Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Мифы о безопасности современного ДБО. Как сделать их реальностью?

(Нет голосов)

22.07.2012 Количество просмотров 1800 просмотров
Участники 3-го Международного Форума 2012 «Инновации. Дистанционные сервисы, карты и платежи», который журнал «ПЛАС» провел 21–22 мая 2012 г. в Москве, традиционно уделили достаточно много внимания проблеме безопасности удаленных каналов банковского обслуживания. Одно из наиболее актуальных и интересных решений данной проблемы предложил в своем выступлении на конференции Игорь Сухоставский, генеральный директор компании «Терминальные технологии».

Вопрос о том, каким образом сделать ДБО если не абсолютно безопасным, то хотя бы достаточно надежным для того, чтобы постоянно не фокусировать внимание на этой проблеме, эксперты поднимают уже несколько лет подряд. Чуть ли не ежедневно анонсируются новые методы и схемы работы ДБО – например, с применением токенов, телефонов и других устройств. Но время проходит, а в этой области практически ничего не меняется – технологии защиты информации в ДБО находятся фактически на уровне 1980-х. Почему это происходит и в силах ли мы принципиально изменить ситуацию? Этот вопрос становится особенно актуальным в свете грядущего вступления в силу механизма «нулевой ответственности», прописанного в Законе «О национальной платежной системе».


ДБО: основные уязвимости


Технические средства для ДБО стандартны: обязательным элементом такой системы является компьютер или мобильный телефон с интернет-браузером, а также прикладное ПО, уникальное для каждой системы дистанционного обслуживания. Опционально в системах ДБО могут также использоваться различные устройства, такие как скретч-карта, flash-карта, token, сотовый телефон пользователя и т. д.

Очевидно, главной уязвимостью в любой системе ДБО был и остается компьютер (или телефон, который можно рассматривать в данном контексте как компьютер). Он по определению не может быть безопасным, потому что изначально создавался отнюдь не как безопасное устройство для совершения финансовых операций. И все атаки и риски, связанные с ДБО, сводятся в общем и целом к атакам разнообразных форм и видов, нацеленным именно на компьютер.

Основным эффективным методом таких атак является подмена информации, отображаемой на экране, – иными словами, на экране пользователю показываются одни данные, а в банк или на подпись в токен передаются совсем другие.

Рассмотрим кратко технологии, которые используются в настоящее время в ДБО для защиты информации:

1. Программная защита в компьютере под управлением MS WINDOWS – антивирусы и т.п. Эксперты многократно доказали, что эти методы не обеспечивают практически никакой защиты, вскрытие системы – вопрос времени;

2. Технологии с применением одноразовых паролей по SMS, использование скретч-карт и т.д. Эти методы позволяют достаточно надежно идентифицировать пользователя, но никакой защиты от подмены данных на компьютере обеспечить не могут;

3. Токены – наиболее распространенный и более надежный метод идентификации пользователя, однако никакой защиты от подмены данных на компьютере обеспечить не может;

4. Подтверждение через мобильный телефон. Данный метод дает возможность проверить информацию, присылаемую из банка. Этот способ более надежен, поскольку скомпрометировать два канала ДБО одновременно намного сложнее. Однако сотовый телефон, как и компьютер, не является защищенным устройством, вирусы для подобных устройств уже существуют и активно используются злоумышленниками, поэтому подменить данные и на экране телефона вполне возможно.

5. Использование так называемых PIN-падов для подписи передаваемой в банк информации (не путать с одноименным эквайринговым оборудованием!), в которых предусматривается отображение подписываемой информации. Это правильный подход, потенциально дающий максимальную защиту, но пока еще не доведенный до логического завершения.

Принцип использования такого PIN-пада основан на том, что пользователь проверяет информацию, которую собирается отправить в банк, на экране устройства, а затем она подписывается смарт-картой, которую пользователь вставляет в картридер устройства.

При этом ключи шифрования или подписи хранятся во внешней, безопасной и надежной смарт-карте.

Проблема заключается в том, что такие устройства в отличие от эквайрингового оборудования никем не сертифицируются или сертифицируются по неясным критериям, а технология и процесс их производства никем не контролируются. Например, изделия нескольких зарубежных производителей для этого сегмента рынка сертифицированы по Common Criteria. Это уже хорошо, но Common Criteria – это всего лишь общие требования по надежному хранению и обработке информации. Но вот предусмотрена ли в этих устройствах физическая защита от доступа к цепям обмена данными со смарт-картой, клавиатурой, дисплеем от вскрытия корпуса, и если да, то на каком уровне? Уничтожается ли секретная информация (ключи шифрования) при вскрытии корпуса? Защищено ли ПО от подмены криптографической подписью? Скорее всего, нет, поскольку это удорожает устройство и не входит в обязательную программу сертификации по Common Criteria.

Зададимся простым вопросом – где гарантия того, что такое устройство не попадало в руки злоумышленников по пути от производителя (не имеющего к тому же никаких сертифицированных процедур производства) к конечному потребителю? Где гарантии, что в устройство не будет вмонтирован перехватывающий и подменяющий данные «жучок»? Устройство само себя не защищает, не сопротивляется взлому и не «самоуничтожается» при попытке взлома – но тогда в чем его отличие от простого компьютера? Только в том, что ПО такого устройства невозможно подменить в удаленном режиме? Но никто не мешает это сделать непосредственно в процессе производства…

Стоит добавить, что подавляющее большинство таких изделий из азиатского региона, широко рекламируемых на выставках, не имеют вообще никаких сертификатов безопасности.


Поле битвы и уход из-под удара


В настоящее время подход в сфере защиты ДБО схематично выглядит следующим образом: специалисты пытаются защитить компьютер программными средствами, а мошенники, со своей стороны, теми же самыми программными средствами пытаются компьютер взломать. И эта битва грозит затянуться на неопределенное время, до тех пор, пока специалистам в области безопасности не удастся перевести ее в совершенно иную плоскость. Злоумышленников, организующих атаки на компьютеры, необходимо полностью лишить такой возможности или же сделать эти атаки бессмысленными, т. е. нужно создать по-настоящему защищенную среду вне офисного компьютера. В нашем понимании – это среда, защищенная и на аппаратном уровне, с использованием специальных процессоров, предназначенных для хранения и безопасной обработки данных. Иными словами, это максимально защищенный компьютер, свободный от вирусов, запрещающий доступ к внутренним шинам, исключающий возможность подмены ПО, и с надежным хранением ключей и информации. Такие компьютеры нам хорошо известны, они широко применяются в банковской практике, и миллионы таких устройств работают во всем мире для обслуживания банковских карт и ежесекундно шифруют и отправляют в банки вводимые ПИН-коды – это сертифицированные POS-терминалы и ПИН-пады.

Иногда говорят, что клиентам неудобно будет пользоваться дополнительным оборудованием. Однако сегодня практически все системы ДБО используют те или иные аппаратные средства – токены, скретч-карты либо другие устройства, генерирующие одноразовые пароли. То есть сама идея о том, что система ДБО должна сопровождаться определенным специализированным аппаратным устройством, уже не является чем-то новым. Вопрос только в том, каким должно быть это устройство и сколько оно будет стоить.

Как оценить надежность и защищенность тех или иных систем ДБО и оборудования? Как определить, обеспечивает ли предлагаемая система адекватную защиту?

 В случае с ДБО не существует практически никаких правил и стандартов – каждый банк, намеревающийся обеспечить безопасность своих удаленных каналов, предоставлен сам себе и на свой собственный страх и риск должен придумать, какие критерии выбрать в качестве определяющих при выборе той или иной системы ДБО того или иного вендора. Банк должен самостоятельно оценить все предложения, взвесить риски и принять решение о степени безопасности и надежности той или иной системы ДБО. Повторюсь, никаких общепризнанных критериев оценки степени безопасности в этой области пока не существует.

Ситуация с оценкой безопасности POS-терминалов и ПИН-падов отличается кардинальным образом от представленной картины. Так, существует экспертное сообщество, которое вырабатывает определенные требования, включающие в себя не только требования по непосредственной безопасности, но и требования по организации производства POS-терминального оборудования. В рамках производства POS-терминального оборудования есть четкие правила и критерии, заданные международными платежными системами. Сам процесс производства POS-терминального оборудования подвергается очень жесткому контролю. Процесс заливки ключей организован таким образом, что значения самих ключей никто из сотрудников производства не может подглядеть или узнать иным образом. Ключи записаны в специальном устройстве, из которого их извлечь невозможно. В процессе загрузки ключей и активации устройств два оператора постоянно контролируют действия друг друга. «Dual Access & Split Knowledge» – именно на этих критериях базируется вся система безопасности, продуманная от начала до самого конца. Все этапы жизненного пути POS-терминала строго регламентированы – и за этим следят платежные системы MasterCard и Visa. Требования стандарта PCI PED каждый год меняются, и сегодня пройти сертификацию не так просто. Это серьезный сертификат. В процессе сертификации эксперты международной лаборатории, имея в своем распоряжении самое современное и дорогостоящее оборудование, а также располагая при этом всей информацией об устройстве и всеми исходными кодами, пытаются физически взломать его или показать путь такого взлома. При невозможности осуществления проникновения за отведенное время выдается сертификат соответствия устройства требованиям PCI PED. Поэтому POS-терминал можно назвать гарантированной системой обеспечения безопасности, полностью отвечающей современным реалиям.

 Уже сегодня можно предложить очень простой выход из ситуации с отсутствием критериев безопасности ДБО – нужно воспользоваться многолетним опытом в части работы с банковскими картами и потребовать сертификат PCI PED (в настоящее время он называется PCI PTS) на устройства для ДБО. Да, случаи мошенничества с аппаратурой бывают, но они единичны. Чаще всего карты с магнитной полосой злоумышленники просто копируют, а значение ПИН-кода – подсматривают.

 Если банки введут предложенный критерий безопасности в практику, то буквально через два месяца у них будут системы ДБО, которые способны обеспечить достаточный на сегодняшний день уровень безопасности, растущий вместе с ростом требований стандарта PCI PED. Это избавит банк от необходимости самостоятельного исследования, какая из систем в части безопасности лучше, основываясь на той или иной, порой необъективной информации.


Интеллектуальные банковские ПИН-пады: аргументы за…


В чем состоит принципиальное отличие банковского ПИН-пада, сертифицированного по стандарту PCI PED, от любого другого изделия, и что дает эта сертификация применительно к системам ДБО? Рассмотрим подробнее:

1. Программное обеспечение в таком ПИН-паде практически невозможно подменить ни одним из известных способов. Целостность ПО проверяется криптографическим методом, как при старте устройства, так и периодически во время его эксплуатации.

2. Пароли, ключи шифрования и другая важная информация хранятся в специальном ОЗУ внутри процессора, который питается от автономного источника питания (батареи), и при попытке взлома мгновенно стираются. ОЗУ внутри процессора защищено так же, как и в смарт-карте.

 3. Процессор постоянно, даже при выключенном устройстве, питаясь от батареи, проверяет специальные датчики (напряжения, температуры и т.д.) и защитные сетки на платах и при попытке проникновения или манипулирования устройством стирает секретную информацию. Вывести его из этого состояния можно только в авторизованном ремонтном центре при помощи специального оборудования в секретной комнате при соблюдении процедур безопасности.

 4. Цепи обмена данными с памятью, смарт-картой, дисплеем и клавиатурой физически защищены при помощи специальной конструкции корпуса и плат. При открытии корпуса срабатывают датчики. Даже если корпус будет открыт, в том числе распилен, расплавлен и т.д., то будут работать несколько других рубежей защиты, и информация о ключах будет по-прежнему защищена или уничтожена.

 К другим преимуществам использования ПИН-пада для защиты данных в системах ДБО относятся:

• надежность;

 • приемлемая цена;

• простота использования;

• протоколируемость работы;

• взаимная аутентификация с банком;

• безопасность, подтвержденная соответствующими сертификатами, предусмотренными для эквайрингового оборудования.

Какие операции и действия потребуются от пользователя и банка для подготовки к использованию системы на основе банковского ПИН-пада?

1. Пользователь (физическое лицо или организация) приобретает ПИН-пад в магазине или в одном из банков. Поскольку устройство защищено от взлома, оно может распространяться по любым каналам продаж. ПИН-пад и в банке, и в магазине не распаковывают и не проводят никаких подготовительных манипуляций, клиенту передается устройство в заводской упаковке;

2. Пользователь направляет заявку с номером устройства в банк (или в несколько банков, где у него счета, при условии, что они поддерживают эту технологию) на подключение;

3. Банк заносит информацию о серийном номере ПИН-пада клиента в базу данных системы удаленной загрузки ключей;

 4. ПИН-пад подключается к компьютеру пользователя и через него к Интернету;

 5. Производится персональная настройка ПИН-пада;

6. Загружается последняя версия ПО с официального сервера производителя или банка. ПО невозможно подменить, так как оно имеет цифровую подпись производителя;

 7. Удаленно загружаются ключи шифрования и сертификаты для цифровой подписи из банков, с которыми нужно будет работать. Ключи загружаются по защищенному каналу с взаимной аутентификацией. Технология удаленной загрузки базируется на PKI производителя и уже опробована в России;

8. Для облегчения работы и упрощения проверки платежек загружаются персональные справочники доверенных банков и клиентов либо с компьютера, либо из банка. Вся информация криптографически подписана и не может быть подменена;

9. ПИН-пад настроен и готов к работе.

Работа с такой системой не потребует дополнительных усилий и добавит совсем немного времени:

 1. ПИН-пад разблокируется пользователем введением пароля – так же, как и в случае с токеном; 2. Данные о платеже вводятся на компьютере или экспортируются из бухгалтерской системы; Введенные платежки автоматически передаются на ПИН-пад, где производится проверка данных платежки по загруженным справочникам, при несовпадении реквизитов банка или организации выдается предупреждение;

 3. Пользователем визуально проверяется сумма и имя получателя, при совпадении пользователь дает разрешение на подпись данных и передачу их в банк – это единственная дополнительная операция;

4. Прошедшие проверку платежки автоматически подписываются, шифруются и передаются в банк.

В процессе работы во внутренний справочник ПИН-пада могут добавляться данные о новых клиентах непосредственно с платежных поручений после визуальной проверки реквизитов. Полный протокол работы сохраняется в памяти устройства и может быть выгружен для архивирования или разбора диспутных ситуаций.


…и против


Основной аргумент против применения банковских PIN-падов в ДБО – довольно высокая по сравнению с токенами и генераторами одноразовых паролей стоимость этих устройств. Однако не все так очевидно, как кажется.

Стоимость современного сертифицированного ПИН-пада низшей ценовой категории у производителя – около 1500 рублей. Эта цена вполне соответствует ожиданиям разработчиков систем ДБО и, безусловно, не разорительна для потребителя-физлица и тем более для организации, при этом устройство обеспечивает надежную защиту при минимальной функциональности. Дисплей в таких устройствах, как правило, небольшой и неграфический, но цена вполне соответствует функциональности.

 Если же потребителю хочется иметь большой и удобный дисплей, функции по удаленной загрузке и замены ПО и ключей, то можно выбрать полнофункциональный ПИН-пад, стоимость которого сейчас составляет от 3 до 6 тыс. рублей. Цена может быть снижена за счет выпуска специализированного устройства путем отказа от дорогой магнитной головки, ряда интерфейсов (необходим только USB-порт) и, наконец, весьма дорогого ридера смарт-карты с сопутствующими цепями защиты. Смарт-карта в такой технологии действительно лишний элемент – все ключи шифрования и сертификаты для подписи может и должен хранить сам ПИН-пад. Мы видим, что цена устройства оказывается не так уж высока по сравнению со стоимостью возможных потерь и может быть дополнительно снижена за счет массового спроса.


Заключение


Существует давно разработанная, общепризнанная и проверенная технология безопасной передачи информации в банк с использованием защищенных устройств – POS-терминалов и ПИН-падов, сертифицированных по международному стандарту PCI PED (PCI PTS). Применение такого оборудования для цифровой подписи и, при необходимости, шифрования данных в ДБО позволяет получить систему, защищенную от взлома и атак на адекватном уровне развития технологий. При этом от банка будет требоваться минимальная логистика по каждому клиенту, пользующемуся ДБО, на уровне занесения информации о серийном номере ПИН-пада клиента в базу данных системы удаленной загрузки ключей, без необходимости выпуска и персонализации какихлибо карт и устройств. Затраты на приобретение ПИН-пада вполне могут быть переложены на плечи клиентов в обмен на гарантии безопасности. Дополнительным стимулом для клиента может стать возможность обоснования своей позиции путем предъявления лога обмена с банком во время диспутных ситуаций, разбор которых новый Закон «О национальной платежной системе» не отменит. Разработка и принятие на уровне стандарта де-факто протокола обмена такого ПИН-пада с компьютером различными разработчиками ДБО приведет к появлению конкурентной среды среди производителей оборудования, что благотворно скажется на цене устройств и качестве ПО. Мы готовы работать с разработчиками систем ДБО в этом направлении для унификации решений.

Этот подход, безусловно, меняет всю систему взаимоотношений между банком, клиентом и поставщиком оборудования, но аналогичные изменения уже произошли на нашем рынке POS-терминального оборудования в прошлом году, когда терминалы YARUS начали приобретаться не банками, а конечными пользователями – магазинами и торговыми сетями, хотя несколько лет назад в это никто не верил. Прототип системы, использующей банковский ПИНпад для обеспечения безопасности в системе ДБО, компания «Терминальные Технологии» продемонстрировала на своем выставочном стенде в рамках 3-го Международного Форума 2012 «Инновации. Дистанционные сервисы, карты и платежи», проведенного журналом «ПЛАС», а также представит это решение в ходе выставки CARTES 2012, которая пройдет с 6 по 8 ноября 2012г. в Париже.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Океании раковины каури (моллюсков) сохранились как платежное средство ограниченного оборота до наших дней? В настоящее время среди всех архипелагов Океании раковины моллюсков действительно распространены в качестве не декоративной, а реальной расчетной единицы на Соломоновых островах.