26 февраля, пятница 16:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Решение проблемы мошенничества в системах интернет-банкинга?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Решение проблемы мошенничества в системах интернет-банкинга?

    Компания Cronto несколько месяцев назад выпустила очень интересное решение, которое потенциально может решить все проблемы с мошенничеством в системах интернет-банкинга. Дело в том, что при использовании этого решения, проблема обеспечения доверенной среды на рабочем месте клиента отходит на второй план - даже если компьютер клиента полностью контролируется злоумышленником, он не сможет провести несанкционированный платеж.

    http://dorlov.blogspot.com/2011/07/blog-post.html

  • #2
    А вот когда на смартфон поместят определённый вирус, модифицирующий или программу сканирования кода, или её вывод - вот тогда надо будет опять что-то новое "невзламываемое" изобретать.
    Хотя, конечно, лучше определённая неидеальная защита, чем никакой или какая-то, но с меньшим уровнем обеспечения безопасности.

    Комментарий


    • #3
      Ну, ассоциировать смартфон с клиент-банком еще суметь надо. Особенно, если в нем симки нет или этот номер не прописан в банке. )))
      А так, как замена СМС-паролям неплохой вариант.

      Комментарий


      • #4
        Там есть вариант использования в качестве считывателя специального отдельного устройства, которое ни к чему не подключается и ничего, кроме распознавания этих криптограмм и генерации одноразовых паролей, не умеет. Но даже в случае использования смартфона, задача для злоумышленника становится на порядок сложнее.

        Комментарий


        • #5
          Сообщение от eag1e Посмотреть сообщение
          Там есть вариант использования в качестве считывателя специального отдельного устройства, которое ни к чему не подключается и ничего, кроме распознавания этих криптограмм и генерации одноразовых паролей, не умеет. Но даже в случае использования смартфона, задача для злоумышленника становится на порядок сложнее.
          Если отдельное устройство, то чем оно лучше VASCO Digipass? А если смартфон, то как туда ключи попадают?

          Комментарий


          • #6
            VASCO Digipass генерирует пароли, которые не связаны с самим подписываемым платежным документом. А тут - связаны.
            Как попадают в смартфон ключи сайт производителя не рассказывает. Предположительно вместе с программой, которую клиент получает в банке.

            Комментарий


            • #7
              Принцип технологии тот же, что в MAC-токенах, как у Vasco и др.
              Только для пользователя упрощен ввод информации. Прогресс однако...

              Видел такое устройство у австрийцев (или немцев) года полтора назад.
              Цена за устройство "...исключительно для массового проекта вашего банка всёго лишь по 99 EUR" : )
              Пионеры "принципиально нового" решения безопасности снимали первые сливки с рынка.

              По сути, технологическая защита того же уровня, что и SMS с реквизитами платежа.
              Но, пожалуй, снижает вероятность использованяи социальной инженерии (как с SMS).

              К секс-процедуре фотографирования QR-кода с экрана надо еще приноровиться.
              Если надо подтвердить хотя бы пяток документов - рука устанет : )

              Для юриков однозначно не приемлемо.
              Ну если только как еще один уровень защиты для особо крупных сумм.
              Но тут опять же тяжело конкурироватьс простой SMS,
              которую можно принимать на телефон, где никакой вирус не пропишется.

              Если для формирования и проверки криптограммы используются надежные асимметричные алгоритмы (типа RSA или ГОСТ)...
              Смысл?..
              Заставлять пользователя вводить ВСЮ подпись - только если решили его сильно наказать.
              Вводить 6-12 последних знаков? - Нет смысла в тяжелой криптографии.
              При условии обеспечения сохранности секретного ключа, подойдут алгоритмы попроще.
              У учетом бардака у пользователей,
              до актуальности защиты от прямого взлома перебором,
              мы так и не доживём : )

              проблема обеспечения доверенной среды на рабочем месте клиента отходит на второй план
              ИМХО, очень нехороший посыл.
              И интересно, что тогда у нас на первом плане?

              P.S.
              ИМХО, как устройство - новая игрушка для богатых частников,
              оперирующих очень крупными суммами.
              Как приложение для смартфона - свой сегментик потребителей найдет.
              Не зря же за iPhon-ы деньги отваливали ; )
              Последний раз редактировалось zoomp; 06.07.2011, 02:40. Причина: опечатка

              Комментарий


              • #8
                Сообщение от zoomp Посмотреть сообщение
                Принцип технологии тот же, что в MAC-токенах, как у Vasco и др.
                Тот же, что в МАС-токенах - это да. У Vasco Digipass код не связан с подписываемым документом.

                Сообщение от zoomp Посмотреть сообщение
                Только для пользователя упрощен ввод информации. Прогресс однако...
                Это немаловажно. Я вот не видел МАС-токенов ни в одном из российских банк-клиентов. Может как раз из-за неудобства использования?

                Сообщение от zoomp Посмотреть сообщение
                Видел такое устройство у австрийцев (или немцев) года полтора назад.
                Цена за устройство "...исключительно для массового проекта вашего банка всёго лишь по 99 EUR" : )
                Здесь устройством может быть любой смартфон с камерой. Одтельное устройство может понадобиться для обеспечения повышенного уровня защиты. И 99EUR за такое устройство - это все-таки подешевле и поудобнее, чем отдельный нетбук, как многие предлагают.

                Сообщение от zoomp Посмотреть сообщение
                Для юриков однозначно не приемлемо.
                Почему? Я вижу проблему только с подписанием пакета платежных документов, но не думаю, что она нерешаема.

                Сообщение от zoomp Посмотреть сообщение
                Но тут опять же тяжело конкурироватьс простой SMS,
                которую можно принимать на телефон, где никакой вирус не пропишется.
                Не понял логики. Тут тот же телефон (или отдельное устройство), только ничего присылать на него не нужно, все генерируется в нем.

                Сообщение от zoomp Посмотреть сообщение
                проблема обеспечения доверенной среды на рабочем месте клиента отходит на второй план
                ИМХО, очень нехороший посыл.
                И интересно, что тогда у нас на первом плане?
                Почему нехороший? Обеспечение доверенной среды у клиента - это не самоцель. Да и все вобщем-то сошлись на мнении, что доверенная среда на компьютере клиента - это из разряда фантастики.
                На первом плане - защита денег клиента, предоставление ему безопасной системы ДБО, независящей от его навыков в ИБ.

                Комментарий


                • #9
                  Сообщение от eag1e Посмотреть сообщение
                  Тот же, что в МАС-токенах - это да. У Vasco Digipass код не связан с подписываемым документом.
                  "Кролики - это не только ценный мех" (с)...
                  Digipass - это не только OTP.
                  Есть Digipass Software,
                  есть Digipass PKI,
                  есть Digipass e-Signature (суть MAC),
                  ...

                  Сообщение от eag1e Посмотреть сообщение
                  Сообщение от zoomp Посмотреть сообщение
                  Только для пользователя упрощен ввод информации. Прогресс однако...
                  Это немаловажно.
                  Кто ж спорит.
                  Повышение удобства важно.
                  Только давайте отличать повышение удобства от чего-то принципиально нового.

                  Сообщение от eag1e Посмотреть сообщение
                  Я вот не видел МАС-токенов ни в одном из российских банк-клиентов. Может как раз из-за неудобства использования?
                  И из-за стоимости.

                  В НОМОСе есть.
                  Только там "токен" в виде ридера к банковской карте.
                  По технологии и удобству = то же самое.

                  Сообщение от eag1e Посмотреть сообщение
                  И 99EUR за такое устройство - это все-таки подешевле и поудобнее, чем отдельный нетбук, как многие предлагают.
                  Наверно у вас денег и понимания требований безопасности
                  существенно больше, чем у ваших клиентов : )
                  Но не стоит проецировать это на всю клиентскую аудиторию.

                  Что касается "поболтать о цене устройств",
                  на ebay нетбук на ARM c WinCE продается ~от $50.
                  С доставкой в Россию ~$90.

                  Если мелкими партиями самостоятельно возить из Азии, думается в $60 можно уложиться.

                  Юрики...
                  Сообщение от eag1e Посмотреть сообщение
                  Я вижу проблему только с подписанием пакета платежных документов, но не думаю, что она нерешаема.
                  Пока нет решения - она нерешенная.
                  Обычно решения по групповому подтверждению докуметов один кодом,
                  несут в себе компромисы, которые опять делают лазейку для злоумышленника.
                  Да, усложняют ему жизнь, но ...

                  Сообщение от eag1e Посмотреть сообщение
                  Сообщение от zoomp Посмотреть сообщение
                  Ну если только как еще один уровень защиты для особо крупных сумм.
                  Но тут опять же тяжело конкурироватьс простой SMS,
                  которую можно принимать на телефон, где никакой вирус не пропишется.
                  Не понял логики. Тут тот же телефон (или отдельное устройство), только ничего присылать на него не нужно, все генерируется в нем.
                  "Или отдельное устройство" это опять вопросы цены, дистрибьюции, учета и т. д.
                  А если "телефон" - с тем же успехом можно рассудить, что для SMS
                  а) смартфон не нужно
                  б) устанавливать на него софт не нужно
                  в) ничего фотографировать не нужно
                  г) защищать смартфон не нужно
                  д) бояться что зломышленник будет адресно атаковать твой смартфон не нужно
                  ...
                  Оба подхода не есть вершина удобства.
                  Поэтому и логично применять их юрикам только для подтверждения переводов на большие суммы.
                  И в этом случае отнюдь не очевидно, что выбор большинства между
                  а) "ждать SMS",
                  б) "танцевать со смартфоном перед экраном"
                  будет в пользу последнего

                  Сообщение от eag1e Посмотреть сообщение
                  На первом плане - защита денег клиента
                  Ну с этим не поспоришь : )
                  Тогда никакого "второго плана" уже нет.
                  Всё щасье в первом! : )

                  Комментарий


                  • #10
                    Действенное решение для борьбы с хищения по ДБО для большинства юриков - индивидуальный Справочник доверенных получателей, реквизиты которых заверяются юриком либо с помощью MAC-токена (БИК+р/с+ИНН), либо с помощью QR-мидлета в мобилке, либо с помощью кода подтверждения, присланного юрику по SMS вместе с реквизитами получателя.

                    См. - http://bankir.ru/dom/showthread.php?...=1#post2877753
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий


                    • #11
                      Осталось лишь написать ПО:
                      http://shaurojen.blogspot.com/2011/08/blog-post_07.html

                      Комментарий


                      • #12
                        08.08.2011 00:50 MSK

                        Алгоритм:
                        1) Клиент составляет ПП в своей бухгалтерской программе
                        2) Клиент передает ПП из бухгалтерской программы в Клиент-Банк
                        3) Клиент-Банк запрашивает пароль
                        4) Если пароль верный Клиент-Банк преобразует информацию из ПП в QR-код или аналогичный и выводит его на экран ПК
                        5) Клиент запускает специальное Приложение на мобильном телефоне.
                        6) Приложение фотографирует и распознает QR-код с экрана ПК
                        7) Приложение выводит на экран мобильного телефона основные реквизиты ПП (кому/сколько)
                        8) Клиент проверяет основные реквизиты и если все верно нажимает "зеленую"; кнопку на мобильном телефоне (если нет, то на "красную")
                        9) Приложение генерирует MAC-код, на основе данных ПП, закрытого ключа клиента (закрытый ключ клиента интегрирован в Приложение) и текущего времени и отправляет его в виде SMS в банк
                        10) Банк при получении MAC-кода отправляет клиенту подтверждение
                        11) Клиент-Банк шифрует ПП и отправляет в банк
                        12) Банк при получении ПП проверяет ЭЦП и отправляет клиенту подтверждение о принятии платежа
                        10) Банк при получении MAC-кода отправляет клиенту подтверждение
                        Подтверждение ЧЕГО?
                        Что банк может подтвердить получив только MAC-код?

                        12) Банк при получении ПП проверяет ЭЦП и отправляет клиенту подтверждение о принятии платежа
                        В этой детальнейшем алгоритме
                        (освещающим даже запрос и проверку пароля К-Б)
                        ЭЦП, видимо, сформировалось в результате шага 11 - шифрование?

                        Гипертрафированный венегрет технологий
                        для максимального усложнения жизни клиентам.

                        Сообщение от Шауро Евгений Посмотреть сообщение
                        Осталось лишь написать ПО
                        По сути всё ПО уже давно написано.
                        На хабре уже несколько примеров реалиации обсуждено.

                        Но подавать такой винегрет своим клиентам я бы не стал.

                        Комментарий


                        • #13
                          А если вдуматься, то этот "алгоритм" от актуальных угроз вообще не защищает.

                          Сначала Банк проверяет MAC в отрыве от документа (п. 10)
                          Потом проверяет ЭЦП, не обращая внимание на MAC (п. 12)

                          Такую вот... идею... предлагают к реализации.

                          Комментарий


                          • #14
                            Несколько изменил алгоритм. Вот концовка:

                            9) Приложение генерирует ЭЦП, на основе данных ПП и закрытого ключа клиента (закрытый ключ клиента интегрирован в Приложение) и отправляет его в виде SMS в банк
                            10) Клиент-Банк шифрует ПП и отправляет в банк
                            11) Банк при получении ПП расшифровывает ПП, проверяет ЭЦП и отправляет клиенту подтверждение о принятии платежа

                            PS. Я никому ничего не навязываю, любой вправе сам разработать любое оборудование, любой софт и продавать его кому угодно :-)

                            Комментарий


                            • #15
                              Кстати данная технология уже реализована.
                              Тыц
                              Тыц2

                              Комментарий


                              • #16
                                Кстати данная технология уже реализована.
                                Готов купить таких 100 тысяч девайсов по 10..12 USD на FOB'е в Китае. Готовы поставить?

                                Или у Вас цена 99 евро за пятибаксовый девайс как у Agses?
                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com

                                Комментарий


                                • #17
                                  Димитрий, В этом-то и заключается проблема. Цитирую фразы из тырнета:
                                  "Such devices were foreseen by the EU Electronic Signature Directive which
                                  provided for signatures thus created to be presumed valid by the courts. However
                                  such devices typically cost $100 or more. The Chip Authentication Programme
                                  (CAP)1 is a lower-cost implementation of this general approach.

                                  От себя добавлю: Где вы найдете/купите мобильный телефон по цене 10 баксов? Даже считаем, что доработка ПО будет инвестирована банком и будет пиариться как маркетинговое преимущество.

                                  Комментарий


                                  • #18
                                    Где вы найдете/купите мобильный телефон по цене 10 баксов?
                                    В Китае, всё теперь в Китае. Вы отстали от жизни

                                    Едите в Гонконг на выставку электроники и компонентов, находите себе десяток китайских вендоров с уже готовыми платформами для подобных целей с ценой 10..12$ за девайс.

                                    Вам лишь остается сделать свою прошивку. И то не на пустом месте делать будете, а скорее всего возьмете Linux для ARM'а со всеми библиотеками.
                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com

                                    Комментарий


                                    • #19
                                      Ну вот видите, всё решаемо, Однако вы или сами должны допиливать ПО или кто-то другой это сделает и уже Вам будет продвать по 100 Евро. У нас же демократия в стране

                                      Комментарий


                                      • #20
                                        Сообщение от Шауро Евгений Посмотреть сообщение
                                        Кстати данная технология уже реализована.
                                        Тыц
                                        Торжественно подытожить ссылкой на устройство, с которого тема началась.

                                        Нас ждет счастливая рекурсия.

                                        Комментарий


                                        • #21
                                          Сколько вы считаете должно стоить подобное устройство?
                                          Последний раз редактировалось Шауро Евгений; 02.09.2011, 12:05.

                                          Комментарий

                                          Обработка...
                                          X