно ограничится вообще только сайтами банков).

      И не нужно никаких антивирусов, установки обновлений (кроме крайних случаев, когда есть уязвимость в фаерволе и/или в сетевом стеке/сетевых драйверах), USB-токенов/смарткарт и пр.
      Это простые правила. Ничего сложного в этом нет.
      Плюс ко всему SMS-информирование для контроля.

      Если действительно нужна доверенная среда прямо сейчас, то для того же iBank2 можно сделать следующее:
      1. Устанавливаете на ваш КПК/смартфон клиент Mobile-Банкинга.
      2. Одну из ЭЦП делаете только из Mobile-Банкинга (если предусмотрена только 1 ЭЦП, то ничего не мешает использовать ещё одну для визирования). Ключики ЭЦП лежат только на вашем КПК/смартфоне.
      3. Вместо КПК можно использовать нетбук или иной самый дешёвый ПК на котором соблюдать вышеуказанные правила.
      Профит.

      P.S. По теме, устройства типа "криптокалькуляторов" PCR (personal card reader) для физиков так и не получили широкого распространения, т.к. не удобно. То же самое и здесь.
      Последний раз редактировалось Zuz; 23.04.2011, 16:26.

      Комментарий


      • #4
        О я ещё вычитал:

        Изобретение патентуется, заявка принята, ближайшая перспектива − экспертиза Научно-технологического совета Банка Москвы.
        И это, при всём уважении, к.т.н. пишет. Для него это "изобретение"? Я может, чего то не понимаю, но банки должны заниматься банковской деятельностью, а не разработкой средств защиты.

        Сотрудникам Банка Москвы не оставалось ничего лучшего, как "тряхнуть стариной": вспомнить прежние профессиональные навыки и попробовать самостоятельно создать столь нужное техническое устройство.
        В свободное от работы время, надеюсь?

        Защищаемыми от подмены параметрами должны являться номер счёта, БИК банка-получателя и сумма платежа.
        Т.е. защищаем только платёжки? В кастом версии iBank2 помнится для Банка Москвы с два десятка документов.

        Изобретение может даже выполнять функции электронного паспорта физического или юридического лица.
        И это, как банальный MAC-калькулятор может выполнять функции электронного паспорта? И как такой кирпичек с собой таскать (мне даром такой паспорт не нужен)? И, разве, у юрлица есть паспорт?!

        От несанкционированного использования устройство защищено паролем длиной от 6 до 16 знаков.
        Что? Это так принципиально? от 6 до 16 знаков.

        Мобильное криптографическое устройство
        Мобильное?

        Оно одностороннего действия, работает только "на выдачу", поэтому недоступно для атак извне, его можно только попытаться взломать.
        Подключение по USB только "на выдачу"? Какой интересный USB контроллер.

        Из коментария Димитрия:
        б) существенно увеличивается время создания документа - ведь кроме ввода как минимум двух лишних полей (счета получателя и БИКа банка получателя), необходимо еще и вставить контрольный код в нужное поле.
        "Контрольный код", насколько я понял, выплёвывает этот кейпад через USB, как впрочем, и введённые через него символы (что несколько сокращает повторный ввод). Это пораждает, как минимум, очередную проблему с драйверами к этому устроству и сопровождением. Если только он не эмулирует клавиатуру и не выплёвывает MAC каким-то стандартным для клавиатур способом (в виде особой последовательности символов).

        Вижу как минимум одну потенцеальную атаку:
        Оператору вводящему документ нужно откуда-то брать данные для ввода (БИК, номер счета) эти данные, если будут показаны на экране ПК так же подвержены той же самой атаке на подмену.
        Типовая ситуация - загрузили данные из 1С. Вирусня подменила эти данные. Оператор послушно перебил их с экрана через этот кейпад. Денежки упущены.
        Т.е. оператор всегда должен их доверенного места эти данные брать, т.е. с бумаги (не наш вариант, мы леса любим)? В любом ином случае их так же можно подменить (да, это сложнее, но не настолько, как кажется).
        Последний раз редактировалось Zuz; 23.04.2011, 19:33.

        Комментарий


        • #5
          Сообщение от ValentineS Посмотреть сообщение
          Димитрий,

          Прелестный посыл мне встретился в этой статье.
          Какая-то квинэссенция желаемого и действительного....
          Ага, быстро снять милион через банкомат? Этот как минимум 2 часа займёт, да и в лимиты упрётся.
          Из реальности, если клиент позвонил в банк через часик - два, как денежки ушли, их почти реально вернуть, если они на карту пошли, то часть точно вернут (не успеть снять). Часто, такие карты даже бывают уже заблокированы (как это не смешно звучит), т.к. использовались ранее и тот кому не повезло уже сообщил в банк, что карта используется для мошенничества и хищений.
          Клиент обязан контролировать движение средств по его счету, и все инструменты для эффективного контроля у него есть.
          Все успешные хищения из моего опута следствие банального человеческого фактора, особено с клиентской стороны.

          Что действительно сейчас не хватает в iBank2 - это блокирование работы клиента (напрмер, по расписанию времени работы человека контролирующего счет), с возможностью блокирования/включения удалённо, даже, через обычные SMSки.
          Пример, увели ключики. В рабочее время, клиент даже, если у него похители денежки, может оперативно на основании данных SMS-информирования отозвать платёж. В нерабочее для него время, он может спать и хищение вполне, возможно. Тут SMS-информирование не очень эффективно. Если АРМ заблокирован, то попытка будет зафиксирована и утром клиент может разобрать ситуацию.

          Комментарий


          • #6
            Сообщение от Димитрий Посмотреть сообщение
            сабж - http://ib-bank.ru/bis/a/84

            Статья - спорная.

            Предлагаю обсудить на Банкире ибо на ресурсе ib-bank.ru комментарии не сохраняются.
            А почему "Описываемый авторами вариант ... не содержит дисплея" и "Авторы предлагают пользователям вводить в документ значимые поля через secure_keypad"?
            Там как раз написано"Ближайший аналог, utp-tokenс клавиатурой и экраном, .... Для удобства, чтобы не воспроизводить вручную длинные наборы цифр ключевых данных.... Устройство как дополнительная клавиатура присоединяется через USB-разъём к системному блоку..."
            По-моему, очень похоже на Ваш трастскрин.

            Комментарий


            • #7
              Проблема не в том. Защитить программу, которая работает на компьютере пользователя, который уже может быть заражен - невозможно, поскольку пользователью будет проимитирован весь интерфейс. Только чистая среда, которая не подвержена ни имитации, ни заражению - может обеспечить безопасность.Только решение в виде line cd, которая будет загружаться и обеспечивать работу ДБО - будет безопасным.

              Комментарий


              • #8
                kab, прошу прощения, но прочтите прочитайте внимательно:

                Техническим решением «в пластике и металле» стал своего рода «токен с клавиатурой».

                Для удобства, чтобы не воспроизводить вручную длинные наборы цифр ключевых данных, решение воплотили в привычном для бухгалтеров виде, напоминающем «цифровой блок» стандартной компьютерной клавиатуры. Устройство как дополнительная клавиатура присоединяется через USB-разъём к системному блоку персонального компьютера, не требуя драйверов.

                Оно одностороннего действия, работает только «на выдачу», поэтому недоступно для атак извне, его можно только попытаться взломать.


                Если устройство только выдаёт данные, то вся оптимизация про длинные наборы цифр сводится к тому, что не нужно набивать MAC данные с дисплея как в обычных "криптокалькуляторах", ключевые поля всё равно нужно набивать и не о каком дисплее тут речи нет.

                Ещё каюсь, я проглядел, что устройству не нужны драйверы, но если это так, какой же это "токен", это спросто специализированный блок цифровых клавиш, который по команде MAC-ирует введённые данные и выдаёт их в виде, например, шестнадцатеричной последовательности.
                Последний раз редактировалось Zuz; 26.04.2011, 14:18.

                Комментарий


                • #9
                  н-да... осталось только найти клиентов, которые согласятся с этим работать...

                  Комментарий


                  • #10
                    Zuz,
                    Да, так написано, что непонятно что именно делается с этими кючевыми данными.
                    Если экрана нет, то добавить его не проблема.
                    Суть в другом. Это ПИН-пад. И криптоскрин тоже ПИН-пад. Просто в EMV-приложении механизм TDS (Transaction Details Signature) работает атоматом, а вся аутентификация с верификацией происходят на другом уровне. А тут визуально через экран, и функционал работы с карточкой выключен. Вы не хуже меня знаете, что есть стандарт PCI PED, придуманный как раз против таких атак, где все (аболютно правильные) мысли авторов статьи изложены в виде требований и рекомендаций. Например, каждый вывод на экран и каждый ввод с клавиатуры подтверждается сертификатом разработчика ПО. Реализовать это не то что на ПК, но и на современных многозадачных ПОС-терминалах невозможно. Поэтому нужен ПИН-пад. Все остальные методы защиты ДБО - это компромисс между размером потерь, стоимостью защиты и удобством ее использования. По-моему, спорить об их недостатках и преимуществах нет смысла, это вопрос баланса и циничного расчета.

                    Хотите факты про SMS?
                    Вот
                    http://www.plusworld.ru/security/page1_11658.php
                    http://scit.com.ua/news/2009-03-26-126
                    http://www.plusworld.ru/daily/page1_13620.php

                    А еще спросите у гугла "читать чужие смс". Надеюсь, результат не станет для Вас открытием, а для меня раскрытием (модераторы!)

                    Комментарий


                    • #11
                      Сообщение от kgbprioda Посмотреть сообщение
                      Проблема не в том. Защитить программу, которая работает на компьютере пользователя, который уже может быть заражен - невозможно, поскольку пользователью будет проимитирован весь интерфейс. Только чистая среда, которая не подвержена ни имитации, ни заражению - может обеспечить безопасность.Только решение в виде line cd, которая будет загружаться и обеспечивать работу ДБО - будет безопасным.
                      Ну, правильно! Назначим крайними за безопасность тех, кто ставит подписи. Для справки - это главбух и гендиректор. Вот пусть они грузятся с line cd и следят за его девственностью. Отрубим им интернет, почту и корпоративную сеть. Потому что в корпоративной сети сидят нормальные свободные люди свободной страны. И они не позволят ущемить своих конституционных прав на доступ к информации.

                      Комментарий


                      • #12
                        kab, ИМХО, описанная в статье технология к PIN-падам не имеет отношения, т.к. цели разные хотя принципы действия схожие. Про SMS-ки пусть каждый остаётся при своём мнении, они не панацея от всех бед, просто пока их не научились массово подделывать и перехватывать/блокировать задёшево, то я не вижу для многих задач более удобного инструмента.

                        UPD: Описанную в статье задачу решает технология уже внедрённая в iBank2 - называется SMS-подтверждение.
                        В случае, если на документе достаточно ЭЦП, то он переводится в статус "На подтверждение" и клиенту приходит SMS-ка с паролем без привязки на реквизиты, но строго соответствующая этому документу, т.е. этот пароль для подтверждения иного документа использовать нельзя. Вы просто сверяете реквизиты из SMS-ки с теми по которым нужно произвести отправку и затем вводите пароль.
                        Если у злоумышленника нет контроля за вашим телефоном, то эта технология обеспечивает при должном внимании (при проверке реквизитов в SMS-ке) приемлемый уровень защиты (я бы сказал, как бы злоумышленник не пытался, но перевести из статуса "На подтверждение" в статус "Отправлен" документ без контроля над телелефоном клиента у него не получится).

                        Посему, открыто заявлять в статье, что разработчики системы ничего не сделали для защиты пользователей неккорректно (на грани с непрофессионально ).
                        Последний раз редактировалось Zuz; 26.04.2011, 19:27.

                        Комментарий


                        • #13
                          Сообщение от kab Посмотреть сообщение
                          Ну, правильно! Назначим крайними за безопасность тех, кто ставит подписи. Для справки - это главбух и гендиректор. Вот пусть они грузятся с line cd и следят за его девственностью. Отрубим им интернет, почту и корпоративную сеть.
                          Не нужно бессмысленного драматизима и разговора лозунгами. Те, кому безопасность нужна - те поймут требования. Те же, кому важнее порно и "вконтакте" - тоже вопросов нет. Главное - это довести до сведения людей возможные риски и последствия. А там дальше - каждому свое.

                          Комментарий


                          • #14
                            Zuz, В отношении SMS-подтверждения платежей:
                            http://www.securelist.com/ru/blog/40...s_do_Sberbanka
                            При попытке клиента подключиться к системе «Сбербанк ОнЛ@йн» зловред, поселившийся на компьютере пользователя в результате фишинговой атаки, перенаправляет запрос на поддельный веб-сайт, практически не отличимый от оригинала. На этом сайте посетителю сообщают о некоем сбое в системе ДБО и предлагают ввести разовый пароль, полученный от Сбербанка в виде SMS, — якобы для исправления «ошибки». Введенная на фишинговой странице информация впоследствии используется злоумышленниками для совершения банковских операций от имени владельца счета. В другом случае мошенник может позвонить, представившись сотрудником Сбербанка, и попросить назвать код по телефону.

                            Комментарий


                            • #15
                              Сообщение от sergio1969 Посмотреть сообщение
                              Не нужно бессмысленного драматизима и разговора лозунгами. Те, кому безопасность нужна - те поймут требования. Те же, кому важнее порно и "вконтакте" - тоже вопросов нет. Главное - это довести до сведения людей возможные риски и последствия. А там дальше - каждому свое.
                              Да какие уж там лозунги, это все из жизни. А защита нужна всем, только она денег не зарабатывает. Сберечь помогает, а чтобы заработать нужна информация. В том числе и сомнительная. Так что доводи- не доводи, а рисковать приходится. Каждому свое, это верно.

                              Комментарий


                              • #16
                                eag1e, а при чём тут Сбербанк? Обсуждается конкретный банк с конкретной СДБО. В этой системе реализован достаточно надёжный способ подтверждения через SMS. Описывал выше. Что бы вы не показывали на экране в SMS придёт то, что в действительности ушло в банк. Т.е. пока злоумышленники массово не научатся для конкретного телефона в любой момент времени подделывать входящую SMSку, эта защита вполне надёжна и она уже есть в системе.
                                А про позвонить, вообще смешно.

                                Комментарий


                                • #17
                                  "пока злоумышленники массово не научатся для конкретного телефона в любой момент времени подделывать входящую SMSку, эта защита вполне надёжна"

                                  Да, согласен.

                                  Комментарий


                                  • #18
                                    Виноват, не вчитался. Ничего не надо подделывать. Это, действительно, практически невозможно без инсайда в провайдере связи. SMS приходит уже для кривых реквизитов. Клиенту бы надо отказаться, только он ее не успевает увидеть. Мобильник переслал ее на нужный телефон и "вдруг" завис вместе с ПК. А в это время man-in-the-middle вершит свое гнусное дело. Почитайте мои ссылки. Это факты. Я согласен со следующим: пока мы со своими объемами ДБО остаемся неинтересными для профессиональных бригад, и в России эти случаи практически не зарегистрированы, SMS-пароли здесь вполне приемлемы. Вся война идет в западной Европе. Но они рано или поздно найдут противоядие. Догадываетесь что это значит? Знаю, сейчас меня обвинят в паранойе.

                                    Комментарий


                                    • #19
                                      Сообщение от kab Посмотреть сообщение
                                      чтобы заработать нужна информация. В том числе и сомнительная. Так что доводи- не доводи, а рисковать приходится.
                                      А зачем рисковать-то? Человеку рассказывают, что ему нужно делать, чтобы минимизировать риски. Потратить 400-500 долларов максимум на маленький ноут, загружаемый с защищенной от записи флэшки/СД/ДВД/...и не используемый ни для чего иного, кроме как для "Клиент-банка"- это себе сможет позволить любой, кто вообще использует СДО в работе. А уж "сомнительную" иформацию можно искать и с другого компьютера. Ну разве не так?
                                      Главное, повторюсь, - довести до сведения клиента все неприятности, коими ему грозит пренебрежение к правилам безопасной работы. Так, чтобы он это понял. Ну а если дурак, простите за бедность мысли - то дураков нужно учить. Пусть даже и на их собственном дурацком опыте.

                                      Комментарий


                                      • #20
                                        Zuz, Сам по себе Сбер ни при чем, конечно. Вопрос в другом подходе к атаке. Клиент попадает на поддельный сайт, где видит левую платжку по своему счету. Там написано, что произошла ошибка и платеж нужно отменить. Он жмет кнопку "Отменить", ему приходит от банка смс-ка с реквизитами, он ее подтверждает, думая, что это отмена, а деньги в этот момент собственно и уходят.

                                        Комментарий


                                        • #21
                                          kab, массовый контроль за мобильными телефонами и тем более за конкретным телефоном - миф. Описанные случаи - это крайности, массово это не будет работать, как работало ранее со сбором вредоносами ключиков ЭЦП.
                                          В любом случае, мы говорим о текущих массовых угрозах и о том, что есть механизм мащиты. А то, что социальная инженерия рулит все и так знают, но не массово, не конвеер это. Тот кто ведётся на такую туфту может и квартиру периписать, если попросят.

                                          А так мне больше подход sergio1969 импонирует, он оптимальнее и не предусматривает усложнение системы.

                                          Комментарий


                                          • #22
                                            eag1e, простите, но на такую утку попасть это край дебилизма (в SMS написано чётко, что это пароль для потверждения проводки документа, да даже, если и подтвердит, то придёт SMS с подтверждением того, что документ поступил в банк, будет время отозвать). А вообще, если такое человек отмачивает, то ему нельзя финансами заниматься.
                                            Последний раз редактировалось Zuz; 27.04.2011, 12:49.

                                            Комментарий


                                            • #23
                                              Zuz, Согласен, но Сбер говорит, что такие случаи у них участились... Либо им так повезло с клиентами, либо тут все не так просто

                                              Комментарий


                                              • #24
                                                eag1e, надо смотреть какой Сбер, у них есть юрики, которые вообще без ЭЦП работают, чисто на SMSках, в каких-то регионах. Правда оффтоп это.
                                                Последний раз редактировалось Zuz; 27.04.2011, 16:58.

                                                Комментарий


                                                • #25
                                                  Главное, повторюсь, - довести до сведения клиента все неприятности, коими ему грозит пренебрежение к правилам безопасной работы. Так, чтобы он это понял. Ну а если дурак, простите за бедность мысли - то дураков нужно учить. Пусть даже и на их собственном дурацком опыте.
                                                  Вот этот бы спич - да клиентам донести.
                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ" - www.bifit.com

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Димитрий Посмотреть сообщение
                                                    Вот этот бы спич - да клиентам донести.
                                                    Ну, в данном случае я не открываю Америку, примерно это мне и "доносили" ИБ-шники в "моем" банке. Не такими, конечно, выражениями, но - доносили. Правда, лично мне оно и так было понятно все это, но приятно, что люди так к делу подходят.

                                                    Комментарий


                                                    • #27
                                                      А что имеем через год после обсуждения? Мы вот для нашего iBank ввели обязательную SMS авторизацию полгода назад. И в течение этого же времени я не слышал ни разу о том, чтобы у кого то из клиентов что-то увели или пытались увести... Факт.

                                                      На счет хищений данных при SMS
                                                      Всё просто. Дарим клиенту простейший телефон за 700 рублей, куда фиг чего поставишь и чтобы GPRS не поддерживал(без настроек) и всё (кстати таких б/у телефонов скупить по дешевке наверно можно будет целую кучу). Для наиболее продвинутых банков вообще можно в китае заказать разработку "телефона" только с отображением текста входящих СМС и с 3-мя кнопками. 1. - предыдущий СМС, 2 - следующий СМС, 3- удалить текущую СМС. Ну и может быть еще вкл. выкл Своего рода генератор случайных чисел будет О, кстати... Помнится была такая фишка, как пейджеры )) Всё движется по кругу в природе

                                                      Комментарий

                                                      Обработка...
                                                      X