Изучал системы безопасности которые можно было бы применить к веб сервисам требующим безопасности. Простите за тавтологию.

Заинтересовала система Телебанк от ВТБ.

http://www.vtb24.ru/personal/remote/internet-bank/telebank/

http://www.vtb24.ru/personal/remote/protection/

http://habrahabr.ru/blogs/infosecurity/78272/

http://www.vtb24.ru/f/1/personal/remote/protection/map-a.png

ВТБ24. Безопасность телебанка

Давно пользуюсь телебанком ВТБ24.

Для работы предлагается две схемы защиты (http://www.vtb24.ru/ekaterinburg/personal/remote/protection/) — карта переменных кодов и цифровой сертификат (в связке с ПО Inter-PRO).
Я использую карту переменных кодов, и каждый раз подписывая платёжки в банке, выслушиваю лекцию о том, как мне станет хорошо, если я перейду на использование цифрового сертификата.
С картой переменных кодов работать удобнее по банальной причине — телебанк можно использовать на любом устройстве, в том числе на том, где нет возможности установить искомое ПО. Самые яркие примеры — компьютер в интернет кафе (или в гостях), коммуникатор, неправильная ОС (как правильно заметили в комментах).
Основное преимущество же цифровой подписи — увеличенные лимиты платежей и усиленная безопасность. Как раз безопасность и вызывает у меня сильные сомнения, о чем я и хочу поделиться с тобой, %username%, своими мыслями.

Ниже перечислены плюсы использования цифровой подписи из листовки банка (http://www.vtb24.ru/f/1/personal/remote/protection/vtb24_interpro.pdf).

1. вы можете быть уверены что подключились к ВТБ24, а не к сайту очень похожему на него
2. хакер не устроит вам атаку Man in the middle (aka «Человек посередине») (http://ru.wikipedia.org/wiki/Man_in_the_middle)
3. к серверу ВТБ24 не подключится под видом клиента злой хакер

Рассмотрим эти пункты в разрезе двух схем — переменные коды и цифровой сертификат.
Пункты 1 и 2 на самом деле схожи на 90%. На деле все сводится к сравнению: SSL против… какого-то там протокола. «Какой-то там» протокол, вероятно, более устойчив к «Man in the middle», потому что сессия шифруется с самого начала (точно не уверен, но иначе шаманство с Inter-PRO вообще теряет всякий смысл).
Пункт 3, на мой взгляд, основной камень в огород «усиленной безопасности». Предлагаю сравнить что должен сделать искомый хакер в том и другом случае, чтобы подключиться под видом клиента.

Цифровой сертификат. Сам сертификат крадётся трояном. Если он защищен каким-то паролем, то троян должен уметь украсть ваш пароль. Ничего сверхъестественного.

Карта. Надо украсть пароль, опять же трояном. Но, внимание — пароль бесполезен без офлайновой (и вообще не цифровой по своей сути) карты. Хакеру надо завладеть еще и вашей картой.Не углубляясь в юридические тонкости возник вопрос.

Почему у нас до сих порт нет аналогичных сервисов?

Спасибо.

Не углубляясь в юридические тонкости возник вопрос.
Вообще самый безопасный способ шифрования - это когда у обоих доверяющих друг-другу сторон есть идентичный огромный упорядоченный лист, аналогичный вышеукащзанному. Во времена телексных переводов так и делалось. Но тут важно доверие другой стороне: проблема в том, что нет гарантии, что банк (точнее работник банка-злоумышленник) не выпустил такой же (офлайновый) лист/ключик кому-то еще и, следовательно, такой способ защиты для взлома типа "man-insider" весьма даже подвержен.

Кстати: RSA ключики с изменяющимися оффлайновыми циферками (электронный аналог карточки, описанной выше) обычное дело для обеспечения безопасности... У нас представитель IMF пользуется такой штуковиной для доступа к почтовому ящику. Думаю, что на более ответственные операции использование такой штуковины не допустимо... хотя нет - использовать можно, но там нужно еще повозиться.
%username%классная добавка для форума была бы. Жаль, что у нас нет таких переменных

Вообще самый безопасный способ шифрования - это когда у обоих доверяющих друг-другу сторон есть идентичный огромный упорядоченный лист, аналогичный вышеукащзанному. Во времена телексных переводов так и делалось. Но тут важно доверие другой стороне: проблема в том, что нет гарантии, что банк (точнее работник банка-злоумышленник) не выпустил такой же (офлайновый) лист/ключик кому-то еще и, следовательно, такой способ защиты для взлома типа "man-insider" весьма даже подвержен.

На данный момент также есть в мире.

Борьба с инсайдерским фродом очень проста. Могу привести один из простейших примеров:

а) Печатать не у себя, покрывая защитным слоем, как PINы покрывают.
б) При печати используется программа случайной генерации, позволяющая печатать не более двух экземпляров одного и того же. Брак-ну чёрт с ним, выбросить/в шредер сунуть.
в) Упаковка по два экземпляра в конверт там же, на месте. При признаках повреждения/вскрытия конверта-в шредер и выдать другой. Печать централизованная, большими тиражами и рассылка по принципу "то, что под руку попалось, туда, куда сейчас надо".

Остальное-сложнее, но применяется гораздо более массово, нежели "а" и "б". Хотя, при применении "а", "б" и "в"-уже неплохая защищённость.

У нас представитель IMF пользуется такой штуковиной для доступа к почтовому ящику. Думаю, что на более ответственные операции использование такой штуковины не допустимо... хотя нет - использовать можно, но там нужно еще повозиться.

И к почте и ко многому прочему.
На "более ответственные" также используется, и возимся ;)

Простите, большего не скажу. Садовникам нельзя верить, кстати :)))))))) Всё, что сказано тут-плод моего воображения.


Отвечая на вопрос "Почему у нас такого нет", могу сказать только , что у нас народу (от банкиров до их клиентов) понятие "безопасность" не кажется чем-то важным, потому и пины для сумовых карт, практически никто не меняет и легко сообщают продавцу или кому-либо ещё во всеуслышание, равно как и легко по телефону номера счетов и фамилии диктуют...

Ну а тут-доп. вложения, расходы на обучение персонала, на доведение информации до клиента, прочие расходы. Никому просто не нужно. "Гром не грянет, мужик не перекрестится". Вот, пока ещё не грянул.

Изучал системы безопасности которые можно было бы применить к веб сервисам требующим безопасности. Простите за тавтологию. Заинтересовала система Телебанк от ВТБ.О! у меня такая же.. только промсвязьбанк. Прикольная тема. Правда у нее есть недостатки. Полагаю что точно такие же недостатки есть и в ВТБ. Можно рассчитываться только с текущего счета (до востребования). А хранить баблосы на таком счету не очень умно - лучше уж вклад (там хоть какой то процент капает). Или деньги лежат на карточном счете - с него тоже нельзя ничего толком сделать. Или надо переводить с него на текущий счет и потом только платить, что тоже не очень удобно. Когда уже наши в постсоветском прострнастве товарищи допрут что надо все для людей делать а не вводить эти замороченные коды и грузить ненужной информацией? Почему нельзя сделать такой же интернет банкинг с переменными кодами но с понятным интерфейсом типа кнопочка заплатить за газ/свет/квартиру/телефон и т.п. И там уже в менюшке выбираешь. А то щас вам сделают и потом еще нагрузят инструкцией с кодами оплаты и прочее... замудренная система.

При печати используется программа случайной генерации, позволяющая печатать не более двух экземпляров одного и того же.
Ну его же могут копировать просто!!!!

Кстати: RSA ключики с изменяющимися оффлайновыми циферками (электронный аналог карточки, описанной выше) обычное дело для обеспечения безопасности... а аккумулятор в таких Secure-ID разрядится, что будет?

Кстати: RSA ключики с изменяющимися оффлайновыми циферками (электронный аналог карточки, описанной выше) обычное дело для обеспечения безопасности... а аккумулятор в таких Secure-ID разрядится, что будет?

производитель 5 лет работы гарантирует

Печатать не у себяПри печати используется программа случайной генерацииЭто тоже не решение - можно печатать в трое больше (представьте вы заказали печатать китайцам :)). Обычно используют 2-3 типа устройств/листов такого типа от разных производителей/сделанных в разных местах. В таком случае индивидуальный инсайдер многого не сможет, а попытка сговора может привести к тому, что в группе инсайдеров кто-нибудь струхнет и остальных выдаст.
Просто не нужно заморачиваться - оцените ценность информации и комбинируйте разные способы защиты информации для надежности.

А вот про генератор слчайных чисел лучше не рассказывать... :)

А где те кто реально будет внедрять? Может послушаем их?

При печати используется программа случайной генерации, позволяющая печатать не более двух экземпляров одного и того же.
Ну его же могут копировать просто!!!!

Ну, скопировали его на заводе, что дальше?

Искать в какое отделение банка, кому и для каких целей передан данный лист? :)

Печатать не у себяПри печати используется программа случайной генерацииЭто тоже не решение - можно печатать в трое больше (представьте вы заказали печатать китайцам :)). Обычно используют 2-3 типа устройств/листов такого типа от разных производителей/сделанных в разных местах. В таком случае индивидуальный инсайдер многого не сможет, а попытка сговора может привести к тому, что в группе инсайдеров кто-нибудь струхнет и остальных выдаст.
Просто не нужно заморачиваться - оцените ценность информации и комбинируйте разные способы защиты информации для надежности.

А вот про генератор слчайных чисел лучше не рассказывать... :)

Я же написал, что "простейший пример".

А где те кто реально будет внедрять? Может послушаем их?
На мой взгляд использование карт переменных кодов следует использовать в тех случаях, когда нет возможности использовать цифровой сертификат( СМС банкинг, мобильный банкинг и тп). Ведь закрытый ключ имеется только у клиента, и только клиент отвечает за то, чтобы этот ключ не был скомпрометирован. То есть вся ответственность по защите закрытого ключа(установка антивирусов, антифишинговых программ) ложится на самого клиента(и с юридической точки зрения тоже). Поэтому в этом случае инсайд сотрудников Банка невозможен 100%. А вот в случае же с картами переменных кодов, есть вероятность того, что серийные номера карт и закрепленные за ними коды, могут быть выкрадены нечистыми на руку сотрудниками(клиенты же не знают процесс их изготовления).
На мой взгляд любой человек в первую очередь доверяет себе, а уже потом всяческим навороченным системам безопасности.

Вообщем как вы поняли, я сторонник использования сертификата там, где его можно использовать, а вот в остальных случаях можно говорить о картах.
В нашем Банке, в настоящее время, клиентами используются цифровые сертификаты, выдаваемые сторонним Центром Регистрации, имеющем лицензию УзАСИ.

А вот в случае же с картами переменных кодов, есть вероятность того, что серийные номера карт и закрепленные за ними коды, могут быть выкрадены нечистыми на руку сотрудниками(клиенты же не знают процесс их изготовления).Карта активируется при клиенте или выдается ему полностью закрытой. Так что выпуск карты и карты переменных кодов не связаны и карта может достаться любому клиенту. Как это реализованно со стороны банка - хотелось бы понять.
Вообщем одним словом вот вам и специализированный форум. Где те кто внедряет это? Нет никого!!! Все только трепать пришли! Как впрочем и я тоже. Трепем дальше.

Как это реализованно со стороны банка - хотелось бы понять.
А зачем вам понимать это, просто доверьтесь банку. :-)

А вы знаете как реализовано выпуск пластиковых карточек? Доверяете же? ;-)

Карта активируется при клиенте или выдается ему полностью закрытой. Так что выпуск карты и карты переменных кодов не связаны и карта может достаться любому клиенту. Как это реализованно со стороны банка - хотелось бы понять.

Даже если учесть, что карта активируется непосредственно перед клиентом. Ведь информация об активировании данной карты куда-то заносится(куда-то это в Автоматизированную Банковскуюая систему -АБС), а значит ее серийный номер закрепляется за счетом данного клиента. И если предположить, что при изготовлении, некоторая часть карт (а вернее информации с карт кадов) была выкрадена, то по АБС не составит труда узнать какой серифный номер закреплен за каким клиентом. По моему мнению это огромнейший недостаток.

А вот в случае же с сертификатом такого произойти не может. Инфраструктура PKI с самого начала и подразумевает, что закрытый ключ хранится только у его владельца и нигде более.
И вы не можете не согласится с тем фактом, что лучше/удобнее/надежнее приложить все усилия по защите своего компьютера от всяческой нечести, как трояны, чем постоянно задумываться о том - а доволны ли сотрудники Банка своей зарплатой и не возникает ли у них мысли "обчистить" парочку-тройку своих клиентов.

Вообщем одним словом вот вам и специализированный форум. Где те кто внедряет это? Нет никого!!! Все только трепать пришли! Как впрочем и я тоже. Трепем дальше.

Честно говоря я даже не знаю, хоть в одном Банке РУз применяется данная технология или нет. И мне было бы тоже очень интересно поподробнее узнать принципы реализации системы защиты при помощи карт одноразовых кодов. На данном этапе мы в нашем Банке столкнулись с ситуацией, когда возникает сложность в применении цифровых сертификатов на мобильный устройствах(телефонах) при реализации проекта мобильного банкинга.

Инфраструктура PKI с самого начала и подразумевает, что закрытый ключ хранится только у его владельца и нигде более. Глупости. У нас закрытые ключи "изготвавливаются", как правило, самим центром регистрации - вероятность скопировать/сделать копию/перегнать информацию на враждебный сервер в сети/в секретный раздел на диске нет никакой проблемы. Это и есть причина, почему мне в наши центры регисрации за ключем в очередь вставать не хочется.

https://online.pumb.ua/ в этой системе более передовой подход, при каждой активной операции на определенный номер мобильного присылается код подтверждения сгенерированный системой

https://online.pumb.ua/ в этой системе более передовой подход, при каждой активной операции на определенный номер мобильного присылается код подтверждения сгенерированный системой

ну это же то же самое, что односессионные ключи, которые выдаются клиенту в распечатанном виде по скретч-слоем. в данном случае утечка просто может идти не через инсайдеров банка, а через ОСС (операторов сотовой связи). но в отличие от первого случая, узнав через инсайдеров или через reader код сессии, во втором нужно же еще знать логин клиента.

в случае с ЭЦП, как высказался сотрудник банка выше, я полагаю, что взломать счет клиента можно только при наличии трех составляющих 1) логин и 2) пароль к персональному кабинету в банковском ресурсе, и 3) паролью к закрытому ключу (ЭЦП), выданному сторонним центром выдачи ЭЦП, а не банком!

и какой интерес у центра выдачи ЭЦП, отмечая опасения Н.З., выдавать закрытые ключи кому-либо? впрочем, отвечая на свои же, так же как и ОСС? Нодир ака, мы иногда "переигрываем" ))):naughty:

Глупости. У нас закрытые ключи "изготвавливаются", как правило, самим центром регистрации - вероятность скопировать/сделать копию/перегнать информацию на враждебный сервер в сети/в секретный раздел на диске нет никакой проблемы. Это и есть причина, почему мне в наши центры регисрации за ключем в очередь вставать не хочется.

Не могу сказать про все центры регистрации(хотя их можно посчитать на пальцах одной руки), но в настоящий момент мы работаем с Центром Multisoft Solutions. Поэтому могу говорить только о процедуре генерации закрытого ключа и утверждения сертификата в данном Центре. Любой желающий получить ЭЦП регистрируется на сайте www.mss.uz (http://www.mss.uz) и осуществляет генерацию своего закрытого ключа( генерация осуществляется при помощи криптопровайдера, встроенного в Windows, либо usb-ключем). То есть закрытый ключ остается на компьютере самого пользователя. Далее при предьявлении оригиналов документов и заявления на получение ЭЦП любой из Агентов Центра регистрации утверждает запрос на получение сертификата.

https://online.pumb.ua/ в этой системе более передовой подход, при каждой активной операции на определенный номер мобильного присылается код подтверждения сгенерированный системой

ну это же то же самое, что односессионные ключи, которые выдаются клиенту в распечатанном виде по скретч-слоем. в данном случае утечка просто может идти не через инсайдеров банка, а через ОСС (операторов сотовой связи). но в отличие от первого случая, узнав через инсайдеров или через reader код сессии, во втором нужно же еще знать логин клиента.

в случае с ЭЦП, как высказался сотрудник банка выше, я полагаю, что взломать счет клиента можно только при наличии трех составляющих 1) логин и 2) пароль к персональному кабинету в банковском ресурсе, и 3) паролью к закрытому ключу (ЭЦП), выданному сторонним центром выдачи ЭЦП, а не банком!

и какой интерес у центра выдачи ЭЦП, отмечая опасения Н.З., выдавать закрытые ключи кому-либо? впрочем, отвечая на свои же, так же как и ОСС? Нодир ака, мы иногда "переигрываем" ))):naughty:

Данная система конечно надежнее по сравению с картами одноразовых кодов, т.к. генерация кода происходит непосредственно в момент попытки доступа(а не хранится в БД) и отсылается на указанный телефонный номер. Но такая система далеко не новшество. Яркий пример МТС - для получения доступа к персональному кабинету необходимо указать номер телефона, PUK-код и пароль для доступа полученный по смс.