22apr.rif2010 -kalemberg
TRANSCRIPT
w w w. a l a d d i n. r uw w w. a l a d d i n. r u
Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет
Денис Калемберг,Менеджер по работе с
корпоративными заказчиками ЗАО «Аладдин Р.Д.»
РИФ, 2010г.
w w w. a l a d d i n. r u 2
Проблема - Появление новых «бизнесов»
1. Атаки на клиентов банков стали массовыми и адресными
2. «Разделение труда»– Сбор информации о клиентах, их счетах и суммах с целью
перепродажи
– Кража денег с выбранных счетов – проведение адресных атак
Причины
• Кризис (обострение проблем)
• Доступность инструментария для подготовки и проведения адресных атак
– Используются уязвимости ПО и бот-сети
– Стоимость менее $100
• Перекладывание ответственности за безопасность на клиента (хотя он не является экспертом в этом вопросе)
w w w. a l a d d i n. r u 3
Что происходит и почему?
Масштаб бедствия
Главные источники угроз• Уязвимости Web-приложений – «заряженные» сайты – эксплойты
• 63% сайтов РФ имеют критические уязвимости*
• Специализированные эксплойты и трояны - антивирусы против них малоэффективны
Как мы получаем spyware• Переходя по ссылкам в спамерских письмах («грязный» спам)
• Через поисковики (подозрительные сайты)
• Фишинг (письма «от банка»)
Из 600 млн. компьютеров, подключенных к Интернет, 100-150 млн. уже являются частью бот-сетей.
Давос, январь 2007Из доклада Виртона Серта
Positive Technologies, 2007
25%
w w w. a l a d d i n. r u 4
Конструктор spyware- специализированных троянов
w w w. a l a d d i n. r u 5
От защиты объекта к защите взаимодействия
Основные векторы угроз• Кража регистрационных данных клиентов (account’ов)
• Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS)
Противодействие• Усиление аутентификации
• Использование лицензионного антивирусного ПО
• Использование автономных устройств• OTP (One Time Password)- генераторов• Токенов для защищенного хранения криптографических ключей ЭЦП• Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП)
Для «толстого клиента» основной проблемой остается вопрос доверенной среды
Большой интерес и новые разработки связаны с «тонким клиентом» (Web) вопрос к мобильности решения
w w w. a l a d d i n. r u 6
USB-токены для защищенного хранения ключей ЭЦП
6
Основные характеристики• Резко снижает вероятность компрометации
закрытого ключа ЭЦП
• Высокая защищенность чипа
• Двухфакторная аутентификация клиента
w w w. a l a d d i n. r u 7
USB-токены с «криптографией на борту»
Решает проблемы• Компрометации закрытого ключа ЭЦП
• Несанкционированного использования ключа ЭЦП
• Двухфакторной аутентификации клиента (на уровне приложения)
w w w. a l a d d i n. r u 8
Генераторы одноразовых паролей
Решает проблемы• Кражи регистрационных данных
клиента
• Перехвата SMS с одноразовым паролем
• Мобильности клиента (ПК, телефон)
w w w. a l a d d i n. r u 9
Комбинированные USB-ключи
Смартфон
Карманный ПК
Ноутбук
Персональный компьютер
Функционал смарт-карты
•ЭЦП, шифрование
• SSL
Одноразовый пароль
для КПК и компьютеров без USB-портов
Терминал
PDA
Перевести 100000000$ Иванову
Ивану Ивановичу
ЭЦП -(контроль целостности и авторства)
OTP -(собственноручное подтверждение)
w w w. a l a d d i n. r u 10
Комплексный подход к безопасности в системах ДБО
Методы защиты:- Использование защищенных носителей ключей ЭЦП - Подтверждение совершенных операций при помощи одноразовых паролей-Использование персонального межсетевого экрана на рабочей станции-Использование лицензионного антивирусного ПО на рабочей станции
*По данным Group IB с 1.01.2008 по 1.04.2010
- 70
- 14
- 5
Комплексный подход позволит свести к минимуму риски, возникающие в системах дистанционного банковского обслуживания.
w w w. a l a d d i n. r u
Спасибо за внимание!