20 февраля, четверг 03:58
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Рутокен PINPad против мошенничества в системах ДБО.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Рутокен PINPad против мошенничества в системах ДБО.

    Нажмите на изображение для увеличения. 

Название:	pinpad.jpg 
Просмотров:	1 
Размер:	59.7 Кб 
ID:	4169346
    Компания "Актив", известная по торговым маркам Рутокен и Guardant выпустило новое устройство для защиты платежей в системах ДБО. Устройство оснащено сенсорным дисплеем для доверенного ввода PIN-кода и контроля информации, поступающей на подпись. Сможет ли использование такого устройства повлиять на уровень мошенничества в системах ДБО? Думаю, да. Однако само устройство это еще не все. Использование этого типа устройств хорошо при совершении одиночных платежей, а что делать при массовых платежах. Просматривать сотни платежек нереально. Напрашивается вывод - массовые платежи должны происходить прозрачно для пользователя, а данное устройство должно использоваться для контроля наиболее важных моментов при совершении этих платежей. Пока мне видится два варианта решения проблемы массовых платежей.
    1. Контроль суммарной информации массового платежа.
    При проведении массового платежа из каждой платежки сохраняется ключевая информация (например:контрагент и сумма), а сама платежка подписывается без визуального контроля. Собранная информация в виде таблицы, содержащей информацию о каждом платеже,общее количество платежей и общую сумму, поступает в Рутокен PINPad для визуального контроля и подписи пользователем. Все подписанные за эту сессию платежки поступают в обработку только в случае совпадения информации из платежек и суммарной информации.
    2. Доверенные контрагенты
    При проведении массового платежа все платежки подписываются и отправляются в банк не подвергаюсь визуальному контролю. Все платежи, направляемые в адрес неизвестных контрагентов, отправляются сервером клиенту для визуального контроля и подтверждения пользователем, и в случае подтверждения обрабатываются.

    Есть у кого-нибудь еще какие-то варианты?

  • #2
    Покуда злоумышленник свободно может изучать код системы, которая поддерживает устройство, то взлом возможен, причем это вопрос времени. Да и кто мешает вообще внести неисправность в драйвер пару раз, чтобы пользователь вообще отказался от данной защиты....

    P.S. Чем это отличается от просто дополнительной клавиатуры usb, если среда все равно не имет доверия...

    Комментарий


    • #3
      Видимо, надо пояснить что это за устройство. Устройство подключается к компьютеру и является для него токеном с неизвлекаемыми ключами и криптографией на борту. Однако, в отличии от обычного токена, имеет возможность отображать подписываемую информацию и запрашивать набор PIN-кода непосредственно на своей клавиатуре. То есть, он сам и есть доверенная среда.

      Комментарий


      • #4
        Нормальная идея. Но всё равно мошеническую могут подпихнуть. Сомнительно что кто-то в гигантской пачке только что подписанных документов будет проверять реквизиты...

        Комментарий


        • #5
          PINPad может отображать текстовый документ с оговоренным форматированием.

          Комментарий


          • #6
            Потому и возникает вопрос о схемах защиты массовых платежей

            Комментарий


            • #7
              Хорошая штуковина.

              Третий год про такие говорят,
              наконец-то начинают появляться.

              Вопрос: цена?

              Комментарий


              • #8
                Цена в районе 3 тысяч руб.

                Комментарий


                • #9
                  Сообщение от EugeneS Посмотреть сообщение
                  PINPad может отображать текстовый документ с оговоренным форматированием.
                  А форматы туда заливаются через тот же USB с компьютера? Если так, то злоумышленник найдет способ показать на экранчике не то, что в действительности пойдет на подпись! Если это не так, то поясните, пожалуйста, как туда заливаются форматы?

                  Комментарий


                  • #10
                    Сообщение от EugeneS Посмотреть сообщение
                    Цена в районе 3 тысяч руб.
                    + цена токена...

                    Тю... приехали...

                    Проще китайскйи нэтбук на ARM поставить.

                    Цена та же и даже ниже, удобства больше.

                    Не-е,.. конечно покупатели найдутся, но "узок их круг,.. страшно далеки они от народа"

                    Комментарий


                    • #11
                      Даным-давно мусолится тема, согласно которой необходима доверенная среда и вот тогда мир окрасится в красивый цвет.
                      Вот, пожалуйста, известная компания изобрела нормальный девайс, который при втыкании в него "защищенного" токена выполняет всё о чем безопасники устали мечтать.
                      Глядишь Актив и сертификат получит через годик-другой. Как кто-то говорит "на шаг впереди"

                      Комментарий


                      • #12
                        zoomp, еще проще приезжать с каждой платежкой в банк

                        Комментарий


                        • #13
                          Да, данные заливаются через USB. Суть в том, что именно просмотренные пользователем данные, не покидая устройства, хешируются и подписываются.

                          Комментарий


                          • #14
                            Стоимость устройства не смутит тех, у кого уже воровали деньги...

                            Комментарий


                            • #15
                              EugeneS, Ваш ответ не добавил ясности относительно того, какие данные отправляются в устройство и что именно выводится на экранчике.
                              Правильно ли я понимаю, что процесс работы с данным устройством состоит из следующих шагов:
                              1) Загружаем с компьютера в устройство через USB некий шаблон форматирования подписываемых данных для вывода их на экранчик.
                              2) Отправляем с компьютера в устройство через тот же USB некие данные, которые надо подписать.
                              3) Эти данные выводятся на экранчик в преобразованном виде в соответствии с ранее загруженным шаблоном.
                              4) Если мы нажимаем OK, то получаем на выходе подпись не тех данных, что видели на экранчике, а тех, что были отправлены в устройство.

                              Комментарий


                              • #16
                                Сообщение от EugeneS Посмотреть сообщение
                                Стоимость устройства не смутит тех, у кого уже воровали деньги...
                                Вы бы просто вшили бы в железку клиент банк и вопрос бы закрыли. Если компьютеру, который в 100раз производительней вашей железки - нужна еще ваша железка, то зачем вообще компьютер?

                                Комментарий


                                • #17
                                  Поставляйте такую штуку с дополнительными USB-кабелями (штатно 2 шт. в комплекте) в противном случае USB-разъём сломается через полгода-год (два таких девайса брать не будут, а при подписи документа двумя ЭЦП каждый день, тыр-мырк, тырк-мырк .... ).
                                  Вообще за такую цену можно сделать нетбучек, который будет гораздо удобнее и гибче, одна проблема хорошо захардеренная ОС для него.

                                  По теме заданных вопросов, первый вариант не рабочий (откуда будет клиент брать сумму для сверки?, судорожно считать на калькуляторе?, но ничто не мешает в одной платежке заменить только реквизиты получателя, легко пропустить при контроле).

                                  Второй не понятно как будет работать, если устройство допускает ЭЦП без визуализации (а именно об этом в этом варианте идёт речь), то как устройство узнает, что реквизиты доверенные? Это возможно только в случае, если список доверенных будет вестись в устройстве или приходить от сервера с ЭЦП банка, а устройство будет подгружать этот список / или конкретный ответ на операцию подписи и проверять, что реквизиты попадают в список доверенных, и только в этом случае не будет запрашиваться подтверждение. Так же в этом случае будет несколько затруднена офлайновая работа в системах типа PC-банкинг iBank2 (подпись документов будет возможна только в момент синхронизации с сервером банка, ну или проверка по списку, т.е. необходимо для такой схемы хранить список в устройстве). Вариант с погрузкой списка так же потребует проверку временной метки и/или какого-то уникального кода клиента/идентификатора ключа ЭЦП (который является частью ответа сервера, подписанного ЭЦП), в противном случае можно будет навязать список/ответ сервера, допустим открыв в этом банке счет, создав необходимую платежку и получив нужный список / ответ от сервера, а потом проиграть его там, где необходимо.
                                  Любая система, которая допускает ввод в себя каких-либо данных по определению может содержать уязвимости, поэтому тут несколько слабое место. Хотя пока ваши устройства не станут массовыми ломать их будут разве, что из спортивного интереса.

                                  Так же не понятно позиционирование такого устройства, для каких клиентов оно предназначено. Крупным оно не нужно и не удобно (в большинстве случаев всё автоматизируется через шлюзы типа Автоклиента в iBank2), ИПшникам не удобно таскать с ноутбуком ещё какую-то коробочку, их СМСки устроят, средним по тем же причинам в целом не нужно.

                                  P.S. Я пока остаюсь при мнении, что до тех пор, пока не сломали криптографию иного механизма на стороне клиента не нужно, даже аппаратные СКЗИ в виде USB-токенов и смарт-карт несколько излишни. Все эти чудо устройства дают мнимое ощущение безопасности, но в целом от хищений не защищают (хотя значительно усложняют хищение). В вашем случае подтверждение перед каждой ЭЦП хорошее решение, все масс-режимы ведут к уязвимостям / усложнению схемы (хотя второй вариант можно и допилить, чтоб работало).

                                  P.P.S. Ещё один вариант атаки, клиенту на мониторе компьютера будет показываться информация, в которой он будет вводиться в заблуждение типа: для проверки работы устройства будет проведена тестовая процедура, на вашем устройстве будет показано тестовое п/п, подтвердите его подпись и пока это не сделаешь в систему не будет пускать. Можно кучу вполне правдоподобных вариантов напридумывать.
                                  Последний раз редактировалось Zuz; 20.09.2011, 22:22.

                                  Комментарий


                                  • #18
                                    Сообщение от EugeneS Посмотреть сообщение
                                    Стоимость устройства не смутит тех, у кого уже воровали деньги...
                                    Вся ваша целевая аудитория описывается формулой: у кого уже воровали деньги?
                                    Вы им напрямую продавать будете?
                                    Тогда даже при цене 10.000 за устройство не окупите затраты на разработку,
                                    организацию производства и текущие операционные расходы.

                                    Схода можно придумать еще 3-4 категории клиентов, которые "сразу схавают" такой товар.
                                    Но даже если полученный результат умножить на два - мало.

                                    Согласен с коллегами:
                                    при приближении цены связки "Рутокен PINPad + USB-токен"
                                    к цене простенького компьютера или нетбука,
                                    трудно конкурировать со стратегией использования отдельного компьютера
                                    для проверки и подписи - уровень комфорта не тот.

                                    Конечно, покупатели всё равно будут,
                                    но массовость при такой цене будет сильно под вопросом.
                                    Если только не сможете обеспечить мощную волну хищений ;-)

                                    Не до конца разделяю пессимизм коллег по поводу сценариев использования.
                                    Самый простой сценарий: одна платежка -> одна проверка на экране и подпись.
                                    Он будет востребован сразу и свою широкую аудиторию сможет найти.
                                    (если аудиторию цена устроит).

                                    Конечно, более сложные сценарии потребую более тщательной проработки.
                                    Но с приемлемым уровнем комфорта будут удобоваримы и в офлайне.

                                    Так что спасибо за работу в этом направлении.
                                    А как сделать устройство массовым еще предстоит сильно подумать.
                                    Конечно, если оно создано, только чтобы доказать "а мы и так можем",
                                    можно оставить цену в 3000 и даже выше,
                                    и с чувством глубокого удовлетворения ограничить ему путь на рынок.

                                    Комментарий


                                    • #19
                                      Zuz,
                                      1) Противоборство собственника и злоумышленника за контроль над активами вечный процесс, поэтому любые технологии ИБ не ведут к абсолютной безопасности
                                      2) Стойкость криптографии здесь необсуждается т.к. это принимается за аксиому, Речь идет о доверенной среде.

                                      Комментарий


                                      • #20
                                        EugeneS,
                                        Мне вот видится, что у данного устройства вообще должен быть отдельный интерфейс конфигурирования, чтобы не было самой возможности изменить его настройки до передаче в него платежного документа.

                                        Комментарий


                                        • #21
                                          WildCat, Данные должны приходить уже в отформатированном виде, и подписываете вы имменно то, что видите.
                                          Последний раз редактировалось EugeneS; 21.09.2011, 16:39.

                                          Комментарий


                                          • #22
                                            WildCat, Формат оговорен и pinpad понимает только его. Вообще само устройство не подразумевает каких-либо настроек.

                                            Комментарий


                                            • #23
                                              zoomp, значительно более низкая стоимость возможна только при массовом производстве и все равно устройство будет стоить каких- то денег. Бесплатного ничего нет.

                                              Комментарий


                                              • #24
                                                Сообщение от EugeneS Посмотреть сообщение
                                                Формат оговорен и pinpad понимает только его.
                                                А можно с этого момента поподробнее, пожалуйста:
                                                1) Формат прошивается в микросхему программатором на производстве или заливается позже через USB?
                                                2) Для каждого заказчика заливается оговоренный с ним формат или существует один универсальный формат общий для всех?
                                                3) Если Вы уверены в невозможности компрометации доверенной среды пинпада, то дадите взглянуть на спецификацию формата обмена с пинпадом?

                                                Комментарий


                                                • #25
                                                  Сообщение от EugeneS Посмотреть сообщение
                                                  Данные должны приходить уже в отформатированном виде, и подписываете вы имменно то, что видите.
                                                  Т.е. разработчик ДБО вынужден будет менять свои форматы обмена и подстраивать их под формат пинпада?
                                                  А с какими существующими системами ДБО совместим в данный момент этот пинпад?

                                                  Комментарий


                                                  • #26
                                                    WildCat, формат подписываемого файла похож на HTML. Протокол обмена совместим с Рутокен ЭЦП. О поддержки с разработчиками клиент банков ведутся переговоры.

                                                    Комментарий


                                                    • #27
                                                      Шауро Евгений, интерфейс конфигурирования отсутствует.

                                                      Комментарий


                                                      • #28
                                                        WildCat, поподробнее можно, приезжайте в Актив.

                                                        Комментарий


                                                        • #29
                                                          Zuz, в схеме с доверенными контрагентами я подразумевал проверку по списку хранящемуся в банке. Список формируется с помощью подписи данных контрагента с визуальным контролем. PINPad поддерживает возможность гарантировать, что данные перед подписью были просмотрены пользователем.

                                                          Комментарий


                                                          • #30
                                                            kgbprioda, железка нужна затем, что нет возможности гарантировать безопасность совершения платежа на компьютере. Нет гарантий, что именно вы управляете компьютером.

                                                            Комментарий

                                                            Обработка...
                                                            X