Реальная ситуация такова, что на рынке нет ни одного проверенного независимой лабораторией устройства. Мы хотя бы идем по этому пути. Как пройдем — расскажем.
Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.
Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)
Конечно не правда:) Вы ведь не знаете реальной ситуации, а пишете, что SafeTouch никто не проверял.
Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.
Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?
Размещать информацию на сайте до официального окончания процесса тестирования — не совсем корректно. Или Вы считаете иначе?
По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.
Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.
Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?
Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.
Подержать — не вопрос. Контакты у нас на сайте есть.
Уважаемый, покажите, пожалуйста, общественности компанию, которая «родилась» с 10-ти летним стажем, лицензиями и сертификатами (которые, кстати, абсолютно не являются гарантией надежности решения). Залогом успеха является не год создания, а команда. И она у нас очень сильная.
По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.
Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.
Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
Евгений,
Компания может «пропасть» с рынка как через год, так и через 15 лет, примерно с равной вероятностью. Примеров масса.
Повторюсь, юридическое лицо, это, прежде всего, команда. Уверяю, с перечисленными Вами задачами наша команда справится.
Спасибо за комментарий.
Хотелось бы отметить, что итоговая цена = считыватель смарт-карт SafeTouch + смарт-карта. Это примерно 2100 руб. Считать туда стоимость лицензий на систему ДБО не совсем правильно, так как данные лицензии банком уже закуплены.
Кстати, SafeTouch также работает со смарт-картами, выпущенными в рамках проекта «доступ к порталу государственных услуг». Суть — в чип стандартной банковской карты (EMV-сертифицированной) добавлен сертифицированный апплет (приложение), реализующий российскую криптографию. С помощью такой карты клиент банка может также получать доступ к порталу государственных услуг и подписывать электронные документы (в том числе платежные).
Если у клиента уже есть такая карта — ему уже не надо тратиться на дополнительную. У нас сейчас в стадии реализации пилотные проекты с несколькими банками. Надеюсь, скоро сможем рассказать подробнее:)
Всем привет,
Для начала представлюсь, Денис Калемберг, компания СэйфТек.
Что хотелось бы ответить на пост Евгения:
1. Думаю, все согласятся, что не так важна дата регистрации юридического лица, как опыт команды, которая это юр.лицо создала. В нашем случае суммарный опыт специалистов компании в области информационной безопасности исчисляется не одним десятилетием. Кстати, как показывает опыт того же RSA, срок жизни компании на рынке не является гарантией безопасности конечных решений.
2. Возникает вопрос, почему компания Актив-софт со своим 17-летним опытом разработала свое решение для защиты от атак с подменой документа почти на год позже, чем «неизвестно кто»?
P.S. Евгений, Вы прекрасно знаете, что я на этом рынке работаю уже много лет. С Вашей стороны было крайне некорректно употреблять выражение «неизвестно кем».
Я повторюсь, если SSL строится только на основании сертификата сервера, а клиент никак не подтверждает свою личность, то атака MITM может быть вполне успешной.
В Интернете описано достаточно много способов это сделать (можно заставить браузер скрыть предупреждение безопасности, можно использовать сертификат, выданный «правильным» УЦ и т.д.)
Да, это отличная технология.
Хотя я все равно стараюсь не держать на карте больше, чем требуется для одной покупки. Лучше каждый раз перебрасывать нужное количество денег со счета на карту (через Интернет-банкинг), чем потом волноваться по поводу сохранности оставшихся на ней средств.
Спасибо за ответ.
Я имел ввиду, что если сайт магазина взломан (а это не редкость), то после нажатия кнопки «оплатить», покупателя может пробросить на фишинговый сайт, куда и будут введены критичные данные. Насколько я понимаю, бОльшая часть денег с карт воруется именно так.
Все таки процессинговые центры защищены очень неплохо и успешно атаковать их могут только хакеры очень высокой квалификации. Хотя куш в таком случае совсем другого масштаба:)
Я правильно понимаю, что для конечного потребителя вообще не принципиально, через какой процессинг проходит оплата с его платежной карты?
Ввод данных с карты осуществляется на сайте магазина/отеля и т.д. и больше вероятность «потерять» их именно там, чем на стороне Хронопэя или другой аналогичной компании?
Мы контролируем встраивание SafeTouch в системы ДБО российских (и не только) производителей. Соответствующие методики разработаны и доведены до программистов, так что не волнуйтесь, все будет ОК.
Ну так я к чему, если сами сертификата не получили пока, может не будете стращать нас знанием российского законодательства?:)
Мы решаем конкретную задачу: отображение ключевых полей платежного документа в замкнутой среде. Подмена любого из неконтролируемых полей не приведет к искомому для хакера результату — краже денег. Задача выполнена.
Кстати, Вы не ответили на вопрос о сертификации ПинПада. Я правильно понимаю, что Вам сказать нечего?
По поводу уверенности о результатах тестирования, это не к нам, а в лабораторию.
Ваши слова на тему 63-ФЗ, это еще одно доказательство того, что Вы абсолютно не разобрались в принципах работы SafeTouch, либо невнимательно прочитали закон. Итак, SafeTouch не является средством электронной подписи. Документ подписывается в смарт-карте, которая и является сертифицированным СКЗИ.
Кстати о сертификации — Если ПинПад является средством электронной подписи (особенно претендующей на квалифицированность), то он подлежит обязательной сертификации. Что-то я нигде упоминания о его сертифицированности не нашел. Может быть Вы нам ссылочку подкинете?
Описанная Вами потенциальная уязвимость убирается элементарно, стоит лишь настроить корректный парсинг документа на стороне сервера. В таком случае подмена полей ничего не даст.
Подержать — не вопрос. Контакты у нас на сайте есть.
По поводу «никто не проверял» — опять не правда. SafeTouch три месяца назад отдан на тестирование в две лаборатории. Ни одной уязвимости до сих пор не найдено.
Отображать же документ целиком — бред. Это создает избыточную нагрузку на пользователя, заставляя его подтверждать подпись, не вдаваясь в суть. С нашей точки зрения, отображение нескольких ключевых полей (без которых атака на документ будет бессмысленной) — гораздо удобнее.
Кстати, называть «поделкой» продукт, который Вы и в руках то не держали, это как раз и есть троллинг.
Компания может «пропасть» с рынка как через год, так и через 15 лет, примерно с равной вероятностью. Примеров масса.
Повторюсь, юридическое лицо, это, прежде всего, команда. Уверяю, с перечисленными Вами задачами наша команда справится.
Хотелось бы отметить, что итоговая цена = считыватель смарт-карт SafeTouch + смарт-карта. Это примерно 2100 руб. Считать туда стоимость лицензий на систему ДБО не совсем правильно, так как данные лицензии банком уже закуплены.
Кстати, SafeTouch также работает со смарт-картами, выпущенными в рамках проекта «доступ к порталу государственных услуг». Суть — в чип стандартной банковской карты (EMV-сертифицированной) добавлен сертифицированный апплет (приложение), реализующий российскую криптографию. С помощью такой карты клиент банка может также получать доступ к порталу государственных услуг и подписывать электронные документы (в том числе платежные).
Если у клиента уже есть такая карта — ему уже не надо тратиться на дополнительную. У нас сейчас в стадии реализации пилотные проекты с несколькими банками. Надеюсь, скоро сможем рассказать подробнее:)
Для начала представлюсь, Денис Калемберг, компания СэйфТек.
Что хотелось бы ответить на пост Евгения:
1. Думаю, все согласятся, что не так важна дата регистрации юридического лица, как опыт команды, которая это юр.лицо создала. В нашем случае суммарный опыт специалистов компании в области информационной безопасности исчисляется не одним десятилетием. Кстати, как показывает опыт того же RSA, срок жизни компании на рынке не является гарантией безопасности конечных решений.
2. Возникает вопрос, почему компания Актив-софт со своим 17-летним опытом разработала свое решение для защиты от атак с подменой документа почти на год позже, чем «неизвестно кто»?
P.S. Евгений, Вы прекрасно знаете, что я на этом рынке работаю уже много лет. С Вашей стороны было крайне некорректно употреблять выражение «неизвестно кем».
В Интернете описано достаточно много способов это сделать (можно заставить браузер скрыть предупреждение безопасности, можно использовать сертификат, выданный «правильным» УЦ и т.д.)
Хотя я все равно стараюсь не держать на карте больше, чем требуется для одной покупки. Лучше каждый раз перебрасывать нужное количество денег со счета на карту (через Интернет-банкинг), чем потом волноваться по поводу сохранности оставшихся на ней средств.
SSL с односторонней аутентификацией (сервера), к сожалению, не гарантирует защиты от атаки типа «человек в середине».
Я имел ввиду, что если сайт магазина взломан (а это не редкость), то после нажатия кнопки «оплатить», покупателя может пробросить на фишинговый сайт, куда и будут введены критичные данные. Насколько я понимаю, бОльшая часть денег с карт воруется именно так.
Все таки процессинговые центры защищены очень неплохо и успешно атаковать их могут только хакеры очень высокой квалификации. Хотя куш в таком случае совсем другого масштаба:)
Ввод данных с карты осуществляется на сайте магазина/отеля и т.д. и больше вероятность «потерять» их именно там, чем на стороне Хронопэя или другой аналогичной компании?