w w w. a l a d d i n. r uw w w. a l a d d i n. r u

Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет

Денис Калемберг,Менеджер по работе с

корпоративными заказчиками ЗАО «Аладдин Р.Д.»

РИФ, 2010г.

w w w. a l a d d i n. r u 2

Проблема - Появление новых «бизнесов»

1. Атаки на клиентов банков стали массовыми и адресными

2. «Разделение труда»– Сбор информации о клиентах, их счетах и суммах с целью

перепродажи

– Кража денег с выбранных счетов – проведение адресных атак

Причины

• Кризис (обострение проблем)

• Доступность инструментария для подготовки и проведения адресных атак

– Используются уязвимости ПО и бот-сети

– Стоимость менее $100

• Перекладывание ответственности за безопасность на клиента (хотя он не является экспертом в этом вопросе)

w w w. a l a d d i n. r u 3

Что происходит и почему?

Масштаб бедствия

Главные источники угроз• Уязвимости Web-приложений – «заряженные» сайты – эксплойты

• 63% сайтов РФ имеют критические уязвимости*

• Специализированные эксплойты и трояны - антивирусы против них малоэффективны

Как мы получаем spyware• Переходя по ссылкам в спамерских письмах («грязный» спам)

• Через поисковики (подозрительные сайты)

• Фишинг (письма «от банка»)

Из 600 млн. компьютеров, подключенных к Интернет, 100-150 млн. уже являются частью бот-сетей.

Давос, январь 2007Из доклада Виртона Серта

Positive Technologies, 2007

25%

w w w. a l a d d i n. r u 4

Конструктор spyware- специализированных троянов

w w w. a l a d d i n. r u 5

От защиты объекта к защите взаимодействия

Основные векторы угроз• Кража регистрационных данных клиентов (account’ов)

• Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS)

Противодействие• Усиление аутентификации

• Использование лицензионного антивирусного ПО

• Использование автономных устройств• OTP (One Time Password)- генераторов• Токенов для защищенного хранения криптографических ключей ЭЦП• Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП)

Для «толстого клиента» основной проблемой остается вопрос доверенной среды

Большой интерес и новые разработки связаны с «тонким клиентом» (Web) вопрос к мобильности решения

w w w. a l a d d i n. r u 6

USB-токены для защищенного хранения ключей ЭЦП

6

Основные характеристики• Резко снижает вероятность компрометации

закрытого ключа ЭЦП

• Высокая защищенность чипа

• Двухфакторная аутентификация клиента

w w w. a l a d d i n. r u 7

USB-токены с «криптографией на борту»

Решает проблемы• Компрометации закрытого ключа ЭЦП

• Несанкционированного использования ключа ЭЦП

• Двухфакторной аутентификации клиента (на уровне приложения)

w w w. a l a d d i n. r u 8

Генераторы одноразовых паролей

Решает проблемы• Кражи регистрационных данных

клиента

• Перехвата SMS с одноразовым паролем

• Мобильности клиента (ПК, телефон)

w w w. a l a d d i n. r u 9

Комбинированные USB-ключи

Смартфон

Карманный ПК

Ноутбук

Персональный компьютер

Функционал смарт-карты

•ЭЦП, шифрование

• SSL

Одноразовый пароль

для КПК и компьютеров без USB-портов

Терминал

PDA

Перевести 100000000$ Иванову

Ивану Ивановичу

ЭЦП -(контроль целостности и авторства)

OTP -(собственноручное подтверждение)

w w w. a l a d d i n. r u 10

Комплексный подход к безопасности в системах ДБО

Методы защиты:- Использование защищенных носителей ключей ЭЦП - Подтверждение совершенных операций при помощи одноразовых паролей-Использование персонального межсетевого экрана на рабочей станции-Использование лицензионного антивирусного ПО на рабочей станции

*По данным Group IB с 1.01.2008 по 1.04.2010

- 70

- 14

- 5

Комплексный подход позволит свести к минимуму риски, возникающие в системах дистанционного банковского обслуживания.

w w w. a l a d d i n. r u

Спасибо за внимание!