[Вопрос] Почему у нас нет аналогичных систем? Телебанк. Карта переменных кодов

[Maxim Kopytov]

Изучал системы безопасности которые можно было бы применить к веб сервисам требующим безопасности. Простите за тавтологию.

Заинтересовала система Телебанк от ВТБ.

http://www.vtb24.ru/personal/remote/...bank/telebank/

http://www.vtb24.ru/personal/remote/protection/

http://habrahabr.ru/blogs/infosecurity/78272/

Цитата:

ВТБ24. Безопасность телебанка

Давно пользуюсь телебанком ВТБ24.

Для работы предлагается две схемы защиты — карта переменных кодов и цифровой сертификат (в связке с ПО Inter-PRO).
Я использую карту переменных кодов, и каждый раз подписывая платёжки в банке, выслушиваю лекцию о том, как мне станет хорошо, если я перейду на использование цифрового сертификата.
С картой переменных кодов работать удобнее по банальной причине — телебанк можно использовать на любом устройстве, в том числе на том, где нет возможности установить искомое ПО. Самые яркие примеры — компьютер в интернет кафе (или в гостях), коммуникатор, неправильная ОС (как правильно заметили в комментах).
Основное преимущество же цифровой подписи — увеличенные лимиты платежей и усиленная безопасность. Как раз безопасность и вызывает у меня сильные сомнения, о чем я и хочу поделиться с тобой, %username%, своими мыслями.

Ниже перечислены плюсы использования цифровой подписи из листовки банка.

1. вы можете быть уверены что подключились к ВТБ24, а не к сайту очень похожему на него
2. хакер не устроит вам атаку Man in the middle (aka «Человек посередине»)
3. к серверу ВТБ24 не подключится под видом клиента злой хакер

Рассмотрим эти пункты в разрезе двух схем — переменные коды и цифровой сертификат.
Пункты 1 и 2 на самом деле схожи на 90%. На деле все сводится к сравнению: SSL против… какого-то там протокола. «Какой-то там» протокол, вероятно, более устойчив к «Man in the middle», потому что сессия шифруется с самого начала (точно не уверен, но иначе шаманство с Inter-PRO вообще теряет всякий смысл).
Пункт 3, на мой взгляд, основной камень в огород «усиленной безопасности». Предлагаю сравнить что должен сделать искомый хакер в том и другом случае, чтобы подключиться под видом клиента.

Цифровой сертификат. Сам сертификат крадётся трояном. Если он защищен каким-то паролем, то троян должен уметь украсть ваш пароль. Ничего сверхъестественного.

Карта. Надо украсть пароль, опять же трояном. Но, внимание — пароль бесполезен без офлайновой (и вообще не цифровой по своей сути) карты. Хакеру надо завладеть еще и вашей картой.

Не углубляясь в юридические тонкости возник вопрос.

Почему у нас до сих порт нет аналогичных сервисов?

Спасибо.

[Nadir Zaitov]

Цитата:

Сообщение от Maxim Kopytov

Не углубляясь в юридические тонкости возник вопрос.

Вообще самый безопасный способ шифрования - это когда у обоих доверяющих друг-другу сторон есть идентичный огромный упорядоченный лист, аналогичный вышеукащзанному. Во времена телексных переводов так и делалось. Но тут важно доверие другой стороне: проблема в том, что нет гарантии, что банк (точнее работник банка-злоумышленник) не выпустил такой же (офлайновый) лист/ключик кому-то еще и, следовательно, такой способ защиты для взлома типа "man-insider" весьма даже подвержен.

Кстати: RSA ключики с изменяющимися оффлайновыми циферками (электронный аналог карточки, описанной выше) обычное дело для обеспечения безопасности... У нас представитель IMF пользуется такой штуковиной для доступа к почтовому ящику. Думаю, что на более ответственные операции использование такой штуковины не допустимо... хотя нет - использовать можно, но там нужно еще повозиться.

Оффтоп:

Цитата:

Сообщение от Maxim Kopytov

%username%

классная добавка для форума была бы. Жаль, что у нас нет таких переменных

[BENJIRY!]

Цитата:

Сообщение от Nadir Zaitov

Вообще самый безопасный способ шифрования - это когда у обоих доверяющих друг-другу сторон есть идентичный огромный упорядоченный лист, аналогичный вышеукащзанному. Во времена телексных переводов так и делалось. Но тут важно доверие другой стороне: проблема в том, что нет гарантии, что банк (точнее работник банка-злоумышленник) не выпустил такой же (офлайновый) лист/ключик кому-то еще и, следовательно, такой способ защиты для взлома типа "man-insider" весьма даже подвержен.

На данный момент также есть в мире.

Борьба с инсайдерским фродом очень проста. Могу привести один из простейших примеров:

а) Печатать не у себя, покрывая защитным слоем, как PINы покрывают.
б) При печати используется программа случайной генерации, позволяющая печатать не более двух экземпляров одного и того же. Брак-ну чёрт с ним, выбросить/в шредер сунуть.
в) Упаковка по два экземпляра в конверт там же, на месте. При признаках повреждения/вскрытия конверта-в шредер и выдать другой. Печать централизованная, большими тиражами и рассылка по принципу "то, что под руку попалось, туда, куда сейчас надо".

Остальное-сложнее, но применяется гораздо более массово, нежели "а" и "б". Хотя, при применении "а", "б" и "в"-уже неплохая защищённость.

Цитата:

Сообщение от Nadir Zaitov

У нас представитель IMF пользуется такой штуковиной для доступа к почтовому ящику. Думаю, что на более ответственные операции использование такой штуковины не допустимо... хотя нет - использовать можно, но там нужно еще повозиться.

И к почте и ко многому прочему.
На "более ответственные" также используется, и возимся

Простите, большего не скажу. Садовникам нельзя верить, кстати ))))))) Всё, что сказано тут-плод моего воображения.


Отвечая на вопрос "Почему у нас такого нет", могу сказать только , что у нас народу (от банкиров до их клиентов) понятие "безопасность" не кажется чем-то важным, потому и пины для сумовых карт, практически никто не меняет и легко сообщают продавцу или кому-либо ещё во всеуслышание, равно как и легко по телефону номера счетов и фамилии диктуют...

Ну а тут-доп. вложения, расходы на обучение персонала, на доведение информации до клиента, прочие расходы. Никому просто не нужно. "Гром не грянет, мужик не перекрестится". Вот, пока ещё не грянул.

[DarkCrew]

Цитата:

Сообщение от Maxim Kopytov

Изучал системы безопасности которые можно было бы применить к веб сервисам требующим безопасности. Простите за тавтологию. Заинтересовала система Телебанк от ВТБ.

О! у меня такая же.. только промсвязьбанк. Прикольная тема. Правда у нее есть недостатки. Полагаю что точно такие же недостатки есть и в ВТБ. Можно рассчитываться только с текущего счета (до востребования). А хранить баблосы на таком счету не очень умно - лучше уж вклад (там хоть какой то процент капает). Или деньги лежат на карточном счете - с него тоже нельзя ничего толком сделать. Или надо переводить с него на текущий счет и потом только платить, что тоже не очень удобно. Когда уже наши в постсоветском прострнастве товарищи допрут что надо все для людей делать а не вводить эти замороченные коды и грузить ненужной информацией? Почему нельзя сделать такой же интернет банкинг с переменными кодами но с понятным интерфейсом типа кнопочка заплатить за газ/свет/квартиру/телефон и т.п. И там уже в менюшке выбираешь. А то щас вам сделают и потом еще нагрузят инструкцией с кодами оплаты и прочее... замудренная система.

[Andrews]

Цитата:

Сообщение от BENJIRY!

При печати используется программа случайной генерации, позволяющая печатать не более двух экземпляров одного и того же.

Ну его же могут копировать просто!!!!

[MichaelR]

Цитата:

Сообщение от Nadir Zaitov

Кстати: RSA ключики с изменяющимися оффлайновыми циферками (электронный аналог карточки, описанной выше) обычное дело для обеспечения безопасности...

а аккумулятор в таких Secure-ID разрядится, что будет?

[Akmal Bafoev]

Цитата:

Сообщение от MichaelR

Цитата:

а аккумулятор в таких Secure-ID разрядится, что будет?

производитель 5 лет работы гарантирует

[Nadir Zaitov]

Цитата:

Сообщение от BENJIRY!

Печатать не у себя

Цитата:

Сообщение от BENJIRY!

При печати используется программа случайной генерации

Это тоже не решение - можно печатать в трое больше (представьте вы заказали печатать китайцам ). Обычно используют 2-3 типа устройств/листов такого типа от разных производителей/сделанных в разных местах. В таком случае индивидуальный инсайдер многого не сможет, а попытка сговора может привести к тому, что в группе инсайдеров кто-нибудь струхнет и остальных выдаст.
Просто не нужно заморачиваться - оцените ценность информации и комбинируйте разные способы защиты информации для надежности.

А вот про генератор слчайных чисел лучше не рассказывать...

[DarkCrew]

А где те кто реально будет внедрять? Может послушаем их?

[BENJIRY!]

Цитата:

Сообщение от Andrews

Цитата:

Ну его же могут копировать просто!!!!

Ну, скопировали его на заводе, что дальше?

Искать в какое отделение банка, кому и для каких целей передан данный лист?

Цитата:

Сообщение от Nadir Zaitov

Цитата:

Цитата:

Это тоже не решение - можно печатать в трое больше (представьте вы заказали печатать китайцам ). Обычно используют 2-3 типа устройств/листов такого типа от разных производителей/сделанных в разных местах. В таком случае индивидуальный инсайдер многого не сможет, а попытка сговора может привести к тому, что в группе инсайдеров кто-нибудь струхнет и остальных выдаст.
Просто не нужно заморачиваться - оцените ценность информации и комбинируйте разные способы защиты информации для надежности.

А вот про генератор слчайных чисел лучше не рассказывать...

Я же написал, что "простейший пример".