Все новые посты на ZLONOV.RU
Эпоха парольной аутентификации при проведении платежей с использованием интернет-банкинга, к счастью, канула в Лету: банки давно перешли на цифровые сертификаты, а наиболее продвинутые предлагают клиентам хранить закрытые ключи даже уже не на жёстком диске/флешке, а в защищённой памяти токена. Самые же передовые и вовсе реализовали в своих системах ДБО поддержку токенов с аппаратно реализованным отечественным ГОСТом, из которых закрытый ключ электронно-цифровой подписи (ЭЦП) и вовсе извлечь нельзя.
Казалось бы, бухгалтерам и финансистам можно спать спокойно - ключ ЭЦП надёжно защищён, но не всё так просто: оказалось, что ушлые злоумышленники научились подменять данные, которые отправляются в токен на подпись. Реализуется данное злодейство с использованием трояна (например, Silent Banker) и только при физически подключенном токене, но когда речь идёт о реальных больших деньгах - всё решаемо.
Противостоять такой угрозе, в общем-то, не так и сложно: выделенный компьютер с регулярно обновляющимся антивирусом, запретом всех соединений, кроме требуемых для работы интернет-банка, урезание прав пользователя до минимума... Да вот только на практике всё сводится к банальному человеческому фактору: лень пользователя и его нежелание терпеть неудобства в работе неизбежно ведут к нарушению или неисполнению этих простых правил безопасности. В результате компьютер с установленным клиентом ДБО перестаёт быть доверенной средой со всеми вытекающими последствиями.
Что же предлагают компании Актив и СейфТек для решения этой проблемы? В принципе, предложение вполне логичное: если компьютер среда недоверенная, значит, надо добавить ещё один элемент, который нельзя (или очень сложно) будет скомпрометировать. В качестве такого элемента и предлагаются трастскрины, подключаемые в разрыв между компьютером и токеном (смарт-картой). Суть работы упрощённо можно описать так: пользователь на экране устройства видит реквизиты платёжного поручения, которое отправляется на подпись, и должен подтвердить их правильность, нажав соответствующую кнопку:
Подробнее с внутренним устройством SafeTouch можно познакомится, например, вот в этом патенте на полезную модель, у Рутокен PINPad принцип во многом аналогичен.
К несомненным плюсам такого подхода, очевидно, можно отнести тот факт, что теперь установленный троян не сможет самопроизвольно подписывать платёжные документы - нажать на кнопку устройства он не сумеет: нужен живой человек, но вот этот самый живой человек всё также и будет самым слабым звеном.
Какие мне видятся признаки отсутствия панацейности у этого решения? Во-первых, очевидно, что при большом числе транзакций устройство элементарно начнёт мешать. Что сделает с мешающим устройством пользователь? Правильно, исключит его из цепочки и будет подписывать всё "по старинке", так что разработчикам лучше позаботится о введении опции принудительного использования трастскрина.
Второй аспект - человеческая внимательность. Посмотрите на две картинки устройств SafeTouch чуть выше - как быстро вы заметите различия в них? Понятно, что злоумышленникам придётся подбирать похожие названия и реквизиты для подставных контрагентов и ограничивать свой аппетит в дорисовывании нулей к перечисляемым суммам, чтобы успешно обманывать пользователей, но, думаю, это вполне решаемо. Почти наверняка использование трастскрина усыпит бдительность пользователя и внедрение трояна, ворующего статистику платежей, станет вполне реальным. Изучение статистики (желательно, от большого числа контрагентов) подскажет дальнейшие действия.
Например, все юридические лица регулярно совершают одни и те же платежи в пользу государства, уплачивая налоги и прочие сборы, а значит, создав соответствующее "фишинговое" юрлицо, можно одновременно попытаться обмануть сразу многих. В конце концов, рассылают же предприимчивые граждане письма якобы из ГИБДД с уведомлением о штрафе и левыми реквизитами. Кто-то ведь да платит, иначе и рассылок таких не было.
Далее, вклинивать обманную платёжку лучше в поток подписываемых документов: вряд ли кто-то будет также внимательно сверять реквизиты в седьмом подряд платёжном поручении, как в нескольких первых. Мне вообще кажется, что спустя несколько недель активного использования нажатие кнопки "Подписать" будет происходить на автомате.
Наконец, раз возможности трояна по изменению отображаемого на экране компьютера мы признали безграничными, то никто не мешает во входящем электронном письме со счётом поменять реквизиты на подставные. На экране компьютера и на экране устройства тогда будут отображены одинаково неправильные параметры платёжного поручения. Признавая компьютер недоверенным устройством, надо тогда уж не доверять ему ни в чём, и счёт с платёжными реквизитами получать по другому каналу, вот только о доверенных устройствах для получения счёта что-то я пока не слышал... Ну не рассматривать же всерьёз в качестве такового смартфон с почтовым клиентом, на который дублируется входящая почта?
Что ж, панацеи в очередной раз мы не имеем, но и совсем ставить крест на трастскринах тоже было бы неправильно. Для небольших компаний с малым числом платежей устройство вполне себе оправдано, причём именно SafeTouch с его более демократичной ценой (1600 рублей против 3550 рублей у Актива). Да вот только небольшие компании не так остро осознают реальность угроз и продавать им гораздо сложнее: пойди попробуй убеди каждого по отдельности в необходимости трастскрина, да потом ещё поддержку и послепродажное обслуживание организуй.
Для коммерческого успеха трастскрины должны стать массовым продуктом, поэтому без поддержки разработчиков ДБО и самих банков тут будет сложно. Впрочем, коллеги из SafeTech похоже, сами это прекрасно понимают и идут верным путём, да и Актив, судя по сайту, движется в том же направлении. Будем дальше следить за развитием событий, хотя это, конечно, было бы делать гораздо удобнее, если бы разработчики добавили себе на сайты RSS-ленты, ну, да ладно, все силы брошены на другое, понимаю =)
В прошлом году на рынке появились сразу два продукта со сходным функционалом: Рутокен PINPad и SafeTouch. По словам некоторых заказчиков, производители сейчас усиленно нахваливают свои чудо-устройства и преподносят их чуть ли не как панацею от всех угроз дистанционного банковского обслуживания (ДБО). Давайте посмотрим, что же нам предлагают на самом деле.
Эпоха парольной аутентификации при проведении платежей с использованием интернет-банкинга, к счастью, канула в Лету: банки давно перешли на цифровые сертификаты, а наиболее продвинутые предлагают клиентам хранить закрытые ключи даже уже не на жёстком диске/флешке, а в защищённой памяти токена. Самые же передовые и вовсе реализовали в своих системах ДБО поддержку токенов с аппаратно реализованным отечественным ГОСТом, из которых закрытый ключ электронно-цифровой подписи (ЭЦП) и вовсе извлечь нельзя.
Казалось бы, бухгалтерам и финансистам можно спать спокойно - ключ ЭЦП надёжно защищён, но не всё так просто: оказалось, что ушлые злоумышленники научились подменять данные, которые отправляются в токен на подпись. Реализуется данное злодейство с использованием трояна (например, Silent Banker) и только при физически подключенном токене, но когда речь идёт о реальных больших деньгах - всё решаемо.
Противостоять такой угрозе, в общем-то, не так и сложно: выделенный компьютер с регулярно обновляющимся антивирусом, запретом всех соединений, кроме требуемых для работы интернет-банка, урезание прав пользователя до минимума... Да вот только на практике всё сводится к банальному человеческому фактору: лень пользователя и его нежелание терпеть неудобства в работе неизбежно ведут к нарушению или неисполнению этих простых правил безопасности. В результате компьютер с установленным клиентом ДБО перестаёт быть доверенной средой со всеми вытекающими последствиями.
Что же предлагают компании Актив и СейфТек для решения этой проблемы? В принципе, предложение вполне логичное: если компьютер среда недоверенная, значит, надо добавить ещё один элемент, который нельзя (или очень сложно) будет скомпрометировать. В качестве такого элемента и предлагаются трастскрины, подключаемые в разрыв между компьютером и токеном (смарт-картой). Суть работы упрощённо можно описать так: пользователь на экране устройства видит реквизиты платёжного поручения, которое отправляется на подпись, и должен подтвердить их правильность, нажав соответствующую кнопку:
Подробнее с внутренним устройством SafeTouch можно познакомится, например, вот в этом патенте на полезную модель, у Рутокен PINPad принцип во многом аналогичен.
К несомненным плюсам такого подхода, очевидно, можно отнести тот факт, что теперь установленный троян не сможет самопроизвольно подписывать платёжные документы - нажать на кнопку устройства он не сумеет: нужен живой человек, но вот этот самый живой человек всё также и будет самым слабым звеном.
Какие мне видятся признаки отсутствия панацейности у этого решения? Во-первых, очевидно, что при большом числе транзакций устройство элементарно начнёт мешать. Что сделает с мешающим устройством пользователь? Правильно, исключит его из цепочки и будет подписывать всё "по старинке", так что разработчикам лучше позаботится о введении опции принудительного использования трастскрина.
Второй аспект - человеческая внимательность. Посмотрите на две картинки устройств SafeTouch чуть выше - как быстро вы заметите различия в них? Понятно, что злоумышленникам придётся подбирать похожие названия и реквизиты для подставных контрагентов и ограничивать свой аппетит в дорисовывании нулей к перечисляемым суммам, чтобы успешно обманывать пользователей, но, думаю, это вполне решаемо. Почти наверняка использование трастскрина усыпит бдительность пользователя и внедрение трояна, ворующего статистику платежей, станет вполне реальным. Изучение статистики (желательно, от большого числа контрагентов) подскажет дальнейшие действия.
Например, все юридические лица регулярно совершают одни и те же платежи в пользу государства, уплачивая налоги и прочие сборы, а значит, создав соответствующее "фишинговое" юрлицо, можно одновременно попытаться обмануть сразу многих. В конце концов, рассылают же предприимчивые граждане письма якобы из ГИБДД с уведомлением о штрафе и левыми реквизитами. Кто-то ведь да платит, иначе и рассылок таких не было.
Далее, вклинивать обманную платёжку лучше в поток подписываемых документов: вряд ли кто-то будет также внимательно сверять реквизиты в седьмом подряд платёжном поручении, как в нескольких первых. Мне вообще кажется, что спустя несколько недель активного использования нажатие кнопки "Подписать" будет происходить на автомате.
Наконец, раз возможности трояна по изменению отображаемого на экране компьютера мы признали безграничными, то никто не мешает во входящем электронном письме со счётом поменять реквизиты на подставные. На экране компьютера и на экране устройства тогда будут отображены одинаково неправильные параметры платёжного поручения. Признавая компьютер недоверенным устройством, надо тогда уж не доверять ему ни в чём, и счёт с платёжными реквизитами получать по другому каналу, вот только о доверенных устройствах для получения счёта что-то я пока не слышал... Ну не рассматривать же всерьёз в качестве такового смартфон с почтовым клиентом, на который дублируется входящая почта?
Что ж, панацеи в очередной раз мы не имеем, но и совсем ставить крест на трастскринах тоже было бы неправильно. Для небольших компаний с малым числом платежей устройство вполне себе оправдано, причём именно SafeTouch с его более демократичной ценой (1600 рублей против 3550 рублей у Актива). Да вот только небольшие компании не так остро осознают реальность угроз и продавать им гораздо сложнее: пойди попробуй убеди каждого по отдельности в необходимости трастскрина, да потом ещё поддержку и послепродажное обслуживание организуй.
Для коммерческого успеха трастскрины должны стать массовым продуктом, поэтому без поддержки разработчиков ДБО и самих банков тут будет сложно. Впрочем, коллеги из SafeTech похоже, сами это прекрасно понимают и идут верным путём, да и Актив, судя по сайту, движется в том же направлении. Будем дальше следить за развитием событий, хотя это, конечно, было бы делать гораздо удобнее, если бы разработчики добавили себе на сайты RSS-ленты, ну, да ладно, все силы брошены на другое, понимаю =)